组建空间
本章节将介绍如何通过TICS平台购买服务并组建空间。
空间是联邦计算的载体。合作方只有加入空间才能参与联邦计算。创建空间需要配置空间基本信息,包括空间的名称,版本类型等。
约束限制
- 创建空间时,空间名在创建者租户范围内唯一,即创建者不能创建同名的空间。
- 退出空间,参与方可单方面的退出空间,退出空间时会删除该参与方在这个空间的所有作业和注册的数据集。
- 删除空间时,只有空间创建者才能删除空间,且所有租户都选择同意删除,空间才算删除完成。
- 若需启用区块链审计服务,请先完成启用区块链审计服务(可选)中发起方角色涉及的操作,再创建空间。
创建空间
- 用户登录TICS控制台。
- 进入TICS控制台后,单击页面左侧 ,进入空间管理页面。
- 在TICS控制台页面,单击“购买可信智能计算服务”。
配置购买参数,各参数说明如表1和表2所示。
表1 空间信息配置参数 参数名称
样例
说明
区域
华北-北京四
选择服务的区域,不同区域的资源之间内网不互通。
项目
cn-north-4
选择该区域内的项目。
空间名称
TICS-test
由用户自定义,用以区分各个空间。要求:空间名称不允许重复,名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。
区块链存证
打开
若您希望空间启用区块链服务(BCS)来审计任务信息,请打开此选项。
使用前需要按照启用区块链审计服务(可选)章节的描述完成准备工作。
BCS服务实例
-
选择BCS空间链。
通道
-
选择邀空间链邀请租户时选择的通道。
组织
-
选择链代码部署的组织。
区块链签名证书
-
上传签名证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/signcert/xxx.pem”)。
区块链私钥文件
-
上传私钥证书文件(选择按照启用区块链审计服务(可选)章节步骤七描述中保存至本地的证书文件“/msp/keystore/xxx_sk”)
表2 计算节点配置参数 参数名
样例
参数描述
计费方式
包年/包月
当前仅支持“包年/包月”。
购买时长
1个月
支持按月或按年购买。
自动续费
-
支持自动续费。
- 按月购买时,自动续费周期为1个月。
- 按年购买时,自动续费周期为1年。
版本类型
企业版
当前可选版本只包含企业版
计算节点配置相关参数
计算节点名称
-
计算节点别名,由用户自定义,用以区分部署的各个计算节点。要求:名称不能以空白字符开头或结尾,也不能包含下列特殊字符:\ / : * ? " < > |,长度要求在1~128之间。
访问密钥ID(AK)
-
用户的身份标识,需要用户去IAM服务自行下载。文件获取方式请参考获取访问密钥章节。AK、SK需与用户当前所在的项目保持一致。说明:- 如果访问密钥泄露,会带来数据泄露风险。
- 每个访问密钥只能下载一次,为了账号安全性,建议定期更换访问密钥并妥善保存。
加密密钥(SK)
-
计算节点登录名称
-
登录计算节点控制台的用户名。用户可通过“计算节点登录名称”和“登录密码”进入计算节点控制台,建立连接器,发布数据。
登录密码
-
登录计算节点控制台的密码。
确认密码
-
与“登录密码”保持一致即可。
指定开放端口
-
计算节点控制台系统的网络端口
部署配置相关参数
部署方式
-
当前版本支持云租户部署和边缘节点部署。- 云租户部署:数据上云的用户可以选择“云租户部署”,可信计算节点部署在华为云租户的虚拟私有云VPC中,可信计算节点组件部署在基于华为云CCE服务的容器中。关于CCE集群的更多信息可参考CCE。
当前仅支持直接创建CCE集群,不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。
说明:- CCE集群的部署规格根据您的业务量自行选择。
- 所创建CCE集群的虚拟私有云、子网,应与数据源所在云服务(如MRS Hive、DWS等)的虚拟私有云、子网保持一致,以确保网络互通。
- 自动创建的CCE集群费用不需要单独结算,当前TICS费用已包含CCE集群费用。
- 边缘节点部署:数据不上云的用户可以选择“边缘节点部署”,数据不需要上传到华为云上,通过纳管节点的方式,即可参与多方安全计算或者联邦学习任务,关于IEF边缘节点的更多信息可参考IEF。
您可参考纳管节点来纳管节点,注意:纳管节点防火墙需要开通30000-65535端口,且需要建立消息端点和消息路由,步骤如下:
云租户部署参数
部署规格
中规格
- 中规格:适用百万级别数据多方安全计算,五十万内对齐样本联邦建模
- 大规格:适用千万级别数据多方安全计算,百万级别对齐样本联邦建模
虚拟私有云
-
选择合适的VPC
子网
-
选择合适的子网地址
NAT网关
-
选择子网下NAT网关,若子网下不存在NAT网关,默认新建。
弹性IP
-
选择NAT网关已关联的弹性公网IP。若NAT网关无关联弹性公网IP,默认新建。
弹性公网IP提供外网访问能力,可以灵活绑定及解绑,随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。
存储方式
-
提供OBS存储和极速文件存储两种持久化存储卷的选择。
OBS存储
-
存储方式选择obs存储时,可以选择自动创建OBS桶,也可以通过下拉框的搜索功能寻找已有的OBS桶。选择已有的OBS桶时,需要确认OBS桶的访问权限中包含读取权限和写入权限,否则其上的联邦作业将会失败。
卷名
-
存储方式选择极速文件存储时,默认选取已有的极速文件存储,也可手动填写SFS ID。
挂载路径
-
存储方式选择极速文件存储时需填写。默认根路径,若自定义路径,请确保该路径在极速文件存储上存在。
开启AOM日志监控
-
开启后可收集可信计算节点日志,推荐开启。
对接AOM之后,相应的日志存储在AOM平台上,平台每月提供500M的免费空间,超出则计费。具体的计费规则参见计费概述。
节点密码
-
设置可信计算节点宿主机的登录密码。
确认密码
-
与“节点密码”保持一致即可。
边缘节点部署参数
AI加速卡
-
- 不启用:部署常规的CPU规格计算节点
- 启用:启用边缘节点的AI加速卡,可以大幅减少联邦建模的耗时。通过IEF边缘节点部署时,请确保计算节点的AI加速卡相关功能可用,如需帮助请联系客服或技术支持人员。
纳管节点
-
用户选择边缘节点部署计算节点时呈现此参数。用户通过IEF服务纳管用户侧的边缘节点,用于部署计算节点。使用边缘节点部署方式,请先参考纳管节点执行纳管节点操作。
主机docker IP
-
请前往ief纳管节点,执行命令ifconfig docker0 | grep inet | grep -v 127.0.0.1 | grep -v inet6 | awk '{print $2}' | tr -d "addr:" 填入所得的ip地址
proxy配置(选填)
-
用户选择IEF部署计算节点时,可根据实际情况选填该参数。如果纳管节点使用了网络计算节点,请按照实际情况配置proxy信息,也可在部署成功后,通过配置变更项进行修改,具体操作可参考变更计算节点配置。
存储方式
-
选择采用外部文件挂载容器目录的方式。IEF当前仅支持“主机存储”。- 主机存储:该方式将计算节点所在的集群节点的主机路径,挂载到计算节点容器的目录上。用户需要选择集群中的节点(对应“纳管节点”下拉选)作为挂载节点,此时,部署的计算节点容器会运行到该节点上。同时,用户需要输入“主机路径”,设置该节点的主机挂载目录。计算节点成功部署后,用户可登录集群该节点,访问输入的“主机路径”来进行文件的上传。
主机路径
-
“存储方式”选择“主机存储”时呈现此参数,计算节点成功部署后通过输入的“主机路径”来进行文件的上传。
资源分配策略
CPU(Cores)
-
用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配核数。
内存(GiB)
-
用户可根据返回资源剩余规格,按照分析与学习需求,灵活分配内存。容器预留部分管理资源,作业可用内存最大值设置为内存数值的0.6倍,且向下取整。
- 参数配置完成后单击“立即创建”,完成创建空间操作。用户可在 页面查看已创建的空间。
邀请成员
- 用户登录TICS控制台。
- 进入TICS控制台后,单击页面左侧 ,进入空间管理页面。
- 在空间管理页面,打开“我创建的空间”页签,查找需要邀请合作方的空间并单击“邀请合作方”。
图1 邀请合作方操作入口
- 在弹出的界面配置待邀请的合作方的“租户名称”和“租户别名”,保存后单击“确定”,完成邀请合作方操作。
“租户名称”是指合作方的华为账号,如何获取请参考合作方如何获取租户名称。
“租户别名”是合作方在TICS中的别名,由用户自定义即可,设置该参数的目的是保护合作方的信息安全。图2 添加合作方
删除成员
在邀请成员后,如果发现邀请错误且成员未接受邀请,可以将其在空间中删除。
- 用户登录TICS控制台。
- 进入TICS控制台后,单击页面左侧 ,进入空间管理页面。
- 在空间管理页面,打开“我创建的空间”页签,查找需要删除成员的空间并单击“邀请合作方”,打开成员列表。
图3 邀请合作方操作入口
- 在弹出的界面单击“已有合作方列表”操作栏的删除图标。
图4 删除合作方
成员接受邀请
在TICS中,成员需要先接受组织方的邀请加入空间,然后才能发布数据用于创建作业。
- 用户登录TICS控制台。
- 进入TICS控制台后,单击页面左侧 ,进入通知管理页面。
- 浏览通知信息,查找要加入的空间,单击其所属的“接受邀请”。
图5 通知管理入口
- 在TICS页面左侧,依次单击 ,查看空间信息。
下载计算节点配置信息
下载计算节点配置信息,下载的信息可在部署计算节点的时候导入。“空间信息”代表“部署计算节点”属于哪个空间,用户输入的数据就会在哪个空间中参与计算。
配置包含空间证书,用于计算节点之间通信双向认证。证书保证了空间下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同空间之间的数据访问。
- 用户登录TICS控制台。
- 进入TICS控制台后,单击页面左侧 ,进入通知管理页面。
- 浏览通知信息,单击“下载计算节点配置”,得到agentConfig.zip文件,解压到本地。内容如下:
- json文件:对应空间配置,包含“空间区域”、“空间名称”、“空间ID”、“证书密码”等。
- p12文件:计算节点的密钥文件。
- jks文件:CA的“证书”,密钥和证书保证了空间下的用户,部署的计算节点能够数据交互,参与计算。同时,也隔离了不同空间之间的数据访问。
图6 下载计算节点配置