تكوين حركة مرور الشبكة الواردة والصادرة
في هذه المقالة، تعرف على متطلبات اتصال الشبكة عند تأمين مساحة عمل Azure التعلم الآلي في شبكة ظاهرية (VNet). بما في ذلك كيفية تكوين جدار حماية Azure للتحكم في الوصول إلى مساحة عمل Azure التعلم الآلي والإنترنت العام. لمعرفة المزيد حول تأمين Azure التعلم الآلي، راجع أمان المؤسسة ل Azure التعلم الآلي.
ملاحظة
تنطبق المعلومات الواردة في هذه المقالة على مساحة عمل Azure التعلم الآلي التي تم تكوينها باستخدام نقطة نهاية خاصة.
تلميح
هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:
موانئ معروفة
فيما يلي المنافذ المعروفة التي تستخدمها الخدمات المدرجة في هذه المقالة. إذا تم استخدام نطاق منفذ في هذه المقالة ولم يكن مدرجا في هذا القسم، فهو خاص بالخدمة وقد لا يكون قد نشر معلومات حول ما يتم استخدامه من أجله:
| المنفذ | الوصف |
|---|---|
| 80 | حركة مرور الويب غير الآمنة (HTTP) |
| 443 | حركة مرور الويب الآمنة (HTTPS) |
| 445 | حركة مرور SMB المستخدمة للوصول إلى مشاركات الملفات في تخزين ملفات Azure |
| 8787 | يستخدم عند الاتصال ب RStudio على مثيل حوسبة |
مطلوب اتصال عام بالإنترنت
يتطلب Azure التعلم الآلي الوصول الوارد والصادر إلى الإنترنت العام. توفر الجداول التالية نظرة عامة على الوصول المطلوب وما هو الغرض منه. البروتوكول لجميع العناصر هو TCP. بالنسبة لعلامات الخدمة التي تنتهي ب .region، استبدل region بمنطقة Azure التي تحتوي على مساحة العمل الخاصة بك. على سبيل المثال، Storage.westus:
| الاتجاه | منافذ | علامة الخدمة | الغرض |
|---|---|---|---|
| الواردة | 29876-29877 | BatchNodeManagement | إنشاء Azure التعلم الآلي وتحديث وحذف مثيل الحوسبة ومجموعة الحوسبة. |
| الواردة | 44224 | AzureMachineLearning | إنشاء مثيل حوسبة Azure التعلم الآلي وتحديثه وحذفه. |
| الصادرة | 443 | AzureMonitor | يستخدم لتسجيل المراقبة والمقاييس إلى App Insights و Azure Monitor. |
| الصادرة | 80, 443 | AzureActiveDirectory | المصادقة باستخدام Azure AD. |
| الصادرة | 443 | AzureMachineLearning | استخدام خدمات Azure التعلم الآلي. |
| الصادرة | 443 | AzureResourceManager | إنشاء موارد Azure باستخدام Azure التعلم الآلي. |
| الصادرة | 443 | التخزين.المنطقة | الوصول إلى البيانات المخزنة في حساب تخزين Azure لخدمة Azure Batch . |
| الصادرة | 443 | AzureFrontDoor.FrontEnd* غير مطلوب في Azure China. | نقطة الدخول العالمية لاستوديو Azure التعلم الآلي. |
| الصادرة | 443 | ContainerRegistry.region | الوصول إلى صور عامل الرصيف التي توفرها Microsoft. |
| الصادرة | 443 | MicrosoftContainerRegistry.region | الوصول إلى صور عامل الرصيف التي توفرها Microsoft. Setup of the Azure التعلم الآلي router for Azure Kubernetes Service. |
| الصادرة | 443 | Keyvault.region | الوصول إلى مخزن المفاتيح لخدمة Azure Batch . لا يلزم الحاجة إلا إذا تم إنشاء مساحة العمل الخاصة بك مع تمكين علامة hbi_workspace . |
تلميح
إذا كنت بحاجة إلى عناوين IP بدلا من علامات الخدمة، فاستخدم أحد الخيارات التالية:
- قم بتنزيل قائمة من نطاقات Azure IP وعلامات الخدمة.
- Use the Azure CLI az network list-service-tags commands .
- استخدم الأمر Azure PowerShell Get-AzNetworkServiceTag .
قد تتغير عناوين IP بشكل دوري.
قد تحتاج أيضا إلى السماح بحركة المرور الصادرة إلى Visual Studio Code والمواقع غير التابعة ل Microsoft لتثبيت الحزم التي يتطلبها مشروع التعلم الآلي الخاص بك. يسرد الجدول التالي المستودعات الشائعة الاستخدام للتعلم الآلي:
| اسم المضيف | الغرض |
|---|---|
| anaconda.com *.anaconda.com | تستخدم لتثبيت الحزم الافتراضية. |
| *.anaconda.org | تستخدم للحصول على بيانات الريبو. |
| pypi.org | يستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا يتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تمت الكتابة فوق الفهرس، فيجب عليك أيضا السماح ب *.pythonhosted.org. |
| cloud.r-project.org | تستخدم عند تثبيت حزم CRAN لتطوير R. |
| *pytorch.org | تستخدم من قبل بعض الأمثلة على أساس PyTorch. |
| *.tensorflow.org | تستخدم من قبل بعض الأمثلة على أساس Tensorflow. |
| update.code.visualstudio.com *.vo.msecnd.net | تستخدم لاسترداد بتات خادم VS Code، والتي يتم تثبيتها على مثيل الحوسبة من خلال برنامج نصي للإعداد. |
| raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* | تستخدم لاسترداد بتات خادم websocket ، والتي يتم تثبيتها على مثيل الحوسبة. يتم استخدام خادم websocket لنقل الطلبات من عميل التعليمات البرمجية Visual Studio (تطبيق سطح المكتب) إلى خادم التعليمات البرمجية Visual Studio الذي يعمل على مثيل الحوسبة. |
عند استخدام Azure Kubernetes Service (AKS) مع Azure التعلم الآلي، اسمح بحركة المرور التالية إلى AKS VNet:
- المتطلبات العامة الواردة/الصادرة ل AKS كما هو موضح في مقالة تقييد حركة مرور الخروج في Azure Kubernetes Service .
- الصادرة إلى mcr.microsoft.com.
- عند نشر نموذج إلى مجموعة AKS، استخدم الإرشادات الواردة في مقالة نشر نماذج ML إلى Azure Kubernetes Service .
جدار حماية Azure
هام
يوفر Azure Firewall الأمان لموارد شبكة Azure الظاهرية. تحتوي بعض خدمات Azure، مثل حسابات تخزين Azure، على إعدادات جدار الحماية الخاصة بها والتي تنطبق على نقطة النهاية العامة لمثيل الخدمة المحدد هذا. المعلومات الواردة في هذا المستند خاصة بجدار حماية Azure.
للحصول على معلومات حول إعدادات جدار حماية مثيل الخدمة، راجع استخدام الاستوديو في شبكة ظاهرية.
بالنسبة لحركة المرور الواردة إلى Azure التعلم الآلي حساب الكتلة ومثيل الحوسبة، استخدم المسارات المعرفة من قبل المستخدم (UDRs) لتخطي جدار الحماية.
بالنسبة لحركة المرور الصادرة ، قم بإنشاء قواعد الشبكةوالتطبيق .
يتم وصف مجموعات القواعد هذه بمزيد من التفصيل في ما هي بعض مفاهيم جدار حماية Azure.
التكوين الوارد
عند استخدام Azure التعلم الآلي مثيل حوسبة (مع عنوان IP عام) أو مجموعة حوسبة، اسمح بحركة المرور الواردة من خدمات Azure Batch وAzure التعلم الآلي. لا يتطلب مثيل الحوسبة بدون عنوان IP عام (معاينة) هذا الاتصال الوارد. يتم إنشاء مجموعة أمان الشبكة التي تسمح بحركة المرور هذه ديناميكيا نيابة عنك، ومع ذلك قد تحتاج أيضا إلى إنشاء مسارات معرفة من قبل المستخدم (UDR) إذا كان لديك جدار حماية. عند إنشاء UDR لحركة المرور هذه، يمكنك استخدام عناوين IP أو علامات الخدمة لتوجيه حركة المرور.
هام
أصبح استخدام علامات الخدمة مع المسارات المعرفة من قبل المستخدم الآن GA. لمزيد من المعلومات، راجع توجيه الشبكة الظاهرية.
تلميح
على الرغم من أن مثيل الحوسبة بدون عنوان IP عام (ميزة معاينة) لا يحتاج إلى UDR لحركة المرور الواردة هذه، إلا أنك ستظل بحاجة إلى UDRs هذه إذا كنت تستخدم أيضا مجموعة حوسبة أو مثيل حوسبة مع عنوان IP عام.
بالنسبة لخدمة Azure التعلم الآلي، يجب إضافة عنوان IP لكل من المنطقتين الأساسيةوالثانوية. للبحث عن المنطقة الثانوية، راجع النسخ المتماثل عبر المناطق في Azure. على سبيل المثال، إذا كانت خدمة Azure التعلم الآلي في شرق الولايات المتحدة 2، فإن المنطقة الثانوية هي وسط الولايات المتحدة.
للحصول على قائمة بعناوين IP الخاصة بخدمة Batch وخدمة Azure التعلم الآلي، قم بتنزيل نطاقات Azure IP وعلامات الخدمة وابحث في الملف عن BatchNodeManagement.<region> منطقة Azure وأين AzureMachineLearning.<region><region> توجد منطقتك.
هام
قد تتغير عناوين IP بمرور الوقت.
عند إنشاء UDR، قم بتعيين نوع القفزة التالية إلى الإنترنت. وهذا يعني أن الاتصال الوارد من Azure يتخطى جدار الحماية الخاص بك للوصول إلى موازنات التحميل باستخدام عناوين IP العامة لمثيل الحوسبة ومجموعة الحوسبة. UDR مطلوب لأن مثيل الحوسبة ومجموعة الحوسبة سيحصلان على عناوين IP عامة عشوائية عند الإنشاء، ولا يمكنك معرفة عناوين IP العامة قبل الإنشاء لتسجيلها على جدار الحماية الخاص بك للسماح بالوارد من Azure إلى عناوين IP محددة لمثيل الحوسبة ومجموعة الحوسبة. تعرض الصورة التالية مثالا على UDR المستند إلى عنوان IP في مدخل Azure:
للحصول على معلومات حول تكوين UDR، راجع توجيه حركة مرور الشبكة باستخدام جدول توجيه.
التكوين الصادر
إضافة قواعد الشبكة، مما يسمح بحركة المرور منوإلى علامات الخدمة التالية:
علامة الخدمة البروتوكول منفذ AzureActiveDirectory بروتوكول تحكم الإرسال 80, 443 AzureMachineLearning بروتوكول تحكم الإرسال 443 AzureResourceManager بروتوكول تحكم الإرسال 443 التخزين.المنطقة بروتوكول تحكم الإرسال 443 AzureFrontDoor.FrontEnd* غير مطلوب في Azure China. بروتوكول تحكم الإرسال 443 AzureContainerRegistry.region بروتوكول تحكم الإرسال 443 MicrosoftContainerRegistry.region بروتوكول تحكم الإرسال 443 AzureKeyVault.region بروتوكول تحكم الإرسال 443 تلميح
- AzureContainerRegistry.region مطلوب فقط لصور Docker المخصصة. بما في ذلك التعديلات الصغيرة (مثل الحزم الإضافية) لتأسيس الصور التي توفرها Microsoft.
- لا يلزم استخدام MicrosoftContainerRegistry.region إلا إذا كنت تخطط لاستخدام صور Docker الافتراضية التي توفرها Microsoft، وتمكين التبعيات التي يديرها المستخدم.
- لا يلزم وجود AzureKeyVault.region إلا إذا تم إنشاء مساحة العمل الخاصة بك مع تمكين علامة hbi_workspace .
- بالنسبة للإدخالات التي تحتوي على
region، استبدل بمنطقة Azure التي تستخدمها. على سبيل المثال، AzureContainerRegistry.westus.
إضافة قواعد التطبيق للمضيفين التاليين:
ملاحظة
هذه ليست قائمة كاملة بالمضيفين المطلوبين لجميع موارد Python على الإنترنت ، فقط الأكثر استخداما. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى مستودع GitHub أو مضيف آخر، فيجب عليك تحديد المضيفين المطلوبين لهذا السيناريو وإضافتهم.
اسم المضيف الغرض graph.windows.net يستخدم بواسطة Azure التعلم الآلي compute instance/cluster. anaconda.com *.anaconda.com تستخدم لتثبيت الحزم الافتراضية. *.anaconda.org تستخدم للحصول على بيانات الريبو. pypi.org يستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا يتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تمت الكتابة فوق الفهرس، فيجب عليك أيضا السماح ب *.pythonhosted.org. cloud.r-project.org تستخدم عند تثبيت حزم CRAN لتطوير R. *pytorch.org تستخدم من قبل بعض الأمثلة على أساس PyTorch. *.tensorflow.org تستخدم من قبل بعض الأمثلة على أساس Tensorflow. update.code.visualstudio.com *.vo.msecnd.net تستخدم لاسترداد بتات خادم VS Code المثبتة على مثيل الحوسبة من خلال برنامج نصي للإعداد. raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* يستخدم لاسترداد بتات خادم websocket المثبتة على مثيل الحوسبة. يتم استخدام خادم websocket لنقل الطلبات من عميل التعليمات البرمجية Visual Studio (تطبيق سطح المكتب) إلى خادم التعليمات البرمجية Visual Studio الذي يعمل على مثيل الحوسبة. dc.applicationinsights.azure.com يستخدم لجمع معلومات المقاييس والتشخيص عند العمل مع دعم Microsoft. dc.applicationinsights.azure.com يستخدم لجمع معلومات المقاييس والتشخيص عند العمل مع دعم Microsoft. dc.services.visualstudio.com يستخدم لجمع معلومات المقاييس والتشخيص عند العمل مع دعم Microsoft. بالنسبة إلى البروتوكول:المنفذ، حدد استخدام http، https.
لمزيد من المعلومات حول تكوين قواعد التطبيق، راجع نشر جدار حماية Azure وتكوينه.
لتقييد حركة المرور الصادرة للنماذج التي تم نشرها على Azure Kubernetes Service (AKS)، راجع مقالات تقييد حركة مرور الخروج في Azure Kubernetes Service ونشر نماذج ML إلى مقالات Azure Kubernetes Service .
Azure Kubernetes Services
عند استخدام Azure Kubernetes Service مع Azure التعلم الآلي، يجب السماح بحركة المرور التالية:
- المتطلبات العامة الواردة/الصادرة ل AKS كما هو موضح في مقالة تقييد حركة مرور الخروج في Azure Kubernetes Service .
- الصادرة إلى mcr.microsoft.com.
- عند نشر نموذج إلى مجموعة AKS، استخدم الإرشادات الواردة في مقالة نشر نماذج ML إلى Azure Kubernetes Service .
جدران الحماية الأخرى
الإرشادات الواردة في هذا القسم عامة ، حيث أن لكل جدار حماية مصطلحاته الخاصة وتكويناته المحددة. إذا كانت لديك أسئلة، فتحقق من الوثائق الخاصة بجدار الحماية الذي تستخدمه.
إذا لم يتم تكوينه بشكل صحيح، فقد يتسبب جدار الحماية في حدوث مشكلات في استخدام مساحة العمل. هناك العديد من أسماء المضيفين التي يتم استخدامها بواسطة مساحة عمل Azure التعلم الآلي. تسرد الأقسام التالية المضيفين المطلوبين ل Azure التعلم الآلي.
واجهة برمجة تطبيقات التبعيات
يمكنك أيضا استخدام Azure التعلم الآلي REST API للحصول على قائمة بالمضيفين والمنافذ التي يجب أن تسمح بحركة المرور الصادرة إليها. لاستخدام واجهة برمجة التطبيقات هذه، اتبع الخطوات التالية:
احصل على رمز مميز للمصادقة. يوضح الأمر التالي استخدام Azure CLI للحصول على رمز مميز للمصادقة ومعرف اشتراك:
TOKEN=$(az account get-access-token --query accessToken -o tsv) SUBSCRIPTION=$(az account show --query id -o tsv)اتصل بواجهة برمجة التطبيقات. في الأمر التالي، استبدل القيم التالية:
- استبدل
<region>بمنطقة Azure الموجودة في مساحة العمل الخاصة بك. على سبيل المثال، westus2. - استبدل
<resource-group>بمجموعة الموارد التي تحتوي على مساحة العمل الخاصة بك. - استبدل
<workspace-name>باسم مساحة العمل الخاصة بك.
az rest --method GET \ --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \ --header Authorization="Bearer $TOKEN"- استبدل
نتيجة استدعاء واجهة برمجة التطبيقات هي مستند JSON. المقتطف التالي هو مقتطف من هذا المستند:
{
"value": [
{
"properties": {
"category": "Azure Active Directory",
"endpoints": [
{
"domainName": "login.microsoftonline.com",
"endpointDetails": [
{
"port": 80
},
{
"port": 443
}
]
}
]
}
},
{
"properties": {
"category": "Azure portal",
"endpoints": [
{
"domainName": "management.azure.com",
"endpointDetails": [
{
"port": 443
}
]
}
]
}
},
...
مضيفو مايكروسوفت
المضيفون في الجداول التالية مملوكون لشركة Microsoft، ويوفرون الخدمات المطلوبة للتشغيل السليم لمساحة العمل الخاصة بك. تسرد الجداول مضيفات مناطق Azure العامة Azure Government وAzure China 21Vianet.
هام
يستخدم Azure التعلم الآلي حسابات تخزين Azure في اشتراكك وفي الاشتراكات المدارة من Microsoft. عند الاقتضاء، يتم استخدام المصطلحات التالية للتمييز بينها في هذا القسم:
- سعة التخزين: حساب (حسابات) تخزين Azure في اشتراكك، والذي يستخدم لتخزين بياناتك ومقتنياتك مثل النماذج وبيانات التدريب وسجلات التدريب والبرامج النصية ل Python.>
- تخزين Microsoft: يعتمد Azure التعلم الآلي مثيل الحوسبة ومجموعات الحوسبة على Azure Batch، ويجب الوصول إلى مساحة التخزين الموجودة في اشتراك Microsoft. يتم استخدام هذا التخزين فقط لإدارة مثيلات الحوسبة. لا يتم تخزين أي من بياناتك هنا.
General Azure hosts
| مطلوب من أجل | المضيفون | البروتوكول | منافذ |
|---|---|---|---|
| Azure Active Directory | login.microsoftonline.com | بروتوكول تحكم الإرسال | 80, 443 |
| مدخل Azure | management.azure.com | بروتوكول تحكم الإرسال | 443 |
| Azure Resource Manager | management.azure.com | بروتوكول تحكم الإرسال | 443 |
Azure التعلم الآلي hosts
هام
في الجدول التالي، استبدل <storage> باسم حساب التخزين الافتراضي لمساحة عمل Azure التعلم الآلي.
| مطلوب من أجل | المضيفون | البروتوكول | منافذ |
|---|---|---|---|
| خدمة التعلم الآلي من Microsoft Azure | ml.azure.com | بروتوكول تحكم الإرسال | 443 |
| واجهة برمجة التطبيقات (API) | *.azureml.ms | بروتوكول تحكم الإرسال | 443 |
| واجهة برمجة التطبيقات (API) | *.azureml.net | بروتوكول تحكم الإرسال | 443 |
| إدارة النموذج | *.modelmanagement.azureml.net | بروتوكول تحكم الإرسال | 443 |
| كمبيوتر محمول مدمج | *.notebooks.azure.net | بروتوكول تحكم الإرسال | 443 |
| كمبيوتر محمول مدمج | <التخزين.file.core.windows.net> | بروتوكول تحكم الإرسال | 443, 445 |
| كمبيوتر محمول مدمج | <التخزين.dfs.core.windows.net> | بروتوكول تحكم الإرسال | 443 |
| كمبيوتر محمول مدمج | <التخزين.blob.core.windows.net> | بروتوكول تحكم الإرسال | 443 |
| كمبيوتر محمول مدمج | graph.microsoft.com | بروتوكول تحكم الإرسال | 443 |
| كمبيوتر محمول مدمج | *.aznbcontent.net | بروتوكول تحكم الإرسال | 443 |
Azure التعلم الآلي compute instance and compute cluster hosts
تلميح
- لا يلزم وجود مضيف Key Vault Azure إلا إذا تم إنشاء مساحة العمل الخاصة بك مع تمكين علامة hbi_workspace.
- لا يلزم وجود منفذين 8787 و18881 لمثيل الحوسبة إلا عندما تحتوي مساحة عمل Azure Machine على نقطة نهاية خاصة.
- في الجدول التالي، استبدل
<storage>باسم حساب التخزين الافتراضي لمساحة عمل Azure التعلم الآلي. - يجب السماح باتصال Websocket بمثيل الحوسبة. إذا قمت بحظر حركة مرور websocket، فلن تعمل دفاتر ملاحظات Jupyter بشكل صحيح.
| مطلوب من أجل | المضيفون | البروتوكول | منافذ |
|---|---|---|---|
| حوسبة المجموعة/المثيل | graph.windows.net | بروتوكول تحكم الإرسال | 443 |
| مثيل الحساب | *.instances.azureml.net | بروتوكول تحكم الإرسال | 443 |
| مثيل الحساب | *.instances.azureml.ms | بروتوكول تحكم الإرسال | 443, 8787, 18881 |
| الوصول إلى مساحة التخزين من Microsoft | *.blob.core.windows.net | بروتوكول تحكم الإرسال | 443 |
| الوصول إلى مساحة التخزين من Microsoft | *.table.core.windows.net | بروتوكول تحكم الإرسال | 443 |
| الوصول إلى مساحة التخزين من Microsoft | *.queue.core.windows.net | بروتوكول تحكم الإرسال | 443 |
| حساب التخزين الخاص بك | <التخزين.file.core.windows.net> | بروتوكول تحكم الإرسال | 443, 445 |
| حساب التخزين الخاص بك | <التخزين.blob.core.windows.net> | بروتوكول تحكم الإرسال | 443 |
| Azure Key Vault | *.vault.azure.net | بروتوكول تحكم الإرسال | 443 |
صور Docker التي تحتفظ بها Azure التعلم الآلي
| مطلوب من أجل | المضيفون | البروتوكول | منافذ |
|---|---|---|---|
| سجل حاويات Microsoft | mcr.microsoft.com*.data.mcr.microsoft.com | بروتوكول تحكم الإرسال | 443 |
| Azure التعلم الآلي الصور المعدة مسبقا | viennaglobal.azurecr.io | بروتوكول تحكم الإرسال | 443 |
تلميح
- يلزم توفر سجل حاويات Azure لأي صورة مخصصة من صور Docker. يتضمن ذلك تعديلات صغيرة (مثل الحزم الإضافية) على الصور الأساسية التي توفرها Microsoft.
- لا يلزم "سجل حاويات Microsoft" إلا إذا كنت تخطط لاستخدام صور Docker الافتراضية التي توفرها Microsoft، وتمكين التبعيات التي يديرها المستخدم.
- إذا كنت تخطط لاستخدام الهوية الموحدة، فاتبع أفضل الممارسات لتأمين خدمات الأمان المشترك لـ Active Directory المقالة.
أيضا ، استخدم المعلومات الموجودة في قسم التكوين الوارد لإضافة عناوين IP ل BatchNodeManagement و AzureMachineLearning.
للحصول على معلومات حول تقييد الوصول إلى النماذج التي تم نشرها على AKS، راجع تقييد حركة مرور الخروج في Azure Kubernetes Service.
المراقبة والمقاييس والتشخيص
لدعم تسجيل المقاييس ومعلومات المراقبة الأخرى إلى Azure Monitor والتطبيق Insights، اسمح بحركة المرور الصادرة إلى المضيفين التاليين:
ملاحظة
يتم أيضا استخدام المعلومات التي تم تسجيلها إلى هؤلاء المضيفين بواسطة دعم Microsoft لتتمكن من تشخيص أي مشكلات تواجهها في مساحة العمل الخاصة بك.
- dc.applicationinsights.azure.com
- dc.applicationinsights.azure.com
- dc.services.visualstudio.com
- *.in.applicationinsights.azure.com
للحصول على قائمة بعناوين IP لهؤلاء المضيفين، راجع عناوين IP المستخدمة بواسطة Azure Monitor.
مضيفو بايثون
يتم استخدام المضيفين في هذا القسم لتثبيت حزم Python ، وهي مطلوبة أثناء التطوير والتدريب والنشر.
ملاحظة
هذه ليست قائمة كاملة بالمضيفين المطلوبين لجميع موارد Python على الإنترنت ، فقط الأكثر استخداما. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى مستودع GitHub أو مضيف آخر، فيجب عليك تحديد المضيفين المطلوبين لهذا السيناريو وإضافتهم.
| اسم المضيف | الغرض |
|---|---|
| anaconda.com *.anaconda.com | تستخدم لتثبيت الحزم الافتراضية. |
| *.anaconda.org | تستخدم للحصول على بيانات الريبو. |
| pypi.org | يستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا يتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تمت الكتابة فوق الفهرس، فيجب عليك أيضا السماح ب *.pythonhosted.org. |
| *pytorch.org | تستخدم من قبل بعض الأمثلة على أساس PyTorch. |
| *.tensorflow.org | تستخدم من قبل بعض الأمثلة على أساس Tensorflow. |
مضيفو R
يتم استخدام المضيفين في هذا القسم لتثبيت حزم R ، وهي مطلوبة أثناء التطوير والتدريب والنشر.
ملاحظة
هذه ليست قائمة كاملة بالمضيفين المطلوبين لجميع موارد R على الإنترنت ، فقط الأكثر استخداما. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى مستودع GitHub أو مضيف آخر، فيجب عليك تحديد المضيفين المطلوبين لهذا السيناريو وإضافتهم.
| اسم المضيف | الغرض |
|---|---|
| cloud.r-project.org | تستخدم عند تثبيت حزم CRAN. |
Azure Arc enabled Kubernetes
تحتاج المجموعات التي تعمل خلف خادم وكيل صادر أو جدار حماية إلى تكوينات شبكة إضافية. الوفاء بمتطلبات شبكة Azure Arc التي يحتاجها وكلاء Azure Arc . بالإضافة إلى ذلك، عناوين URL الصادرة التالية مطلوبة ل Azure التعلم الآلي،
| نقطة النهاية الصادرة | المنفذ | الوصف | التدريب | استدلال |
|---|---|---|---|---|
| *.kusto.windows.net، .table.core.windows.net, .queue.core.windows.net |
https:443 | مطلوب لتحميل سجلات النظام إلى Kusto. | ✓ | ✓ |
| *.azurecr.io | https:443 | سجل حاوية Azure، مطلوب لسحب صور عامل الرصيف المستخدمة لأحمال عمل التعلم الآلي. | ✓ | ✓ |
| *.blob.core.windows.net | https:443 | تخزين Azure blob ، مطلوب لجلب البرامج النصية لمشروع التعلم الآلي أو البيانات أو النماذج وتحميل سجلات / مخرجات المهام. | ✓ | ✓ |
| *.مساحة العمل.< المنطقة.api.azureml.ms> , <المنطقة.experiments.azureml.net>, <المنطقة.api.azureml.ms> |
https:443 | Azure mahince learning service API. | ✓ | ✓ |
| pypi.org | https:443 | فهرس حزمة بايثون، لتثبيت حزم النقاط المستخدمة لتهيئة بيئة العمل التدريبية. | ✓ | غير متوفر |
| archive.ubuntu.com، security.ubuntu.com، ppa.launchpad.net |
http:80 | مطلوب لتنزيل تصحيحات الأمان الضرورية. | ✓ | غير متوفر |
ملاحظة
<region> هو التهجئة الكاملة ذات الأحرف الصغيرة لمنطقة Azure ، على سبيل المثال ، Eastus ، جنوب شرق آسيا.
مضيفو Visual Studio Code
يتم استخدام المضيفين في هذا القسم لتثبيت حزم التعليمات البرمجية Visual Studio لإنشاء اتصال بعيد بين التعليمات البرمجية Visual Studio ومثيلات الحوسبة في مساحة عمل Azure التعلم الآلي.
ملاحظة
هذه ليست قائمة كاملة بالمضيفين المطلوبين لجميع موارد Visual Studio Code على الإنترنت ، فقط الأكثر استخداما. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى مستودع GitHub أو مضيف آخر، فيجب عليك تحديد المضيفين المطلوبين لهذا السيناريو وإضافتهم.
| اسم المضيف | الغرض |
|---|---|
| update.code.visualstudio.com *.vo.msecnd.net | تستخدم لاسترداد بتات خادم VS Code المثبتة على مثيل الحوسبة من خلال برنامج نصي للإعداد. |
| raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* | يستخدم لاسترداد بتات خادم websocket المثبتة على مثيل الحوسبة. يتم استخدام خادم websocket لنقل الطلبات من عميل التعليمات البرمجية Visual Studio (تطبيق سطح المكتب) إلى خادم التعليمات البرمجية Visual Studio الذي يعمل على مثيل الحوسبة. |
الخطوات التالية
هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:
- نظرة عامة على الشبكة الظاهرية
- تأمين موارد مساحة العمل
- تأمين بيئة التدريب
- تأمين بيئة الاستدلال
- تمكين وظائف الاستوديو
- اسم DNS مخصص
لمزيد من المعلومات حول تكوين جدار حماية Azure، راجع البرنامج التعليمي: نشر جدار حماية Azure وتكوينه باستخدام مدخل Azure.