Ambiente de inferência seguro do Serviço Kubernetes do Azure
Se você tiver um cluster do Azure Kubernetes (AKS) por trás da VNet, precisará proteger os recursos do espaço de trabalho do Azure Machine Learning e um ambiente de computação usando a mesma VNet ou emparelhada. Neste artigo, você aprenderá:
- O que é um ambiente de inferência AKS seguro
- Como configurar um ambiente de inferência AKS seguro
Limitações
- Se o cluster do AKS estiver protegido por uma VNet, a área de trabalho e os recursos associados (armazenamento, cofre de chaves, Azure Container Registry) terão de ter pontos finais privados ou pontos finais de serviço na mesma VNet ou numa VNet em modo de peering como VNet do cluster do AKS. Para obter mais informações sobre como proteger a área de trabalho e os recursos associados, veja Criar uma área de trabalho segura.
- Se seu espaço de trabalho tiver um ponto de extremidade privado, o cluster do Serviço Kubernetes do Azure deverá estar na mesma região do Azure que o espaço de trabalho.
- A utilização de um nome de domínio completamente qualificado (FQDN) com um cluster do AKS privadonão é suportada com o Azure Machine Learning.
O que é um ambiente de inferência AKS seguro
O ambiente de inferência AKS do Azure Machine Learning consiste em espaço de trabalho, seu cluster AKS e recursos associados ao espaço de trabalho - Armazenamento do Azure, Azure Key Vault e Azure Container Services(ARC). A tabela seguinte compara a forma como os serviços acedem a diferentes partes da rede do Azure Machine Learning com ou sem uma VNet.
| Cenário | Área de trabalho | Recursos associados (Conta de armazenamento, Key Vault, ACR) | Cluster do AKS |
|---|---|---|---|
| Nenhuma rede virtual | IP público | IP público | IP público |
| Área de trabalho pública, todos os outros recursos numa rede virtual | IP público | IP público (ponto de extremidade de serviço) - ou - IP Privado (ponto final privado) |
IP privado |
| Proteger recursos numa rede virtual | IP Privado (ponto final privado) | IP público (ponto de extremidade de serviço) - ou - IP Privado (ponto final privado) |
IP privado |
Em um ambiente de inferência AKS seguro, o cluster AKS acessa diferentes partes dos serviços do Azure Machine Learning apenas com ponto de extremidade privado (IP privado). O diagrama de rede a seguir mostra um espaço de trabalho seguro do Azure Machine Learning com um cluster AKS privado ou cluster AKS padrão atrás da VNet.
Como configurar um ambiente de inferência AKS seguro
Para configurar um ambiente de inferência AKS seguro, você deve ter informações de VNet para o AKS. A VNet pode ser criada independentemente ou durante a implantação do cluster AKS. Há duas opções para o cluster AKS em uma rede virtual:
- Implantar cluster AKS padrão em sua rede virtual
- Ou crie um cluster AKS privado para a sua rede virtual
Para o cluster AKS padrão, você pode encontrar informações de VNet no grupo de recursos de MC_[rg_name][aks_name][region].
Depois de ter informações de VNet para cluster AKS e se você já tiver espaço de trabalho disponível, use as seguintes etapas para configurar um ambiente de inferência AKS seguro:
- Use suas informações de VNet do cluster AKS para adicionar novos pontos de extremidade privados para a Conta de Armazenamento do Azure, o Cofre da Chave do Azure e o Registro de Contêiner do Azure usados pelo seu espaço de trabalho. Esses pontos de extremidade privados devem existir na mesma VNet ou emparelhada que o cluster AKS. Para obter mais informações, consulte o artigo Espaço de trabalho seguro com ponto de extremidade privado.
- Se você tiver outro armazenamento usado por suas cargas de trabalho do Azure Machine Learning, adicione um novo ponto de extremidade privado para esse armazenamento. O ponto de extremidade privado deve estar na mesma VNet ou emparelhada que o cluster AKS e ter a integração de zona DNS privada habilitada.
- Adicione um novo ponto de extremidade privado ao seu espaço de trabalho. Este ponto de extremidade privado deve estar na mesma VNet ou emparelhada que o cluster AKS e ter a integração de zona DNS privada habilitada.
Se você tiver o cluster AKS pronto, mas ainda não tiver o espaço de trabalho criado, poderá usar a VNet do cluster AKS ao criar o espaço de trabalho. Use as informações de VNet do cluster AKS ao seguir o tutorial Criar espaço de trabalho seguro. Depois que o espaço de trabalho tiver sido criado, adicione um novo ponto de extremidade privado ao seu espaço de trabalho como a última etapa. Para todas as etapas acima, é importante garantir que todos os pontos de extremidade privados existam na mesma VNet de cluster AKS e tenham a integração de zona DNS privada habilitada.
Notas especiais para configurar um ambiente de inferência AKS seguro:
- Use a identidade gerenciada atribuída ao sistema ao criar espaço de trabalho, pois a conta de armazenamento com ponto de extremidade privado só permite acesso com identidade gerenciada atribuída ao sistema.
- Ao anexar o cluster AKS a um espaço de trabalho HBI, atribua uma identidade gerenciada atribuída ao sistema com ambas as
Storage Blob Data Contributorfunções eStorage Account Contributorfunções. - Se você estiver usando o ACR padrão criado pelo espaço de trabalho, certifique-se de ter o SKU premium para ACR. Habilite também o
Firewall exceptionpara permitir que serviços confiáveis da Microsoft acessem o ACR. - Se o seu espaço de trabalho também estiver atrás de uma rede virtual, siga as instruções em Conectar-se com segurança ao seu espaço de trabalho para acessar o espaço de trabalho.
- Para o ponto de extremidade privado da conta de armazenamento, certifique-se de ativar o
Allow Azure services on the trusted services list to access this storage account.
Nota
Se o seu AKS que está por trás de uma VNet foi interrompido e reiniciado, você precisa:
- Primeiro, siga as etapas em Parar e iniciar um cluster do Serviço Kubernetes do Azure (AKS) para excluir e recriar um ponto de extremidade privado vinculado a esse cluster.
- Em seguida, reanexe os cálculos do Kubernetes anexados a partir desse AKS em seu espaço de trabalho.
Caso contrário, a criação, atualização e exclusão de endpoints/implantações para este cluster AKS falhará.
Próximos passos
Este artigo faz parte de uma série sobre como proteger um fluxo de trabalho do Azure Machine Learning. Veja os outros artigos desta série:
- Descrição geral da rede virtual
- Proteger o ambiente de formação
- Pontos finais online seguros (inferência)
- Ativar funcionalidade de estúdio
- Utilizar o DNS personalizado
- Usar um firewall
- Tutorial: Criar um espaço de trabalho seguro
- Tutorial: Criar um espaço de trabalho seguro usando um modelo
- Isolamento de rede da plataforma API