5

我正在使用 Google 的 AI 平台使用自定义 Docker 映像来训练机器学习模型。要在不修改的情况下运行现有代码,我想在容器内安装一个 GCS 存储桶。

我认为实现这一点的一种方法是安装gcloud到身份验证并gcsfuse安装在容器中。我的 Dockerfile 看起来像这样:

FROM nvidia/cuda:10.1-cudnn7-runtime-ubuntu18.04

WORKDIR /root

# Install system packages.
RUN apt-get update
RUN apt-get install -y curl
# ...

# Install gcsfuse.
RUN echo "deb http://packages.cloud.google.com/apt gcsfuse-bionic main" | tee /etc/apt/sources.list.d/gcsfuse.list
RUN curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add -
RUN apt-get update
RUN apt-get install -y gcsfuse

# Install gcloud.
RUN apt-get install -y apt-transport-https
RUN apt-get install -y ca-certificates
RUN echo "deb [signed-by=/usr/share/keyrings/cloud.google.gpg] https://packages.cloud.google.com/apt cloud-sdk main" | tee -a /etc/apt/sources.list.d/google-cloud-sdk.list
RUN curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key --keyring /usr/share/keyrings/cloud.google.gpg add -
RUN apt-get update
RUN apt-get install -y google-cloud-sdk

# ...

ENTRYPOINT ["entrypoint.sh"]

在入口点脚本中,我尝试使用 Google 云进行身份验证并挂载存储桶。我的entrypoint.sh样子是这样的:

#!/bin/sh
set -e

gcloud auth login
gcsfuse my-bucket-name /root/output
python3 script.py --logdir /root/output/experiment

然后我构建容器并在本地运行它以进行测试或在 AI 平台上远程运行以进行完整的训练运行:

# Run locally for testing.
nvidia-docker build -t my-image-name .
nvidia-docker run -it --rm my-image-name

# Run on AI Platform for full training run.
nvidia-docker build -t my-image-name .
gcloud auth configure-docker
nvidia-docker push my-image-name
gcloud beta ai-platform jobs submit training --region us-west1 --scale-tier custom --master-machine-type standard_p100 --master-image-uri my-image-name

无论是在本地还是在 AI Platform 上,entrypoint.sh脚本都会挂在 行gcloud auth login,可能是因为它等待用户输入。有没有更好的方法在容器内使用 Google Cloud 进行身份验证?如果没有,我该如何自动化当前挂起的线路?

4

2 回答 2

3

考虑使用和提供密钥文件,而不是使用gcloud auth login主要用于人/用户身份验证的。gcloud auth activate-service-account有关详细信息,请参见此处:

https://cloud.google.com/sdk/gcloud/reference/auth/activate-service-account

我建议不要将密钥文件放在图像中,而是在外部提供。另一种选择是实现身份验证可以通过环境变量隐含。因此,遵循云原生实践,让环境提供所需的凭据,并且根本不要尝试在您的环境中进行身份验证。如果您计划在 GCP Compute Engine 或 GKE 中运行您的容器,您可以从容器外部隐式地向容器提供服务帐户。

于 2019-10-21T00:49:03.733 回答
0

如果默认服务帐户满足您的需求,您可以将容器配置为像这样使用它。您还可以通过授予它额外的权限来满足它的需要。

如果您想使用自己的服务帐户,则需要通过以下方式作为服务帐户进行身份验证:

gcloud auth activate-service-account --key-file=somekey.json

这样容器就不会在要求您通过浏览器进行身份验证时挂起。所以很明显的下一个问题是:

如何将我的服务帐户的密钥插入容器?

战略

首先,您需要为想要使用的任何服务帐户生成一个密钥文件。

将凭据存储在 docker 映像中并不是一个好主意,因此我将密钥放入脚本中,然后将其放入存储桶中。因此容器下载并运行脚本,将配置的身份切换为我选择的服务帐户。

入口点

# runs as the default service account
gsutil cp "$1" /run/cmd
chmod +x /run/cmd
/run/cmd

运行脚本(在桶中)

cat << EOF!! > /dev/shm/sa_key
THE KEY FILE CONTENTS GO HERE
EOF!!

gcloud auth activate-service-account --key-file=/dev/shm/sa_key

# commands below this line are performed with the specified identity

默认服务帐户可以访问其项目中的存储桶,因此上面的脚本必须进入这样的存储桶。确保该存储桶受到适当保护,任何有权访问它的人都可以假定它包含其密钥的服务帐户的身份。

本地测试

docker run -v "/home/me/.config/gcloud:/root/.config/gcloud" \
    theimagename gs://my-project_job1/run_script

这将使用您用户的活动 gcloud 凭据来下拉脚本,然后它将切换到服务帐户。完成后,您主机的 gcloud 将被配置为使用服务帐户 - 因此您可能需要将其切换回自己 vi gcloud auth login。为避免这种情况,您可以改为挂载该目录的副本,这样原始目录保持不变。

在 GCP 中运行

gcloud ai-platform jobs submit training job1 \    
  --region us-west2 \
  --master-image-uri us.gcr.io/my-project/theimagename:latest \
  -- gs://my-project_job1/run_script

我对此做了一些修改,以删除对我项目中与此处无关的部分的引用,因此这可能不会按原样运行,但我认为这显示了我如何使用它的要点:

https://gist.github.com/MatrixManAtYrService/737cb408e5a27c2aaa19576b0f6ec18a

于 2020-01-03T16:07:22.507 回答