Hálózatelkülönítés az Azure Machine Tanulás-adatbázisokkal

Ebből a cikkből megtudhatja, hogyan védheti meg az Azure Machine Tanulás regisztrációs adatbázist az Azure Virtual Network és a privát végpontok használatával.

Az Azure privát végpontjai hálózatelkülönítést biztosítanak azáltal, hogy lehetővé teszik az Azure-szolgáltatások elérését egy virtuális hálózaton (VNet) belüli privát IP-címen keresztül. A virtuális hálózat biztosítja az Azure-erőforrások közötti kapcsolatokat, és megakadályozza a bizalmas adatok nyilvános interneten való kitettségét.

A privát végpontokkal való hálózati elkülönítés megakadályozza, hogy a hálózati forgalom a nyilvános interneten haladjon át, és az Azure Machine Tanulás beállításjegyzék-szolgáltatást a virtuális hálózathoz hozza. A privát végpontok használatakor az összes hálózati forgalom az Azure Private Linken keresztül történik.

Előfeltételek

• Egy Azure Machine Tanulás beállításjegyzék. Ha létre szeretne hozni egyet, használja a Regisztrációs adatbázisok létrehozása és kezelése című cikk lépéseit .
• A következő cikkek ismerete:
  • Azure Virtual Networks
  • IP-hálózatkezelés
  • Azure Machine Tanulás-munkaterület privát végponttal
  • Hálózati biztonsági csoportok (NSG)
  • Hálózati tűzfalak

Az Azure Machine Tanulás beállításjegyzékének védelme

Feljegyzés

Az egyszerűség kedvéért a munkaterületre, a kapcsolódó erőforrásokra és a virtuális hálózatra fogunk hivatkozni, amelyek a biztonságos munkaterület-konfiguráció részét képezik. Bemutatjuk, hogyan adhat hozzá Azure-beli gépi Tanulás regisztrációs adatbázisokat a meglévő konfiguráció részeként.

Az alábbi ábrán egy alapszintű hálózati konfiguráció és az Azure Machine Tanulás beállításjegyzékének illesztése látható. Ha már használja az Azure Machine Tanulás-munkaterületet, és olyan biztonságos munkaterület-konfigurációval rendelkezik, amelyben az összes erőforrás a virtuális hálózat része, létrehozhat egy privát végpontot a meglévő virtuális hálózatból az Azure Machine Tanulás beállításjegyzékbe, valamint az ahhoz társított erőforrásokhoz (tárterülethez és ACR-hez).

Ha nem rendelkezik biztonságos munkaterület-konfigurációval, létrehozhatja azt az Azure Portal biztonságos munkaterületének létrehozásával, vagy létrehozhat egy biztonságos munkaterületet sabloncikkekkel .

Korlátozások

Ha egy Azure Machine Tanulás-beállításjegyzéket használ hálózati elkülönítéssel, megtekintheti a modellegységeket az Azure Machine Tanulás Studióban. Más típusú objektumok nem tekinthetők meg. Nem fog tudni műveleteket végrehajtani az Azure Machine-en Tanulás beállításjegyzéken vagy az alatta lévő objektumokon a studio használatával. Ehelyett használja az Azure Machine Tanulás parancssori felületet vagy SDK-t.

Forgatókönyv: A munkaterület konfigurációja biztonságos, és az Azure Machine Tanulás beállításjegyzéke nyilvános

Ez a szakasz azokat a forgatókönyveket és szükséges hálózati konfigurációkat ismerteti, amelyek akkor szükségesek, ha biztonságos munkaterület-konfigurációval rendelkezik, de nyilvános beállításjegyzéket használ.

Objektumok létrehozása a beállításjegyzékben helyi fájlokból

A beállításjegyzékben az eszközök létrehozásához használt identitást (például egy adattudós Microsoft Entra-felhasználói identitását) az Azure-beli szerepköralapú hozzáférés-vezérlésben az AzureML beállításjegyzék-felhasználójának, tulajdonosának vagy közreműködői szerepkörének kell hozzárendelnie. További információt az Azure Machine-hozzáférés kezelése Tanulás című cikkben talál.

Objektumok megosztása a munkaterületről a beállításjegyzékbe

Feljegyzés

Egy összetevő megosztása az Azure Machine Tanulás-munkaterületről az Azure Machine Tanulás beállításjegyzékbe jelenleg nem támogatott.

Az adatkiszivárgás elleni védelem miatt nem lehet megosztani egy objektumot a biztonságos munkaterületről a nyilvános beállításjegyzékbe, ha az objektumot tartalmazó tárfiók nyilvános hozzáférése le van tiltva. Az eszközmegosztás engedélyezése a munkaterületről a beállításjegyzékbe:

• Nyissa meg a munkaterülethez csatolt tárfiók Hálózatkezelés szakaszát (ahonnan engedélyezni szeretné az eszközök megosztását a beállításjegyzékben)
• Nyilvános hálózati hozzáférés beállítása engedélyezve a kiválasztott virtuális hálózatokról és IP-címekről
• Görgessen le, és lépjen az Erőforráspéldányok szakaszra. Válassza az Erőforrástípust a Microsoft.Machine Tanulás Szolgáltatások/nyilvántartások területen, és állítsa a példány nevét az Azure Machine Tanulás beállításjegyzék-erőforrás nevére, ha engedélyezni szeretné a munkaterületről való megosztást.
• Ellenőrizze a többi beállítást a hálózati konfigurációnak megfelelően.

Objektumok használata a munkaterület beállításjegyzékéből

Példaműveletek:

• Küldjön be egy olyan feladatot, amely egy objektumot használ a beállításjegyzékből.
• A folyamat beállításjegyzékéből származó összetevő használata.
• Használjon egy környezetet a beállításjegyzékből egy összetevőben.

Az objektumok beállításjegyzékből biztonságos munkaterületre való használatával konfigurálnia kell a regisztrációs adatbázishoz való kimenő hozzáférést.

Modell üzembe helyezése a beállításjegyzékből a munkaterületre

Ha egy modellt egy beállításjegyzékből egy biztonságos, felügyelt online végpontra szeretne telepíteni, az üzembe helyezésnek be kell állítania egress_public_network_access=disabled . Az Azure Machine Tanulás létrehozza a szükséges privát végpontokat a beállításjegyzékben a végpont üzembe helyezése során. További információ: Biztonságosan felügyelt online végpontok létrehozása.

Kimenő hálózati konfiguráció bármely Azure Machine Tanulás-beállításjegyzék eléréséhez

Szolgáltatáscímke	Protokoll és portok	Cél
AzureMachineLearning	TCP: 443, 877, 18881 UDP: 5831	Az Azure Machine Learning-szolgáltatások használata.
Storage.<region>	TCP: 443	Az Azure Storage-fiókban tárolt adatok elérése számítási fürtökhöz és számítási példányokhoz. Ez a kimenő adatszűrés használható. További információ: Adatkiszivárgás elleni védelem.
MicrosoftContainerRegistry.<region>	TCP: 443	A Microsoft által biztosított Docker-képek elérése.
AzureContainerRegistry.<region>	TCP: 443	Docker-rendszerképek elérése környezetekhez.

Forgatókönyv: A munkaterület konfigurációja biztonságos, és az Azure Machine Tanulás beállításjegyzéke privát végpontok használatával csatlakozik a virtuális hálózatokhoz

Ez a szakasz ismerteti a forgatókönyveket és a szükséges hálózati konfigurációkat, ha biztonságos munkaterület-konfigurációval rendelkezik az Azure Machine Tanulás regisztrációs adatbázisokkal, amelyek privát végponttal csatlakoznak egy virtuális hálózathoz.

Az Azure Machine Tanulás beállításjegyzékéhez társított tároló-/ACR-szolgáltatáspéldányok tartoznak. Ezek a szolgáltatáspéldányok privát végpontok használatával is csatlakoztathatók a virtuális hálózathoz a konfiguráció biztonságossá tételéhez. További információ: Privát végpont létrehozása szakasz.

A beállításjegyzék által használt Azure Storage-fiók és Azure Container Registry megkeresése

Az Azure Machine Tanulás beállításjegyzéke által használt tárfiók és ACR egy felügyelt erőforráscsoportban jön létre az Azure-előfizetésben. A felügyelt erőforráscsoport neve a következő mintát azureml-rg-<name-of-your-registry>_<GUID>követi: . A GUID egy véletlenszerűen létrehozott sztring. Ha például a beállításjegyzék neve "contosoreg", akkor a felügyelt erőforráscsoport neve lesz azureml-rg-contosoreg_<GUID>.

Az Azure Portalon ezt az erőforráscsoportot a kereséssel azureml_rg-<name-of-your-registry>találja meg. A beállításjegyzék összes tárolási és ACR-erőforrása ebben az erőforráscsoportban érhető el.

Objektumok létrehozása a beállításjegyzékben helyi fájlokból

Feljegyzés

A környezeti objektum létrehozása nem támogatott olyan magánregisztrációs adatbázisban, ahol a társított ACR nyilvános hozzáférése le van tiltva. Áthidaló megoldásként létrehozhat egy környezetet az Azure Machine Tanulás-munkaterületen, és megoszthatja azt az Azure Machine Tanulás beállításjegyzékében.

Az ügyfeleknek ahhoz a virtuális hálózathoz kell csatlakozniuk, amelyhez a beállításjegyzék privát végponthoz csatlakozik.

Biztonságos csatlakozás a beállításjegyzékhez

A virtuális hálózat mögött védett beállításjegyzékhez való csatlakozáshoz használja az alábbi módszerek egyikét:

• Azure VPN Gateway – Csatlakozás helyszíni hálózatokat a virtuális hálózathoz privát kapcsolaton keresztül. Csatlakozás a nyilvános interneten keresztül történik. Kétféle VPN-átjárót használhat:

  • Pont–hely: Minden ügyfélszámítógép VPN-ügyféllel csatlakozik a virtuális hálózathoz.

  • Helyek közötti: Egy VPN-eszköz csatlakoztatja a virtuális hálózatot a helyszíni hálózathoz.

• ExpressRoute – Csatlakozás a helyszíni hálózatokat a felhőbe privát kapcsolaton keresztül. Csatlakozás kapcsolatszolgáltató használatával történik.

• Azure Bastion – Ebben a forgatókönyvben egy Azure-beli virtuális gépet (más néven jump boxot) hoz létre a virtuális hálózaton belül. Ezután az Azure Bastion használatával csatlakozhat a virtuális géphez. A Bastion lehetővé teszi a virtuális géphez való csatlakozást RDP- vagy SSH-munkamenet használatával a helyi webböngészőből. Ezt követően a jump boxot fogja használni fejlesztési környezetként. Mivel a virtuális hálózaton belül van, közvetlenül hozzáférhet a beállításjegyzékhez.

Objektumok megosztása a munkaterületről a beállításjegyzékbe

Feljegyzés

Egy összetevő megosztása az Azure Machine Tanulás-munkaterületről az Azure Machine Tanulás beállításjegyzékbe jelenleg nem támogatott.

Az adatkiszivárgás elleni védelem miatt nem lehet megosztani egy objektumot a biztonságos munkaterületről egy privát beállításjegyzékbe, ha az objektumot tartalmazó tárfiók nyilvános hozzáférése le van tiltva. Az eszközmegosztás engedélyezése a munkaterületről a beállításjegyzékbe:

• Nyissa meg a munkaterülethez csatolt tárfiók Hálózatkezelés szakaszát (ahonnan engedélyezni szeretné az eszközök megosztását a beállításjegyzékben)
• Nyilvános hálózati hozzáférés beállítása engedélyezve a kiválasztott virtuális hálózatokról és IP-címekről
• Görgessen le, és lépjen az Erőforráspéldányok szakaszra. Válassza az Erőforrástípust a Microsoft.Machine Tanulás Szolgáltatások/nyilvántartások területen, és állítsa a példány nevét az Azure Machine Tanulás beállításjegyzék-erőforrás nevére, ha engedélyezni szeretné a munkaterületről való megosztást.
• Ellenőrizze a többi beállítást a hálózati konfigurációnak megfelelően.

Objektumok használata a munkaterület beállításjegyzékéből

Példaműveletek:

• Küldjön be egy olyan feladatot, amely egy objektumot használ a beállításjegyzékből.
• A folyamat beállításjegyzékéből származó összetevő használata.
• Használjon egy környezetet a beállításjegyzékből egy összetevőben.

Hozzon létre egy privát végpontot a munkaterület virtuális hálózatából a beállításjegyzékbe, a tárolóba és az ACR-be. Ha több adatbázishoz próbál csatlakozni, hozzon létre privát végpontot minden beállításjegyzékhez, valamint a társított tárolóhoz és ACL-ekhez. További információ: Privát végpont létrehozása szakasz.

Modell üzembe helyezése a beállításjegyzékből a munkaterületre

Ha egy modellt egy beállításjegyzékből egy biztonságos, felügyelt online végpontra szeretne telepíteni, az üzembe helyezésnek be kell állítania egress_public_network_access=disabled . Az Azure Machine Tanulás létrehozza a szükséges privát végpontokat a beállításjegyzékben a végpont üzembe helyezése során. További információ: Biztonságosan felügyelt online végpontok létrehozása.

Privát végpont létrehozása

A lapfülek segítségével megtekintheti az utasításokat, amelyekkel privát végpontot adhat hozzá egy meglévő beállításjegyzékhez , vagy létrehozhat egy új, privát végpontot tartalmazó beállításjegyzéket :

Meglévő beállításjegyzék

1. Az Azure Portalon keresse meg a privát végpontot, és válassza ki a Privát végpontok bejegyzést a Privát kapcsolat központba való ugráshoz.

2. A Privát hivatkozás központ áttekintési lapján válassza a + Létrehozás lehetőséget.

3. Adja meg a kért információkat. A Region (Régió) mezőben válassza ki ugyanazt a régiót, mint az Azure Virtual Network. Válassza a Tovább lehetőséget.

4. Az Erőforrás lapon válassza az Erőforrás típusaMicrosoft.MachineLearningServices/registries lehetőséget. Állítsa az Erőforrás mezőt az Azure Machine Tanulás beállításjegyzék-nevére, majd válassza a Tovább gombot.

5. A Virtuális hálózat lapon válassza ki az Azure Machine-Tanulás erőforrásaihoz tartozó virtuális hálózatot és alhálózatot. A folytatáshoz válassza a Tovább gombra.

6. A DNS lapon hagyja meg az alapértelmezett értékeket, hacsak nem rendelkezik meghatározott privát DNS-integrációs követelményekkel. A folytatáshoz válassza a Tovább gombra.

7. A Véleményezés + Létrehozás lapon válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

8. Ha le szeretné tiltani a nyilvános hálózati hozzáférést, használja az alábbi parancsot. Győződjön meg arról, hogy a tároló és az ACR nyilvános hálózati hozzáférése is le van tiltva.

   az ml registry update --set publicNetworkAccess=Disabled --name <name-of-registry>
   

Új beállításjegyzék

1. Amikor új beállításjegyzéket hoz létre az Azure Portalon, válassza a Nyilvános hozzáférés letiltása és a privát végpontok használata lehetőséget a Hálózatkezelés lapon.
2. Válassza a Hozzáadás lehetőséget a Privát végpont területen, és adja meg a szükséges információkat.
3. Válassza ki az Azure Machine-Tanulás erőforrásaihoz tartozó virtuális hálózatot és alhálózatot.
4. Válassza ki a többi lehetőséget, majd kattintson az OK gombra.
5. Fejezze be a beállításjegyzék létrehozásának folyamatát. A létrehozás befejezése után az új beállításjegyzék úgy van konfigurálva, hogy privát végpontot használjon a virtuális hálózattal való kommunikációhoz.

A beállításjegyzék által használt Azure Storage-fiók és Azure Container Registry megkeresése

Az Azure Machine Tanulás beállításjegyzéke által használt tárfiók és ACR egy felügyelt erőforráscsoportban jön létre az Azure-előfizetésben. A felügyelt erőforráscsoport neve a következő mintát azureml-rg-<name-of-your-registry>_<GUID>követi: . A GUID egy véletlenszerűen létrehozott sztring. Ha például a beállításjegyzék neve "contosoreg", akkor a felügyelt erőforráscsoport neve lesz azureml-rg-contosoreg_<GUID>.

Az Azure Portalon ezt az erőforráscsoportot a kereséssel azureml_rg-<name-of-your-registry>találja meg. A beállításjegyzék összes tárolási és ACR-erőforrása ebben az erőforráscsoportban érhető el.

Privát végpont létrehozása az Azure Storage-fiókhoz

Ha privát végpontot szeretne létrehozni a beállításjegyzék által használt tárfiókhoz, kövesse az alábbi lépéseket:

1. Az Azure Portalon keresse meg a privát végpontot, és válassza ki a Privát végpontok bejegyzést a Privát kapcsolat központba való ugráshoz.
2. A Privát hivatkozás központ áttekintési lapján válassza a + Létrehozás lehetőséget.
3. Adja meg a kért információkat. A Region (Régió) mezőben válassza ki ugyanazt a régiót, mint az Azure Virtual Network. Válassza a Tovább lehetőséget.
4. Az Erőforrás lapon válassza az Erőforrás típusaMicrosoft.Storage/storageAccounts lehetőséget. Állítsa az Erőforrás mezőt a tárfiók nevére. Állítsa az alerőforrást Blob értékre, majd válassza a Tovább gombot.
5. A Virtuális hálózat lapon válassza ki az Azure Machine-Tanulás erőforrásaihoz tartozó virtuális hálózatot és alhálózatot. A folytatáshoz válassza a Tovább gombra.
6. A DNS lapon hagyja meg az alapértelmezett értékeket, hacsak nem rendelkezik meghatározott privát DNS-integrációs követelményekkel. A folytatáshoz válassza a Tovább gombra.
7. A Véleményezés + Létrehozás lapon válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

Adatkiszivárgás elleni védelem

Az Azure Machine Tanulás beállításjegyzéket létrehozó felhasználó számára javasoljuk, hogy használjon privát végpontot a beállításjegyzékhez, a felügyelt tárfiókhoz és a felügyelt ACR-hez.

Rendszerregisztrációs adatbázis esetén javasoljuk, hogy hozzon létre egy szolgáltatásvégpont-szabályzatot a Tárfiókhoz az /services/Azure/MachineLearning alias használatával. További információ: Adatkiszivárgás-megelőzés konfigurálása.

A beállításjegyzék teljes tartománynevének megkeresése

Az alábbi példák bemutatják, hogyan használhatja a felderítési URL-címet a beállításjegyzék teljes tartománynevének (FQDN) lekéréséhez. A felderítési URL-cím meghívásakor meg kell adnia egy Azure-hozzáférési jogkivonatot a kérelem fejlécében. Az alábbi példák bemutatják, hogyan szerezhet be hozzáférési jogkivonatot, és hogyan hívhatja meg a felderítési URL-címet:

Tipp.

A felderítési URL-cím https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discoveryformátuma az, ahol <region> a beállításjegyzék található, és <registry_name> a beállításjegyzék neve. Az URL meghívásához küldjön get kérést:

   GET https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery 

• Azure PowerShell

$region = "<region>"
$registryName = "<registry_name>"
$accessToken = (az account get-access-token | ConvertFrom-Json).accessToken 
(Invoke-RestMethod -Method Get `
                   -Uri "https://$region.api.azureml.ms/registrymanagement/v1.0/registries/$registryName/discovery" `
                   -Headers @{ Authorization="Bearer $accessToken" }).registryFqdns

• REST API

Feljegyzés

Az Azure REST API-k használatáról további információt az Azure REST API-referenciában talál.

1. Szerezze be az Azure hozzáférési jogkivonatát. Jogkivonat lekéréséhez az alábbi Azure CLI-parancsot használhatja:

   az account get-access-token --query accessToken
   

2. A REST-ügyfél, például a Postman vagy a Curl használatával get kérést intézhet a felderítési URL-címre. Az engedélyezéshez használja az előző lépésben lekért hozzáférési jogkivonatot. Az alábbi példában cserélje le <region> azt a régiót, ahol a beállításjegyzék található, és <registry_name> adja meg a beállításjegyzék nevét. Cserélje le <token> az előző lépésben lekért hozzáférési jogkivonatra:

   curl -X GET "https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery" -H "Authorization: Bearer <token>" -H "Content-Type: application/json"
   

Következő lépések

Megtudhatja, hogyan oszthat meg modelleket, összetevőket és környezeteket a munkaterületeken a regisztrációs adatbázisokkal.