Zabezpieczanie środowiska wnioskowania usługi Azure Kubernetes Service
Jeśli masz klaster usługi Azure Kubernetes (AKS) za siecią wirtualną, musisz zabezpieczyć zasoby obszaru roboczego usługi Azure Machine Learning i środowisko obliczeniowe przy użyciu tej samej lub równorzędnej sieci wirtualnej. Z tego artykułu dowiesz się:
- Co to jest bezpieczne środowisko wnioskowania usługi AKS
- Jak skonfigurować bezpieczne środowisko wnioskowania usługi AKS
Ograniczenia
- Jeśli klaster usługi AKS znajduje się za siecią wirtualną, obszar roboczy i skojarzone z nim zasoby (magazyn, magazyn kluczy, usługa Azure Container Registry) muszą mieć prywatne punkty końcowe lub punkty końcowe usługi w tej samej sieci wirtualnej, co sieć wirtualna klastra usługi AKS, lub równorzędnej sieci wirtualnej. Aby uzyskać więcej informacji na temat zabezpieczania obszaru roboczego i skojarzonych zasobów, zobacz Tworzenie bezpiecznego obszaru roboczego.
- Jeśli obszar roboczy ma prywatny punkt końcowy, klaster usługi Azure Kubernetes Service musi znajdować się w tym samym regionie świadczenia usługi Azure co obszar roboczy.
- Używanie publicznej w pełni kwalifikowanej nazwy domeny (FQDN) z prywatnym klastrem usługi AKS nie jest obsługiwane w usłudze Azure Machine Learning.
Co to jest bezpieczne środowisko wnioskowania usługi AKS
Środowisko wnioskowania usługi Azure Machine Learning AKS składa się z obszaru roboczego, klastra usługi AKS i skojarzonych zasobów obszaru roboczego — Azure Storage, Azure Key Vault i Azure Container Services (ARC). W poniższej tabeli porównano sposób, w jaki usługi uzyskują dostęp do różnych części sieci usługi Azure Machine Learning z siecią wirtualną lub bez niej.
| Scenariusz | Workspace | Skojarzone zasoby (konto magazynu, Key Vault, ACR) | Klaster usługi AKS |
|---|---|---|---|
| Bez sieci wirtualnej | Publiczny adres IP | Publiczny adres IP | Publiczny adres IP |
| Publiczny obszar roboczy, wszystkie inne zasoby w sieci wirtualnej | Publiczny adres IP | Publiczny adres IP (punkt końcowy usługi) -lub- Prywatny adres IP (prywatny punkt końcowy) |
Prywatny adres IP |
| Zabezpieczanie zasobów w sieci wirtualnej | Prywatny adres IP (prywatny punkt końcowy) | Publiczny adres IP (punkt końcowy usługi) -lub- Prywatny adres IP (prywatny punkt końcowy) |
Prywatny adres IP |
W bezpiecznym środowisku wnioskowania usługi AKS klaster usługi AKS uzyskuje dostęp do innej części usług Azure Machine Learning przy użyciu tylko prywatnego punktu końcowego (prywatny adres IP). Na poniższym diagramie sieciowym przedstawiono zabezpieczony obszar roboczy usługi Azure Machine Learning z prywatnym klastrem usługi AKS lub domyślnym klastrem usługi AKS za siecią wirtualną.
Jak skonfigurować bezpieczne środowisko wnioskowania usługi AKS
Aby skonfigurować bezpieczne środowisko wnioskowania usługi AKS, musisz mieć informacje o sieci wirtualnej dla usługi AKS. Sieć wirtualną można utworzyć niezależnie lub podczas wdrażania klastra usługi AKS. Istnieją dwie opcje klastra usługi AKS w sieci wirtualnej:
- Wdrażanie domyślnego klastra usługi AKS w sieci wirtualnej
- Możesz też utworzyć prywatny klaster usługi AKS w sieci wirtualnej
W przypadku domyślnego klastra usługi AKS informacje o sieci wirtualnej można znaleźć w grupie zasobów .MC_[rg_name][aks_name][region]
Po zapewnieniu informacji o sieci wirtualnej dla klastra usługi AKS i jeśli masz już dostępny obszar roboczy, wykonaj następujące kroki, aby skonfigurować bezpieczne środowisko wnioskowania usługi AKS:
- Użyj informacji o sieci wirtualnej klastra usługi AKS, aby dodać nowe prywatne punkty końcowe dla konta usługi Azure Storage, usługi Azure Key Vault i usługi Azure Container Registry używanego przez obszar roboczy. Te prywatne punkty końcowe powinny istnieć w tej samej lub równorzędnej sieci wirtualnej co klaster usługi AKS. Aby uzyskać więcej informacji, zobacz artykuł Bezpieczny obszar roboczy z prywatnym punktem końcowym .
- Jeśli masz inny magazyn używany przez obciążenia usługi Azure Machine Learning, dodaj nowy prywatny punkt końcowy dla tego magazynu. Prywatny punkt końcowy powinien znajdować się w tej samej lub równorzędnej sieci wirtualnej co klaster usługi AKS i mieć włączoną integrację prywatnej strefy DNS.
- Dodaj nowy prywatny punkt końcowy do obszaru roboczego. Ten prywatny punkt końcowy powinien znajdować się w tej samej lub równorzędnej sieci wirtualnej co klaster usługi AKS i mieć włączoną integrację prywatnej strefy DNS.
Jeśli masz gotowy klaster usługi AKS, ale nie masz jeszcze utworzonego obszaru roboczego, możesz użyć sieci wirtualnej klastra usługi AKS podczas tworzenia obszaru roboczego. Podczas wykonywania instrukcji tworzenia bezpiecznego obszaru roboczego skorzystaj z informacji o sieci wirtualnej klastra usługi AKS. Po utworzeniu obszaru roboczego dodaj nowy prywatny punkt końcowy do obszaru roboczego jako ostatni krok. W przypadku wszystkich powyższych kroków należy upewnić się, że wszystkie prywatne punkty końcowe powinny istnieć w tej samej sieci wirtualnej klastra usługi AKS i mieć włączoną integrację prywatnej strefy DNS.
Specjalne uwagi dotyczące konfigurowania bezpiecznego środowiska wnioskowania usługi AKS:
- Użyj tożsamości zarządzanej przypisanej przez system podczas tworzenia obszaru roboczego, ponieważ konto magazynu z prywatnym punktem końcowym zezwala tylko na dostęp z tożsamością zarządzaną przypisaną przez system.
- Podczas dołączania klastra usługi AKS do obszaru roboczego karty HBI przypisz tożsamość zarządzaną przypisaną przez system z rolami
Storage Blob Data ContributoriStorage Account Contributor. - Jeśli używasz domyślnego usługi ACR utworzonego przez obszar roboczy, upewnij się, że masz jednostkę SKU w warstwie Premium dla usługi ACR. Włącz również ustawienie ,
Firewall exceptionaby zezwolić zaufanym usługi firmy Microsoft na dostęp do usługi ACR. - Jeśli obszar roboczy znajduje się również za siecią wirtualną, postępuj zgodnie z instrukcjami w bezpiecznym połączeniu z obszarem roboczym , aby uzyskać dostęp do obszaru roboczego.
- W przypadku prywatnego punktu końcowego konta magazynu upewnij się, że włączono opcję
Allow Azure services on the trusted services list to access this storage account.
Uwaga
Jeśli usługa AKS, która znajduje się za siecią wirtualną, została zatrzymana i uruchomiona ponownie, musisz:
- Najpierw wykonaj kroki opisane w temacie Zatrzymywanie i uruchamianie klastra usługi Azure Kubernetes Service (AKS), aby usunąć i ponownie utworzyć prywatny punkt końcowy połączony z tym klastrem.
- Następnie ponownie dołącz obliczenia kubernetes dołączone z tego usługi AKS w obszarze roboczym.
W przeciwnym razie tworzenie, aktualizowanie i usuwanie punktów końcowych/wdrożeń w tym klastrze usługi AKS zakończy się niepowodzeniem.
Następne kroki
Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii:
- Omówienie sieci wirtualnej
- Zabezpieczanie środowiska szkoleniowego
- Zabezpieczanie punktów końcowych online (wnioskowanie)
- Włączanie funkcji programu Studio
- Używanie niestandardowego systemu DNS
- Korzystanie z zapory
- Samouczek: tworzenie bezpiecznego obszaru roboczego
- Szablon Bicep
- Szablon narzędzia Terraform.
- Izolacja sieci platformy interfejsu API