Mengamankan lingkungan inferensi Azure Kubernetes Service
Jika Anda memiliki kluster Azure Kubernetes (AKS) di belakang VNet, Anda harus mengamankan sumber daya ruang kerja Azure Pembelajaran Mesin dan lingkungan komputasi menggunakan VNet yang sama atau di-peering. Dalam artikel ini, Anda akan mempelajari:
- Apa itu lingkungan inferensi AKS yang aman
- Cara mengonfigurasi lingkungan inferensi AKS yang aman
Batasan
- Jika kluster AKS Anda berada di belakang VNet, ruang kerja Anda dan sumber daya terkait (penyimpanan, brankas kunci, Azure Container Registry) perlu memiliki titik akhir privat ataupun titik akhir layanan di VNet yang sama dengan VNet kluster AKS. Untuk informasi selengkapnya tentang mengamankan ruang kerja dan sumber daya terkait, lihat membuat ruang kerja yang aman.
- Jika ruang kerja Anda memiliki titik akhir privat, kluster Azure Kubernetes Service harus berada di wilayah Azure yang sama dengan ruang kerja.
- Menggunakan nama domain publik yang memenuhi syarat (FQDN) dengan kluster AKS privat tidak didukung dengan Azure Machine Learning.
Apa itu lingkungan inferensi AKS yang aman
Lingkungan inferensi Azure Machine Learning AKS terdiri dari ruang kerja, kluster AKS Anda, dan sumber daya terkait ruang kerja - Azure Storage, Azure Key Vault, dan Azure Container Services (ARC). Tabel berikut membandingkan cara layanan mengakses bagian berbeda dari jaringan Azure Machine Learning dengan dan tanpa VNet.
Skenario | Workspace | Sumber daya terkait (Akun penyimpanan, Key Vault, ACR) | Kluster AKS |
---|---|---|---|
Tidak ada jaringan virtual | IP Publik | IP Publik | IP Publik |
Ruang kerja publik, semua sumber daya lain dalam jaringan virtual | IP Publik | IP Publik (titik akhir layanan) - atau - IP privat (titik akhir privat) |
IP Privat |
Amankan sumber daya di jaringan virtual | IP privat (titik akhir privat) | IP Publik (titik akhir layanan) - atau - IP privat (titik akhir privat) |
IP Privat |
Dalam lingkungan inferensi AKS yang aman, kluster AKS mengakses berbagai bagian layanan Azure Machine Learning dengan titik akhir privat saja (IP privat). Diagram jaringan berikut menunjukkan ruang kerja Azure Machine Learning yang aman dengan kluster AKS privat atau kluster AKS default di belakang VNet.
Cara mengonfigurasi lingkungan inferensi AKS yang aman
Untuk mengonfigurasi lingkungan inferensi AKS yang aman, Anda harus memiliki informasi VNet untuk AKS. VNet dapat dibuat secara independen atau selama penyebaran kluster AKS. Ada dua opsi untuk kluster AKS di VNet:
- Sebarkan kluster AKS default ke VNet Anda
- Atau buat kluster AKS privat ke VNet Anda
Untuk kluster AKS default, Anda dapat menemukan informasi VNet di grup sumber daya MC_[rg_name][aks_name][region]
.
Setelah Anda memiliki informasi VNet untuk kluster AKS dan jika Anda sudah memiliki ruang kerja yang tersedia, gunakan langkah-langkah berikut untuk mengonfigurasi lingkungan inferensi AKS yang aman:
- Gunakan informasi VNet kluster AKS Anda untuk menambahkan titik akhir privat baru untuk Akun Azure Storage, Azure Key Vault, dan Azure Container Registry yang digunakan oleh ruang kerja Anda. Titik akhir privat ini harus ada di VNet yang sama atau di-peering sebagai kluster AKS. Untuk informasi selengkapnya, lihat artikel mengamankan ruang kerja dengan titik akhir privat.
- Jika Anda memiliki penyimpanan lain yang digunakan oleh beban kerja Azure Pembelajaran Mesin Anda, tambahkan titik akhir privat baru untuk penyimpanan tersebut. Titik akhir privat harus berada di VNet yang sama atau di-peering sebagai kluster AKS dan mengaktifkan integrasi zona DNS privat.
- Tambahkan titik akhir privat baru ke ruang kerja Anda. Titik akhir privat ini harus berada di VNet yang sama atau di-peering dengan kluster AKS Anda dan mengaktifkan integrasi zona DNS privat.
Jika Anda memiliki kluster AKS yang siap tetapi belum memiliki ruang kerja yang dibuat, Anda dapat menggunakan VNet kluster AKS saat membuat ruang kerja. Gunakan informasi VNet kluster AKS saat mengikuti tutorial membuat ruang kerja yang aman. Setelah ruang kerja dibuat, tambahkan titik akhir privat baru ke ruang kerja Anda sebagai langkah terakhir. Untuk semua langkah di atas, penting untuk memastikan bahwa semua titik akhir privat harus ada di VNet kluster AKS yang sama dan mengaktifkan integrasi zona DNS privat.
Catatan khusus untuk mengonfigurasi lingkungan inferensi AKS yang aman:
- Gunakan identitas terkelola yang ditetapkan sistem saat membuat ruang kerja, karena akun penyimpanan dengan titik akhir privat hanya mengizinkan akses dengan identitas terkelola yang ditetapkan sistem.
- Saat melampirkan kluster AKS ke ruang kerja HBI, tetapkan identitas terkelola yang ditetapkan sistem dengan peran
Storage Blob Data Contributor
danStorage Account Contributor
. - Jika Anda menggunakan ACR default yang dibuat oleh ruang kerja, pastikan Anda memiliki SKU premium untuk ACR. Aktifkan
Firewall exception
juga untuk mengizinkan layanan Microsoft tepercaya mengakses ACR. - Jika ruang kerja Anda juga berada di belakang VNet, ikuti instruksi dalam menyambungkan dengan aman ke ruang kerja Anda untuk mengakses ruang kerja.
- Untuk titik akhir privat akun penyimpanan, pastikan untuk mengaktifkan
Allow Azure services on the trusted services list to access this storage account
.
Catatan
Jika AKS Anda yang berada di belakang VNet telah dihentikan dan dimulai ulang, Anda perlu:
- Pertama, ikuti langkah-langkah di Hentikan dan mulai kluster Azure Kubernetes Service (AKS) untuk menghapus dan membuat ulang titik akhir privat yang ditautkan ke kluster ini.
- Kemudian, pasang kembali komputasi Kubernetes yang terpasang dari AKS ini di ruang kerja Anda.
Jika tidak, pembuatan, pembaruan, dan penghapusan titik akhir/penyebaran ke kluster AKS ini akan gagal.
Langkah berikutnya
Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:
- Gambaran umum virtual network
- Mengamankan lingkungan pelatihan
- Titik akhir online aman (inferensi)
- Mengaktifkan fungsionalitas studio
- Menggunakan DNS kustom
- Menggunakan firewall
- Tutorial: Cara membuat ruang kerja yang aman
- Tutorial: Cara membuat ruang kerja yang aman menggunakan templat
- Isolasi jaringan platform API