Zabezpečení prostředků pracovních prostorů Azure Machine Learning s využitím virtuálních sítí

  • Článek
  • 7 min ke čtení

zabezpečte Azure Machine Learning prostředky pracovního prostoru a výpočetní prostředí pomocí virtuálních sítí (virtuální sítě). Tento článek používá ukázkový scénář, který vám ukáže, jak nakonfigurovat kompletní virtuální síť.

Tip

tento článek je součástí série pro zabezpečení Azure Machine Learningho pracovního postupu. Podívejte se na další články v této sérii:

Požadavky

V tomto článku se předpokládá, že máte zkušenosti s následujícími tématy:

Příklad scénáře

v této části se dozvíte, jak je nastaven společný scénář sítě pro zabezpečení Azure Machine Learning komunikace s privátními IP adresami.

následující tabulka porovnává, jak služby přistupují k různým částem Azure Machine Learning sítě s virtuální sítí a bez ní:

Scenario Pracovní prostor Přidružené prostředky Školení výpočetního prostředí Výpočetní prostředí Inferencing
Žádná virtuální síť Veřejná IP adresa Veřejná IP adresa Veřejná IP adresa Veřejná IP adresa
Veřejný pracovní prostor, všechny ostatní prostředky ve virtuální síti Veřejná IP adresa Veřejná IP adresa (koncový bod služby)
ani
Privátní IP adresa (soukromý koncový bod)		 Privátní IP adresa Privátní IP adresa
Zabezpečení prostředků ve virtuální síti Privátní IP adresa (soukromý koncový bod) Veřejná IP adresa (koncový bod služby)
ani
Privátní IP adresa (soukromý koncový bod)		 Privátní IP adresa Privátní IP adresa
  • Pracovní prostor – vytvořte privátní koncový bod pro váš pracovní prostor. Privátní koncový bod připojuje pracovní prostor k virtuální síti prostřednictvím několika privátních IP adres.
    • Veřejný přístup – můžete volitelně povolit veřejný přístup k zabezpečenému pracovnímu prostoru.
  • Přidružený prostředek – pomocí koncových bodů služby nebo privátních koncových bodů se připojte k prostředkům pracovního prostoru, jako je Azure storage, Azure Key Vault. Pro Azure Container Services použijte privátní koncový bod.
    • Koncové body služby poskytují identitu vaší virtuální sítě ke službě Azure. Po povolení koncových bodů služby ve virtuální síti můžete přidat pravidlo virtuální sítě pro zabezpečení prostředků služby Azure do vaší virtuální sítě. Koncové body služby používají veřejné IP adresy.
    • Soukromé koncové body jsou síťová rozhraní, která vás bezpečně připojují ke službě využívající privátní propojení Azure. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě a efektivně ho přinášejí do vaší virtuální sítě.
  • školení pro výpočetní přístup – přístup k výpočetním cílům, jako je Azure Machine Learning výpočetní Instance a Azure Machine Learning výpočetních clusterů pomocí veřejných IP adres (preview).
  • Odvození přístupu COMPUTE – přístup k výpočetním clusterům Azure Kubernetes Services (AKS) pomocí privátních IP adres.

V dalších částech se dozvíte, jak zabezpečit scénář sítě popsaný výše. K zabezpečení sítě je potřeba:

  1. Zabezpečte pracovní prostor a přidružené prostředky.
  2. Zabezpečte školicí prostředí.
  3. Zabezpečte prostředí Inferencing.
  4. Volitelně: Povolit funkce studia.
  5. Nakonfigurujte nastavení brány firewall.
  6. Nakonfigurujte překlad názvů DNS.

Veřejný pracovní prostor a zabezpečené prostředky

Pokud chcete získat přístup k pracovnímu prostoru prostřednictvím veřejného Internetu a přitom zachovat všechny přidružené prostředky zabezpečené ve virtuální síti, použijte následující postup:

  1. Vytvořte virtuální sítě Azure , které budou obsahovat prostředky používané pracovním prostorem.

  2. K vytvoření veřejně přístupného pracovního prostoru použijte jednu z následujících možností:

  3. Do virtuální sítě přidejte následující služby pomocí koncového bodu služby nebo privátního koncového bodu. pro přístup k těmto službám taky umožněte důvěryhodným služby Microsoft:

    Služba Informace o koncovém bodu Povolení důvěryhodných informací
    Azure Key Vault Koncový bod služby
    Soukromý koncový bod    		 pro obejít tuto bránu firewall povolením důvěryhodných služby Microsoft
    Účet služby Azure Storage Služba a soukromý koncový bod
    Soukromý koncový bod    		 Udělení přístupu k důvěryhodným službám Azure
    Azure Container Registry Soukromý koncový bod Povolení důvěryhodných služeb

  4. v okně vlastnosti pro účty Azure Storage pro váš pracovní prostor přidejte IP adresu klienta do seznamu povolených adres v nastavení brány firewall. Další informace najdete v tématu Konfigurace bran firewall a virtuálních sítí.

Zabezpečení pracovního prostoru a přidružených prostředků

Pomocí následujícího postupu Zabezpečte svůj pracovní prostor a přidružené prostředky. Tyto kroky umožní vašim službám komunikovat ve virtuální síti.

  1. Vytvořte virtuální sítě Azure , které budou obsahovat pracovní prostor a další prostředky.

  2. Vytvořte pracovní prostor podporující privátní linku , který umožní komunikaci mezi vaší virtuální sítí a pracovním prostorem.

  3. Do virtuální sítě přidejte následující služby pomocí koncového bodu služby nebo privátního koncového bodu. pro přístup k těmto službám taky umožněte důvěryhodným služby Microsoft:

    Služba Informace o koncovém bodu Povolení důvěryhodných informací
    Azure Key Vault Koncový bod služby
    Soukromý koncový bod    		 pro obejít tuto bránu firewall povolením důvěryhodných služby Microsoft
    Účet služby Azure Storage Služba a soukromý koncový bod
    Privátní koncový bod    		 Udělení přístupu z Azure Resource Instances
    nebo
    Udělení přístupu k důvěryhodným službám Azure
    Azure Container Registry Privátní koncový bod Povolení důvěryhodných služeb

Diagram architektury znázorňující, jak pracovní prostor a přidružené prostředky komunikují přes koncové body služby nebo privátní koncové body uvnitř virtuální sítě

podrobné pokyny k provedení tohoto postupu najdete v tématu zabezpečení Azure Machine Learningho pracovního prostoru.

Omezení

Zabezpečení pracovního prostoru a přidružených prostředků v rámci virtuální sítě má následující omezení:

  • Všechny prostředky musí být za stejnou virtuální sítí. Nicméně podsítě v rámci stejné virtuální sítě jsou povoleny.

Zabezpečení školicího prostředí

V této části se dozvíte, jak zabezpečit školicí prostředí v Azure Machine Learning. naučíte se také, jak Azure Machine Learning dokončuje školicí úlohu, abyste porozuměli tomu, jak tyto konfigurace sítě vzájemně spolupracují.

K zabezpečení školicího prostředí použijte následující postup:

  1. vytvořte Azure Machine Learning výpočetní instanci a počítačového clusteru ve virtuální síti ke spuštění úlohy školení.
  2. Povolí příchozí komunikaci , aby služba správy mohla odesílat úlohy do výpočetních prostředků.

Diagram architektury znázorňující zabezpečení spravovaných výpočetních clusterů a instancí

Podrobné pokyny k provedení tohoto postupu najdete v tématu zabezpečení školicího prostředí.

Příklad odeslání úlohy školení

v této části se dozvíte, jak Azure Machine Learning zabezpečeně komunikuje mezi službami k odeslání školicí úlohy. Tím se dozvíte, jak všechny konfigurace spolupracují na zabezpečení komunikace.

  1. Klient nahraje školicí skripty a školicí data do účtů úložiště, které jsou zabezpečené pomocí služby nebo privátního koncového bodu.

  2. klient odešle školicí úlohu do pracovního prostoru Azure Machine Learning prostřednictvím privátního koncového bodu.

  3. Služba Azure Batch obdrží úlohu z pracovního prostoru. Pak odešle úlohu školení do výpočetního prostředí prostřednictvím veřejného nástroje pro vyrovnávání zatížení pro výpočetní prostředky.

  4. Výpočetní prostředek obdrží úlohu a začne školení. Výpočetní prostředky přistupují k účtům zabezpečeného úložiště a stahují školicí soubory a nahrávají výstup.

Omezení

  • Výpočetní instance Azure a výpočetní clustery Azure musí být ve stejné virtuální síti, oblasti a předplatném jako pracovní prostor a jeho přidružené prostředky.

Zabezpečení prostředí pro odvozování

V této části se seznámíte s možnostmi, které jsou k dispozici pro zabezpečení prostředí Inferencing. Pro nasazení v produkčním prostředí s vysokým škálováním doporučujeme používat clustery Azure Kubernetes Services (AKS).

Pro clustery AKS ve virtuální síti máte dvě možnosti:

  • Nasaďte nebo připojte výchozí cluster AKS k vaší virtuální síti.
  • Připojte ke svojí virtuální síti privátní cluster AKS.

Výchozí clustery AKS mají řídicí plochu s veřejnými IP adresami. Výchozí cluster AKS můžete přidat do své virtuální sítě během nasazování nebo připojit cluster po jeho vytvoření.

Soukromé clustery AKS mají řídicí plochu, ke které se dá dostat jenom prostřednictvím privátních IP adres. Privátní clustery AKS musí být připojeny po vytvoření clusteru.

Podrobné pokyny k přidání výchozích a privátních clusterů najdete v tématu zabezpečení prostředí Inferencing.

následující diagram sítě zobrazuje zabezpečený Azure Machine Learning pracovní prostor s privátním AKS clusterem připojeným k virtuální síti.

Diagram architektury ukazující, jak připojit privátní cluster AKS k virtuální síti. Rovina ovládacího prvku AKS se nachází mimo virtuální síť zákazníka.

Omezení

  • V pracovním prostoru musí být privátní koncový bod ve stejné virtuální síti jako cluster AKS. Pokud například používáte více privátních koncových bodů s pracovním prostorem, jeden privátní koncový bod může být ve virtuální síti AKS a další ve virtuální síti, která obsahuje služby závislosti pro daný pracovní prostor.

Volitelné: Povolit veřejný přístup

Pracovní prostor můžete zabezpečit za virtuální sítí pomocí privátního koncového bodu a zároveň jim zajistit přístup přes veřejný Internet. Počáteční konfigurace je stejná jako při zabezpečení pracovního prostoru a přidružených prostředků.

po zabezpečení pracovního prostoru pomocí privátního koncového bodu pomocí následujících kroků umožněte klientům vzdálené vývoj pomocí sady SDK nebo Azure Machine Learning studia:

  1. Povolte veřejný přístup k pracovnímu prostoru.
  2. nakonfigurujte bránu Azure Storage firewall tak, aby umožňovala komunikaci s IP adresou klientů, kteří se připojují přes veřejný internet.

Volitelné: povolit funkce studia

Zabezpečte pracovní prostor > Zabezpečení školicího prostředí > Zabezpečení prostředí Inferencing > Povolit funkci studia > Konfigurace nastavení brány firewall

Pokud je vaše úložiště ve virtuální síti, musíte pomocí dodatečných kroků konfigurace povolit kompletní funkce v nástroji Studio. Ve výchozím nastavení jsou zakázané následující funkce:

  • Náhled dat v studiu
  • Vizualizujte data v návrháři.
  • Nasaďte model v návrháři.
  • Odešlete experiment AutoML.
  • Spusťte Popis projektu.

pokud chcete povolit úplnou funkci studia, přečtěte si téma použití Azure Machine Learning studia ve virtuální síti.

Omezení

označení dat s asistencí ML nepodporuje výchozí účet úložiště za virtuální sítí. místo toho použijte jiný účet úložiště, než je výchozí pro popisky dat s asistencí ML.

Tip

Pokud se nejedná o výchozí účet úložiště, účet používaný popiskem dat se dá zabezpečit za virtuální sítí.

Konfigurace nastavení brány firewall

nakonfigurujte bránu firewall pro řízení provozu mezi prostředky pracovního prostoru Azure Machine Learning a veřejným internetem. I když doporučujeme Azure Firewall, můžete použít jiné produkty brány firewall.

Další informace o nastavení brány firewall najdete v tématu použití pracovního prostoru za bránou firewall.

Vlastní DNS

Pokud pro svoji virtuální síť potřebujete použít vlastní řešení DNS, musíte přidat záznamy hostitele pro svůj pracovní prostor.

Další informace o požadovaných názvech domén a IP adresách najdete v tématu použití pracovního prostoru s vlastním serverem DNS.

Další kroky

tento článek je součástí série pro zabezpečení Azure Machine Learningho pracovního postupu. Podívejte se na další články v této sérii: