Vérification des connaissances - Conteneurs et plateforme d'IA
Testez votre compréhension des concepts clés du Module 6. Sélectionnez la meilleure réponse pour chaque question, puis soumettez pour voir vos résultats. Vous devez obtenir un score d'au moins 60 % pour réussir.
Une équipe qui migre un niveau web public vers un Managed Kubernetes public Cluster déclare un Service de type LoadBalancer et suppose qu'il dispose maintenant d'un équilibreur de charge externe hautement disponible, qui préserve la source IP, équivalent à celui utilisé ailleurs dans l'entreprise. L'architecte réagit. Pourquoi cette supposition est-elle erronée, et quelle est la bonne façon de gérer la charge de travail ?
Sur Managed Kubernetes, un Service LoadBalancer ne provisionne pas un équilibreur de charge externe géré. IONOS réserve une adresse IP publique statique et l'attache en tant qu'adresse IP secondaire à un worker Node unique, et kube-proxy NAT le trafic vers le pod cible, donc il n'y a pas de haute disponibilité, la source IP est perdue à moins que externalTrafficPolicy ne soit définie sur Local, et le débit est limité au plafond public de ce Node unique. L'entrée de production est construite en provisionnant un Load Balancer séparément et en exécutant un contrôleur d'entrée dans le Cluster, car les manifestes ne provisionnent pas automatiquement un équilibreur de charge géré. La mise à l'échelle du pool ou la modification de externalTrafficPolicy ne transforme pas l'équilibreur de charge d'entrée unique en un équilibreur de charge multi-Node L4 géré.
Une équipe soucieuse des coûts exécutant des travaux par lots sur un Managed Kubernetes Cluster souhaite que le pool Node soit réduit à zéro nœuds la nuit lorsque aucun travail ne s'exécute, et elle souhaite également que les événements de plan de contrôle du Cluster soient acheminés vers le Logging Service centralisé aux côtés de leurs journaux d'application. L'architecte explique que les deux attentes entrent en collision avec les limites de la plateforme. Quel énoncé décrit correctement ces limites ?
Le plancher d'auto-mise à l'échelle sur le Managed Kubernetes est d'un Node chaud ; il n'y a pas de mise à l'échelle à zéro, donc une conception par lots doit supposer qu'au moins un Node est toujours en cours d'exécution et facturable. Séparément, les événements de plan de contrôle ne sont pas affichés via le Logging Service, donc l'observabilité centralisée du plan de contrôle géré n'est pas disponible et la visibilité doit être source à partir de signaux dans le Cluster. Ces limites sont indépendantes du type de Cluster et ne sont pas débloquées en basculant l'analyse ou l'exportation d'audit.
Un architecte conçoit un Managed Kubernetes Cluster privé pour une charge de travail réglementée et énumère les prérequis. La construction est pour un Cluster privé dont le plan de données doit être isolé, dont le serveur API doit rester accessible uniquement par l'équipe d'exploitation, et dont les nœuds doivent communiquer à travers un second centre de données virtuel. Quel ensemble de décisions est correct ?
Les clusters privés isolent le plan de données, et non le point de terminaison API, donc le serveur API est toujours accessible et doit être protégé avec une liste d'autorisation IP. Les deux dépendances réseau, une passerelle NAT pour le trafic sortant et un Cross-Connect pour le trafic Node entre centres de données virtuels, doivent exister avant la construction du Cluster, et le type de pool Node est immuable après la création, il doit donc être choisi correctement à l'avance. Les groupes de sécurité sont liés aux cartes réseau des workers plutôt qu'à un objet Cluster, et placer le plan de contrôle dans la région permet de préserver la souveraineté.
Une équipe de plateforme souhaite gérer l'accès à son registre de conteneurs de la même manière qu'elle gère ses comptes cloud, en définissant des rôles tels que développeur en lecture seule, pipeline-pusher et administrateur, et en liant des utilisateurs et des groupes humains à ces rôles. Ils souhaitent également un niveau d'extraction publique anonyme pour les images open source. L'architecte explique que le registre ne fonctionne pas de cette manière. Quel est le modèle de gouvernance correct ?
Le Container Registry offre un accès uniquement par jeton sans RBAC et sans liaison de rôle à utilisateur, il n'y a donc pas d'héritage de rôle IAM et pas de niveau d'extraction publique anonyme. La gouvernance est appliquée par la discipline des jetons : un jeton étroitement défini par étape de pipeline, avec date d'expiration et rotation, et les jetons sont supprimés plutôt que désactivés lorsqu'ils sont mis à la retraite. Les distracteurs inventent RBAC, un niveau d'extraction publique, et une action de désactivation que le service ne propose pas.
Une entreprise souhaite ajouter une intelligence artificielle générative à une application réglementée, dans un pays, et doit maintenir tout le traitement en Allemagne, éviter d'exécuter et de corriger l'infrastructure GPU, et intégrer en utilisant ses bibliothèques clientes OpenAI existantes. Elle a également besoin d'une récupération sur un corpus privé. Quelle approche convient à la plateforme par défaut de l'entreprise et à sa direction actuelle ?
L'inférence gérée sur le Model Hub est la valeur par défaut de l'entreprise : un API compatible OpenAI avec un prix par jeton, un service sans état, et un traitement qui se déroule dans le pays, ce qui supprime la charge de l'exécution et de la correction de l'infrastructure GPU de service. Pour la récupération, le modèle durable est construit par le client, en utilisant des embeddings du hub, des vecteurs stockés dans Managed PostgreSQL, et le corpus dans Object Storage, en évitant délibérément la fonctionnalité de stockage de vecteurs gérée obsolète. L'acheminement vers une région des États-Unis rompt l'exigence de traitement dans le pays, et l'hébergement depuis le premier jour prend en charge les responsabilités de SLA et de redondance que les exigences n'ont pas demandées.
Un client déploie un modèle open-source sur le AI Model Hub et demande comment les responsabilités de l'Acte AI de l'UE sont allouées, y compris le cas où IONOS modifie un modèle, par exemple en le quantifiant. Quelle allocation est correcte ?
Selon l'Acte AI de l'UE, le client est le déployeur, ou le fournisseur de son propre système d'IA, et est responsable de son propre évaluation des risques. Pour la majorité des modèles open-source non modifiés sur le hub, IONOS agit en tant que distributeur ou intermédiaire, mais lorsqu'IONOS modifie un modèle, par exemple en le quantifiant, il assume les obligations de transparence du fournisseur d'IA pour cette modification. L'absence d'État et le traitement dans le pays sont des propriétés de souveraineté et n'exonèrent aucune des parties de l'Acte.