Conéctate a una VM de TPU sin una dirección IP pública
Si la organización tiene una restricción de la política de la organización constraints/compute.vmExternalIpAccess, debes crear VM de TPU que no tengan una dirección IP externa. Para conectarte a una VM de TPU sin una dirección IP externa, debes hacer lo siguiente:
- Habilita el Acceso privado a Google en la subred en la que crearás una VM de TPU.
- Otorga
roles/iap.tunnelResourceAccessoryroles/tpu.admina los usuarios que se conectarán a las VM de TPU. - Crea una VM de TPU sin una dirección IP pública.
- Establece una conexión SSH a tu VM de TPU con
--tunnel-through-iap.
Habilita el acceso privado a servicios
Para usar IAP, debes habilitar el Acceso privado a Google, que te permite conectarte a VM que no tienen direcciones IP externas. En el siguiente comando, reemplaza your-subnet por el nombre de la subred en la que crearás la VM de TPU y your-region por la región donde se ubicará la VM de TPU.
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
Otorga permisos
A los usuarios que necesitan establecer una conexión SSH a las VMs de TPU que no tienen direcciones IP públicas se les debe otorgar el rol iap.tunnelResourceAccessor. Para obtener más información sobre cómo otorgar un rol, consulta Otorga un rol de IAM.
Crear una VM de TPU sin una dirección IP pública
En el siguiente comando, se muestra cómo crear una VM de TPU sin una dirección IP pública.
gcloud compute tpus tpu-vm create tpu-vm-name \ --zone $ZONE \ --project your-project \ --internal-ips \ --version tpu-vm-tf-2.16.1-pjrt \ --accelerator-type v2-8 \ --subnetwork your-subnet \
Establece una conexión SSH a tu VM de TPU con la tunelización IAP
En el siguiente comando, se muestra cómo establecer una conexión SSH a una VM de TPU con la tunelización IAP.
gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap