Mengamankan lingkungan inferensi Azure Kubernetes Service

  • Artikel

Jika Anda memiliki kluster Azure Kubernetes (AKS) di belakang VNet, Anda harus mengamankan sumber daya ruang kerja Azure Pembelajaran Mesin dan lingkungan komputasi menggunakan VNet yang sama atau di-peering. Dalam artikel ini, Anda akan mempelajari:

  • Apa itu lingkungan inferensi AKS yang aman
  • Cara mengonfigurasi lingkungan inferensi AKS yang aman

Batasan

  • Jika kluster AKS Anda berada di belakang VNet, ruang kerja Anda dan sumber daya terkait (penyimpanan, brankas kunci, Azure Container Registry) perlu memiliki titik akhir privat ataupun titik akhir layanan di VNet yang sama dengan VNet kluster AKS. Untuk informasi selengkapnya tentang mengamankan ruang kerja dan sumber daya terkait, lihat membuat ruang kerja yang aman.
  • Jika ruang kerja Anda memiliki titik akhir privat, kluster Azure Kubernetes Service harus berada di wilayah Azure yang sama dengan ruang kerja.
  • Menggunakan nama domain publik yang memenuhi syarat (FQDN) dengan kluster AKS privat tidak didukung dengan Azure Machine Learning.

Apa itu lingkungan inferensi AKS yang aman

Lingkungan inferensi Azure Machine Learning AKS terdiri dari ruang kerja, kluster AKS Anda, dan sumber daya terkait ruang kerja - Azure Storage, Azure Key Vault, dan Azure Container Services (ARC). Tabel berikut membandingkan cara layanan mengakses bagian berbeda dari jaringan Azure Machine Learning dengan dan tanpa VNet.

Skenario Workspace Sumber daya terkait (Akun penyimpanan, Key Vault, ACR) Kluster AKS
Tidak ada jaringan virtual IP Publik IP Publik IP Publik
Ruang kerja publik, semua sumber daya lain dalam jaringan virtual IP Publik IP Publik (titik akhir layanan)
- atau -
IP privat (titik akhir privat)		 IP Privat
Amankan sumber daya di jaringan virtual IP privat (titik akhir privat) IP Publik (titik akhir layanan)
- atau -
IP privat (titik akhir privat)		 IP Privat

Dalam lingkungan inferensi AKS yang aman, kluster AKS mengakses berbagai bagian layanan Azure Machine Learning dengan titik akhir privat saja (IP privat). Diagram jaringan berikut menunjukkan ruang kerja Azure Machine Learning yang aman dengan kluster AKS privat atau kluster AKS default di belakang VNet.

Envrionment inferensi AKS yang aman: Kluster AKS mengakses berbagai bagian layanan Azure Pembelajaran Mesin dengan titik akhir privat, termasuk ruang kerja dan sumber daya terkait

Cara mengonfigurasi lingkungan inferensi AKS yang aman

Untuk mengonfigurasi lingkungan inferensi AKS yang aman, Anda harus memiliki informasi VNet untuk AKS. VNet dapat dibuat secara independen atau selama penyebaran kluster AKS. Ada dua opsi untuk kluster AKS di VNet:

  • Sebarkan kluster AKS default ke VNet Anda
  • Atau buat kluster AKS privat ke VNet Anda

Untuk kluster AKS default, Anda dapat menemukan informasi VNet di grup sumber daya MC_[rg_name][aks_name][region].

Setelah Anda memiliki informasi VNet untuk kluster AKS dan jika Anda sudah memiliki ruang kerja yang tersedia, gunakan langkah-langkah berikut untuk mengonfigurasi lingkungan inferensi AKS yang aman:

  • Gunakan informasi VNet kluster AKS Anda untuk menambahkan titik akhir privat baru untuk Akun Azure Storage, Azure Key Vault, dan Azure Container Registry yang digunakan oleh ruang kerja Anda. Titik akhir privat ini harus ada di VNet yang sama atau di-peering sebagai kluster AKS. Untuk informasi selengkapnya, lihat artikel mengamankan ruang kerja dengan titik akhir privat.
  • Jika Anda memiliki penyimpanan lain yang digunakan oleh beban kerja Azure Pembelajaran Mesin Anda, tambahkan titik akhir privat baru untuk penyimpanan tersebut. Titik akhir privat harus berada di VNet yang sama atau di-peering sebagai kluster AKS dan mengaktifkan integrasi zona DNS privat.
  • Tambahkan titik akhir privat baru ke ruang kerja Anda. Titik akhir privat ini harus berada di VNet yang sama atau di-peering dengan kluster AKS Anda dan mengaktifkan integrasi zona DNS privat.

Jika Anda memiliki kluster AKS yang siap tetapi belum memiliki ruang kerja yang dibuat, Anda dapat menggunakan VNet kluster AKS saat membuat ruang kerja. Gunakan informasi VNet kluster AKS saat mengikuti tutorial membuat ruang kerja yang aman. Setelah ruang kerja dibuat, tambahkan titik akhir privat baru ke ruang kerja Anda sebagai langkah terakhir. Untuk semua langkah di atas, penting untuk memastikan bahwa semua titik akhir privat harus ada di VNet kluster AKS yang sama dan mengaktifkan integrasi zona DNS privat.

Catatan khusus untuk mengonfigurasi lingkungan inferensi AKS yang aman:

  • Gunakan identitas terkelola yang ditetapkan sistem saat membuat ruang kerja, karena akun penyimpanan dengan titik akhir privat hanya mengizinkan akses dengan identitas terkelola yang ditetapkan sistem.
  • Saat melampirkan kluster AKS ke ruang kerja HBI, tetapkan identitas terkelola yang ditetapkan sistem dengan peran Storage Blob Data Contributor dan Storage Account Contributor.
  • Jika Anda menggunakan ACR default yang dibuat oleh ruang kerja, pastikan Anda memiliki SKU premium untuk ACR. Aktifkan Firewall exception juga untuk mengizinkan layanan Microsoft tepercaya mengakses ACR.
  • Jika ruang kerja Anda juga berada di belakang VNet, ikuti instruksi dalam menyambungkan dengan aman ke ruang kerja Anda untuk mengakses ruang kerja.
  • Untuk titik akhir privat akun penyimpanan, pastikan untuk mengaktifkan Allow Azure services on the trusted services list to access this storage account.

Catatan

Jika AKS Anda yang berada di belakang VNet telah dihentikan dan dimulai ulang, Anda perlu:

  1. Pertama, ikuti langkah-langkah di Hentikan dan mulai kluster Azure Kubernetes Service (AKS) untuk menghapus dan membuat ulang titik akhir privat yang ditautkan ke kluster ini.
  2. Kemudian, pasang kembali komputasi Kubernetes yang terpasang dari AKS ini di ruang kerja Anda.

Jika tidak, pembuatan, pembaruan, dan penghapusan titik akhir/penyebaran ke kluster AKS ini akan gagal.

Langkah berikutnya

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini: