تأمين موارد مساحة عمل التعلم الآلي من Azure باستخدام الشبكات الظاهرية (VNets)

  • مقالة
  • قراءة خلال 9 دقائق

Secure Azure التعلم الآلي موارد مساحة العمل وبيئات الحوسبة باستخدام الشبكات الظاهرية (VNets). تستخدم هذه المقالة سيناريو مثال لتوضيح كيفية تكوين شبكة ظاهرية كاملة.

تلميح

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:

للحصول على برنامج تعليمي حول إنشاء مساحة عمل آمنة، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة أو البرنامج التعليمي: إنشاء مساحة عمل آمنة باستخدام قالب.

المتطلبات الأساسية

تفترض هذه المقالة أن لديك معرفة بالموضوعات التالية:

أحد أمثلة السيناريوهات

في هذا القسم، ستتعرف على كيفية إعداد سيناريو شبكة شائع لتأمين اتصال Azure التعلم الآلي بعناوين IP الخاصة.

يقارن الجدول التالي كيفية وصول الخدمات إلى أجزاء مختلفة من شبكة Azure التعلم الآلي مع VNet وبدونه:

السيناريو مساحة العمل الموارد المرتبطة بها بيئة حوسبة التدريب استنتاج بيئة الحوسبة
لا توجد شبكة افتراضية عنوان IP عام عنوان IP عام عنوان IP عام عنوان IP عام
مساحة العمل العامة، وجميع الموارد الأخرى في شبكة افتراضية عنوان IP عام IP العام (نقطة نهاية الخدمة)
- أو -
الملكية الفكرية الخاصة (نقطة النهاية الخاصة)		 الملكية الفكرية الخاصة الملكية الفكرية الخاصة
تأمين الموارد في شبكة افتراضية الملكية الفكرية الخاصة (نقطة النهاية الخاصة) IP العام (نقطة نهاية الخدمة)
- أو -
الملكية الفكرية الخاصة (نقطة النهاية الخاصة)		 الملكية الفكرية الخاصة الملكية الفكرية الخاصة
  • مساحة العمل - إنشاء نقطة نهاية خاصة لمساحة العمل الخاصة بك. تربط نقطة النهاية الخاصة مساحة العمل بشبكة vnet من خلال العديد من عناوين IP الخاصة.
    • الوصول العام - يمكنك اختياريا تمكين الوصول العام لمساحة عمل آمنة.
  • المورد المرتبط - استخدم نقاط نهاية الخدمة أو نقاط النهاية الخاصة للاتصال بموارد مساحة العمل مثل تخزين Azure وAzure Key Vault. بالنسبة لخدمات حاويات Azure، استخدم نقطة نهاية خاصة.
    • توفر نقاط تقديم الخدمة هوية شبكتك الظاهرية لخدمة Azure. بمجرد تمكين نقاط نهاية الخدمة في شبكتك الظاهرية، يمكنك إضافة قاعدة شبكة ظاهرية لتأمين موارد خدمة Azure إلى شبكتك الظاهرية. تستخدم نقاط نهاية الخدمة عناوين IP العامة.
    • نقاط النهاية الخاصة هي واجهات شبكة تصلك بأمان بخدمة مدعمة من Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاص من VNet الخاص بك ، مما يؤدي إلى جلب الخدمة بشكل فعال إلى VNet الخاص بك.
  • التدريب على الوصول إلى الحوسبة - الوصول إلى أهداف الحوسبة التدريبية مثل Azure التعلم الآلي Compute Instance وAzure التعلم الآلي مجموعات الحوسبة ذات عناوين IP العامة أو الخاصة.
  • Inference compute access - Access Azure Kubernetes Services (AKS) compute clusters with private IP addresses.

توضح لك الأقسام التالية كيفية تأمين سيناريو الشبكة الموضح أعلاه. لتأمين شبكتك، يجب عليك:

  1. تأمين مساحة العمل والموارد المرتبطة بها.
  2. تأمين بيئة التدريب.
  3. تأمين بيئة الاستدلال.
  4. اختياريا: تمكين وظائف الاستوديو.
  5. تكوين إعدادات جدار الحماية.
  6. تكوين دقة اسم DNS.

مساحة عمل عامة وموارد آمنة

إذا كنت ترغب في الوصول إلى مساحة العمل عبر الإنترنت العام مع الحفاظ على أمان كافة الموارد المرتبطة بها في شبكة ظاهرية، فاتبع الخطوات التالية:

  1. قم بإنشاء شبكة Azure الظاهرية التي ستحتوي على الموارد المستخدمة بواسطة مساحة العمل.

  2. استخدم أحد الخيارات التالية لإنشاء مساحة عمل يمكن الوصول إليها بشكل عام:

  3. إضافة الخدمات التالية إلى الشبكة الظاهرية باستخدام إما نقطة نهاية خدمة أو نقطة نهايةخاصة. اسمح أيضا خدمات Microsoft الموثوق بهم بالوصول إلى هذه الخدمات:

    الخدمة معلومات نقطة النهاية السماح بالمعلومات الموثوقة
    ⁩Azure Key Vault⁧ نقطة
    نهاية الخدمة نقطة نهاية خاصة    		 السماح خدمات Microsoft الموثوق بهم بتجاوز جدار الحماية هذا
    حساب Azure Storage الخدمة ونقطة
    النهاية الخاصة نقطة نهاية خاصة    		 منح حق الوصول إلى خدمات Azure الموثوق بها
    Azure Container Registry نقطة نهاية خاصة السماح بالخدمات الموثوقة

  4. في خصائص حساب (حسابات) تخزين Azure لمساحة العمل الخاصة بك، أضف عنوان IP الخاص بالعميل إلى القائمة المسموح بها في إعدادات جدار الحماية. لمزيد من المعلومات، راجع تكوين جدران الحماية والشبكات الظاهرية.

تأمين مساحة العمل والموارد المرتبطة بها

اتبع الخطوات التالية لتأمين مساحة العمل والموارد المرتبطة بها. تسمح هذه الخطوات لخدماتك بالاتصال بالشبكة الظاهرية.

  1. قم بإنشاء شبكات Azure الظاهرية التي ستحتوي على مساحة العمل والموارد الأخرى. ثم قم بإنشاء مساحة عمل ممكنة للارتباط الخاص لتمكين الاتصال بين VNet ومساحة العمل.

  2. إضافة الخدمات التالية إلى الشبكة الظاهرية باستخدام إما نقطة نهاية خدمة أو نقطة نهايةخاصة. اسمح أيضا خدمات Microsoft الموثوق بهم بالوصول إلى هذه الخدمات:

    الخدمة معلومات نقطة النهاية السماح بالمعلومات الموثوقة
    ⁩Azure Key Vault⁧ نقطة
    نهاية الخدمة نقطة نهاية خاصة    		 السماح خدمات Microsoft الموثوق بهم بتجاوز جدار الحماية هذا
    حساب Azure Storage الخدمة ونقطة
    النهاية الخاصة نقطة نهاية خاصة    		 منح حق الوصول من مثيلات
    موارد Azure أو
    منح حق الوصول إلى خدمات Azure الموثوق بها
    Azure Container Registry نقطة نهاية خاصة السماح بالخدمات الموثوقة

Diagram showing how the workspace and associated resources communicate inside a VNet.

للحصول على إرشادات مفصلة حول كيفية إكمال هذه الخطوات، راجع تأمين مساحة عمل Azure التعلم الآلي.

التقييدات

إن تأمين مساحة العمل والموارد المرتبطة بها داخل شبكة افتراضية له القيود التالية:

  • يجب أن تكون جميع الموارد وراء نفس VNet. ومع ذلك ، يسمح بالشبكات الفرعية داخل نفس VNet.

تأمين بيئة التدريب

في هذا القسم، ستتعرف على كيفية تأمين بيئة التدريب في Azure التعلم الآلي. ستتعرف أيضا على كيفية إكمال Azure التعلم الآلي مهمة تدريبية لفهم كيفية عمل تكوينات الشبكة معا.

لتأمين بيئة التدريب، اتبع الخطوات التالية:

  1. قم بإنشاء مثيل حساب Azure التعلم الآلي ومجموعة كمبيوتر في الشبكة الظاهرية لتشغيل مهمة التدريب.

  2. إذا كانت مجموعة الحوسبة أو مثيل الحوسبة لا يستخدم عنوان IP عاما، فيجب عليك السماح بالاتصال الوارد حتى تتمكن خدمات الإدارة من إرسال المهام إلى موارد الحوسبة الخاصة بك.

    تلميح

    يمكن إنشاء مجموعة الحوسبة ومثيل الحوسبة باستخدام عنوان IP عام أو بدونه. إذا تم إنشاؤها باستخدام عنوان IP عام، فستحصل على موازن تحميل مع عنوان IP عام لقبول الوصول الوارد من خدمة دفعات Azure وخدمة Azure التعلم الآلي. تحتاج إلى تكوين التوجيه المعرف من قبل المستخدم (UDR) إذا كنت تستخدم جدار حماية. إذا تم إنشاؤها بدون عنوان IP عام، فستحصل على خدمة ارتباط خاص لقبول الوصول الوارد من خدمة دفعات Azure وخدمة Azure التعلم الآلي بدون عنوان IP عام.

Diagram showing how to secure managed compute clusters and instances.

للحصول على إرشادات مفصلة حول كيفية إكمال هذه الخطوات، راجع تأمين بيئة تدريب.

مثال على تقديم وظيفة التدريب

في هذا القسم، ستتعرف على كيفية اتصال Azure التعلم الآلي بأمان بين الخدمات لإرسال وظيفة تدريبية. يوضح لك هذا كيفية عمل جميع التكوينات معا لتأمين الاتصال.

  1. يقوم العميل بتحميل البرامج النصية للتدريب وبيانات التدريب إلى حسابات التخزين الآمنة باستخدام خدمة أو نقطة نهاية خاصة.

  2. يرسل العميل مهمة تدريب إلى مساحة عمل Azure التعلم الآلي من خلال نقطة النهاية الخاصة.

  3. تتلقى خدمة Azure Batch المهمة من مساحة العمل. ثم يقدم مهمة التدريب إلى بيئة الحوسبة من خلال موازن الحمل العام لمورد الحوسبة.

  4. يتلقى مورد الحوسبة المهمة ويبدأ التدريب. يستخدم مورد الحوسبة المعلومات المخزنة في المخزن الرئيسي للوصول إلى حسابات التخزين لتنزيل ملفات التدريب وتحميل المخرجات.

Diagram showing the secure training job submission workflow.

التقييدات

  • يجب أن يكون Azure Compute Instance وAzure Compute Clusters في نفس VNet والمنطقة والاشتراك مثل مساحة العمل والموارد المرتبطة بها.

تأمين بيئة الاستدلال

في هذا القسم، ستتعرف على الخيارات المتاحة لتأمين بيئة استدلال. نوصي باستخدام مجموعات Azure Kubernetes Services (AKS) لعمليات نشر الإنتاج عالية النطاق.

لديك خياران لمجموعات AKS في شبكة ظاهرية:

  • نشر أو إرفاق مجموعة AKS افتراضية ب VNet.
  • قم بإرفاق مجموعة AKS خاصة ب VNet.

تحتوي مجموعات AKS الافتراضية على مستوى تحكم مع عناوين IP عامة. يمكنك إضافة مجموعة AKS افتراضية إلى VNet أثناء النشر أو إرفاق مجموعة بعد إنشائها.

تحتوي مجموعات AKS الخاصة على مستوى تحكم ، والذي لا يمكن الوصول إليه إلا من خلال عناوين IP الخاصة. يجب إرفاق مجموعات AKS الخاصة بعد إنشاء المجموعة.

للحصول على إرشادات مفصلة حول كيفية إضافة مجموعات افتراضية وخاصة، راجع تأمين بيئة استدلال.

بغض النظر عن مجموعة AKS الافتراضية أو مجموعة AKS الخاصة المستخدمة، إذا كانت مجموعة AKS الخاصة بك متأخرة عن VNET، فيجب أن تحتوي مساحة العمل والموارد المرتبطة بها (التخزين وخزينة المفاتيح وACR) على نقاط نهاية خاصة أو نقاط نهاية خدمة في نفس VNET مثل مجموعة AKS.

يعرض الرسم التخطيطي التالي للشبكة مساحة عمل Azure التعلم الآلي آمنة مع مجموعة AKS خاصة متصلة بالشبكة الظاهرية.

Diagram showing an attached private AKS cluster.

اختياري: تمكين الوصول العام

يمكنك تأمين مساحة العمل خلف VNet باستخدام نقطة نهاية خاصة والسماح بالوصول عبر الإنترنت العام. التكوين الأولي هو نفسه تأمين مساحة العمل والموارد المرتبطة بها.

بعد تأمين مساحة العمل باستخدام نقطة نهاية خاصة، اتبع الخطوات التالية لتمكين العملاء من التطوير عن بعد باستخدام SDK أو Azure التعلم الآلي studio:

  1. تمكين وصول الجمهور إلى مساحة العمل.
  2. قم بتكوين جدار حماية تخزين Azure للسماح بالاتصال بعنوان IP للعملاء الذين يتصلون عبر الإنترنت العام.

اختياري: تمكين وظائف الاستوديو

تأمين مساحة> العمل تأمين بيئة> التدريب تأمين بيئة> الاستدلال تمكين وظائف> الاستوديو تكوين إعدادات جدار الحماية

إذا كانت مساحة التخزين الخاصة بك في VNet، فيجب عليك استخدام خطوات تكوين إضافية لتمكين الوظائف الكاملة في الاستوديو. بشكل افتراضي، يتم تعطيل الميزات التالية:

  • معاينة البيانات في الاستوديو.
  • تصور البيانات في المصمم.
  • نشر نموذج في المصمم.
  • إرسال تجربة AutoML.
  • بدء مشروع وضع العلامات.

لتمكين وظائف الاستوديو الكاملة، راجع استخدام استوديو Azure التعلم الآلي في شبكة ظاهرية.

التقييدات

لا يدعم وضع العلامات على البيانات بمساعدة ML حساب تخزين افتراضي خلف شبكة افتراضية. بدلا من ذلك، استخدم حساب تخزين آخر غير الحساب الافتراضي لوضع العلامات على البيانات بمساعدة ML.

تلميح

طالما أنه ليس حساب التخزين الافتراضي ، يمكن تأمين الحساب المستخدم بواسطة تصنيف البيانات خلف الشبكة الافتراضية.

تكوين إعدادات جدار الحماية

قم بتكوين جدار الحماية الخاص بك للتحكم في حركة المرور بين موارد مساحة عمل Azure التعلم الآلي والإنترنت العام. بينما نوصي باستخدام جدار حماية Azure، يمكنك استخدام منتجات جدار الحماية الأخرى.

لمزيد من المعلومات حول إعدادات جدار الحماية، راجع استخدام مساحة عمل خلف جدار حماية.

نظام أسماء مجالات مخصصة

إذا كنت بحاجة إلى استخدام حل DNS مخصص لشبكتك الظاهرية، فيجب عليك إضافة سجلات مضيف لمساحة العمل الخاصة بك.

لمزيد من المعلومات حول أسماء المجالات وعناوين IP المطلوبة، راجع كيفية استخدام مساحة عمل مع خادم DNS مخصص.

Microsoft Sentinel

Microsoft Sentinel هو حل أمان يمكنه التكامل مع Azure التعلم الآلي. على سبيل المثال، باستخدام دفاتر ملاحظات Jupyter المتوفرة من خلال Azure التعلم الآلي. لمزيد من المعلومات، راجع استخدام دفاتر ملاحظات Jupyter للبحث عن تهديدات الأمان.

الوصول العام

يمكن ل Microsoft Sentinel إنشاء مساحة عمل لك تلقائيا إذا كنت موافقا على نقطة نهاية عامة. في هذا التكوين، يتصل محللو مركز عمليات الأمان (SOC) ومسؤولو النظام بدفاتر الملاحظات في مساحة العمل الخاصة بك من خلال Sentinel.

للحصول على معلومات حول هذه العملية، راجع إنشاء مساحة عمل Azure ML من Microsoft Sentinel

Diagram showing Microsoft Sentinel public connection.

نقطة نهاية خاصة

إذا كنت ترغب في تأمين مساحة العمل والموارد المرتبطة بها في VNet، فيجب عليك إنشاء مساحة عمل Azure التعلم الآلي أولا. يجب عليك أيضا إنشاء "مربع قفزة" للجهاز الظاهري في نفس VNet مثل مساحة العمل الخاصة بك، وتمكين اتصال Azure Bastion به. على غرار التكوين العام، يمكن لمحللي SOC والمسؤولين الاتصال باستخدام Microsoft Sentinel، ولكن يجب تنفيذ بعض العمليات باستخدام Azure Bastion للاتصال بالجهاز الظاهري.

لمزيد من المعلومات حول هذا التكوين، راجع إنشاء مساحة عمل Azure ML من Microsoft Sentinel

Daigram showing Microsoft Sentinel connection through a VNet.

الخطوات التالية

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة: