更新时间:2022-05-13 GMT+08:00
分享

组建联盟

本章节将介绍如何通过TICS平台购买服务并组建联盟。

联盟是联邦计算的载体。合作方只有加入联盟才能参与联邦计算。创建联盟需要配置联盟基本信息,包括联盟的名称,版本类型等。

约束限制

  • 创建联盟时,联盟名在创建者租户范围内唯一,即创建者不能创建同名的联盟。
  • 退出联盟,参与方可单方面的退出联盟,退出联盟时会删除该参与方在这个联盟的所有作业和注册的数据集。
  • 删除联盟时,只有联盟创建者才能删除联盟,且所有租户都选择同意删除,联盟才算删除完成。
  • 若需启用区块链审计服务,请先完成启用区块链审计服务(可选)中发起方角色涉及的操作,再创建联盟。

创建联盟

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧联盟管理,进入联盟管理页面。
  3. 在TICS控制台页面,单击购买可信智能计算服务”

    配置购买参数,各参数说明如表1表2所示。
    表1 联盟信息配置参数

    参数名称

    样例

    说明

    区域

    华北-北京四

    -

    选择服务的区域,不同区域的资源之间内网不互通。

    项目

    cn-north-4

    选择该区域内的项目。

    联盟名称

    TICS-test

    由用户自定义,用以区分各个联盟。要求:联盟名称不允许重复,名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。

    版本类型

    企业版

    当前可选版本只包含企业版

    集群类型

    混合集群

    目前可选集群包括CCE集群、鲲鹏集群。

    区块链存证

    打开

    若您希望联盟启用区块链服务(BCS)来审计任务信息,请打开此选项。

    使用前需要按照启用区块链审计服务(可选)章节的描述完成准备工作。

    BCS服务实例

    -

    选择BCS联盟链。

    通道

    -

    选择邀联盟链邀请租户时选择的通道。

    组织

    -

    选择链代码部署的组织。

    区块链签名证书

    -

    上传签名证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/signcert/xxx.pem”)。

    区块链私钥文件

    -

    上传私钥证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/keystore/xxx_sk”)

    表2 计算节点配置参数

    参数名

    样例

    参数描述

    计费方式

    包年/包月

    当前仅支持“包年/包月”。

    购买时长

    1个月

    支持按月或按年购买。

    自动续费

    -

    支持自动续费。

    • 按月购买时,自动续费周期为1个月。
    • 按年购买时,自动续费周期为1年。

    计算节点配置相关参数

    计算节点名称

    -

    计算节点别名,由用户自定义,用以区分部署的各个计算节点。要求:名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。

    访问秘钥ID(AK)

    -

    用户的身份标识,需要用户去IAM服务自行下载。文件获取方式请参考获取访问密钥章节。AK、SK需与用户当前所在的项目保持一致。
    说明:
    • 如果访问密钥泄露,会带来数据泄露风险。
    • 每个访问密钥只能下载一次,为了帐号安全性,建议定期更换访问密钥并妥善保存。

    加密秘钥(SK)

    -

    计算节点登录名称

    -

    登录计算节点控制台的用户名。用户可通过“计算节点登录名称”“登录密码”进入计算节点控制台,建立连接器,发布数据。

    登录密码

    -

    登录计算节点控制台的密码。

    确认密码

    -

    与“登录密码”保持一致即可。

    部署配置相关参数

    部署方式

    -

    当前版本支持CCE集群部署和IEF边缘节点部署。
    • CCE集群部署:数据上云的用户可以选择“CCE集群部署”,将数据上传到CCE集群节点,使用可信智能计算服务。关于CCE集群的更多信息可参考CCE

      当前仅支持直接创建CCE集群,不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。

      说明:
      • CCE集群的部署规格根据您的业务量自行选择。
      • 所创建CCE集群的虚拟私有云、子网,应与数据源所在云服务(如MRS Hive、DWS等)的虚拟私有云、子网保持一致,以确保网络互通。
      • 自动创建的CCE集群费用不需要单独结算,当前TICS费用已包含CCE集群费用。
    • IEF边缘节点部署:数据不上云的用户可以选择“IEF边缘节点部署”,数据不需要上传到华为云上,通过纳管节点的方式,即可参与联邦分析或者联邦学习任务,关于IEF边缘节点的更多信息可参考IEF
      您可参考纳管节点章节来纳管节点,注意:纳管节点防火墙需要开通30000-65535端口,且需要建立消息端点和消息路由,步骤如下:
      1. 登录IEF服务,选择左侧“边云消息”列,选择“消息端点”。
      2. 创建消息端点,填写相关参数。

        “消息端点类型”选择“边缘端点(ServiceBus)”;

        “消息端点名称”参数值为“tics-agent”;

        “服务端口”参数值为“30000”。

      3. 选择左侧“边云消息”列,单击“消息路由”,勾选“专业版服务实例”,填写相关参数。

        “消息路由名称”参数值为“tics-agent-route”;

        源端点”参数值为“SystemREST”;

        “源端点资源”参数值为“/tics-agent”;

        “目的端点”参数值为“tics-agent”;

        “目的端点资源”参数值为“/”。

    CCE集群部署参数

    部署规格

    中规格

    • 中规格:适用百万级别数据联邦分析,五十万内对齐样本联邦建模
    • 大规格:适用千万级别数据联邦分析,百万级别对齐样本联邦建模

    可信节点数

    -

    • 高可用:支持可信计算节点主备部署,可靠性高,推荐选择
    • 单节点:仅部署一个可信计算节点

    虚拟私有云

    -

    选择合适的VPC

    子网

    -

    选择合适的子网地址

    NAT网关

    -

    选择子网下NAT网关,若子网下不存在NAT网关,默认新建。

    节点密码

    -

    设置可信计算节点宿主机的登录密码

    确认密码

    -

    与“节点密码”保持一致即可。

    弹性IP

    -

    选择NAT网关已关联的弹性公网IP。若NAT网关无关联弹性公网IP,默认新建。

    弹性公网IP提供外网访问能力,可以灵活绑定及解绑,随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。

    存储方式

    -

    提供OBS存储及极速文件存储两种持久化存储卷的选择

    OBS存储

    -

    存储方式选择obs存储时,默认自动创建OBS桶。

    卷名

    -

    存储方式选择极速文件存储时,默认选取已有的极速文件存储。

    挂载路径

    -

    存储方式选择极速文件存储时需填写。默认根路径,若自定义路径,请确保该路径在极速文件存储上存在。

    开启AOM日志监控

    -

    开启后可收集可信计算节点日志,推荐开启。

    IEF边缘节点部署参数

    纳管节点

    -

    用户选择IEF边缘节点部署计算节点时呈现此参数。用户通过IEF服务纳管用户侧的边缘节点,用于部署计算节点。使用IEF边缘节点部署方式,请先参考纳管节点执行纳管节点操作。

    CPU配额

    -

    用户填写容器使用的CPU配额,范围为4~999的正整数。

    内存配额

    -

    用户填写容器使用的内存配额,范围为8~999的正整数。

    主机docker IP

    -

    请前往ief纳管节点,执行命令ifconfig docker0 | grep inet | grep -v 127.0.0.1 | grep -v inet6 | awk '{print $2}' | tr -d "addr:" 填入所得的ip地址

    proxy配置(选填)

    -

    用户选择IEF部署计算节点时,可根据实际情况选填该参数。如果纳管节点使用了网络计算节点,请按照实际情况配置proxy信息,也可在部署成功后,通过配置变更项进行修改,具体操作可参考变更计算节点配置

    存储方式

    -

    选择采用外部文件挂载容器目录的方式。IEF当前仅支持“主机存储”
    • 主机存储:该方式将计算节点所在的集群节点的主机路径,挂载到计算节点容器的目录上。用户需要选择集群中的节点(对应“挂载节点”下拉选)作为挂载节点,此时,部署的计算节点容器会运行到该节点上。同时,用户需要输入“主机路径”,设置该节点的主机挂载目录。计算节点成功部署后,用户可登陆集群该节点,访问输入的“主机路径”来进行文件的上传。
    • OBS存储:用户可使用OBS对象文件存储,并将OBS挂载到计算节点容器目录下,实现文件的上传。默认新建obs桶,计算节点部署成功之后,用户可直接通过OBS对象文件存储服务,进行文件的上传。
    • 极速文件存储:用户可使用极速文件存储系统(SFS_TURBO),并将SFS_TURBO挂载到计算节点容器目录下,实现文件的上传。用户点击下拉按钮选择“卷名”,选择已经建立好的SFS_TURBO存储卷与计算节点进行关联。
      说明:

      若用户选择“OBS存储”方式,在此之前,要在OBS对象文件存储中建立了PVC,并与对象桶进行关联。同时为了确保挂载方式使用对象存储桶的可靠性和稳定性,请定期更新密钥(前往CCE服务-存储管理-对象存储卷-更新密钥)。

    主机路径

    -

    “存储方式”选择“主机存储”时呈现此参数,计算节点成功部署后通过输入的“主机路径”来进行文件的上传。

    例如:“192.168.0.61/tmp”,如何在后台查找该路径请参考登录节点的相关描述。
    说明:

    请确保选择的主机路径具有1000:1000属组权限,否则会影响部分功能使用。

    资源分配策略

    CPU(Cores)

    -

    用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配核数。

    内存(GiB)

    -

    用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配内存。

  4. 参数配置完成后单击“订单确认”,确认后点击“去支付”,完成创建联盟操作。用户可在联盟管理页面查看已创建的联盟。

邀请成员

在创建联邦作业之前,首先要在TICS中先邀请用户本身再邀请其他合作方,以便联盟成员方发布数据作为作业基础。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧联盟管理,进入联盟管理页面。
  3. 在联盟管理页面,打开“我创建的联盟”页签,查找需要邀请合作方的联盟并单击“邀请合作方”
  4. 在弹出的界面配置待邀请的合作方的“租户名称”“租户别名”,保存后单击“确定”,完成邀请合作方操作。

    “租户名称”是指合作方的华为云帐号,如何获取请参考合作方如何获取租户名称

    “租户别名”是合作方在TICS中的别名,由用户自定义即可,设置该参数的目的是保护合作方的信息安全。
    图1 添加合作方

删除成员

在邀请成员后,如果发现邀请错误且成员未接受邀请,可以将其在联盟中删除。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧联盟管理,进入联盟管理页面。
  3. 在联盟管理页面,打开“我创建的联盟”页签,查找需要删除成员的联盟并单击“邀请合作方”,打开成员列表。

    图2 邀请成员方操作入口

  4. 在弹出的界面单击“已有合作方列表”操作栏的删除图标。

    图3 删除合作方

成员接受邀请

在TICS中,成员需要先接受组织方的邀请加入联盟,然后才能发布数据用于创建作业。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧通知管理,进入通知管理页面。
  3. 浏览通知信息,查找要加入的联盟,单击其所属的“接受邀请”

    图4 通知管理入口

  4. 在TICS页面左侧,依次单击联盟管理 > 我参与的联盟,查看联盟信息。

下载计算节点配置信息

下载计算节点配置信息,下载的信息可在部署计算节点的时候导入。“联盟信息”代表“部署计算节点”属于哪个联盟,用户输入的数据就会在哪个联盟中参与计算。

配置包含联盟证书,用于计算节点之间通信双向认证。证书保证了联盟下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同联盟之间的数据访问。

  1. 用户登录TICS控制台。
  2. 进入TICS控制台后,单击页面左侧通知管理,进入通知管理页面。
  3. 浏览通知信息,点击“下载计算节点配置”,得到agentConfig.zip文件,解压到本地。内容如下:

    • json文件:对应联盟配置,包含“联盟区域”、“联盟名称”、“联盟ID”三个部分。
    • p12文件:计算节点的秘钥文件。
    • jks文件:CA的“证书”,秘钥和证书保证了联盟下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同联盟之间的数据访问。
      图5 下载计算节点配置

分享:

    相关文档

    相关产品

close