Azure Kubernetes Service çıkarım ortamının güvenliğini sağlama

Sanal ağın arkasında bir Azure Kubernetes (AKS) kümeniz varsa, aynı veya eşlenmiş sanal ağı kullanarak Azure Machine Learning çalışma alanı kaynaklarının ve işlem ortamının güvenliğini sağlamanız gerekir. Bu makalede şunları öğreneceksiniz:

• Güvenli AKS çıkarım ortamı nedir?
• Güvenli bir AKS çıkarım ortamı yapılandırma

Sınırlamalar

• AKS kümeniz bir sanal ağın arkasındaysa, çalışma alanınızın ve ilişkili kaynaklarının (depolama, anahtar kasası, Azure Container Registry) aynı sanal ağda veya AKS kümesinin sanal ağıyla eşlenmiş bir sanal ağda özel uç noktaları veya hizmet uç noktaları olmalıdır. Çalışma alanının ve ilişkilendirilmiş kaynakların güvenliğini sağlama hakkında daha fazla bilgi için bkz. Güvenli çalışma alanı oluşturma.
• Çalışma alanınızın özel uç noktası varsa, Azure Kubernetes Service kümesi çalışma alanıyla aynı Azure bölgesinde olmalıdır.
• Azure Machine Learning'de özel AKS kümesiyle genel tam etki alanı adı (FQDN) kullanılması desteklenmez.

Güvenli AKS çıkarım ortamı nedir?

Azure Machine Learning AKS çıkarım ortamı çalışma alanından, AKS kümenizden ve çalışma alanıyla ilişkili kaynaklardan (Azure Depolama, Azure Key Vault ve Azure Container Services(ARC) oluşur. Aşağıdaki tabloda hizmetlerin sanal ağ ile veya sanal ağ olmadan Azure Machine Learning ağının farklı bölümlerine nasıl eriştiği karşılaştırılır.

Senaryo	Çalışma alanı	İlişkilendirilmiş kaynaklar (Depolama hesabı, Key Vault, ACR)	AKS kümesi
Sanal ağ yok	Genel IP	Genel IP	Genel IP
Ortak çalışma alanı, sanal ağdaki diğer tüm kaynaklar	Genel IP	Genel IP (hizmet uç noktası) -veya- Özel IP (özel uç nokta)	Özel IP
Sanal ağdaki güvenli kaynaklar	Özel IP (özel uç nokta)	Genel IP (hizmet uç noktası) -veya- Özel IP (özel uç nokta)	Özel IP

Güvenli bir AKS çıkarım ortamında AKS kümesi, Azure Machine Learning hizmetlerinin farklı bölümüne yalnızca özel uç nokta (özel IP) ile erişir. Aşağıdaki ağ diyagramında, sanal ağın arkasında özel AKS kümesi veya varsayılan AKS kümesi bulunan güvenli bir Azure Machine Learning çalışma alanı gösterilmektedir.

Güvenli bir AKS çıkarım ortamı yapılandırma

Güvenli bir AKS çıkarım ortamı yapılandırmak için AKS için sanal ağ bilgileriniz olmalıdır. Sanal ağ bağımsız olarak veya AKS kümesi dağıtımı sırasında oluşturulabilir. Bir sanal ağda AKS kümesi için iki seçenek vardır:

• Varsayılan AKS kümesini sanal ağınıza dağıtma
• Veya sanal ağınıza özel AKS kümesi oluşturabilirsiniz

Varsayılan AKS kümesi için, sanal ağ bilgilerini kaynak grubu MC_[rg_name][aks_name][region]altında bulabilirsiniz.

AKS kümesi için sanal ağ bilgilerine sahip olduktan sonra ve zaten kullanılabilir çalışma alanınız varsa, güvenli bir AKS çıkarım ortamı yapılandırmak için aşağıdaki adımları kullanın:

• Aks kümesi sanal ağ bilgilerinizi kullanarak çalışma alanınız tarafından kullanılan Azure Depolama Hesabı, Azure Key Vault ve Azure Container Registry için yeni özel uç noktalar ekleyin. Bu özel uç noktalar AKS kümesiyle aynı veya eşlenmiş sanal ağda bulunmalıdır. Daha fazla bilgi için özel uç nokta ile güvenli çalışma alanı makalesine bakın.
• Azure Machine Learning iş yükleriniz tarafından kullanılan başka depolama alanınız varsa bu depolama için yeni bir özel uç nokta ekleyin. Özel uç nokta AKS kümesiyle aynı veya eşlenmiş sanal ağda olmalı ve özel DNS bölgesi tümleştirmesi etkinleştirilmelidir.
• Çalışma alanınıza yeni bir özel uç nokta ekleyin. Bu özel uç nokta AKS kümenizle aynı veya eşlenmiş sanal ağda olmalı ve özel DNS bölgesi tümleştirmesi etkinleştirilmelidir.

AKS kümeniz hazırsa ancak henüz çalışma alanı oluşturulmadıysa, çalışma alanını oluştururken AKS kümesi sanal ağı kullanabilirsiniz. Güvenli çalışma alanı oluşturma öğreticisini takip ederken AKS kümesi sanal ağ bilgilerini kullanın. Çalışma alanı oluşturulduktan sonra, son adım olarak çalışma alanınıza yeni bir özel uç nokta ekleyin. Yukarıdaki tüm adımlar için, tüm özel uç noktaların aynı AKS kümesi sanal ağında bulunması ve özel DNS bölgesi tümleştirmesinin etkinleştirilmesi önemlidir.

Güvenli bir AKS çıkarım ortamı yapılandırmaya yönelik özel notlar:

• Özel uç noktaya sahip depolama hesabı yalnızca sistem tarafından atanan yönetilen kimlikle erişime izin verdiğinden, çalışma alanı oluştururken sistem tarafından atanan yönetilen kimliği kullanın.
• AKS kümesini bir HBI çalışma alanına eklerken, hem hem de Storage Blob Data Contributor Storage Account Contributor rolleriyle sistem tarafından atanan bir yönetilen kimlik atayın.
• Çalışma alanı tarafından oluşturulan varsayılan ACR kullanıyorsanız ACR için premium SKU'ya sahip olduğunuzdan emin olun. Ayrıca, güvenilen Microsoft hizmetleri ACR'ye erişmesine izin vermek için öğesini etkinleştirinFirewall exception.
• Çalışma alanınız da bir sanal ağın arkasındaysa, çalışma alanına erişmek için çalışma alanınıza güvenli bir şekilde bağlanma başlığındaki yönergeleri izleyin.
• Depolama hesabı özel uç noktası için öğesini etkinleştirdiğinizden Allow Azure services on the trusted services list to access this storage accountemin olun.

Not

Sanal ağın arkasındaki AKS'niz durdurulduysa ve yeniden başlatıldıysa şunları yapmanız gerekir:

1. İlk olarak, bu kümeye bağlı özel uç noktayı silmek ve yeniden oluşturmak için Azure Kubernetes Service (AKS) kümesini durdurma ve başlatma bölümünde verilen adımları izleyin.
2. Ardından, bu AKS'den eklenen Kubernetes işlemlerini çalışma alanınıza yeniden ekleyin.

Aksi takdirde, bu AKS kümesinde uç noktaların/dağıtımların oluşturulması, güncelleştirilmesi ve silinmesi başarısız olur.

Sonraki adımlar

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

• Sanal ağa genel bakış
• Eğitim ortamının güvenliğini sağlama
• Çevrimiçi uç noktaların güvenliğini sağlama (çıkarım)
• Stüdyo işlevselliğini etkinleştirme
• Özel DNS kullanma
• Güvenlik duvarı kullanma
• Öğretici: Güvenli çalışma alanı oluşturma
• Öğretici: Şablon kullanarak güvenli çalışma alanı oluşturma
• API platformu ağ yalıtımı