Protección del entorno de inferencia de Azure Kubernetes Service
Si tiene un clúster de Azure Kubernetes (AKS) detrás de la red virtual, tendría que proteger los recursos del área de trabajo de Azure Machine Learning y el entorno de proceso mediante la misma red virtual o una emparejada. En este artículo, aprenderá lo siguiente:
- ¿Qué es un entorno de inferencia de AKS seguro?
- Configuración de un entorno de inferencia de AKS seguro
Limitaciones
- Si el clúster de AKS está detrás de una red virtual, el área de trabajo y sus recursos asociados (almacenamiento, almacén de claves, Azure Container Registry) deben tener puntos de conexión privados o puntos de conexión de servicio en la misma red virtual del clúster de AKS o la emparejada. Para más información sobre cómo proteger el área de trabajo y los recursos asociados, consulte Creación de un área de trabajo segura.
- Si el área de trabajo tiene un punto de conexión privado, el clúster de Azure Kubernetes Service debe estar en la misma región de Azure que el área de trabajo.
- El uso de un nombre de dominio completo (FQDN) público con un clúster de AKS privadono se admite con Azure Machine Learning.
¿Qué es un entorno de inferencia de AKS seguro?
El entorno de inferencia de AKS de Azure Machine Learning consta del área de trabajo, el clúster de AKS y los recursos asociados al área de trabajo: Azure Storage, Azure Key Vault y Azure Container Services (ARC). En la tabla siguiente se comparan los modos de acceso de los servicios a diferentes partes de una red de Azure Machine Learning con y sin una red virtual:
| Escenario | Área de trabajo | Recursos asociados (cuenta de almacenamiento, Key Vault, ACR) | Clúster de AKS |
|---|---|---|---|
| Sin red virtual | Dirección IP pública | Dirección IP pública | Dirección IP pública |
| Área de trabajo pública, todos los demás recursos de una red virtual | Dirección IP pública | IP pública (punto de conexión de servicio) - o - IP privada (punto de conexión privado) |
Dirección IP privada |
| Protección de recursos en una red virtual | IP privada (punto de conexión privado) | IP pública (punto de conexión de servicio) - o - IP privada (punto de conexión privado) |
Dirección IP privada |
En un entorno de inferencia de AKS seguro, el clúster de AKS accede a otra parte de los servicios de Azure Machine Learning solo con punto de conexión privado (IP privada). En el diagrama de red siguiente se muestra un área de trabajo de Azure Machine Learning protegida con un clúster de AKS privado o un clúster de AKS predeterminado detrás de la red virtual.
Configuración de un entorno de inferencia de AKS seguro
Para configurar un entorno de inferencia de AKS seguro, debe tener información de red virtual para AKS. La red virtual se puede crear de forma independiente o durante la implementación del clúster de AKS. Hay dos opciones para el clúster de AKS en una red virtual:
- Implementar el clúster de AKS predeterminado para la red virtual.
- Crear un clúster de AKS privado para la red virtual.
En el caso del clúster de AKS predeterminado, puede encontrar información sobre la red virtual en el grupo de recursos de MC_[rg_name][aks_name][region].
Después de tener información sobre la red virtual del clúster de AKS y si ya tiene el área de trabajo disponible, siga estos pasos para configurar un entorno de inferencia de AKS seguro:
- Use la información sobre la red virtual del clúster de AKS para agregar nuevos puntos de conexión privados para la cuenta de Azure Storage y las instancias de Azure Key Vault y Azure Container Registry que se usan en el área de trabajo. Estos puntos de conexión privados deben existir en la misma red virtual del clúster de AKS o en la emparejada. Para más información, consulte el artículo Protección del área de trabajo con un punto de conexión privado.
- Si tiene otro almacenamiento que se use en las áreas de trabajo de Azure Machine Learning, agregue un nuevo punto de conexión privado para ese almacenamiento. El punto de conexión privado debe existir en la red virtual del clúster de AKS o en la emparejada y tener habilitada la integración con la zona DNS privada.
- Adición de un punto de conexión privado al área de trabajo. Este punto de conexión privado debe existir en la red virtual del clúster de AKS o en la emparejada y tener habilitada la integración con la zona DNS privada.
Si tiene el clúster de AKS listo, pero aún no tiene el área de trabajo creada, puede usar la red virtual del clúster de AKS al crear el área de trabajo. Use la información sobre la red virtual del clúster de AKS cuando siga el tutorial Creación de un área de trabajo segura. Una vez creado el área de trabajo, agregue un nuevo punto de conexión privado al área de trabajo como último paso. En todos los pasos anteriores, es importante asegurarse de que todos los puntos de conexión privados existan en la misma red virtual del clúster de AKS y de que tengan habilitada la integración con la zona DNS privada.
Notas especiales para configurar un entorno de inferencia de AKS seguro:
- Use la identidad administrada asignada por el sistema al crear el área de trabajo, ya que la cuenta de almacenamiento con el punto de conexión privado solo permite el acceso con este tipo de identidad.
- Al asociar un clúster de AKS a un área de trabajo de HBI, asigne una identidad administrada asignada por el sistema con roles
Storage Blob Data ContributoryStorage Account Contributor. - Si usa ACR predeterminado creado por el área de trabajo, asegúrese de que tiene la SKU prémium para ACR. Habilite también
Firewall exceptionpara permitir que los servicios de Microsoft de confianza accedan a ACR. - Si el área de trabajo también está detrás de un red virtual, siga las instrucciones de Conexión segura al área de trabajo para acceder al área de trabajo.
- Para el punto de conexión privado de la cuenta de almacenamiento, asegúrese de habilitar
Allow Azure services on the trusted services list to access this storage account.
Nota:
Si la instancia de AKS que está detrás de una red virtual se ha detenido y reiniciado, debe hacer lo siguiente:
- En primer lugar, siga los pasos descritos en Inicio y detención de un clúster de Azure Kubernetes Service (AKS) para eliminar y volver a crear un punto de conexión privado vinculado a este clúster.
- A continuación, vuelva a adjuntar los procesos de Kubernetes adjuntos de este AKS en el área de trabajo.
De lo contrario, se producirá un error en la creación, actualización y eliminación de puntos de conexión o implementaciones en este clúster de AKS.
Pasos siguientes
Este artículo forma parte de una serie sobre la protección de un flujo de trabajo de Azure Machine Learning. Consulte los demás artículos de esta serie:
- Información general sobre redes virtuales
- Protección del entorno de entrenamiento
- Protección de puntos de conexión en línea (inferencia)
- Habilitación de la función de Studio
- Uso de un DNS personalizado
- Uso de un firewall
- Tutorial: Creación de un área de trabajo segura
- Tutorial: Creación de un área de trabajo segura mediante una plantilla
- Aislamiento de red de la plataforma de API