更新时间:2023-08-11 GMT+08:00
分享

部署计算节点

同一个联盟中的用户,在使用可信计算服务时(多方安全计算和可信联邦学习),需要部署计算节点,将数据上传,作为可信计算服务的输入,通过执行多方安全计算和可信联邦学习作业后,最终拿到结果。

计算节点以容器的形式部署,支持云容器引擎(CCE,Cloud Container Engine)服务和智能边缘平台(IEF,Intelligent EdgeFabric)服务部署,用户可根据数据上云的实际需求,采用合适的计算节点部署方案。
  • 云容器引擎(CCE,Cloud Container Engine)提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运行环境搭建。
  • 智能边缘平台(Intelligent EdgeFabric)通过纳管您的边缘节点,提供将云上应用延伸到边缘的能力,联动边缘和云端的数据,满足客户对边缘计算资源的远程管控、数据处理、分析决策、智能化的诉求。同时,在云端提供统一的设备/应用监控、日志采集等运维能力,为企业提供完整的边缘和云协同的一体化服务的边缘计算解决方案。

前提条件

  1. 本地存在下载好的联盟信息和证书文件,下载方式参考下载计算节点配置信息
  2. 若需将执行过程记录审计至区块链,请确保当前加入的联盟已开启区块链审计服务,同时完成启用区块链审计服务(可选)中对应角色(发起方/参与方)的准备工作,保证当前各参与方均处于区块联盟链中。
  3. 根据实际情况选择部署方式,参考代理部署方式,并执行相关操作。

约束限制

  • IEF边缘节点部署计算节点:

    纳管节点只负责运行TICS的计算节点服务;每个纳管节点,只能运行一个计算节点。

    IEF边缘节点上部署的计算节点不支持创建DWS类型的连接器。

计算节点部署方式

云租户部署

数据上云的用户可以选择“云租户部署”。可信计算节点部署在华为云租户的虚拟私有云VPC中,可信计算节点组件部署在基于华为云CCE服务的容器中。

当前仅支持直接创建CCE集群,不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。

关于CCE集群的更多信息可参考CCE

选择边缘节点部署计算节点:

数据不上云的用户可以选择“边缘节点部署”。数据不需要上传到云上,通过纳管节点的方式,即可参与多方安全计算或者联邦学习任务,关于IEF边缘节点的更多信息可参考IEF

您可参考纳管节点来纳管节点,注意:纳管节点防火墙需要开通30000-65535端口,且需要建立消息端点和消息路由,步骤如下:
  1. 登录IEF服务,选择左侧“边云消息”列,选择“消息端点”。
  2. 创建消息端点,填写相关参数。

    “消息端点类型”选择“边缘端点(ServiceBus)”;

    “消息端点名称”参数值为“tics-agent”;

    “服务端口”参数值为“30000”。

  3. 选择左侧“边云消息”列,单击“消息路由”,勾选“专业版服务实例”,填写相关参数。

    “消息路由名称”参数值为“tics-agent-route”;

    源端点”参数值为“SystemREST”;

    “源端点资源”参数值为“/tics-agent”;

    “目的端点”参数值为“tics-agent”;

    “目的端点资源”参数值为“/”。

部署计算节点

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧通知管理,进入通知管理页面。
  3. 浏览通知信息,在对应联盟通知处单击“前往购买计算节点”,在弹出的页面配置参数。

    图1 部署计算节点
    表1 参数配置说明

    参数名

    参数描述

    计算节点位置相关参数

    区域

    下拉选择用户将计算节点部署在哪个区域。

    项目

    下拉选择用户将计算节点部署在区域下的哪一个项目内。

    计费方式

    选择包年/包月。

    购买时长

    支持按月或按年购买。

    自动续费

    支持自动续费。

    • 按月购买时,自动续费周期为1个月。
    • 按年购买时,自动续费周期为1年。

    版本类型

    当前可选版本只包含企业版

    联盟配置相关参数

    导入联盟配置(可选)

    用户从“前往部署计算节点”进入部署页面则无需该操作。

    其它情况下需在TICS“通知管理”页面,单击“下载计算节点配置”,得到agentConfig.zip文件,本地解压后,导入json文件,联盟配置信息将会自动填充到“区域”(league_region_name)、“联盟名称”(league_name)、“联盟ID”(league_id)。

    联盟区域

    导入配置文件会自动填充,若未导入下拉选择联盟所在的区域即可。可通过在TICS“通知管理”页面,单击“下载计算节点配置”,得到agentConfig.zip文件,本地解压后,打开json文件,查看参数“league_region_name”

    联盟名称

    通过“计算节点配置”文件agentConfig.zip中的json文件获取,参数名为“league_name”

    联盟ID

    通过“计算节点配置”文件agentConfig.zip中的json文件获取,参数名为“league_id”

    计算节点配置相关参数

    计算节点名称

    计算节点别名,由用户自定义,用以区分部署的各个计算节点。要求:名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。

    访问秘钥ID(AK)

    用户的身份标识,需要用户去IAM服务自行下载。文件获取方式请参考参考:获取访问密钥章节。AK、SK需与用户当前所在的项目保持一致。
    说明:
    • 如果访问密钥泄露,会带来数据泄露风险。
    • 每个访问密钥只能下载一次,为了帐号安全性,建议定期更换访问密钥并妥善保存。

    加密秘钥(SK)

    计算节点登录名称

    登录计算节点控制台的用户名。用户可通过“计算节点登录名称”“登录密码”进入计算节点控制台,建立连接器,发布数据。

    登录密码

    登录计算节点控制台的密码。

    确认密码

    与“登录密码”保持一致即可。

    指定开放端口

    计算节点控制台系统的网络端口

    部署配置相关参数

    部署方式

    当前版本支持云租户部署和边缘节点部署。
    • 云租户部署:数据上云的用户可以选择“云租户部署”,可信计算节点部署在华为云租户的虚拟私有云VPC中,可信计算节点组件部署在基于华为云CCE服务的容器中。关于CCE集群的更多信息可参考CCE

      当前仅支持直接创建CCE集群,不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。

      说明:
      • CCE集群的部署规格根据您的业务量自行选择。
      • 所创建CCE集群的虚拟私有云、子网,应与数据源所在云服务(如MRS Hive、DWS等)的虚拟私有云、子网保持一致,以确保网络互通。
      • 自动创建的CCE集群费用不需要单独结算,当前TICS费用已包含CCE集群费用。
    • 边缘节点部署:数据不上云的用户可以选择“边缘节点部署”,数据不需要上传到华为云云上,通过纳管节点的方式,即可参与多方安全计算或者联邦学习任务,关于IEF边缘节点的更多信息可参考IEF
      您可参考纳管节点来纳管节点,注意:纳管节点防火墙需要开通30000-65535端口,且需要建立消息端点和消息路由,步骤如下:
      1. 登录IEF服务,选择左侧“边云消息”列,选择“消息端点”。
      2. 创建消息端点,填写相关参数。

        “消息端点类型”选择“边缘端点(ServiceBus)”;

        “消息端点名称”参数值为“tics-agent”;

        “服务端口”参数值为“30000”。

      3. 选择左侧“边云消息”列,单击“消息路由”,勾选“专业版服务实例”,填写相关参数。

        “消息路由名称”参数值为“tics-agent-route”;

        源端点”参数值为“SystemREST”;

        “源端点资源”参数值为“/tics-agent”;

        “目的端点”参数值为“tics-agent”;

        “目的端点资源”参数值为“/”。

    云租户部署参数

    AI加速卡

    • 不启用:部署常规的CPU规格计算节点
    • NVIDIA GPU:部署GPU规格计算节点,可以大幅减少联邦建模的耗时

    部署规格

    • 中规格:适用百万级别数据多方安全计算,五十万内对齐样本联邦建模
    • 大规格:适用千万级别数据多方安全计算,百万级别对齐样本联邦建模

    虚拟私有云

    选择合适的VPC

    子网

    选择合适的子网地址

    NAT网关

    选择子网下NAT网关,若子网下不存在NAT网关,默认新建。

    弹性IP

    选择NAT网关已关联的弹性公网IP。若NAT网关无关联弹性公网IP,默认新建。

    弹性公网IP提供外网访问能力,可以灵活绑定及解绑,随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。

    存储方式

    提供OBS存储和极速文件存储两种持久化存储卷的选择。

    OBS存储

    存储方式选择obs存储时,可以选择自动创建OBS桶,也可以通过下拉框的搜索功能寻找已有的OBS桶。选择已有的OBS桶时,需要确认OBS桶的访问权限中包含读取权限和写入权限,否则其上的联邦作业将会失败。

    卷名

    存储方式选择极速文件存储时,默认选取已有的极速文件存储,也可手动填写SFS ID。

    挂载路径

    存储方式选择极速文件存储时需填写。默认根路径,若自定义路径,请确保该路径在极速文件存储上存在。

    开启AOM日志监控

    开启后可收集可信计算节点日志,推荐开启。

    对接AOM之后,相应的日志存储在AOM平台上,平台每月提供500M的免费空间,超出则计费。具体的计费规则参见计费概述

    节点密码

    设置可信计算节点宿主机的登录密码。

    确认密码

    与“节点密码”保持一致即可。

    边缘节点部署参数

    AI加速卡

    • 不启用:部署常规的CPU规格计算节点
    • NVIDIA GPU:启用边缘节点的GPU加速卡,可以大幅减少联邦建模的耗时。通过IEF边缘节点部署时,由用户自行确保计算节点的GPU相关功能可用,具体操作可参考边缘节点部署模式下如何配置GPU相关功能

    纳管节点

    用户选择边缘节点部署计算节点时呈现此参数。用户通过IEF服务纳管用户侧的边缘节点,用于部署计算节点。使用边缘节点部署方式,请先参考纳管节点执行纳管节点操作。

    主机docker IP

    请前往ief纳管节点,执行命令ifconfig docker0 | grep inet | grep -v 127.0.0.1 | grep -v inet6 | awk '{print $2}' | tr -d "addr:" 填入所得的ip地址

    proxy配置(选填)

    用户选择IEF部署计算节点时,可根据实际情况选填该参数。如果纳管节点使用了网络计算节点,请按照实际情况配置proxy信息,也可在部署成功后,通过配置变更项进行修改,具体操作可参考变更计算节点配置

    存储方式

    选择采用外部文件挂载容器目录的方式。IEF当前仅支持“主机存储”
    • 主机存储:该方式将计算节点所在的集群节点的主机路径,挂载到计算节点容器的目录上。用户需要选择集群中的节点(对应“纳管节点”下拉选)作为挂载节点,此时,部署的计算节点容器会运行到该节点上。同时,用户需要输入“主机路径”,设置该节点的主机挂载目录。计算节点成功部署后,用户可登陆集群该节点,访问输入的“主机路径”来进行文件的上传。

    主机路径

    “存储方式”选择“主机存储”时呈现此参数,计算节点成功部署后通过输入的“主机路径”来进行文件的上传。

    例如:“192.168.0.61/tmp”,如何在后台查找该路径请参考登录节点的相关描述。
    说明:

    请确保选择的主机路径具有1000:1000属组权限,否则会影响部分功能使用。

    资源分配策略

    CPU(Cores)

    用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配核数。

    内存(GiB)

    用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配内存。容器预留部分管理资源,作业可用内存最大值设置为内存数值的0.6倍,且向下取整。

    区块链配置

    是否开启区块链审计

    勾选该项表示启用区块链审计服务,使用前需要按照“准备工作 >启用区块链审计服务(可选)”章节的描述完成准备工作。

    BCS服务实例

    选择BCS联盟链。

    通道

    选择邀联盟链邀请租户时选择的通道。

    组织

    选择链代码部署的组织。

  4. 点击下一步并提交订单,完成计算节点部署。

    • 计算节点在不同时刻有以下7种状态:部署中,部署失败,启动中,运行中,删除中,删除失败,重启中。
    • 可以在“?”标识处,查看部署计算节点的概要事件信息。
    • 计算节点在部署完成后会向外访问如下地址,发送节点状态信息,用作心跳监测以及执行联邦作业操作命令。

      1.tics.****.myhuaweicloud.com(地址信息以联盟所在region为准)

      2.聚合器ip(联盟创建时自动申请的聚合器公网ip)

分享:

    相关文档

    相关产品