步骤5:联盟成员部署计算节点
同一个联盟中的用户,在使用可信计算服务时(联邦数据分析和联邦机器学习),需要部署计算节点,将自己的数据上传,用于可信计算服务的输入。
部署计算节点
- 联盟成员登录TICS控制台。进入TICS控制台后,单击页面左侧,进入通知管理页面。
- 浏览通知信息,在对应联盟通知处单击“前往购买计算节点”,在弹出的页面配置参数。图1 部署计算节点
表1 参数配置说明 参数名
参数描述
计算节点位置相关参数
区域
下拉选择用户将计算节点部署在哪个区域。
项目
下拉选择用户将计算节点部署在区域下的哪一个项目内。
计费方式
选择包年/包月。
购买时长
支持按月或按年购买。
联盟配置相关参数
导入联盟配置(可选)
用户从“前往部署计算节点”进入部署页面则无需该操作。
其它情况下需在TICS“通知管理”页面,单击“下载计算节点配置”,得到agentConfig.zip文件,本地解压后,导入json文件,联盟配置信息将会自动填充到“区域”(league_region_name)、“联盟名称”(league_name)、“联盟ID”(league_id)。
联盟区域
导入配置文件会自动填充,若未导入下拉选择联盟所在的区域即可。可通过在TICS“通知管理”页面,单击“下载计算节点配置”,得到agentConfig.zip文件,本地解压后,打开json文件,查看参数“league_region_name”。
联盟名称
通过“计算节点配置”文件agentConfig.zip中的json文件获取,参数名为“league_name”。
联盟ID
通过“计算节点配置”文件agentConfig.zip中的json文件获取,参数名为“league_id”。
导入计算节点秘钥(.p12)
在TICS“通知管理”页面,单击“下载计算节点配置”,得到agentConfig.zip文件,本地解压后,点击“添加文件”,将后缀为p12的文件上传。
导入CA证书(.jks)
在TICS“通知管理”页面,单击“下载计算节点配置”,得到agentConfig.zip文件,本地解压后,点击“添加文件”,将后缀为jks的文件上传。
秘钥和证书保证了联盟下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同联盟之间的数据访问。
计算节点配置相关参数
计算节点名称
计算节点别名,由用户自定义,用以区分部署的各个计算节点。要求:名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。
访问秘钥ID(AK)
用户的身份标识,需要用户去IAM服务自行下载。文件获取方式请参考参考:获取访问密钥章节。AK、SK需与用户当前所在的项目保持一致。说明:- 如果访问密钥泄露,会带来数据泄露风险。
- 每个访问密钥只能下载一次,为了帐号安全性,建议定期更换访问密钥并妥善保存。
加密秘钥(SK)
计算节点登录名称
登录计算节点控制台的用户名。用户可通过“计算节点登录名称”和“登录密码”进入计算节点控制台,建立连接器,发布数据。
登录密码
登录计算节点控制台的密码。
确认密码
与“登录密码”保持一致即可。
部署配置相关参数
部署方式
当前版本支持CCE集群部署和IEF边缘节点部署。- CCE集群部署:数据上云的用户可以选择“CCE集群部署”,将数据上传到CCE集群节点,使用可信智能计算服务。关于CCE集群的更多信息可参考CCE。
当前仅支持直接创建CCE集群,不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。
说明:- CCE集群的部署规格根据您的业务量自行选择。
- 所创建CCE集群的虚拟私有云、子网,应与数据源所在云服务(如MRS Hive、DWS等)的虚拟私有云、子网保持一致,以确保网络互通。
- 自动创建的CCE集群费用不需要单独结算,当前TICS费用已包含CCE集群费用。
- IEF边缘节点部署:数据不上云的用户可以选择“IEF边缘节点部署”,数据不需要上传到华为云上,通过纳管节点的方式,即可参与联邦分析或者联邦学习任务,关于IEF边缘节点的更多信息可参考IEF。您可参考纳管节点章节来纳管节点,注意:纳管节点防火墙需要开通30000-65535端口,且需要建立消息端点和消息路由,步骤如下:
CCE集群部署参数
部署规格
- 中规格:适用百万级别数据联邦分析,五十万内对齐样本联邦建模
- 大规格:适用千万级别数据联邦分析,百万级别对齐样本联邦建模
可信节点数
- 高可用:支持可信计算节点主备部署,可靠性高,推荐选择
- 单节点:仅部署一个可信计算节点
虚拟私有云
选择合适的VPC
子网
选择合适的子网地址
NAT网关
选择子网下NAT网关,若子网下不存在NAT网关,默认新建。
节点密码
设置可信计算节点宿主机的登录密码
确认密码
与“节点密码”保持一致即可。
弹性IP
选择NAT网关已关联的弹性公网IP。若NAT网关无关联弹性公网IP,默认新建。
弹性公网IP提供外网访问能力,可以灵活绑定及解绑,随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。
存储方式
提供OBS存储及极速文件存储两种持久化存储卷的选择
OBS存储
存储方式选择obs存储时,默认自动创建OBS桶。
卷名
存储方式选择极速文件存储时,默认选取已有的极速文件存储。
挂载路径
存储方式选择极速文件存储时需填写。默认根路径,若自定义路径,请确保该路径在极速文件存储上存在。
开启AOM日志监控
开启后可收集可信计算节点日志,推荐开启。
弹性IP计费模式
当前仅支持“按流量计费”。
IEF边缘节点部署参数
纳管节点
用户选择IEF边缘节点部署计算节点时呈现此参数。用户通过IEF服务纳管用户侧的边缘节点,用于部署计算节点。使用IEF边缘节点部署方式,请先参考纳管节点执行纳管节点操作。
CPU配额
用户填写容器使用的CPU配额,范围为4~999的正整数。
内存配额
用户填写容器使用的内存配额,范围为8~999的正整数。
主机docker IP
请前往ief纳管节点,执行命令ifconfig docker0 | grep inet | grep -v 127.0.0.1 | grep -v inet6 | awk '{print $2}' | tr -d "addr:" 填入所得的ip地址
proxy配置(选填)
用户选择IEF部署计算节点时,可根据实际情况选填该参数。如果纳管节点使用了网络计算节点,请按照实际情况配置proxy信息,也可在部署成功后,通过配置变更项进行修改,具体操作可参考变更计算节点配置。
存储方式
选择采用外部文件挂载容器目录的方式。IEF当前仅支持“主机存储”。- 主机存储:该方式将计算节点所在的集群节点的主机路径,挂载到计算节点容器的目录上。用户需要选择集群中的节点(对应“挂载节点”下拉选)作为挂载节点,此时,部署的计算节点容器会运行到该节点上。同时,用户需要输入“主机路径”,设置该节点的主机挂载目录。计算节点成功部署后,用户可登陆集群该节点,访问输入的“主机路径”来进行文件的上传。
- OBS存储:用户可使用OBS对象文件存储,并将OBS挂载到计算节点容器目录下,实现文件的上传。默认新建obs桶,计算节点部署成功之后,用户可直接通过OBS对象文件存储服务,进行文件的上传。
- 极速文件存储:用户可使用极速文件存储系统(SFS_TURBO),并将SFS_TURBO挂载到计算节点容器目录下,实现文件的上传。用户点击下拉按钮选择“卷名”,选择已经建立好的SFS_TURBO存储卷与计算节点进行关联。说明:
若用户选择“OBS存储”方式,在此之前,要在OBS对象文件存储中建立了PVC,并与对象桶进行关联。同时为了确保挂载方式使用对象存储桶的可靠性和稳定性,请定期更新密钥(前往CCE服务-存储管理-对象存储卷-更新密钥)。
主机路径
“存储方式”选择“主机存储”时呈现此参数,计算节点成功部署后通过输入的“主机路径”来进行文件的上传。
区块链配置
是否开启区块链审计
勾选该项表示启用区块链审计服务,使用前需要按照“准备工作 >启用区块链审计服务(可选)”章节的描述完成准备工作。
BCS服务实例
选择BCS联盟链。
通道
选择邀联盟链邀请租户时选择的通道。
组织
选择链代码部署的组织。
区块链签名证书
上传签名证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/signcert/xxx.pem”)。
区块链私钥文件
上传私钥证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/keystore/xxx_sk”)
资源分配策略
CPU(Cores)
用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配核数。
内存(GiB)
用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配内存。
- 点击“下一步,订单确认”,完成计算节点部署。
- 计算节点在不同时刻有以下7种状态:部署中,部署失败,启动中,运行中,删除中,删除失败,重启中。
- 可以在“?”标识处,查看部署计算节点的概要事件信息。
