Impostazione dei criteri
Impostazione dei criteri delle applicazioni ML.
L'impostazione dei criteri è fondamentale per:
-
Garantire la funzionalità: per rendere completamente funzionale l'applicazione ML, è necessario concedere i privilegi necessari. Se un servizio nella soluzione in uso non dispone dei privilegi necessari, la soluzione non riesce. Ad esempio, la mancata concessione dell'accesso al job ML alla subnet può interrompere l'applicazione.
-
Segui il principio del minimo privilegio: per mantenere la sicurezza, è fondamentale concedere solo i privilegi necessari. Ad esempio, invece di concedere autorizzazioni generiche come "gestisci object-family" nell'intera tenancy, concedi azioni specifiche, come la lettura di un bucket in un determinato compartimento per un principal di risorsa specifico.
-
Implementazione dell'isolamento dei tenant: le applicazioni ML ti consentono anche di implementare l'isolamento dei tenant. Ciò garantisce che i carichi di lavoro in esecuzione per conto dei tuoi clienti possano accedere solo alle risorse di proprietà del rispettivo cliente, fornendo un ulteriore livello di sicurezza.
Una soluzione AI/ML creata come applicazione ML in genere si basa su diversi servizi OCI (come Data Science, Object Storage, Networking e Logging). Configura i criteri corretti per tutti questi servizi, inclusi quelli specifici delle risorse dell'applicazione ML.
Semplificazione dell'impostazione dei criteri con un progetto infrastrutturale di esempio
Per semplificare questo processo, ML Applications fornisce un progetto di infrastruttura di esempio. Questo progetto consente di impostare criteri di livello produzione e altri prerequisiti per lo sviluppo delle applicazioni ML. Supporta tutti gli scenari, inclusi provider e consumer nella stessa tenancy, tenancy diverse e persino ambienti applicativi ML interni.
Il progetto di infrastruttura di esempio è disponibile qui: sample-project-policies.
Duplicare questo progetto e utilizzarlo per preparare l'infrastruttura per tutti gli ambienti in cui vengono distribuite applicazioni ML. Crea criteri con meno privilegi che implementano l'isolamento dei tenant. I criteri includono anche un compartimento, uno spazio di nomi tag e una tag.
Il progetto include la documentazione nei file README.md in cui è possibile trovare informazioni dettagliate sul progetto e sui relativi componenti.
Attenersi alla procedura riportata di seguito per configurare un ambiente per le applicazioni ML, inclusi i criteri necessari.
-
Prepara la cartella ambiente:
- È possibile utilizzare la cartella di ambiente
devpredefinita (environments/dev) o utilizzarla come modello per creare l'ambiente personalizzato. - Per creare l'ambiente personalizzato:
- Creare una copia della cartella dell'ambiente di sviluppo (
environments/dev). - Rinominare la cartella copiata in modo che corrisponda al nome dell'ambiente.
- Creare una copia della cartella dell'ambiente di sviluppo (
- È possibile utilizzare la cartella di ambiente
-
Configurare l'ambiente:
- Passare alla cartella corrispondente all'ambiente in uso (ad esempio,
environments/dev). - Modificare il file
input_variables.tfvarsper configurare le impostazioni dell'ambiente.
- Passare alla cartella corrispondente all'ambiente in uso (ad esempio,
-
Eseguire Terraform per creare le risorse:
-
Inizializza Terraform nella cartella dell'ambiente:
terraform init - Applicare la configurazione per creare un compartimento, un criterio, uno spazio di nomi tag e una tag:
terraform apply -var- file input_variables.tfvars - Se necessario, eliminare le risorse create:
terraform destroy -var- file input_variables.tfvars
-
-
Potrebbe essere necessario configurare il proxy HTTP.
-
Gli script Terraform creano un compartimento di livello superiore denominato
.ml-app-<name-of-your-application>-<environment-suffix> -
È possibile visualizzare in anteprima le risorse create da Terraform eseguendo le operazioni riportate di seguito.
terraform plan -var- file input_variables.tfvars
- Se l'applicazione richiede una sottorete specifica, specificarne l'ID nel file
input_variables.tfvars.