تأمين بيئة تدريب Azure التعلم الآلي باستخدام الشبكات الظاهرية

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

في هذه المقالة، ستتعرف على كيفية تأمين بيئات التدريب باستخدام شبكة ظاهرية في Azure التعلم الآلي.

تلميح

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:

• نظرة عامة على الشبكة الظاهرية
• تأمين موارد مساحة العمل
• تأمين بيئة الاستدلال
• تمكين وظائف الاستوديو
• اسم DNS مخصص
• استخدام جدار حماية

للحصول على برنامج تعليمي حول إنشاء مساحة عمل آمنة، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة أو البرنامج التعليمي: إنشاء مساحة عمل آمنة باستخدام قالب.

في هذه المقالة ، تتعلم كيفية تأمين موارد حساب التدريب التالية في شبكة ظاهرية:

• Azure التعلم الآلي compute cluster
• مثيل حساب التعلم الآلي من Azure
• Azure Databricks
• الجهاز الظاهري
• مجموعة HDnsight

المتطلبات الأساسية

• اقرأ مقالة نظرة عامة على أمان الشبكة لفهم سيناريوهات الشبكة الظاهرية الشائعة وبنية الشبكة الظاهرية الشاملة.

• شبكة ظاهرية وشبكة فرعية موجودة لاستخدامها مع موارد الحوسبة الخاصة بك.

• لنشر الموارد في شبكة ظاهرية أو شبكة فرعية، يجب أن يكون لدى حساب المستخدم أذونات للإجراءات التالية في عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC):

  • "Microsoft.Network/virtualNetworks/*/read" على مورد الشبكة الظاهرية. لا يلزم هذا الإذن لعمليات نشر قوالب Azure Resource Manager (ARM).
  • "Microsoft.Network/virtualNetworks/subnet/join/action" على مورد الشبكة الفرعية.

  لمزيد من المعلومات حول Azure RBAC مع الشبكات، راجع الأدوار المضمنة في الشبكة

Azure التعلم الآلي compute cluster/instance

• تقوم مجموعات الحوسبة والمثيلات بإنشاء الموارد التالية. إذا لم يتمكنوا من إنشاء هذه الموارد (على سبيل المثال، إذا كان هناك تأمين مورد في مجموعة الموارد)، فقد يفشل الإنشاء أو التوسع أو التوسع.

  • عنوان IP.
  • مجموعة أمن الشبكات (NSG).
  • موازن التحميل.

• يجب أن تكون الشبكة الظاهرية في نفس الاشتراك مثل مساحة عمل Azure التعلم الآلي.

• يجب أن تحتوي الشبكة الفرعية المستخدمة لمثيل الحوسبة أو الكتلة على عدد كاف من عناوين IP غير المعينة.

  • يمكن لمجموعة الحوسبة أن تتوسع ديناميكيا. إذا لم يكن هناك عدد كاف من عناوين IP غير المعينة، تخصيص المجموعة جزئيا.
  • يتطلب مثيل الحوسبة عنوان IP واحدا فقط.

• لإنشاء مجموعة حوسبة أو مثيل بدون عنوان IP عام (ميزة معاينة)، يجب أن تستخدم مساحة العمل نقطة نهاية خاصة للاتصال ب VNet. لمزيد من المعلومات، راجع تكوين نقطة نهاية خاصة لمساحة عمل Azure التعلم الآلي.

• إذا كنت تخطط لتأمين الشبكة الافتراضية عن طريق تقييد حركة المرور، فراجع قسم الوصول العام المطلوب إلى الإنترنت .

• لا ينبغي تفويض الشبكة الفرعية المستخدمة لنشر مجموعة/مثيل الحوسبة إلى أي خدمة أخرى. على سبيل المثال، لا ينبغي تفويضها إلى ACI.

Azure Databricks

• يجب أن تكون الشبكة الظاهرية في نفس الاشتراك والمنطقة مثل مساحة عمل Azure التعلم الآلي.
• إذا تم أيضا تأمين حساب (حسابات) تخزين Azure لمساحة العمل في شبكة ظاهرية، فيجب أن تكون في نفس الشبكة الظاهرية مثل مجموعة Azure Databricks.

التقييدات

Azure التعلم الآلي compute cluster/instance

• إذا وضعت مثيلات أو مجموعات حوسبة متعددة في شبكة ظاهرية واحدة، فقد تحتاج إلى طلب زيادة الحصة النسبية لواحد أو أكثر من مواردك. يقوم التعلم الآلي حساب مثيل أو مجموعة تلقائيا بتخصيص موارد الشبكة في مجموعة الموارد التي تحتوي على الشبكة الظاهرية. لكل مثيل حساب أو مجموعة، تقوم الخدمة بتخصيص الموارد التالية:

  • مجموعة واحدة لأمن الشبكات (NSG). يحتوي NSG هذا على القواعد التالية، والتي هي خاصة بحساب الكتلة ومثيل الحساب:

    • السماح بحركة مرور TCP الواردة على المنافذ 29876-29877 من BatchNodeManagement علامة الخدمة.
    • السماح بحركة مرور TCP الواردة على المنفذ 44224 من AzureMachineLearning علامة الخدمة.

    تعرض لقطة الشاشة التالية مثالا على هذه القواعد:

    

    تلميح

    إذا كانت مجموعة الحوسبة أو المثيل الخاص بك لا يستخدم عنوان IP عاما (ميزة معاينة)، فلن تكون قواعد NSG الواردة مطلوبة هذه.

  • بالنسبة إلى مجموعة الحوسبة أو المثيل، أصبح من الممكن الآن إزالة عنوان IP العام (ميزة معاينة). إذا كانت لديك تعيينات نهج Azure تحظر إنشاء IP عام، فسينجح نشر مجموعة الحوسبة أو المثيل.

  • موازنة تحميل واحدة

  بالنسبة إلى مجموعات الحوسبة، يتم حذف هذه الموارد في كل مرة يتم فيها توسيع نطاق المجموعة إلى 0 عقد ويتم إنشاؤها عند التوسع.

  بالنسبة لمثيل الحوسبة، يتم الاحتفاظ بهذه الموارد حتى يتم حذف المثيل. لا يؤدي إيقاف المثيل إلى إزالة الموارد.

  هام

  تعد هذه الموارد مقيدة بـ الحصص النسبية للموارد للاشتراك. إذا تم تأمين مجموعة موارد الشبكة الظاهرية ، فسيفشل حذف مجموعة / مثيل الحوسبة. لا يمكن حذف موازن التحميل حتى يتم حذف مجموعة/مثيل الحوسبة. يرجى أيضا التأكد من عدم وجود تعيين لنهج Azure يحظر إنشاء مجموعات أمان الشبكة.

• إذا قمت بإنشاء مثيل حوسبة وتخطط لاستخدام تكوين عنوان IP بدون عام، فيجب تعيين الهوية المدارة لمساحة عمل Azure التعلم الآلي دور القارئ للشبكة الظاهرية التي تحتوي على مساحة العمل. لمزيد من المعلومات حول تعيين الأدوار، راجع خطوات تعيين دور Azure.

• إذا قمت بتكوين Azure Container Registry لمساحة العمل الخاصة بك خلف الشبكة الظاهرية، فيجب عليك استخدام مجموعة حوسبة لإنشاء صور Docker. لا يمكنك استخدام مجموعة حوسبة بدون تكوين عنوان IP عام. لمزيد من المعلومات، راجع تمكين تسجيل حاوية Azure.

• إذا كانت حسابات تخزين Azure لمساحة العمل موجودة أيضا في الشبكة الظاهرية، فاستخدم الإرشادات التالية حول قيود الشبكة الفرعية:

  • إذا كنت تخطط لاستخدام استوديو Azure التعلم الآلي لتصور البيانات أو استخدام المصمم، فيجب أن يكون حساب التخزين في نفس الشبكة الفرعية مثل مثيل الحوسبة أو المجموعة.
  • إذا كنت تخطط لاستخدام SDK، يمكن أن يكون حساب التخزين في شبكة فرعية مختلفة.

  ملاحظة

  لا تكفي إضافة مثيل مورد لمساحة العمل الخاصة بك أو تحديد خانة الاختيار "السماح خدمات Microsoft الموثوق بهم بالوصول إلى هذا الحساب" للسماح بالاتصال من الحساب.

• عندما تستخدم مساحة العمل نقطة نهاية خاصة، لا يمكن الوصول إلى مثيل الحوسبة إلا من داخل الشبكة الظاهرية. إذا كنت تستخدم ملف DNS أو hosts مخصصا، فأضف إدخالا ل <instance-name>.<region>.instances.azureml.ms. قم بتعيين هذا الإدخال إلى عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل. لمزيد من المعلومات، راجع مقالة DNS المخصصة .

• لا تعمل نهج نقطة نهاية خدمة الشبكة الظاهرية مع حسابات تخزين نظام الكتلة/المثيل الحاسوبية.

• إذا كان مثيل التخزين والحوسبة في مناطق مختلفة، فقد ترى مهلات متقطعة.

• إذا كان سجل حاوية Azure لمساحة العمل الخاصة بك يستخدم نقطة نهاية خاصة للاتصال بالشبكة الظاهرية، فلا يمكنك استخدام هوية مدارة لمثيل الحوسبة. لاستخدام هوية مدارة مع مثيل الحوسبة، لا تضع سجل الحاوية في VNet.

• إذا كنت تريد استخدام دفاتر ملاحظات Jupyter على مثيل حوسبة:

  • لا تقم بتعطيل اتصال websocket. تأكد من أن شبكتك تسمح بالاتصال ب websocket و *.instances.azureml.net*.instances.azureml.ms.
  • تأكد من تشغيل دفتر الملاحظات على مورد حوسبة خلف نفس الشبكة الظاهرية والشبكة الفرعية مثل بياناتك. عند إنشاء مثيل الحوسبة، استخدم الإعدادات المتقدمةتكوين> الشبكة الظاهرية لتحديد الشبكة والشبكة الفرعية.

• يمكن إنشاء مجموعات الحوسبة في منطقة مختلفة عن مساحة العمل الخاصة بك. هذه الوظيفة قيد المعاينة، وهي متوفرة فقط لمجموعات الحوسبة، وليس لمثيلات الحوسبة. عند استخدام منطقة مختلفة للمجموعة، تنطبق القيود التالية:

  • إذا كانت الموارد المرتبطة بمساحة العمل، مثل التخزين، موجودة في شبكة ظاهرية مختلفة عن المجموعة، فقم بإعداد شبكة ظاهرية عالمية نظيرة بين الشبكات. لمزيد من المعلومات، اطلع على اقتران الشبكة الظاهرية.
  • قد ترى زيادة في زمن انتقال الشبكة وتكاليف نقل البيانات. يمكن أن يحدث زمن الوصول والتكاليف عند إنشاء المجموعة، وعند تشغيل الوظائف عليها.

  تنطبق إرشادات مثل استخدام قواعد NSG والمسارات المعرفة من قبل المستخدم ومتطلبات الإدخال / الإخراج كالمعتاد عند استخدام منطقة مختلفة عن مساحة العمل.

  تحذير

  إذا كنت تستخدم مساحة عمل خاصة ممكنة لنقطة النهاية، فلن يتم اعتماد إنشاء المجموعة في منطقة مختلفة.

Azure Databricks

• بالإضافة إلى الشبكات الفرعية الخاصة ب databricks و databricks-public المستخدمة بواسطة Azure Databricks، فإن الشبكة الفرعية الافتراضية التي تم إنشاؤها للشبكة الظاهرية مطلوبة أيضا.
• لا يستخدم Azure Databricks نقطة نهاية خاصة للاتصال بالشبكة الظاهرية.

لمزيد من المعلومات حول استخدام Azure Databricks في شبكة ظاهرية، راجع نشر Azure Databricks في شبكة Azure الظاهرية.

Azure HDInsight or virtual machine

• يدعم Azure التعلم الآلي فقط الأجهزة الظاهرية التي تقوم بتشغيل Ubuntu.

مطلوب اتصال عام بالإنترنت

يتطلب Azure التعلم الآلي الوصول الوارد والصادر إلى الإنترنت العام. توفر الجداول التالية نظرة عامة على الوصول المطلوب وما هو الغرض منه. البروتوكول لجميع العناصر هو TCP. بالنسبة لعلامات الخدمة التي تنتهي ب .region، استبدل region بمنطقة Azure التي تحتوي على مساحة العمل الخاصة بك. على سبيل المثال، Storage.westus:

الاتجاه	منافذ	علامة الخدمة	الغرض
الواردة	29876-29877	BatchNodeManagement	إنشاء Azure التعلم الآلي وتحديث وحذف مثيل الحوسبة ومجموعة الحوسبة.
الواردة	44224	AzureMachineLearning	إنشاء مثيل حوسبة Azure التعلم الآلي وتحديثه وحذفه.
الصادرة	443	AzureMonitor	يستخدم لتسجيل المراقبة والمقاييس إلى App Insights و Azure Monitor.
الصادرة	80, 443	AzureActiveDirectory	المصادقة باستخدام Azure AD.
الصادرة	443	AzureMachineLearning	استخدام خدمات Azure التعلم الآلي.
الصادرة	443	AzureResourceManager	إنشاء موارد Azure باستخدام Azure التعلم الآلي.
الصادرة	443	التخزين.المنطقة	الوصول إلى البيانات المخزنة في حساب تخزين Azure لخدمة Azure Batch .
الصادرة	443	AzureFrontDoor.FrontEnd * غير مطلوب في Azure China.	نقطة الدخول العالمية لاستوديو Azure التعلم الآلي.
الصادرة	443	ContainerRegistry.region	الوصول إلى صور عامل الرصيف التي توفرها Microsoft.
الصادرة	443	MicrosoftContainerRegistry.region	الوصول إلى صور عامل الرصيف التي توفرها Microsoft. Setup of the Azure التعلم الآلي router for Azure Kubernetes Service.
الصادرة	443	Keyvault.region	الوصول إلى مخزن المفاتيح لخدمة Azure Batch . لا يلزم الحاجة إلا إذا تم إنشاء مساحة العمل الخاصة بك مع تمكين علامة hbi_workspace .

تلميح

إذا كنت بحاجة إلى عناوين IP بدلا من علامات الخدمة، فاستخدم أحد الخيارات التالية:

• قم بتنزيل قائمة من نطاقات Azure IP وعلامات الخدمة.
• Use the Azure CLI az network list-service-tags commands .
• استخدم الأمر Azure PowerShell Get-AzNetworkServiceTag .

قد تتغير عناوين IP بشكل دوري.

قد تحتاج أيضا إلى السماح بحركة المرور الصادرة إلى Visual Studio Code والمواقع غير التابعة ل Microsoft لتثبيت الحزم التي يتطلبها مشروع التعلم الآلي الخاص بك. يسرد الجدول التالي المستودعات الشائعة الاستخدام للتعلم الآلي:

اسم المضيف	الغرض
anaconda.com *.anaconda.com	تستخدم لتثبيت الحزم الافتراضية.
*.anaconda.org	تستخدم للحصول على بيانات الريبو.
pypi.org	يستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا يتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تمت الكتابة فوق الفهرس، فيجب عليك أيضا السماح ب *.pythonhosted.org.
cloud.r-project.org	تستخدم عند تثبيت حزم CRAN لتطوير R.
*pytorch.org	تستخدم من قبل بعض الأمثلة على أساس PyTorch.
*.tensorflow.org	تستخدم من قبل بعض الأمثلة على أساس Tensorflow.
update.code.visualstudio.com *.vo.msecnd.net	تستخدم لاسترداد بتات خادم VS Code، والتي يتم تثبيتها على مثيل الحوسبة من خلال برنامج نصي للإعداد.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	تستخدم لاسترداد بتات خادم websocket ، والتي يتم تثبيتها على مثيل الحوسبة. يتم استخدام خادم websocket لنقل الطلبات من عميل التعليمات البرمجية Visual Studio (تطبيق سطح المكتب) إلى خادم التعليمات البرمجية Visual Studio الذي يعمل على مثيل الحوسبة.

عند استخدام Azure Kubernetes Service (AKS) مع Azure التعلم الآلي، اسمح بحركة المرور التالية إلى AKS VNet:

• المتطلبات العامة الواردة/الصادرة ل AKS كما هو موضح في مقالة تقييد حركة مرور الخروج في Azure Kubernetes Service .
• الصادرة إلى mcr.microsoft.com.
• عند نشر نموذج إلى مجموعة AKS، استخدم الإرشادات الواردة في مقالة نشر نماذج ML إلى Azure Kubernetes Service .

للحصول على معلومات حول استخدام حل جدار حماية، راجع استخدام جدار حماية مع Azure التعلم الآلي.

مجموعات الحوسبة

استخدم علامات التبويب أدناه لتحديد الطريقة التي تخطط بها لإنشاء مجموعة حوسبة:

استوديو

اتبع الخطوات التالية لإنشاء مجموعة حوسبة في استوديو Azure التعلم الآلي:

1. سجل الدخول إلى استوديو Azure التعلم الآلي، ثم حدد الاشتراك ومساحة العمل.

2. حدد حساب على اليمين، وحساب المجموعات من المنتصف، ثم حدد + جديد.

   

3. في مربع الحوار إنشاء مجموعة حوسبة ، حدد حجم الجهاز الظاهري وتكوينه الذي تحتاجه، ثم حدد التالي.

   

4. من القسم تكوين الإعدادات، قم بتعيين اسم الحساب والشبكة الظاهرية والشبكةالفرعية.

   

   تلميح

   إذا كانت مساحة العمل الخاصة بك تستخدم نقطة نهاية خاصة للاتصال بالشبكة الظاهرية، فسيظهر حقل تحديد الشبكة الظاهرية باللون الرمادي .

5. حدد إنشاء لإنشاء مجموعة الحوسبة.

Python

التعليمة البرمجية التالية بإنشاء نظام مجموعة حوسبة التعلم الآلي جديد في default الشبكة الفرعية لشبكة ظاهرية المسماةmynetwork:

from azureml.core.compute import ComputeTarget, AmlCompute
from azureml.core.compute_target import ComputeTargetException

# The Azure virtual network name, subnet, and resource group
vnet_name = 'mynetwork'
subnet_name = 'default'
vnet_resourcegroup_name = 'mygroup'

# Choose a name for your CPU cluster
cpu_cluster_name = "cpucluster"

# Verify that cluster does not exist already
try:
    cpu_cluster = ComputeTarget(workspace=ws, name=cpu_cluster_name)
    print("Found existing cpucluster")
except ComputeTargetException:
    print("Creating new cpucluster")

    # Specify the configuration for the new cluster
    compute_config = AmlCompute.provisioning_configuration(vm_size="STANDARD_D2_V2",
                                                           min_nodes=0,
                                                           max_nodes=4,
                                                           location="westus2",
                                                           vnet_resourcegroup_name=vnet_resourcegroup_name,
                                                           vnet_name=vnet_name,
                                                           subnet_name=subnet_name)

    # Create the cluster with the specified name and configuration
    cpu_cluster = ComputeTarget.create(ws, cpu_cluster_name, compute_config)

    # Wait for the cluster to be completed, show the output log
    cpu_cluster.wait_for_completion(show_output=True)

عند انتهاء عملية الإنشاء، يمكنك تدريب النموذج باستخدام الكتلة في تجربة. لمزيد من المعلومات، راجع تحديد هدف حساب واستخدامه للتدريب.

ملاحظة

يمكنك اختيار استخدام الأجهزة الظاهرية ذات الأولوية المنخفضة لتشغيل بعض أو كل أحمال العمل الخاصة بك. تعرف على كيفية إنشاء جهاز ظاهري منخفض الأولوية.

لا يوجد عنوان IP عام لمجموعات الحوسبة (المعاينة)

عند تمكين لا يوجد عنوان IP عام، لا تستخدم مجموعة الحوسبة عنوان IP عاما للاتصال بأي تبعيات. بدلا من ذلك، فإنه يتصل فقط داخل الشبكة الافتراضية باستخدام النظام البيئي Azure Private Link ونقاط النهاية الخاصة بالخدمة/الخاصة، مما يلغي الحاجة إلى عنوان IP عام تماما. لا يوجد عنوان IP عام يزيل الوصول إلى عقد مجموعة الحوسبة وإمكانية اكتشافها من الإنترنت وبالتالي القضاء على متجه تهديد كبير. ولا توجد مجموعات عامة للملكية الفكرية تساعد على الامتثال لأي سياسات عامة للملكية الفكرية لدى العديد من الشركات.

تحذير

بشكل افتراضي، ليس لديك وصول عام إلى الإنترنت من لا توجد مجموعة حوسبة IP عامة. تحتاج إلى تكوين التوجيه المعرف من قبل المستخدم (UDR) للوصول إلى عنوان IP عام للوصول إلى الإنترنت. على سبيل المثال، يمكنك استخدام عنوان IP عام لجدار الحماية الخاص بك، أو يمكنك استخدام Virtual Network NAT مع عنوان IP عام.

لا تحتوي مجموعة الحوسبة التي لا يتم تمكين عنوان IP العام على متطلبات اتصال واردة من الإنترنت العام. وعلى وجه التحديد، لا يلزم وجود قاعدة (،) من قواعد مجموعة موردي المواد النووية الواردة (BatchNodeManagement، AzureMachineLearning). لا تزال بحاجة إلى السماح بالوارد من مصدر VirtualNetwork وأي مصدر منفذ ، إلى وجهة VirtualNetwork ، ومنفذ الوجهة29876 ، 29877.

لا تعتمد مجموعات IP العامة على Azure Private Link لمساحة عمل Azure التعلم الآلي. تتطلب منك مجموعة الحوسبة التي لا تحتوي على عنوان IP عام أيضا تعطيل نهج شبكة نقطة النهاية الخاصة ونهج شبكة خدمة الارتباط الخاص. تأتي هذه المتطلبات من خدمة الارتباط الخاص Azure ونقاط النهاية الخاصة وليست Azure التعلم الآلي محددة. اتبع الإرشادات الواردة من تعطيل نهج الشبكة لخدمة الارتباط الخاص لتعيين المعلمات disable-private-endpoint-network-policies وعلى disable-private-link-service-network-policies الشبكة الفرعية للشبكة الظاهرية.

لكي تعمل الاتصالات الصادرة ، تحتاج إلى إعداد جدار حماية خروج مثل جدار حماية Azure مع مسارات معرفة من قبل المستخدم. على سبيل المثال ، يمكنك استخدام جدار حماية تم إعداده باستخدام التكوين الوارد / الصادر وتوجيه حركة المرور هناك عن طريق تحديد جدول مسارات على الشبكة الفرعية التي يتم فيها نشر مجموعة الحوسبة. يمكن لإدخال جدول المسار إعداد القفزة التالية لعنوان IP الخاص لجدار الحماية باستخدام بادئة العنوان 0.0.0.0/0.

يمكنك استخدام نقطة نهاية خدمة أو نقطة نهاية خاصة لتسجيل حاوية Azure وتخزين Azure في الشبكة الفرعية التي يتم نشر الكتلة فيها.

لإنشاء مجموعة حوسبة بدون عنوان IP عام (ميزة معاينة) في الاستوديو، قم بتعيين خانة الاختيار لا يوجد عنوان IP عام في قسم الشبكة الظاهرية. يمكنك أيضا إنشاء أي مجموعة حوسبة IP عامة من خلال قالب ARM. في قالب ARM تعيين enableNodePublicIP المعلمة إلى false.

ملاحظة

يتوفر حاليا دعم مثيلات الحوسبة بدون عناوين IP عامة وفي المعاينة العامة للمناطق التالية: فرنسا الوسطى وشرق آسيا وغرب وسط الولايات المتحدة وجنوب وسط الولايات المتحدة وغرب الولايات المتحدة 2 وشرق الولايات المتحدة وشرق الولايات المتحدة 2 وشمال أوروبا وأوروبا الغربية ووسط الولايات المتحدة وشمال وسط الولايات المتحدة وغرب الولايات المتحدة وأستراليا وشرق اليابان وغرب اليابان.

يتوفر حاليا دعم مجموعات الحوسبة بدون عناوين IP عامة وفي المعاينة العامة للمناطق التالية: فرنسا الوسطى وشرق آسيا وغرب وسط الولايات المتحدة وجنوب وسط الولايات المتحدة وغرب الولايات المتحدة 2 وشرق الولايات المتحدة وشمال أوروبا وشرق الولايات المتحدة 2 ووسط الولايات المتحدة وأوروبا الغربية وشمال وسط الولايات المتحدة وغرب الولايات المتحدة وأستراليا الشرقية واليابان الغربية.

استكشاف الأخطاء وإصلاحها

• إذا تلقيت رسالة الخطأ هذه أثناء إنشاء نظام المجموعة The specified subnet has PrivateLinkServiceNetworkPolicies or PrivateEndpointNetworkEndpoints enabled، فاتبع الإرشادات الواردة في تعطيل نهج الشبكة لخدمة الارتباط الخاصوتعطيل نهج الشبكة لنقطة النهاية الخاصة.

• في حالة فشل تنفيذ المهمة بسبب مشكلات الاتصال ب ACR أو Azure Storage، تحقق من أن العميل قد أضاف نقطة نهاية/نقاط نهاية خاصة لخدمة ACR وAzure Storage إلى الشبكة الفرعية ويسمح ACR/Azure Storage بالوصول من الشبكة الفرعية.

• للتأكد من أنك قمت بإنشاء مجموعة IP لا توجد عامة، في Studio عند النظر إلى تفاصيل المجموعة، سترى أنه لم يتم تعيين أي خاصية IP عامة إلى true ضمن خصائص الموارد.

مثيل الحساب

للحصول على خطوات حول كيفية إنشاء مثيل حوسبة تم نشره في شبكة ظاهرية، راجع إنشاء مثيل حوسبة Azure التعلم الآلي وإدارته.

لا يوجد عنوان IP عام لمثيلات الحوسبة (معاينة)

عند تمكين لا يوجد عنوان IP عام، لا يستخدم مثيل الحوسبة عنوان IP عاما للاتصال بأي تبعيات. بدلا من ذلك، فإنه يتصل فقط داخل الشبكة الافتراضية باستخدام النظام البيئي Azure Private Link ونقاط النهاية الخاصة بالخدمة/الخاصة، مما يلغي الحاجة إلى عنوان IP عام تماما. لا يوجد عنوان IP عام يزيل الوصول إلى عقدة مثيل الحوسبة وإمكانية اكتشافها من الإنترنت وبالتالي القضاء على متجه تهديد كبير. ستقوم مثيلات الحوسبة أيضا بتصفية الحزم لرفض أي حركة مرور من خارج الشبكة الظاهرية. لا تعتمد أي مثيلات IP عامة على Azure Private Link لمساحة عمل Azure التعلم الآلي.

تحذير

بشكل افتراضي، ليس لديك وصول عام إلى الإنترنت من لا يوجد مثيل حساب IP عام. تحتاج إلى تكوين التوجيه المعرف من قبل المستخدم (UDR) للوصول إلى عنوان IP عام للوصول إلى الإنترنت. على سبيل المثال، يمكنك استخدام عنوان IP عام لجدار الحماية الخاص بك، أو يمكنك استخدام Virtual Network NAT مع عنوان IP عام.

لكي تعمل الاتصالات الصادرة ، تحتاج إلى إعداد جدار حماية خروج مثل جدار حماية Azure مع مسارات معرفة من قبل المستخدم. على سبيل المثال، يمكنك استخدام جدار حماية تم إعداده باستخدام التكوين الوارد / الصادر وتوجيه حركة المرور هناك عن طريق تحديد جدول مسار على الشبكة الفرعية التي يتم فيها نشر مثيل الحوسبة. يمكن لإدخال جدول المسار إعداد القفزة التالية لعنوان IP الخاص لجدار الحماية باستخدام بادئة العنوان 0.0.0.0/0.

مثيل الحوسبة الذي لا يوجد به عنوان IP عام ممكن لا يحتوي على متطلبات اتصال واردة من الإنترنت العام. وعلى وجه التحديد، لا يلزم وجود قاعدة (،) من قواعد مجموعة موردي المواد النووية الواردة (BatchNodeManagement، AzureMachineLearning). لا تزال بحاجة إلى السماح بالوارد من مصدر VirtualNetwork وأي مصدر منفذ ووجهة VirtualNetwork ومنفذ الوجهة29876 و29877 و44224.

يتطلب منك مثيل الحوسبة بدون عنوان IP عام أيضا تعطيل سياسات شبكة نقطة النهاية الخاصة ونهج شبكة خدمة الارتباط الخاص. تأتي هذه المتطلبات من خدمة الارتباط الخاص Azure ونقاط النهاية الخاصة وليست Azure التعلم الآلي محددة. اتبع الإرشادات الواردة من تعطيل نهج الشبكة لعنوان IP لمصدر خدمة Private Link لتعيين المعلمات disable-private-endpoint-network-policies وعلى disable-private-link-service-network-policies الشبكة الفرعية للشبكة الظاهرية.

لإنشاء مثيل حساب بدون عنوان IP عام (ميزة معاينة) في الاستوديو، قم بتعيين خانة الاختيار لا يوجد عنوان IP عام في قسم الشبكة الظاهرية. يمكنك أيضا إنشاء أي مثيل حوسبة IP عام من خلال قالب ARM. في قالب ARM تعيين enableNodePublicIP المعلمة إلى false.

الخطوات التالية:

• اسم DNS مخصص
• استخدام جدار حماية

ملاحظة

يتوفر حاليا دعم مثيلات الحوسبة بدون عناوين IP عامة وفي المعاينة العامة للمناطق التالية: فرنسا الوسطى وشرق آسيا وغرب وسط الولايات المتحدة وجنوب وسط الولايات المتحدة وغرب الولايات المتحدة 2 وشرق الولايات المتحدة وشرق الولايات المتحدة 2 وشمال أوروبا وأوروبا الغربية ووسط الولايات المتحدة وشمال وسط الولايات المتحدة وغرب الولايات المتحدة وأستراليا وشرق اليابان وغرب اليابان.

يتوفر حاليا دعم مجموعات الحوسبة بدون عناوين IP عامة وفي المعاينة العامة للمناطق التالية: فرنسا الوسطى وشرق آسيا وغرب وسط الولايات المتحدة وجنوب وسط الولايات المتحدة وغرب الولايات المتحدة 2 وشرق الولايات المتحدة وشمال أوروبا وشرق الولايات المتحدة 2 ووسط الولايات المتحدة وأوروبا الغربية وشمال وسط الولايات المتحدة وغرب الولايات المتحدة وأستراليا الشرقية واليابان الغربية.

نسبة استخدام الشبكة الواردة

عند استخدام Azure التعلم الآلي مثيل حوسبة (مع عنوان IP عام) أو مجموعة حوسبة، اسمح بحركة المرور الواردة من خدمات Azure Batch وAzure التعلم الآلي. لا يتطلب مثيل الحوسبة بدون عنوان IP عام (معاينة) هذا الاتصال الوارد. يتم إنشاء مجموعة أمان الشبكة التي تسمح بحركة المرور هذه ديناميكيا نيابة عنك، ومع ذلك قد تحتاج أيضا إلى إنشاء مسارات معرفة من قبل المستخدم (UDR) إذا كان لديك جدار حماية. عند إنشاء UDR لحركة المرور هذه، يمكنك استخدام عناوين IP أو علامات الخدمة لتوجيه حركة المرور.

هام

أصبح استخدام علامات الخدمة مع المسارات المعرفة من قبل المستخدم الآن GA. لمزيد من المعلومات، راجع توجيه الشبكة الظاهرية.

تلميح

على الرغم من أن مثيل الحوسبة بدون عنوان IP عام (ميزة معاينة) لا يحتاج إلى UDR لحركة المرور الواردة هذه، إلا أنك ستظل بحاجة إلى UDRs هذه إذا كنت تستخدم أيضا مجموعة حوسبة أو مثيل حوسبة مع عنوان IP عام.

مسارات عناوين IP

بالنسبة لخدمة Azure التعلم الآلي، يجب إضافة عنوان IP لكل من المنطقتين الأساسيةوالثانوية. للبحث عن المنطقة الثانوية، راجع النسخ المتماثل عبر المناطق في Azure. على سبيل المثال، إذا كانت خدمة Azure التعلم الآلي في شرق الولايات المتحدة 2، فإن المنطقة الثانوية هي وسط الولايات المتحدة.

للحصول على قائمة بعناوين IP الخاصة بخدمة Batch وخدمة Azure التعلم الآلي، قم بتنزيل نطاقات Azure IP وعلامات الخدمة وابحث في الملف عن BatchNodeManagement.<region> منطقة Azure وأين AzureMachineLearning.<region><region> توجد منطقتك.

هام

قد تتغير عناوين IP بمرور الوقت.

عند إنشاء UDR، قم بتعيين نوع القفزة التالية إلى الإنترنت. وهذا يعني أن الاتصال الوارد من Azure يتخطى جدار الحماية الخاص بك للوصول إلى موازنات التحميل باستخدام عناوين IP العامة لمثيل الحوسبة ومجموعة الحوسبة. UDR مطلوب لأن مثيل الحوسبة ومجموعة الحوسبة سيحصلان على عناوين IP عامة عشوائية عند الإنشاء، ولا يمكنك معرفة عناوين IP العامة قبل الإنشاء لتسجيلها على جدار الحماية الخاص بك للسماح بالوارد من Azure إلى عناوين IP محددة لمثيل الحوسبة ومجموعة الحوسبة. تعرض الصورة التالية مثالا على UDR المستند إلى عنوان IP في مدخل Azure:

مسارات علامة الخدمة

إنشاء مسارات معرفة من قبل المستخدم لعلامات الخدمة التالية:

• AzureMachineLearning
• BatchNodeManagement.<region>، أين <region> تقع منطقة Azure الخاصة بك.

توضح الأوامر التالية إضافة مسارات لعلامات الخدمة هذه:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n AzureMLRoute --address-prefix AzureMachineLearning --next-hop-type Internet
az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n BatchRoute --address-prefix BatchNodeManagement.westus2 --next-hop-type Internet

للحصول على معلومات حول تكوين UDR، راجع توجيه حركة مرور الشبكة باستخدام جدول توجيه.

لمزيد من المعلومات حول متطلبات حركة مرور الإدخال والإخراج ل Azure التعلم الآلي، راجع استخدام مساحة عمل خلف جدار حماية.

Azure Databricks

للحصول على معلومات محددة حول استخدام Azure Databricks مع شبكة ظاهرية، راجع نشر Azure Databricks في شبكة Azure الظاهرية.

الجهاز الظاهري أو مجموعة HDInsight

في هذا القسم، ستتعرف على كيفية استخدام جهاز ظاهري أو مجموعة Azure HDInsight في شبكة ظاهرية مع مساحة العمل الخاصة بك.

إنشاء مجموعة VM أو HDInsight

قم بإنشاء مجموعة VM أو HDInsight باستخدام مدخل Azure أو Azure CLI، ووضع الكتلة في شبكة Azure الظاهرية. لمزيد من المعلومات، راجع المقالات التالية:

• إنشاء شبكات Azure الظاهرية وإدارتها للأجهزة الظاهرية لنظام التشغيل Linux

• توسيع HDInsight باستخدام شبكة Azure الظاهرية

تكوين منافذ الشبكة

السماح ل Azure التعلم الآلي بالاتصال بمنفذ SSH على الجهاز الظاهري أو المجموعة، وتكوين إدخال مصدر لمجموعة أمان الشبكة. عادة ما يكون منفذ SSH هو المنفذ 22. للسماح بحركة المرور من هذا المصدر، قم بتنفيذ الإجراءات التالية:

1. في القائمة المنسدلة المصدر ، حدد علامة الخدمة.

2. في القائمة المنسدلة علامة خدمة المصدر ، حدد AzureMachineLearning.

   

3. في القائمة المنسدلة نطاقات منفذ المصدر ، حدد *.

4. في القائمة المنسدلة الوجهة ، حدد أي.

5. في القائمة المنسدلة نطاقات منافذ الوجهة ، حدد 22.

6. ضمن البروتوكول، حدد أي.

7. ضمن إجراء، حدد السماح.

احتفظ بالقواعد الصادرة الافتراضية لمجموعة أمان الشبكة. لمزيد من المعلومات، راجع قواعد الأمان الافتراضية في مجموعات الأمان.

إذا كنت لا تريد استخدام القواعد الصادرة الافتراضية وتريد تقييد الوصول الصادر لشبكتك الظاهرية، فراجع قسم الوصول العام إلى الإنترنت المطلوب .

قم بتوصيل مجموعة VM أو HDInsight

قم بتوصيل مجموعة VM أو HDInsight بمساحة عمل Azure التعلم الآلي. لمزيد من المعلومات، راجع إعداد أهداف الحوسبة للتدريب على النماذج.

الخطوات التالية

هذه المقالة جزء من سلسلة حول تأمين سير عمل Azure التعلم الآلي. انظر المقالات الأخرى في هذه السلسلة:

• نظرة عامة على الشبكة الظاهرية
• تأمين موارد مساحة العمل
• تأمين بيئة الاستدلال
• تمكين وظائف الاستوديو
• اسم DNS مخصص
• استخدام جدار حماية