Cette page a été traduite par l'API Cloud Translation.

Créer une organisation Gemini

Cette page vous explique comment créer une organisation dans Google Distributed Cloud (GDC) air-gapped et la configurer pour utiliser Gemini.

Cette page utilise deux termes qui font référence à des concepts différents : organisation cliente et organisation Gemini. Chaque terme est défini comme suit :

Organisation cliente : organisation GDC dans laquelle les utilisateurs exécutent leurs charges de travail, accèdent à l'infrastructure de la plate-forme et utilisent les services Vertex AI. Pour en savoir plus sur les organisations clientes, consultez Créer une organisation cliente.
Organisation Gemini : ressource d'organisation configurée pour exécuter un serveur de modèle Gemini. Pour des raisons de sécurité, les charges de travail des utilisateurs ne sont pas autorisées à s'exécuter dans cette organisation. Seul le code tiers approuvé par Google doit s'exécuter dans l'organisation Gemini. L'organisation Gemini est distincte de l'organisation client et suit un modèle de location mutualisée unique, où chaque organisation client possède sa propre organisation Gemini correspondante.

Pour en savoir plus sur les différences entre les organisations, consultez la présentation de l'opérateur.

Avant de commencer

Pour créer une organisation Gemini, vous devez disposer des éléments suivants :

Une organisation cliente opérationnelle.
Un navigateur sur votre système.
Interface de ligne de commande (CLI) Git.
La CLI kubectl.
gdcloud CLI.
Les outils CLI jq et yq. Pour en savoir plus sur la configuration du conteneur d'outils, qui contient jq et yq, consultez le runbook OOPS-P0065.
Les rôles d'opérateur d'infrastructure (IO) nécessaires. Pour en savoir plus sur ces rôles, consultez Préparer les autorisations IAM.

Assurez-vous également de remplir les conditions préalables au déploiement.

Créer l'organisation Gemini

Pour créer une organisation Gemini, procédez comme suit :

Suivez le guide Créer une organisation jusqu'à ce que vous ayez terminé de connecter le fournisseur d'identité IO à l'organisation avec IAC. Cette action crée une organisation distincte qui sert d'organisation Gemini dans une seule zone. Suivez ces consignes lorsque vous créez l'organisation :
- L'un des serveurs disponibles doit être un serveur Dell XE9680 avec une classe de machine d3-highgpu1-256-gdc-metal. La première étape des instructions Créer une organisation avec IaC fournit une commande permettant de vérifier les serveurs disponibles. Si le serveur avec la classe de machine d3-highgpu1-256-gdc-metal n'est pas disponible, consultez Présentation de l'expansion dynamique pour découvrir les options d'expansion du serveur. Ensuite, ajoutez le nouveau serveur de charge de travail.
- Lorsque vous créez une organisation avec IaC, après avoir créé la ressource personnalisée Organization, ajoutez l'annotation organizations.resourcemanager.private.gdc.goog/shared-service-cluster-skip-create-cluster: "true" dans la ressource personnalisée pour éviter de créer un cluster de services partagés et optimiser les ressources.
- Créez la ressource personnalisée OrganizationZonalConfig dans une seule zone. Cette zone est utilisée comme zone Gemini. L'organisation cliente doit se trouver dans la même zone, mais elle peut également être déployée dans d'autres zones. Pour en savoir plus, consultez Modèle de déploiement multizone pour Gemini.
Ajoutez le libellé lcm.private.gdc.goog/org-tenant="gemini" à la ressource personnalisée Organization de l'organisation Gemini :
```
KUBECONFIG=ROOT_ADMIN_KUBECONFIG_PATH
GEMINI_ORG_NAME=GEMINI_ORGANIZATION_NAME

kubectl label organization -n gpc-system ${GEMINI_ORG_NAME:?} \
  lcm.private.gdc.goog/org-tenant="gemini" --kubeconfig ${KUBECONFIG:?}
```
Remplacez les éléments suivants :
- ROOT_ADMIN_KUBECONFIG_PATH : chemin d'accès au fichier kubeconfig du cluster d'administrateur racine.
- GEMINI_ORGANIZATION_NAME : nom de l'organisation Gemini.

Vérifiez si le cluster d'infrastructure de l'organisation Gemini est opérationnel :

kubectl get cluster/${GEMINI_ORG_NAME:?}-admin -n ${GEMINI_ORG_NAME:?}

L'exemple de résultat suivant montre une organisation Gemini nommée org-1 :

NAMESPACE   NAME          ABM VERSION        DESIRED ABM VERSION   CLUSTER STATE
org-1       org-1-admin   1.30.500-gke.128   1.30.500-gke.128      Running

Trouve tous les nœuds de calcul qui ont un GPU H200 configuré dans le cluster d'infrastructure de l'organisation Gemini :
```
KUBECONFIG=GEM_ORG_CP_KUBECONFIG_PATH

kubectl --kubeconfig ${KUBECONFIG:?} get nodes \
  -o json | jq -r \
  '.items[] | select(.status.capacity."nvidia.com/gpu-pod-NVIDIA_H200"=="8") | .metadata.name'
```
Remplacez GEM_ORG_CP_KUBECONFIG_PATH par le chemin d'accès au fichier kubeconfig du cluster d'infrastructure de l'organisation pour l'organisation Gemini.
Appliquez le libellé gemini.gdc.goog/large-gemini=true à tous les nœuds de calcul avec des GPU H200 que vous avez obtenus à partir de la commande précédente :
```
NODE_NAME=H200_WORKER_NODE_NAME

kubectl label node ${NODE_NAME:?} \
  "gemini.gdc.goog/large-gemini=true" \
  --kubeconfig ${KUBECONFIG:?}
```
Remplacez H200_WORKER_NODE_NAME par le nom du nœud de calcul équipé d'un GPU H200.

Important : Vous devez exécuter cette commande pour tous les nœuds de calcul équipés d'un GPU H200.

Remplacer les portes de fonctionnalités pour les composants Gemini utilisables

Une fois que vous avez provisionné l'organisation Gemini et confirmé qu'elle a l'état READY, vous devez remplacer les feature gates pour activer les composants opérationnels dans l'organisation Gemini ou client.

Le tableau suivant récapitule les runbooks que vous devez suivre pour remplacer les feature flags et activer les composants opérationnels :

Composant utilisable	Organisation cible	Documentation de référence du runbook
`GEMINI`	Organisation Gemini	GEMINI-F0001
`AICS`	Organisation du client	AICS-F0001
`GPU`	Organisation Gemini	GPU-F0001

Générer des clés de chiffrement

La génération de la clé de chiffrement pour une organisation est une opération ponctuelle. Si vous réexécutez la commande, le système ne pourra plus déchiffrer les modèles importés. Pour générer la clé, vous devez exécuter un job dans la nouvelle organisation que vous venez de créer.

KUBECONFIG=GEM_ORG_CP_KUBECONFIG_PATH
kubectl --kubeconfig=${KUBECONFIG:?} -n gemini create job --from=cronjob/gemini-weights-transfer-keygen

Une fois le job terminé, vous devriez pouvoir lire la clé à l'aide de la commande suivante.

KUBECONFIG=GEM_ORG_CP_KUBECONFIG_PATH
kubectl --kubeconfig=${KUBECONFIG:?} -n gemini-system \
  logs job.batch/gemini-weights-transfer-keygen \
  | grep -oP '<PublicKey.*?</PublicKey>' | head -n 1