Een Azure Machine Learning-trainingsomgeving beveiligen met virtuele netwerken
In dit artikel leert u hoe u trainingsomgevingen kunt beveiligen met een virtueel netwerk in Azure Machine Learning.
Tip
Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks:
- Overzicht van virtueel netwerk
- De werkruimtebronnen beveiligen
- De deductieomgeving beveiligen
- Studio-functionaliteit inschakelen
- Aangepaste DNS gebruiken
- Een firewall gebruiken
Zie Zelfstudie: Een beveiligde werkruimte of zelfstudie maken: Een beveiligde werkruimte maken met behulp van een sjabloon voor een zelfstudie over het maken van een beveiligde werkruimte.
In dit artikel leert u hoe u de volgende trainingsresources kunt beveiligen in een virtueel netwerk:
- Azure Machine Learning-rekenclusters
- Azure Machine Learning-rekeninstantie
- Azure Databricks
- Virtuele machine
- HDInsight-cluster
Vereisten
Lees het overzichtsartikel over netwerkbeveiliging voor meer informatie over algemene scenario's voor virtuele netwerken en de algemene architectuur van het virtuele netwerk.
Een bestaand virtueel netwerk en subnet dat u met uw rekenresources kunt gebruiken.
Als u resources wilt implementeren in een virtueel netwerk of subnet, moet uw gebruikersaccount machtigingen hebben voor de volgende acties in op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):
- 'Microsoft.Network/virtualNetworks/*/read' in de resource van het virtuele netwerk. Deze machtiging is niet nodig voor arm-sjabloonimplementaties (Azure Resource Manager).
- 'Microsoft.Network/virtualNetworks/subnet/join/action' in de subnetresource.
Zie de ingebouwde netwerkrollen voor meer informatie over Azure RBAC met netwerken
Azure Machine Learning rekencluster/exemplaar
Rekenclusters en exemplaren maken de volgende resources. Als ze deze resources niet kunnen maken (bijvoorbeeld als er een resourcevergrendeling is voor de resourcegroep), kan het maken, uitschalen of inschalen mislukken.
- IP-adres.
- Netwerkbeveiligingsgroep (NSG).
- Load balancer.
Het virtuele netwerk moet zich in hetzelfde abonnement bevinden als de Azure Machine Learning werkruimte.
Het subnet dat wordt gebruikt voor het rekenproces of cluster, moet voldoende niet-toegewezen IP-adressen hebben.
- Een rekencluster kan dynamisch worden geschaald. Als er onvoldoende niet-toegewezen IP-adressen zijn, wordt het cluster gedeeltelijk toegewezen.
- Voor een rekenproces is slechts één IP-adres vereist.
Als u een rekencluster of exemplaar wilt maken zonder een openbaar IP-adres (een preview-functie), moet uw werkruimte een privé-eindpunt gebruiken om verbinding te maken met het VNet. Zie Een privé-eindpunt configureren voor Azure Machine Learning werkruimte voor meer informatie.
Als u van plan bent om het virtuele netwerk te beveiligen door verkeer te beperken, raadpleegt u de sectie Vereiste openbare internettoegang .
Het subnet dat wordt gebruikt om rekencluster/exemplaar te implementeren, mag niet worden gedelegeerd aan een andere service. Het mag bijvoorbeeld niet worden gedelegeerd aan ACI.
Azure Databricks
- Het virtuele netwerk moet zich in hetzelfde abonnement en dezelfde regio bevinden als de Azure Machine Learning werkruimte.
- Als de Azure Storage Account(s) voor de werkruimte ook zijn beveiligd in een virtueel netwerk, moeten ze zich in hetzelfde virtuele netwerk bevinden als het Azure Databricks-cluster.
Beperkingen
Azure Machine Learning rekencluster/exemplaar
Als u meerdere rekeninstanties of clusters in één virtueel netwerk plaatst, moet u mogelijk een quotumverhoging aanvragen voor een of meer van uw resources. Het Machine Learning rekenproces of -cluster wijst automatisch netwerkresources toe in de resourcegroep die het virtuele netwerk bevat. Voor elk rekenproces of elk cluster wijst de service de volgende resources toe:
Eén netwerkbeveiligingsgroep (NSG). Deze NSG bevat de volgende regels, die specifiek zijn voor het rekencluster en het rekenproces:
- Binnenkomend TCP-verkeer toestaan op poorten 29876-29877 vanaf de
BatchNodeManagement
servicetag. - Binnenkomend TCP-verkeer toestaan op poort 44224 vanuit de
AzureMachineLearning
servicetag.
In de volgende schermopname ziet u een voorbeeld van deze regels:
Tip
Als uw rekencluster of exemplaar geen openbaar IP-adres (een preview-functie) gebruikt, zijn deze inkomende NSG-regels niet vereist.
- Binnenkomend TCP-verkeer toestaan op poorten 29876-29877 vanaf de
Voor rekencluster of exemplaar is het nu mogelijk om het openbare IP-adres (een preview-functie) te verwijderen. Als u Azure Policy toewijzingen het maken van openbaar IP-adres verbiedt, slaagt de implementatie van het rekencluster of exemplaar.
Eén load balancer
Voor rekenclusters worden deze resources telkens verwijderd wanneer het cluster omlaag wordt geschaald naar 0 knooppunten en wordt gemaakt bij het omhoog schalen.
Voor een reken-exemplaar worden deze resources bewaard totdat het exemplaar wordt verwijderd. Als u het exemplaar stopt, worden de resources niet verwijderd.
Belangrijk
De beperkingen die voor deze resources gelden, worden bepaald door de resourcequota van het abonnement. Als de resourcegroep van het virtuele netwerk is vergrendeld, mislukt het verwijderen van het rekencluster/exemplaar. Load balancer kan pas worden verwijderd als het rekencluster/exemplaar is verwijderd. Zorg er ook voor dat er geen Azure Policy toewijzing is die het maken van netwerkbeveiligingsgroepen verbiedt.
Als u een rekenproces maakt en de configuratie van het openbare IP-adres niet wilt gebruiken, moet de beheerde identiteit van uw Azure Machine Learning werkruimte de rol Lezer hebben voor het virtuele netwerk dat de werkruimte bevat. Zie Stappen voor het toewijzen van een Azure-rol voor meer informatie over het toewijzen van rollen.
Als u Azure Container Registry hebt geconfigureerd voor uw werkruimte achter het virtuele netwerk, moet u een rekencluster gebruiken om Docker-installatiekopieën te bouwen. U kunt geen rekencluster gebruiken zonder de configuratie van het openbare IP-adres. Zie Azure Container Registry inschakelen voor meer informatie.
Als de Azure Storage Accounts voor de werkruimte zich ook in het virtuele netwerk bevinden, gebruikt u de volgende richtlijnen voor subnetbeperkingen:
- Als u van plan bent om Azure Machine Learning studio te gebruiken om gegevens te visualiseren of designer te gebruiken, moet het opslagaccount zich in hetzelfde subnet bevinden als het rekenproces of cluster.
- Als u van plan bent om de SDK te gebruiken, kan het opslagaccount zich in een ander subnet bevinden.
Notitie
Het toevoegen van een resource-exemplaar voor uw werkruimte of het selectievakje 'Vertrouwde Microsoft-services toegang tot dit account toestaan' is niet voldoende om communicatie vanuit de berekening toe te staan.
Wanneer uw werkruimte een privé-eindpunt gebruikt, kan het rekenproces alleen worden geopend vanuit het virtuele netwerk. Als u een aangepast DNS- of hostsbestand gebruikt, voegt u een vermelding toe voor
<instance-name>.<region>.instances.azureml.ms
. Wijs deze vermelding toe aan het privé-IP-adres van het privé-eindpunt van de werkruimte. Zie het aangepaste DNS-artikel voor meer informatie.Beleid voor service-eindpunten voor virtuele netwerken werkt niet voor opslagaccounts voor rekenclusters/exemplaren van het systeem.
Als de opslag- en rekeninstantie zich in verschillende regio's bevinden, ziet u mogelijk onregelmatige time-outs.
Als de Azure Container Registry voor uw werkruimte een privé-eindpunt gebruikt om verbinding te maken met het virtuele netwerk, kunt u geen beheerde identiteit gebruiken voor het rekenproces. Als u een beheerde identiteit wilt gebruiken met het rekenproces, plaatst u het containerregister niet in het VNet.
Als u Jupyter Notebooks wilt gebruiken in een rekenproces:
- Schakel websocket-communicatie niet uit. Zorg ervoor dat uw netwerk websocket-communicatie toestaat en
*.instances.azureml.net
*.instances.azureml.ms
. - Zorg ervoor dat uw notebook wordt uitgevoerd op een rekenresource achter hetzelfde virtuele netwerk en subnet als uw gegevens. Wanneer u het rekenproces maakt, gebruikt u advanced settingsConfigure>virtual network om het netwerk en subnet te selecteren.
- Schakel websocket-communicatie niet uit. Zorg ervoor dat uw netwerk websocket-communicatie toestaat en
Rekenclusters kunnen worden gemaakt in een andere regio dan uw werkruimte. Deze functionaliteit is in preview en is alleen beschikbaar voor rekenclusters, niet voor rekeninstanties. Wanneer u een andere regio voor het cluster gebruikt, gelden de volgende beperkingen:
- Als uw werkruimte-gekoppelde resources, zoals opslag, zich in een ander virtueel netwerk bevinden dan het cluster, stelt u globale peering voor virtuele netwerken tussen de netwerken in. Zie Peering voor virtuele netwerken voor meer informatie.
- Mogelijk ziet u verhoogde netwerklatentie en kosten voor gegevensoverdracht. De latentie en kosten kunnen optreden bij het maken van het cluster en bij het uitvoeren van taken erop.
Richtlijnen zoals het gebruik van NSG-regels, door de gebruiker gedefinieerde routes en invoer-/uitvoervereisten, gelden als normaal wanneer u een andere regio gebruikt dan de werkruimte.
Waarschuwing
Als u een werkruimte met een privé-eindpunt gebruikt, wordt het maken van het cluster in een andere regio niet ondersteund.
Azure Databricks
- Naast de databricks-privé - en databricks-openbare subnetten die worden gebruikt door Azure Databricks, is ook het standaardsubnet vereist dat voor het virtuele netwerk is gemaakt.
- Azure Databricks gebruikt geen privé-eindpunt om te communiceren met het virtuele netwerk.
Zie Azure Databricks implementeren in uw Azure-Virtual Network voor meer informatie over het gebruik van Azure Databricks in een virtueel netwerk.
Azure HDInsight of virtuele machine
- Azure Machine Learning ondersteunt alleen virtuele machines waarop Ubuntu wordt uitgevoerd.
Vereiste openbare internettoegang
Azure Machine Learning vereist zowel binnenkomende als uitgaande toegang tot het openbare internet. De volgende tabellen bieden een overzicht van de toegang die nodig is en waarvoor deze is bedoeld. Het protocol voor alle items is TCP. Voor servicetags die eindigen .region
, vervangt u region
door de Azure-regio die uw werkruimte bevat. Bijvoorbeeld Storage.westus
:
Richting | Poorten | Servicetag | Doel |
---|---|---|---|
Inkomend | 29876-29877 | BatchNodeManagement | Maken, bijwerken en verwijderen van Azure Machine Learning rekenproces en rekencluster. |
Inkomend | 44224 | AzureMachineLearning | Het maken, bijwerken en verwijderen van Azure Machine Learning rekenproces. |
Uitgaand | 443 | AzureMonitor | Wordt gebruikt om bewaking en metrische gegevens te registreren bij App Insights en Azure Monitor. |
Uitgaand | 80, 443 | AzureActiveDirectory | Verificatie met behulp van Azure AD. |
Uitgaand | 443 | AzureMachineLearning | Gebruik Azure Machine Learning services. |
Uitgaand | 443 | AzureResourceManager | Het maken van Azure-resources met Azure Machine Learning. |
Uitgaand | 443 | Storage.region | Toegang tot gegevens die zijn opgeslagen in het Azure Storage-account voor de Azure Batch-service. |
Uitgaand | 443 | AzureFrontDoor.FrontEnd* Niet nodig in Azure China. | Globaal toegangspunt voor Azure Machine Learning-studio. |
Uitgaand | 443 | ContainerRegistry.region | Toegang tot docker-installatiekopieën van Microsoft. |
Uitgaand | 443 | MicrosoftContainerRegistry.region | Toegang tot docker-installatiekopieën van Microsoft. Installatie van de Azure Machine Learning router voor Azure Kubernetes Service. |
Uitgaand | 443 | Keyvault.region | Toegang tot de sleutelkluis voor de Azure Batch-service. Alleen nodig als uw werkruimte is gemaakt met de vlag hbi_workspace ingeschakeld. |
Tip
Als u de IP-adressen nodig hebt in plaats van servicetags, gebruikt u een van de volgende opties:
- Download een lijst van Azure IP-bereiken en servicetags.
- Gebruik de opdracht Azure CLI az network list-service-tags .
- Gebruik de opdracht Azure PowerShell Get-AzNetworkServiceTag.
De IP-adressen kunnen periodiek worden gewijzigd.
Mogelijk moet u ook uitgaand verkeer naar Visual Studio Code- en niet-Microsoft-sites toestaan voor de installatie van pakketten die vereist zijn voor uw Machine Learning-project. De volgende tabel bevat veelgebruikte opslagplaatsen voor machine learning:
Hostnaam | Doel |
---|---|
anaconda.com *.anaconda.com | Wordt gebruikt om standaardpakketten te installeren. |
*.anaconda.org | Wordt gebruikt om opslagplaatsgegevens op te halen. |
pypi.org | Wordt gebruikt om afhankelijkheden van de standaardindex weer te geven, indien aanwezig en de index wordt niet overschreven door gebruikersinstellingen. Als de index wordt overschreven, moet u ook *.pythonhosted.org toestaan. |
cloud.r-project.org | Wordt gebruikt bij het installeren van CRAN-pakketten voor R-ontwikkeling. |
*pytorch.org | Wordt gebruikt door enkele voorbeelden op basis van PyTorch. |
*.tensorflow.org | Wordt gebruikt door enkele voorbeelden op basis van Tensorflow. |
update.code.visualstudio.com *.vo.msecnd.net | Wordt gebruikt om VS Code-serverbits op te halen, die zijn geïnstalleerd op het rekenproces via een installatiescript. |
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* | Wordt gebruikt voor het ophalen van websocket-server-bits, die zijn geïnstalleerd op het rekenproces. De websocket-server wordt gebruikt voor het verzenden van aanvragen van Visual Studio Code-client (bureaubladtoepassing) naar Visual Studio Code-server die wordt uitgevoerd op het rekenproces. |
Wanneer u Azure Kubernetes Service (AKS) met Azure Machine Learning gebruikt, staat u het volgende verkeer naar het AKS-VNet toe:
- Algemene vereisten voor inkomend/uitgaand verkeer voor AKS, zoals beschreven in het artikel Uitgaand verkeer beperken in Azure Kubernetes Service artikel.
- Uitgaand naar mcr.microsoft.com.
- Wanneer u een model implementeert in een AKS-cluster, gebruikt u de richtlijnen in het ML-modellen implementeren voor Azure Kubernetes Service artikel.
Zie Een firewall gebruiken met Azure Machine Learning voor meer informatie over het gebruik van een firewalloplossing.
Rekenclusters
Gebruik de onderstaande tabbladen om te selecteren hoe u een rekencluster wilt maken:
Gebruik de volgende stappen om een rekencluster te maken in de Azure Machine Learning-studio:
Meld u aan bij Azure Machine Learning-studio en selecteer vervolgens uw abonnement en werkruimte.
Selecteer Compute aan de linkerkant, Rekenclusters in het midden en selecteer vervolgens + Nieuw.
Selecteer in het dialoogvenster Rekencluster maken de VM-grootte en configuratie die u nodig hebt en selecteer vervolgens Volgende.
Stel in het gedeelte Instellingen configureren de naam van de rekenkracht, het virtuele netwerk en het subnet in.
Tip
Als uw werkruimte een privé-eindpunt gebruikt om verbinding te maken met het virtuele netwerk, wordt het selectieveld van het virtuele netwerk grijs weergegeven.
Selecteer Maken om het rekencluster te maken.
Wanneer het aanmaakproces is voltooid, traint u uw model met behulp van het cluster in een experiment. Zie Een rekendoel selecteren en gebruiken voor training voor meer informatie.
Notitie
U kunt ervoor kiezen VM's met een lage prioriteit te gebruiken om enkele of alle workloads uit te voeren. Zie hoe u een virtuele machine met lage prioriteit kunt maken.
Geen openbaar IP-adres voor rekenclusters (preview)
Wanneer u geen openbaar IP-adres inschakelt, gebruikt uw rekencluster geen openbaar IP-adres voor communicatie met afhankelijkheden. In plaats daarvan communiceert het alleen binnen het virtuele netwerk met behulp van Azure Private Link ecosysteem en service-/privé-eindpunten, waardoor er geen openbaar IP-adres meer nodig is. Geen openbaar IP verwijdert de toegang en detectie van rekenclusterknooppunten van internet, waardoor een belangrijke bedreigingsvector wordt geëlimineerd. Geen openbare IP-clusters helpen te voldoen aan geen openbaar IP-beleid dat veel ondernemingen hebben.
Waarschuwing
Standaard hebt u geen openbare internettoegang vanuit geen openbaar IP-rekencluster. U moet door de gebruiker gedefinieerde routering (UDR) configureren om toegang te krijgen tot een openbaar IP-adres voor toegang tot internet. U kunt bijvoorbeeld een openbaar IP-adres van uw firewall gebruiken of u kunt Virtual Network NAT gebruiken met een openbaar IP-adres.
Een rekencluster waarvoor geen openbaar IP-adres is ingeschakeld, heeft geen inkomende communicatievereisten van openbaar internet. Dat betekent specifiek dat geen van de inkomende NSG-regels (BatchNodeManagement
, AzureMachineLearning
) is vereist. U moet nog steeds inkomende gegevens toestaan vanaf de bron van VirtualNetwork en van elke poortbron naar het doel van VirtualNetwork en de doelpoort 29876, 29877.
Er zijn geen openbare IP-clusters afhankelijk van Azure Private Link voor Azure Machine Learning werkruimte.
Voor een rekencluster zonder openbaar IP-adres moet u ook netwerkbeleid voor privé-eindpunten en private link-servicenetwerkbeleid uitschakelen. Deze vereisten zijn afkomstig van de Azure Private Link-service en privé-eindpunten en zijn niet Azure Machine Learning specifiek. Volg de instructie van Netwerkbeleid uitschakelen voor Private Link-service om de parameters disable-private-endpoint-network-policies
en disable-private-link-service-network-policies
op het subnet van het virtuele netwerk in te stellen.
Om uitgaande verbindingen te laten werken, moet u een uitgaande firewall zoals Azure Firewall instellen met door de gebruiker gedefinieerde routes. U kunt bijvoorbeeld een firewall gebruiken die is ingesteld met inkomende/uitgaande configuratie en verkeer daar routeren door een routetabel te definiëren in het subnet waarin het rekencluster wordt geïmplementeerd. De routetabelvermelding kan de volgende hop van het privé-IP-adres van de firewall instellen met het adresvoorvoegsel 0.0.0.0/0.
U kunt een service-eindpunt of privé-eindpunt gebruiken voor uw Azure-containerregister en Azure-opslag in het subnet waarin het cluster wordt geïmplementeerd.
Als u een rekencluster voor openbare IP-adressen (een preview-functie) in studio wilt maken, stelt u geen openbaar IP-selectievakje in in de sectie virtueel netwerk. U kunt ook geen openbaar IP-rekencluster maken via een ARM-sjabloon. Schakel in de ARM-sjabloonset enableNodePublicIP-parameter in op false.
Notitie
Ondersteuning voor rekeninstanties zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, VS - oost 2, Europa - noord, Europa - west, VS - centraal, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.
Ondersteuning voor rekenclusters zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, EUROPA - oost 2, VS - centraal, Europa - west, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.
Problemen oplossen
Als u dit foutbericht krijgt tijdens het maken van het cluster
The specified subnet has PrivateLinkServiceNetworkPolicies or PrivateEndpointNetworkEndpoints enabled
, volgt u de instructies in Netwerkbeleid uitschakelen voor Private Link-service en Netwerkbeleid uitschakelen voor privé-eindpunt.Als taakuitvoering mislukt met verbindingsproblemen met ACR of Azure Storage, controleert u of de klant ACR en Azure Storage service-eindpunten/privé-eindpunten heeft toegevoegd aan het subnet en ACR/Azure Storage de toegang vanaf het subnet toestaat.
Om ervoor te zorgen dat u geen openbaar IP-cluster hebt gemaakt, ziet u in Studio wanneer u naar clusterdetails kijkt, de eigenschap Geen openbaar IP-adres is ingesteld op waar onder resource-eigenschappen.
Rekenproces
Zie Een Azure Machine Learning rekenproces maken en beheren voor stappen voor het maken van een rekenproces dat is geïmplementeerd in een virtueel netwerk.
Geen openbaar IP-adres voor rekeninstanties (preview)
Wanneer u Geen openbaar IP-adres inschakelt, gebruikt uw rekenproces geen openbaar IP-adres voor communicatie met afhankelijkheden. In plaats daarvan communiceert het alleen binnen het virtuele netwerk met behulp van Azure Private Link ecosysteem en service-/privé-eindpunten, waardoor er geen openbaar IP-adres meer nodig is. Geen openbaar IP-adres verwijdert de toegang en de detectie van het rekenexemplarenknooppunt van internet, waardoor een belangrijke bedreigingsvector wordt geëlimineerd. Rekeninstanties voeren ook pakketfiltering uit om verkeer van buiten het virtuele netwerk te weigeren. Er zijn geen openbare IP-exemplaren afhankelijk van Azure Private Link voor Azure Machine Learning werkruimte.
Waarschuwing
Standaard hebt u geen openbare internettoegang vanaf geen openbaar IP-rekenproces. U moet door de gebruiker gedefinieerde routering (UDR) configureren om toegang te krijgen tot een openbaar IP-adres voor toegang tot internet. U kunt bijvoorbeeld een openbaar IP-adres van uw firewall gebruiken of u kunt Virtual Network NAT gebruiken met een openbaar IP-adres.
Om uitgaande verbindingen te laten werken, moet u een uitgaande firewall zoals Azure Firewall instellen met door de gebruiker gedefinieerde routes. U kunt bijvoorbeeld een firewall gebruiken die is ingesteld met inkomende/uitgaande configuratie en verkeer daar routeren door een routetabel te definiëren in het subnet waarin het rekenproces wordt geïmplementeerd. De routetabelvermelding kan de volgende hop van het privé-IP-adres van de firewall instellen met het adresvoorvoegsel 0.0.0.0/0.
Een rekenproces waarvoor geen openbaar IP-adres is ingeschakeld, heeft geen binnenkomende communicatievereisten van openbaar internet. Dat betekent specifiek dat geen van de inkomende NSG-regels (BatchNodeManagement
, AzureMachineLearning
) is vereist. U moet nog steeds inkomend verkeer toestaan vanaf de bron van VirtualNetwork, elke poortbron, bestemming van VirtualNetwork en doelpoort van 29876, 29877, 44224.
Voor een rekenproces zonder openbaar IP-adres moet u ook netwerkbeleid voor privé-eindpunten en private link-servicenetwerkbeleid uitschakelen. Deze vereisten zijn afkomstig van de Azure Private Link-service en privé-eindpunten en zijn niet Azure Machine Learning specifiek. Volg de instructie van Netwerkbeleid uitschakelen voor Private Link servicebron-IP om de parameters disable-private-endpoint-network-policies
en disable-private-link-service-network-policies
het subnet van het virtuele netwerk in te stellen.
Als u een rekenproces voor openbare IP-adressen (een preview-functie) wilt maken in Studio, schakelt u geen openbaar IP-selectievakje in in de sectie virtueel netwerk. U kunt ook geen openbaar IP-rekenproces maken via een ARM-sjabloon. Schakel in de ARM-sjabloonset enableNodePublicIP-parameter in op false.
Volgende stappen:
Notitie
Ondersteuning voor rekeninstanties zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, VS - oost 2, Europa - noord, Europa - west, VS - centraal, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.
Ondersteuning voor rekenclusters zonder openbare IP-adressen is momenteel beschikbaar en in openbare preview voor de volgende regio's: Frankrijk - centraal, Azië - oost, VS - west-centraal, VS - zuid-centraal, VS - west 2, EUROPA - oost 2, VS - centraal, Europa - west, VS - noord-centraal, VS - west, Australië - oost, Japan - oost, Japan - west.
Binnenkomend verkeer
Wanneer u Azure Machine Learning rekenproces (met een openbaar IP-adres) of rekencluster gebruikt, staat u inkomend verkeer van Azure Batch beheer- en Azure Machine Learning-services toe. Voor het rekenproces zonder openbaar IP-adres (preview) is deze binnenkomende communicatie niet vereist. Een netwerkbeveiligingsgroep die dit verkeer toestaat, wordt dynamisch voor u gemaakt, maar mogelijk moet u ook door de gebruiker gedefinieerde routes (UDR) maken als u een firewall hebt. Wanneer u een UDR voor dit verkeer maakt, kunt u IP-adressen of servicetags gebruiken om het verkeer te routeren.
Belangrijk
Het gebruik van servicetags met door de gebruiker gedefinieerde routes is nu algemeen beschikbaar. Zie Virtual Network routering voor meer informatie.
Tip
Hoewel een rekenproces zonder een openbaar IP-adres (preview-functie) geen UDR nodig heeft voor dit binnenkomende verkeer, hebt u deze UDR's nog steeds nodig als u ook een rekencluster of een rekenproces met een openbaar IP-adres gebruikt.
Voor de Azure Machine Learning-service moet u het IP-adres van zowel de primaire als de secundaire regio's toevoegen. Zie de replicatie tussen regio's in Azure om de secundaire regio te vinden. Als uw Azure Machine Learning service zich bijvoorbeeld in VS - oost 2 bevindt, is de secundaire regio VS - centraal.
Als u een lijst met IP-adressen van de Batch-service en Azure Machine Learning-service wilt ophalen, downloadt u de Azure IP-bereiken en servicetags en zoekt u het bestand naar BatchNodeManagement.<region>
enAzureMachineLearning.<region>
, waar <region>
is uw Azure-regio.
Belangrijk
De IP-adressen kunnen na verloop van tijd veranderen.
Wanneer u de UDR maakt, stelt u het hoptype Volgende in op Internet. Dit betekent dat de inkomende communicatie van Azure uw firewall overslaat voor toegang tot de load balancers met openbare IP-adressen van rekeninstanties en rekencluster. UDR is vereist omdat rekenproces en rekencluster willekeurige openbare IP-adressen krijgen bij het maken. U kunt de openbare IP-adressen niet kennen voordat u ze op uw firewall registreert, zodat het inkomend verkeer van Azure naar specifieke IP-adressen voor rekeninstanties en rekenclusters kan worden toegestaan. In de volgende afbeelding ziet u een voorbeeld van een op IP-adres gebaseerde UDR in de Azure Portal:
Zie Netwerkverkeer routeren met een routeringstabel voor meer informatie over het configureren van UDR.
Zie Een werkruimte achter een firewall gebruiken voor meer informatie over vereisten voor invoer- en uitvoerverkeer voor Azure Machine Learning.
Azure Databricks
Zie Azure Databricks implementeren in uw Azure Virtual Network voor specifieke informatie over het gebruik van Azure Databricks met een virtueel netwerk.
Virtuele machine of HDInsight-cluster
In deze sectie leert u hoe u een virtuele machine of Een Azure HDInsight-cluster gebruikt in een virtueel netwerk met uw werkruimte.
Het VM- of HDInsight-cluster maken
Maak een VIRTUELE machine of HDInsight-cluster met behulp van de Azure Portal of de Azure CLI en plaats het cluster in een virtueel Azure-netwerk. Raadpleeg voor meer informatie de volgende artikelen:
Netwerkpoorten configureren
Sta Azure Machine Learning toe om te communiceren met de SSH-poort op de VM of het cluster. Configureer een bronvermelding voor de netwerkbeveiligingsgroep. De SSH-poort is meestal poort 22. Voer de volgende acties uit om verkeer van deze bron toe te staan:
Selecteer servicetag in de vervolgkeuzelijst Bron.
Selecteer AzureMachineLearning in de vervolgkeuzelijst Bronservicetag.
Selecteer in de vervolgkeuzelijst Bronpoortbereiken de optie *.
Selecteer Een in de vervolgkeuzelijst Bestemming.
Selecteer 22 in de vervolgkeuzelijst Doelpoortbereiken.
Selecteer Alle onder Protocol.
Selecteer Onder Actiede optie Toestaan.
Behoud de standaardregels voor uitgaand verkeer voor de netwerkbeveiligingsgroep. Zie de standaardbeveiligingsregels in beveiligingsgroepen voor meer informatie.
Als u de standaardregels voor uitgaand verkeer niet wilt gebruiken en u de uitgaande toegang van uw virtuele netwerk wilt beperken, raadpleegt u de vereiste sectie openbare internettoegang .
De VM of het HDInsight-cluster koppelen
Koppel het VM- of HDInsight-cluster aan uw Azure Machine Learning werkruimte. Zie Rekendoelen instellen voor modeltraining voor meer informatie.
Volgende stappen
Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning werkstroom. Zie de andere artikelen in deze reeks: