Az Azure Kubernetes Service következtetési környezetének biztonságossá tétele

  • Cikk

Ha a virtuális hálózat mögött azure Kubernetes-fürt (AKS) található, akkor az Azure Machine Tanulás munkaterület erőforrásait és egy számítási környezetet kell biztosítania ugyanazzal vagy társhálózattal rendelkező virtuális hálózat használatával. Ebben a cikkben a következőt fogja elsajátítani:

  • Mi a biztonságos AKS-következtetési környezet?
  • Biztonságos AKS-következtetési környezet konfigurálása

Korlátozások

  • Ha az AKS-fürt egy virtuális hálózat mögött található, a munkaterületnek és a hozzá tartozó erőforrásoknak (tároló, kulcstartó, Azure Container Registry) privát végpontokkal vagy szolgáltatásvégpontokkal kell rendelkezniük ugyanazon a virtuális hálózaton, amely az AKS-fürt virtuális hálózata, vagy annak egy társhálózatán. A munkaterület és a társított erőforrások biztonságossá tételével kapcsolatos további információt a biztonságos munkaterület létrehozását ismertető részben talál.
  • Ha a munkaterület privát végponttal rendelkezik, az Azure Kubernetes Service-fürtnek ugyanabban az Azure-régióban kell lennie, mint a munkaterület.
  • A nyilvános teljes tartománynév (FQDN) privát AKS-fürttel való használatát nem támogatja az Azure Machine Learning.

Mi a biztonságos AKS-következtetési környezet?

Az Azure Machine Tanulás AKS következtetési környezete a munkaterületből, az AKS-fürtből és a munkaterülethez kapcsolódó erőforrásokból áll – Azure Storage, Azure Key Vault és Azure Container Services (ARC). Az alábbi táblázat azt hasonlítja össze, hogy a szolgáltatások hogyan férnek hozzá az Azure Machine Learning-hálózat különböző részeihez virtuális hálózattal vagy anélkül.

Eset Munkaterület Társított erőforrások (Storage-fiók, Key Vault, ACR) AKS-fürt
Nincs virtuális hálózat Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím
Nyilvános munkaterület, minden más erőforrás egy virtuális hálózaton Nyilvános IP-cím Nyilvános IP-cím (szolgáltatásvégpont)
-Vagy-
Magánhálózati IP-cím (privát végpont)		 Magánhálózati IP-cím
Erőforrások védelme egy virtuális hálózaton Magánhálózati IP-cím (privát végpont) Nyilvános IP-cím (szolgáltatásvégpont)
-Vagy-
Magánhálózati IP-cím (privát végpont)		 Magánhálózati IP-cím

Biztonságos AKS-következtetési környezetben az AKS-fürt az Azure Machine Tanulás szolgáltatások különböző részeihez fér hozzá csak privát végponttal (privát IP-címmel). Az alábbi hálózati diagram egy biztonságos Azure Machine Tanulás-munkaterületet mutat be egy privát AKS-fürttel vagy a VNet mögötti alapértelmezett AKS-fürttel.

Biztonságos AKS-következtetési környezet: Az AKS-fürt az Azure Machine Tanulás szolgáltatások különböző részeihez fér hozzá privát végponttal, beleértve a munkaterületet és a hozzá tartozó erőforrásokat

Biztonságos AKS-következtetési környezet konfigurálása

A biztonságos AKS-következtetési környezet konfigurálásához rendelkeznie kell az AKS virtuális hálózatának adataival. A virtuális hálózat önállóan vagy az AKS-fürt üzembe helyezése során hozható létre. Az AKS-fürtnek két lehetősége van egy virtuális hálózatban:

  • Alapértelmezett AKS-fürt üzembe helyezése a virtuális hálózaton
  • Vagy hozzon létre privát AKS-fürtöt a virtuális hálózatra

Az alapértelmezett AKS-fürt esetében a virtuális hálózat információi MC_[rg_name][aks_name][region]a következő erőforráscsoportban találhatók: .

Miután rendelkezik az AKS-fürt virtuális hálózatával, és már rendelkezik munkaterülettel, a következő lépésekkel konfigurálhat egy biztonságos AKS-következtetési környezetet:

  • Az AKS-fürt virtuális hálózatának adataival új privát végpontokat adhat hozzá a munkaterület által használt Azure Storage-fiókhoz, Az Azure Key Vaulthoz és az Azure Container Registryhez. Ezeknek a privát végpontoknak ugyanabban vagy társhálózatban kell létezniük, mint az AKS-fürt. További információkért tekintse meg a biztonságos munkaterületet a privát végpontokkal foglalkozó cikkben.
  • Ha az Azure Machine Tanulás számítási feladatai által használt egyéb tárterületekkel rendelkezik, adjon hozzá egy új privát végpontot ehhez a tárolóhoz. A privát végpontnak ugyanabban vagy társhálózatban kell lennie, mint az AKS-fürt, és engedélyezve kell lennie a privát DNS-zónaintegrációnak.
  • Adjon hozzá egy új privát végpontot a munkaterülethez. Ennek a privát végpontnak ugyanabban vagy társhálózatban kell lennie, mint az AKS-fürt, és engedélyezve kell lennie a privát DNS-zónaintegrációnak.

Ha készen áll az AKS-fürt, de még nem hozott létre munkaterületet, a munkaterület létrehozásakor használhatja az AKS-fürt virtuális hálózatát. A biztonságos munkaterület létrehozása oktatóanyag követéséhez használja az AKS-fürt virtuális hálózatának adatait. A munkaterület létrehozása után az utolsó lépésként adjon hozzá egy új privát végpontot a munkaterülethez. A fenti lépéseknél fontos biztosítani, hogy az összes privát végpont ugyanabban az AKS-fürt virtuális hálózatában létezhessen, és engedélyezve legyen a privát DNS-zónaintegráció.

Speciális megjegyzések a biztonságos AKS-következtetési környezet konfigurálásához:

  • A munkaterület létrehozásakor rendszer által hozzárendelt felügyelt identitást használjon, mivel a privát végponttal rendelkező tárfiók csak a rendszer által hozzárendelt felügyelt identitással teszi lehetővé a hozzáférést.
  • Ha AKS-fürtöt csatol egy HBI-munkaterülethez, rendeljen hozzá egy rendszer által hozzárendelt felügyelt identitást mindkettővel Storage Blob Data Contributor és Storage Account Contributor szerepkörrel.
  • Ha a munkaterület által létrehozott alapértelmezett ACR-t használja, győződjön meg arról, hogy rendelkezik az ACR prémium termékváltozatával . Engedélyezze azt is, hogy a Firewall exception megbízható Microsoft-szolgáltatások hozzáférjenek az ACR-hez.
  • Ha a munkaterület egy virtuális hálózat mögött is található, kövesse a munkaterülethez való biztonságos csatlakozásra vonatkozó utasításokat a munkaterület eléréséhez.
  • A tárfiók privát végpontja esetén mindenképpen engedélyezze az engedélyezést Allow Azure services on the trusted services list to access this storage account.

Feljegyzés

Ha a virtuális hálózat mögötti AKS leállt és újraindult, az alábbiakat kell elvégeznie:

  1. Először kövesse a Stop szakaszban leírt lépéseket, és indítsa el az Azure Kubernetes Service-fürtöt (AKS) a fürthöz társított privát végpont törléséhez és újbóli létrehozásához.
  2. Ezután újra kell csatlakoztatni a munkaterület ezen AKS-éből csatolt Kubernetes-számításokat.

Ellenkező esetben a végpontok/üzemelő példányok létrehozása, frissítése és törlése az AKS-fürtben sikertelen lesz.

Következő lépések

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét: