Deductieomgeving van Azure Kubernetes Service beveiligen
Als u een AKS-cluster (Azure Kubernetes) achter VNet hebt, moet u azure Machine Learning-werkruimteresources en een rekenomgeving beveiligen met behulp van hetzelfde of gekoppelde VNet. In dit artikel leert u het volgende:
- Wat is een beveiligde AKS-deductieomgeving?
- Een beveiligde AKS-deductieomgeving configureren
Beperkingen
- Als uw AKS-cluster zich achter een VNet bevindt, moeten uw werkruimte en de bijbehorende resources (opslag, sleutelkluis, Azure Container Registry) privé-eindpunten of service-eindpunten hebben in hetzelfde VNet als het VNet van het AKS-cluster of een daaraan gekoppeld VNet. Zie Een beveiligde werkruimte maken voor meer informatie over het beveiligen van de werkruimte en de bijbehorende resources.
- Als uw werkruimte een privé-eindpunt heeft, moet het Azure Kubernetes Service-cluster zich in dezelfde Azure-regio bevinden als de werkruimte.
- Het gebruik van een openbare FQDN (Fully Qualified Domain Name) met een privé-AKS-cluster wordt niet ondersteund met Azure Machine Learning.
Wat is een beveiligde AKS-deductieomgeving?
Azure Machine Learning AKS-deductieomgeving bestaat uit werkruimten, uw AKS-cluster en de bijbehorende werkruimtebronnen: Azure Storage, Azure Key Vault en Azure Container Services (ARC). In de volgende tabel wordt vergeleken hoe services toegang krijgen tot een ander deel van het Azure Machine Learning-netwerk met of zonder een VNet.
| Scenario | Werkruimte | Gekoppelde resources (opslagaccount, Key Vault, ACR) | AKS-cluster |
|---|---|---|---|
| Geen virtueel netwerk | Openbare IP | Openbare IP | Openbare IP |
| Openbare werkruimte, alle andere resources in een virtueel netwerk | Openbare IP | Openbaar IP-adres (service-eindpunt) -of- Privé-IP-adres (privé-eindpunt) |
Privé IP-adres |
| Resources in een virtueel netwerk beveiligen | Privé-IP-adres (privé-eindpunt) | Openbaar IP-adres (service-eindpunt) -of- Privé-IP-adres (privé-eindpunt) |
Privé IP-adres |
In een beveiligde AKS-deductieomgeving heeft AKS-cluster alleen toegang tot een ander deel van Azure Machine Learning-services met een privé-eindpunt (privé-IP). In het volgende netwerkdiagram ziet u een beveiligde Azure Machine Learning-werkruimte met een privé-AKS-cluster of een standaard AKS-cluster achter VNet.
Een beveiligde AKS-deductieomgeving configureren
Als u een beveiligde AKS-deductieomgeving wilt configureren, moet u VNet-gegevens voor AKS hebben. VNet kan onafhankelijk of tijdens de implementatie van een AKS-cluster worden gemaakt. Er zijn twee opties voor een AKS-cluster in een VNet:
- Standaard AKS-cluster implementeren in uw VNet
- Of maak een privé-AKS-cluster naar uw VNet
Voor het standaard AKS-cluster vindt u VNet-informatie onder de resourcegroep van MC_[rg_name][aks_name][region].
Nadat u VNet-gegevens voor AKS-cluster hebt en als u al werkruimte beschikbaar hebt, gebruikt u de volgende stappen om een beveiligde AKS-deductieomgeving te configureren:
- Gebruik de VNet-gegevens van uw AKS-cluster om nieuwe privé-eindpunten toe te voegen voor het Azure Storage-account, Azure Key Vault en Azure Container Registry dat door uw werkruimte wordt gebruikt. Deze privé-eindpunten moeten bestaan in hetzelfde of gekoppeldE VNet als AKS-cluster. Zie het artikel over beveiligde werkruimten met privé-eindpunten voor meer informatie.
- Als u andere opslag hebt die wordt gebruikt door uw Azure Machine Learning-workloads, voegt u een nieuw privé-eindpunt voor die opslag toe. Het privé-eindpunt moet zich in hetzelfde of peered VNet bevinden als AKS-cluster en de integratie van de privé-DNS-zone moet zijn ingeschakeld.
- Voeg een nieuw privé-eindpunt toe aan uw werkruimte. Dit privé-eindpunt moet zich in hetzelfde of gekoppeldE VNet bevinden als uw AKS-cluster en de integratie van privé-DNS-zones hebben ingeschakeld.
Als u een AKS-cluster hebt, maar nog geen werkruimte hebt gemaakt, kunt u het VNet van het AKS-cluster gebruiken bij het maken van de werkruimte. Gebruik de VNet-gegevens van het AKS-cluster wanneer u de zelfstudie over het maken van beveiligde werkruimten volgt. Zodra de werkruimte is gemaakt, voegt u als laatste stap een nieuw privé-eindpunt toe aan uw werkruimte. Voor alle bovenstaande stappen is het belangrijk om ervoor te zorgen dat alle privé-eindpunten aanwezig moeten zijn in hetzelfde AKS-cluster-VNet en dat privé-DNS-zoneintegratie is ingeschakeld.
Speciale opmerkingen voor het configureren van een beveiligde AKS-deductieomgeving:
- Gebruik door het systeem toegewezen beheerde identiteit bij het maken van een werkruimte, omdat het opslagaccount met een privé-eindpunt alleen toegang toestaat met door het systeem toegewezen beheerde identiteit.
- Wanneer u een AKS-cluster koppelt aan een HBI-werkruimte, wijst u een door het systeem toegewezen beheerde identiteit toe met zowel als
Storage Blob Data ContributorStorage Account Contributorrollen. - Als u de standaard-ACR gebruikt die door de werkruimte is gemaakt, moet u ervoor zorgen dat u over de Premium SKU voor ACR beschikt. Schakel ook de
Firewall exceptionoptie in om vertrouwde Microsoft-services toegang te geven tot ACR. - Als uw werkruimte zich ook achter een VNet bevindt, volgt u de instructies om veilig verbinding te maken met uw werkruimte om toegang te krijgen tot de werkruimte.
- Zorg ervoor dat u het privé-eindpunt van het opslagaccount inschakelt
Allow Azure services on the trusted services list to access this storage account.
Notitie
Als uw AKS achter een VNet is gestopt en opnieuw is opgestart, moet u het volgende doen:
- Volg eerst de stappen in Stoppen en starten van een AKS-cluster (Azure Kubernetes Service) om een privé-eindpunt te verwijderen en opnieuw te maken dat aan dit cluster is gekoppeld.
- Sluit vervolgens de Kubernetes-berekeningen die zijn gekoppeld vanuit deze AKS in uw werkruimte opnieuw aan.
Anders mislukt het maken, bijwerken en verwijderen van eindpunten/implementaties naar dit AKS-cluster.
Volgende stappen
Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks: