Защита среды вывода Службы Azure Kubernetes
Если у вас есть кластер Azure Kubernetes (AKS) из виртуальной сети, необходимо защитить Машинное обучение Azure ресурсы рабочей области и среду вычислений с помощью той же или одноранговой виртуальной сети. В этой статье рассматриваются следующие вопросы:
- Что такое безопасная среда вывода AKS
- Как настроить безопасную среду вывода AKS
Ограничения
- Если кластер AKS находится в виртуальной сети, то рабочая область и связанные с ней ресурсы (хранилище, хранилище ключей, Реестр контейнеров Azure) должны иметь частные конечные точки или конечные точки службы в той же виртуальной сети, что и кластер, или в пиринговой виртуальной сети. Дополнительные сведения о защите рабочей области и связанных ресурсов: Создание защищенной рабочей области.
- Если рабочая область имеет частную конечную точку, кластер службы Azure Kubernetes должен находиться в том же регионе Azure, что и рабочая область.
- Использование общедоступного полного доменного имени (FQDN) с частным кластером AKSне поддерживается в Машинном обучении Azure.
Что такое безопасная среда вывода AKS
Среда вывода AKS Машинного обучения Azure включает рабочую область, кластер AKS и ресурсы, связанные с рабочей областью (служба хранилища Azure, Azure Key Vault и Реестр контейнеров Azure (ACR)). В следующей таблице сравниваются способы доступа служб к разным частям сети Машинного обучения Azure с виртуальной сетью или без нее.
| Сценарий | Рабочая область | Связанные ресурсы (учетная запись хранения, Key Vault, ACR) | Кластер AKS |
|---|---|---|---|
| Без виртуальной сети | Общедоступный IP-адрес | Общедоступный IP-адрес | Общедоступный IP-адрес |
| Общедоступная рабочая область, все остальные ресурсы в виртуальной сети | Общедоступный IP-адрес | Общедоступный IP-адрес (конечная точка службы) - или - Частный IP-адрес (частная конечная точка) |
Частный IP-адрес |
| Защита ресурсов в виртуальной сети | Частный IP-адрес (частная конечная точка) | Общедоступный IP-адрес (конечная точка службы) - или - Частный IP-адрес (частная конечная точка) |
Частный IP-адрес |
В безопасной среде вывода AKS кластер AKS получает доступ к другой части служб Машинного обучения Azure только с помощью частной конечной точки (частный IP-адрес). На схеме сети ниже показана безопасная рабочая область Машинного обучения Azure с частным кластером AKS или кластером AKS по умолчанию за пределами виртуальной сети.
Как настроить безопасную среду вывода AKS
Чтобы настроить безопасную среду вывода AKS, у вас должны быть сведения о виртуальной сети для AKS. Виртуальную сеть можно создавать независимо или во время развертывания кластера AKS. Есть два варианта включения кластера AKS в виртуальной сети:
- развертывание кластера AKS по умолчанию в виртуальной сети;
- создание частного кластера AKS в виртуальной сети.
Для кластера AKS по умолчанию сведения о виртуальной сети можно найти в группе ресурсов MC_[rg_name][aks_name][region].
После получения сведений о виртуальной сети для кластера AKS и обеспечения доступности рабочей области выполните следующие действия, чтобы настроить безопасную среду вывода AKS:
- Используйте сведения о виртуальной сети кластера AKS, чтобы добавить новые частные конечные точки для службы хранилища Azure, Azure Key Vault и Реестра контейнеров Azure, используемых вашей рабочей областью. Эти частные конечные точки должны существовать в той же или одноранговой виртуальной сети, что и кластер AKS. Дополнительные сведения см. в статье Защита рабочей области с использованием частной конечной точки.
- Если у вас есть другое хранилище, используемое Машинное обучение Azure рабочими нагрузками, добавьте новую частную конечную точку для этого хранилища. Частная конечная точка должна находиться в той же или одноранговой виртуальной сети, что и кластер AKS, и включить интеграцию частной зоны DNS.
- Добавьте новую частную конечную точку в рабочую область. Эта частная конечная точка должна находиться в той же или одноранговой виртуальной сети, что и кластер AKS, и включить интеграцию частной зоны DNS.
Если вы готовы к работе с кластером AKS, но еще не создали рабочую область, при создании рабочей области можно использовать виртуальную сеть кластера AKS. Используйте сведения о виртуальной сети кластера AKS при выполнении инструкций из руководства по созданию безопасной рабочей области. После создания рабочей области добавьте новую частную конечную точку в рабочую область в качестве последнего шага. Для всех описанных выше шагов важно убедиться, что все частные конечные точки существуют в одной виртуальной сети кластера AKS и что интеграция частной зоны DNS включена.
Специальные примечания по настройке безопасной среды вывода AKS:
- Используйте управляемое удостоверение, назначаемое системой, при создании рабочей области, так как учетная запись хранения с частной конечной точкой разрешает доступ только при использовании такого удостоверения.
- При подключении кластера AKS к рабочей области HBI назначьте управляемое удостоверение, назначаемое системой, с обоими ролями
Storage Blob Data ContributorиStorage Account Contributor. - Если вы используете ACR по умолчанию, созданный рабочей областью, убедитесь, что у вас есть номер SKU "Премиум" для ACR. Также включите
Firewall exception, чтобы разрешить доверенным службам Майкрософт доступ к ACR. - Если рабочая область также находится за виртуальной сетью, следуйте инструкциям в безопасном подключении к рабочей области для доступа к рабочей области .
- Для частной конечной точки учетной записи хранения обязательно включите
Allow Azure services on the trusted services list to access this storage account.
Примечание.
Если служба AKS, которая находится за виртуальной сетью, остановлена и перезапущена, необходимо выполнить следующие действия.
- Сначала выполните действия, описанные в разделе "Остановка" и запустите кластер Служба Azure Kubernetes (AKS), чтобы удалить и повторно создать частную конечную точку, связанную с этим кластером.
- Затем повторно прикрепить вычислительные ресурсы Kubernetes, подключенные из этого AKS в рабочей области.
В противном случае создание, обновление и удаление конечных точек или развертываний в этом кластере AKS завершится ошибкой.
Связанный контент
Эта статья входит в цикл статей, посвященных вопросам защиты рабочего процесса Машинного обучения Azure. Другие статьи этой серии:
- Общие сведения о виртуальных сетях
- Защита среды обучения
- Обеспечение безопасности подключенных конечных точек (вывод)
- Включение функций Студии
- Использование пользовательских DNS-серверов
- Использование брандмауэра
- Руководство. Создание защищенной рабочей области
- Шаблон Bicep
- Шаблон Terraform.
- Сетевая изоляция платформы API