Změna izolace sítě s využitím nové platformy ROZHRANÍ API v Azure Resource Manageru
V tomto článku se dozvíte o změnách izolace sítě pomocí nové platformy rozhraní API v2 v Azure Resource Manageru (ARM) a jejího vlivu na izolaci sítě.
Co je nová platforma rozhraní API v Azure Resource Manageru (ARM)
Existují dva typy operací používaných rozhraními API v1 a v2, Azure Resource Managerem (ARM) a pracovním prostorem Azure Machine Učení.
Většina operací s rozhraním API v1 používala pracovní prostor. U verze 2 jsme přesunuli většinu operací na používání veřejného ARM.
| Verze rozhraní API | Veřejný ARM | Uvnitř virtuální sítě pracovního prostoru |
|---|---|---|
| v1 | Operace vytváření, aktualizace a odstraňování pracovních prostorů a výpočetních prostředků (CRUD). | Jiné operace, jako jsou experimenty. |
| v2 | Většina operací, jako je pracovní prostor, výpočetní prostředky, úložiště dat, datová sada, úloha, prostředí, kód, součást, koncové body. | Zbývající operace. |
Rozhraní API v2 poskytuje konzistentní rozhraní API na jednom místě. Pro prostředky s rozhraním API v2 můžete snadněji používat řízení přístupu na základě role v Azure a Azure Policy, protože je založené na Azure Resource Manageru.
Azure Machine Učení CLI v2 používá naši novou platformu rozhraní API v2. Nové funkce, jako jsou spravované online koncové body , jsou dostupné jenom na platformě rozhraní API v2.
Jaké jsou změny izolace sítě pomocí V2
Jak je uvedeno v předchozí části, existují dva typy operací; s ARM a pracovním prostorem. U starší verze rozhraní API v1 se většina operací používala v pracovním prostoru. S rozhraním API v1 přidáte privátní koncový bod do pracovního prostoru, který poskytuje izolaci sítě pro všechno kromě operací CRUD s pracovním prostorem nebo výpočetními prostředky.
S novým rozhraním API v2 používá většina operací ARM. Povolení privátního koncového bodu v pracovním prostoru tedy neposkytuje stejnou úroveň izolace sítě. Operace, které používají ARM, komunikují přes veřejné sítě a zahrnují všechna metadata (například ID prostředků) nebo parametry používané operací. Například parametry.
Důležité
Pro většinu lidí je použití veřejné komunikace ARM v pořádku:
- Veřejná komunikace ARM je standard pro operace správy se službami Azure. Například vytvoření účtu služby Azure Storage nebo služby Azure Virtual Network používá ARM.
- Operace azure Machine Učení nezpřístupňují data ve vašem účtu úložiště (nebo jiném úložišti ve virtuální síti) ve veřejných sítích. Například trénovací úloha, která běží na výpočetním clusteru ve virtuální síti a používá data z účtu úložiště ve virtuální síti, by bezpečně přistupovala k datům přímo pomocí virtuální sítě.
- Veškerá komunikace s veřejným ARM se šifruje pomocí protokolu TLS 1.2.
Pokud potřebujete čas vyhodnotit nové rozhraní API v2, než ho přijmete v podnikových řešeních, nebo máte firemní zásady, které zakazují odesílání komunikace přes veřejné sítě, můžete povolit parametr v1_legacy_mode . Pokud je tento parametr povolený, zakáže rozhraní API v2 pro váš pracovní prostor.
Upozorňující
Povolení v1_legacy_mode vám může bránit v používání funkcí poskytovaných rozhraním API v2. Některé funkce studio Azure Machine Learning můžou být například nedostupné.
Scénáře a požadované akce
Upozorňující
Parametr v1_legacy_mode je teď k dispozici, ale funkce blokování rozhraní API v2 se vynutí od 15. května 2022.
Pokud se svým pracovním prostorem neplánujete používat privátní koncový bod, nemusíte parametr povolovat.
Pokud jste v pořádku s operacemi komunikujícími s veřejným ARM, nemusíte parametr povolit.
Parametr musíte povolit jenom v případě, že používáte privátní koncový bod s pracovním prostorem a nechcete povolit operace s ARM přes veřejné sítě.
Jakmile tento parametr implementujeme, použije se zpětně u existujících pracovních prostorů pomocí následující logiky:
Pokud máte existující pracovní prostor s privátním koncovým bodem, příznak bude pravdivý.
Pokud máte existující pracovní prostor bez privátního koncového bodu (veřejného pracovního prostoru), příznak bude false.
Po implementaci parametru závisí výchozí hodnota příznaku na základní verzi rozhraní REST API použitou při vytváření pracovního prostoru (s privátním koncovým bodem):
- Pokud je verze rozhraní API starší než
2022-05-01, příznak je ve výchozím nastavení pravdivý . - Pokud je
2022-05-01verze rozhraní API nebo novější, příznak je ve výchozím nastavení false .
Důležité
Pokud chcete s pracovním prostorem použít rozhraní API v2, musíte nastavit parametr v1_legacy_mode na hodnotu false.
Aktualizace parametru v1_legacy_mode
Upozorňující
Parametr v1_legacy_mode je teď k dispozici, ale funkce blokování rozhraní API v2 se vynutí od 15. května 2022.
Pokud chcete aktualizovat v1_legacy_mode, postupujte následovně:
Důležité
Pokud chcete zakázat rozhraní API v2, použijte sadu Azure Machine Učení Python SDK v1.
Pokud chcete zakázat v1_legacy_mode, použijte Workspace.update a nastavte v1_legacy_mode=false.
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
Důležité
Mějte na paměti, že změna parametru v1_legacy_mode z hodnoty true na false trvá přibližně 30 minut až hodinu. Proto pokud nastavíte parametr na false , ale zobrazí se chyba, že parametr je pravdivý v následné operaci, zkuste to prosím za několik dalších minut.
Další kroky
- Použijte privátní koncový bod s pracovním prostorem Azure Machine Učení.
- Vytvoření privátního propojení pro správu prostředků Azure