Vertex AI tạo một sổ tay bảo mật do người dùng quản lý

1. Giới thiệu

Các phiên bản sổ tay do người dùng quản lý trong Vertex AI Workbench cho phép bạn tạo và quản lý các phiên bản máy ảo (VM) học sâu được đóng gói sẵn bằng JupyterLab.

Các phiên bản sổ tay do người dùng quản lý có một bộ gói học sâu được cài đặt sẵn, bao gồm cả hỗ trợ cho các khung TensorFlow và PyTorch. Bạn có thể định cấu hình các phiên bản chỉ có CPU hoặc có GPU.

Sản phẩm bạn sẽ tạo ra

Hướng dẫn này mô tả quy trình triển khai một sổ tay an toàn do người dùng quản lý dựa trên các phương pháp hay nhất về Mạng và bảo mật. Các bước liên quan:

  1. Tạo một VPC
  2. Tạo một Cloud Router và Cloud NAT
  3. Định cấu hình phiên bản sổ tay bằng các chế độ cài đặt bảo mật thích hợp

Phần hướng dẫn này cung cấp hướng dẫn chi tiết cho từng bước. Tài liệu này cũng bao gồm các mẹo và phương pháp hay nhất để bảo mật sổ tay do người dùng quản lý. Hình 1 minh hoạ việc triển khai bằng VPC độc lập.

Hình 1

2292244ba0b11f71.png

Kiến thức bạn sẽ học được

  • Cách xác định xem VPC dùng chung hay VPC độc lập có phù hợp với tổ chức của bạn hay không
  • Cách tạo VPC độc lập
  • Cách tạo Bộ định tuyến đám mây và NAT đám mây
  • Cách tạo sổ tay do người dùng quản lý
  • Cách truy cập vào sổ tay do người dùng quản lý
  • Cách theo dõi tình trạng của sổ tay do người dùng quản lý
  • Cách tạo và áp dụng lịch biểu cho phiên bản

Bạn cần có

  • Dự án trên Google Cloud

Quyền IAM

2. Mạng VPC

Bạn có thể coi mạng VPC giống như mạng vật lý, ngoại trừ việc mạng này được ảo hoá trong Google Cloud. Mạng VPC là một tài nguyên toàn cầu bao gồm các mạng con theo khu vực. Các mạng VPC được tách biệt với nhau một cách hợp lý trong Google Cloud.

VPC độc lập

Hình 2 là một ví dụ về VPC độc lập trên toàn cầu, bao gồm một mạng con theo khu vực (us-central1) ngoài Cloud Router và Cloud NAT được dùng để cho phép Notebook do người dùng quản lý thiết lập kết nối an toàn với Internet.

Hình 2

2292244ba0b11f71.png

VPC dùng chung

VPC dùng chung cho phép bạn xuất mạng con từ một mạng VPC trong một dự án lưu trữ sang các dự án dịch vụ trong cùng một tổ chức. Dự án lưu trữ chứa các tài nguyên mạng được chia sẻ với dự án dịch vụ, chẳng hạn như mạng con, NAT đám mây và quy tắc tường lửa. Dự án dịch vụ chứa các tài nguyên ở cấp ứng dụng tận dụng tài nguyên mạng trong dự án lưu trữ.

Hình 3 minh hoạ một VPC dùng chung trên toàn cầu, trong đó cơ sở hạ tầng mạng và bảo mật được triển khai trong dự án lưu trữ, còn các khối lượng công việc được triển khai trong dự án dịch vụ.

Hình 3

1354a9323c8e5787.png

VPC độc lập so với VPC dùng chung

Một mạng VPC đơn lẻ là đủ cho nhiều trường hợp sử dụng đơn giản, vì mạng này dễ tạo, duy trì và hiểu hơn so với các lựa chọn phức tạp hơn. VPC dùng chung là một công cụ hiệu quả cho những tổ chức có nhiều nhóm, vì công cụ này cho phép họ mở rộng tính đơn giản về mặt cấu trúc của một mạng VPC đơn lẻ trên nhiều nhóm làm việc thông qua việc sử dụng các dự án dịch vụ.

Phương pháp hay nhất về VPC được dùng trong hướng dẫn

  • Bật Cloud NAT để truy cập vào sổ tay.
  • Bật Quyền truy cập riêng tư vào Google khi bạn tạo mạng con.
  • Tạo các quy tắc tường lửa mang tính chỉ dẫn để giảm lưu lượng truy cập không mong muốn, ví dụ: không sử dụng 0.0.0.0/0 tcp mà hãy xác định(các) mạng con hoặc(các) địa chỉ IP máy chủ lưu trữ chính xác.
  • Tận dụng các chính sách tường lửa để mở rộng phạm vi của các quy tắc truy cập, ví dụ: vị trí địa lý, danh sách thông tin tình báo về mối đe doạ, tên miền nguồn, v.v.

3. Các phương pháp hay nhất về sổ tay

Điều chỉnh quy mô phiên bản cho phù hợp

  • Dừng và/hoặc xoá các phiên bản không dùng đến
  • Sử dụng phiên bản ban đầu nhỏ hơn và lặp lại với dữ liệu mẫu nhỏ hơn
  • Mở rộng quy mô các phiên bản khi cần
  • Thử nghiệm với các tập dữ liệu nhỏ hơn

Chọn loại máy phù hợp

  • Máy ảo được tối ưu hoá chi phí
  • Tận dụng hiệu quả hơn các tài nguyên phần cứng để giảm chi phí
  • Tiết kiệm đến 31% so với N1
  • Tiết kiệm thêm (20-50%) khi cam kết sử dụng 1 hoặc 3 năm
  • Việc tăng kích thước máy hoặc thêm GPU có thể giúp cải thiện hiệu suất và khắc phục lỗi giới hạn bộ nhớ

Lên lịch tắt các phiên bản

  • Tắt các phiên bản khi chúng ở trạng thái rảnh (chỉ trả tiền cho bộ nhớ đĩa)
  • Lên lịch để các phiên bản VM sổ tay tự động tắt và khởi động vào những giờ cụ thể

Giám sát trạng thái hoạt động của sổ tay

Những điều cần cân nhắc về bảo mật

Sau đây là những điểm cần cân nhắc về bảo mật mà bạn nên lưu ý khi tạo sổ tay do người dùng quản lý:

  • Chọn chế độ truy cập sổ tay "chỉ dành cho một người dùng". Nếu người dùng được chỉ định không phải là người tạo thực thể, thì bạn phải cấp cho người dùng được chỉ định vai trò Người dùng tài khoản dịch vụ (roles/iam.serviceAccountUser) trên tài khoản dịch vụ của thực thể.
  • Tắt các lựa chọn sau:
  • quyền truy cập vào thư mục gốc
  • nbconvert
  • tải tệp xuống từ giao diện người dùng JupyterLab
  • Cloud NAT sẽ được dùng thay vì chỉ định địa chỉ IP bên ngoài cho sổ tay do người dùng quản lý.
  • Chọn các lựa chọn điện toán sau:
  • Khởi động an toàn
  • Virtual Trusted Platform Module (vTPM)
  • Giám sát tính toàn vẹn

4. Trước khi bắt đầu

Cập nhật dự án để hỗ trợ hướng dẫn

Hướng dẫn này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud config list project
gcloud config set project [your-project-name]
projectid=your-project-name
echo $projectid

5. Thiết lập VPC

Tạo VPC độc lập

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks create securevertex-vpc --project=$projectid --subnet-mode=custom

Tạo mạng con sổ tay do người dùng quản lý

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks subnets create securevertex-subnet-a --project=$projectid --range=10.10.10.0/28 --network=securevertex-vpc --region=us-central1 --enable-private-ip-google-access

Cấu hình Cloud Router và NAT

Cloud NAT được dùng trong hướng dẫn tải gói phần mềm sổ tay vì phiên bản sổ tay do người dùng quản lý không có địa chỉ IP bên ngoài. Cloud NAT cũng cung cấp các chức năng NAT xuất, tức là các máy chủ lưu trữ trên Internet không được phép bắt đầu giao tiếp với một sổ tay do người dùng quản lý, giúp tăng cường tính bảo mật.

Trong Cloud Shell, hãy tạo bộ định tuyến đám mây theo khu vực.

gcloud compute routers create cloud-router-us-central1 --network securevertex-vpc --region us-central1

Trong Cloud Shell, hãy tạo cổng NAT đám mây theo khu vực.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-us-central1 --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

6. Tạo một vùng lưu trữ

Bộ chứa lưu trữ cung cấp tính năng tải lên/truy xuất tệp an toàn. Trong hướng dẫn này, bộ nhớ trên đám mây sẽ chứa một tập lệnh khởi động sau để cài đặt các gói AI tạo sinh trong sổ tay do người dùng quản lý.

Tạo một bộ chứa Cloud Storage và thay thế BUCKET_NAME bằng tên duy nhất trên toàn cầu mà bạn muốn.

Trong Cloud Shell, hãy tạo một bộ chứa lưu trữ riêng biệt.

gsutil mb -l us-central1 -b on gs://BUCKET_NAME

Lưu trữ "BUCKET_NAME" trong suốt thời gian của phòng thí nghiệm

BUCKET_NAME=YOUR BUCKET NAME
echo $BUCKET_NAME

7. Tạo tập lệnh khởi động sau

Để cho phép tải các gói AI tạo sinh xuống, hãy tạo một tập lệnh sau khi khởi động trong cloud shell bằng cách sử dụng vi hoặc trình chỉnh sửa nano rồi lưu tập lệnh đó dưới dạng poststartup.sh.

#! /bin/bash
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Changing dir to /home/jupyter" >> /tmp/notebook_config.log 2>&1
cd /home/jupyter
echo "Cloning generative-ai from github" >> /tmp/notebook_config.log 2>&1
su - jupyter -c "git clone https://github.com/GoogleCloudPlatform/generative-ai.git" >> /tmp/notebook_config.log 2>&1
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Installing python packages" >> /tmp/notebook_config.log 2&1
su - jupyter -c "pip install --upgrade --no-warn-conflicts --no-warn-script-location --user \
     google-cloud-bigquery \
     google-cloud-pipeline-components \
     google-cloud-aiplatform \
     seaborn \
     kfp" >> /tmp/notebook_config.log 2>&1

Ví dụ:

vpc_admin@cloudshell$ more poststartup.sh 
#! /bin/bash
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Changing dir to /home/jupyter" >> /tmp/notebook_config.log 2>&1
cd /home/jupyter
echo "Cloning generative-ai from github" >> /tmp/notebook_config.log 2>&1
su - jupyter -c "git clone https://github.com/GoogleCloudPlatform/generative-ai.git" >> /tmp/notebook_config.log 2>&1
echo "Current user: id" >> /tmp/notebook_config.log 2>&1
echo "Installing python packages" >> /tmp/notebook_config.log 2&1
su - jupyter -c "pip install --upgrade --no-warn-conflicts --no-warn-script-location --user \
     google-cloud-bigquery \
     google-cloud-pipeline-components \
     google-cloud-aiplatform \
     seaborn \
     kfp" >> /tmp/notebook_config.log 2>&1

Tải tập lệnh khởi động sau lên bộ chứa lưu trữ từ Cloud Shell bằng gsutil

gsutil cp poststartup.sh gs://$BUCKET_NAME

8. Tạo một tài khoản dịch vụ

Để kiểm soát ở mức độ chi tiết đối với sổ tay do người dùng quản lý, bạn cần có một tài khoản dịch vụ. Sau khi được tạo, bạn có thể sửa đổi các quyền của tài khoản dịch vụ dựa trên yêu cầu của doanh nghiệp. Trong hướng dẫn này, tài khoản dịch vụ sẽ áp dụng các quy tắc sau:

Bạn phải Service Account API trước khi tiếp tục.

Trong Cloud Shell, hãy tạo tài khoản dịch vụ.

gcloud iam service-accounts create user-managed-notebook-sa \
    --display-name="user-managed-notebook-sa"

Trong Cloud Shell, hãy cập nhật tài khoản dịch vụ bằng vai trò Storage Object Viewer

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:user-managed-notebook-sa@$projectid.iam.gserviceaccount.com" --role="roles/storage.objectViewer"

Trong Cloud Shell, hãy cập nhật tài khoản dịch vụ bằng vai trò Người dùng Vertex AI

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:user-managed-notebook-sa@$projectid.iam.gserviceaccount.com" --role="roles/aiplatform.user"

Trong Cloud Shell, hãy liệt kê tài khoản dịch vụ và ghi lại địa chỉ email sẽ được dùng khi tạo sổ tay do người dùng quản lý.

gcloud iam service-accounts list

Ví dụ:

$ gcloud iam service-accounts list
DISPLAY NAME: user-managed-notebook-sa
EMAIL: user-managed-notebook-sa@my-project-id.iam.gserviceaccount.com
DISABLED: False

9. Tạo sổ tay an toàn do người dùng quản lý

Phiên bản sổ tay do người dùng quản lý là một phiên bản máy ảo Học sâu có sẵn các thư viện khoa học dữ liệu và học máy mới nhất. Bạn có thể chọn dùng GPU Nvidia để tăng tốc phần cứng.

Bật API người tiêu dùng

API Notebooks

Tạo sổ tay do người dùng quản lý

  1. Chuyển đến Workbench
  2. Chọn Sổ tay do người dùng quản lý, rồi chọn Tạo sổ tay. Trang Tạo sổ tay do người dùng quản lý sẽ mở ra.
  3. Nếu bạn triển khai một sổ tay hiện có, hãy chọn User-Managed Notebooks (Sổ tay do người dùng quản lý) → New Notebook (Sổ tay mới) → Customize (Tuỳ chỉnh)
  4. Trên trang Tạo sổ tay do người dùng quản lý, trong phần Chi tiết, hãy cung cấp thông tin sau cho phiên bản mới của bạn:
  • Tên: Đặt tên cho phiên bản mới của bạn.
  • Khu vực và Vùng: Hướng dẫn này sẽ sử dụng khu vực us-central1 và vùng us-central1-a

Chọn Tiếp tục

  1. Trong phần Environment (Môi trường), hãy cung cấp những thông tin sau:
  • Hệ điều hành: Chọn hệ điều hành mà bạn muốn sử dụng.
  • Chọn môi trường mà bạn muốn sử dụng.
  • Phiên bản: Chọn phiên bản bạn muốn sử dụng.
  • Tập lệnh sau khi khởi động (Không bắt buộc,sử dụng tập lệnh AI tạo sinh đã tạo trước đó) chọn Duyệt qua để chọn một tập lệnh chạy sau khi phiên bản khởi động.
  • Siêu dữ liệu: Không bắt buộc: Cung cấp khoá siêu dữ liệu tuỳ chỉnh cho phiên bản.

Chọn Tiếp tục

  1. Trong phần Loại máy, hãy cung cấp những thông tin sau:
  • Loại máy: Chọn số lượng CPU và dung lượng RAM cho phiên bản mới. Vertex AI Workbench cung cấp thông tin ước tính chi phí hằng tháng cho từng loại máy mà bạn chọn.
  • Loại GPU: Chọn loại GPU và Số lượng GPU cho phiên bản mới. Để biết thông tin về các GPU, hãy xem phần GPU trên Compute Engine.
  • Chọn hộp đánh dấu Tự động cài đặt trình điều khiển GPU NVIDIA cho tôi.

Shielded VM

  • Bật tính năng Khởi động an toàn
  • Bật vTPM
  • Bật tính năng Giám sát tính toàn vẹn

Chọn Tiếp tục

  1. Trong phần Ổ đĩa, hãy cung cấp những thông tin sau:
  • Đĩa: Không bắt buộc: Để thay đổi chế độ cài đặt mặc định cho đĩa khởi động hoặc đĩa dữ liệu, hãy chọn Loại đĩa khởi động, Kích thước đĩa khởi động (tính bằng GB), Loại đĩa dữ liệu và Kích thước đĩa dữ liệu (tính bằng GB) mà bạn muốn. Để biết thêm thông tin về các loại ổ đĩa, hãy xem phần Các lựa chọn lưu trữ.
  • Xoá vào thùng rác: Không bắt buộc: Chọn hộp đánh dấu này để sử dụng hành vi mặc định của thùng rác trên hệ điều hành. Nếu bạn sử dụng hành vi mặc định của thùng rác, thì các tệp bị xoá bằng giao diện người dùng JupyterLab có thể khôi phục được nhưng các tệp bị xoá này sẽ sử dụng dung lượng ổ đĩa.
  • Sao lưu: Không bắt buộc: Để đồng bộ hoá một vị trí trên Cloud Storage với đĩa dữ liệu của phiên bản, hãy chọn Duyệt tìm rồi chỉ định vị trí trên Cloud Storage. Để tìm hiểu về chi phí lưu trữ, hãy xem phần Giá của Cloud Storage.
  • Mã hoá: Khoá mã hoá do Google quản lý

Chọn Tiếp tục

  1. Trong phần Mạng, hãy cung cấp những thông tin sau:
  • Mạng: Chọn Mạng trong dự án này hoặc Mạng được chia sẻ với tôi. Nếu đang sử dụng VPC dùng chung trong dự án lưu trữ, bạn cũng phải cấp vai trò Người dùng mạng điện toán (roles/compute.networkUser) cho Tác nhân dịch vụ Notebook trong dự án dịch vụ.
  • Trong trường Mạng, hãy chọn mạng mà bạn muốn. Hướng dẫn này sử dụng mạng securevertex-vpc. Bạn có thể chọn một mạng VPC, miễn là mạng đó đã bật Quyền truy cập riêng tư vào Google hoặc có thể truy cập vào Internet. Trong trường Mạng con, hãy chọn mạng con mà bạn muốn. Trong hướng dẫn này, mạng con securevertex-subnet-a sẽ được dùng.
  • Huỷ chọn mục chỉ định địa chỉ IP bên ngoài
  • Chọn cho phép truy cập qua proxy

Chọn Tiếp tục

81bb7dbe31fbf587.png

  1. Trong phần IAM và bảo mật, hãy cung cấp những thông tin sau:
  • Chọn Một người dùng, sau đó nhập tài khoản người dùng mà bạn muốn cấp quyền truy cập vào trường Email người dùng. Nếu người dùng được chỉ định không phải là người tạo thực thể, thì bạn phải cấp cho người dùng được chỉ định vai trò Người dùng tài khoản dịch vụ (roles/iam.serviceAccountUser) trên tài khoản dịch vụ của thực thể.
  • Bỏ chọn mục Sử dụng tài khoản dịch vụ Compute Engine mặc định trên VM để gọi các API của Google Cloud
  • Nhập địa chỉ email của tài khoản dịch vụ mới tạo, ví dụ: user-managed-notebook-sa@my-project-id.iam.gserviceaccount.com

Tùy chọn bảo mật

  • Bỏ chọn mục cho phép truy cập vào thư mục gốc của phiên bản
  • Bỏ chọn mục bật nbconvert
  • Huỷ chọn mục Bật tính năng tải tệp xuống từ giao diện người dùng JupyterLab
  • Bật thiết bị đầu cuối (Huỷ chọn cho môi trường phát hành công khai)

Chọn Tiếp tục

e19f3cd05a2c1b7f.png

  1. Trong phần Tình trạng hệ thống, hãy cung cấp thông tin sau

Nâng cấp môi trường và tình trạng hệ thống

  • Chọn hộp đánh dấu Bật tính năng tự động nâng cấp môi trường.
  • Chọn nâng cấp sổ tay theo Tuần hoặc Tháng.

Trong phần Tình trạng và báo cáo hệ thống, hãy chọn hoặc bỏ chọn các hộp đánh dấu sau:

  • Bật báo cáo tình trạng hệ thống
  • Báo cáo chỉ số tuỳ chỉnh cho Cloud Monitoring
  • Cài đặt tác nhân Cloud Monitoring

Chọn Tạo.

10. Xác thực

Vertex AI Workbench tạo một phiên bản sổ tay do người dùng quản lý dựa trên các thuộc tính mà bạn chỉ định và tự động khởi động phiên bản đó. Khi phiên bản đã sẵn sàng sử dụng, Vertex AI Workbench sẽ kích hoạt đường liên kết Mở JupyterLab để cho phép người dùng cuối truy cập vào sổ tay.

11. Khả năng ghi nhận

Theo dõi các chỉ số về hệ thống và ứng dụng thông qua tính năng Giám sát

Đối với các phiên bản sổ tay do người dùng quản lý đã cài đặt Dịch vụ giám sát, bạn có thể giám sát các chỉ số hệ thống và ứng dụng bằng cách sử dụng Google Cloud Console:

  1. Trong Google Cloud Console, hãy chuyển đến trang Sổ tay do người dùng quản lý.
  2. Nhấp vào tên phiên bản mà bạn muốn xem các chỉ số về hệ thống và ứng dụng.
  3. Trên trang Chi tiết về sổ tay, hãy nhấp vào thẻ Giám sát. Xem xét các chỉ số về hệ thống và ứng dụng cho phiên bản của bạn.

12. Tạo lịch biểu cho sổ tay

Lịch biểu phiên bản cho phép bạn tự động khởi động và dừng các phiên bản máy ảo (VM). Việc sử dụng lịch biểu phiên bản để tự động hoá việc triển khai các phiên bản VM có thể giúp bạn tối ưu hoá chi phí và quản lý các phiên bản VM hiệu quả hơn. Bạn có thể sử dụng lịch biểu phiên bản cho cả khối lượng công việc định kỳ và một lần. Ví dụ: sử dụng lịch biểu phiên bản để chỉ chạy các phiên bản VM trong giờ làm việc hoặc để cung cấp dung lượng cho một sự kiện diễn ra một lần.

Để sử dụng lịch biểu phiên bản, hãy tạo một chính sách tài nguyên nêu rõ hành vi bắt đầu và dừng, sau đó đính kèm chính sách đó vào một hoặc nhiều phiên bản máy ảo.

Hướng dẫn này sẽ hướng dẫn bạn cách tạo một lịch biểu phiên bản để bật sổ tay lúc 7 giờ sáng và tắt lúc 6 giờ tối.

Để tạo lịch biểu cho phiên bản, bạn cần có quyền compute.instances.start và compute.instances.stop. Do đó, bạn nên sử dụng vai trò tuỳ chỉnh do quản trị viên cấp cho bạn.

Sau khi được tạo, vai trò tuỳ chỉnh sẽ được chỉ định cho tài khoản dịch vụ Compute Engine mặc định trong dự án của bạn. Nhờ đó, lịch biểu phiên bản có thể khởi động và dừng sổ tay của bạn.

Tạo vai trò tuỳ chỉnh

Trong Cloud Shell, hãy tạo một vai trò tuỳ chỉnh, VmScheduler và thêm các quyền cần thiết.

gcloud iam roles create Vm_Scheduler --project=$projectid \
    --title=vm-scheduler-notebooks \
    --permissions="compute.instances.start,compute.instances.stop" --stage=ga

Mô tả vai trò tuỳ chỉnh từ Cloud Shell.

gcloud iam roles describe Vm_Scheduler --project=$projectid

Ví dụ:

$ gcloud iam roles describe Vm_Scheduler --project=$projectid
etag: BwX991B0_kg=
includedPermissions:
- compute.instances.start
- compute.instances.stop
name: projects/$projectid/roles/Vm_Scheduler
stage: GA
title: vm-scheduler-notebooks

Cập nhật tài khoản dịch vụ mặc định

Trong phần sau, bạn sẽ xác định và cập nhật tài khoản dịch vụ mặc định có định dạng: PROJECT_NUMBER-compute@developer.gserviceaccount.com

Trong Cloud Shell, hãy xác định số dự án hiện tại.

gcloud projects list --filter=$projectid

Trong Cloud Shell, hãy lưu trữ số dự án dưới dạng một biến.

project_number=your_project_number
echo $project_number

Trong Cloud Shell, hãy cập nhật tài khoản dịch vụ điện toán mặc định bằng vai trò tuỳ chỉnh VM_Scheduler.

gcloud projects add-iam-policy-binding $projectid --member="serviceAccount:$project_number-compute@developer.gserviceaccount.com" --role="projects/$projectid/roles/Vm_Scheduler"

Tạo lịch biểu phiên bản

Trong Cloud Shell, hãy tạo lịch bắt đầu và dừng.

gcloud compute resource-policies create instance-schedule optimize-notebooks \
    --region=us-central1 \
    --vm-start-schedule='0 7 * * *' \
    --vm-stop-schedule='0 18 * * *' \
        --timezone=America/Chicago

Trong Cloud Shell, hãy lưu trữ tên của sổ tay.

gcloud compute instances list
notebook_vm=your_notebookvm_name
echo $notebook_vm

Bạn có thể đính kèm một lịch biểu thực thể vào bất kỳ thực thể máy ảo hiện có nào nằm trong cùng khu vực với lịch biểu thực thể.

Trong Cloud Shell, hãy liên kết lịch biểu với sổ tay của bạn.

gcloud compute instances add-resource-policies $notebook_vm \
--resource-policies=optimize-notebooks \
--zone=us-central1-a

13. Dọn dẹp

Xoá sổ tay do người dùng quản lý khỏi bảng điều khiển, chuyển đến Vertex AI → Workbench, chọn và xoá sổ tay.

Xoá các thành phần VPC khỏi Cloud Shell.

gcloud compute routers delete cloud-router-us-central1 --region=us-central1 --quiet

gcloud compute routers nats delete cloud-nat-us-central1 --region=us-central1 --router=cloud-router-us-central1 --quiet

gcloud compute instances remove-resource-policies $notebook_vm \
--resource-policies=optimize-notebooks \
--zone=us-central1-a --quiet

gcloud compute resource-policies delete optimize-notebooks --region=us-central1 --quiet

gcloud compute instances delete $notebook_vm --zone=us-central1-a --quiet

gcloud compute networks subnets delete securevertex-subnet-a --region=us-central1 --quiet 

gcloud iam service-accounts delete user-managed-notebook-sa@$projectid.iam.gserviceaccount.com --quiet 

gcloud projects remove-iam-policy-binding $projectid --member="serviceAccount:$project_number-compute@developer.gserviceaccount.com" --role="projects/$projectid/roles/Vm_Scheduler"

gcloud iam roles delete Vm_Scheduler --project=$projectid

gcloud compute networks delete securevertex-vpc --quiet

14. Xin chúc mừng

Chính xác! Bạn đã định cấu hình và xác thực thành công một sổ tay an toàn do người dùng quản lý bằng cách tạo một VPC độc lập tuỳ chỉnh theo các phương pháp hay nhất để tăng cường bảo mật cho sổ tay được quản lý và triển khai một lịch biểu phiên bản để tối ưu hoá mức chi tiêu.

Tiếp theo là gì?

Hãy xem một số hướng dẫn này...

Tài liệu đọc thêm và video

Tài liệu tham khảo