Verbindung zu einer TPU-VM ohne öffentliche IP-Adresse herstellen
Wenn in Ihrer Organisation die Einschränkung constraints/compute.vmExternalIpAccess einer Organisationsrichtlinie gilt, müssen Sie TPU-VMs ohne externe IP-Adresse erstellen. So stellen Sie eine Verbindung zu einer TPU-VM ohne externe IP-Adresse her:
- Aktivieren Sie den privaten Google-Zugriff für das Subnetz, in dem Sie eine TPU-VM erstellen möchten.
- Weisen Sie Nutzern, die eine Verbindung zu den TPU-VMs herstellen,
roles/iap.tunnelResourceAccessorundroles/tpu.adminzu. - Erstellen Sie eine TPU-VM ohne öffentliche IP-Adresse.
- Stellen Sie mit
--tunnel-through-iapeine SSH-Verbindung zu Ihrer TPU-VM her.
Privaten Dienstzugriff aktivieren
Sie müssen den privaten Google-Zugriff aktivieren, um einen IAP verwenden zu können. Dadurch können Sie eine Verbindung zu VMs herstellen, die keine externen IP-Adressen haben. Ersetzen Sie im folgenden Befehl your-subnet durch den Namen des Subnetzes, in dem Sie die TPU-VM erstellen, und your-region durch die Region, in der sich die TPU-VM befindet.
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
Berechtigungen erteilen
Nutzern, die eine SSH-Verbindung zu TPU-VMs ohne öffentliche IP-Adressen herstellen müssen, muss die Rolle „iap.tunnelResourceAccessor“ gewährt werden. Weitere Informationen zum Zuweisen einer Rolle finden Sie unter IAM-Rolle zuweisen.
TPU-VM ohne öffentliche IP-Adresse erstellen
Der folgende Befehl zeigt, wie Sie eine TPU-VM ohne öffentliche IP-Adresse erstellen.
gcloud compute tpus tpu-vm create \ --project your-project \ --zone $ZONE \ --internal-ips \ --version 2.11.0 \ --accelerator-type v2-8 \ --subnetwork your-subnet \ $NAME
SSH-Verbindung zur TPU-VM mit IAP-Tunneling herstellen
Der folgende Befehl zeigt, wie Sie mit IAP-Tunneling eine SSH-Verbindung zu einer TPU-VM herstellen.
gcloud alpha compute tpus tpu-vm ssh my-tpu-vm --tunnel-through-iap