Zabezpečené prostředí odvozování služby Azure Kubernetes Service

Pokud máte cluster Azure Kubernetes (AKS) za virtuální sítí, budete muset zabezpečit prostředky pracovního prostoru Azure Machine Learning a výpočetní prostředí pomocí stejné virtuální sítě nebo partnerské virtuální sítě. V tomto článku se dozvíte:

  • Co je zabezpečené prostředí pro odvozování AKS
  • Konfigurace zabezpečeného prostředí pro odvozování AKS

Omezení

  • Pokud se váš cluster AKS nachází za virtuální sítí, váš pracovní prostor a jeho přidružené prostředky (úložiště, trezor klíčů, Azure Container Registry) musí mít privátní koncové body nebo koncové body služby ve stejné virtuální síti nebo partnerské virtuální síti jako virtuální síť clusteru AKS. Další informace o zabezpečení pracovního prostoru a přidružených prostředků najdete v tématu věnovaném vytvoření zabezpečeného pracovního prostoru.
  • Pokud má váš pracovní prostor privátní koncový bod, cluster Azure Kubernetes Service musí být ve stejné oblasti Azure jako pracovní prostor.
  • Azure Machine Learning nepodporuje používání veřejného plně kvalifikovaného názvu domény (FQDN) s privátním clusterem AKS.

Co je zabezpečené prostředí pro odvozování AKS

Prostředí pro odvozování AKS služby Azure Machine Learning se skládá z pracovního prostoru, clusteru AKS a přidružených prostředků pracovního prostoru – Azure Storage, Azure Key Vault a Azure Container Services (ARC). Následující tabulka porovnává, jak služby přistupují k různým částem sítě Azure Machine Learning, a to s virtuální sítí nebo bez ní.

Scénář Pracovní prostor Přidružené prostředky (účet úložiště, Key Vault, ACR) Cluster AKS
Bez virtuální sítě Veřejná IP adresa Veřejná IP adresa Veřejná IP adresa
Veřejný pracovní prostor, všechny ostatní prostředky ve virtuální síti Veřejná IP adresa Veřejná IP adresa (koncový bod služby)
-nebo-
Privátní IP adresa (privátní koncový bod)
Privátní IP adresa
Zabezpečení prostředků ve virtuální síti Privátní IP adresa (privátní koncový bod) Veřejná IP adresa (koncový bod služby)
-nebo-
Privátní IP adresa (privátní koncový bod)
Privátní IP adresa

V zabezpečeném prostředí pro odvozování AKS cluster AKS přistupuje k jiné části služeb Azure Machine Learning pouze s privátním koncovým bodem (privátní IP adresa). Následující síťový diagram znázorňuje zabezpečený pracovní prostor Služby Azure Machine Learning s privátním clusterem AKS nebo výchozím clusterem AKS za virtuální sítí.

Zabezpečený výčet odvozování AKS: Cluster AKS přistupuje k jiné části služeb Azure Machine Learning s privátním koncovým bodem, včetně pracovního prostoru a přidružených prostředků.

Konfigurace zabezpečeného prostředí pro odvozování AKS

Pokud chcete nakonfigurovat zabezpečené prostředí pro odvozování AKS, musíte mít informace o virtuální síti pro AKS. Virtuální síť je možné vytvořit nezávisle nebo během nasazení clusteru AKS. Ve virtuální síti existují dvě možnosti clusteru AKS:

  • Nasazení výchozího clusteru AKS do virtuální sítě
  • Nebo vytvořte privátní cluster AKS pro vaši virtuální síť.

Pro výchozí cluster AKS najdete informace o virtuální síti ve skupině MC_[rg_name][aks_name][region]prostředků .

Jakmile budete mít informace o virtuální síti pro cluster AKS a pokud už máte k dispozici pracovní prostor, nakonfigurujte zabezpečené prostředí pro odvozování AKS pomocí následujících kroků:

  • Informace o virtuální síti clusteru AKS použijte k přidání nových privátních koncových bodů pro účet služby Azure Storage, Službu Azure Key Vault a Službu Azure Container Registry používanou vaším pracovním prostorem. Tyto privátní koncové body by měly existovat ve stejné virtuální síti nebo partnerské virtuální síti jako cluster AKS. Další informace najdete v článku o zabezpečeném pracovním prostoru s privátním koncovým bodem .
  • Pokud máte jiné úložiště používané úlohami služby Azure Machine Learning, přidejte pro toto úložiště nový privátní koncový bod. Privátní koncový bod by měl být ve stejné virtuální síti nebo partnerské virtuální síti jako cluster AKS a měl povolenou integraci privátní zóny DNS.
  • Přidejte do pracovního prostoru nový privátní koncový bod. Tento privátní koncový bod by měl být ve stejné virtuální síti nebo partnerské virtuální síti jako váš cluster AKS a měl povolenou integraci privátní zóny DNS.

Pokud máte cluster AKS připravený, ale ještě nemáte vytvořený pracovní prostor, můžete při vytváření pracovního prostoru použít virtuální síť clusteru AKS. Při sledování kurzu vytvoření zabezpečeného pracovního prostoru použijte informace o virtuální síti clusteru AKS. Po vytvoření pracovního prostoru přidejte do pracovního prostoru nový privátní koncový bod jako poslední krok. U všech výše uvedených kroků je důležité zajistit, aby všechny privátní koncové body existovaly ve stejné virtuální síti clusteru AKS a měly povolenou integraci privátní zóny DNS.

Speciální poznámky ke konfiguraci zabezpečeného prostředí pro odvozování AKS:

  • Při vytváření pracovního prostoru používejte spravovanou identitu přiřazenou systémem, protože účet úložiště s privátním koncovým bodem umožňuje přístup pouze se spravovanou identitou přiřazenou systémem.
  • Při připojování clusteru AKS k pracovnímu prostoru HBI přiřaďte spravovanou identitu přiřazenou systémem s oběma Storage Blob Data Contributor rolemi a Storage Account Contributor rolemi.
  • Pokud používáte výchozí službu ACR vytvořenou pracovním prostorem, ujistěte se, že máte skladovou položku Premium pro ACR. Povolte Firewall exception také povolení přístupu k ACR důvěryhodným služby Microsoft.
  • Pokud je váš pracovní prostor také za virtuální sítí, postupujte podle pokynů v zabezpečeném připojení k pracovnímu prostoru a získejte přístup k pracovnímu prostoru.
  • V případě privátního koncového bodu účtu úložiště nezapomeňte povolit Allow Azure services on the trusted services list to access this storage account.

Poznámka:

Pokud se služba AKS, která je za virtuální sítí, zastavila a restartovala, musíte:

  1. Nejprve podle pokynů v tématu Zastavení a spuštění clusteru Azure Kubernetes Service (AKS) odstraňte a znovu vytvořte privátní koncový bod propojený s tímto clusterem.
  2. Pak znovu připojte výpočetní prostředky Kubernetes připojené z této služby AKS ve vašem pracovním prostoru.

V opačném případě se vytvoření, aktualizace a odstranění koncových bodů/nasazení do tohoto clusteru AKS nezdaří.

Další kroky

Tento článek je součástí série o zabezpečení pracovního postupu služby Azure Machine Learning. Podívejte se na další články v této sérii: