Conectar-se a uma VM da TPU sem um endereço IP público

Se a organização tiver uma restrição de política da organização constraints/compute.vmExternalIpAccess, você precisará criar VMs de TPU que não tenham um endereço IP externo. Para se conectar a uma VM de TPU sem um endereço IP externo, você precisa:

  1. Ative o Acesso privado do Google para a sub-rede em que você criará uma VM de TPU.
  2. Conceda roles/iap.tunnelResourceAccessor e roles/tpu.admin a usuários que se conectarão às VMs da TPU.
  3. Crie uma VM da TPU sem um endereço IP público.
  4. Conecte-se por SSH à sua VM de TPU usando --tunnel-through-iap.

Ativar o acesso a serviços particulares

Para usar um IAP, ative o Acesso privado do Google. Isso permite que você se conecte a VMs que não tenham endereços IP externos. No comando a seguir, substitua your-subnet pelo nome da sub-rede em que a VM da TPU será criada e your-region pela região em que a VM da TPU estará localizada.

gcloud compute networks subnets update your-subnet \
--region=your-region \
--enable-private-ip-google-access

Conceder permissões

Os usuários que precisam se conectar por SSH a VMs de TPU que não tenham endereços IP públicos precisam receber o papel iap.tunnelResourceAccessor. Para mais informações sobre como conceder um papel, consulte Como conceder um papel do IAM.

Criar uma VM da TPU sem um endereço IP público

O comando a seguir mostra como criar uma VM de TPU sem endereço IP público.

gcloud alpha compute tpus tpu-vm create \
  --project your-project \
  --zone $ZONE \
  --internal-ips \
  --version tpu-vm-tf-2.6.0 \
  --accelerator-type v2-8 \
  --subnetwork your-subnet \
   $NAME

Execute SSH na VM da TPU usando o encapsulamento do IAP

O comando a seguir mostra como executar SSH em uma VM da TPU usando o tunelamento IAP.

gcloud alpha compute tpus tpu-vm ssh my-tpu-vm --tunnel-through-iap