Sichere Azure Kubernetes Service-Rückschlussumgebung
Wenn Sie einen AKS-Cluster (Azure Kubernetes Service-Cluster) hinter einem VNet verwenden, müssen Sie die Ressourcen des Azure Machine Learning-Arbeitsbereichs und der Compute-Umgebung mit demselben oder einem gepeerten VNet sichern. In diesem Artikel lernen Sie Folgendes:
- Was ist eine sichere AKS-Rückschlussumgebung?
- Konfigurieren einer sicheren AKS-Rückschlussumgebung
Einschränkungen
- Wenn Ihr AKS-Cluster hinter einem VNet liegt, müssen Ihr Arbeitsbereich und seine zugeordneten Ressourcen (Speicher, Schlüsseltresor, Azure Container Registry) über private Endpunkte oder Dienstendpunkte im gleichen oder einem gepeerten VNet wie das VNet des AKS-Clusters verfügen. Weitere Informationen zum Schützen des Arbeitsbereichs und zugeordneter Ressourcen finden Sie unter Erstellen eines sicheren Arbeitsbereichs.
- Wenn Ihr Arbeitsbereich einen privaten Endpunkt enthält, muss sich der Azure Kubernetes Service-Cluster in derselben Azure-Region befinden wie der Arbeitsbereich.
- Die Verwendung eines öffentlichen vollqualifizierten Domänennamens (FQDN) mit einem privaten AKS-Cluster wird mit Azure Machine Learning nicht unterstützt.
Was ist eine sichere AKS-Rückschlussumgebung?
Die Azure Machine Learning AKS-Rückschlussumgebung besteht aus dem Arbeitsbereich, Ihrem AKS-Cluster und den mit dem Arbeitsbereich verbundenen Ressourcen – Azure Storage, Azure Key Vault und Azure Container Services (ARC). In der folgenden Tabelle sehen Sie in einer Gegenüberstellung, wie Dienste mit oder ohne VNet auf verschiedene Teile eines Azure Machine Learning-Netzwerks zugreifen.
| Szenario | Arbeitsbereich | Zugeordnete Ressourcen (Speicherkonto, Key Vault, ACR) | AKS-Cluster |
|---|---|---|---|
| Kein virtuelles Netzwerk | Öffentliche IP-Adresse | Öffentliche IP-Adresse | Öffentliche IP-Adresse |
| Öffentlicher Arbeitsbereich, alle anderen Ressourcen in einem virtuellen Netzwerk | Öffentliche IP-Adresse | Öffentliche IP-Adresse (Dienstendpunkt) oder Private IP-Adresse (privater Endpunkt) |
Private IP-Adresse |
| Sichere Ressourcen in einem virtuellen Netzwerk | Private IP-Adresse (privater Endpunkt) | Öffentliche IP-Adresse (Dienstendpunkt) oder Private IP-Adresse (privater Endpunkt) |
Private IP-Adresse |
In einer sicheren AKS-Rückschlussumgebung greift der AKS-Cluster auf verschiedene Teile der Azure Machine Learning-Dienste nur mit einem privaten Endpunkt (private IP-Adresse) zu. Das folgende Netzwerkdiagramm zeigt einen gesicherten Azure Machine Learning-Arbeitsbereich mit einem privaten AKS-Cluster oder Standard-AKS-Cluster hinter einem VNet.
Konfigurieren einer sicheren AKS-Rückschlussumgebung
Sie benötigen VNet-Informationen für AKS, um eine sichere AKS-Rückschlussumgebung zu konfigurieren. Das VNet kann unabhängig oder während der Bereitstellung des AKS-Clusters erstellt werden. Es gibt zwei Optionen für AKS-Cluster in einem VNet:
- Bereitstellung des Standard-AKS-Clusters für Ihr VNet
- Sie können Ihrem VNet auch einen privaten AKS-Cluster hinzufügen
Für den Standard-AKS-Cluster finden Sie die VNet-Informationen unter der Ressourcengruppe von MC_[rg_name][aks_name][region].
Nachdem Sie über die VNet-Informationen für den AKS-Cluster verfügen und wenn Sie bereits einen Arbeitsbereich besitzen, verwenden Sie die folgenden Schritte, um eine sichere AKS-Rückschlussumgebung zu konfigurieren:
- Verwenden Sie die VNet-Informationen Ihres AKS-Clusters, um neue private Endpunkte für das Azure Storage-Konto, Azure Key Vault und Azure Container Registry, die von Ihrem Arbeitsbereich verwendet werden, hinzuzufügen. Diese privaten Endpunkte sollten sich im selben oder einem gepeerten VNet wie der AKS-Cluster befinden. Weitere Informationen finden Sie im Artikel Sichern des Arbeitsbereichs mit privatem Endpunkt.
- Wenn Sie über einen anderen Speicher verfügen, der von Ihrem Azure Machine Learning-Arbeitsbereich verwendet wird, fügen Sie einen neuen privaten Endpunkt für diesen Speicher hinzu. Der private Endpunkt sollte sich im selben oder einem gepeerten VNet wie der AKS-Cluster befinden und die Integration privater DNS-Zonen aktiviert haben.
- Fügen Sie Ihrem Arbeitsbereich einen neuen privaten Endpunkt hinzu. Dieser private Endpunkt sollte sich im selben oder einem gepeerten VNet wie Ihr AKS-Cluster befinden und die Integration privater DNS-Zonen aktiviert haben.
Wenn der AKS-Cluster bereit ist, aber Sie noch keinen Arbeitsbereich erstellt haben, können Sie das AKS-Cluster-VNet verwenden, wenn Sie den Arbeitsbereich erstellen. Verwenden Sie die VNet-Informationen des AKS-Clusters, wenn Sie das Tutorial Erstellen eines sicheren Arbeitsbereichs befolgen. Nachdem der Arbeitsbereich erstellt wurde, fügen Sie als letzten Schritt einen neuen privaten Endpunkt zu Ihrem Arbeitsbereich hinzu. Für alle oben genannten Schritte ist es wichtig, dass alle privaten Endpunkte im selben AKS-Cluster-VNet vorhanden sind und die Integration der privaten DNS-Zonen aktiviert ist.
Besondere Hinweise zur Konfiguration einer sicheren AKS-Rückschlussumgebung:
- Verwenden Sie bei der Erstellung des Arbeitsbereichs die systemseitig zugewiesene verwaltete Identität, da der Zugriff auf das Speicherkonto mit privatem Endpunkt nur mit der systemseitig zugewiesenen verwalteten Identität möglich ist.
- Wenn Sie einen AKS-Cluster an einen HBI-Arbeitsbereich anfügen, weisen Sie eine systemseitig zugewiesene verwaltete Identität mit den beiden Rollen
Storage Blob Data ContributorundStorage Account Contributorzu. - Wenn Sie die vom Arbeitsbereich erstellte Standard-ACR verwenden, stellen Sie sicher, dass Sie über die Premium-SKU für ACR verfügen. Aktivieren Sie auch die
Firewall exception, um vertrauenswürdigen Microsoft-Diensten den Zugriff auf ACR zu ermöglichen. - Wenn sich Ihr Arbeitsbereich auch hinter einem VNet befindet, befolgen Sie die Anweisungen unter Sicheres Herstellen einer Verbindung mit Ihrem Arbeitsbereich, um auf den Arbeitsbereich zuzugreifen.
- Für den privaten Endpunkt des Speicherkontos müssen Sie
Allow Azure services on the trusted services list to access this storage accountaktivieren.
Hinweis
Wenn Ihre AKS-Instanz sich hinter einem VNet befindet und beendet und neu gestartet wurde, müssen Sie folgende Schritte ausführen:
- Befolgen Sie zunächst die Schritte unter Beenden und Starten eines AKS-Clusters (Azure Kubernetes Service), um einen privaten Endpunkt, der mit diesem Cluster verknüpft ist, zu löschen und neu zu erstellen.
- Fügen Sie dann die Kubernetes-Compute-Instanz, die an diese AKS-Instanz angefügt ist, erneut an Ihren Arbeitsbereich an.
Andernfalls führen das Erstellen, Aktualisieren und Löschen von Endpunkten/Bereitstellungen für diesen AKS-Cluster zu Fehlern.
Nächste Schritte
Dieser Artikel ist Teil einer Reihe zum Schützen eines Azure Machine Learning-Workflows. Sehen Sie sich auch die anderen Artikel in dieser Reihe an:
- Virtuelle Netzwerke im Überblick
- Schützen der Trainingsumgebung
- Sichere Online-Endpunkte (Rückschluss)
- Aktivieren von Studio-Funktionalität
- Verwenden von benutzerdefiniertem DNS
- Verwenden einer Firewall
- Tutorial: Erstellen eines sicheren Arbeitsbereichs
- Bicep-Vorlage
- Terraform-Vorlage
- API-Plattformnetzwerkisolation