連線至沒有公開 IP 位址的 TPU VM

如果貴機構有 constraints/compute.vmExternalIpAccess 機構政策限制，就必須建立沒有外部 IP 位址的 TPU VM。如要連線至沒有外部 IP 位址的 TPU VM，您必須：

1. 針對要建立 TPU VM 的子網路啟用私人 Google 存取權。
2. 將 roles/iap.tunnelResourceAccessor 和 roles/tpu.admin 授予將連線至 TPU VM 的使用者。
3. 建立沒有公開 IP 位址的 TPU VM。
4. 使用 --tunnel-through-iap 選項連線至 TPU VM。

啟用 Private Google Access

如要使用 IAP，您必須啟用私人 Google 存取權，才能連線至沒有外部 IP 位址的 VM。在下列指令中，將 your-subnet 替換為您要建立 TPU VM 的子網路名稱，並將 your-region 替換為 TPU VM 所在的地區。

gcloud compute networks subnets update your-subnet \
--region=your-region \
--enable-private-ip-google-access

授予權限

如要使用 SSH 連線至沒有公開 IP 位址的 TPU VM，使用者必須獲得 iap.tunnelResourceAccessor 角色。如要進一步瞭解如何授予角色，請參閱「授予 IAM 角色」。

建立沒有公開 IP 位址的 TPU VM

以下指令說明如何建立沒有公開 IP 位址的 TPU VM。

gcloud compute tpus tpu-vm create tpu-vm-name \
  --zone $ZONE \
  --project your-project \
  --internal-ips \
  --version tpu-vm-tf-2.17.1-pjrt \
  --accelerator-type v2-8 \
  --subnetwork your-subnet \

使用 SSH 搭配 Identity-Aware Proxy 通道連線至 TPU VM

下列指令說明如何使用 IAP 隧道連線至 TPU VM。

gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap