Ray (an open-source distributed AI framework) ölçeklenebilir yapay zekâ ve makine öğrenimi iş yükleri için hızla yaygınlaşıyor. Güçlü bir framework olsa da, güvenlik sorumluluğu geliştiricilere veya platform sağlayıcılarına bırakılıyor.
Red Hat OpenShift AI, karmaşık yapay zekâ iş yükleri için üretime hazır bir ortam sunmayı hedefliyor ve güçlü güvenliğin kritik olduğuna dikkat çekiyor. Bu nedenle OpenShift AI 3.0’da Ray Cluster’lar için mevcut Controlled Network Environment (CNE) yaklaşımını geliştiriyor ve bunu KubeRay ile yerleşik (native) olarak sunuyor. Quasys olarak sizin için OpenShift AI 3.0 ile gelen bu gelişmelerin teknik detaylarını kaleme aldık.
CNE, Ray’in önerdiği güvenlik en iyi uygulamalarını platform seviyesinde zorunlu kılan, varsayılan olarak cluster’larınızı koruyan, görüşe dayalı (opinionated) bir politika setidir.
Controlled Network Environment’in 3 temel ayağı
Controlled Network Environment, OpenShift AI 3.0’da oluşturduğunuz her Ray Cluster’a otomatik olarak uygulanan, platform tarafından zorunlu kılınan üç temel güvenlik özelliği üzerine kuruludur.
1. Ağ izolasyonu
Ağ izolasyon mekanizmasını, Kubernetes-native network policy’leri KubeRay Operator aracılığıyla otomatik uygulayacak şekilde sadeleşti.
Bu yapılandırma, ağ trafiğini yalnızca Ray Cluster sınırları içinde olacak şekilde sıkı biçimde sınırlar. Böylece ağdaki diğer pod’lardan gelebilecek erişimler engellenir ve iş yükünüzün etrafında güvenli bir çevre (secure perimeter) oluşturulur.
2. Kimliği doğrulanmış arka uç (mTLS)
OpenShift AI güvenlik mimarisi artık zorunlu kılınmış, kimliği doğrulanmış bir arka uç iletişimini de içeriyor: mTLS (mutual transport layer security).
Bu kritik özellik, Ray Cluster içindeki tüm dahili iletişimi hem şifreler hem de karşılıklı kimlik doğrulaması ile güvence altına alır.
Bu özelliğin yeniden mimarilendirilmesi kapsamında, gerekli sertifikaların ve secret’ların otomatik yönetimi için cert-manager kullanılıyor. Bu da kurulum ve operasyon süreçlerini önemli ölçüde basitleştiriyor.
codeflare-sdk istemcisini kullanan kullanıcılar için ise mevcut iş akışlarında herhangi bir değişiklik gerekmiyor.
3. Kontrollü erişim
OpenShift AI 3.0, Ray dashboard’a erişim konusunda hem kullanıcı deneyimini hem de güvenliği iyileştiriyor.
Controlled access özelliği artık platformun Kubernetes Gateway API tabanlı kimlik doğrulama yeniden tasarımıyla entegre çalışıyor.
Platform, kimlik doğrulama için mevcut OpenShift AI oturumunu kullanıyor. Böylece kullanıcılar için tekrar tekrar giriş yapmayı gerektirmeyen, tutarlı ve bütünleşik bir kullanıcı deneyimi (UX) sağlanıyor.
Platformu sadeleştirirken güçlendirmek
Bu değişiklikler yalnızca güvenlik faydaları sağlamakla kalmadı, aynı zamanda platform tarafında da önemli iyileştirmeleri beraberinde getirdi:
-
Basitleştirilmiş tasarım:
Bu dönüşümün ana itici gücü mimariyi sadeleştirmek. Ağ izolasyonu ve mTLS yapılandırması gibi temel güvenlik mantığının doğrudan KubeRay Reconciler içine taşınması, karmaşıklığı azalttı ve gelecekte daha hızlı güncellemeler ile yeni özelliklerin sunulmasının önünü açtı. -
Geliştirilmiş kullanıcı deneyimi (UX):
Yeni controlled access yaklaşımı, platform genelindeki kimlik doğrulama yeniden tasarımıyla birlikte çalışarak daha akıcı ve daha güvenli bir kullanıcı deneyimi sunuyor. -
Platform tarafından zorunlu kılınan politika:
CNE yapılandırmasının tamamı, OpenShift AI ortamında oluşturulan her Ray Cluster’a otomatik olarak uygulanıyor. Bu yaklaşım, cluster güvenliğini varsayılan olarak güçlendiriyor.
Upstream’e katkı
Yeniden mimarilendirme çalışması sadeleştirmenin yanı sıra; gelecekteki iş birlikleri için de zemin hazırlar nitelikte.
Bu değişikliklerin upstream KubeRay topluluğuna kazandırılma sürecini de şimdiden başlatılmış durumda.
Sonraki adımlar
Red Hat OpenShift AI 3.0, güçlü güvenliği varsayılan hale getirerek üretime hazır bir Ray deneyimi sunuyor. Yani aslında Ray iş yükleriniz için bugün başlamaya hazırsınız. Bunu en iyi uzmanlıkla hayata geçirmek için Quasys’in deneyimli danışmanlarına her zaman info@quasys.com.tr üzerinden ulaşabilirsiniz.
