文档首页> 可信智能计算服务 TICS> 用户指南> 联盟管理> 组建联盟
更新时间:2024-04-02 GMT+08:00
查看PDF
分享

组建联盟

本章节将介绍如何通过TICS平台购买服务并组建联盟。

联盟是联邦计算的载体。合作方只有加入联盟才能参与联邦计算。创建联盟需要配置联盟基本信息,包括联盟的名称,版本类型等。

约束限制

  • 创建联盟时,联盟名在创建者租户范围内唯一,即创建者不能创建同名的联盟。
  • 退出联盟,参与方可单方面的退出联盟,退出联盟时会删除该参与方在这个联盟的所有作业和注册的数据集。
  • 删除联盟时,只有联盟创建者才能删除联盟,且所有租户都选择同意删除,联盟才算删除完成。
  • 若需启用区块链审计服务,请先完成启用区块链审计服务(可选)中发起方角色涉及的操作,再创建联盟。

创建联盟

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧联盟管理,进入联盟管理页面。
  3. 在TICS控制台页面,单击“购买可信智能计算服务”。

    配置购买参数,各参数说明如表1表2所示。
    表1 联盟信息配置参数

    参数名称

    样例

    说明

    区域

    华北-北京四

    选择服务的区域,不同区域的资源之间内网不互通。

    项目

    cn-north-4

    选择该区域内的项目。

    联盟名称

    TICS-test

    由用户自定义,用以区分各个联盟。要求:联盟名称不允许重复,名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。

    区块链存证

    打开

    若您希望联盟启用区块链服务(BCS)来审计任务信息,请打开此选项。

    使用前需要按照启用区块链审计服务(可选)章节的描述完成准备工作。

    BCS服务实例

    -

    选择BCS联盟链。

    通道

    -

    选择邀联盟链邀请租户时选择的通道。

    组织

    -

    选择链代码部署的组织。

    区块链签名证书

    -

    上传签名证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/signcert/xxx.pem”)。

    区块链私钥文件

    -

    上传私钥证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/keystore/xxx_sk”)
    表2 计算节点配置参数

    参数名

    样例

    参数描述

    计费方式

    包年/包月

    当前仅支持“包年/包月”。

    购买时长

    1个月

    支持按月或按年购买。

    自动续费

    -

    支持自动续费。

    • 按月购买时,自动续费周期为1个月。
    • 按年购买时,自动续费周期为1年。

    版本类型

    企业版

    当前可选版本只包含企业版

    计算节点配置相关参数

    计算节点名称

    -

    计算节点别名,由用户自定义,用以区分部署的各个计算节点。要求:名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。

    访问密钥ID(AK)

    -
    用户的身份标识,需要用户去IAM服务自行下载。文件获取方式请参考获取访问密钥章节。AK、SK需与用户当前所在的项目保持一致。
    说明:
    • 如果访问密钥泄露,会带来数据泄露风险。
    • 每个访问密钥只能下载一次,为了账号安全性,建议定期更换访问密钥并妥善保存。

    加密密钥(SK)

    -

    计算节点登录名称

    -

    登录计算节点控制台的用户名。用户可通过“计算节点登录名称”“登录密码”进入计算节点控制台,建立连接器,发布数据。

    登录密码

    -

    登录计算节点控制台的密码。

    确认密码

    -

    与“登录密码”保持一致即可。

    指定开放端口

    -

    计算节点控制台系统的网络端口

    部署配置相关参数

    部署方式

    -
    当前版本支持云租户部署和边缘节点部署。
    • 云租户部署:数据上云的用户可以选择“云租户部署”,可信计算节点部署在华为云租户的虚拟私有云VPC中,可信计算节点组件部署在基于华为云CCE服务的容器中。关于CCE集群的更多信息可参考CCE

      当前仅支持直接创建CCE集群,不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。

      说明:
      • CCE集群的部署规格根据您的业务量自行选择。
      • 所创建CCE集群的虚拟私有云、子网,应与数据源所在云服务(如MRS Hive、DWS等)的虚拟私有云、子网保持一致,以确保网络互通。
      • 自动创建的CCE集群费用不需要单独结算,当前TICS费用已包含CCE集群费用。
    • 边缘节点部署:数据不上云的用户可以选择“边缘节点部署”,数据不需要上传到华为云上,通过纳管节点的方式,即可参与多方安全计算或者联邦学习任务,关于IEF边缘节点的更多信息可参考IEF
      您可参考纳管节点来纳管节点,注意:纳管节点防火墙需要开通30000-65535端口,且需要建立消息端点和消息路由,步骤如下:
      1. 登录IEF服务,选择左侧“边云消息”列,选择“消息端点”。
      2. 创建消息端点,填写相关参数。

        “消息端点类型”选择“边缘端点(ServiceBus)”;

        “消息端点名称”参数值为“tics-agent”;

        “服务端口”参数值为“30000”。

      3. 选择左侧“边云消息”列,单击“消息路由”,勾选“专业版服务实例”,填写相关参数。

        “消息路由名称”参数值为“tics-agent-route”;

        源端点”参数值为“SystemREST”;

        “源端点资源”参数值为“/tics-agent”;

        “目的端点”参数值为“tics-agent”;

        “目的端点资源”参数值为“/”。

    云租户部署参数

    部署规格

    中规格
    • 中规格:适用百万级别数据多方安全计算,五十万内对齐样本联邦建模
    • 大规格:适用千万级别数据多方安全计算,百万级别对齐样本联邦建模

    虚拟私有云

    -

    选择合适的VPC

    子网

    -

    选择合适的子网地址

    NAT网关

    -

    选择子网下NAT网关,若子网下不存在NAT网关,默认新建。

    弹性IP

    -

    选择NAT网关已关联的弹性公网IP。若NAT网关无关联弹性公网IP,默认新建。

    弹性公网IP提供外网访问能力,可以灵活绑定及解绑,随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。

    存储方式

    -

    提供OBS存储和极速文件存储两种持久化存储卷的选择。

    OBS存储

    -

    存储方式选择obs存储时,可以选择自动创建OBS桶,也可以通过下拉框的搜索功能寻找已有的OBS桶。选择已有的OBS桶时,需要确认OBS桶的访问权限中包含读取权限和写入权限,否则其上的联邦作业将会失败。

    卷名

    -

    存储方式选择极速文件存储时,默认选取已有的极速文件存储,也可手动填写SFS ID。

    挂载路径

    -

    存储方式选择极速文件存储时需填写。默认根路径,若自定义路径,请确保该路径在极速文件存储上存在。

    开启AOM日志监控

    -

    开启后可收集可信计算节点日志,推荐开启。

    对接AOM之后,相应的日志存储在AOM平台上,平台每月提供500M的免费空间,超出则计费。具体的计费规则参见计费概述

    节点密码

    -

    设置可信计算节点宿主机的登录密码。

    确认密码

    -

    与“节点密码”保持一致即可。

    边缘节点部署参数

    AI加速卡

    -
    • 不启用:部署常规的CPU规格计算节点
    • 启用:启用边缘节点的AI加速卡,可以大幅减少联邦建模的耗时。通过IEF边缘节点部署时,请确保计算节点的AI加速卡相关功能可用,如需帮助请联系客服或技术支持人员。

    纳管节点

    -

    用户选择边缘节点部署计算节点时呈现此参数。用户通过IEF服务纳管用户侧的边缘节点,用于部署计算节点。使用边缘节点部署方式,请先参考纳管节点执行纳管节点操作。

    主机docker IP

    -

    请前往ief纳管节点,执行命令ifconfig docker0 | grep inet | grep -v 127.0.0.1 | grep -v inet6 | awk '{print $2}' | tr -d "addr:" 填入所得的ip地址

    proxy配置(选填)

    -

    用户选择IEF部署计算节点时,可根据实际情况选填该参数。如果纳管节点使用了网络计算节点,请按照实际情况配置proxy信息,也可在部署成功后,通过配置变更项进行修改,具体操作可参考变更计算节点配置

    存储方式

    -
    选择采用外部文件挂载容器目录的方式。IEF当前仅支持“主机存储”
    • 主机存储:该方式将计算节点所在的集群节点的主机路径,挂载到计算节点容器的目录上。用户需要选择集群中的节点(对应“纳管节点”下拉选)作为挂载节点,此时,部署的计算节点容器会运行到该节点上。同时,用户需要输入“主机路径”,设置该节点的主机挂载目录。计算节点成功部署后,用户可登录集群该节点,访问输入的“主机路径”来进行文件的上传。

    主机路径

    -

    “存储方式”选择“主机存储”时呈现此参数,计算节点成功部署后通过输入的“主机路径”来进行文件的上传。

    例如:“192.168.0.61/tmp”,如何在后台查找该路径请参考登录节点的相关描述。
    说明:

    请确保选择的主机路径具有1000:1000属组权限,否则会影响部分功能使用。

    资源分配策略

    CPU(Cores)

    -

    用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配核数。

    内存(GiB)

    -

    用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配内存。容器预留部分管理资源,作业可用内存最大值设置为内存数值的0.6倍,且向下取整。

  4. 参数配置完成后单击“立即创建”,完成创建联盟操作。用户可在联盟管理页面查看已创建的联盟。

邀请成员

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧联盟管理,进入联盟管理页面。
  3. 在联盟管理页面,打开“我创建的联盟”页签,查找需要邀请合作方的联盟并单击“邀请合作方”

    图1 邀请合作方操作入口

  4. 在弹出的界面配置待邀请的合作方的“租户名称”“租户别名”,保存后单击“确定”,完成邀请合作方操作。

    “租户名称”是指合作方的华为账号,如何获取请参考合作方如何获取租户名称

    “租户别名”是合作方在TICS中的别名,由用户自定义即可,设置该参数的目的是保护合作方的信息安全。
    图2 添加合作方

删除成员

在邀请成员后,如果发现邀请错误且成员未接受邀请,可以将其在联盟中删除。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧联盟管理,进入联盟管理页面。
  3. 在联盟管理页面,打开“我创建的联盟”页签,查找需要删除成员的联盟并单击“邀请合作方”,打开成员列表。

    图3 邀请成员方操作入口

  4. 在弹出的界面单击“已有合作方列表”操作栏的删除图标。

    图4 删除合作方

成员接受邀请

在TICS中,成员需要先接受组织方的邀请加入联盟,然后才能发布数据用于创建作业。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧通知管理,进入通知管理页面。
  3. 浏览通知信息,查找要加入的联盟,单击其所属的“接受邀请”

    图5 通知管理入口

  4. 在TICS页面左侧,依次单击联盟管理 > 我参与的联盟,查看联盟信息。

下载计算节点配置信息

下载计算节点配置信息,下载的信息可在部署计算节点的时候导入。“联盟信息”代表“部署计算节点”属于哪个联盟,用户输入的数据就会在哪个联盟中参与计算。

配置包含联盟证书,用于计算节点之间通信双向认证。证书保证了联盟下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同联盟之间的数据访问。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧通知管理,进入通知管理页面。
  3. 浏览通知信息,单击“下载计算节点配置”,得到agentConfig.zip文件,解压到本地。内容如下:

    • json文件:对应联盟配置,包含“联盟区域”、“联盟名称”、“联盟ID”、“证书密码”等。
    • p12文件:计算节点的密钥文件。
    • jks文件:CA的“证书”,密钥和证书保证了联盟下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同联盟之间的数据访问。
      图6 下载计算节点配置

父主题: 联盟管理
分享:

    相关文档

    相关产品