Izolace spravované virtuální sítě pracovního prostoru

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Azure Machine Učení poskytuje podporu izolace spravované virtuální sítě (spravované virtuální sítě). Spravovaná izolace virtuální sítě zjednodušuje a automatizuje konfiguraci izolace sítě pomocí integrovaného počítače Azure na úrovni pracovního prostoru Učení spravované virtuální sítě. Spravovaná virtuální síť zabezpečuje spravované virtuální sítě vaše spravované počítače Azure Učení prostředky, jako jsou výpočetní instance, výpočetní clustery, bezserverové výpočetní prostředky a spravované online koncové body.

Zabezpečení pracovního prostoru pomocí spravované sítě poskytuje izolaci sítě pro odchozí přístup z pracovního prostoru a spravovaných výpočetních prostředků. Virtuální síť Azure, kterou vytvoříte a spravujete, se používá k zajištění příchozího přístupu izolace sítě k pracovnímu prostoru. Například privátní koncový bod pro pracovní prostor se vytvoří ve vaší virtuální síti Azure. Každý klient, který se připojuje k virtuální síti, má přístup k pracovnímu prostoru prostřednictvím privátního koncového bodu. Při spouštění úloh na spravovaných výpočetních prostředcích omezuje spravovaná síť přístup k výpočetním prostředkům.

Architektura spravované virtuální sítě

Když povolíte izolaci spravované virtuální sítě, vytvoří se pro tento pracovní prostor spravovaná virtuální síť. Spravované výpočetní prostředky, které vytvoříte pro pracovní prostor, automaticky používají tuto spravovanou virtuální síť. Spravovaná virtuální síť může používat privátní koncové body pro prostředky Azure, které používají váš pracovní prostor, jako je Azure Storage, Azure Key Vault a Azure Container Registry.

Pro odchozí provoz ze spravované virtuální sítě existují dva různé režimy konfigurace:

Tip

Bez ohledu na režim odchozích přenosů, který používáte, je možné nakonfigurovat provoz do prostředků Azure tak, aby používal privátní koncový bod. Můžete například povolit veškerý odchozí provoz na internet, ale omezit komunikaci s prostředky Azure přidáním odchozích pravidel pro prostředky.

Režim odchozích přenosů	Popis	Scénáře
Povolit odchozí připojení k internetu	Povolte veškerý odchozí provoz z internetu ze spravované virtuální sítě.	Chcete neomezený přístup k prostředkům strojového učení na internetu, jako jsou balíčky Pythonu nebo předem natrénované modely.1
Povolit pouze schválené odchozí přenosy	Odchozí provoz je povolený zadáním značek služeb.	* Chcete minimalizovat riziko exfiltrace dat, ale musíte připravit všechny požadované artefakty strojového učení ve vašem privátním prostředí. * Chcete nakonfigurovat odchozí přístup ke schválenému seznamu služeb, značek služeb nebo plně kvalifikovaných názvů domén.
Zakázáno	Příchozí a odchozí provoz není omezený nebo k ochraně prostředků používáte vlastní virtuální síť Azure.	Chcete veřejný příchozí a odchozí provoz z pracovního prostoru nebo zpracováváte izolaci sítě pomocí vlastní virtuální sítě Azure.

1: Pravidla odchozích přenosů můžete použít s povoleným režimem odchozích přenosů , abyste dosáhli stejného výsledku jako použití možnosti povolit odchozí připojení k internetu. Rozdíly jsou:

• Musíte přidat pravidla pro každé odchozí připojení, které potřebujete povolit.
• Přidání odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady , protože tento typ pravidla používá Službu Azure Firewall. Další informace najdete v tématu Ceny
• Výchozí pravidla pro povolení pouze schválených odchozích přenosů jsou navržená tak, aby minimalizovala riziko exfiltrace dat. Všechna pravidla odchozích přenosů, která přidáte, můžou zvýšit vaše riziko.

Spravovaná virtuální síť je předem nakonfigurovaná s požadovanými výchozími pravidly. Je také nakonfigurovaná pro připojení privátních koncových bodů k vašemu pracovnímu prostoru, výchozímu úložišti pracovního prostoru, registru kontejneru a trezoru klíčů, pokud jsou nakonfigurované jako soukromé nebo je režim izolace pracovního prostoru nastavený tak, aby umožňoval pouze schválené odchozí přenosy. Po výběru režimu izolace je potřeba zvážit jenom další odchozí požadavky, které možná budete muset přidat.

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala odchozí provoz internetu:

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy:

Poznámka:

V této konfiguraci se úložiště, trezor klíčů a registr kontejnerů používaný pracovním prostorem označí jako privátní. Vzhledem k tomu, že jsou označené jako soukromé, privátní koncový bod se používá ke komunikaci s nimi.

Poznámka:

Jakmile je spravovaný pracovní prostor virtuální sítě nakonfigurovaný tak, aby umožňoval odchozí provoz internetu, nejde pracovní prostor překonfigurovat tak, aby byl zakázaný. Podobně platí, že jakmile je spravovaný pracovní prostor virtuální sítě nakonfigurovaný tak, aby umožňoval pouze schválené odchozí přenosy, nedá se pracovní prostor překonfigurovat tak, aby umožňoval odchozí provoz internetu. Mějte na paměti při výběru režimu izolace pro spravovanou virtuální síť ve vašem pracovním prostoru.

Studio Azure Machine Learning

Pokud chcete použít integrovaný poznámkový blok nebo vytvořit datové sady ve výchozím účtu úložiště ze studia, potřebuje váš klient přístup k výchozímu účtu úložiště. Vytvořte privátní koncový bod nebo koncový bod služby pro výchozí účet úložiště ve virtuální síti Azure, kterou klienti používají.

Část studio Azure Machine Learning běží místně ve webovém prohlížeči klienta a komunikuje přímo s výchozím úložištěm pracovního prostoru. Vytvoření privátního koncového bodu nebo koncového bodu služby (pro výchozí účet úložiště) ve virtuální síti klienta zajišťuje, aby klient mohl komunikovat s účtem úložiště.

Další informace o vytvoření privátního koncového bodu nebo koncového bodu služby najdete v článcích o Připojení soukromého účtu úložiště a koncových bodů služby.

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

Azure CLI

• Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet. Vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Učení.

• Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků je používán pracovním prostorem při vytváření privátních koncových bodů pro spravovanou virtuální síť.

  Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

• Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI a ml rozšíření azure CLI. Další informace najdete v tématu Instalace, nastavení a použití rozhraní příkazového řádku (v2).

  Tip

  Virtuální síť spravovaná službou Azure Machine Učení byla představena 23. května 2023. Pokud máte starší verzi rozšíření ml, možná ji budete muset aktualizovat pro příklady v tomto článku. Pokud chcete rozšíření aktualizovat, použijte následující příkaz Azure CLI:

  az extension update -n ml
  

• Příklady rozhraní příkazového řádku v tomto článku předpokládají, že používáte prostředí Bash (nebo kompatibilní). Například ze systému Linux nebo Subsystém Windows pro Linux.

• Příklady Azure CLI v tomto článku slouží ws k reprezentaci názvu pracovního prostoru a rg k reprezentaci názvu skupiny prostředků. Tyto hodnoty podle potřeby změňte při použití příkazů s předplatným Azure.

• S Azure CLI a spravovanou virtuální sítí funguje SSH s použitím veřejné IP adresy, ale SSH s využitím privátní IP adresy nefunguje.

Python SDK

• Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet. Vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Učení.

• Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků je používán pracovním prostorem při vytváření privátních koncových bodů pro spravovanou virtuální síť.

  Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

• Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure Machine Učení Python SDK v2. Další informace o sadě SDK najdete v tématu Instalace sady Python SDK v2 pro azure machine Učení.

  Tip

  Spravovaná virtuální síť Azure Machine Learning byla zavedena 23. května 2023. Pokud máte nainstalovanou starší verzi sady SDK, možná ji budete muset aktualizovat, aby příklady v tomto článku fungovaly. Pokud chcete sadu SDK aktualizovat, použijte následující příkaz:

  pip install --upgrade azure-ai-ml azure-identity
  

• Příklady v tomto článku předpokládají, že váš kód začíná následujícím Pythonem. Tento kód naimportuje třídy požadované při vytváření pracovního prostoru se spravovanou virtuální sítí, nastaví proměnné pro vaše předplatné Azure a skupinu prostředků a vytvoří ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Azure Portal

• Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet. Vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Učení.

• Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků je používán pracovním prostorem při vytváření privátních koncových bodů pro spravovanou virtuální síť.

  Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

• Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Poznámka:

Pokud používáte pracovní prostor UAI, nezapomeňte do své identity přidat roli Přispěvatel sítě. Další informace najdete v tématu Spravovaná identita přiřazená uživatelem.

Konfigurace spravované virtuální sítě pro povolení odchozích přenosů z internetu

Tip

Vytvoření spravované virtuální sítě se odloží až do ručního spuštění výpočetního prostředku nebo jeho zřízení. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Další informace najdete v tématu Ruční zřízení sítě.

Důležité

Pokud plánujete odesílat bezserverové úlohy Sparku, musíte ručně spustit zřizování. Další informace najdete v části Konfigurace pro bezserverové úlohy Sparku.

Azure CLI

Ke konfiguraci spravované virtuální sítě, která umožňuje odchozí komunikaci na internetu, můžete použít --managed-network allow_internet_outbound parametr nebo konfigurační soubor YAML, který obsahuje následující položky:

managed_network:
  isolation_mode: allow_internet_outbound

Můžete také definovat pravidla odchozích přenosů do jiných služeb Azure, na které pracovní prostor spoléhá. Tato pravidla definují privátní koncové body , které umožňují prostředku Azure bezpečně komunikovat se spravovanou virtuální sítí. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Spravovanou virtuální síť můžete nakonfigurovat pomocí příkazů az ml workspace create nebo az ml workspace update příkazů:

• Vytvořte nový pracovní prostor:

  Následující příklad vytvoří nový pracovní prostor. Parametr --managed-network allow_internet_outbound nakonfiguruje spravovanou virtuální síť pro pracovní prostor:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Pokud chcete místo toho vytvořit pracovní prostor pomocí souboru YAML, použijte --file parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  Následující příklad YAML definuje pracovní prostor se spravovanou virtuální sítí:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Aktualizace existujícího pracovního prostoru:

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  Následující příklad aktualizuje existující pracovní prostor. Parametr --managed-network allow_internet_outbound nakonfiguruje spravovanou virtuální síť pro pracovní prostor:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Pokud chcete aktualizovat existující pracovní prostor pomocí souboru YAML, použijte --file parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  Následující příklad YAML definuje spravovanou virtuální síť pro pracovní prostor. Ukazuje také, jak přidat připojení privátního koncového bodu k prostředku používanému pracovním prostorem; v tomto příkladu privátní koncový bod úložiště objektů blob:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Chcete-li nakonfigurovat spravovanou virtuální síť, která umožňuje odchozí komunikaci internetu, použijte ManagedNetwork třídu k definování sítě s IsolationMode.ALLOW_INTERNET_OUTBOUND. Objekt pak můžete použít ManagedNetwork k vytvoření nového pracovního prostoru nebo aktualizaci existujícího pracovního prostoru. Pokud chcete definovat pravidla odchozích přenosů do služeb Azure, které pracovní prostor využívá, použijte PrivateEndpointDestination třídu k definování nového privátního koncového bodu pro službu.

• Vytvořte nový pracovní prostor:

  Následující příklad vytvoří nový pracovní prostor s myworkspacenázvem odchozí pravidlo myrule , které přidá privátní koncový bod pro úložiště objektů blob Azure:

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aktualizace existujícího pracovního prostoru:

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  Následující příklad ukazuje, jak vytvořit spravovanou virtuální síť pro existující pracovní prostor Azure Machine Učení s názvemmyworkspace:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure Portal

• Vytvořte nový pracovní prostor:

  1. Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure Machine Učení.

  2. Zadejte požadované informace na kartě Základy .

  3. Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem.

     

  4. Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů pracovního prostoru zadejte následující informace:

     • Název pravidla: Název pravidla. Název musí být pro tento pracovní prostor jedinečný.
     • Typ cíle: Privátní koncový bod je jedinou možností, pokud je izolace sítě privátní s odchozím internetem. Azure Machine Učení spravovaná virtuální síť nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .
     • Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Typ prostředku: Typ prostředku Azure.
     • Název prostředku: Název prostředku Azure.
     • Dílčí prostředek: Podnabídka typu prostředku Azure.
     • Povoleno Spark: Tuto možnost vyberte, pokud chcete pro pracovní prostor povolit bezserverové úlohy Sparku. Tato možnost je dostupná jenom v případě, že typ prostředku je Azure Storage.

     

     Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.

  5. Pokračujte v vytváření pracovního prostoru jako obvykle.

• Aktualizace existujícího pracovního prostoru:

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  1. Přihlaste se k webu Azure Portal a vyberte pracovní prostor Azure Machine Učení, pro který chcete povolit izolaci spravované virtuální sítě.

  2. Vyberte Sítě a pak vyberte Privátní s odchozím internetem.

     

     • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů pracovního prostoru zadejte stejné informace jako při vytváření pracovního prostoru v části Vytvořit nový pracovní prostor.

       

     • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

       

  3. Výběrem možnosti Uložit v horní části stránky uložte změny do spravované virtuální sítě.

Konfigurace spravované virtuální sítě pro povolení pouze schválených odchozích přenosů

Tip

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Pokud jste nakonfigurovali odchozí pravidla plně kvalifikovaného názvu domény, první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Další informace najdete v tématu Ruční zřízení sítě.

Důležité

Pokud plánujete odesílat bezserverové úlohy Sparku, musíte ručně spustit zřizování. Další informace najdete v části Konfigurace pro bezserverové úlohy Sparku.

Azure CLI

Ke konfiguraci spravované virtuální sítě, která umožňuje pouze schválenou odchozí komunikaci, můžete použít --managed-network allow_only_approved_outbound parametr nebo konfigurační soubor YAML, který obsahuje následující položky:

managed_network:
  isolation_mode: allow_only_approved_outbound

Můžete také definovat pravidla odchozích přenosů, která definují schválenou odchozí komunikaci. Odchozí pravidlo lze vytvořit pro typ , service_tagfqdna private_endpoint. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob, značky služby do Azure Data Factory a plně kvalifikovaného názvu domény pro pypi.org:

Důležité

• Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na allow_only_approved_outbound.
• Pokud přidáte pravidla odchozích přenosů, Microsoft nemůže zaručit exfiltraci dat.

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Spravovanou virtuální síť můžete nakonfigurovat pomocí příkazů az ml workspace create nebo az ml workspace update příkazů:

• Vytvořte nový pracovní prostor:

  Následující příklad používá --managed-network allow_only_approved_outbound parametr ke konfiguraci spravované virtuální sítě:

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Následující soubor YAML definuje pracovní prostor se spravovanou virtuální sítí:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Pokud chcete vytvořit pracovní prostor pomocí souboru YAML, použijte parametr --file :

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Aktualizace existujícího pracovního prostoru

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  Následující příklad používá --managed-network allow_only_approved_outbound parametr ke konfiguraci spravované virtuální sítě pro existující pracovní prostor:

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Následující soubor YAML definuje spravovanou virtuální síť pro pracovní prostor. Ukazuje také, jak přidat schválený odchozí provoz do spravované virtuální sítě. V tomto příkladu se přidá odchozí pravidlo pro obě značky služby:

  Upozorňující

  Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete v tématu Ceny.

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Chcete-li nakonfigurovat spravovanou virtuální síť, která umožňuje pouze schválenou odchozí komunikaci, použijte ManagedNetwork třídu k definování sítě s IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Objekt pak můžete použít ManagedNetwork k vytvoření nového pracovního prostoru nebo aktualizaci existujícího pracovního prostoru. K definování pravidel odchozích přenosů použijte následující třídy:

Cíl	Třída
Služba Azure, na které pracovní prostor spoléhá	PrivateEndpointDestination
Značka služby Azure	ServiceTagDestination
Plně kvalifikovaný název domény (FQDN)	FqdnDestination

• Vytvořte nový pracovní prostor:

  Následující příklad vytvoří nový pracovní prostor s názvem myworkspace, s několika odchozími pravidly:

  • myrule – Přidá privátní koncový bod pro úložiště objektů blob Azure.
  • datafactory – Přidá pravidlo značky služby pro komunikaci se službou Azure Data Factory.

  Důležité

  • Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Pokud přidáte pravidla odchozích přenosů, Microsoft nemůže zaručit exfiltraci dat.

  Upozorňující

  Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aktualizace existujícího pracovního prostoru:

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  Následující příklad ukazuje, jak vytvořit spravovanou virtuální síť pro existující pracovní prostor Azure Machine Učení s názvem myworkspace. Příklad také přidá několik odchozích pravidel pro spravovanou virtuální síť:

  • myrule – Přidá privátní koncový bod pro úložiště objektů blob Azure.
  • datafactory – Přidá pravidlo značky služby pro komunikaci se službou Azure Data Factory.

  Tip

  Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Upozorňující

  Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure Portal

• Vytvořte nový pracovní prostor:

  1. Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure Machine Učení.

  2. Zadejte požadované informace na kartě Základy .

  3. Na kartě Sítě vyberte Možnost Soukromá se schváleným odchozím provozem.

     

  4. Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů pracovního prostoru zadejte následující informace:

     • Název pravidla: Název pravidla. Název musí být pro tento pracovní prostor jedinečný.
     • Typ cíle: Privátní koncový bod, značka služby nebo plně kvalifikovaný název domény. Značka služby a plně kvalifikovaný název domény jsou k dispozici pouze v případě, že izolace sítě je soukromá se schváleným odchozím provozem.

     Pokud je cílovým typem privátní koncový bod, zadejte následující informace:

     • Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Typ prostředku: Typ prostředku Azure.
     • Název prostředku: Název prostředku Azure.
     • Dílčí prostředek: Podnabídka typu prostředku Azure.
     • Povoleno Spark: Tuto možnost vyberte, pokud chcete pro pracovní prostor povolit bezserverové úlohy Sparku. Tato možnost je dostupná jenom v případě, že typ prostředku je Azure Storage.

     Tip

     Azure Machine Učení spravovaná virtuální síť nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .

     

     Pokud je cílovým typem značka služby, zadejte následující informace:

     • Značka služby: Značka služby, která se má přidat do schválených odchozích pravidel.
     • Protokol: Protokol, který povoluje značku služby.
     • Rozsahy portů: Rozsahy portů, které umožňují značku služby.

     

     Pokud je cílový typ plně kvalifikovaný název domény, zadejte následující informace:

     Upozorňující

     Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

     • Cíl plně kvalifikovaného názvu domény: Plně kvalifikovaný název domény, který se má přidat do schválených pravidel odchozích přenosů.

     

     Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.

  5. Pokračujte v vytváření pracovního prostoru jako obvykle.

• Aktualizace existujícího pracovního prostoru:

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  1. Přihlaste se k webu Azure Portal a vyberte pracovní prostor Azure Machine Učení, pro který chcete povolit izolaci spravované virtuální sítě.

  2. Vyberte Sítě a pak vyberte Soukromé se schváleným odchozím provozem.

     

     • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů pracovního prostoru zadejte stejné informace jako při vytváření pracovního prostoru v předchozí části Vytvořit nový pracovní prostor.

     • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

       

  3. Výběrem možnosti Uložit v horní části stránky uložte změny do spravované virtuální sítě.

Konfigurace pro bezserverové úlohy Sparku

Tip

Kroky v této části jsou potřeba jenom v případě, že plánujete odesílat bezserverové úlohy Sparku. Pokud neodesíláte bezserverové úlohy Sparku, můžete tuto část přeskočit.

Pokud chcete povolit bezserverové úlohy Sparku pro spravovanou virtuální síť, musíte provést následující akce:

• Nakonfigurujte spravovanou virtuální síť pro pracovní prostor a přidejte odchozí privátní koncový bod pro účet úložiště Azure.
• Jakmile nakonfigurujete spravovanou virtuální síť, zřiďte ji a označte ji příznakem pro povolení úloh Sparku.

1. Nakonfigurujte odchozí privátní koncový bod.

   Azure CLI

   Pomocí souboru YAML definujte spravovanou konfiguraci virtuální sítě a přidejte privátní koncový bod pro účet úložiště Azure. spark_enabled: trueSada také:

   Tip

   Tento příklad je určený pro spravovanou virtuální síť nakonfigurovanou tak isolation_mode: allow_internet_outbound , aby umožňovala internetový provoz. Pokud chcete povolit pouze schválený odchozí provoz, použijte isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   Konfigurační soubor YAML můžete použít s az ml workspace update příkazem zadáním --file parametru a názvu souboru YAML. Například následující příkaz aktualizuje existující pracovní prostor pomocí souboru YAML s názvem workspace_pe.yml:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Poznámka:

   Pokud je povolená možnost Povolit pouze schválené odchozí přenosy (isolation_mode: allow_only_approved_outbound), nepodaří se nainstalovat závislosti balíčku Conda definované v konfiguraci relace Sparku. Pokud chcete tento problém vyřešit, nahrajte do účtu úložiště Azure samostatné kolo balíčku Python bez externích závislostí a vytvořte do tohoto účtu úložiště privátní koncový bod. Jako parametr v úloze Sparku použijte cestu ke kolu py_files balíčku Pythonu. Nastavení odchozího pravidla plně kvalifikovaného názvu domény nebude tento problém obejít, protože Spark nepodporuje šíření pravidel plně kvalifikovaného názvu domény.

   Python SDK

   Následující příklad ukazuje, jak vytvořit spravovanou virtuální síť pro existující pracovní prostor Azure Machine Učení s názvem myworkspace. Přidá také privátní koncový bod pro účet úložiště Azure a sady spark_enabled=true:

   Tip

   Následující příklad je určený pro spravovanou virtuální síť nakonfigurovanou tak IsolationMode.ALLOW_INTERNET_OUTBOUND , aby umožňovala internetový provoz. Pokud chcete povolit pouze schválený odchozí provoz, použijte IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Poznámka:

   • Pokud je povolená možnost Povolit pouze schválené odchozí přenosy (isolation_mode: allow_only_approved_outbound), nepodaří se nainstalovat závislosti balíčku Conda definované v konfiguraci relace Sparku. Pokud chcete tento problém vyřešit, nahrajte do účtu úložiště Azure samostatné kolo balíčku Python bez externích závislostí a vytvořte do tohoto účtu úložiště privátní koncový bod. Jako parametr v úloze Spark použijte cestu k kolečku py_files balíčku Pythonu.
   • Pokud byl pracovní prostor vytvořen pomocí IsolationMode.ALLOW_INTERNET_OUTBOUND, nelze jej později aktualizovat na použití IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   Azure Portal

   1. Přihlaste se k webu Azure Portal a vyberte pracovní prostor Azure Machine Učení.

   2. Vyberte Sítě a pak vyberte Přidat pravidla odchozích přenosů definovaná uživatelem. Přidejte pravidlo pro účet služby Azure Storage a ujistěte se, že je vybraná možnost Sparku .

      

   3. Výběrem možnosti Uložit pravidlo uložte a potom v horní části sítě uložte změny ve smyšliné virtuální síti.

2. Zřiďte spravovanou virtuální síť.

   Poznámka:

   Pokud je váš pracovní prostor už nakonfigurovaný pro veřejný koncový bod (například ve službě Azure Virtual Network) a má povolený přístup k veřejné síti, musíte ho před zřízením spravované virtuální sítě zakázat. Pokud při zřizování spravované virtuální sítě nezakážete přístup k veřejné síti, nemusí se privátní koncové body spravovaného koncového bodu úspěšně vytvořit.

   Azure CLI

   Následující příklad ukazuje, jak zřídit spravovanou virtuální síť pro bezserverové úlohy Sparku pomocí parametru --include-spark .

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   Python SDK

   Následující příklad ukazuje, jak zřídit spravovanou virtuální síť pro bezserverové úlohy Sparku:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Azure Portal

   Na kartách Azure CLI nebo Python SDK se dozvíte, jak spravovanou virtuální síť ručně zřídit s podporou Bezserverové Sparku.

Ruční zřízení spravované virtuální sítě

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když spoléháte na automatické zřizování, vytvoření prvního výpočetního prostředku může trvat přibližně 30 minut , protože síť zřizuje. Pokud jste nakonfigurovali pravidla odchozích přenosů plně kvalifikovaného názvu domény (k dispozici pouze v povoleném režimu), první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Pokud máte ve spravované síti zřízenou velkou sadu odchozích pravidel, může trvat déle, než se zřizování dokončí. Vyšší doba zřizování může způsobit vypršení časového limitu prvního vytvoření výpočetních prostředků nebo prvního spravovaného nasazení online koncového bodu.

Pokud chcete zkrátit dobu čekání a vyhnout se potenciálním chybám časového limitu, doporučujeme spravovanou síť zřídit ručně. Pak počkejte, až se zřizování dokončí, než vytvoříte výpočetní prostředek nebo spravované nasazení online koncového bodu.

Azure CLI

Následující příklad ukazuje, jak zřídit spravovanou virtuální síť.

Tip

Pokud plánujete odesílat úlohy Sparku bez serveru, přidejte parametr --include-spark .

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Pokud chcete ověřit, že se zřizování dokončilo, použijte následující příkaz:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Python SDK

Následující příklad ukazuje, jak zřídit spravovanou virtuální síť:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Pokud chcete ověřit, že je pracovní prostor zřízený, použijte ml_client.workspaces.get() k získání informací o pracovním prostoru. Vlastnost managed_network obsahuje stav spravované sítě.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Azure Portal

Na kartách Azure CLI nebo Python SDK se dozvíte, jak spravovanou virtuální síť ručně zřídit s podporou Bezserverové Sparku.

Konfigurace sestavení imagí

Pokud je azure Container Registry pro váš pracovní prostor za virtuální sítí, nedá se použít k přímému sestavování imagí Dockeru. Místo toho nakonfigurujte pracovní prostor tak, aby k vytváření imagí používal výpočetní cluster nebo výpočetní instanci.

Důležité

Výpočetní prostředek používaný k sestavení imagí Dockeru musí mít přístup k úložištím balíčků, která se používají k trénování a nasazování vašich modelů. Pokud používáte síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy, možná budete muset přidat pravidla, která umožňují přístup k veřejným úložišťm nebo používat privátní balíčky Pythonu.

Azure CLI

Pokud chcete aktualizovat pracovní prostor tak, aby k sestavení imagí Dockeru používal výpočetní cluster nebo výpočetní instanci, použijte az ml workspace update příkaz s parametrem --image-build-compute :

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Python SDK

Následující příklad ukazuje, jak aktualizovat pracovní prostor tak, aby používal výpočetní cluster k sestavení imagí:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Azure Portal

V současné době neexistuje způsob, jak nastavit výpočetní prostředky sestavení image z webu Azure Portal. Na kartách Azure CLI nebo Python SDK se dozvíte, jak ručně nakonfigurovat sestavení imagí.

Správa odchozích pravidel

Azure CLI

Pokud chcete zobrazit seznam pravidel odchozích přenosů spravované virtuální sítě pro pracovní prostor, použijte následující příkaz:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Pokud chcete zobrazit podrobnosti o spravovaném pravidle odchozích přenosů virtuální sítě, použijte následující příkaz:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Pokud chcete ze spravované virtuální sítě odebrat odchozí pravidlo, použijte následující příkaz:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Python SDK

Následující příklad ukazuje, jak spravovat pravidla odchozích přenosů pro pracovní prostor s názvem myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Azure Portal

1. Přihlaste se k webu Azure Portal a vyberte pracovní prostor Azure Machine Učení, pro který chcete povolit izolaci spravované virtuální sítě.

2. Vyberte Sítě. Oddíl Odchozí přístup pracovního prostoru umožňuje spravovat pravidla odchozích přenosů.

   

• Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů pracovního prostoru zadejte následující informace:

• Pokud chcete pravidlo povolit nebo zakázat , použijte přepínač ve sloupci Aktivní .

• Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

Seznam požadovaných pravidel

Tip

Tato pravidla se automaticky přidají do spravované virtuální sítě.

Privátní koncové body:

• Pokud je Allow internet outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro pracovní prostor a přidružené prostředky s zakázaným přístupem k veřejné síti (Key Vault, účet úložiště, Container Registry, pracovní prostor azure machine Učení).
• Pokud je Allow only approved outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro pracovní prostor a přidružené prostředky bez ohledu na režim přístupu k veřejné síti pro tyto prostředky (Key Vault, účet úložiště, Container Registry, pracovní prostor Azure Machine Učení).

Pravidla značek odchozích služeb:

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor
• MicrosoftContainerRegistry
• AzureMonitor

Pravidla značek příchozí služby:

• AzureMachineLearning

Seznam pravidel konkrétních odchozích přenosů scénáře

Scénář: Přístup k veřejným balíčkům strojového učení

Pokud chcete povolit instalaci balíčků Pythonu pro trénování a nasazení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolují provoz do následujících názvů hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

Poznámka:

Nejedná se o úplný seznam hostitelů požadovaných pro všechny prostředky Pythonu na internetu, pouze nejčastěji používané. Pokud například potřebujete přístup k úložišti GitHub nebo jinému hostiteli, musíte v takovém případě identifikovat a přidat požadované hostitele.

Název hostitele	Účel
anaconda.com *.anaconda.com	Slouží k instalaci výchozích balíčků.
*.anaconda.org	Slouží k získání dat úložiště.
pypi.org	Používá se k výpisu závislostí z výchozího indexu( pokud existuje) a index se nepřepíše uživatelským nastavením. Pokud je index přepsán, musíte také povolit *.pythonhosted.org.
pytorch.org *.pytorch.org	Používá se v některých příkladech založených na PyTorchu.
*.tensorflow.org	Používá se v některých příkladech založených na Tensorflow.

Scénář: Použití desktopové nebo webové aplikace Visual Studio Code s výpočetní instancí

Pokud plánujete používat Visual Studio Code se službou Azure Machine Učení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• vscode.download.prss.microsoft.com

Scénář: Použití dávkových koncových bodů

Pokud plánujete pro nasazení používat azure Machine Učení dávkové koncové body, přidejte pravidla odchozích privátních koncových bodů, která povolí provoz do následujících dílčích prostředků pro výchozí účet úložiště:

• queue
• table

Scénář: Použití toku výzvy s Azure OpenAI, zabezpečením obsahu a službou Azure AI Search

• Privátní koncový bod do služeb Azure AI
• Privátní koncový bod do služby Azure AI Search

Scénář: Použití modelů HuggingFace

Pokud plánujete používat modely HuggingFace se službou Azure Machine Učení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Scénář: Povolení přístupu z vybraných IP adres

Pokud chcete povolit přístup z konkrétních IP adres, použijte následující akce:

1. Přidejte pravidlo odchozího privátního koncového bodu, které povolí provoz do pracovního prostoru Azure Machine Učení. To umožňuje výpočetním instancím vytvořeným ve spravované virtuální síti přístup k pracovnímu prostoru.

   Tip

   Toto pravidlo nemůžete přidat během vytváření pracovního prostoru, protože tento pracovní prostor ještě neexistuje.

2. Povolte přístup k pracovnímu prostoru přes veřejnou síť. Další informace najdete v tématu s povoleným přístupem k veřejné síti.

3. Přidejte ip adresy do brány firewall pro Učení Azure Machine. Další informace najdete v tématu Povolení přístupu pouze z rozsahů IP adres.

Privátní koncové body

Privátní koncové body se v současné době podporují pro následující služby Azure:

• Azure Machine Learning
• Registry služby Azure Machine Učení
• Azure Storage (všechny podtypy prostředků)
• Azure Container Registry
• Azure Key Vault
• Služby Azure AI
• Azure AI Search (dříve Cognitive Search)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (všechny podtypy prostředků)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• Azure Database for MariaDB
• Azure Database for PostgreSQL
• Azure Database for MySQL
• Azure SQL Managed Instance

Při vytváření privátního koncového bodu zadáte typ prostředku a podsourc , ke kterému se koncový bod připojí. Některé prostředky mají více typů a podsourců. Další informace najdete v privátním koncovém bodu.

Když vytvoříte privátní koncový bod pro prostředky závislostí Azure Machine Učení, jako jsou Azure Storage, Azure Container Registry a Azure Key Vault, může být prostředek v jiném předplatném Azure. Prostředek však musí být ve stejném tenantovi jako pracovní prostor Azure Machine Učení.

Důležité

Při konfiguraci privátních koncových bodů pro virtuální síť spravovanou službou Azure Machine Učení se privátní koncové body vytvoří pouze při vytvoření prvního výpočetního objektu nebo při vynucení zřizování spravované virtuální sítě. Další informace o vynucení zřizování spravované virtuální sítě najdete v tématu Konfigurace pro úlohy Spark bez serveru.

Ceny

Funkce spravované virtuální sítě Azure Machine Learning je bezplatná. Poplatky se vám ale účtují za následující prostředky, které používá spravovaná virtuální síť:

• Azure Private Link – Privátní koncové body používané k zabezpečení komunikace mezi spravovanou virtuální sítí a prostředky Azure závisí na službě Azure Private Link. Další informace o cenách najdete v tématu Ceny služby Azure Private Link.

• Pravidla odchozích přenosů plně kvalifikovaného názvu domény – pravidla odchozích přenosů plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Službu Azure Firewall (standardní jednotka SKU) zřizuje Azure Machine Learning.

  Důležité

  Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Další informace o cenách najdete v tématu Ceny služby Azure Firewall a ceny standardní verze.

Omezení

• Jakmile povolíte izolaci spravované virtuální sítě vašeho pracovního prostoru, nemůžete ji zakázat.
• Spravovaná virtuální síť používá pro přístup k vašim privátním prostředkům připojení privátního koncového bodu. Privátní koncový bod a koncový bod služby nemůžete mít současně pro prostředky Azure, jako je účet úložiště. Doporučujeme používat privátní koncové body ve všech scénářích.
• Spravovaná virtuální síť se odstraní při odstranění pracovního prostoru.
• Ochrana před exfiltrací dat je automaticky povolená pro jediný schválený odchozí režim. Pokud do plně kvalifikovaných názvů domén přidáte další pravidla odchozích přenosů, Microsoft nezaručuje, že jste chráněni před exfiltrací dat do těchto odchozích cílů.
• Vytvoření výpočetního clusteru v jiné oblasti než pracovní prostor se při použití spravované virtuální sítě nepodporuje.
• Kubernetes a připojené virtuální počítače se v Učení spravované virtuální síti Azure nepodporují.
• Použití odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady na spravovanou virtuální síť, protože pravidla plně kvalifikovaného názvu domény používají službu Azure Firewall. Další informace najdete na stránce s cenami.

Migrace výpočetních prostředků

Pokud máte existující pracovní prostor a chcete pro ni povolit spravovanou virtuální síť, pro stávající spravované výpočetní prostředky aktuálně neexistuje žádná podporovaná cesta migrace. Po povolení spravované virtuální sítě budete muset odstranit všechny existující spravované výpočetní prostředky a vytvořit je znovu. Následující seznam obsahuje výpočetní prostředky, které je potřeba odstranit a znovu vytvořit:

• Výpočtový cluster
• Výpočetní instance
• Clustery Kubernetes
• Spravované online koncové body

Další kroky

• Řešení potíží se spravovanou virtuální sítí
• Konfigurace spravovaných výpočetních prostředků ve spravované virtuální síti