Verbindung zu einer TPU-VM ohne öffentliche IP-Adresse herstellen

Wenn in Ihrer Organisation die Organisationsrichtlinie constraints/compute.vmExternalIpAccess gilt, müssen Sie TPU-VMs ohne externe IP-Adresse erstellen. Wenn Sie eine Verbindung zu einer TPU-VM ohne externe IP-Adresse herstellen möchten, müssen Sie Folgendes tun:

  1. Aktivieren Sie Privaten Google-Zugriff für das Subnetz, in dem Sie eine TPU-VM erstellen werden.
  2. Gewähren Sie Nutzern, die eine Verbindung zu den TPU-VMs herstellen, roles/iap.tunnelResourceAccessor und roles/tpu.admin.
  3. Erstellen Sie eine TPU-VM ohne öffentliche IP-Adresse.
  4. Stellen Sie eine SSH-Verbindung zu Ihrer TPU-VM mit --tunnel-through-iap her.

Privaten Dienstzugriff aktivieren

Damit Sie einen IAP verwenden können, müssen Sie den privater Google-Zugriff aktivieren, mit dem Sie eine Verbindung zu VMs herstellen können, die keine externen IP-Adressen haben. Ersetzen Sie im folgenden Befehl your-subnet durch den Namen des Subnetzes, in dem Sie die TPU-VM erstellen, und your-region durch die Region, in der sich die TPU-VM befindet.

gcloud compute networks subnets update your-subnet \
--region=your-region \
--enable-private-ip-google-access

Berechtigungen erteilen

Nutzern, die eine SSH-Verbindung zu TPU-VMs ohne öffentliche IP-Adressen herstellen müssen, muss die Rolle „iap.tunnelResourceAccessor“ gewährt werden. Weitere Informationen zum Zuweisen einer Rolle finden Sie unter IAM-Rolle zuweisen.

TPU-VM ohne öffentliche IP-Adresse erstellen

Der folgende Befehl zeigt, wie Sie eine TPU-VM ohne öffentliche IP-Adresse erstellen.

gcloud compute tpus tpu-vm create tpu-vm-name \
  --zone $ZONE \
  --project your-project \
  --internal-ips \
  --version tpu-vm-tf-2.13.0 \
  --accelerator-type v2-8 \
  --subnetwork your-subnet \

Mit IAP-Tunneling eine SSH-Verbindung zu Ihrer TPU-VM herstellen

Der folgende Befehl zeigt, wie Sie mithilfe von IAP-Tunneling eine SSH-Verbindung zu einer TPU-VM herstellen können.

gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap