Mengamankan lingkungan pelatihan Azure Machine Learning dengan jaringan virtual (SDKv1)

BERLAKU UNTUK:SDK Python azureml v1

Dalam artikel ini, Anda mempelajari cara mengamankan lingkungan pelatihan dengan jaringan virtual di Azure Machine Learning menggunakan Python SDK v1.

Instans komputasi dan kluster komputasi Azure Pembelajaran Mesin dapat digunakan untuk melatih model dengan aman dalam jaringan virtual. Saat merencanakan lingkungan, Anda dapat mengonfigurasi instans/kluster komputasi dengan atau tanpa alamat IP publik. Perbedaan umum antara keduanya adalah:

• Tidak ada IP publik: Mengurangi biaya karena tidak memiliki persyaratan sumber daya jaringan yang sama. Meningkatkan keamanan dengan menghapus persyaratan untuk lalu lintas masuk dari internet. Namun, ada perubahan konfigurasi tambahan yang diperlukan untuk mengaktifkan akses keluar ke sumber daya yang diperlukan (ID Microsoft Entra, Azure Resource Manager, dll.).
• IP Publik: Bekerja secara default, tetapi lebih mahal karena sumber daya jaringan Azure tambahan. Memerlukan komunikasi masuk dari layanan Azure Pembelajaran Mesin melalui internet publik.

Tabel berikut berisi perbedaan antara konfigurasi ini:

Konfigurasi	Dengan IP publik	Tanpa IP publik
Lalu Lintas Masuk	AzureMachineLearning tag layanan.	Tidak
Lalu lintas keluar	Secara default, dapat mengakses internet publik tanpa batasan. Anda dapat membatasi apa yang diaksesnya menggunakan Grup Keamanan Jaringan atau firewall.	Secara default, ia tidak dapat mengakses internet. Jika masih dapat mengirim lalu lintas keluar ke internet, itu karena akses keluar default Azure dan Anda memiliki NSG yang memungkinkan keluar ke internet. Kami tidak menyarankan penggunaan akses keluar default. Jika Anda memerlukan akses keluar ke internet, sebaiknya gunakan gateway VIRTUAL Network NAT atau Firewall sebagai gantinya jika Anda perlu merutekan lalu lintas keluar ke sumber daya yang diperlukan di internet.
Sumber daya jaringan Azure	Alamat IP publik, load balancer, antarmuka jaringan	Tidak

Anda juga dapat menggunakan Azure Databricks atau HDInsight untuk melatih model dalam jaringan virtual.

Tip

Microsoft merekomendasikan penggunaan Azure Pembelajaran Mesin jaringan virtual terkelola alih-alih langkah-langkah dalam artikel ini. Dengan jaringan virtual terkelola, Azure Pembelajaran Mesin menangani pekerjaan isolasi jaringan untuk ruang kerja Dan komputasi terkelola Anda. Anda juga dapat menambahkan titik akhir privat untuk sumber daya yang diperlukan oleh ruang kerja, seperti Akun Azure Storage. Untuk informasi selengkapnya, lihat Isolasi jaringan terkelola Ruang Kerja.

Catatan

Untuk informasi tentang menggunakan studio Azure Machine Learning dan Python SDK v2, lihat Lingkungan pelatihan aman (v2).

Untuk tutorial tentang pembuatan ruang kerja yang aman, lihat Tutorial: Membuat ruang kerja yang aman di portal Azure atau Tutorial: Membuat ruang kerja yang aman menggunakan template.

Dalam artikel ini Anda mempelajari cara mengamankan sumber daya komputasi pelatihan berikut ini dalam jaringan virtual:

• Kluster komputasi Azure Machine Learning
• Instans komputasi Azure Machine Learning
• Azure Databricks
• Komputer Virtual
• Klaster HDInsight

Penting

Item dalam artikel ini yang ditandai sebagai "pratinjau" saat ini dalam pratinjau publik. Versi pratinjau disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Prasyarat

• Baca artikel Gambaran umum keamanan jaringan untuk memahami skenario jaringan virtual umum dan arsitektur jaringan virtual secara keseluruhan.

• Jaringan virtual dan subnet yang ada untuk digunakan dengan sumber daya komputasi Anda. VNet ini harus berada dalam langganan yang sama dengan ruang kerja Azure Pembelajaran Mesin Anda.

  • Sebaiknya letakkan akun penyimpanan yang digunakan oleh ruang kerja dan pekerjaan pelatihan Anda di wilayah Azure yang sama dengan yang Anda rencanakan untuk digunakan untuk instans dan kluster komputasi Anda. Jika tidak berada di wilayah Azure yang sama, Anda dapat dikenakan biaya transfer data dan peningkatan latensi jaringan.
  • Pastikan bahwa komunikasi WebSocket diizinkan ke *.instances.azureml.net dan *.instances.azureml.ms di VNet Anda. WebSocket digunakan oleh Jupyter pada instans komputasi.

• Subnet yang ada di jaringan virtual. Subnet ini digunakan saat membuat instans dan kluster komputasi.

  • Pastikan subnet tidak didelegasikan ke layanan Azure lainnya.
  • Pastikan subnet berisi alamat IP gratis yang cukup. Setiap instans komputasi memerlukan satu alamat IP. Setiap simpul dalam kluster komputasi memerlukan satu alamat IP.

• Jika Anda memiliki server DNS Anda sendiri, sebaiknya gunakan penerusan DNS untuk menyelesaikan nama domain yang sepenuhnya memenuhi syarat (FQDN) instans komputasi dan kluster. Untuk informasi selengkapnya, lihat Menggunakan DNS kustom dengan Azure Pembelajaran Mesin.

• Untuk menyebarkan sumber daya ke dalam jaringan virtual atau subnet, akun pengguna Anda harus memiliki izin untuk tindakan berikut di kontrol akses berbasis peran Azure (Azure RBAC):

  • "Microsoft.Network/*/read" pada sumber daya jaringan virtual. Izin ini tidak diperlukan untuk penyebaran templat Azure Resource Manager (ARM).
  • "Microsoft.Network/virtualNetworks/join/action" pada sumber daya jaringan virtual.
  • "Microsoft.Network/virtualNetworks/subnet/join/action" pada sumber daya subnet.

  Untuk informasi selengkapnya tentang Azure RBAC dengan pembuatan jaringan, lihat Peran bawaan jaringan

Batasan

Kluster/instans komputasi Azure Machine Learning

• Kluster komputasi dapat dibuat di wilayah dan VNet yang berbeda dari ruang kerja Anda. Namun, fungsionalitas ini hanya tersedia menggunakan SDK v2, CLI v2, atau studio. Untuk informasi selengkapnya, lihat versi v2 lingkungan pelatihan yang aman.

• Penyebaran kluster/instans komputasi di jaringan virtual tidak didukung dengan Azure Lighthouse.

• Port 445 harus terbuka untuk komunikasi jaringan privat antara instans komputasi Anda dan akun penyimpanan default selama pelatihan. Misalnya, jika komputasi Anda berada dalam satu VNet dan akun penyimpanan berada di VNet lain, jangan blokir port 445 ke akun penyimpanan VNet.

Azure Databricks

• Jaringan virtual harus berada di langganan dan wilayah yang sama dengan ruang kerja Azure Machine Learning.
• Jika Akun Azure Storage untuk ruang kerja juga diamankan dalam jaringan virtual, mereka harus berada di jaringan virtual yang sama dengan kluster Azure Databricks.
• Selain subnet databricks-private dan databricks-public yang digunakan oleh Azure Databricks, subnet default yang dibuat untuk jaringan virtual juga diperlukan.
• Azure Databricks tidak menggunakan titik akhir privat untuk berkomunikasi dengan jaringan virtual.

Untuk informasi selengkapnya tentang menggunakan Azure Databricks di jaringan virtual, lihat Menyebarkan Azure Databricks di Azure Virtual Network Anda.

Azure HDInsight atau komputer virtual

• Azure Machine Learning hanya mendukung komputer virtual yang menjalankan Ubuntu.

Komputasi instans/kluster tanpa IP publik

Penting

Jika Anda telah menggunakan instans komputasi atau kluster komputasi yang dikonfigurasi tanpa IP publik tanpa ikut serta dalam pratinjau, Anda harus menghapus dan membuatnya kembali setelah 20 Januari 2023 (saat fitur tersedia secara umum).

Jika sebelumnya Anda menggunakan pratinjau tidak ada IP publik, Anda mungkin juga perlu memodifikasi lalu lintas apa yang Anda izinkan masuk dan keluar, karena persyaratan telah berubah untuk ketersediaan umum:

• Persyaratan keluar - Dua keluar tambahan, yang hanya digunakan untuk manajemen instans dan kluster komputasi. Tujuan tag layanan ini dimiliki oleh Microsoft:
  • AzureMachineLearning tag layanan pada port UDP 5831.
  • BatchNodeManagement tag layanan pada port TCP 443.

Konfigurasi berikut ini selain yang tercantum di bagian Prasyarat , dan khusus untuk membuat instans/kluster komputasi yang dikonfigurasi tanpa IP publik:

• Anda harus menggunakan titik akhir privat ruang kerja untuk sumber daya komputasi untuk berkomunikasi dengan layanan Azure Pembelajaran Mesin dari VNet. Untuk informasi lebih lanjut, lihat Konfigurasikan titik akhir privat untuk ruang kerja Azure Machine Learning.

• Di VNet Anda, izinkan lalu lintas keluar ke tag layanan berikut atau nama domain yang sepenuhnya memenuhi syarat (FQDN):

  Tag layanan	Protokol	Port	Catatan
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Komunikasi dengan Azure Machine Learning service
  BatchNodeManagement.<region>	ANY	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Komunikasi dengan Azure Batch. Instans komputasi dan kluster komputasi diimplementasikan menggunakan layanan Azure Batch.
  Storage.<region>	TCP	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Tag layanan ini digunakan untuk berkomunikasi dengan akun Azure Storage yang digunakan oleh Azure Batch.

  Penting

  Akses keluar ke Storage.<region> berpotensi digunakan untuk menyelundupkan data dari ruang kerja Anda. Dengan menggunakan Kebijakan Titik Akhir Layanan, Anda dapat mengurangi kerentanan ini. Untuk informasi selengkapnya, lihat artikel Pencegahan eksfiltrasi data Azure Machine Learning.

  FQDN	Protokol	Port	Catatan
  <region>.tundra.azureml.ms	UDP	5831	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda.
  graph.windows.net	TCP	443	Komunikasi dengan Microsoft Graph API.
  *.instances.azureml.ms	TCP	443/8787/18881	Komunikasi dengan Azure Machine Learning.
  *.<region>.batch.azure.com	ANY	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Komunikasi dengan Azure Batch.
  *.<region>.service.batch.azure.com	ANY	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Komunikasi dengan Azure Batch.
  *.blob.core.windows.net	TCP	443	Komunikasi dengan penyimpanan Azure Blob.
  *.queue.core.windows.net	TCP	443	Komunikasi dengan penyimpanan Azure Queue.
  *.table.core.windows.net	TCP	443	Komunikasi dengan penyimpanan Azure Table.

• Buat firewall dan aturan keluar atau gateway NAT dan grup layanan jaringan untuk mengizinkan lalu lintas keluar. Karena komputasi tidak memiliki alamat IP publik, komputasi tidak dapat berkomunikasi dengan sumber daya di internet publik tanpa konfigurasi ini. Misalnya, tidak akan dapat berkomunikasi dengan MICROSOFT Entra ID atau Azure Resource Manager. Menginstal paket Python dari sumber publik juga akan memerlukan konfigurasi ini.

  Untuk informasi selengkapnya tentang lalu lintas keluar yang digunakan oleh Azure Machine Learning, lihat artikel berikut ini:

  • Mengonfigurasi lalu lintas jaringan masuk dan keluar.
  • Metode konektivitas keluar Azure..

Gunakan informasi berikut untuk membuat instans atau kluster komputasi tanpa alamat IP publik:

Untuk membuat instans komputasi atau kluster komputasi tanpa IP publik, gunakan antarmuka pengguna studio Azure Pembelajaran Mesin untuk membuat sumber daya:

1. Masuk ke studio Azure Pembelajaran Mesin, lalu pilih langganan dan ruang kerja Anda.

2. Pilih halaman Komputasi dari bilah navigasi kiri.

3. Pilih + Baru dari bilah navigasi instans komputasi atau kluster komputasi.

4. Konfigurasikan ukuran dan konfigurasi VM yang Anda butuhkan, lalu pilih Berikutnya.

5. Dari Pengaturan Tingkat Lanjut, Pilih Aktifkan jaringan virtual, jaringan virtual dan subnet Anda, dan akhirnya pilih opsi Tanpa IP Publik di bawah bagian VNet/subnet.

   

Tip

Anda juga dapat menggunakan ekstensi Azure Pembelajaran Mesin SDK v2 atau Azure CLI untuk ML v2. Untuk informasi tentang membuat instans komputasi atau kluster tanpa IP publik, lihat artikel Mengamankan lingkungan pelatihan azure Pembelajaran Mesin versi v2.

Komputasi instans/kluster dengan IP publik

Konfigurasi berikut ini selain yang tercantum di bagian Prasyarat , dan khusus untuk membuat instans/kluster komputasi yang memiliki IP publik:

• Jika Anda menempatkan beberapa instans/kluster komputasi dalam satu jaringan virtual, Anda mungkin perlu meminta peningkatan kuota untuk satu atau beberapa sumber daya Anda. Instans atau kluster komputasi Azure Machine Learning secara otomatis mengalokasikan sumber daya jaringan dalam grup sumber daya yang berisi jaringan virtual. Untuk setiap instans komputasi atau kluster, layanan mengalokasikan sumber daya berikut:

  • Grup keamanan jaringan (NSG) dibuat secara otomatis. NSG ini memungkinkan lalu lintas TCP masuk pada port 44224 dari AzureMachineLearning tag layanan.

    Penting

    Instans komputasi dan kluster komputasi secara otomatis membuat NSG dengan aturan yang diperlukan.

    Jika Anda memiliki NSG lain di level subnet, aturan di NSG level subnet tidak boleh bertentangan dengan aturan di NSG yang dibuat secara otomatis.

    Untuk mempelajari bagaimana NSG memfilter lalu lintas jaringan Anda, lihat Bagaimana grup keamanan jaringan memfilter lalu lintas jaringan.

  • Satu penyeimbang beban

  Untuk kluster komputasi, sumber daya ini dihapus setiap kali kluster diturunkan ke 0 node dan dibuat saat ditingkatkan.

  Untuk instans komputasi, sumber daya ini disimpan hingga instans dihapus. Menghentikan instans tidak menghapus sumber daya.

  Penting

  Sumber daya ini dibatasi oleh kuota sumber daya langganan. Jika grup sumber daya jaringan virtual dikunci, penghapusan kluster/instans komputasi akan gagal. Penyeimbang beban tidak dapat dihapus sampai kluster/instans komputasi dihapus. Pastikan juga tidak ada penetapan Azure Policy yang melarang pembuatan grup keamanan jaringan.

• Di VNet Anda, izinkan lalu lintas TCP masuk pada port 44224 dari AzureMachineLearning tag layanan.

  Penting

  Instans/kluster komputasi secara dinamis diberi alamat IP saat dibuat. Karena alamat tidak diketahui sebelum pembuatan, dan akses masuk diperlukan sebagai bagian dari proses pembuatan, Anda tidak dapat menetapkannya secara statis pada firewall Anda. Sebagai gantinya, jika Anda menggunakan firewall dengan VNet, Anda harus membuat rute yang ditentukan pengguna untuk mengizinkan lalu lintas masuk ini.

• Di VNet Anda, izinkan lalu lintas keluar ke tag layanan berikut:

  Tag layanan	Protokol	Port	Catatan
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Komunikasi dengan Azure Machine Learning service
  BatchNodeManagement.<region>	ANY	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Komunikasi dengan Azure Batch. Instans komputasi dan kluster komputasi diimplementasikan menggunakan layanan Azure Batch.
  Storage.<region>	TCP	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Tag layanan ini digunakan untuk berkomunikasi dengan akun Azure Storage yang digunakan oleh Azure Batch.

  Penting

  Akses keluar ke Storage.<region> berpotensi digunakan untuk menyelundupkan data dari ruang kerja Anda. Dengan menggunakan Kebijakan Titik Akhir Layanan, Anda dapat mengurangi kerentanan ini. Untuk informasi selengkapnya, lihat artikel Pencegahan eksfiltrasi data Azure Machine Learning.

  FQDN	Protokol	Port	Catatan
  <region>.tundra.azureml.ms	UDP	5831	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda.
  graph.windows.net	TCP	443	Komunikasi dengan Microsoft Graph API.
  *.instances.azureml.ms	TCP	443/8787/18881	Komunikasi dengan Azure Machine Learning.
  *.<region>.batch.azure.com	ANY	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Komunikasi dengan Azure Batch.
  *.<region>.service.batch.azure.com	ANY	443	Ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Machine Learning Anda. Komunikasi dengan Azure Batch.
  *.blob.core.windows.net	TCP	443	Komunikasi dengan penyimpanan Azure Blob.
  *.queue.core.windows.net	TCP	443	Komunikasi dengan penyimpanan Azure Queue.
  *.table.core.windows.net	TCP	443	Komunikasi dengan penyimpanan Azure Table.

Hitung intance

BERLAKU UNTUK:SDK Python azureml v1

import datetime
import time

from azureml.core.compute import ComputeTarget, ComputeInstance
from azureml.core.compute_target import ComputeTargetException

# Choose a name for your instance
# Compute instance name should be unique across the azure region
compute_name = "ci{}".format(ws._workspace_id)[:10]

# Verify that instance does not exist already
try:
    instance = ComputeInstance(workspace=ws, name=compute_name)
    print('Found existing instance, use it.')
except ComputeTargetException:
    compute_config = ComputeInstance.provisioning_configuration(
        vm_size='STANDARD_D3_V2',
        ssh_public_access=False,
        vnet_resourcegroup_name='vnet_resourcegroup_name',
        vnet_name='vnet_name',
        subnet_name='subnet_name',
        # admin_user_ssh_public_key='<my-sshkey>'
    )
    instance = ComputeInstance.create(ws, compute_name, compute_config)
    instance.wait_for_completion(show_output=True)

Kluster komputasi

BERLAKU UNTUK:SDK Python azureml v1

from azureml.core.compute import ComputeTarget, AmlCompute
from azureml.core.compute_target import ComputeTargetException

# The Azure virtual network name, subnet, and resource group
vnet_name = 'mynetwork'
subnet_name = 'default'
vnet_resourcegroup_name = 'mygroup'

# Choose a name for your CPU cluster
cpu_cluster_name = "cpucluster"

# Verify that cluster does not exist already
try:
    cpu_cluster = ComputeTarget(workspace=ws, name=cpu_cluster_name)
    print("Found existing cpucluster")
except ComputeTargetException:
    print("Creating new cpucluster")

    # Specify the configuration for the new cluster
    compute_config = AmlCompute.provisioning_configuration(vm_size="STANDARD_D2_V2",
                                                           min_nodes=0,
                                                           max_nodes=4,
                                                           location="westus2",
                                                           vnet_resourcegroup_name=vnet_resourcegroup_name,
                                                           vnet_name=vnet_name,
                                                           subnet_name=subnet_name)

    # Create the cluster with the specified name and configuration
    cpu_cluster = ComputeTarget.create(ws, cpu_cluster_name, compute_config)

    # Wait for the cluster to be completed, show the output log
    cpu_cluster.wait_for_completion(show_output=True)

Setelah proses pembuatan selesai, Anda melatih model Anda. Untuk informasi selengkapnya, lihat Memilih dan menggunakan target komputasi untuk pelatihan.

Azure Databricks

• Jaringan virtual harus berada di langganan dan wilayah yang sama dengan ruang kerja Azure Machine Learning.
• Jika Akun Azure Storage untuk ruang kerja juga diamankan dalam jaringan virtual, mereka harus berada di jaringan virtual yang sama dengan kluster Azure Databricks.
• Selain subnet databricks-private dan databricks-public yang digunakan oleh Azure Databricks, subnet default yang dibuat untuk jaringan virtual juga diperlukan.
• Azure Databricks tidak menggunakan titik akhir privat untuk berkomunikasi dengan jaringan virtual.

Untuk informasi spesifik tentang menggunakan Azure Databricks dengan jaringan virtual, lihat Menyebarkan Azure Databricks di Azure Virtual Network Anda.

Akses internet publik yang diperlukan untuk melatih model

Penting

Meskipun bagian sebelumnya dari artikel ini menjelaskan konfigurasi yang diperlukan untuk membuat sumber daya komputasi, informasi konfigurasi di bagian ini diperlukan untuk menggunakan sumber daya ini untuk melatih model.

Azure Machine Learning membutuhkan akses masuk dan keluar ke internet publik. Tabel berikut ini memberikan gambaran umum tentang akses yang diperlukan dan tujuan apa yang dilayaninya. Untuk tag layanan yang diakhiri dengan .region, ganti region dengan wilayah Azure yang berisi ruang kerja Anda. Misalnya, Storage.westus:

Tip

Tab yang diperlukan mencantumkan konfigurasi masuk dan keluar yang diperlukan. Tab situasian mencantumkan konfigurasi masuk dan keluar opsional yang diperlukan oleh konfigurasi tertentu yang mungkin ingin Anda aktifkan.

Diperlukan

Arah	Protokol & port	Tag layanan	Tujuan
Keluar	TCP: 80, 443	AzureActiveDirectory	Autentikasi menggunakan Microsoft Entra ID..
Keluar	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Menggunakan Azure Machine Learning service. Python intellisense dalam notebook menggunakan port 18881. Membuat, memperbarui, dan menghapus instans komputasi Azure Pembelajaran Mesin menggunakan port 5831.
Keluar	ANY: 443	BatchNodeManagement.region	Komunikasi dengan back-end Azure Batch untuk Azure Pembelajaran Mesin instans/kluster komputasi.
Keluar	TCP: 443	AzureResourceManager	Pembuatan sumber daya Azure dengan Azure Pembelajaran Mesin, Azure CLI, dan Azure Pembelajaran Mesin SDK.
Keluar	TCP: 443	Storage.region	Data akses yang disimpan di Akun Azure Storage untuk kluster komputasi dan instans komputasi. Untuk informasi tentang mencegah penyelundupan data selama keluar ini, lihat Perlindungan penyelundupan data.
Keluar	TCP: 443	AzureFrontDoor.FrontEnd * Tidak diperlukan di Microsoft Azure yang dioperasikan oleh 21Vianet.	Titik masuk global untuk studio Azure Machine Learning. Simpan gambar dan lingkungan untuk AutoML. Untuk informasi tentang mencegah penyelundupan data selama keluar ini, lihat Perlindungan penyelundupan data.
Keluar	TCP: 443	MicrosoftContainerRegistry.region Perhatikan bahwa tag ini memiliki dependensi pada AzureFrontDoor.FirstParty tag	Mengakses gambar docker yang disediakan oleh Microsoft. Menyiapkan {i>router

Situasional

Arah	Protokol & port	Tag layanan	Tujuan
Masuk	TCP: 44224	AzureMachineLearning	Membuat, memperbarui, dan menghapus instans/kluster komputasi Azure Pembelajaran Mesin. Diperlukan jika instans/kluster dikonfigurasi dengan opsi IP Publik.
Keluar	TCP: 8787	AzureMachineLearning	Menggunakan Azure Machine Learning service. Port 8787 diperlukan jika Anda menggunakan RStudio.
Keluar	TCP: 445	Storage.region	Data akses yang disimpan di Akun Azure Storage untuk kluster komputasi dan instans komputasi. Untuk informasi tentang mencegah penyelundupan data selama keluar ini, lihat Perlindungan penyelundupan data. 445 hanya diperlukan jika Anda memiliki firewall antara jaringan virtual Anda untuk Azure ML dan titik akhir privat untuk akun penyimpanan Anda.
Keluar	TCP: 443	AzureMonitor	Digunakan untuk mencatat pemantauan dan metrik ke App Insights dan Azure Monitor. Hanya diperlukan jika Anda belum mengamankan Azure Monitor untuk ruang kerja. * Outbound ini juga digunakan untuk mencatat informasi untuk insiden dukungan.
Keluar	TCP: 443	Keyvault.region	Akses brankas kunci untuk layanan Azure Batch. Hanya diperlukan jika Anda mengaktifkan bendera hbi_workspace saat membuat ruang kerja.

Tip

Jika Anda memerlukan alamat IP alih-alih tag layanan, gunakan salah satu opsi berikut:

• Unduh daftar dari Rentang IP Azure dan Tag Layanan.
• Gunakan perintah Azure CLI az network list-service-tags.
• Gunakan perintah Azure PowerShell Get-AzNetworkServiceTag.

Alamat IP dapat berubah seiring waktu.

Anda mungkin juga perlu mengizinkan lalu lintas keluar ke Visual Studio Code dan situs non-Microsoft untuk pemasangan paket yang diperlukan oleh proyek pembelajaran mesin Anda. Tabel berikut mencantumkan repositori yang umum digunakan untuk pembelajaran mesin:

Nama host	Tujuan
anaconda.com *.anaconda.com	Digunakan untuk menginstal paket default.
*.anaconda.org	Digunakan untuk mendapatkan data repositori.
pypi.org	Digunakan untuk mencantumkan dependensi dari indeks default, jika ada, dan indeks tersebut tidak ditimpa oleh pengaturan pengguna. Jika indeks ditimpa, Anda juga harus mengizinkan *.pythonhosted.org.
cloud.r-project.org	Digunakan saat menginstal paket CRAN untuk pengembangan R.
*.pytorch.org	Digunakan oleh beberapa contoh berdasarkan PyTorch.
*.tensorflow.org	Digunakan oleh beberapa contoh berdasarkan Tensorflow.
code.visualstudio.com	Diperlukan untuk mengunduh dan menginstal desktop Visual Studio Code. Ini tidak diperlukan untuk Visual Studio Code Web.
update.code.visualstudio.com *.vo.msecnd.net	Digunakan untuk mengambil bit server Visual Studio Code yang diinstal pada instans komputasi melalui skrip penyiapan.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Diperlukan untuk mengunduh dan menginstal ekstensi Visual Studio Code. Host ini memungkinkan koneksi jarak jauh ke Instans Komputasi yang disediakan oleh ekstensi Azure ML untuk Visual Studio Code. Untuk mendapatkan informasi lebih lanjut, lihat Menghubungkan ke instans komputasi Azure Machine Learning dalam Visual Studio Code.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	Digunakan untuk mengambil bit server websocket, yang diinstal pada instans komputasi. Server websocket digunakan untuk mengirimkan permintaan dari klien Visual Studio Code (aplikasi desktop) ke server Visual Studio Code yang berjalan pada instans komputasi.

Catatan

Saat menggunakan ekstensi Azure Pembelajaran Mesin VS Code, instans komputasi jarak jauh akan memerlukan akses ke repositori publik untuk menginstal paket yang diperlukan oleh ekstensi. Jika instans komputasi memerlukan proksi untuk mengakses repositori publik ini atau Internet, Anda harus mengatur dan mengekspor HTTP_PROXY variabel lingkungan dan HTTPS_PROXY dalam ~/.bashrc file instans komputasi. Proses ini dapat diotomatisasi pada waktu provisi dengan menggunakan skrip kustom.

Saat menggunakan Azure Kubernetes Service (AKS) dengan Azure Machine Learning, izinkan lalu lintas berikut ke VNet AKS:

• Persyaratan masuk/keluar umum untuk AKS seperti yang dijelaskan dalam artikel Membatasi lalu lintas keluar di Azure Kubernetes Service .
• Keluar ke mcr.microsoft.com.
• Saat menyebarkan model ke kluster AKS, gunakan panduan di artikel Menyebarkan model ML ke Azure Kubernetes Service.

Untuk informasi tentang menggunakan solusi firewall, lihat Menggunakan firewall dengan Azure Machine Learning.

Langkah berikutnya

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:

• Gambaran umum jaringan virtual (v1)
• Mengamankan sumber daya ruang kerja
• Mengamankan lingkungan inferensi (v1)
• Mengaktifkan fungsionalitas studio
• Menggunakan DNS kustom
• Menggunakan firewall