Resources van Azure Machine Learning-werkruimte beveiligen met behulp van virtuele netwerken (VNets)

  • Artikel
  • 7 minuten om te lezen

Beveilig Azure Machine Learning werkruimte-resources en rekenomgevingen met behulp van virtuele netwerken (VNets). In dit artikel wordt een voorbeeldscenario gebruikt om u te laten zien hoe u een volledig virtueel netwerk configureert.

Tip

Dit artikel maakt deel uit van een reeks over het beveiligen van Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks:

Vereisten

In dit artikel wordt ervan uitgenomen dat u bekend bent met de volgende onderwerpen:

Voorbeeldscenario

In deze sectie leert u hoe een veelvoorkomende netwerkscenario wordt ingesteld voor het beveiligen van Azure Machine Learning communicatie met privé-IP-adressen.

In de volgende tabel wordt vergeleken hoe services toegang hebben tot verschillende onderdelen van een Azure Machine Learning netwerk met en zonder een VNet:

Scenario Werkruimte Gekoppelde resources Rekenomgeving trainen Deferencing van de rekenomgeving
Geen virtueel netwerk Openbare IP Openbare IP Openbare IP Openbare IP
Openbare werkruimte, alle andere resources in een virtueel netwerk Openbare IP Openbaar IP-adres (service-eindpunt)
- of -
Privé-IP-adres (privé-eindpunt)		 Privé IP-adres Privé IP-adres
Resources in een virtueel netwerk beveiligen Privé-IP-adres (privé-eindpunt) Openbaar IP-adres (service-eindpunt)
- of -
Privé-IP-adres (privé-eindpunt)		 Privé IP-adres Privé IP-adres
  • Werkruimte: maak een privé-eindpunt voor uw werkruimte. Het privé-eindpunt verbindt de werkruimte met het vnet via verschillende privé-IP-adressen.
    • Openbare toegang: u kunt desgewenst openbare toegang inschakelen voor een beveiligde werkruimte.
  • Gekoppelde resource: gebruik service-eindpunten of privé-eindpunten om verbinding te maken met werkruimteresources zoals Azure Storage, Azure Key Vault. Gebruik voor Azure Container Services een privé-eindpunt.
    • Service-eindpunten bieden de identiteit van uw virtuele netwerk aan de Azure-service. Zodra u service-eindpunten in uw virtuele netwerk hebt ingeschakeld, kunt u een regel voor een virtueel netwerk toevoegen om de Azure-servicebronnen aan uw virtuele netwerk te beveiligen. Service-eindpunten gebruiken openbare IP-adressen.
    • Privé-eindpunten zijn netwerkinterfaces die u veilig verbinden met een powered by Azure Private Link. Privé-eindpunt maakt gebruik van een privé-IP-adres van uw VNet, waardoor de service in uw VNet wordt ingevoerd.
  • Rekentoegang trainen: krijg toegang tot rekendoelen voor training, zoals Azure Machine Learning Compute Instance en Azure Machine Learning Compute-clusters met openbare IP-adressen (preview).
  • Rekentoegang voor deductie: krijg toegang tot AKS-rekenclusters (Azure Kubernetes Services) met privé-IP-adressen.

In de volgende secties ziet u hoe u het netwerkscenario beveiligt dat hierboven wordt beschreven. Als u uw netwerk wilt beveiligen, moet u het volgende doen:

  1. Beveilig de werkruimte en de bijbehorende resources.
  2. Beveilig de trainingsomgeving.
  3. Beveilig de deferencing-omgeving.
  4. Optioneel: schakel studiofunctionaliteit in.
  5. Configureer firewallinstellingen.
  6. Configureer DNS-naamresolutie.

Openbare werkruimte en beveiligde resources

Als u toegang wilt tot de werkruimte via het openbare internet terwijl u alle gekoppelde resources in een virtueel netwerk wilt beveiligen, gebruikt u de volgende stappen:

  1. Maak een virtuele Azure-netwerken die de resources bevat die door de werkruimte worden gebruikt.

  2. Gebruik een van de volgende opties om een openbaar toegankelijke werkruimte te maken:

  3. Voeg de volgende services toe aan het virtuele netwerk met behulp van een service-eindpunt of een privé-eindpunt. Vertrouwde gebruikers ook Microsoft-services toegang tot deze services:

    Service Eindpuntgegevens Vertrouwde gegevens toestaan
    Azure Key Vault Service-eindpunt
    Privé-eindpunt    		 Vertrouwde gebruikers Microsoft-services firewall over te laten
    Azure Storage-account Service- en privé-eindpunt
    Privé-eindpunt    		 Toegang verlenen aan vertrouwde Azure-services
    Azure Container Registry Privé-eindpunt Vertrouwde services toestaan

  4. Voeg in eigenschappen voor de Azure Storage(s) voor uw werkruimte het IP-adres van uw client toe aan de lijst met toegestane adressen in de firewallinstellingen. Zie Firewalls en virtuele netwerken configureren voor meer informatie.

De werkruimte en de bijbehorende resources beveiligen

Gebruik de volgende stappen om uw werkruimte en de bijbehorende resources te beveiligen. Met deze stappen kunnen uw services communiceren in het virtuele netwerk.

  1. Maak een virtuele Azure-netwerken die de werkruimte en andere resources bevatten.

  2. Maak een werkruimte Private Link ingeschakeld om communicatie tussen uw VNet en werkruimte mogelijk te maken.

  3. Voeg de volgende services toe aan het virtuele netwerk met behulp van een service-eindpunt of een privé-eindpunt. Vertrouwde gebruikers ook Microsoft-services toegang tot deze services:

    Service Eindpuntgegevens Vertrouwde gegevens toestaan
    Azure Key Vault Service-eindpunt
    Privé-eindpunt    		 Vertrouwde gebruikers toestaan Microsoft-services firewall te omzeilen
    Azure Storage-account Service- en privé-eindpunt
    Privé-eindpunt    		 Toegang verlenen vanuit Azure-resource-exemplaren
    or
    Toegang verlenen aan vertrouwde Azure-services
    Azure Container Registry Privé-eindpunt Vertrouwde services toestaan

Architectuurdiagram waarin wordt getoond hoe de werkruimte en de bijbehorende resources met elkaar communiceren via service-eindpunten of privé-eindpunten in een VNet

Zie Secure an Azure Machine Learning workspace (Een werkruimte beveiligen) voor gedetailleerde instructies Azure Machine Learning het voltooien van deze stappen.

Beperkingen

Voor het beveiligen van uw werkruimte en de bijbehorende resources binnen een virtueel netwerk gelden de volgende beperkingen:

  • Alle resources moeten zich achter hetzelfde VNet hebben. Subnetten binnen hetzelfde VNet zijn echter toegestaan.

De trainingsomgeving beveiligen

In deze sectie leert u hoe u de trainingsomgeving beveiligt in Azure Machine Learning. U leert ook hoe Azure Machine Learning een trainings job voltooit om te begrijpen hoe de netwerkconfiguraties samenwerken.

Gebruik de volgende stappen om de trainingsomgeving te beveiligen:

  1. Maak een Azure Machine Learning reken-exemplaar en computercluster in het virtuele netwerk om de trainings job uit te voeren.
  2. Sta binnenkomende communicatie toe zodat beheerservices taken naar uw rekenbronnen kunnen verzenden.

Architectuurdiagram waarin wordt getoond hoe u beheerde rekenclusters en exemplaren kunt beveiligen

Zie Een trainingsomgeving beveiligen voor gedetailleerde instructies over het voltooien van deze stappen.

Voorbeeld van het indienen van trainings job

In deze sectie leert u hoe Azure Machine Learning veilig communiceert tussen services om een trainings job te verzenden. Dit laat zien hoe al uw configuraties samenwerken om communicatie te beveiligen.

  1. De client uploadt trainingsscripts en trainingsgegevens naar opslagaccounts die zijn beveiligd met een service- of privé-eindpunt.

  2. De client verstuurt een trainings job naar Azure Machine Learning werkruimte via het privé-eindpunt.

  3. Azure Batch-service ontvangt de taak van de werkruimte. Vervolgens wordt de trainings job naar de rekenomgeving via de openbare load balancer voor de rekenresource.

  4. De rekenresource ontvangt de taak en begint met trainen. De rekenbronnen hebben toegang tot beveiligde opslagaccounts om trainingsbestanden te downloaden en uitvoer te uploaden.

Beperkingen

  • Azure Compute Exemplaar en Azure Compute clusters moeten zich in hetzelfde VNet, dezelfde regio en hetzelfde abonnement als de werkruimte en de bijbehorende resources hebben.

Deductieomgeving beveiligen

In deze sectie leert u welke opties beschikbaar zijn voor het beveiligen van een deferencing-omgeving. U wordt aangeraden AKS-clusters (Azure Kubernetes Services) te gebruiken voor grootschalige productie-implementaties.

U hebt twee opties voor AKS-clusters in een virtueel netwerk:

  • Implementeer of koppel een standaard AKS-cluster aan uw VNet.
  • Koppel een privé-AKS-cluster aan uw VNet.

Standaard AKS-clusters hebben een besturingsvlak met openbare IP-adressen. U kunt een standaard AKS-cluster aan uw VNet toevoegen tijdens de implementatie of een cluster koppelen nadat het is gemaakt.

Privé-AKS-clusters hebben een besturingsvlak, die alleen toegankelijk is via privé-IP's. Privé-AKS-clusters moeten worden gekoppeld nadat het cluster is gemaakt.

Zie Secure an inferencing environment (Een deferencing-omgeving beveiligen)voor gedetailleerde instructies over het toevoegen van standaardclusters en privéclusters.

In het volgende netwerkdiagram ziet u een Azure Machine Learning werkruimte met een privé-AKS-cluster dat is gekoppeld aan het virtuele netwerk.

Architectuurdiagram waarin wordt getoond hoe u een privé-AKS-cluster koppelt aan het virtuele netwerk. Het AKS-besturingsvlak wordt buiten het VNet van de klant geplaatst

Beperkingen

  • De werkruimte moet een privé-eindpunt hebben in hetzelfde VNet als het AKS-cluster. Wanneer u bijvoorbeeld meerdere privé-eindpunten gebruikt met de werkruimte, kan één privé-eindpunt zich in het AKS-VNet en een ander privé-eindpunt in het VNet met afhankelijkheidsservices voor de werkruimte.

Optioneel: Openbare toegang inschakelen

U kunt de werkruimte achter een VNet beveiligen met behulp van een privé-eindpunt en nog steeds toegang via het openbare internet toestaan. De eerste configuratie is hetzelfde als het beveiligen van de werkruimte en de bijbehorende resources.

Nadat u de werkruimte met een privé-eindpunt heeft beveiligen, gebruikt u de volgende stappen om clients in staat te stellen extern te ontwikkelen met behulp van de SDK of Azure Machine Learning Studio:

  1. Openbare toegang tot de werkruimte inschakelen.
  2. Configureer de Azure Storage firewall om communicatie met het IP-adres toe te staan van clients die verbinding maken via het openbare internet.

Optioneel: Studio-functionaliteit inschakelen

De werkruimte beveiligen > De trainingsomgeving beveiligen > De deferencingomgeving beveiligen > Studio-functionaliteit inschakelen > Firewallinstellingen configureren

Als uw opslag zich in een VNet, moet u extra configuratiestappen gebruiken om volledige functionaliteit in Studio in te schakelen. De volgende functies zijn standaard uitgeschakeld:

  • Bekijk een voorbeeld van gegevens in de studio.
  • Gegevens visualiseren in de ontwerpfunctie.
  • Implementeer een model in de ontwerpfunctie.
  • Een AutoML-experiment verzenden.
  • Start een labelproject.

Zie Use Azure Machine Learning studio in a virtual network (Studio Azure Machine Learning gebruiken in een virtueel netwerk) om de volledige studiofunctionaliteit in te schakelen.

Beperkingen

ML ondersteunde gegevenslabels bieden geen ondersteuning voor een standaardopslagaccount achter een virtueel netwerk. Gebruik in plaats daarvan een ander opslagaccount dan de standaardinstelling voor ML voor het labelen van ondersteunde gegevens.

Tip

Zolang dit niet het standaardopslagaccount is, kan het account dat wordt gebruikt door gegevenslabels, worden beveiligd achter het virtuele netwerk.

Firewallinstellingen configureren

Configureer uw firewall om verkeer tussen uw Azure Machine Learning werkruimtebronnen en het openbare internet te beheren. Hoewel we u Azure Firewall, kunt u andere firewallproducten gebruiken.

Zie Werkruimte achter een firewall gebruiken voor meer informatie over firewallinstellingen.

Aangepaste DNS

Als u een aangepaste DNS-oplossing voor uw virtuele netwerk wilt gebruiken, moet u hostrecords toevoegen voor uw werkruimte.

Zie Een werkruimte gebruiken met een aangepaste DNS-server voor meer informatie over de vereiste domeinnamen en IP-adressen.

Volgende stappen

Dit artikel maakt deel uit van een reeks over het beveiligen van Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks: