使用 SSH 访问 JupyterLab

当您没有 JupyterLab 实例的 HTTPS 访问权限时,必须使用 SSH 建立连接。

如需设置 SSH 端口转发,请完成以下步骤,然后通过本地浏览器访问您的 JupyterLab 会话:

  1. 使用您的首选终端或 Cloud Shell 中的 Google Cloud CLI 运行以下命令:

    gcloud compute ssh \
        --project PROJECT_ID \
        --zone ZONE \
        INSTANCE_NAME \
        -- -L 8080:localhost:8080

    替换以下内容:

  1. 通过本地浏览器访问您的 JupyterLab 会话:

    • 如果您在本地机器上运行该命令,请通过访问 https://localhost:8080 来访问 JupyterLab。

    • 如果您使用 Cloud Shell 运行了该命令,请通过端口 8080 进行 网页预览来访问 JupyterLab。

您可能不具有 HTTPS 访问权限的原因

如需获取对 JupyterLab 的 HTTPS 访问权限,您的用户管理的笔记本实例必须能够访问 Google Cloud 代理服务。该实例启动时,它会尝试向代理服务自行进行注册。如果该实例未能获取代理访问权限,用户管理的笔记本实例会提示您通过 SSH 访问 JupyterLab。

以下是您可能不具有对 JupyterLab 的 HTTPS 访问权限的常见原因:

  • 您的 JupyterLab 实例的代理模式元数据设置不正确。

  • 您的网络配置为阻止对运行 JupyterLab 笔记本的虚拟机 (VM) 的互联网访问。

  • 用户管理的笔记本实例没有外部 IP 地址。

  • 您的 VPC Service Controls 设置阻止对 Artifact Registry 的访问。

以下部分介绍了如何解决这些问题。

为使更改生效,您可能需要在尝试解决这些问题时重启笔记本的虚拟机。

您的 JupyterLab 实例的代理模式元数据设置不正确

默认情况下,在您使用用户管理的笔记本创建 JupyterLab 实例时,Vertex AI Workbench 会添加代理模式元数据设置。如果您更改或移除代理模式元数据设置,则用户管理的笔记本实例将无法连接到代理服务。

如需确保您的代理模式元数据设置有效,请完成以下步骤:

  1. 在 Google Cloud 控制台中,转到用户管理的笔记本页面。

    转到“用户管理的笔记本”

  2. 选择您需要修改的实例。

  3. 查看虚拟机详情旁边,点击在 Compute Engine 中查看

  4. 在“虚拟机详情”页面上,点击修改

  5. 元数据部分中,添加或修改元数据以确保存在 proxy-mode entryset to the correct value, for example:project_editors。

    详细了解 proxy-mode 元数据条目的可能值

  6. 点击保存

网络阻止互联网访问

您的 JupyterLab 实例通过公共网址访问代理服务。如果您的 Virtual Private Cloud 网络设置阻止访问公共互联网,或者您的防火墙规则阻止出站流量,您必须使用 SSH 才能访问您的用户管理的笔记本实例。如果可能,建议您与网络和防火墙管理员协作,以允许通过公共互联网访问您的用户管理的笔记本实例。

用户管理的笔记本实例没有外部 IP 地址

您可能创建了没有外部 IP 地址的用户管理的笔记本实例。如果您需要更改此设置,请完成以下步骤。

  1. 在 Google Cloud 控制台中,转到用户管理的笔记本页面。

    转到“用户管理的笔记本”

  2. 点击您需要修改的实例的名称。

  3. 点击查看虚拟机详细信息

  4. 点击修改

  5. 网络接口部分中,展开您希望具有外部 IP 地址的网络。

  6. 点击外部 IP 地址下拉菜单,然后选择所需的选项。如需解决此问题,您不能选择

  7. 网络接口部分中,点击完成

  8. 点击保存

VPC Service Controls 设置阻止对 Artifact Registry 的访问

为了连接到代理服务,您的用户管理的实例会运行从 Artifact Registry 下载的代理。如果没有此代理,您的实例将无法连接到代理服务。

如果您的 VPC Service Controls 设置阻止了对 Artifact Registry 的访问,您必须将 Artifact Registry 服务添加到您的 VPC Service Controls 的服务边界。 详细了解服务边界的工作原理以及 VPC Service Controls 可用于确保其安全的服务

更多问题排查

如果连接仍有问题,请尝试查看虚拟机的控制台日志。这些日志可能会帮助您了解用户管理的笔记本实例无法向代理服务注册的原因。

要访问这些日志,请完成以下步骤:

  1. 在 Google Cloud 控制台中,转到用户管理的笔记本页面。

    转到“用户管理的笔记本”

  2. 选择要进行问题排查的实例。

  3. 日志中,点击串行端口 1(控制台)

后续步骤

如需了解如何解决其他问题,请参阅关于用户管理的笔记本的问题排查部分