Zabezpečení prostředí pro odvozování služby Azure Machine Learning s využitím virtuálních sítí
V tomto článku se dozvíte, jak zabezpečit prostředí odvozování (online koncové body) s virtuální sítí ve službě Azure Machine Učení. Existují dvě možnosti odvození, které je možné zabezpečit pomocí virtuální sítě:
Azure Machine Učení spravované online koncové body
Tip
Microsoft doporučuje místo kroků v tomto článku při zabezpečení spravovaných online koncových bodů používat Učení spravované virtuální sítě Azure. Se spravovanou virtuální sítí azure machine Učení zpracovává úlohu izolace sítě pro váš pracovní prostor a spravované výpočetní prostředky. Můžete také přidat privátní koncové body pro prostředky potřebné pracovním prostorem, jako je například účet služby Azure Storage. Další informace najdete v tématu Spravovaná izolace sítě pracovního prostoru.
Azure Kubernetes Service
Tip
Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:
- Přehled virtuální sítě
- Zabezpečení prostředků pracovního prostoru
- Zabezpečení trénovacího prostředí
- Povolení funkcí studia
- Použití vlastní služby DNS
- Použití brány firewall
Kurz vytvoření zabezpečeného pracovního prostoru najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru nebo kurzu: Vytvoření zabezpečeného pracovního prostoru pomocí šablony.
Požadavky
Přečtěte si článek s přehledem zabezpečení sítě a seznamte se s běžnými scénáři virtuální sítě a celkovou architekturou virtuální sítě.
Existující virtuální síť a podsíť, které slouží k zabezpečení pracovního prostoru azure machine Učení.
Pokud chcete nasadit prostředky do virtuální sítě nebo podsítě, musí mít váš uživatelský účet oprávnění k následujícím akcím v řízení přístupu na základě role v Azure (Azure RBAC):
- Microsoft.Network/*/read v prostředku virtuální sítě. Toto oprávnění není potřeba pro nasazení šablon Azure Resource Manageru (ARM).
- "Microsoft.Network/virtualNetworks/join/action" u prostředku virtuální sítě.
- Prostředek podsítě "Microsoft.Network/virtualNetworks/subnets/join/action".
Další informace o Azure RBAC se sítěmi najdete v předdefinovaných rolích sítě.
- Pokud používáte službu Azure Kubernetes Service (AKS), musíte mít existující cluster AKS zabezpečený, jak je popsáno v článku o prostředí pro odvození služby Azure Kubernetes Service.
Zabezpečení spravovaných online koncových bodů
Informace o zabezpečení spravovaných online koncových bodů najdete v článku Použití izolace sítě se spravovanými online koncovými body.
Zabezpečení online koncových bodů služby Azure Kubernetes Service
Pokud chcete cluster Azure Kubernetes Service použít k zabezpečenému odvozování, postupujte následovně:
Vytvořte nebo nakonfigurujte zabezpečené prostředí pro odvozování Kubernetes.
Nasazení rozšíření Azure Machine Učení
Nasazení modelu s online koncovým bodem Kubernetes je možné provést pomocí rozhraní příkazového řádku v2, sady Python SDK v2 a uživatelského rozhraní sady Studio.
- CLI v2 – https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 – https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Uživatelské rozhraní sady Studio – Postupujte podle kroků ve spravovaném nasazení online koncového bodu prostřednictvím sady Studio. Po zadání názvu koncového bodu místo spravovaného výpočetního typu vyberte Kubernetes.
Omezení odchozího připojení z virtuální sítě
Pokud nechcete používat výchozí odchozí pravidla a chcete omezit odchozí přístup virtuální sítě, musíte povolit přístup ke službě Azure Container Registry. Ujistěte se například, že vaše skupiny zabezpečení sítě (NSG) obsahují pravidlo, které umožňuje přístup ke značce služby AzureContainerRegistry.RegionName , kde {RegionName} je název oblasti Azure.
Další kroky
Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii: