تكوين نقطة نهاية خاصة لمساحة عمل Azure التعلم الآلي

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

في هذا المستند، ستتعرف على كيفية تكوين نقطة نهاية خاصة لمساحة عمل Azure التعلم الآلي. للحصول على معلومات حول إنشاء شبكة ظاهرية ل Azure التعلم الآلي، راجع عزل الشبكة الظاهرية ونظرة عامة على الخصوصية.

يتيح لك Azure Private Link الاتصال بمساحة العمل الخاصة بك باستخدام نقطة نهاية خاصة. نقطة النهاية الخاصة هي مجموعة من عناوين IP الخاصة داخل شبكتك الافتراضية. يمكنك بعد ذلك تقييد الوصول إلى مساحة العمل الخاصة بك بحيث يحدث فقط عبر عناوين IP الخاصة. تساعد نقطة النهاية الخاصة على تقليل مخاطر تسرب البيانات. لمعرفة المزيد حول نقاط النهاية الخاصة، راجع مقالة Azure Private Link.

تحذير

لا يضمن تأمين مساحة عمل مزودة بنقاط نهاية خاصة الأمان الشامل في حد ذاته. يجب عليك تأمين جميع المكونات الفردية للحل الخاص بك. على سبيل المثال، إذا كنت تستخدم نقطة نهاية خاصة لمساحة العمل، ولكن حساب تخزين Azure الخاص بك ليس خلف VNet، فلن تستخدم حركة المرور بين مساحة العمل والتخزين VNet للأمان.

لمزيد من المعلومات حول تأمين الموارد التي يستخدمها Azure التعلم الآلي، راجع المقالات التالية:

• عزل الشبكة الافتراضية ونظرة عامة على الخصوصية.
• تأمين موارد مساحة العمل.
• بيئات تدريب آمنة.
• بيئات استدلال آمنة.
• استخدم استوديو Azure التعلم الآلي في VNet.

المتطلبات الأساسية

• يجب أن يكون لديك شبكة ظاهرية موجودة لإنشاء نقطة النهاية الخاصة بها.
• قم بتعطيل نهج الشبكة لنقاط النهاية الخاصة قبل إضافة نقطة النهاية الخاصة.

التقييدات

• إذا قمت بتمكين الوصول العام لمساحة عمل مؤمنة بنقطة نهاية خاصة واستخدمت استوديو Azure التعلم الآلي عبر الإنترنت العام، فقد تفشل بعض الميزات مثل المصمم في الوصول إلى بياناتك. تحدث هذه المشكلة عند تخزين البيانات على خدمة مؤمنة خلف VNet. على سبيل المثال، حساب تخزين Azure.

• قد تواجه مشكلات في محاولة الوصول إلى نقطة النهاية الخاصة لمساحة العمل الخاصة بك إذا كنت تستخدم Mozilla Firefox. قد تكون هذه المشكلة مرتبطة DNS عبر HTTPS في موزيلا. نوصي باستخدام Microsoft Edge أو Google Chrome كحل بديل.

• لا يؤثر استخدام نقطة نهاية خاصة على مستوى التحكم في Azure (عمليات الإدارة) مثل حذف مساحة العمل أو إدارة موارد الحوسبة. على سبيل المثال، إنشاء هدف حساب أو تحديثه أو حذفه. يتم تنفيذ هذه العمليات عبر الإنترنت العام كالمعتاد. تستخدم عمليات مستوى البيانات، مثل استخدام استوديو Azure التعلم الآلي أو واجهات برمجة التطبيقات (بما في ذلك خطوط الأنابيب المنشورة) أو SDK نقطة النهاية الخاصة.

• عند إنشاء مثيل حوسبة أو مجموعة حوسبة في مساحة عمل ذات نقطة نهاية خاصة، يجب أن يكون مثيل الحوسبة ومجموعة الحوسبة في نفس منطقة Azure مثل مساحة العمل.

• عند إنشاء مجموعة Azure Kubernetes Service أو إرفاقها بمساحة عمل ذات نقطة نهاية خاصة، يجب أن تكون الكتلة في نفس منطقة مساحة العمل.

• عند استخدام مساحة عمل ذات نقاط نهاية خاصة متعددة، يجب أن تكون إحدى نقاط النهاية الخاصة في نفس VNet مثل خدمات التبعية التالية:

  • حساب تخزين Azure الذي يوفر مساحة التخزين الافتراضية لمساحة العمل
  • Azure Key Vault لمساحة العمل
  • Azure Container Registry لمساحة العمل.

  على سبيل المثال، سيحتوي VNet واحد ("خدمات" VNet) على نقطة نهاية خاصة لخدمات التبعية ومساحة العمل. يسمح هذا التكوين لمساحة العمل بالتواصل مع الخدمات. قد يحتوي VNet آخر ("العملاء") فقط على نقطة نهاية خاصة لمساحة العمل ، ويمكن استخدامه فقط للاتصال بين أجهزة تطوير العميل ومساحة العمل.

إنشاء مساحة عمل تستخدم نقطة نهاية خاصة

استخدم إحدى الطرق التالية لإنشاء مساحة عمل باستخدام نقطة نهاية خاصة. تتطلب كل طريقة من هذه الطرق شبكة افتراضية موجودة:

تلميح

إذا كنت ترغب في إنشاء مساحة عمل ونقطة نهاية خاصة وشبكة ظاهرية في نفس الوقت، فراجع استخدام قالب Azure Resource Manager لإنشاء مساحة عمل ل Azure التعلم الآلي.

Python

يوفر Azure التعلم الآلي Python SDK فئة PrivateEndpointConfig، والتي يمكن استخدامها مع Workspace.create() لإنشاء مساحة عمل مع نقطة نهاية خاصة. تتطلب هذه الفئة شبكة ظاهرية موجودة.

from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig

pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.create(name='myworkspace',
    subscription_id='<my-subscription-id>',
    resource_group='myresourcegroup',
    location='eastus2',
    private_endpoint_config=pe,
    private_endpoint_auto_approval=True,
    show_output=True)

Azure CLI extension 2.0 preview

عند استخدام معاينة ملحق Azure CLI 2.0 CLI للتعلم الآلي، يتم استخدام مستند YAML لتكوين مساحة العمل. فيما يلي إنشاء مساحة عمل جديدة باستخدام تكوين YAML:

تلميح

عند استخدام ارتباط خاص، لا يمكن لمساحة العمل الخاصة بك استخدام حساب مهام تسجيل حاوية Azure لبناء الصور. تحدد الخاصية في هذا التكوين image_build_compute اسم مجموعة حوسبة وحدة المعالجة المركزية لاستخدامها في بناء بيئة صورة Docker. يمكنك أيضا تحديد ما إذا كان يجب الوصول إلى مساحة عمل الارتباط الخاص عبر الإنترنت باستخدام public_network_access الخاصية.

في هذا المثال، يجب إنشاء الحساب المشار إليه قبل image_build_compute إنشاء الصور.

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-privatelink-prod
location: eastus
display_name: Private Link endpoint workspace-example
description: When using private link, you must set the image_build_compute property to a cluster name to use for Docker image environment building. You can also specify whether the workspace should be accessible over the internet.
image_build_compute: cpu-compute
public_network_access: Disabled
tags:
  purpose: demonstration

az ml workspace create \
    -g <resource-group-name> \
    --file privatelink.yml

بعد إنشاء مساحة العمل، استخدم أوامر CLI لشبكة Azure لإنشاء نقطة نهاية ارتباط خاص لمساحة العمل.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

لإنشاء إدخالات منطقة DNS الخاصة لمساحة العمل، استخدم الأوامر التالية:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Azure CLI extension 1.0

إذا كنت تستخدم ملحق Azure CLI 1.0 للتعلم الآلي، فاستخدم الأمر إنشاء مساحة عمل az ml . يمكن استخدام المعلمات التالية لهذا الأمر لإنشاء مساحة عمل مع شبكة خاصة، ولكنها تتطلب شبكة ظاهرية موجودة:

• --pe-nameاسم نقطة النهاية الخاصة التي تم إنشاؤها.:
• --pe-auto-approvalما إذا كان ينبغي الموافقة تلقائيا على اتصالات نقطة النهاية الخاصة بمساحة العمل.:
• --pe-resource-groupمجموعة الموارد لإنشاء نقطة النهاية الخاصة بها.: يجب أن تكون نفس المجموعة التي تحتوي على الشبكة الظاهرية.
• --pe-vnet-nameالشبكة الظاهرية الموجودة لإنشاء نقطة النهاية الخاصة بها.:
• --pe-subnet-nameاسم الشبكة الفرعية لإنشاء نقطة النهاية الخاصة بها.: القيمة الافتراضية هي default.

هذه المعلمات بالإضافة إلى المعلمات الأخرى المطلوبة لأمر الإنشاء. على سبيل المثال، يقوم الأمر التالي بإنشاء مساحة عمل جديدة في منطقة غرب الولايات المتحدة، باستخدام مجموعة موارد موجودة و VNet:

az ml workspace create -r myresourcegroup \
    -l westus \
    -n myworkspace \
    --pe-name myprivateendpoint \
    --pe-auto-approval \
    --pe-resource-group myresourcegroup \
    --pe-vnet-name myvnet \
    --pe-subnet-name mysubnet

المدخل

تتيح لك علامة التبويب "الشبكات" في استوديو Azure التعلم الآلي تكوين نقطة نهاية خاصة. ومع ذلك ، فإنه يتطلب شبكة افتراضية موجودة. لمزيد من المعلومات، راجع إنشاء مساحات عمل في البوابة الإلكترونية.

إضافة نقطة نهاية خاصة إلى مساحة عمل

استخدم إحدى الطرق التالية لإضافة نقطة نهاية خاصة إلى مساحة عمل موجودة:

تحذير

إذا كان لديك أي أهداف حوسبة حالية مقترنة بمساحة العمل هذه، ولم تكن وراء نفس الشبكة الظاهرية التي تم إنشاء نقطة النهاية الخاصة فيها، فلن تعمل.

Python

from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig

pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.from_config()
ws.add_private_endpoint(private_endpoint_config=pe, private_endpoint_auto_approval=True, show_output=True)

لمزيد من المعلومات حول الفئات والأساليب المستخدمة في هذا المثال، راجع PrivateEndpointConfigو Workspace.add_private_endpoint.

Azure CLI extension 2.0 preview

عند استخدام معاينة ملحق Azure CLI 2.0 CLI للتعلم الآلي، استخدم أوامر CLI لشبكة Azure لإنشاء نقطة نهاية ارتباط خاصة لمساحة العمل.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

لإنشاء إدخالات منطقة DNS الخاصة لمساحة العمل، استخدم الأوامر التالية:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Azure CLI extension 1.0

يوفر ملحق Azure CLI 1.0 للتعلم الآلي الأمر az ml workspace private-endpoint add .

az ml workspace private-endpoint add -w myworkspace  --pe-name myprivateendpoint --pe-auto-approval --pe-vnet-name myvnet

المدخل

من مساحة عمل Azure التعلم الآلي في البوابة الإلكترونية، حدد اتصالات نقطة النهاية الخاصة ثم حدد + نقطة نهاية خاصة. استخدم الحقول لإنشاء نقطة نهاية خاصة جديدة.

• عند تحديد المنطقة، حدد نفس المنطقة التي توجد بها شبكتك الظاهرية.
• عند تحديد نوع المورد، استخدم Microsoft.MachineLearningServices/مساحات العمل.
• قم بتعيين المورد إلى اسم مساحة العمل الخاصة بك.

وأخيرا، حدد إنشاء لإنشاء نقطة النهاية الخاصة.

إزالة نقطة نهاية خاصة

يمكنك إزالة نقطة نهاية خاصة واحدة أو جميعها لمساحة عمل. تؤدي إزالة نقطة نهاية خاصة إلى إزالة مساحة العمل من VNet التي اقترنت بها نقطة النهاية. قد يمنع هذا مساحة العمل من الوصول إلى الموارد الموجودة في VNet، أو الموارد الموجودة في VNet من الوصول إلى مساحة العمل. على سبيل المثال ، إذا كان VNet لا يسمح بالوصول إلى الإنترنت العام أو منه.

تحذير

لا تؤدي إزالة نقاط النهاية الخاصة لمساحة العمل إلى جعلها متاحة للجمهور. لجعل مساحة العمل متاحة للجمهور، استخدم الخطوات الموجودة في القسم تمكين الوصول العام .

لإزالة نقطة نهاية خاصة، استخدم المعلومات التالية:

Python

لإزالة نقطة نهاية خاصة، استخدم Workspace.delete_private_endpoint_connection. يوضح المثال التالي كيفية إزالة نقطة نهاية خاصة:

from azureml.core import Workspace

ws = Workspace.from_config()
# get the connection name
_, _, connection_name = ws.get_details()['privateEndpointConnections'][0]['id'].rpartition('/')
ws.delete_private_endpoint_connection(private_endpoint_connection_name=connection_name)

Azure CLI extension 2.0 preview

عند استخدام معاينة ملحق Azure CLI 2.0 CLI للتعلم الآلي، استخدم الأمر التالي لإزالة نقطة النهاية الخاصة:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Azure CLI extension 1.0

يوفر ملحق Azure CLI 1.0 للتعلم الآلي الأمر az ml workspace private-endpoint delete .

المدخل

1. من مدخل Azure، حدد مساحة عمل Azure التعلم الآلي.
2. من الجانب الأيمن من الصفحة، حدد الشبكة ثم حدد علامة التبويب اتصالات نقطة النهاية الخاصة .
3. حدد نقطة النهاية المراد إزالتها، ثم حدد إزالة.

تمكين الوصول العام

في بعض الحالات، قد ترغب في السماح لشخص ما بالاتصال بمساحة العمل الآمنة عبر نقطة نهاية عامة، بدلا من الاتصال عبر VNet. أو قد ترغب في إزالة مساحة العمل من VNet وإعادة تمكين الوصول العام.

هام

لا يؤدي تمكين الوصول العام إلى إزالة أي نقاط نهاية خاصة موجودة. لا تزال جميع الاتصالات بين المكونات الموجودة خلف VNet التي تتصل بها نقطة (نقاط) النهاية الخاصة مؤمنة. فهي تمكن الوصول العام فقط إلى مساحة العمل ، بالإضافة إلى الوصول الخاص من خلال أي نقاط نهاية خاصة.

تحذير

عند الاتصال عبر نقطة النهاية العامة أثناء استخدام مساحة العمل نقطة نهاية خاصة للاتصال بالموارد الأخرى:

• ستفشل بعض ميزات الاستوديو في الوصول إلى بياناتك. تحدث هذه المشكلة عند تخزين البيانات على خدمة مؤمنة خلف VNet. على سبيل المثال، حساب تخزين Azure.
• لا يتم دعم استخدام Jupyter وJupyterLab وRStudio على مثيل حوسبة، بما في ذلك تشغيل دفاتر الملاحظات.

لتمكين الوصول العام، اتبع الخطوات التالية:

Python

لتمكين الوصول العام، استخدم Workspace.update وقم بتعيين allow_public_access_when_behind_vnet=True.

from azureml.core import Workspace

ws = Workspace.from_config()
ws.update(allow_public_access_when_behind_vnet=True)

Azure CLI extension 2.0 preview

عند استخدام معاينة ملحق Azure CLI 2.0 CLI للتعلم الآلي، قم بإنشاء مستند YAML يقوم بتعيين public_network_access الخاصية إلى Enabled. ثم استخدم az ml update الأمر لتحديث مساحة العمل:

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-privatelink-prod
location: eastus
display_name: Private Link endpoint workspace-example
description: When using private link, you must set the image_build_compute property to a cluster name to use for Docker image environment building. You can also specify whether the workspace should be accessible over the internet.
image_build_compute: cpu-compute
public_network_access: Enabled
tags:
  purpose: demonstration

az ml workspace update \
    -n <workspace-name> \
    -f workspace.yml
    -g <resource-group-name>

Azure CLI extension 1.0

يوفر ملحق Azure CLI 1.0 للتعلم الآلي أمر تحديث مساحة عمل az ml . لتمكين الوصول العام إلى مساحة العمل، أضف المعلمة --allow-public-access true.

المدخل

1. من مدخل Azure، حدد مساحة عمل Azure التعلم الآلي.
2. من الجانب الأيمن من الصفحة، حدد الشبكة ثم حدد علامة التبويب الوصول العام .
3. حدد كافة الشبكات، ثم حدد حفظ.

الاتصال بأمان بمساحة العمل الخاصة بك

للاتصال بمساحة عمل مؤمنة خلف VNet، استخدم إحدى الطرق التالية:

• بوابة الشبكة الظاهرية الخاصة من Azure - توصيل الشبكات المحلية بشبكة ظاهرية عبر اتصال خاص. يتم إجراء الاتصالات عبر الإنترنت العام. يوجد نوعان من بوابات الشبكة الظاهرية الخاصة التي يمكنك استخدامها:

  • نقطة إلى موقع: يستخدم كل كمبيوتر عميل عميل عميل للاتصال ب VNet.
  • من موقع إلى موقع: يقوم جهاز VPN بتوصيل VNet بشبكتك المحلية.

• ExpressRoute - يربط الشبكات المحلية بالسحابة عبر اتصال خاص. يتم الاتصال باستخدام موفر الاتصال.

• Azure Bastion - في هذا السيناريو، يقوم بإنشاء جهاز Azure ظاهري (يسمى أحياناً مربع الانتقال) داخل شبكة ظاهرية. ومن ثَم يمكنك الاتصال بالجهاز الظاهري باستخدام Azure Bastion. يسمح لك Bastion بالاتصال بالجهاز الظاهري باستخدام جلسة بروتوكول سطح المكتب البعيد أو SSH من مستعرض الويب المحلي لديك. ومن ثَم يمكنك استخدام مربع الانتقال كبيئة تطوير. ونظراً إلى وجوده داخل الشبكة الظاهرية، يمكنه الوصول مباشرة إلى مساحة العمل. للحصول على مثال على استخدام مربع الانتقال السريع، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة.

هام

عند استخدام بوابة VPN أو ExpressRoute ، ستحتاج إلى تخطيط كيفية عمل دقة الاسم بين مواردك المحلية وتلك الموجودة في VNet. لمزيد من المعلومات، راجع استخدام خادم DNS مخصص.

نقاط نهاية خاصة متعددة

يدعم Azure التعلم الآلي نقاط نهاية خاصة متعددة لمساحة عمل. غالبا ما يتم استخدام نقاط نهاية خاصة متعددة عندما تريد إبقاء بيئات مختلفة منفصلة. فيما يلي بعض السيناريوهات التي تم تمكينها باستخدام نقاط نهاية خاصة متعددة:

• بيئات تطوير العملاء في VNet منفصلة.

• An Azure Kubernetes Service (AKS) cluster in a separate VNet.

• خدمات Azure الأخرى في VNet منفصل. على سبيل المثال، يمكن ل Azure Synapse وAzure Data Factory استخدام شبكة ظاهرية مدارة من Microsoft. في كلتا الحالتين ، يمكن إضافة نقطة نهاية خاصة لمساحة العمل إلى VNet المدارة التي تستخدمها تلك الخدمات. لمزيد من المعلومات حول استخدام شبكة ظاهرية مدارة مع هذه الخدمات، راجع المقالات التالية:

  • نقاط النهاية الخاصة المدارة بواسطة Synapse
  • Azure Data Factory managed virtual network.

  هام

  حماية Synapse لاستخراج البيانات غير مدعومة مع Azure التعلم الآلي.

هام

يجب أن يكون كل VNet يحتوي على نقطة نهاية خاصة لمساحة العمل قادرا أيضا على الوصول إلى حساب تخزين Azure Key Vault Azure وسجل حاوية Azure المستخدم بواسطة مساحة العمل. على سبيل المثال، يمكنك إنشاء نقطة نهاية خاصة للخدمات في كل VNet.

تستخدم إضافة نقاط نهاية خاصة متعددة نفس الخطوات الموضحة في القسم إضافة نقطة نهاية خاصة إلى مساحة عمل .

السيناريو: عملاء معزولون

إذا كنت ترغب في عزل عملاء التطوير، بحيث لا يكون لديهم حق الوصول المباشر إلى موارد الحوسبة المستخدمة بواسطة Azure التعلم الآلي، فاتبع الخطوات التالية:

ملاحظة

تفترض هذه الخطوات أن لديك مساحة عمل موجودة وحساب تخزين Azure Key Vault Azure وسجل حاوية Azure. تحتوي كل من هذه الخدمات على نقاط نهاية خاصة في شبكة VNet موجودة.

1. إنشاء VNet آخر للعملاء. قد تحتوي هذه الشبكة الافتراضية على أجهزة Azure الظاهرية التي تعمل كعملائك، أو قد تحتوي على بوابة VPN يستخدمها العملاء المحليون للاتصال بشبكة VNet.
2. أضف نقطة نهاية خاصة جديدة لحساب تخزين Azure Key Vault Azure وسجل حاوية Azure المستخدم بواسطة مساحة العمل الخاصة بك. يجب أن توجد نقاط النهاية الخاصة هذه في VNet العميل.
3. إذا كان لديك مساحة تخزين إضافية تستخدمها مساحة العمل، فأضف نقطة نهاية خاصة جديدة لهذا التخزين. يجب أن تكون نقطة النهاية الخاصة موجودة في العميل VNet وأن يتم تمكين تكامل منطقة DNS الخاصة.
4. أضف نقطة نهاية خاصة جديدة إلى مساحة العمل الخاصة بك. يجب أن توجد نقطة النهاية الخاصة هذه في VNet العميل وأن يتم تمكين تكامل منطقة DNS الخاصة.
5. استخدم الخطوات الواردة في مقالة استخدام الاستوديو في شبكة ظاهرية لتمكين الاستوديو من الوصول إلى حساب (حسابات) التخزين.

يوضح الرسم البياني التالي هذا التكوين. يحتوي Workload VNet على حسابات تم إنشاؤها بواسطة مساحة العمل لنشر التدريب & . يحتوي العميل VNet على عملاء أو اتصالات ExpressRoute/VPN الخاصة بالعميل. تحتوي كل من VNets على نقاط نهاية خاصة لمساحة العمل وحساب تخزين Azure Key Vault Azure وسجل حاوية Azure.

Scenario: Isolated Azure Kubernetes Service

إذا كنت ترغب في إنشاء خدمة Azure Kubernetes معزولة تستخدمها مساحة العمل، اتبع الخطوات التالية:

ملاحظة

تفترض هذه الخطوات أن لديك مساحة عمل موجودة وحساب تخزين Azure Key Vault Azure وسجل حاوية Azure. تحتوي كل من هذه الخدمات على نقاط نهاية خاصة في شبكة VNet موجودة.

1. Create a Azure Kubernetes Service instance. أثناء الإنشاء، يقوم AKS بإنشاء VNet يحتوي على مجموعة AKS.
2. أضف نقطة نهاية خاصة جديدة لحساب تخزين Azure Key Vault Azure وسجل حاوية Azure المستخدم بواسطة مساحة العمل الخاصة بك. يجب أن توجد نقاط النهاية الخاصة هذه في VNet العميل.
3. إذا كان لديك مساحة تخزين أخرى تستخدمها مساحة العمل، فأضف نقطة نهاية خاصة جديدة لهذا التخزين. يجب أن تكون نقطة النهاية الخاصة موجودة في العميل VNet وأن يتم تمكين تكامل منطقة DNS الخاصة.
4. أضف نقطة نهاية خاصة جديدة إلى مساحة العمل الخاصة بك. يجب أن توجد نقطة النهاية الخاصة هذه في VNet العميل وأن يتم تمكين تكامل منطقة DNS الخاصة.
5. قم بإرفاق مجموعة AKS بمساحة عمل Azure التعلم الآلي. لمزيد من المعلومات، راجع إنشاء مجموعة خدمة Azure Kubernetes وإرفاقها.

الخطوات التالية

• لمزيد من المعلومات حول تأمين مساحة عمل Azure التعلم الآلي، راجع مقالة عزل الشبكة الظاهرية ونظرة عامة على الخصوصية.

• إذا كنت تخطط لاستخدام حل DNS مخصص في شبكتك الظاهرية، فراجع كيفية استخدام مساحة عمل مع خادم DNS مخصص.