Een Azure Machine Learning-trainingsomgeving beveiligen met virtuele netwerken

In dit artikel leert u hoe u trainingsomgevingen kunt beveiligen met een virtueel netwerk in Azure Machine Learning.

In dit artikel leert u hoe u de volgende trainingsresources kunt beveiligen in een virtueel netwerk:

  • Azure Machine Learning-rekenclusters
  • Azure Machine Learning-rekeninstantie
  • Azure Databricks
  • Virtuele machine
  • HDInsight-cluster

Vereisten

  • Lees het overzichtsartikel over netwerkbeveiliging voor meer informatie over algemene scenario's voor virtuele netwerken en de algemene architectuur van het virtuele netwerk.

  • Een bestaand virtueel netwerk en subnet dat u met uw rekenresources kunt gebruiken.

  • Als u resources wilt implementeren in een virtueel netwerk of subnet, moet uw gebruikersaccount machtigingen hebben voor de volgende acties in op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):

    • 'Microsoft.Network/virtualNetworks/*/read' in de resource van het virtuele netwerk. Deze machtiging is niet nodig voor arm-sjabloonimplementaties (Azure Resource Manager).
    • 'Microsoft.Network/virtualNetworks/subnet/join/action' in de subnetresource.

    Zie de ingebouwde netwerkrollen voor meer informatie over Azure RBAC met netwerken

Azure Machine Learning rekencluster/exemplaar

  • Rekenclusters en exemplaren maken de volgende resources. Als ze deze resources niet kunnen maken (bijvoorbeeld als er een resourcevergrendeling is voor de resourcegroep), kan het maken, uitschalen of inschalen mislukken.

    • IP-adres.
    • Netwerkbeveiligingsgroep (NSG).
    • Load balancer.
  • Het virtuele netwerk moet zich in hetzelfde abonnement bevinden als de Azure Machine Learning werkruimte.

  • Het subnet dat wordt gebruikt voor het rekenproces of cluster, moet voldoende niet-toegewezen IP-adressen hebben.

    • Een rekencluster kan dynamisch worden geschaald. Als er onvoldoende niet-toegewezen IP-adressen zijn, wordt het cluster gedeeltelijk toegewezen.
    • Voor een rekenproces is slechts één IP-adres vereist.
  • Als u een rekencluster of exemplaar wilt maken zonder een openbaar IP-adres (een preview-functie), moet uw werkruimte een privé-eindpunt gebruiken om verbinding te maken met het VNet. Zie Een privé-eindpunt configureren voor Azure Machine Learning werkruimte voor meer informatie.

  • Als u van plan bent om het virtuele netwerk te beveiligen door verkeer te beperken, raadpleegt u de sectie Vereiste openbare internettoegang .

  • Het subnet dat wordt gebruikt om rekencluster/exemplaar te implementeren, mag niet worden gedelegeerd aan een andere service. Het mag bijvoorbeeld niet worden gedelegeerd aan ACI.

Azure Databricks

  • Het virtuele netwerk moet zich in hetzelfde abonnement en dezelfde regio bevinden als de Azure Machine Learning werkruimte.
  • Als de Azure Storage Account(s) voor de werkruimte ook zijn beveiligd in een virtueel netwerk, moeten ze zich in hetzelfde virtuele netwerk bevinden als het Azure Databricks-cluster.

Beperkingen

Azure Machine Learning rekencluster/exemplaar

  • Als u meerdere rekeninstanties of clusters in één virtueel netwerk plaatst, moet u mogelijk een quotumverhoging aanvragen voor een of meer van uw resources. Het Machine Learning rekenproces of -cluster wijst automatisch netwerkresources toe in de resourcegroep die het virtuele netwerk bevat. Voor elk rekenproces of elk cluster wijst de service de volgende resources toe:

    • Eén netwerkbeveiligingsgroep (NSG). Deze NSG bevat de volgende regels, die specifiek zijn voor het rekencluster en het rekenproces:

      • Binnenkomend TCP-verkeer toestaan op poorten 29876-29877 vanaf de BatchNodeManagement servicetag.
      • Binnenkomend TCP-verkeer toestaan op poort 44224 vanuit de AzureMachineLearning servicetag.

      In de volgende schermopname ziet u een voorbeeld van deze regels:

      Screenshot of NSG

      Tip

      Als uw rekencluster of exemplaar geen openbaar IP-adres (een preview-functie) gebruikt, zijn deze inkomende NSG-regels niet vereist.

    • Voor rekencluster of exemplaar is het nu mogelijk om het openbare IP-adres (een preview-functie) te verwijderen. Als u Azure Policy toewijzingen het maken van openbaar IP-adres verbiedt, slaagt de implementatie van het rekencluster of exemplaar.

    • Eén load balancer

    Voor rekenclusters worden deze resources telkens verwijderd wanneer het cluster omlaag wordt geschaald naar 0 knooppunten en wordt gemaakt bij het omhoog schalen.

    Voor een reken-exemplaar worden deze resources bewaard totdat het exemplaar wordt verwijderd. Als u het exemplaar stopt, worden de resources niet verwijderd.

    Belangrijk

    De beperkingen die voor deze resources gelden, worden bepaald door de resourcequota van het abonnement. Als de resourcegroep van het virtuele netwerk is vergrendeld, mislukt het verwijderen van het rekencluster/exemplaar. Load balancer kan pas worden verwijderd als het rekencluster/exemplaar is verwijderd. Zorg er ook voor dat er geen Azure Policy toewijzing is die het maken van netwerkbeveiligingsgroepen verbiedt.

  • Als u een rekenproces maakt en de configuratie van het openbare IP-adres niet wilt gebruiken, moet de beheerde identiteit van uw Azure Machine Learning werkruimte de rol Lezer hebben voor het virtuele netwerk dat de werkruimte bevat. Zie Stappen voor het toewijzen van een Azure-rol voor meer informatie over het toewijzen van rollen.

  • Als u Azure Container Registry hebt geconfigureerd voor uw werkruimte achter het virtuele netwerk, moet u een rekencluster gebruiken om Docker-installatiekopieën te bouwen. U kunt geen rekencluster gebruiken zonder de configuratie van het openbare IP-adres. Zie Azure Container Registry inschakelen voor meer informatie.

  • Als de Azure Storage Accounts voor de werkruimte zich ook in het virtuele netwerk bevinden, gebruikt u de volgende richtlijnen voor subnetbeperkingen:

    • Als u van plan bent om Azure Machine Learning studio te gebruiken om gegevens te visualiseren of designer te gebruiken, moet het opslagaccount zich in hetzelfde subnet bevinden als het rekenproces of cluster.
    • Als u van plan bent om de SDK te gebruiken, kan het opslagaccount zich in een ander subnet bevinden.

    Notitie

    Het toevoegen van een resource-exemplaar voor uw werkruimte of het selectievakje 'Vertrouwde Microsoft-services toegang tot dit account toestaan' is niet voldoende om communicatie vanuit de berekening toe te staan.

  • Wanneer uw werkruimte een privé-eindpunt gebruikt, kan het rekenproces alleen worden geopend vanuit het virtuele netwerk. Als u een aangepast DNS- of hostsbestand gebruikt, voegt u een vermelding toe voor <instance-name>.<region>.instances.azureml.ms. Wijs deze vermelding toe aan het privé-IP-adres van het privé-eindpunt van de werkruimte. Zie het aangepaste DNS-artikel voor meer informatie.

  • Beleid voor service-eindpunten voor virtuele netwerken werkt niet voor opslagaccounts voor rekenclusters/exemplaren van het systeem.

  • Als de opslag- en rekeninstantie zich in verschillende regio's bevinden, ziet u mogelijk onregelmatige time-outs.

  • Als de Azure Container Registry voor uw werkruimte een privé-eindpunt gebruikt om verbinding te maken met het virtuele netwerk, kunt u geen beheerde identiteit gebruiken voor het rekenproces. Als u een beheerde identiteit wilt gebruiken met het rekenproces, plaatst u het containerregister niet in het VNet.

  • Als u Jupyter Notebooks wilt gebruiken in een rekenproces:

    • Schakel websocket-communicatie niet uit. Zorg ervoor dat uw netwerk websocket-communicatie toestaat en *.instances.azureml.net*.instances.azureml.ms.
    • Zorg ervoor dat uw notebook wordt uitgevoerd op een rekenresource achter hetzelfde virtuele netwerk en subnet als uw gegevens. Wanneer u het rekenproces maakt, gebruikt u advanced settingsConfigure>virtual network om het netwerk en subnet te selecteren.
  • Rekenclusters kunnen worden gemaakt in een andere regio dan uw werkruimte. Deze functionaliteit is in preview en is alleen beschikbaar voor rekenclusters, niet voor rekeninstanties. Wanneer u een andere regio voor het cluster gebruikt, gelden de volgende beperkingen:

    • Als uw werkruimte-gekoppelde resources, zoals opslag, zich in een ander virtueel netwerk bevinden dan het cluster, stelt u globale peering voor virtuele netwerken tussen de netwerken in. Zie Peering voor virtuele netwerken voor meer informatie.
    • Mogelijk ziet u verhoogde netwerklatentie en kosten voor gegevensoverdracht. De latentie en kosten kunnen optreden bij het maken van het cluster en bij het uitvoeren van taken erop.

    Richtlijnen zoals het gebruik van NSG-regels, door de gebruiker gedefinieerde routes en invoer-/uitvoervereisten, gelden als normaal wanneer u een andere regio gebruikt dan de werkruimte.

    Waarschuwing

    Als u een werkruimte met een privé-eindpunt gebruikt, wordt het maken van het cluster in een andere regio niet ondersteund.

Azure Databricks

  • Naast de databricks-privé - en databricks-openbare subnetten die worden gebruikt door Azure Databricks, is ook het standaardsubnet vereist dat voor het virtuele netwerk is gemaakt.
  • Azure Databricks gebruikt geen privé-eindpunt om te communiceren met het virtuele netwerk.

Zie Azure Databricks implementeren in uw Azure-Virtual Network voor meer informatie over het gebruik van Azure Databricks in een virtueel netwerk.

Azure HDInsight of virtuele machine

  • Azure Machine Learning ondersteunt alleen virtuele machines waarop Ubuntu wordt uitgevoerd.

Vereiste openbare internettoegang

Azure Machine Learning vereist zowel binnenkomende als uitgaande toegang tot het openbare internet. De volgende tabellen bieden een overzicht van de toegang die nodig is en waarvoor deze is bedoeld. Het protocol voor alle items is TCP. Voor servicetags die eindigen .region, vervangt u region door de Azure-regio die uw werkruimte bevat. Bijvoorbeeld Storage.westus:

Richting Poorten Servicetag Doel
Inkomend 29876-29877 BatchNodeManagement Maken, bijwerken en verwijderen van Azure Machine Learning rekenproces en rekencluster.
Inkomend 44224 AzureMachineLearning Het maken, bijwerken en verwijderen van Azure Machine Learning rekenproces.
Uitgaand 443 AzureMonitor Wordt gebruikt om bewaking en metrische gegevens te registreren bij App Insights en Azure Monitor.
Uitgaand 80, 443 AzureActiveDirectory Verificatie met behulp van Azure AD.
Uitgaand 443 AzureMachineLearning Gebruik Azure Machine Learning services.
Uitgaand 443 AzureResourceManager Het maken van Azure-resources met Azure Machine Learning.
Uitgaand 443 Storage.region Toegang tot gegevens die zijn opgeslagen in het Azure Storage-account voor de Azure Batch-service.
Uitgaand 443 AzureFrontDoor.FrontEnd
* Niet nodig in Azure China.
Globaal toegangspunt voor Azure Machine Learning-studio.
Uitgaand 443 ContainerRegistry.region Toegang tot docker-installatiekopieën van Microsoft.
Uitgaand 443 MicrosoftContainerRegistry.region Toegang tot docker-installatiekopieën van Microsoft. Installatie van de Azure Machine Learning router voor Azure Kubernetes Service.
Uitgaand 443 Keyvault.region Toegang tot de sleutelkluis voor de Azure Batch-service. Alleen nodig als uw werkruimte is gemaakt met de vlag hbi_workspace ingeschakeld.

Tip

Als u de IP-adressen nodig hebt in plaats van servicetags, gebruikt u een van de volgende opties:

De IP-adressen kunnen periodiek worden gewijzigd.

Mogelijk moet u ook uitgaand verkeer naar Visual Studio Code- en niet-Microsoft-sites toestaan voor de installatie van pakketten die vereist zijn voor uw Machine Learning-project. De volgende tabel bevat veelgebruikte opslagplaatsen voor machine learning:

Hostnaam Doel

anaconda.com *.anaconda.com
Wordt gebruikt om standaardpakketten te installeren.
*.anaconda.org Wordt gebruikt om opslagplaatsgegevens op te halen.
pypi.org Wordt gebruikt om afhankelijkheden van de standaardindex weer te geven, indien aanwezig en de index wordt niet overschreven door gebruikersinstellingen. Als de index wordt overschreven, moet u ook *.pythonhosted.org toestaan.
cloud.r-project.org Wordt gebruikt bij het installeren van CRAN-pakketten voor R-ontwikkeling.
*pytorch.org Wordt gebruikt door enkele voorbeelden op basis van PyTorch.
*.tensorflow.org Wordt gebruikt door enkele voorbeelden op basis van Tensorflow.


update.code.visualstudio.com *.vo.msecnd.net
Wordt gebruikt om VS Code-serverbits op te halen, die zijn geïnstalleerd op het rekenproces via een installatiescript.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* Wordt gebruikt voor het ophalen van websocket-server-bits, die zijn geïnstalleerd op het rekenproces. De websocket-server wordt gebruikt voor het verzenden van aanvragen van Visual Studio Code-client (bureaubladtoepassing) naar Visual Studio Code-server die wordt uitgevoerd op het rekenproces.

Wanneer u Azure Kubernetes Service (AKS) met Azure Machine Learning gebruikt, staat u het volgende verkeer naar het AKS-VNet toe:

Zie Een firewall gebruiken met Azure Machine Learning voor meer informatie over het gebruik van een firewalloplossing.

Rekenclusters

Gebruik de onderstaande tabbladen om te selecteren hoe u een rekencluster wilt maken:

Gebruik de volgende stappen om een rekencluster te maken in de Azure Machine Learning-studio:

  1. Meld u aan bij Azure Machine Learning-studio en selecteer vervolgens uw abonnement en werkruimte.

  2. Selecteer Compute aan de linkerkant, Rekenclusters in het midden en selecteer vervolgens + Nieuw.

    Screenshot of creating a cluster

  3. Selecteer in het dialoogvenster Rekencluster maken de VM-grootte en configuratie die u nodig hebt en selecteer vervolgens Volgende.

    Screenshot of setting VM config

  4. Stel in het gedeelte Instellingen configureren de naam van de rekenkracht, het virtuele netwerk en het subnet in.

    Screenshot shows setting compute name, virtual network, and subnet.

    Tip

    Als uw werkruimte een privé-eindpunt gebruikt om verbinding te maken met het virtuele netwerk, wordt het selectieveld van het virtuele netwerk grijs weergegeven.

  5. Selecteer Maken om het rekencluster te maken.

Wanneer het aanmaakproces is voltooid, traint u uw model met behulp van het cluster in een experiment. Zie Een rekendoel selecteren en gebruiken voor training voor meer informatie.

Notitie

U kunt ervoor kiezen VM's met een lage prioriteit te gebruiken om enkele of alle workloads uit te voeren. Zie hoe u een virtuele machine met lage prioriteit kunt maken.

Geen openbaar IP-adres voor rekenclusters (preview)

Wanneer u geen openbaar IP-adres inschakelt, gebruikt uw rekencluster geen openbaar IP-adres voor communicatie met afhankelijkheden. In plaats daarvan communiceert het alleen binnen het virtuele netwerk met behulp van Azure Private Link ecosysteem en service-/privé-eindpunten, waardoor er geen openbaar IP-adres meer nodig is. Geen openbaar IP verwijdert de toegang en detectie van rekenclusterknooppunten van internet, waardoor een belangrijke bedreigingsvector wordt geëlimineerd. Geen openbare IP-clusters helpen te voldoen aan geen openbaar IP-beleid dat veel ondernemingen hebben.

Waarschuwing

Standaard hebt u geen openbare internettoegang vanuit geen openbaar IP-rekencluster. U moet door de gebruiker gedefinieerde routering (UDR) configureren om toegang te krijgen tot een openbaar IP-adres voor toegang tot internet. U kunt bijvoorbeeld een openbaar IP-adres van uw firewall gebruiken of u kunt Virtual Network NAT gebruiken met een openbaar IP-adres.

Een rekencluster waarvoor geen openbaar IP-adres is ingeschakeld, heeft geen inkomende communicatievereisten van openbaar internet. Dat betekent specifiek dat geen van de inkomende NSG-regels (BatchNodeManagement, AzureMachineLearning) is vereist. U moet nog steeds inkomende gegevens toestaan vanaf de bron van VirtualNetwork en van elke poortbron naar het doel van VirtualNetwork en de doelpoort 29876, 29877.

Er zijn geen openbare IP-clusters afhankelijk van Azure Private Link voor Azure Machine Learning werkruimte. Voor een rekencluster zonder openbaar IP-adres moet u ook netwerkbeleid voor privé-eindpunten en private link-servicenetwerkbeleid uitschakelen. Deze vereisten zijn afkomstig van de Azure Private Link-service en privé-eindpunten en zijn niet Azure Machine Learning specifiek. Volg de instructie van Netwerkbeleid uitschakelen voor Private Link-service om de parameters disable-private-endpoint-network-policies en disable-private-link-service-network-policies op het subnet van het virtuele netwerk in te stellen.

Om uitgaande verbindingen te laten werken, moet u een uitgaande firewall zoals Azure Firewall instellen met door de gebruiker gedefinieerde routes. U kunt bijvoorbeeld een firewall gebruiken die is ingesteld met inkomende/uitgaande configuratie en verkeer daar routeren door een routetabel te definiëren in het subnet waarin het rekencluster wordt geïmplementeerd. De routetabelvermelding kan de volgende hop van het privé-IP-adres van de firewall instellen met het adresvoorvoegsel 0.0.0.0/0.

U kunt een service-eindpunt of privé-eindpunt gebruiken voor uw Azure-containerregister en Azure-opslag in het subnet waarin het cluster wordt geïmplementeerd.

Als u een rekencluster voor openbare IP-adressen (een preview-functie) in studio wilt maken, stelt u geen openbaar IP-selectievakje in in de sectie virtueel netwerk. U kunt ook geen openbaar IP-rekencluster maken via een ARM-sjabloon. Schakel in de ARM-sjabloonset enableNodePublicIP-parameter in op false.

Notitie

Ondersteuning voor rekeninstanties zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, VS - oost 2, Europa - noord, Europa - west, VS - centraal, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.

Ondersteuning voor rekenclusters zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, EUROPA - oost 2, VS - centraal, Europa - west, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.

Problemen oplossen

  • Als u dit foutbericht krijgt tijdens het maken van het clusterThe specified subnet has PrivateLinkServiceNetworkPolicies or PrivateEndpointNetworkEndpoints enabled, volgt u de instructies in Netwerkbeleid uitschakelen voor Private Link-service en Netwerkbeleid uitschakelen voor privé-eindpunt.

  • Als taakuitvoering mislukt met verbindingsproblemen met ACR of Azure Storage, controleert u of de klant ACR en Azure Storage service-eindpunten/privé-eindpunten heeft toegevoegd aan het subnet en ACR/Azure Storage de toegang vanaf het subnet toestaat.

  • Om ervoor te zorgen dat u geen openbaar IP-cluster hebt gemaakt, ziet u in Studio wanneer u naar clusterdetails kijkt, de eigenschap Geen openbaar IP-adres is ingesteld op waar onder resource-eigenschappen.

Rekenproces

Zie Een Azure Machine Learning rekenproces maken en beheren voor stappen voor het maken van een rekenproces dat is geïmplementeerd in een virtueel netwerk.

Geen openbaar IP-adres voor rekeninstanties (preview)

Wanneer u Geen openbaar IP-adres inschakelt, gebruikt uw rekenproces geen openbaar IP-adres voor communicatie met afhankelijkheden. In plaats daarvan communiceert het alleen binnen het virtuele netwerk met behulp van Azure Private Link ecosysteem en service-/privé-eindpunten, waardoor er geen openbaar IP-adres meer nodig is. Geen openbaar IP-adres verwijdert de toegang en de detectie van het rekenexemplarenknooppunt van internet, waardoor een belangrijke bedreigingsvector wordt geëlimineerd. Rekeninstanties voeren ook pakketfiltering uit om verkeer van buiten het virtuele netwerk te weigeren. Er zijn geen openbare IP-exemplaren afhankelijk van Azure Private Link voor Azure Machine Learning werkruimte.

Waarschuwing

Standaard hebt u geen openbare internettoegang vanaf geen openbaar IP-rekenproces. U moet door de gebruiker gedefinieerde routering (UDR) configureren om toegang te krijgen tot een openbaar IP-adres voor toegang tot internet. U kunt bijvoorbeeld een openbaar IP-adres van uw firewall gebruiken of u kunt Virtual Network NAT gebruiken met een openbaar IP-adres.

Om uitgaande verbindingen te laten werken, moet u een uitgaande firewall zoals Azure Firewall instellen met door de gebruiker gedefinieerde routes. U kunt bijvoorbeeld een firewall gebruiken die is ingesteld met inkomende/uitgaande configuratie en verkeer daar routeren door een routetabel te definiëren in het subnet waarin het rekenproces wordt geïmplementeerd. De routetabelvermelding kan de volgende hop van het privé-IP-adres van de firewall instellen met het adresvoorvoegsel 0.0.0.0/0.

Een rekenproces waarvoor geen openbaar IP-adres is ingeschakeld, heeft geen binnenkomende communicatievereisten van openbaar internet. Dat betekent specifiek dat geen van de inkomende NSG-regels (BatchNodeManagement, AzureMachineLearning) is vereist. U moet nog steeds inkomend verkeer toestaan vanaf de bron van VirtualNetwork, elke poortbron, bestemming van VirtualNetwork en doelpoort van 29876, 29877, 44224.

Voor een rekenproces zonder openbaar IP-adres moet u ook netwerkbeleid voor privé-eindpunten en private link-servicenetwerkbeleid uitschakelen. Deze vereisten zijn afkomstig van de Azure Private Link-service en privé-eindpunten en zijn niet Azure Machine Learning specifiek. Volg de instructie van Netwerkbeleid uitschakelen voor Private Link servicebron-IP om de parameters disable-private-endpoint-network-policies en disable-private-link-service-network-policies het subnet van het virtuele netwerk in te stellen.

Als u een rekenproces voor openbare IP-adressen (een preview-functie) wilt maken in Studio, schakelt u geen openbaar IP-selectievakje in in de sectie virtueel netwerk. U kunt ook geen openbaar IP-rekenproces maken via een ARM-sjabloon. Schakel in de ARM-sjabloonset enableNodePublicIP-parameter in op false.

Volgende stappen:

Notitie

Ondersteuning voor rekeninstanties zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, VS - oost 2, Europa - noord, Europa - west, VS - centraal, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.

Ondersteuning voor rekenclusters zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, EUROPA - oost 2, VS - centraal, Europa - west, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.

Binnenkomend verkeer

Wanneer u Azure Machine Learning rekenproces (met een openbaar IP-adres) of rekencluster gebruikt, staat u inkomend verkeer van Azure Batch beheer- en Azure Machine Learning-services toe. Voor het rekenproces zonder openbaar IP-adres (preview) is deze binnenkomende communicatie niet vereist. Een netwerkbeveiligingsgroep die dit verkeer toestaat, wordt dynamisch voor u gemaakt, maar mogelijk moet u ook door de gebruiker gedefinieerde routes (UDR) maken als u een firewall hebt. Wanneer u een UDR voor dit verkeer maakt, kunt u IP-adressen of servicetags gebruiken om het verkeer te routeren.

Belangrijk

Het gebruik van servicetags met door de gebruiker gedefinieerde routes is nu algemeen beschikbaar. Zie Virtual Network routering voor meer informatie.

Tip

Hoewel een rekenproces zonder een openbaar IP-adres (preview-functie) geen UDR nodig heeft voor dit binnenkomende verkeer, hebt u deze UDR's nog steeds nodig als u ook een rekencluster of een rekenproces met een openbaar IP-adres gebruikt.

Voor de Azure Machine Learning-service moet u het IP-adres van zowel de primaire als de secundaire regio's toevoegen. Zie de replicatie tussen regio's in Azure om de secundaire regio te vinden. Als uw Azure Machine Learning service zich bijvoorbeeld in VS - oost 2 bevindt, is de secundaire regio VS - centraal.

Als u een lijst met IP-adressen van de Batch-service en Azure Machine Learning-service wilt ophalen, downloadt u de Azure IP-bereiken en servicetags en zoekt u het bestand naar BatchNodeManagement.<region> enAzureMachineLearning.<region>, waar <region> is uw Azure-regio.

Belangrijk

De IP-adressen kunnen na verloop van tijd veranderen.

Wanneer u de UDR maakt, stelt u het hoptype Volgende in op Internet. Dit betekent dat de inkomende communicatie van Azure uw firewall overslaat voor toegang tot de load balancers met openbare IP-adressen van rekeninstanties en rekencluster. UDR is vereist omdat rekenproces en rekencluster willekeurige openbare IP-adressen krijgen bij het maken. U kunt de openbare IP-adressen niet kennen voordat u ze op uw firewall registreert, zodat het inkomend verkeer van Azure naar specifieke IP-adressen voor rekeninstanties en rekenclusters kan worden toegestaan. In de volgende afbeelding ziet u een voorbeeld van een op IP-adres gebaseerde UDR in de Azure Portal:

Image of a user-defined route configuration

Zie Netwerkverkeer routeren met een routeringstabel voor meer informatie over het configureren van UDR.

Zie Een werkruimte achter een firewall gebruiken voor meer informatie over vereisten voor invoer- en uitvoerverkeer voor Azure Machine Learning.

Azure Databricks

Zie Azure Databricks implementeren in uw Azure Virtual Network voor specifieke informatie over het gebruik van Azure Databricks met een virtueel netwerk.

Virtuele machine of HDInsight-cluster

In deze sectie leert u hoe u een virtuele machine of Een Azure HDInsight-cluster gebruikt in een virtueel netwerk met uw werkruimte.

Het VM- of HDInsight-cluster maken

Maak een VIRTUELE machine of HDInsight-cluster met behulp van de Azure Portal of de Azure CLI en plaats het cluster in een virtueel Azure-netwerk. Raadpleeg voor meer informatie de volgende artikelen:

Netwerkpoorten configureren

Sta Azure Machine Learning toe om te communiceren met de SSH-poort op de VM of het cluster. Configureer een bronvermelding voor de netwerkbeveiligingsgroep. De SSH-poort is meestal poort 22. Voer de volgende acties uit om verkeer van deze bron toe te staan:

  1. Selecteer servicetag in de vervolgkeuzelijst Bron.

  2. Selecteer AzureMachineLearning in de vervolgkeuzelijst Bronservicetag.

    Inbound rules for doing experimentation on a VM or HDInsight cluster within a virtual network

  3. Selecteer in de vervolgkeuzelijst Bronpoortbereiken de optie *.

  4. Selecteer Een in de vervolgkeuzelijst Bestemming.

  5. Selecteer 22 in de vervolgkeuzelijst Doelpoortbereiken.

  6. Selecteer Alle onder Protocol.

  7. Selecteer Onder Actiede optie Toestaan.

Behoud de standaardregels voor uitgaand verkeer voor de netwerkbeveiligingsgroep. Zie de standaardbeveiligingsregels in beveiligingsgroepen voor meer informatie.

Als u de standaardregels voor uitgaand verkeer niet wilt gebruiken en u de uitgaande toegang van uw virtuele netwerk wilt beperken, raadpleegt u de vereiste sectie openbare internettoegang .

De VM of het HDInsight-cluster koppelen

Koppel het VM- of HDInsight-cluster aan uw Azure Machine Learning werkruimte. Zie Rekendoelen instellen voor modeltraining voor meer informatie.

Volgende stappen

Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks: