连接到没有公共 IP 地址的 TPU 虚拟机
如果贵组织有 constraints/compute.vmExternalIpAccess 组织政策限制,您需要创建没有外部 IP 地址的 TPU 虚拟机。如需连接到没有外部 IP 地址的 TPU 虚拟机,您需要:
- 为您要创建 TPU 虚拟机的子网启用专用 Google 访问通道。
- 向将连接到 TPU 虚拟机的用户授予
roles/iap.tunnelResourceAccessor和roles/tpu.admin。 - 创建没有公共 IP 地址的 TPU 虚拟机。
- 使用
--tunnel-through-iap通过 SSH 连接到 TPU 虚拟机。
启用专用服务访问通道
如需使用 IAP,您必须启用专用 Google 访问通道,以便连接到没有外部 IP 地址的虚拟机。在以下命令中,将 your-subnet 替换为您将在其中创建 TPU 虚拟机的子网的名称,将 your-region 替换为 TPU 虚拟机所在的区域。
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
授予权限
需要通过 SSH 连接到没有公共 IP 地址的 TPU 虚拟机的用户必须被授予 iap.tunnelResourceAccessor 角色。如需详细了解如何授予角色,请参阅授予 IAM 角色。
创建没有公共 IP 地址的 TPU 虚拟机
以下命令展示了如何创建没有公共 IP 地址的 TPU 虚拟机。
gcloud compute tpus tpu-vm create tpu-vm-name \ --zone $ZONE \ --project your-project \ --internal-ips \ --version tpu-vm-tf-2.18.0-pjrt \ --accelerator-type v2-8 \ --subnetwork your-subnet \
使用 IAP 隧道通过 SSH 连接到 TPU 虚拟机
以下命令展示了如何使用 IAP 隧道通过 SSH 连接到 TPU 虚拟机。
gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap