Shielded VM mit nutzerverwalteten Notebooks verwenden

Damit Sie sich sicher sein können, dass Ihre Instanzen nicht durch Malware oder Rootkits auf Boot- oder Kernel-Ebene manipuliert wurden, bietet Shielded VM eine überprüfbare Integrität von Compute Engine-VM-Instanzen. Diese überprüfbare Integrität von Shielded VM wird mithilfe von Secure Boot, Measured Boot und Integritätsüberwachung mit aktiviertem vTPM (Virtual Trusted Platform Module) erreicht.

Weitere Informationen finden Sie unter Shielded VM.

Anforderungen und Einschränkungen

Wenn Sie Shielded VM mit nutzerverwalteten Notebooks verwenden möchten, müssen Sie ein Deep Learning VM Image mit einem Debian 10-Betriebssystem ab Version M51 erstellen.

Bei der Verwendung von Vertex AI Workbench können Sie keine nutzerverwalteten Shielded-VM-Notebookinstanzen verwenden, die GPU-Beschleuniger nutzen.

Nutzerverwaltete Notebookinstanz mit Shielded VM erstellen

Führen Sie die folgenden Schritte aus, um eine Shielded VM zu erstellen, die Sie mit nutzerverwalteten Notebooks verwenden können:

  1. Wählen Sie die Image-Familie aus, auf der Ihre Instanz basieren soll. Mit dem folgenden Befehl der Google Cloud CLI können Sie die verfügbaren Image-Familien auflisten, die mit nutzerverwalteten Notebooks und Shielded VMs kompatibel sind. Sie können den Befehl in Cloud Shell oder in einer Umgebung ausführen, in der die Google Cloud CLI installiert ist.

    gcloud compute images list \
    --project deeplearning-platform-release \
    --no-standard-images | grep debian-10

  2. Erstellen Sie die Compute Engine-Instanz mit dem folgenden Befehl.

    gcloud compute instances create nb-legacy2 \
    --image-project=deeplearning-platform-release \
    --image-family=MY_IMAGE_FAMILY \
    --metadata="proxy-mode=service_account" \
    --scopes=https://www.googleapis.com/auth/cloud-platform \
    --shielded-secure-boot \
    --zone=MY_ZONE

    Dabei gilt:

    • MY_IMAGE_FAMILY: der Name der Image-Familie, die Sie zum Erstellen Ihrer VM verwenden möchten
    • MY_ZONE: die Zone, in der sich Ihre Instanz befinden soll

  3. Registrieren Sie Ihre Compute Engine-VM bei der Notebooks API.

Nächste Schritte