如何在 AI Platform 上的自定义 Docker 图像中装载 GCS 存储桶?

How can I mount a GCS bucket in a custom Docker image on AI Platform?

我正在使用 Google 的 AI 平台使用自定义 Docker 图像训练机器学习模型。对于 运行 未经修改的现有代码,我想在容器内安装一个 GCS 存储桶。

我认为实现此目的的一种方法是安装 gcloud 以进行身份​​验证,并安装 gcsfuse 以安装在容器中。我的 Docker 文件如下所示:

FROM nvidia/cuda:10.1-cudnn7-runtime-ubuntu18.04

WORKDIR /root

# Install system packages.
RUN apt-get update
RUN apt-get install -y curl
# ...

# Install gcsfuse.
RUN echo "deb http://packages.cloud.google.com/apt gcsfuse-bionic main" | tee /etc/apt/sources.list.d/gcsfuse.list
RUN curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key add -
RUN apt-get update
RUN apt-get install -y gcsfuse

# Install gcloud.
RUN apt-get install -y apt-transport-https
RUN apt-get install -y ca-certificates
RUN echo "deb [signed-by=/usr/share/keyrings/cloud.google.gpg] https://packages.cloud.google.com/apt cloud-sdk main" | tee -a /etc/apt/sources.list.d/google-cloud-sdk.list
RUN curl https://packages.cloud.google.com/apt/doc/apt-key.gpg | apt-key --keyring /usr/share/keyrings/cloud.google.gpg add -
RUN apt-get update
RUN apt-get install -y google-cloud-sdk

# ...

ENTRYPOINT ["entrypoint.sh"]

在入口点脚本中,然后我尝试使用 Google 云进行身份验证并安装存储桶。我的 entrypoint.sh 看起来像这样:

#!/bin/sh
set -e

gcloud auth login
gcsfuse my-bucket-name /root/output
python3 script.py --logdir /root/output/experiment

然后我构建容器并 运行 在本地进行测试或在 AI 平台上远程进行完整训练 运行:

# Run locally for testing.
nvidia-docker build -t my-image-name .
nvidia-docker run -it --rm my-image-name

# Run on AI Platform for full training run.
nvidia-docker build -t my-image-name .
gcloud auth configure-docker
nvidia-docker push my-image-name
gcloud beta ai-platform jobs submit training --region us-west1 --scale-tier custom --master-machine-type standard_p100 --master-image-uri my-image-name

在本地和 AI 平台上,entrypoint.sh 脚本挂在 gcloud auth login 行,可能是因为它等待用户输入。有没有更好的方法从容器内使用 Google Cloud 进行身份验证?如果没有,我怎样才能使当前挂起的线路自动化?

不要使用主要用于 human/user 身份验证的 gcloud auth login,而是考虑使用 gcloud auth activate-service-account 并提供密钥文件。详情请看这里:

https://cloud.google.com/sdk/gcloud/reference/auth/activate-service-account

我建议不要将密钥文件放在图像中,而是在外部提供。另一种选择是认识到身份验证可以通过环境变量隐含。因此,遵循云原生实践,让环境提供所需的凭据,并且根本不要尝试在您的环境中进行身份验证。如果您计划 运行 您的容器在 GCP Compute Engine 或 GKE 中,您可以隐式地从容器外部向容器提供服务帐户。

如果default service account meets your needs, you can configure your container to use it like this. You may also be able to give it what it needs by .


如果您想使用自己的服务帐户,您需要通过以下方式验证为服务帐户:

gcloud auth activate-service-account --key-file=somekey.json

这样容器就不会在要求您通过浏览器进行身份验证时挂起。所以显而易见的下一个问题是:

How do I insert my service account's key into the container?

策略

首先,您需要generate a key file为您想要使用的任何服务帐户。

将凭据存储在 docker 图像中不是一个好主意,因此我将密钥放入脚本中,然后将其放入存储桶中。因此容器下载并 运行s 脚本,它将配置的身份切换到我选择的服务帐户。

入口点

# runs as the default service account
gsutil cp "" /run/cmd
chmod +x /run/cmd
/run/cmd

运行 脚本(存储桶中)

cat << EOF!! > /dev/shm/sa_key
THE KEY FILE CONTENTS GO HERE
EOF!!

gcloud auth activate-service-account --key-file=/dev/shm/sa_key

# commands below this line are performed with the specified identity

默认服务帐户可以访问其项目中的存储桶,因此上面的脚本必须放在这样的存储桶中。确保该存储桶受到适当保护,任何有权访问它的人都可以假定其包含其密钥的服务帐户的身份。

本地测试

docker run -v "/home/me/.config/gcloud:/root/.config/gcloud" \
    theimagename gs://my-project_job1/run_script

这将使用您用户的活动 gcloud 信用来下载脚本,然后切换到服务帐户。完成后,您主机的 gcloud 将配置为使用服务帐户——因此您可能需要将其切换回您自己的 vi gcloud auth login。为避免这种情况,您可以挂载该目录的副本,这样原始文件保持不变。

运行宁在 GCP

gcloud ai-platform jobs submit training job1 \    
  --region us-west2 \
  --master-image-uri us.gcr.io/my-project/theimagename:latest \
  -- gs://my-project_job1/run_script

我对此进行了一些改动,以删除对我项目中与此处无关的部分的引用,因此这可能不会 运行 原样,但我认为这显示了我的要点一直在使用它:

https://gist.github.com/MatrixManAtYrService/737cb408e5a27c2aaa19576b0f6ec18a