Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával

A Azure Machine Learning erőforrások és számítási környezetek biztonságossá teése virtuális hálózatokkal (VNetekkel). Ez a cikk egy példaforgatókönyvet használ a teljes virtuális hálózat konfigurálásának bemutatja.

Tipp

Ez a cikk a munkafolyamatok biztonságossá tétele Azure Machine Learning része. Tekintse meg a sorozat további cikkeit:

A biztonságos munkaterületek létrehozásával oktatóanyagért lásd: Oktatóanyag: Biztonságos munkaterület létrehozása vagy Oktatóanyag: Biztonságos munkaterület létrehozása sablon használatával.

Előfeltételek

Ez a cikk feltételezi, hogy ön ismeri a következő témaköröket:

Példaforgatókönyv

Ebben a szakaszban megtudhatja, hogyan lehet beállítani egy gyakori hálózati forgatókönyvet a magánhálózati IP-Azure Machine Learning kommunikációja érdekében.

Az alábbi táblázat azt hasonlítja össze, hogy a szolgáltatások hogyan férnek hozzá a Azure Machine Learning különböző részeihez virtuális hálózattal és anélkül:

Eset Munkaterület Társított erőforrások Számítási környezet betanítása Számítási környezet következtetése
Nincs virtuális hálózat Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím
Nyilvános munkaterület, egy virtuális hálózat összes többi erőforrása Nyilvános IP-cím Nyilvános IP-cím (szolgáltatásvégpont)
– vagy –
Magánhálózati IP-cím (privát végpont)
Magánhálózati IP-cím Magánhálózati IP-cím
Erőforrások biztonságossá tere egy virtuális hálózatban Magánhálózati IP-cím (privát végpont) Nyilvános IP-cím (szolgáltatásvégpont)
– vagy –
Magánhálózati IP-cím (privát végpont)
Magánhálózati IP-cím Magánhálózati IP-cím
  • Munkaterület – Hozzon létre egy privát végpontot a munkaterülethez. A privát végpont több magánhálózati IP-címmel csatlakoztatja a munkaterületet a virtuális hálózathoz.
    • Nyilvános hozzáférés – Igény szerint engedélyezheti a nyilvános hozzáférést egy biztonságos munkaterülethez.
  • Társított erőforrás – Szolgáltatásvégpontokkal vagy privát végpontokkal csatlakozhat olyan munkaterület-erőforrásokhoz, mint az Azure Storage vagy Azure Key Vault. Az Azure Container Serviceshez használjon privát végpontot.
    • A szolgáltatásvégpont biztosítja a virtuális hálózat identitását az Azure-szolgáltatás számára. Miután engedélyezi a szolgáltatásvégpontokat a virtuális hálózatban, hozzáadhat egy virtuális hálózati szabályt, amely az Azure-szolgáltatási erőforrásokat a virtuális hálózathoz biztosítja. A szolgáltatásvégpont nyilvános IP-címeket használ.
    • A privát végpontok olyan hálózati adapterek, amelyek biztonságosan csatlakoztatják egy szolgáltatáshoz, amely Azure Private Link. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan behozza a szolgáltatást a virtuális hálózatba.
  • Számítási hozzáférés betanítása – Olyan betanítás számítási célokhoz férhet hozzá, mint Azure Machine Learning számítási példány és Azure Machine Learning nyilvános IP-címmel (előzetes verzió) elérhető számítási fürtök.
  • Következtetési számítási hozzáférés – Hozzáférés az Azure Kubernetes Services (AKS) magánhálózati IP-címekkel való számítási fürtökhöz.

A következő szakaszok ismertetik, hogyan biztosíthatja a fent leírt hálózati forgatókönyvet. A hálózat biztonságának biztosítása érdekében a következőt kell:

  1. A munkaterület és a társított erőforrások biztonságossá teése.
  2. A betanító környezet védelme.
  3. A következtetési környezet védelme.
  4. Igény szerint engedélyezheti a Studio funkcióit.
  5. Konfigurálja a tűzfalbeállításokat.
  6. DNS-névfeloldás konfigurálása.

Nyilvános munkaterület és biztonságos erőforrások

Ha a munkaterületet a nyilvános interneten keresztül szeretné elérni, miközben az összes társított erőforrást egy virtuális hálózatban szeretné biztosítani, kövesse az alábbi lépéseket:

  1. Hozzon létre egy Azure Virtual Network, amely tartalmazza a munkaterület által használt erőforrásokat.

  2. Nyilvánosan elérhető munkaterület létrehozásához használja az alábbi lehetőségek egyikét:

  3. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz egy szolgáltatásvégpont vagy egy privát végpont használatával. Emellett engedélyezze a megbízható Microsoft-szolgáltatások számára a következő szolgáltatásokhoz való hozzáférést:

    Szolgáltatás Végpont adatai Megbízható információk engedélyezése
    Azure Key Vault SzolgáltatásvégpontPrivát végpont Annak engedélyezése, Microsoft-szolgáltatások a megbízható felhasználók megkerüljék ezt a tűzfalat
    Azure Storage-tárfiók neve Szolgáltatás- és privát végpontPrivát végpont Hozzáférés megadása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése
  4. A munkaterület Azure Storage-fiókjának tulajdonságainál adja hozzá az ügyfél IP-címét az engedélyezett listához a tűzfalbeállításokban. További információ: Tűzfalak és virtuális hálózatok konfigurálása.

A munkaterület és a társított erőforrások biztonságossáése

Az alábbi lépésekkel biztosíthatja a munkaterület és a társított erőforrások biztonságát. Ezekkel a lépésekkel a szolgáltatások kommunikálhatnak a virtuális hálózaton.

  1. Hozzon létre egy Azure-beli virtuális hálózatot, amely tartalmazza a munkaterületet és az egyéb erőforrásokat. Ezután hozzon létre Private Link munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.

  2. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz egy szolgáltatásvégpont vagy egy privát végpont használatával. Emellett engedélyezze a megbízható Microsoft-szolgáltatások számára a következő szolgáltatásokhoz való hozzáférést:

    Szolgáltatás Végpont adatai Megbízható információk engedélyezése
    Azure Key Vault SzolgáltatásvégpontPrivát végpont A tűzfal megkerül Microsoft-szolgáltatások engedélyezése megbízható felhasználók számára
    Azure Storage-tárfiók neve Szolgáltatás- és privát végpontPrivát végpont Hozzáférés megadása Azure-erőforráspéldánybólVagyHozzáférés megadása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése

Diagram showing how the workspace and associated resources communicate inside a VNet.

A lépések részletes leírásért lásd: Biztonságossá Azure Machine Learning munkaterületen.

Korlátozások

A munkaterület és a társított erőforrások virtuális hálózaton belüli biztonságossá tétele a következő korlátozásokkal jár:

  • Minden erőforrásnak azonos virtuális hálózat mögött kell lennie. Az azonos virtuális hálózatban található alhálózatok azonban engedélyezettek.

A betanító környezet védelme

Ebben a szakaszban megtudhatja, hogyan biztosíthatja a betanító környezetet a Azure Machine Learning. Azt is megtudhatja, Azure Machine Learning hogyan végez el egy betanítási feladatot, hogy megértse, hogyan működnek együtt a hálózati konfigurációk.

A betanító környezet védelme érdekében kövesse az alábbi lépéseket:

  1. Hozzon létre Azure Machine Learning számítási példányt és számítógépfürtöt a virtuális hálózatban a betanítás futtatásához.

  2. Ha a számítási fürt vagy a számítási példány nem használ nyilvános IP-címet, engedélyeznie kell a bejövő kommunikációt, hogy a felügyeleti szolgáltatások feladatokat küld tudjanak a számítási erőforrásoknak.

    Tipp

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül is létre lehet hozni. Ha nyilvános IP-címmel hozták létre, akkor a nyilvános IP-Azure Batch kommunikálnak a Azure Batch szolgáltatásokkal. Ha nyilvános IP-cím nélkül hozták létre, akkor a magánhálózati IP Azure Batch keresztül kommunikálnak a Azure Batch szolgáltatásokkal. Privát IP-cím használata esetén engedélyeznie kell a bejövő kommunikációt a Azure Batch.

Diagram showing how to secure managed compute clusters and instances.

A lépések részletes leírásért lásd: A betanítási környezet védelme.

Betanítási feladat beküldési példája

Ebben a szakaszban megtudhatja, hogyan Azure Machine Learning biztonságosan kommunikálni a szolgáltatások között egy betanító feladat elküldése érdekében. Ez bemutatja, hogyan működik együtt az összes konfiguráció a biztonságos kommunikáció érdekében.

  1. Az ügyfél feltölti a betanító szkripteket és a betanítás adatait egy szolgáltatás vagy privát végpont által védett tárfiókba.

  2. Az ügyfél elküld egy betanító feladatot a Azure Machine Learning munkaterületre a privát végponton keresztül.

  3. Azure Batch szolgáltatás megkapja a feladatot a munkaterületről. Ezután elküldi a betanító feladatot a számítási környezetbe a számítási erőforrás nyilvános terheléselosztásán keresztül.

  4. A számítási erőforrás megkapja a feladatot, és megkezdi a betanítást. A számítási erőforrás biztonságos tárfiókokat fér hozzá a betanító fájlok letöltéséhez és a kimenet feltöltéséhez.

Korlátozások

  • Az Azure Compute Instance-nek és az Azure számítási fürtöknek a munkaterülettel és az ahhoz tartozó erőforrásokkal megegyező virtuális hálózaton, régióban és előfizetésben kell lenniük.

A dedukciós környezet biztonságossá tétele

Ebben a szakaszban a következtetési környezetek biztonságossá tétele érdekében rendelkezésre álló lehetőségeket sajátítjuk el. Nagy léptékű, éles környezetekben az Azure Kubernetes Services- (AKS-) fürtök használatát javasoljuk.

A virtuális hálózatokban az AKS-fürtökhöz két lehetőség áll rendelkezésre:

  • Helyezzen üzembe vagy csatoljon egy alapértelmezett AKS-fürtöt a virtuális hálózathoz.
  • Csatoljon egy privát AKS-fürtöt a virtuális hálózathoz.

Az alapértelmezett AKS-fürtök nyilvános IP-címekkel és vezérlősíkkal is vannak. Az üzembe helyezés során hozzáadhat egy alapértelmezett AKS-fürtöt a virtuális hálózathoz, vagy a létrehozása után csatlakoztathat egy fürtöt.

A privát AKS-fürtök vezérlősíkot is érhetők el, amely csak magánhálózati IP-kapcsolaton keresztül érhető el. A magán AKS-fürtöknek a fürt létrehozása után csatlakoztatva kell lennie.

Az alapértelmezett és privát fürtök hozzáadásának részletes utasításaiért lásd: Következtetési környezet védelme.

Az alábbi hálózati diagram egy biztonságos Azure Machine Learning a virtuális hálózathoz csatolt, privát AKS-fürttel.

Diagram showing an attached private AKS cluster.

Korlátozások

  • A munkaterületnek az AKS-fürttel azonos virtuális hálózatban kell privát végponttal lennie. Ha például több privát végpontot használ a munkaterülettel, az egyik privát végpont lehet az AKS virtuális hálózatban, a másik pedig a munkaterület függőségi szolgáltatásait tartalmazó virtuális hálózatban.

Nem kötelező: Nyilvános hozzáférés engedélyezése

A virtuális hálózat mögötti munkaterületet biztonságossá teheti egy privát végpont használatával, és továbbra is engedélyezheti a hozzáférést a nyilvános interneten keresztül. A kezdeti konfiguráció ugyanaz, mint a munkaterület és a társított erőforrások biztonságossá tétele.

Miután biztonságossá teszi a munkaterületet egy privát végponttal, az alábbi lépésekkel engedélyezheti az ügyfelek számára a távoli fejlesztést az SDK vagy a Azure Machine Learning Studio használatával:

  1. Nyilvános hozzáférés engedélyezése a munkaterülethez.
  2. Konfigurálja az Azure Storage tűzfalat, hogy lehetővé tegye a kommunikációt a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével.

Nem kötelező: a Studio funkcióinak engedélyezése

A munkaterület biztonságossáéseA betanító környezet védelmeA következtetési környezet védelmeA Studio funkcióinak engedélyezéseTűzfalbeállítások konfigurálása

Ha a tároló virtuális hálózatban található, további konfigurációs lépéseket kell használnia a Studio teljes funkcionalitásának engedélyezéséhez. Alapértelmezés szerint a következő szolgáltatások vannak letiltva:

  • Adatok előnézete a studióban.
  • Adatok vizualizációja a tervezőben.
  • Modell üzembe helyezése a tervezőben.
  • AutoML-kísérlet elküldése.
  • Indítson el egy címkézési projektet.

A studio teljes funkcionalitásának engedélyezéséhez lásd: Use Azure Machine Learning studio in a virtual network (A Azure Machine Learning Studiohasználata virtuális hálózaton).

Korlátozások

ML támogatott adatcímkék nem támogatják a virtuális hálózat mögötti alapértelmezett tárfiókokat. Ehelyett használjon az alapértelmezetten nem használt tárfiókot a ML adatok címkézéséhez.

Tipp

Ha nem ez az alapértelmezett tárfiók, az adatcímkék által használt fiók biztonságban lehet a virtuális hálózat mögött.

Tűzfalbeállítások konfigurálása

Konfigurálja a tűzfalat, hogy szabályozni Azure Machine Learning munkaterület erőforrásai és a nyilvános internet közötti forgalmat. Bár ajánlott Azure Firewall, más tűzfaltermékeket is használhat.

További információ a tűzfal beállításairól: Munkaterület használata tűzfal mögött.

Egyéni DNS

Ha egyéni DNS-megoldást kell használnia a virtuális hálózathoz, hozzá kell adni gazdagéprekordokat a munkaterülethez.

További információ a szükséges tartománynevekről és IP-címekről: Munkaterület használata egyéni DNS-kiszolgálóval.

Következő lépések

Ez a cikk a munkafolyamatok biztonságossá tétele Azure Machine Learning része. Tekintse meg a sorozat további cikkeit: