Cách Hugging Face Mở Rộng Quản Lý Bí Mật cho Cơ Sở Hạ Tầng AI

Hugging Face đã trở thành đồng nghĩa với việc thúc đẩy AI ở quy mô lớn. Với hơn 4 triệu nhà xây dựng triển khai các mô hình trên Hub, sự tăng trưởng nhanh chóng của nền tảng đòi hỏi phải suy nghĩ lại về cách dữ liệu cấu hình nhạy cảm —bí mật— được quản lý.

Năm ngoái, các nhóm kỹ thuật đã bắt đầu cải thiện việc xử lý các bí mật và thông tin xác thực của họ. Sau khi đánh giá các công cụ như HashiCorp Vault, cuối cùng họ đã chọn Infisical.

Nghiên cứu điển hình này trình bày chi tiết quá trình di chuyển của họ sang Infisical, giải thích cách họ tích hợp các tính năng mạnh mẽ của nó và nêu bật cách nó cho phép các kỹ sư làm việc hiệu quả và an toàn hơn.

Bối Cảnh

Khi cơ sở hạ tầng của Hugging Face phát triển từ thiết lập chỉ có AWS sang môi trường đa đám mây bao gồm Azure và GCP, nhóm kỹ thuật cần một cách linh hoạt, an toàn và tập trung hơn để quản lý bí mật. Thay vì làm lại các hệ thống cũ hoặc áp dụng các giải pháp nặng nề như HashiCorp Vault, họ đã chuyển sang Infisical vì quy trình làm việc thân thiện với nhà phát triển, trừu tượng hóa đa đám mây và khả năng bảo mật mạnh mẽ.

Những thách thức chính mà họ phải đối mặt là:

• Gia tăng rủi ro “phình to bí mật” do quản lý không nhất quán trên các môi trường.
• Quản lý quyền phức tạp khi nhóm mở rộng quy mô, yêu cầu kiểm soát truy cập dựa trên vai trò (RBAC) chặt chẽ được tích hợp với SSO của tổ chức (Okta).
• Khó khăn với phát triển cục bộ, nơi các tệp .env truyền thống gây nguy hiểm cho cả bảo mật và năng suất của nhà phát triển.
• Gánh nặng luân chuyển bí mật thủ công, điều này trở nên rõ ràng một cách đau đớn sau một sự cố bảo mật liên quan đến thông tin xác thực bị lộ.

Ngoài ra, nhóm cần một giải pháp tuân thủ các phương pháp thực hành cơ sở hạ tầng dưới dạng mã, hỗ trợ quản lý bí mật theo từng dự án và cung cấp sự cân bằng trơn tru giữa tự động hóa và kiểm soát thủ công trong quá trình triển khai.

Triển khai

Kiến trúc linh hoạt của Infisical là một giải pháp lý tưởng. Nhóm kỹ thuật đã nắm bắt cơ hội để xem xét lại cấu trúc dự án nội bộ của họ, chia các dự án thành các miền ứng dụng và cơ sở hạ tầng riêng biệt. Điều này cho phép họ triển khai sự phân tách mối quan tâm rõ ràng hơn và tiêu chuẩn hóa các phương pháp luân chuyển bí mật—một ưu tiên sau một sự cố bảo mật gần đây.

Bằng cách tận dụng Terraform, trước đây được sử dụng để tạo bí mật Kubernetes từ cấu hình AWS, họ thấy quá trình chuyển đổi sang Kubernetes Operator của Infisical đặc biệt suôn sẻ. Sự tích hợp này cho phép cải thiện bảo mật trong khi tiêu chuẩn hóa quản lý bí mật trên tất cả các môi trường.

Tích Hợp Kubernetes

Kubernetes là trung tâm của môi trường sản xuất của Hugging Face và Kubernetes Operator của Infisical đóng vai trò quan trọng trong việc tự động hóa các bản cập nhật bí mật. Operator liên tục theo dõi các thay đổi đối với bất kỳ bí mật nào trong Infisical và đảm bảo rằng các bản cập nhật này được truyền đến các đối tượng Kubernetes tương ứng. Bất cứ khi nào phát hiện thấy thay đổi, nó có thể tự động tải lại các Triển khai phụ thuộc, đảm bảo rằng các vùng chứa luôn chạy với các bí mật gần đây nhất.

Ví dụ:

Một ứng dụng đang chạy trong Kubernetes yêu cầu một bí mật mới. Bí mật có thể được tạo thông qua CLI hoặc giao diện người dùng web của Infisical, sau đó nhà phát triển tạo tài nguyên InfisicalSecret trong Kubernetes chỉ định bí mật nào từ Infisical sẽ được đồng bộ hóa:

apiVersion: infisical.com/v1alpha1
kind: InfisicalSecret
metadata:
  name: my-app-secret
  namespace: production
spec:
  infisicalSecretId: "123e4567-e89b-12d3-a456-426614174000"
  targetSecretName: "my-app-k8s-secret"

Sau khi CRD được áp dụng, Infisical Operator liên tục theo dõi các bản cập nhật. Khi các thay đổi được phát hiện trong Infisical, Operator sẽ tự động cập nhật bí mật Kubernetes (my-app-k8s-secret).

Luồng quản lý bí mật với Infisical: Khi một bí mật được cập nhật trong Nền tảng Infisical, Infisical Operator sẽ tự động đồng bộ hóa các thay đổi với bí mật Kubernetes được tham chiếu, sau đó được cung cấp cho ứng dụng.

Tốt hơn nữa, vì Deployment của ứng dụng tham chiếu my-app-k8s-secret làm nguồn biến môi trường hoặc ổ đĩa được gắn, Operator có thể tự động kích hoạt tải lại vùng chứa khi bí mật thay đổi.

Trong thực tế, các kỹ sư của Hugging Face thích chờ triển khai lại thủ công mặc dù Operator có khả năng tự động kích hoạt khởi động lại vùng chứa. Quyết định này được thúc đẩy bởi nhu cầu kiểm soát chính xác việc triển khai, đặc biệt khi có lưu lượng truy cập cao (hơn 10 triệu yêu cầu mỗi phút) và nhiều bản sao tham gia.

Phát Triển Cục Bộ

Đối với phát triển cục bộ, CLI của Infisical hợp lý hóa quy trình làm việc bằng cách đưa các bí mật trực tiếp vào môi trường phát triển. Điều này loại bỏ nhu cầu về các tệp .env cục bộ không an toàn, điều chỉnh cấu hình cục bộ với các tiêu chuẩn sản xuất và giảm ma sát khi giới thiệu.

Bảo Mật và Quản Lý Truy Cập

Các cải tiến về bảo mật tạo thành xương sống của quá trình di chuyển này. Bằng cách tích hợp Infisical với các nhà cung cấp danh tính hiện có như Okta, Hugging Face đã thiết lập một hệ thống RBAC chi tiết. Quyền được tự động ánh xạ từ các nhóm Okta, đảm bảo rằng các nhà phát triển giữ lại quyền quản trị đối với các dự án của họ, trong khi các nhóm giao diện người dùng và phụ trợ nhận được quyền truy cập đọc hoặc ghi bị hạn chế phù hợp.

Ngoài ra, chức năng chia sẻ bí mật cho phép chia sẻ thông tin xác thực an toàn giữa các nhà nghiên cứu ML/AI tại Hugging Face. Nền tảng Infisical tập trung cũng đơn giản hóa việc kiểm tra và quản lý luân chuyển bí mật — một nhu cầu thiết yếu được nêu bật bởi các sự cố bảo mật trước đó.

Tích Hợp CI/CD và Cơ Sở Hạ Tầng

Việc tích hợp liền mạch với các quy trình CI/CD giúp tăng cường hơn nữa tư thế bảo mật tổng thể. Infisical được nhúng vào quy trình triển khai thông qua GitHub Actions bằng cách sử dụng xác thực OIDC và tích hợp Terraform. Bằng cách vận hành các trình chạy tự lưu trữ trong một môi trường an toàn, mọi triển khai đều tuân thủ các tiêu chuẩn bảo mật cấp sản xuất. Cách tiếp cận tích hợp này giảm thiểu rủi ro và đảm bảo trải nghiệm đồng nhất từ phát triển cục bộ đến triển khai đám mây.

Kết Quả & Thông Tin Chi Tiết Kỹ Thuật

Việc tập trung quản lý bí mật với Infisical đã mang lại những cải tiến hữu hình:

• Các kỹ sư không còn cần phải tốn thời gian quý báu để định cấu hình thủ công các bí mật môi trường. Quy trình làm việc tự phục vụ giúp tăng tốc thời gian giới thiệu và chu kỳ phát triển hàng ngày.
• Kiểm tra tự động và kiểm soát truy cập chi tiết cho phép ứng phó nhanh với sự cố và thúc đẩy cách tiếp cận “chuyển dịch sang trái” đối với bảo mật.
• Tích hợp nhất quán trên các nhà cung cấp đám mây, cụm Kubernetes và quy trình CI/CD đã loại bỏ sự khác biệt trong quản lý bí mật, do đó củng cố tính bảo mật và độ tin cậy của cơ sở hạ tầng.

Như Adrien Carreira, Trưởng bộ phận Cơ sở hạ tầng tại Hugging Face, đã lưu ý,

“Infisical cung cấp tất cả các chức năng và cài đặt bảo mật mà chúng tôi cần để tăng cường tư thế bảo mật của mình và tiết kiệm thời gian kỹ thuật. Cho dù bạn đang làm việc cục bộ, chạy các cụm Kubernetes trong sản xuất hay vận hành bí mật trong quy trình CI/CD, Infisical đều có một quy trình làm việc dựng sẵn liền mạch.”

Kết luận

Việc di chuyển của Hugging Face sang Infisical chứng minh cách tiếp cận quản lý bí mật tập trung vào kỹ thuật, hướng đến kỹ thuật trên nhiều nền tảng đám mây mang lại những lợi ích đáng kể. Để giải quyết các thách thức tương tự, việc sử dụng Infisical là một cách thiết thực để làm việc hiệu quả hơn trong khi vẫn duy trì bảo mật mạnh mẽ.

Khi con đường an toàn được thực hiện dễ dàng nhất, các nhóm có thể tập trung vào việc xây dựng các sản phẩm sáng tạo thay vì lo lắng về việc quản lý bí mật.

Tài Nguyên

Đối với các nhóm quan tâm đến việc áp dụng một cách tiếp cận tương tự:

• Quy trình làm việc GitOps An toàn: Hướng dẫn Thực tế về Quản lý Bí mật
• Quản lý Bí mật Kubernetes năm 2025 - Hướng dẫn Hoàn chỉnh
• Tài liệu nền tảng
• Tham chiếu CLI

Nghiên cứu điển hình kỹ thuật này được điều chỉnh từ nghiên cứu điển hình gốc được xuất bản tại infisical.com/customers/hugging-face

Link bài báo gốc

• Tags:
• Ai
• March 31, 2025
• Huggingface.co