컨피덴셜 VM에서 GPU를 사용하려면 a3-highgpu-1g 머신 유형을 기반으로 스팟 또는 플렉스 시작 프로비저닝 모델을 사용하여 컨피덴셜 VM 인스턴스를 만들고 Intel TDX를 사용해야 합니다. VM 인스턴스를 만든 후 연결된 GPU에서 컨피덴셜 컴퓨팅 모드를 사용 설정합니다.
스팟 또는 flex-start 모델을 사용하여 VM 인스턴스를 만들려면 다음 단계를 따르세요.
flex-start 모델을 사용하려면 관리형 인스턴스 그룹 (MIG)을 만듭니다. MIG 만들기를 참고하세요.
스팟 모델을 사용하려면 가속기 최적화 스팟 VM 인스턴스를 만듭니다. Spot VM 인스턴스 만들기를 참고하세요.
MIG 만들기
시작하기 전에
- 요청 중인 리소스에 대해 GPU 할당량이 충분한지 확인하려면 GPU 할당량을 확인하세요.
GPU가 있는 기밀 VM 인스턴스의 경우 리소스를 사용하려면 선점형 GPU 할당량을 요청하세요. GPU 할당량을 요청하는 경우 각 리전에 생성하려는 GPU 모델의 할당량 외에도 모든 리전에 있는 모든 유형의 총 GPU 수에 적용할 전역 할당량 (
GPUs (all regions))을 추가로 요청해야 합니다. - 할당량 소비를 알아보려면 GPU VM 및 선점형 배정 할당량을 참고하세요.
- MIG를 만들기 위한 요구사항과 MIG에서 크기 조절 요청을 만들기 위한 제한사항을 참고하세요.
GPU VM 인스턴스가 포함된 MIG를 만들려면 다음 단계를 완료합니다.
MIG를 만드는 데 필요한 인스턴스 템플릿을 만듭니다.
gcloud
gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \ --machine-type=a3-highgpu-1g \ --image-project=IMAGE_PROJECT \ --image-family=IMAGE_FAMILY_NAME \ --maintenance-policy=TERMINATE \ --reservation-affinity=none \ --boot-disk-size=30G \ --confidential-compute-type=TDX \ --project=PROJECT_ID보안 부팅을 사용 설정하려면 원하는 경우 VM 인스턴스 부팅에
--shielded-secure-boot플래그를 사용할 수 있습니다.다음 값을 제공합니다.
INSTANCE_TEMPLATE_NAME: 새 VM 인스턴스 템플릿의 이름입니다.IMAGE_PROJECT: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud이미지 프로젝트를 사용하는 것이 좋습니다. 원하는 경우 Container-Optimized OS 이미지에confidential-vm-images이미지 프로젝트를 사용할 수 있습니다.IMAGE_FAMILY_NAME: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud이미지 프로젝트를 사용할 때는ubuntu-2204-lts이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts이미지 계열을 사용합니다.PROJECT_ID: 선택사항. VM을 만들 프로젝트의 ID입니다.
REST
컨피덴셜 VM 인스턴스 템플릿을 만들려면 적절한 본문 콘텐츠와 함께 다음 POST 요청을 전송합니다.
HTTP 메서드 및 URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ZONE_NAME/instanceTemplatesJSON 요청 본문:
{ "name": "INSTANCE_TEMPLATE_NAME", "properties": { "confidentialInstanceConfig": { "confidentialInstanceType": "TDX" }, "scheduling": { "onHostMaintenance": "TERMINATE", "provisioningModel": "STANDARD", "automaticRestart": true, "preemptible": false }, "disks": [ { "type": "PERSISTENT", "autoDelete": true, "index": 0, "boot": true, "kind": "compute#attachedDisk", "mode": "READ_WRITE", "initializeParams": { "sourceImage": "projects/IMAGE_PROJECT/global/images/family/IMAGE_FAMILY_NAME", "diskSizeGb": "30" } } ], "networkInterfaces": [ { "name": "nic0", "network": "projects/PROJECT_ID/global/networks/default", "accessConfigs": [ { "name": "external-nat", "type": "ONE_TO_ONE_NAT", "kind": "compute#accessConfig", "networkTier": "PREMIUM" } ], "kind": "compute#networkInterface" } ], "reservationAffinity": { "consumeReservationType": "NO_RESERVATION" }, "canIpForward": false, "machineType": "a3-highgpu-1g", "metadata": { "fingerprint": "3y_uc6s9Qvs=", "kind": "compute#metadata" } } }보안 부팅을 사용 설정하려면 원하는 경우 VM 인스턴스 부팅에 다음 객체를 포함할 수 있습니다.
"shieldedInstanceConfig": { "enableIntegrityMonitoring": true, "enableSecureBoot": true, "enableVtpm": true }다음 값을 제공합니다.
INSTANCE_TEMPLATE_NAME: 새 VM 인스턴스 템플릿의 이름입니다.IMAGE_PROJECT: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud이미지 프로젝트를 사용하는 것이 좋습니다. 원하는 경우 Container-Optimized OS 이미지에confidential-vm-images이미지 프로젝트를 사용할 수 있습니다.IMAGE_FAMILY_NAME: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud이미지 프로젝트를 사용할 때는ubuntu-2204-lts이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts이미지 계열을 사용합니다.PROJECT_ID: 선택사항. VM을 만들 프로젝트의 ID입니다.ZONE: MIG를 만들 수 있는 지원되는 영역입니다.
MIG 및 크기 조절 요청을 만들어 GPU VM 인스턴스를 한 번에 모두 추가합니다.
MIG에 있는 인스턴스를 나열합니다.
gcloud
gcloud compute instance-groups managed list-instances INSTANCE_GROUP_NAME \ --zone=ZONE \ --project=PROJECT_ID다음 값을 제공합니다.
INSTANCE_GROUP_NAME: MIG 이름입니다.ZONE: VM 인스턴스 목록을 가져올 지원되는 영역입니다.PROJECT_ID: 선택사항. VM 인스턴스 목록을 가져올 프로젝트의 ID입니다.
REST
모든 인스턴스를 나열하려면 다음 GET 요청을 전송합니다.
HTTP 메서드 및 URL:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/instanceTemplates인스턴스 목록 범위를 특정 영역으로 제한하려면 다음 GET 요청을 전송합니다.
HTTP 메서드 및 URL:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ZONE/instanceTemplates다음 값을 제공합니다.
ZONE: VM 인스턴스 목록을 가져올 지원되는 영역입니다.PROJECT_ID: VM 인스턴스 목록을 가져올 프로젝트의 ID입니다.
Spot VM 인스턴스 만들기
gcloud
gcloud compute instances create VM_NAME \
--provisioning-model=SPOT \
--image-family=IMAGE_FAMILY_NAME \
--image-project=IMAGE_PROJECT \
--machine-type=a3-highgpu-1g \
--maintenance-policy=TERMINATE \
--boot-disk-size=30G \
--confidential-compute-type=TDX \
다음 값을 제공합니다.
VM_NAME: 새 VM 인스턴스의 이름입니다.IMAGE_PROJECT: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud이미지 프로젝트를 사용하는 것이 좋습니다. 원하는 경우 Container-Optimized OS 이미지에confidential-vm-images이미지 프로젝트를 사용할 수 있습니다.IMAGE_FAMILY_NAME: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud이미지 프로젝트를 사용할 때는ubuntu-2204-lts이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts이미지 계열을 사용합니다.
REST
Spot VM 인스턴스를 만들려면 적절한 본문 콘텐츠와 함께 다음 POST 요청을 전송합니다.
HTTP 메서드 및 URL:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
JSON 요청 본문:
{
"name": "VM_NAME",
"confidentialInstanceConfig": {
"confidentialInstanceType": "TDX"
},
"scheduling": {
"onHostMaintenance": "TERMINATE",
"provisioningModel": "SPOT",
},
"disks": [
{
"type": "PERSISTENT",
"autoDelete": true,
"index": 0,
"boot": true,
"kind": "compute#attachedDisk",
"mode": "READ_WRITE",
"initializeParams": {
"sourceImage": "projects/IMAGE_PROJECT/global/images/family/IMAGE_FAMILY_NAME",
"diskSizeGb": "30"
}
}
],
"networkInterfaces": [
{
"name": "nic0",
"network": "projects/PROJECT_ID/global/networks/default",
"accessConfigs": [
{
"name": "external-nat",
"type": "ONE_TO_ONE_NAT",
"kind": "compute#accessConfig",
"networkTier": "PREMIUM"
}
],
"kind": "compute#networkInterface"
}
],
"machineType": "zones/ZONE/machineTypes/a3-highgpu-1g",
}
다음 값을 제공합니다.
VM_NAME: 새 VM 인스턴스 템플릿의 이름입니다.IMAGE_PROJECT: 지원되는 운영체제 이미지가 포함된 프로젝트입니다. Ubuntu 이미지에는ubuntu-os-cloud이미지 프로젝트를 사용하는 것이 좋습니다. 원하는 경우 Container-Optimized OS 이미지에confidential-vm-images이미지 프로젝트를 사용할 수 있습니다.IMAGE_FAMILY_NAME: 컨피덴셜 VM 지원 운영체제 이미지의 계열입니다.ubuntu-os-cloud이미지 프로젝트를 사용할 때는ubuntu-2204-lts이미지 계열을 사용하는 것이 좋습니다.confidential-vm-images프로젝트의 Container-Optimized OS 이미지의 경우cos-tdx-113-lts이미지 계열을 사용합니다.PROJECT_ID: 선택사항. VM을 만들 프로젝트의 ID입니다.ZONE: VM을 만들 지원되는 영역입니다.
GPU에서 컨피덴셜 컴퓨팅 모드 사용 설정
gcloud compute ssh 명령어를 사용하여 MIG의 VM 인스턴스에 연결합니다.
gcloud compute ssh패키지 목록을 업데이트하고 필요한 도구와 라이브러리를 설치합니다.
sudo apt-get update --yes sudo apt-get install linux-headers-$(uname -r) sudo apt install -y build-essential libxml2 libncurses5-dev pkg-config libvulkan1Linux Kernel Crypto API (LKCA)를 사용 설정하여 GPU와 GPU 드라이버 간의 보안 통신을 구성합니다.
echo "install nvidia /sbin/modprobe ecdsa_generic; /sbin/modprobe ecdh; /sbin/modprobe --ignore-install nvidia" | sudo tee /etc/modprobe.d/nvidia-lkca.conf sudo update-initramfs -uGPU와 GPU 드라이버 간의 보안 프로토콜 및 데이터 모델(SPDM) 연결을 보장하도록 지속성 모드를 사용 설정합니다.
sudo test -f /usr/lib/systemd/system/nvidia-persistenced.service && sudo sed -i "s/no-persistence-mode/uvm-persistence-mode/g" /usr/lib/systemd/system/nvidia-persistenced.service sudo systemctl daemon-reloadLKCA 및 지속성 모드 구성을 적용하도록 VM 인스턴스를 재부팅합니다.
sudo reboot(선택사항) CUDA 샘플을 설치하여 컨피덴셜 컴퓨팅 모드를 사용 설정합니다.
wget -O cuda-samples.tar.gz https://github.com/NVIDIA/cuda-samples/archive/refs/tags/v12.5.tar.gz tar xzvf cuda-samples.tar.gz
다음 단계
- GPU에서 비밀 모드가 사용 설정되어 있는지 확인하는 방법을 알아보세요.