Nesta página, você vai aprender a criar uma organização no Google Distributed Cloud (GDC) com isolamento físico e configurar essa organização para usar o Gemini.
Esta página usa dois termos que se referem a conceitos diferentes: organização do cliente e organização do Gemini. Cada termo é definido da seguinte maneira:
- Organização do cliente: a organização do GDC em que os usuários executam as cargas de trabalho, acessam a infraestrutura da plataforma e usam os serviços da Vertex AI. Para mais informações sobre organizações de clientes, consulte Criar organização de cliente.
- Organização do Gemini: o recurso de organização configurado para executar um servidor de modelo do Gemini. Por motivos de segurança, não é permitido executar cargas de trabalho do usuário nesta organização. Apenas o código de terceiros aprovado pelo Google pode ser executado na organização do Gemini. A organização do Gemini é separada da organização do cliente e segue um modelo de multilocação única, em que cada organização do cliente tem a própria organização correspondente do Gemini.
Para mais informações sobre as diferenças entre organizações, consulte a visão geral do operador.
Antes de começar
Para criar uma organização do Gemini, você precisa do seguinte:
- Uma organização de cliente em funcionamento.
- Um navegador no seu sistema.
- A interface de linha de comando (CLI) do Git.
- A CLI kubectl.
- A CLI gdcloud.
- As ferramentas CLI
jqeyq. Para detalhes sobre a configuração do contêiner de ferramentas, que contémjqeyq, consulte o runbook OOPS-P0065. - As funções necessárias de operador de infraestrutura (IO). Para mais informações sobre esses papéis, consulte Preparar permissões do IAM.
Além disso, verifique se você atende às verificações pré-implantação.
Criar a organização do Gemini
Siga estas etapas para criar uma organização do Gemini:
Siga o guia criar uma organização até concluir a conexão do provedor de identidade do IO à organização com IAC. Essa ação cria uma organização separada que serve como a organização do Gemini em uma única zona. Siga estas diretrizes ao criar a organização:
Um dos servidores disponíveis precisa ser um Dell XE9680 com uma classe de máquina
d3-highgpu1-256-gdc-metal. A primeira etapa das instruções Criar uma organização com IaC fornece um comando para verificar os servidores disponíveis. Se o servidor com a classe de máquinad3-highgpu1-256-gdc-metalnão estiver disponível, consulte Visão geral da expansão dinâmica para conhecer as opções de expansão do servidor. Em seguida, adicione o novo servidor de carga de trabalho.Ao criar uma organização com IaC, depois de criar o recurso personalizado
Organization, adicione a anotaçãoorganizations.resourcemanager.private.gdc.goog/shared-service-cluster-skip-create-cluster: "true"no recurso personalizado para pular a criação de um cluster de serviço compartilhado e otimizar os recursos.Crie o recurso personalizado
OrganizationZonalConfigem uma única zona. Essa zona é usada como a zona do Gemini. A organização do cliente precisa estar na mesma zona, mas também pode ser implantada em mais zonas. Para mais informações, consulte Modelo de implantação multizona para o Gemini.
Adicione o rótulo
lcm.private.gdc.goog/org-tenant="gemini"ao recurso personalizadoOrganizationda organização do Gemini:KUBECONFIG=ROOT_ADMIN_KUBECONFIG_PATH GEMINI_ORG_NAME=GEMINI_ORGANIZATION_NAME kubectl label organization -n gpc-system ${GEMINI_ORG_NAME:?} \ lcm.private.gdc.goog/org-tenant="gemini" --kubeconfig ${KUBECONFIG:?}Substitua:
ROOT_ADMIN_KUBECONFIG_PATH: o caminho para o arquivo kubeconfig do cluster de administrador raiz.GEMINI_ORGANIZATION_NAME: o nome da organização do Gemini.
Verifique se o cluster de infraestrutura da organização do Gemini está em execução:
kubectl get cluster/${GEMINI_ORG_NAME:?}-admin -n ${GEMINI_ORG_NAME:?}A saída a seguir mostra um exemplo para uma organização do Gemini chamada
org-1:NAMESPACE NAME ABM VERSION DESIRED ABM VERSION CLUSTER STATE org-1 org-1-admin 1.30.500-gke.128 1.30.500-gke.128 RunningEncontre todos os nós de trabalho que têm uma GPU H200 configurada no cluster de infraestrutura da organização do Gemini:
KUBECONFIG=GEM_ORG_CP_KUBECONFIG_PATH kubectl --kubeconfig ${KUBECONFIG:?} get nodes \ -o json | jq -r \ '.items[] | select(.status.capacity."nvidia.com/gpu-pod-NVIDIA_H200"=="8") | .metadata.name'Substitua
GEM_ORG_CP_KUBECONFIG_PATHpelo caminho para o arquivo kubeconfig do cluster de infraestrutura da organização do Gemini.Aplique o rótulo
gemini.gdc.goog/large-gemini=truea todos os nós de trabalho com GPUs H200 que você obteve no comando anterior:NODE_NAME=H200_WORKER_NODE_NAME kubectl label node ${NODE_NAME:?} \ "gemini.gdc.goog/large-gemini=true" \ --kubeconfig ${KUBECONFIG:?}Substitua
H200_WORKER_NODE_NAMEpelo nome do nó de trabalho com uma GPU H200.
Substituir portões de recursos para componentes operáveis do Gemini
Quando você terminar de provisionar a organização do Gemini e confirmar que ela tem um status READY, será necessário substituir os gates de recursos para ativar os componentes operáveis na organização do Gemini ou do cliente.
A tabela a seguir resume os runbooks que você precisa seguir para substituir os gates de recursos e ativar componentes operáveis:
| Componente operável | Organização de destino | Referência do runbook |
|---|---|---|
GEMINI |
Organização do Gemini | GEMINI-F0001 |
AICS |
Organização do cliente | AICS-F0001 |
GPU |
Organização do Gemini | GPU-F0001 |
Gerar chaves de criptografia
A geração da chave de criptografia para uma organização é uma operação única. Se você executar o comando novamente, o sistema não poderá mais descriptografar os modelos enviados. Para gerar a chave, é necessário executar um job na nova organização que você acabou de criar.
KUBECONFIG=GEM_ORG_CP_KUBECONFIG_PATH
kubectl --kubeconfig=${KUBECONFIG:?} -n gemini create job --from=cronjob/gemini-weights-transfer-keygen
Depois que o job for concluído, você poderá ler a chave usando o seguinte comando:
KUBECONFIG=GEM_ORG_CP_KUBECONFIG_PATH
kubectl --kubeconfig=${KUBECONFIG:?} -n gemini-system \
logs job.batch/gemini-weights-transfer-keygen \
| grep -oP '<PublicKey.*?</PublicKey>' | head -n 1