Verificación de conocimientos - Contenedores y Plataforma de Inteligencia Artificial
Un equipo que migra un nivel web de acceso público a un Managed Kubernetes público Cluster declara un Servicio de tipo LoadBalancer y asume que ahora tiene un equilibrio de carga externo de alta disponibilidad, que preserva la dirección IP de origen, equivalente al Managed Network Load Balancer utilizado en otras partes de la propiedad. El arquitecto se opone. ¿Por qué esta suposición es incorrecta y cuál es la forma correcta de dar acceso al Workload?
En Managed Kubernetes, un Servicio LoadBalancer no provisiona un equilibrio de carga externo gestionado. IONOS reserva una dirección IP pública estática y la adjunta como una dirección IP secundaria a un trabajador Node, y kube-proxy NATs el tráfico al pod objetivo, por lo que no hay alta disponibilidad, la dirección IP de origen se pierde a menos que externalTrafficPolicy esté establecida en Local, y el rendimiento está limitado al techo público de ese solo Node. El ingreso de producción se construye provisionando un Load Balancer por separado y ejecutando un controlador de ingreso en Cluster, porque los manifiestos no auto-provisionan un equilibrio de carga gestionado. Escalar el grupo o cambiar externalTrafficPolicy no convierte el solo ingreso Node en un equilibrio de carga multi-Node L4 gestionado.
Un equipo consciente del costo que ejecuta trabajos por lotes en un Managed Kubernetes Cluster quiere que el grupo de Node se reduzca a cero nodos durante la noche cuando no se ejecutan trabajos, y también quiere que los eventos del plano de control de Cluster fluyan hacia el Logging Service centralizado junto con los registros de la aplicación. El arquitecto explica que ambas expectativas chocan con los límites de la plataforma. ¿Cuál de las siguientes afirmaciones describe correctamente esos límites?
El piso del escalador automático en Managed Kubernetes es un Node caliente; no hay escalado a cero, por lo que un diseño por lotes debe asumir que al menos un Node siempre está en ejecución y es facturable. Por separado, los eventos del plano de control no se muestran a través del Logging Service, por lo que la observabilidad centralizada del plano de control administrado no está disponible y la visibilidad debe obtenerse a partir de señales en Cluster. Estos límites son independientes del tipo de Cluster y no se desbloquean al alternar el análisis o la exportación de auditoría.
Un arquitecto está diseñando un Managed Kubernetes Cluster privado para un Workload regulado y enumera los requisitos previos. La construcción es para un Cluster privado cuyo plano de datos debe estar aislado, cuyo servidor API debe permanecer accesible solo para el equipo de operaciones, y cuyos nodos deben comunicarse a través de un segundo VDC. ¿Cuál es el conjunto de decisiones correctas?
Los clústeres privados aíslan el plano de datos, no el punto de conexión API, por lo que el servidor API sigue siendo accesible y debe ser protegido con una lista de permitidos IP. Las dos dependencias de red, una puerta de enlace NAT para el tráfico de salida y un Cross-Connect para el tráfico Node entre VDC, deben existir antes de que se construya Cluster, y el tipo de grupo Node es inmutable después de la creación, por lo que debe elegirse correctamente de antemano. Los grupos de seguridad se vinculan a las NIC de los trabajadores en lugar de a un objeto Cluster, y colocar el plano de control en la región es lo que preserva la soberanía.
Un equipo de plataforma quiere gobernar el acceso a su Registro de Contenedores de la misma manera que gobierna sus cuentas en la nube, definiendo roles como desarrollador de solo lectura, pipeline-pusher y administrador, y vinculando usuarios y grupos humanos a esos roles. También quieren un nivel de extracción pública anónima para imágenes de código abierto. El arquitecto explica que el registro no funciona de esa manera. ¿Cuál es el modelo de gobernanza correcto?
El Registro de Contenedores proporciona acceso solo mediante token, sin RBAC y sin vinculaciones de roles a usuarios, por lo que no hay herencia de roles IAM y no hay un nivel de extracción pública anónimo. La gobernanza se aplica a través de la disciplina de tokens: un token con alcance limitado por etapa de pipeline, con caducidad y rotación, y los tokens se eliminan en lugar de deshabilitar cuando se retiran. Los distractores inventan RBAC, un nivel de extracción pública y una acción de deshabilitar que el servicio no proporciona.
Una empresa quiere agregar inteligencia artificial generativa a una aplicación regulada en el país y debe mantener todo el procesamiento en Alemania, evitar ejecutar y parchear la infraestructura de GPU, y integrar utilizando sus bibliotecas de cliente de OpenAI existentes. También necesita recuperación sobre un corpus privado. ¿Qué enfoque se adapta a la plataforma empresarial predeterminada y a su dirección actual?
La inferencia administrada en el Model Hub es la predeterminada empresarial: un API compatible con OpenAI con precios por token, un servicio estatal y procesamiento que ocurre en el país, lo que elimina la carga de ejecutar y parchear la infraestructura de GPU que sirve. Para la recuperación, el patrón duradero es construido por el cliente, utilizando incrustaciones del hub, vectores almacenados en Managed PostgreSQL y el corpus en Object Storage, evitando deliberadamente la función de vector-store administrada en desuso. Enrutar a una región de EE. UU. rompe el requisito de procesamiento en el país, y autohospedar desde el primer día asume responsabilidades de SLA y redundancia que los requisitos no solicitaron.
Un cliente despliega un modelo de código abierto en el AI Model Hub y pregunta cómo se asignan las responsabilidades de la Ley de IA de la UE, incluyendo el caso en el que IONOS modifica un modelo, por ejemplo, cuantizándolo. ¿Cuál es la asignación correcta?
Según la Ley de IA de la UE, el cliente es el desplegado, o el proveedor de su propio sistema de IA, y es responsable de su propia evaluación de riesgos. Para la mayoría de los modelos de código abierto no modificados en el hub, IONOS actúa como distribuidor o intermediario, pero cuando IONOS modifica un modelo, por ejemplo, a través de la cuantización, asume las obligaciones de transparencia del proveedor de IA para esa modificación. La falta de estado y el procesamiento en el país son propiedades de soberanía y no eximen a ninguna de las partes de la Ley.