使用第三方憑證建立執行個體
本頁面說明如何使用第三方憑證建立 Vertex AI Workbench 執行個體。
總覽
您可以透過 Workforce Identity Federation 提供的第三方憑證,建立及管理 Vertex AI Workbench 執行個體。員工身分聯盟會使用外部識別資訊提供者 (IdP),透過 Proxy 授予一組使用者存取 Vertex AI Workbench 執行個體的權限。
如要授予 Vertex AI Workbench 執行個體的存取權,請將工作人員集區主體指派給 Vertex AI Workbench 執行個體的服務帳戶。
事前準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
- 使用工作團隊身分集區設定 IdP。
使用 Google Cloud員工身分聯盟控制台建立執行個體。
建立執行個體時,請使用
enable_third_party_identity旗標。使用工作團隊集區提供者登入 Google Cloud 控制台。
前往 Google Cloud 控制台的「Instances」(執行個體) 頁面。
按一下「建立新標籤」。
在「New instance」對話方塊中,按一下「Advanced options」。
在「建立執行個體」對話方塊的「IAM 和安全性」部分,執行下列操作:
確認已選取「服務帳戶」。
清除「Use default Compute Engine service account」(使用預設的 Compute Engine 服務帳戶),然後在「Service account email」(服務帳戶電子郵件) 欄位中,輸入與員工主體相關聯的服務帳戶電子郵件地址。
點選「建立」。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會啟用「Open JupyterLab」(開啟 JupyterLab) 連結。
-
INSTANCE_NAME:Vertex AI Workbench 執行個體的名稱;開頭須為英文字母,後面最多可接 62 個小寫英文字母、數字或連字號 (-),但結尾不得為連字號 PROJECT_ID:您的專案 IDLOCATION:執行個體所在的區域-
VM_IMAGE_PROJECT:VM 映像檔所屬 Google Cloud 專案的 ID,格式為:projects/IMAGE_PROJECT_ID -
VM_IMAGE_NAME:完整圖片名稱;如要尋找特定版本的圖片名稱,請參閱「尋找特定版本」 -
MACHINE_TYPE:執行個體 VM 的機器類型 -
METADATA:要套用至這個執行個體的自訂中繼資料;舉例來說,如要指定開機後指令碼,可以使用post-startup-script中繼資料標記,格式如下:"--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh" -
SERVICE_ACCOUNT_EMAIL:與員工主體相關聯的服務帳戶電子郵件地址 byoid.googleusercontent.com:這個網域只能供透過員工身分集區驗證的使用者使用。這個值會儲存在執行個體的中繼資料欄位proxy-byoid-url中。這個中繼資料值會啟用 Google CloudWorkforce Identity Federation 控制台 (console.cloud.google/) 中的「Open JupyterLab」連結。googleusercontent.com:這個網域只能供透過預設 Google 第一方驗證服務驗證的使用者使用。其值會儲存在執行個體的中繼資料欄位proxy-url中。這個中繼資料值會啟用Google Cloud 控制台 (console.cloud.google.com) 中的「Open JupyterLab」連結。- 如要進一步瞭解用於佈建筆記本的第三方主體,請參閱「員工身分聯盟」。
建立執行個體所需的角色
為確保工作團隊集區主體具備建立 Vertex AI Workbench 執行個體所需的權限,請要求管理員將專案的 Notebooks 管理員 (roles/notebooks.admin) IAM 角色授予工作團隊集區主體。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
管理員或許還可透過自訂角色或其他預先定義的角色,授予工作團隊集區主體必要權限。
使用第三方憑證所需的角色
工作人員集區主體需要存取 Vertex AI Workbench 執行個體的服務帳戶,並具備特定權限。
為確保工作人員集區主體具備必要權限,能使用第三方憑證存取 Vertex AI Workbench 執行個體,請要求管理員在您建立執行個體時指定的服務帳戶中,將下列 IAM 角色授予工作人員集區主體:
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
管理員或許也能透過自訂角色或其他預先定義的角色,將必要權限授予工作團隊集區主體。
使用第三方憑證建立執行個體
如要確保 Vertex AI Workbench 執行個體包含 byoid.googleusercontent.com 網域,請執行下列其中一項操作:
您可以使用Google Cloud 控制台或 gcloud CLI,透過第三方憑證建立 Vertex AI Workbench:
主控台
gcloud
請按照 IAM 指南,使用工作團隊身分集區驗證 gcloud CLI。
--enable-third-party-identity
使用下方的任何指令資料之前,請先替換以下項目:
執行下列指令:
Linux、macOS 或 Cloud Shell
gcloud workbench instances create INSTANCE_NAME \ --project=PROJECT_ID \ --location=LOCATION \ --vm-image-project=VM_IMAGE_PROJECT \ --vm-image-name=VM_IMAGE_NAME \ --machine-type=MACHINE_TYPE \ --metadata=METADATA \ --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud workbench instances create INSTANCE_NAME ` --project=PROJECT_ID ` --location=LOCATION ` --vm-image-project=VM_IMAGE_PROJECT ` --vm-image-name=VM_IMAGE_NAME ` --machine-type=MACHINE_TYPE ` --metadata=METADATA ` --service-account-email=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud workbench instances create INSTANCE_NAME ^ --project=PROJECT_ID ^ --location=LOCATION ^ --vm-image-project=VM_IMAGE_PROJECT ^ --vm-image-name=VM_IMAGE_NAME ^ --machine-type=MACHINE_TYPE ^ --metadata=METADATA ^ --service-account-email=SERVICE_ACCOUNT_EMAIL
如要進一步瞭解如何透過指令列建立執行個體的指令,請參閱 gcloud CLI 說明文件。
Vertex AI Workbench 會建立執行個體並自動啟動。執行個體可供使用時,Vertex AI Workbench 會在 Google Cloud 控制台中啟用「Open JupyterLab」(開啟 JupyterLab) 連結。
使用第三方憑證存取 JupyterLab
新的 Vertex AI Workbench 執行個體會建立兩個不同的 Proxy 網址,網域如下: