连接到没有公共 IP 地址的 TPU 虚拟机
如果贵组织有 constraints/compute.vmExternalIpAccess 组织政策限制,您需要创建没有外部 IP 地址的 TPU 虚拟机。如需连接到没有外部 IP 地址的 TPU 虚拟机,您需要满足以下条件:
- 为您要创建 TPU 虚拟机的子网启用专用 Google 访问通道。
- 将
roles/iap.tunnelResourceAccessor和roles/tpu.admin授予符合以下条件的用户: 将连接到 TPU 虚拟机。 - 创建没有公共 IP 地址的 TPU 虚拟机。
- 使用
--tunnel-through-iap通过 SSH 连接到 TPU 虚拟机。
启用专用服务访问通道
要使用 IAP,您必须启用专用 Google 访问通道,以便连接到 没有外部 IP 地址的虚拟机。在以下命令中,将 your-subnet 替换为您将要创建 TPU 虚拟机的子网的名称,将 your-region 替换为 TPU 虚拟机所在的区域。
gcloud compute networks subnets update your-subnet \ --region=your-region \ --enable-private-ip-google-access
授予权限
需要通过 SSH 连接到没有公共 IP 地址的 TPU 虚拟机的用户必须获得 iap.tunnelResourceAccessor 角色。如需详细了解如何授予角色,请参阅 授予 IAM 角色。
创建没有公共 IP 地址的 TPU 虚拟机
以下命令展示了如何创建没有公共 IP 地址的 TPU 虚拟机。
gcloud compute tpus tpu-vm create tpu-vm-name \ --zone $ZONE \ --project your-project \ --internal-ips \ --version tpu-vm-tf-2.17.0-pjrt \ --accelerator-type v2-8 \ --subnetwork your-subnet \
使用 IAP 隧道通过 SSH 连接到 TPU 虚拟机
以下命令展示了如何使用 IAP 隧道通过 SSH 连接到 TPU 虚拟机。
gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap