مشاركة عبر

بيئة استدلال خدمة Azure Kubernetes الآمنة

  • مقالة

إذا كان لديك نظام مجموعة Azure Kubernetes (AKS) خلف VNet، فستحتاج إلى تأمين موارد مساحة عمل Azure التعلم الآلي وبيئة حساب باستخدام نفس الشبكة الظاهرية أو نظيرها. في هذه المقالة، ستتعلم ما يلي:

  • ما هي بيئة استدلال AKS الآمنة
  • كيفية تكوين بيئة استدلال AKS آمنة

القيود

  • إذا كانت مجموعة AKS الخاصة بك خلف شبكة ظاهرية، يجب أن تحتوي مساحة العمل والموارد المرتبطة بها (التخزين، وخزنة المفاتيح، وسجل حاويات Azure) على نقاط نهاية خاصة أو نقاط نهاية خدمة في نفس الشبكة الظاهرية أو نظيرها مثل VNet لمجموعة AKS. لمزيد من المعلومات حول تأمين مساحة العمل والموارد المرتبطة بها، راجع إنشاء مساحة عمل آمنة.
  • إذا كانت مساحة عملك تحتوي على نقطة نهاية خاصة، يجب أن تكون مجموعة خدمة Azure Kubernetes في نفس منطقة Azure مثل مساحة العمل.
  • استخدام اسم مجال مؤهل بالكامل عام (FQDN) مع نظام مجموعة AKS خاص غير مدعوم مع Azure التعلم الآلي.

ما هي بيئة استدلال AKS الآمنة

تتكون بيئة استنتاج AZURE Machine Learning AKS من مساحة العمل، نظام مجموعة AKS، والموارد المرتبطة بمساحة العمل - Azure Storage، وAzure Key Vault، وAzure Container Services (ARC). الجدول التالي يقارن كيفية وصول الخدمات إلى أجزاء مختلفة من شبكة التعلم الآلي من Azure مع شبكة افتراضية أو بدونها.

السيناريو مساحة عمل الموارد المقترنة (حساب التخزين، Key Vault، ACR) كتلة خدمة Azure Kubernetes
بدون شبكة افتراضية عنوان IP عام عنوان IP عام عنوان IP عام
مساحة عمل عامة، جميع الموارد الأخرى في شبكة افتراضية عنوان IP عام IP العام (نقطة نهاية الخدمة)
- أو -
IP خاص (نقطة نهاية خاصة)		 عنوان IP خاص
تأمين الموارد في شبكة افتراضية IP خاص (نقطة نهاية خاصة) IP العام (نقطة نهاية الخدمة)
- أو -
IP خاص (نقطة نهاية خاصة)		 عنوان IP خاص

في بيئة استدلال AKS آمنة، يصل نظام مجموعة AKS إلى جزء مختلف من خدمات التعلم الآلي من Microsoft Azure مع نقطة نهاية خاصة فقط (IP خاص). الرسم التخطيطي التالي للشبكة يظهر مساحة عمل التعلم الآلي من Microsoft Azure آمنة مع مجموعة AKS خاصة أو نظام مجموعة AKS افتراضية خلف VNet.

استدلال AKS آمن: يصل نظام مجموعة AKS إلى جزء مختلف من خدمات Azure التعلم الآلي مع نقطة نهاية خاصة، بما في ذلك مساحة العمل والموارد المرتبطة بها

كيفية تكوين بيئة استدلال AKS آمنة

لتكوين بيئة استدلال AKS آمنة، يجب أن يكون لديك معلومات الشبكة الظاهرية لـ AKS. يمكن إنشاء VNet بشكل مستقل أو في أثناء نشر نظام مجموعة AKS. هناك خياران لمجموعة AKS في شبكة ظاهرية:

  • توزيع مجموعة AKS افتراضية بشبكتك الافتراضية
  • أو إنشاء نظام مجموعة AKS خاص بشبكتك الافتراضية

بالنسبة لمجموعة AKS الافتراضية، يمكنك العثور على معلومات VNet ضمن مجموعة الموارد الخاصة بـ MC_[rg_name][aks_name][region].

بعد أن يكون لديك معلومات الشبكة الظاهرية لمجموعة AKS وإذا كانت لديك مساحة عمل متوفرة بالفعل، استخدم الخطوات التالية لتكوين بيئة استدلال AKS آمنة:

  • استخدم معلومات الشبكة الظاهرية لنظام مجموعة AKS لإضافة نقاط نهاية خاصة جديدة لحساب تخزين Azure وAzure Key Vault وسجل حاويات Azure المستخدمة من قبل مساحة العمل الخاصة بك. يجب أن توجد نقاط النهاية الخاصة هذه في نفس الشبكة الظاهرية أو نظيرها مثل نظام مجموعة AKS. لمزيد من المعلومات، راجع مقالة مساحة العمل الآمنة مع نقطة النهاية الخاصة.
  • إذا كان لديك تخزين آخر تستخدمه أحمال عمل Azure التعلم الآلي، أضف نقطة نهاية خاصة جديدة لهذا التخزين. يجب أن تكون نقطة النهاية الخاصة في نفس الشبكة الظاهرية أو نظيرها مثل نظام مجموعة AKS وأن يتم تمكين تكامل منطقة DNS الخاصة.
  • أضف نقطة نهاية خاصة جديدة إلى مساحة العمل الخاصة بك. يجب أن تكون نقطة النهاية الخاصة هذه في نفس الشبكة الظاهرية أو نظيرها مثل مجموعة AKS الخاصة بك وأن يتم تمكين تكامل منطقة DNS الخاصة.

إذا كان لديك نظام مجموعة AKS جاهز ولكن لم يكن لديك مساحة عمل تم إنشاؤها بعد، يمكنك استخدام شبكة نظام مجموعة AKS الظاهرية عند إنشاء مساحة العمل. استخدم معلومات الشبكة الظاهرية لنظام مجموعة AKS عند اتباع البرنامج التعليمي إنشاء مساحة عمل آمنة. بمجرد إنشاء مساحة العمل، أضف نقطة نهاية خاصة جديدة إلى مساحة العمل كخطوة أخيرة. لجميع الخطوات المذكورة أعلاه، من المهم التأكد من أن جميع نقاط النهاية الخاصة يجب أن توجد في نفس شبكة نظام مجموعة AKS الظاهرية وتمكين تكامل منطقة DNS الخاصة.

ملاحظات خاصة لتكوين بيئة استدلال AKS آمنة:

  • استخدم الهوية المدارة المعينة من قبل النظام عند إنشاء مساحة العمل، حيث يسمح حساب التخزين مع نقطة النهاية الخاصة فقط بالوصول باستخدام الهوية المدارة المعينة من قبل النظام.
  • عند إرفاق نظام مجموعة AKS بمساحة عمل HBI، قم بتعيين هوية مدارة معينة من قبل النظام مع كل من الأدوار Storage Blob Data Contributor وStorage Account Contributor.
  • إذا كنت تستخدم ACR الافتراضي الذي تم إنشاؤه بواسطة مساحة العمل، فتأكد من أن لديك SKU المميز لـ ACR. قم أيضًا بتمكين Firewall exception للسماح لخدمات Microsoft الموثوق بها بالوصول إلى ACR.
  • إذا كانت مساحة العمل الخاصة بك أيضا خلف VNet، فاتبع الإرشادات الواردة في الاتصال بأمان بمساحة العمل الخاصة بك للوصول إلى مساحة العمل.
  • بالنسبة لنقطة النهاية الخاصة بحساب التخزين، تأكد من تمكين Allow Azure services on the trusted services list to access this storage account.

إشعار

إذا تم إيقاف AKS خلف VNet وإعادة تشغيله، فستحتاج إلى:

  1. أولا، اتبع الخطوات الواردة في إيقاف وبدء مجموعة Azure Kubernetes Service (AKS) لحذف وإعادة إنشاء نقطة نهاية خاصة مرتبطة بهذه المجموعة.
  2. ثم أعد إرفاق حسابات Kubernetes المرفقة من AKS هذه في مساحة العمل الخاصة بك.

وإلا، سيفشل إنشاء وتحديث وحذف نقاط النهاية/عمليات النشر إلى مجموعة AKS هذه.

الخطوات التالية

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة: