Skydda Azure Kubernetes Service-inferensmiljön
Om du har ett Azure Kubernetes-kluster (AKS) bakom det virtuella nätverket skulle du behöva skydda Azure Machine Learning-arbetsyteresurser och en beräkningsmiljö med samma eller peer-kopplade virtuella nätverk. I den här artikeln får du lära dig:
- Vad är en säker AKS-slutsatsdragningsmiljö
- Konfigurera en säker AKS-slutsatsdragningsmiljö
Begränsningar
- Om AKS-klustret ligger bakom ett virtuellt nätverk måste arbetsytan och dess associerade resurser (lagring, nyckelvalv, Azure Container Registry) ha privata slutpunkter eller tjänstslutpunkter i samma eller peer-kopplade virtuella nätverk som AKS-klustrets virtuella nätverk. Mer information om hur du skyddar arbetsytan och associerade resurser finns i Skapa en säker arbetsyta.
- Om din arbetsyta har en privat slutpunkt måste Azure Kubernetes Service-klustret finnas i samma Azure-region som arbetsytan.
- Användning av ett offentligt fullständigt domännamn (FQDN) med ett privat AKS-klusterstöds inte med Azure Machine Learning.
Vad är en säker AKS-slutsatsdragningsmiljö
Azure Machine Learning AKS-slutsatsdragningsmiljön består av arbetsyta, ditt AKS-kluster och tillhörande resurser för arbetsytan – Azure Storage, Azure Key Vault och Azure Container Services (ARC). I följande tabell jämförs hur tjänster får åtkomst till olika delar av Azure Machine Learning-nätverket med eller utan ett virtuellt nätverk.
| Scenario | Arbetsyta | Associerade resurser (lagringskonto, Key Vault, ACR) | AKS-kluster |
|---|---|---|---|
| Inget virtuellt nätverk | Offentlig IP-adress | Offentlig IP-adress | Offentlig IP-adress |
| Offentlig arbetsyta, alla andra resurser i ett virtuellt nätverk | Offentlig IP-adress | Offentlig IP-adress (tjänstslutpunkt) -eller- Privat IP (privat slutpunkt) |
Privat IP |
| Skydda resurser i ett virtuellt nätverk | Privat IP (privat slutpunkt) | Offentlig IP-adress (tjänstslutpunkt) -eller- Privat IP (privat slutpunkt) |
Privat IP |
I en säker AKS-slutsatsdragningsmiljö får AKS-klustret åtkomst till en annan del av Azure Machine Learning-tjänster med endast privat slutpunkt (privat IP). Följande nätverksdiagram visar en skyddad Azure Machine Learning-arbetsyta med ett privat AKS-kluster eller ett AKS-standardkluster bakom det virtuella nätverket.
Konfigurera en säker AKS-slutsatsdragningsmiljö
Om du vill konfigurera en säker AKS-slutsatsdragningsmiljö måste du ha VNet-information för AKS. VNet kan skapas oberoende av varandra eller under AKS-klusterdistribution. Det finns två alternativ för AKS-kluster i ett virtuellt nätverk:
- Distribuera aks-standardklustret till ditt virtuella nätverk
- Eller skapa ett privat AKS-kluster till ditt virtuella nätverk
För aks-standardkluster kan du hitta VNet-information under resursgruppen MC_[rg_name][aks_name][region]för .
När du har VNet-information för AKS-kluster och om du redan har en tillgänglig arbetsyta använder du följande steg för att konfigurera en säker AKS-slutsatsdragningsmiljö:
- Använd information om ditt virtuella AKS-kluster för att lägga till nya privata slutpunkter för Azure Storage-kontot, Azure Key Vault och Azure Container Registry som används av din arbetsyta. Dessa privata slutpunkter bör finnas i samma eller peer-kopplade virtuella nätverk som AKS-kluster. Mer information finns i artikeln om säker arbetsyta med privat slutpunkt .
- Om du har annan lagring som används av dina Azure Machine Learning-arbetsbelastningar lägger du till en ny privat slutpunkt för lagringen. Den privata slutpunkten ska vara i samma eller peer-kopplade virtuella nätverk som AKS-kluster och ha privat DNS-zonintegrering aktiverad.
- Lägg till en ny privat slutpunkt på din arbetsyta. Den här privata slutpunkten ska finnas i samma eller peerkopplade virtuella nätverk som ditt AKS-kluster och ha privat DNS-zonintegrering aktiverad.
Om du har AKS-klustret klart men inte har skapat en arbetsyta ännu kan du använda aks-klustrets virtuella nätverk när du skapar arbetsytan. Använd information om aks-klustrets virtuella nätverk när du följer självstudien skapa säker arbetsyta . När arbetsytan har skapats lägger du till en ny privat slutpunkt i arbetsytan som det sista steget. För alla ovanstående steg är det viktigt att se till att alla privata slutpunkter ska finnas i samma virtuella AKS-klusternätverk och att integreringen av den privata DNS-zonen är aktiverad.
Särskilda anteckningar för att konfigurera en säker AKS-slutsatsdragningsmiljö:
- Använd systemtilldelad hanterad identitet när du skapar en arbetsyta, eftersom lagringskonto med privat slutpunkt endast tillåter åtkomst med systemtilldelad hanterad identitet.
- När du kopplar AKS-kluster till en HBI-arbetsyta tilldelar du en systemtilldelad hanterad identitet med både
Storage Blob Data ContributorochStorage Account Contributorroller. - Om du använder standard-ACR som skapats av arbetsytan kontrollerar du att du har premium-SKU:n för ACR. Aktivera
Firewall exceptionäven för att tillåta betrodda Microsoft-tjänster att komma åt ACR. - Om din arbetsyta också finns bakom ett virtuellt nätverk följer du anvisningarna i anslut på ett säkert sätt till din arbetsyta för att få åtkomst till arbetsytan.
- För privat slutpunkt för lagringskontot måste du aktivera
Allow Azure services on the trusted services list to access this storage account.
Kommentar
Om din AKS som ligger bakom ett virtuellt nätverk har stoppats och startats om måste du:
- Följ först stegen i Stoppa och starta ett AKS-kluster (Azure Kubernetes Service) för att ta bort och återskapa en privat slutpunkt som är länkad till det här klustret.
- Sätt sedan tillbaka Kubernetes-beräkningen som är kopplad från den här AKS-filen på din arbetsyta.
Annars misslyckas skapandet, uppdateringen och borttagningen av slutpunkter/distributioner till det här AKS-klustret.
Nästa steg
Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien: