Een Azure Machine Learning-trainingsomgeving beveiligen met virtuele netwerkenSecure an Azure Machine Learning training environment with virtual networks

07/16/2020
11 minuten om te lezen

In dit artikel leert u hoe u trainingsomgevingen beveiligt met een virtueel netwerk in Azure Machine Learning.In this article, you learn how to secure training environments with a virtual network in Azure Machine Learning.

Dit artikel is deel drie van een vijfdelige reeks die u door het beveiligen van een werkstroom Azure Machine Learning helpen.This article is part three of a five-part series that walks you through securing an Azure Machine Learning workflow. We raden u ten zeerste aan deel één: VNet-overzicht te lezen om eerst inzicht te krijgen in de algehele architectuur.We highly recommend that you read through Part one: VNet overview to understand the overall architecture first.

Zie de andere artikelen in deze reeks:See the other articles in this series:

1. VNet-overzicht > 2. Beveilig de werkruimte > 3. Beveilig de trainingsomgeving > 4. Beveilig de deferencingomgeving > 5. Studio-functionaliteit inschakelen1. VNet overview > 2. Secure the workspace > 3. Secure the training environment > 4. Secure the inferencing environment > 5. Enable studio functionality

In dit artikel leert u hoe u de volgende trainingsrekenbronnen in een virtueel netwerk kunt beveiligen:In this article you learn how to secure the following training compute resources in a virtual network:

Azure Machine Learning-rekenclustersAzure Machine Learning compute cluster
Azure Machine Learning-rekeninstantieAzure Machine Learning compute instance
Azure DatabricksAzure Databricks
Virtuele machineVirtual Machine
HDInsight-clusterHDInsight cluster

VereistenPrerequisites

Lees het artikel Overzicht van netwerkbeveiliging voor meer informatie over veelvoorkomende scenario's voor virtuele netwerken en de algehele architectuur van virtuele netwerken.Read the Network security overview article to understand common virtual network scenarios and overall virtual network architecture.
Een bestaand virtueel netwerk en subnet voor gebruik met uw rekenbronnen.An existing virtual network and subnet to use with your compute resources.
Als u resources wilt implementeren in een virtueel netwerk of subnet, moet uw gebruikersaccount machtigingen hebben voor de volgende acties in op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):To deploy resources into a virtual network or subnet, your user account must have permissions to the following actions in Azure role-based access control (Azure RBAC):
- 'Microsoft.Network/virtualNetworks/*/read' op de resource van het virtuele netwerk."Microsoft.Network/virtualNetworks/*/read" on the virtual network resource.
- 'Microsoft.Network/virtualNetworks/subnet/join/action' op de subnetresource."Microsoft.Network/virtualNetworks/subnet/join/action" on the subnet resource.
Zie Ingebouwde netwerkrollen voor meer informatie over Azure RBAC met netwerkenFor more information on Azure RBAC with networking, see the Networking built-in roles

Rekenclusters & exemplarenCompute clusters & instances

Als u een beheerd Azure Machine Learning of een Azure Machine Learning compute-instantie in een virtueel netwerk wilt gebruiken, moet aan de volgende netwerkvereisten worden voldaan:To use either a managed Azure Machine Learning compute target or an Azure Machine Learning compute instance in a virtual network, the following network requirements must be met:

Het virtuele netwerk moet zich in hetzelfde abonnement en dezelfde regio als de Azure Machine Learning-werkruimte.The virtual network must be in the same subscription and region as the Azure Machine Learning workspace.
Het subnet dat is opgegeven voor het reken-exemplaar of cluster moet voldoende niet-toegewezen IP-adressen hebben om het aantal VM's te kunnen gebruiken dat is gericht.The subnet that's specified for the compute instance or cluster must have enough unassigned IP addresses to accommodate the number of VMs that are targeted. Als het subnet onvoldoende niet-toegewezen IP-adressen heeft, wordt een rekencluster gedeeltelijk toegewezen.If the subnet doesn't have enough unassigned IP addresses, a compute cluster will be partially allocated.
Controleer of uw beveiligingsbeleid of vergrendelingen voor het abonnement of de resourcegroep van het virtuele netwerk de machtigingen voor het beheren van het virtuele netwerk beperken.Check to see whether your security policies or locks on the virtual network's subscription or resource group restrict permissions to manage the virtual network. Als u van plan bent het virtuele netwerk te beveiligen door verkeer te beperken, laat u sommige poorten open voor de rekenservice.If you plan to secure the virtual network by restricting traffic, leave some ports open for the compute service. Zie de sectie Vereiste poorten voor meer informatie.For more information, see the Required ports section.
Als u meerdere reken-exemplaren of clusters in één virtueel netwerk wilt zetten, moet u mogelijk een quotumverhoging aanvragen voor een of meer van uw resources.If you're going to put multiple compute instances or clusters in one virtual network, you might need to request a quota increase for one or more of your resources.
Als de Azure Storage-account(s) voor de werkruimte ook zijn beveiligd in een virtueel netwerk, moeten ze zich in hetzelfde virtuele netwerk en subnet als het Azure Machine Learning reken-exemplaar of cluster.If the Azure Storage Account(s) for the workspace are also secured in a virtual network, they must be in the same virtual network and subnet as the Azure Machine Learning compute instance or cluster. Configureer de firewallinstellingen van uw opslag om communicatie met het virtuele netwerk en het subnet compute toe te staan.Please configure your storage firewall settings to allow communication to virtual network and subnet compute resides in. Houd er rekening mee dat het selectievakje 'Vertrouwde Microsoft-services toegang tot dit account toestaan' niet voldoende is om communicatie vanuit rekenkracht toe te staan.Please note selecting checkbox for "Allow trusted Microsoft services to access this account" is not sufficient to allow communication from compute.
Zorg ervoor dat websockockecommunicatie niet is uitgeschakeld om de Jupyter-functionaliteit van het reken exemplaar te laten werken.For compute instance Jupyter functionality to work, ensure that web socket communication is not disabled. Zorg ervoor dat uw netwerk websocket-verbindingen met *.instances.azureml.net en *.instances.azureml.ms.Please ensure your network allows websocket connections to *.instances.azureml.net and *.instances.azureml.ms.
Wanneer het reken exemplaar wordt geïmplementeerd in een private link-werkruimte, is deze alleen toegankelijk vanuit een virtueel netwerk.When compute instance is deployed in a private link workspace it can be only be accessed from within virtual network. Als u een aangepast DNS- of hosts-bestand gebruikt, voegt u een vermelding toe voor <instance-name>.<region>.instances.azureml.ms met een privé-IP-adres van het privé-eindpunt van de werkruimte.If you are using custom DNS or hosts file please add an entry for <instance-name>.<region>.instances.azureml.ms with private IP address of workspace private endpoint. Zie het artikel over aangepaste DNS voor meer informatie.For more information see the custom DNS article.
Het subnet dat wordt gebruikt om het rekencluster/exemplaar te implementeren, mag niet worden gedelegeerd aan een andere service, zoals ACIThe subnet used to deploy compute cluster/instance should not be delegated to any other service like ACI
Beleid voor service-eindpunten voor virtuele netwerken werkt niet voor opslagaccounts voor rekencluster/exemplaarsysteemVirtual network service endpoint policies do not work for compute cluster/instance system storage accounts

Tip

De Machine Learning reken-instantie of het cluster wijst automatisch extra netwerkresources toe in de resourcegroep die het virtuele netwerk bevat.The Machine Learning compute instance or cluster automatically allocates additional networking resources in the resource group that contains the virtual network. Voor elk reken-exemplaar of cluster wijst de service de volgende resources toe:For each compute instance or cluster, the service allocates the following resources:

Eén netwerkbeveiligingsgroepOne network security group
Eén openbaar IP-adres.One public IP address. Als u een Azure-beleid hebt dat het maken van openbare IP-adressen verbiedt, mislukt de implementatie van cluster/exemplarenIf you have Azure policy prohibiting Public IP creation then deployment of cluster/instances will fail
Eén load balancerOne load balancer

In het geval van clusters worden deze resources steeds verwijderd (en opnieuw gemaakt) wanneer het cluster omlaag wordt geschaald naar 0 knooppunten, maar in een geval worden de resources aan gehouden totdat het exemplaar volledig is verwijderd (met stoppen worden de resources niet verwijderd).In the case of clusters these resources are deleted (and recreated) every time the cluster scales down to 0 nodes, however for an instance the resources are held onto till the instance is completely deleted (stopping does not remove the resources). De beperkingen die voor deze resources gelden, worden bepaald door de resourcequota van het abonnement.These resources are limited by the subscription's resource quotas. Als de resourcegroep van het virtuele netwerk is vergrendeld, mislukt het verwijderen van het rekencluster/exemplaar.If the virtual network resource group is locked then deletion of compute cluster/instance will fail. Load balancer kan pas worden verwijderd als het rekencluster/exemplaar is verwijderd.Load balancer cannot be deleted until the compute cluster/instance is deleted. Zorg er ook voor dat er geen Azure-beleid is dat het maken van netwerkbeveiligingsgroepen verbiedt.Also please ensure there is no Azure policy which prohibits creation of network security groups.

Vereiste poortenRequired ports

Als u van plan bent het virtuele netwerk te beveiligen door netwerkverkeer van/naar het openbare internet te beperken, moet u inkomende communicatie van de Azure Batch service toestaan.If you plan on securing the virtual network by restricting network traffic to/from the public internet, you must allow inbound communications from the Azure Batch service.

De Batch-service voegt netwerkbeveiligingsgroepen (NSG's) toe op het niveau van netwerkinterfaces (NIC's) die zijn gekoppeld aan VM's.The Batch service adds network security groups (NSGs) at the level of network interfaces (NICs) that are attached to VMs. Met deze netwerkbeveiligingsgroepen worden automatisch binnenkomende en uitgaande regels geconfigureerd om het volgende verkeer toe te staan:These NSGs automatically configure inbound and outbound rules to allow the following traffic:

Inkomende TCP-verkeer op poorten 29876 en 29877 van een servicetag van BatchNodeManagement.Inbound TCP traffic on ports 29876 and 29877 from a Service Tag of BatchNodeManagement. Verkeer via deze poorten wordt versleuteld en wordt gebruikt door Azure Batch voor scheduler-/knooppuntcommunicatie.Traffic over these ports is encrypted and is used by Azure Batch for scheduler/node communication.
(Optioneel) Inkomende TCP-verkeer op poort 22 externe toegang toestaan.(Optional) Inbound TCP traffic on port 22 to permit remote access. Gebruik deze poort alleen als u verbinding wilt maken met behulp van SSH op het openbare IP-adres.Use this port only if you want to connect by using SSH on the public IP.
Uitgaand verkeer op een willekeurige poort naar het virtuele netwerk.Outbound traffic on any port to the virtual network.
Uitgaand verkeer op een willekeurige poort naar internet.Outbound traffic on any port to the internet.
Voor het inkomende TCP-verkeer van het reken exemplaar op poort 44224 van een servicetag van AzureMachineLearning.For compute instance inbound TCP traffic on port 44224 from a Service Tag of AzureMachineLearning. Verkeer via deze poort wordt versleuteld en wordt gebruikt door Azure Machine Learning voor communicatie met toepassingen die worden uitgevoerd op reken-exemplaren.Traffic over this port is encrypted and is used by Azure Machine Learning for communication with applications running on Compute Instances.

Belangrijk

Wees voorzichtig als u binnenkomende of uitgaande regels toevoegt of wijzigt in netwerkbeveiligingsgroepen die door Batch zijn geconfigureerd.Exercise caution if you modify or add inbound or outbound rules in Batch-configured NSGs. Als een NSG communicatie naar de rekenknooppunten blokkeert, stelt de rekenservice de status van de rekenknooppunten in op Onbruikbaar.If an NSG blocks communication to the compute nodes, the compute service sets the state of the compute nodes to unusable.

U hoeft geen NSG's op subnetniveau op te geven, omdat de Azure Batch service zijn eigen NSG's configureert.You don't need to specify NSGs at the subnet level, because the Azure Batch service configures its own NSGs. Als aan het subnet met de Azure Machine Learning compute echter NSG's of een firewall zijn gekoppeld, moet u ook het eerder vermelde verkeer toestaan.However, if the subnet that contains the Azure Machine Learning compute has associated NSGs or a firewall, you must also allow the traffic listed earlier.

De configuratie van de NSG-regel in Azure Portal wordt weergegeven in de volgende afbeeldingen:The NSG rule configuration in the Azure portal is shown in the following images:

De inkomende NSG-regels voor Machine Learning Compute

Inkomende NSG-regels voor Machine Learning Compute

Uitgaande connectiviteit vanuit het virtuele netwerk beperkenLimit outbound connectivity from the virtual network

Als u de standaardregels voor uitgaand verkeer niet wilt gebruiken en u de uitgaande toegang tot uw virtuele netwerk wilt beperken, gebruikt u de volgende stappen:If you don't want to use the default outbound rules and you do want to limit the outbound access of your virtual network, use the following steps:

Uitgaande internetverbinding weigeren met behulp van de NSG-regels.Deny outbound internet connection by using the NSG rules.
Beperk uitgaand verkeer voor een reken-exemplaar of een rekencluster tot de volgende items:For a compute instance or a compute cluster, limit outbound traffic to the following items:
- Azure Storage servicetag van Storage.RegionName.Azure Storage, by using Service Tag of Storage.RegionName. Waarbij {RegionName} de naam is van een Azure-regio.Where {RegionName} is the name of an Azure region.
- Azure Container Registry servicetag van AzureContainerRegistry.RegionName.Azure Container Registry, by using Service Tag of AzureContainerRegistry.RegionName. Waarbij {RegionName} de naam is van een Azure-regio.Where {RegionName} is the name of an Azure region.
- Azure Machine Learning, met behulp van servicetag van AzureMachineLearningAzure Machine Learning, by using Service Tag of AzureMachineLearning
- Azure Resource Manager, met behulp van de servicetag van AzureResourceManagerAzure Resource Manager, by using Service Tag of AzureResourceManager
- Azure Active Directory servicetag van AzureActiveDirectory gebruikenAzure Active Directory, by using Service Tag of AzureActiveDirectory

De configuratie van de NSG-regel in Azure Portal wordt weergegeven in de volgende afbeelding:The NSG rule configuration in the Azure portal is shown in the following image:

Notitie

Als u van plan bent om standaard Docker-afbeeldingen van Microsoft te gebruiken en door de gebruiker beheerde afhankelijkheden in te stellen, moet u ook de volgende servicetags gebruiken:If you plan on using default Docker images provided by Microsoft, and enabling user managed dependencies, you must also use the following Service Tags:

MicrosoftContainerRegistryMicrosoftContainerRegistry
AzureFrontDoor.FirstPartyAzureFrontDoor.FirstParty

Deze configuratie is nodig wanneer u code hebt die vergelijkbaar is met de volgende codefragmenten als onderdeel van uw trainingsscripts:This configuration is needed when you have code similar to the following snippets as part of your training scripts:

RunConfig-trainingRunConfig training

# create a new runconfig object
run_config = RunConfiguration()

# configure Docker 
run_config.environment.docker.enabled = True
# For GPU, use DEFAULT_GPU_IMAGE
run_config.environment.docker.base_image = DEFAULT_CPU_IMAGE 
run_config.environment.python.user_managed_dependencies = True

Estimator-trainingEstimator training

est = Estimator(source_directory='.',
                script_params=script_params,
                compute_target='local',
                entry_script='dummy_train.py',
                user_managed=True)
run = exp.submit(est)

Geforceerde tunnelingForced tunneling

Als u geforceerd tunnelen gebruikt met Azure Machine Learning compute, moet u communicatie met het openbare internet toestaan vanuit het subnet dat de rekenresource bevat.If you're using forced tunneling with Azure Machine Learning compute, you must allow communication with the public internet from the subnet that contains the compute resource. Deze communicatie wordt gebruikt voor taakplanning en toegang tot Azure Storage.This communication is used for task scheduling and accessing Azure Storage.

Er zijn twee manieren waarop u dit kunt doen:There are two ways that you can accomplish this:

Gebruik een Virtual Network NAT.Use a Virtual Network NAT. Een NAT-gateway biedt uitgaande internetverbinding voor een of meer subnetten in uw virtuele netwerk.A NAT gateway provides outbound internet connectivity for one or more subnets in your virtual network. Zie Virtuele netwerken ontwerpen met NAT-gatewaybronnen voor meer informatie.For information, see Designing virtual networks with NAT gateway resources.
Voeg door de gebruiker gedefinieerde routes (UDR's) toe aan het subnet dat de rekenresource bevat.Add user-defined routes (UDRs) to the subnet that contains the compute resource. Stel een UDR in voor elk IP-adres dat wordt gebruikt door de Azure Batch service in de regio waarin uw resources bestaan.Establish a UDR for each IP address that's used by the Azure Batch service in the region where your resources exist. Met deze UDR's kan de Batch-service communiceren met rekenknooppunten voor taakplanning.These UDRs enable the Batch service to communicate with compute nodes for task scheduling. Voeg ook het IP-adres voor de Azure Machine Learning Service, omdat dit vereist is voor toegang tot reken-exemplaren.Also add the IP address for the Azure Machine Learning service, as this is required for access to Compute Instances. Wanneer u het IP-adres voor Azure Machine Learning Service toevoegt, moet u het IP-adres voor zowel de primaire als de secundaire Azure-regio toevoegen.When adding the IP for the Azure Machine Learning service, you must add the IP for both the primary and secondary Azure regions. De primaire regio is de regio waarin uw werkruimte zich bevindt.The primary region being the one where your workspace is located.

Zie Ensure business continuity & disaster recovery using Azure Paired Regions (Bedrijfscontinuïteit garanderen & met behulp van gekoppelde Azure-regio's)voor informatie over de secundaire regio.To find the secondary region, see the Ensure business continuity & disaster recovery using Azure Paired Regions. Als uw regio zich bijvoorbeeld Azure Machine Learning Service vs - oost 2, is de secundaire regio VS - centraal.For example, if your Azure Machine Learning service is in East US 2, the secondary region is Central US.

Gebruik een van de volgende methoden om een lijst met IP-adressen van de Batch-service en Azure Machine Learning Service op te halen:To get a list of IP addresses of the Batch service and Azure Machine Learning service, use one of the following methods:
- Download de Azure IP-adresbereiken en servicetags en zoek in het bestand naar BatchNodeManagement.<region> en , waarbij uw AzureMachineLearning.<region> <region> Azure-regio is.Download the Azure IP Ranges and Service Tags and search the file for BatchNodeManagement.<region> and AzureMachineLearning.<region>, where <region> is your Azure region.
- Gebruik de Azure CLI om de informatie te downloaden.Use the Azure CLI to download the information. In het volgende voorbeeld worden de IP-adresgegevens gedownload en wordt de informatie voor de regio VS - oost 2 (primair) en VS - centraal (secundair) gefilterd:The following example downloads the IP address information and filters out the information for the East US 2 region (primary) and Central US region (secondary):
```
az network list-service-tags -l "East US 2" --query "values[?starts_with(id, 'Batch')] | [?properties.region=='eastus2']"
# Get primary region IPs
az network list-service-tags -l "East US 2" --query "values[?starts_with(id, 'AzureMachineLearning')] | [?properties.region=='eastus2']"
# Get secondary region IPs
az network list-service-tags -l "Central US" --query "values[?starts_with(id, 'AzureMachineLearning')] | [?properties.region=='centralus']"
```
  Tip
  
  Als u de regio's US-Virginia, US-Arizona of China-Oost-2 gebruikt, retourneren deze opdrachten geen IP-adressen.If you are using the US-Virginia, US-Arizona regions, or China-East-2 regions, these commands return no IP addresses. Gebruik in plaats daarvan een van de volgende koppelingen om een lijst met IP-adressen te downloaden:Instead, use one of the following links to download a list of IP addresses:
  - Azure IP-adresbereiken en servicetags voor Azure GovernmentAzure IP ranges and service tags for Azure Government
  - Azure IP-adresbereiken en servicetags voor Azure ChinaAzure IP ranges and service tags for Azure China
Wanneer u de UDR's toevoegt, definieert u de route voor elk gerelateerde Batch IP-adres voorvoegsel en stelt u Volgend hoptype in op Internet.When you add the UDRs, define the route for each related Batch IP address prefix and set Next hop type to Internet. In de volgende afbeelding ziet u een voorbeeld van deze UDR in de Azure Portal:The following image shows an example of this UDR in the Azure portal:

Belangrijk

De IP-adressen kunnen na een periode veranderen.The IP addresses may change over time.

Naast de UDR's die u definieert, moet uitgaand verkeer naar Azure Storage worden toegestaan via uw on-premises netwerkapparaat.In addition to any UDRs that you define, outbound traffic to Azure Storage must be allowed through your on-premises network appliance. De URL's voor dit verkeer hebben de volgende vormen: <account>.table.core.windows.net <account>.queue.core.windows.net , en <account>.blob.core.windows.net .Specifically, the URLs for this traffic are in the following forms: <account>.table.core.windows.net, <account>.queue.core.windows.net, and <account>.blob.core.windows.net.

Zie Create an Azure Batch pool in a virtual network (Een virtuele Azure Batch maken in een virtueel netwerk) voor meer informatie.For more information, see Create an Azure Batch pool in a virtual network.

Een rekencluster maken in een virtueel netwerkCreate a compute cluster in a virtual network

Gebruik de volgende stappen Machine Learning Compute cluster te maken:To create a Machine Learning Compute cluster, use the following steps:

Meld u aan Azure Machine Learning-studioen selecteer vervolgens uw abonnement en werkruimte.Sign in to Azure Machine Learning studio, and then select your subscription and workspace.
Selecteer Compute aan de linkerkant.Select Compute on the left.
Selecteer Trainingsclusters in het midden en selecteer vervolgens + .Select Training clusters from the center, and then select +.
Vouw in het dialoogvenster Nieuw trainingscluster de sectie Geavanceerde instellingen uit.In the New Training Cluster dialog, expand the Advanced settings section.
Als u deze rekenresource wilt configureren voor het gebruik van een virtueel netwerk, voert u de volgende acties uit in de sectie Virtueel netwerk configureren:To configure this compute resource to use a virtual network, perform the following actions in the Configure virtual network section:
1. Selecteer in de vervolgkeuzelijst Resourcegroep de resourcegroep die het virtuele netwerk bevat.In the Resource group drop-down list, select the resource group that contains the virtual network.
2. Selecteer in de vervolgkeuzelijst Virtueel netwerk het virtuele netwerk dat het subnet bevat.In the Virtual network drop-down list, select the virtual network that contains the subnet.
3. Selecteer in de vervolgkeuzelijst Subnet het subnet dat u wilt gebruiken.In the Subnet drop-down list, select the subnet to use.

U kunt ook een Machine Learning Compute maken met behulp van de Azure Machine Learning SDK.You can also create a Machine Learning Compute cluster by using the Azure Machine Learning SDK. Met de volgende code maakt u een Machine Learning Compute cluster in het subnet van default een virtueel netwerk met de naam mynetwork :The following code creates a new Machine Learning Compute cluster in the default subnet of a virtual network named mynetwork:

from azureml.core.compute import ComputeTarget, AmlCompute
from azureml.core.compute_target import ComputeTargetException

# The Azure virtual network name, subnet, and resource group
vnet_name = 'mynetwork'
subnet_name = 'default'
vnet_resourcegroup_name = 'mygroup'

# Choose a name for your CPU cluster
cpu_cluster_name = "cpucluster"

# Verify that cluster does not exist already
try:
    cpu_cluster = ComputeTarget(workspace=ws, name=cpu_cluster_name)
    print("Found existing cpucluster")
except ComputeTargetException:
    print("Creating new cpucluster")

    # Specify the configuration for the new cluster
    compute_config = AmlCompute.provisioning_configuration(vm_size="STANDARD_D2_V2",
                                                           min_nodes=0,
                                                           max_nodes=4,
                                                           vnet_resourcegroup_name=vnet_resourcegroup_name,
                                                           vnet_name=vnet_name,
                                                           subnet_name=subnet_name)

    # Create the cluster with the specified name and configuration
    cpu_cluster = ComputeTarget.create(ws, cpu_cluster_name, compute_config)

    # Wait for the cluster to be completed, show the output log
    cpu_cluster.wait_for_completion(show_output=True)

Wanneer het aanmaakproces is uitgevoerd, traint u uw model met behulp van het cluster in een experiment.When the creation process finishes, you train your model by using the cluster in an experiment. Zie Een rekendoel selecteren en gebruiken voor training voor meer informatie.For more information, see Select and use a compute target for training.

Notitie

U kunt ervoor kiezen VM's met een lage prioriteit te gebruiken om enkele of alle workloads uit te voeren.You may choose to use low-priority VMs to run some or all of your workloads. Zie hoe u een virtuele machine met lage prioriteit kunt maken.See how to create a low-priority VM.

Toegang tot gegevens in een notebook van een reken-exemplaarAccess data in a Compute Instance notebook

Als u notebooks gebruikt op een Azure Compute-exemplaar, moet u ervoor zorgen dat uw notebook wordt uitgevoerd op een rekenresource achter hetzelfde virtuele netwerk en subnet als uw gegevens.If you're using notebooks on an Azure Compute instance, you must ensure that your notebook is running on a compute resource behind the same virtual network and subnet as your data.

U moet uw rekenproces tijdens het maken configureren configureren in hetzelfde virtuele netwerk onder Geavanceerde instellingen > Virtueel netwerk configureren.You must configure your Compute Instance to be in the same virtual network during creation under Advanced settings > Configure virtual network. U kunt geen bestaande rekenkracht toevoegen aan een virtueel netwerk.You cannot add an existing Compute Instance to a virtual network.

Azure DatabricksAzure Databricks

Als u Azure Databricks in een virtueel netwerk wilt gebruiken met uw werkruimte, moet aan de volgende vereisten worden voldaan:To use Azure Databricks in a virtual network with your workspace, the following requirements must be met:

Het virtuele netwerk moet zich in hetzelfde abonnement en dezelfde regio als de Azure Machine Learning-werkruimte.The virtual network must be in the same subscription and region as the Azure Machine Learning workspace.
Als de Azure Storage-account(s) voor de werkruimte ook zijn beveiligd in een virtueel netwerk, moeten deze zich in hetzelfde virtuele netwerk als het Azure Databricks cluster.If the Azure Storage Account(s) for the workspace are also secured in a virtual network, they must be in the same virtual network as the Azure Databricks cluster.
Naast de databricks-privé- en databricks-openbare subnetten die door Azure Databricks worden gebruikt, is ook het standaardsubnet vereist dat voor het virtuele netwerk is gemaakt.In addition to the databricks-private and databricks-public subnets used by Azure Databricks, the default subnet created for the virtual network is also required.

Zie Deploy Azure Databricks in your Azure Azure Databricks Virtual Network (Implementatie van Azure Databricks in uw Azure-Virtual Network) voor specifieke informatie over het gebruik van Virtual Network.For specific information on using Azure Databricks with a virtual network, see Deploy Azure Databricks in your Azure Virtual Network.

Virtuele machine of HDInsight-clusterVirtual machine or HDInsight cluster

Belangrijk

Azure Machine Learning ondersteunt alleen virtuele machines met Ubuntu.Azure Machine Learning supports only virtual machines that are running Ubuntu.

In deze sectie leert u hoe u een virtuele machine of een Azure HDInsight gebruikt in een virtueel netwerk met uw werkruimte.In this section you learn how to use a virtual machine or Azure HDInsight cluster in a virtual network with your workspace.

De VM of het HDInsight-cluster makenCreate the VM or HDInsight cluster

Maak een VM- of HDInsight-cluster met behulp van de Azure Portal of de Azure CLI en plaats het cluster in een virtueel Azure-netwerk.Create a VM or HDInsight cluster by using the Azure portal or the Azure CLI, and put the cluster in an Azure virtual network. Raadpleeg voor meer informatie de volgende artikelen:For more information, see the following articles:

Netwerkpoorten configurerenConfigure network ports

Configureer Azure Machine Learning broninvoer voor de netwerkbeveiligingsgroep om de communicatie met de SSH-poort op de VM of het cluster toe te staan.Allow Azure Machine Learning to communicate with the SSH port on the VM or cluster, configure a source entry for the network security group. De SSH-poort is meestal poort 22.The SSH port is usually port 22. Als u verkeer van deze bron wilt toestaan, moet u de volgende acties uitvoeren:To allow traffic from this source, do the following actions:

Selecteer servicetag in de vervolgkeuzelijst Bron.In the Source drop-down list, select Service Tag.
Selecteer in de vervolgkeuzelijst Bronservicetag de optie AzureMachineLearning.In the Source service tag drop-down list, select AzureMachineLearning.
Selecteer in de vervolgkeuzelijst Bronpoortbereiken. *In the Source port ranges drop-down list, select *.
Selecteer in de vervolgkeuzelijst Doel de optie Alle.In the Destination drop-down list, select Any.
Selecteer 22 in de vervolgkeuzelijst Doelpoortbereiken.In the Destination port ranges drop-down list, select 22.
Selecteer onder Protocol de optie Alle.Under Protocol, select Any.
Selecteer onder Actie de optie Toestaan.Under Action, select Allow.

Houd de standaardregels voor uitgaand verkeer voor de netwerkbeveiligingsgroep.Keep the default outbound rules for the network security group. Zie de standaardbeveiligingsregels in Beveiligingsgroepen voor meer informatie.For more information, see the default security rules in Security groups.

Als u de standaardregels voor uitgaand verkeer niet wilt gebruiken en u de uitgaande toegang tot uw virtuele netwerk wilt beperken, gaat u naar de sectie Uitgaande connectiviteit vanuit het virtuele netwerk beperken.If you don't want to use the default outbound rules and you do want to limit the outbound access of your virtual network, see the Limit outbound connectivity from the virtual network section.

De VM of het HDInsight-cluster koppelenAttach the VM or HDInsight cluster

Koppel de VM of het HDInsight-cluster aan uw Azure Machine Learning werkruimte.Attach the VM or HDInsight cluster to your Azure Machine Learning workspace. Zie Rekendoelen instellen voor modeltraining voor meer informatie.For more information, see Set up compute targets for model training.

Volgende stappenNext steps

Dit artikel is deel drie van een vijfdelige reeks virtuele netwerken.This article is part three of a five-part virtual network series. Zie de rest van de artikelen voor meer informatie over het beveiligen van een virtueel netwerk:See the rest of the articles to learn how to secure a virtual network:

Zie ook het artikel over het gebruik van aangepaste DNS voor naamresolutie.Also see the article on using custom DNS for name resolution.