安全的 Azure Kubernetes Service 推斷環境
如果在 VNet 後方有 Azure Kubernetes (AKS) 叢集,您必須使用相同的 VNet 或對等互連的 VNet 來保護 Azure Machine Learning 工作區資源和計算環境。 在本文中,您將了解:
- 什麼是安全的 AKS 推斷環境
- 如何設定安全的 AKS 推斷環境
限制
- 如果您的 AKS 叢集位於 VNet 後方,則您的工作區及其相關聯的資源 (儲存體、金鑰保存庫、Azure Container Registry) 必須在與 AKS 叢集的 VNet 相同 VNet 或對等互連 VNet 中具有私人端點或服務端點。 如需保護工作區和已建立關聯資源的詳細資訊,請參閱建立安全的工作區。
- 如果工作區有私人端點,則 Azure Kubernetes Service 叢集與工作區必須位於相同的 Azure 區域。
- Azure Machine learning 不支援使用公用完整網域名稱 (FQDN) 搭配私人 AKS 叢集。
什麼是安全的 AKS 推斷環境
Azure Machine Learning AKS 推斷環境包含工作區、AKS 叢集和工作區相關聯的資源 - Azure 儲存體、Azure Key Vault 和 Azure Container Services (ARC)。 下表比較服務在具有或沒有 VNet 的情況下如何存取 Azure Machine Learning 網路的不同部分。
| 案例 | 工作區 | 相關聯的資源 (儲存體帳戶、金鑰保存庫、ACR) | AKS cluster |
|---|---|---|---|
| 無虛擬網路 | 公用 IP | 公用 IP | 公用 IP |
| 公用工作區,虛擬網路中的所有其他資源 | 公用 IP | 公用 IP (服務端點) - 或 - 私人 IP (私人端點) |
私人 IP |
| 保護虛擬網路中的資源 | 私人 IP (私人端點) | 公用 IP (服務端點) - 或 - 私人 IP (私人端點) |
私人 IP |
在安全的 AKS 推斷環境中,AKS 叢集只會透過私人端點 (私人 IP) 存取 Azure Machine Learning 服務的不同部分。 下列網路圖顯示在 VNet 後方具有私人 AKS 叢集或預設 AKS 叢集的安全 Azure Machine Learning 工作區。
如何設定安全的 AKS 推斷環境
若要設定安全的 AKS 推斷環境,您必須具有 AKS 的 VNet 資訊。 VNet 可以獨立建立或在 AKS 叢集部署期間建立。 VNet 中的 AKS 叢集有兩個選項:
- 將預設 AKS 叢集部署至您的 VNet
- 或在您的 VNet 中建立私人 AKS 叢集
針對預設 AKS 叢集,您可以在 MC_[rg_name][aks_name][region] 的資源群組下找到 VNet 資訊。
具有 AKS 叢集的 VNet 資訊之後,如果您已經有可用的工作區,請使用下列步驟來設定安全的 AKS 推斷環境:
- 使用 AKS 叢集 VNet 資訊,為工作區所使用的 Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry 新增私人端點。 這些私人端點應該存在於與 AKS 叢集相同的 VNet 或對等互連的 VNet 中。 如需詳細資訊,請參閱具有私人端點的安全工作區一文。
- 如果 Azure Machine Learning 工作負載使用其他儲存體,請為該儲存體新增私人端點。 私人端點應該存在於與 AKS 叢集相同的 VNet 或對等互連的 VNet 中,並啟用私人 DNS 區域整合。
- 將新的私人端點新增至您的工作區。 這個私人端點應該存在於與 AKS 叢集相同的 VNet 或對等互連的 VNet 中,並啟用私人 DNS 區域整合。
如果您已備妥 AKS 叢集,但尚未建立工作區,您可以在建立工作區時使用 AKS 叢集 VNet。 遵循建立安全的工作區教學課程時,使用 AKS 叢集 VNet 資訊。 建立工作區後,請將新的私人端點新增至您的工作區,作為最後一個步驟。 針對上述所有步驟,務必確定所有私人端點都應該存在於相同的 AKS 叢集 VNet 中,並已啟用私人 DNS 區域整合。
設定安全 AKS 推斷環境的特殊注意事項:
- 建立工作區時使用系統指派的受控識別,因為具有私人端點的儲存體帳戶只允許使用系統指派的受控識別進行存取。
- 將 AKS 叢集連結至 HBI 工作區時,請同時指派具有
Storage Blob Data Contributor和Storage Account Contributor角色的系統指派受控識別。 - 如果您使用工作區所建立的預設 ACR,確定您有適用於 ACR 的進階 SKU。 此外,還要讓
Firewall exception能夠允許受信任的 Microsoft 服務存取 ACR。 - 如果您的工作區也在 VNet 後方,請依照與工作區安全連線的指示操作,存取工作區。
- 對於儲存體帳戶私人端點,務必啟用
Allow Azure services on the trusted services list to access this storage account。
注意
如果 VNet 後方的 AKS 已停止並重新開機,您需要:
- 首先,請依照停止並啟動 Azure Kubernetes Service (AKS) 叢集中的步驟,刪除並重新建立連結到這個叢集的私人端點。
- 然後在工作區中重新連結從這個 AKS 連結的 Kubernetes 計算。
否則將不能建立、更新和刪除這個 AKS 叢集的端點/部署。
下一步
本文是關於保護 Azure Machine Learning 工作流程系列文章的一部分。 請參閱本系列的其他文章: