다음을 통해 공유


Azure Kubernetes Service 유추 환경 보호

VNet 뒤에 AKS(Azure Kubernetes) 클러스터가 있는 경우 동일하거나 피어링된 VNet을 사용하여 Azure Machine Learning 작업 영역 리소스와 컴퓨팅 환경을 보호해야 합니다. 이 문서에서는 다음에 대해 알아봅니다.

  • 보안 AKS 추론 환경이란?
  • 보안 AKS 추론 환경을 구성하는 방법

제한 사항

  • AKS 클러스터가 VNet 뒤에 있는 경우 작업 영역 및 관련 리소스(스토리지, 키 자격 증명 모음, Azure Container Registry)는 AKS 클러스터의 VNet과 동일하거나 피어링된 VNet에 프라이빗 엔드포인트 또는 서비스 엔드포인트가 있어야 합니다. 작업 영역 및 관련 리소스를 보호하는 방법에 대한 자세한 내용은 보안 작업 영역 만들기를 참조하세요.
  • 작업 영역에 프라이빗 엔드포인트가 있는 경우 Azure Kubernetes Service 클러스터는 작업 영역과 동일한 Azure 지역에 있어야 합니다.
  • Azure Machine Learning에서는 프라이빗 AKS 클러스터와 함께 퍼블릭 FQDN(정규화된 도메인 이름)을 사용할 수 없습니다.

보안 AKS 추론 환경이란?

Azure Machine Learning AKS 추론 환경은 작업 영역, AKS 클러스터 및 작업 영역 관련 리소스(Azure Storage, Azure Key Vault 및 Azure ARC(Container Services))로 구성됩니다. 다음 표에서는 서비스에서 VNet을 사용하거나 사용하지 않고 Azure Machine Learning 네트워크의 다른 부분에 액세스하는 방법을 비교합니다.

시나리오 작업 영역 관련 리소스(Storage 계정, Key Vault, ACR) AKS 클러스터
가상 네트워크 없음 공용 IP 공용 IP 공용 IP
공용 작업 영역, 가상 네트워크의 기타 모든 리소스 공용 IP 공용 IP(서비스 엔드포인트)
또는
개인 IP(프라이빗 엔드포인트)
프라이빗 IP
가상 네트워크의 보안 리소스 개인 IP(프라이빗 엔드포인트) 공용 IP(서비스 엔드포인트)
또는
개인 IP(프라이빗 엔드포인트)
프라이빗 IP

보안 AKS 추론 환경에서 AKS 클러스터는 프라이빗 엔드포인트(개인 IP)만 사용하여 Azure Machine Learning Service의 다른 부분에 액세스합니다. 다음 네트워크 다이어그램에서는 VNet 내부에 프라이빗 AKS 클러스터 또는 기본 AKS 클러스터가 있는 보안 Azure Machine Learning 작업 영역을 보여 줍니다.

안전한 AKS 유추 환경: AKS 클러스터는 작업 영역 및 관련 리소스를 포함하여 프라이빗 엔드포인트로 Azure Machine Learning Services의 다른 부분에 액세스합니다.

보안 AKS 추론 환경을 구성하는 방법

보안 AKS 추론 환경을 구성하려면 AKS에 대한 VNet 정보가 있어야 합니다. VNet은 독립적으로 또는 AKS 클러스터 배포 중에 만들 수 있습니다. VNet에는 AKS 클러스터에 대한 두 가지 옵션이 있습니다.

  • VNet에 기본 AKS 클러스터 배포
  • 또는 VNet에 대한 프라이빗 AKS 클러스터 만들기

기본 AKS 클러스터의 경우 MC_[rg_name][aks_name][region]의 리소스 그룹 아래에서 VNet 정보를 확인할 수 있습니다.

AKS 클러스터에 대한 VNet 정보가 있고 작업 영역을 이미 사용할 수 있으면 다음 단계를 사용하여 보안 AKS 추론 환경을 구성합니다.

  • AKS 클러스터 VNet 정보를 사용하여 작업 영역에서 사용하는 Azure Storage 계정, Azure Key Vault 및 Azure Container Registry에 대한 새 프라이빗 엔드포인트를 추가합니다. 이러한 프라이빗 엔드포인트는 AKS 클러스터와 동일하거나 피어링된 VNet에 있어야 합니다. 자세한 내용은 프라이빗 엔드포인트를 사용하여 작업 영역 보호 문서를 참조하세요.
  • Azure Machine Learning 워크로드에서 사용하는 다른 스토리지가 있는 경우 해당 스토리지에 대한 새 프라이빗 엔드포인트를 추가합니다. 프라이빗 엔드포인트는 AKS 클러스터와 동일하거나 피어링된 VNet에 있어야 하며 프라이빗 DNS 영역 통합이 사용하도록 설정되어 있어야 합니다.
  • 새 프라이빗 엔드포인트를 작업 영역에 추가합니다. 이 프라이빗 엔드포인트는 AKS 클러스터와 동일하거나 피어링된 VNet에 있어야 하며 프라이빗 DNS 영역 통합이 사용하도록 설정되어 있어야 합니다.

AKS 클러스터가 준비되어 있지만 작업 영역을 아직 만들지 않은 경우 작업 영역을 만들 때 AKS 클러스터 VNet을 사용할 수 있습니다. 보안 작업 영역 만들기 자습서를 수행하는 경우 AKS 클러스터 VNet 정보를 사용합니다. 작업 영역이 만들어지면 마지막 단계로 새 프라이빗 엔드포인트를 작업 영역에 추가합니다. 위의 모든 단계에서 모든 프라이빗 엔드포인트가 동일한 AKS 클러스터 VNet에 있어야 하고, 프라이빗 DNS 영역 통합이 사용하도록 설정되어 있는지 확인해야 합니다.

보안 AKS 추론 환경 구성에 대한 특별 참고 사항은 다음과 같습니다.

  • 프라이빗 엔드포인트가 있는 스토리지 계정에서 시스템이 할당한 관리 ID로만 액세스할 수 있으므로 작업 영역을 만들 때 시스템이 할당한 관리 ID를 사용합니다.
  • AKS 클러스터를 HBI 작업 영역에 연결하는 경우 Storage Blob Data ContributorStorage Account Contributor 역할 모두가 있는 시스템이 할당한 관리 ID를 할당합니다.
  • 작업 영역에서 만든 기본 ACR을 사용하는 경우 ACR에 대한 프리미엄 SKU가 있는지 확인합니다. 또한 Firewall exception을 사용하도록 설정하여 신뢰할 수 있는 Microsoft 서비스에서 ACR에 액세스할 수 있도록 허용합니다.
  • 작업 영역도 VNet 뒤에 있는 경우 작업 영역에 안전하게 연결의 지침에 따라 작업 영역에 액세스합니다.
  • 스토리지 계정 프라이빗 엔드포인트의 경우 Allow Azure services on the trusted services list to access this storage account를 사용하도록 설정해야 합니다.

참고 항목

VNet 뒤에 있는 AKS가 중지되고 다시 시작된 경우 다음을 수행해야 합니다.

  1. 먼저 AKS(Azure Kubernetes Service) 클러스터 중지 및 시작의 단계에 따라 이 클러스터에 연결된 프라이빗 엔드포인트를 삭제하고 다시 만듭니다.
  2. 그런 다음 작업 영역의 이 AKS에서 연결된 Kubernetes 컴퓨팅을 다시 연결합니다.

그렇지 않으면 이 AKS 클러스터에 대한 엔드포인트/배포의 만들기, 업데이트 및 삭제가 실패합니다.

다음 단계

이 문서는 Azure Machine Learning 워크플로 보안에 대한 시리즈의 일부입니다. 이 시리즈의 다른 문서를 참조하세요.