パブリック IP アドレスを持たない TPU VM に接続する
組織に constraints/compute.vmExternalIpAccess 組織ポリシーの制約がある場合は、外部 IP アドレスを持たない TPU VM を作成する必要があります。外部 IP アドレスを持たない TPU VM に接続するには、次の操作を行う必要があります。
- TPU VM を作成するサブネットで限定公開の Google アクセスを有効にします。
- TPU VM に接続するユーザーに
roles/iap.tunnelResourceAccessorとroles/tpu.adminを付与します。 - パブリック IP アドレスを使用せずに TPU VM を作成します。
--tunnel-through-iapを使用して TPU VM に SSH 接続します。
プライベート サービス アクセスを有効にする
IAP を使用するには、限定公開の Google アクセスを有効にして、外部 IP アドレスを持たない VM に接続できるようにする必要があります。次のコマンドで、your-subnet を TPU VM を作成するサブネットの名前に、your-region を TPU VM を配置するリージョンに置き換えます。
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
権限を付与する
パブリック IP アドレスを持たない TPU VM に SSH 接続する必要があるユーザーには、iap.tunnelResourceAccessor ロールを付与する必要があります。ロールの付与の詳細については、IAM ロールの付与をご覧ください。
パブリック IP アドレスを使用せずに TPU VM を作成する
次のコマンドは、パブリック IP アドレスを持たない TPU VM の作成方法を示しています。
gcloud compute tpus tpu-vm create tpu-vm-name \ --zone $ZONE \ --project your-project \ --internal-ips \ --version tpu-vm-tf-2.17.0-pjrt \ --accelerator-type v2-8 \ --subnetwork your-subnet \
IAP トンネリングを使用して TPU VM に SSH 接続する
次のコマンドは、IAP トンネリングを使用して TPU VM に SSH 接続する方法を示しています。
gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap