连接到没有公共 IP 地址的 TPU 虚拟机

如果您的组织具有 constraints/compute.vmExternalIpAccess 组织政策限制条件,您需要创建没有外部 IP 地址的 TPU 虚拟机。如需连接到没有外部 IP 地址的 TPU 虚拟机,您需要执行以下操作:

  1. 为将在其中创建 TPU 虚拟机的子网启用专用 Google 访问通道
  2. roles/iap.tunnelResourceAccessorroles/tpu.admin 授予将要连接到 TPU 虚拟机的用户。
  3. 创建没有公共 IP 地址的 TPU 虚拟机。
  4. 使用 --tunnel-through-iap 通过 SSH 连接到您的 TPU 虚拟机。

启用专用服务访问通道

如需使用 IAP,您必须启用专用 Google 访问通道,才能连接到没有外部 IP 地址的虚拟机。在以下命令中,将 your-subnet 替换为您将在其中创建 TPU 虚拟机的子网的名称,并将 your-region 替换为 TPU 虚拟机所在的区域。

gcloud compute networks subnets update your-subnet \
--region=your-region \
--enable-private-ip-google-access

授予权限

如果用户需要通过 SSH 连接到没有公共 IP 地址的 TPU 虚拟机,则必须获得 iap.tunnelResourceAccessor 角色。如需详细了解如何授予角色,请参阅授予 IAM 角色

创建没有公共 IP 地址的 TPU 虚拟机

以下命令展示了如何创建没有公共 IP 地址的 TPU 虚拟机。

gcloud compute tpus tpu-vm create tpu-vm-name \
  --zone $ZONE \
  --project your-project \
  --internal-ips \
  --version tpu-vm-tf-2.16.1-pjrt \
  --accelerator-type v2-8 \
  --subnetwork your-subnet \

使用 IAP 隧道通过 SSH 连接到您的 TPU 虚拟机

以下命令展示了如何使用 IAP 隧道通过 SSH 连接到 TPU 虚拟机。

gcloud alpha compute tpus tpu-vm ssh tpu-vm-name --tunnel-through-iap