Omówienie izolacji i prywatności sieci wirtualnej

Z tego artykułu dowiesz się, jak używać sieci wirtualnych do zabezpieczania komunikacji sieciowej w Azure Machine Learning. W tym artykule opisano przykładowy scenariusz konfigurowania pełnej sieci wirtualnej.

Ten artykuł jest jedną z pięciu części serii, która zawiera informacje na temat zabezpieczania przepływu Azure Machine Learning przepływu pracy. Zdecydowanie zalecamy przeczytanie tego artykułu z omówieniem, aby najpierw zrozumieć pojęcia.

Oto inne artykuły z tej serii:

1. Omówienie sieci wirtualnej > 2. Zabezpiecz obszar roboczy > 3. Zabezpieczanie środowiska szkoleniowego > 4. Zabezpieczanie środowiska wnioskowania > 5. Włączanie funkcji programu Studio

Wymagania wstępne

W tym artykule założono, że znasz następujące tematy:

Przykładowy scenariusz

W tej sekcji dowiesz się, jak jest ustawiany wspólny scenariusz sieciowy w celu zabezpieczenia komunikacji Azure Machine Learning z prywatnymi adresami IP.

W poniższej tabeli porównano sposób, w jaki usługi mają dostęp do różnych części sieci Azure Machine Learning zarówno z siecią wirtualną, jak i bez sieci wirtualnej.

Scenariusz Workspace Skojarzone zasoby Trenowania środowiska obliczeniowego Wnioskowanie środowiska obliczeniowego
Brak sieci wirtualnej Publiczny adres IP Publiczny adres IP Publiczny adres IP Publiczny adres IP
Zabezpieczanie zasobów w sieci wirtualnej Prywatny adres IP (prywatny punkt końcowy) Publiczny adres IP (punkt końcowy usługi)
- lub -
Prywatny adres IP (prywatny punkt końcowy)
Prywatny adres IP Prywatny adres IP
  • Obszar roboczy — utwórz prywatny punkt końcowy z sieci wirtualnej, aby nawiązać Private Link w obszarze roboczym. Prywatny punkt końcowy łączy obszar roboczy z siecią wirtualną za pośrednictwem kilku prywatnych adresów IP.
  • Skojarzony zasób — użyj punktów końcowych usługi lub prywatnych punktów końcowych, aby nawiązać połączenie z zasobami obszaru roboczego, np. usługami Azure Storage, Azure Key Vault i Azure Container Services.
    • Punkty końcowe usługi zapewniają tożsamość sieci wirtualnej dla usługi platformy Azure. Po włączeniu punktów końcowych usługi w sieci wirtualnej możesz dodać regułę sieci wirtualnej, aby zabezpieczyć zasoby usługi platformy Azure w sieci wirtualnej. Punkty końcowe usługi używają publicznych adresów IP.
    • Prywatne punkty końcowe to interfejsy sieciowe, które bezpiecznie łączą Cię z usługą obsługiwanymi przez Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, skutecznie przenosząc usługę do sieci wirtualnej.
  • Trenowanie dostępu do zasobów obliczeniowych — bezpiecznie uzyskaj dostęp do docelowych zasobów obliczeniowych trenowania, takich jak Azure Machine Learning Compute Instance i Azure Machine Learning compute clusters with private IP addresses (Trenowanie dostępu do zasobów obliczeniowych).
  • Wnioskowanie dostępu do zasobów obliczeniowych — uzyskiwanie dostępu do klastrów obliczeniowych usług Azure Kubernetes Services (AKS) przy użyciu prywatnych adresów IP.

W następnych pięciu sekcjach opisano sposób zabezpieczania scenariusza sieciowego opisanego powyżej. Aby zabezpieczyć sieć, należy:

  1. Zabezpiecz obszar roboczy i skojarzone zasoby.
  2. Zabezpiecz środowisko szkoleniowe.
  3. Zabezpiecz środowisko wnioskowania.
  4. Opcjonalnie: włącz funkcjonalność programu Studio.
  5. Skonfiguruj ustawienia zapory.
  6. Skonfiguruj rozpoznawanie nazw DNS.

Zabezpieczanie obszaru roboczego i skojarzonych zasobów

Aby zabezpieczyć obszar roboczy i skojarzone zasoby, należy wykonać poniższe kroki. Te kroki umożliwiają usługom komunikowanie się w sieci wirtualnej.

  1. Utwórz obszar Private Link z włączoną obsługą sieci, aby umożliwić komunikację między siecią wirtualną i obszarem roboczym.

  2. Dodaj następujące usługi do sieci wirtualnej przy użyciu punktu końcowego usługi lub prywatnego punktu końcowego. Należy również zezwolić zaufanym usługi firmy Microsoft na dostęp do tych usług:

    Usługa Informacje o punkcie końcowym Zezwalaj na zaufane informacje
    Usługa Azure Key Vault Punkt końcowy usługi
    Prywatny punkt końcowy
    Zezwalaj zaufanym usługi firmy Microsoft ominąć tę zaporę
    Konto usługi Azure Storage Punkt końcowy usługi
    Prywatny punkt końcowy
    Udzielanie dostępu do zaufanych usług platformy Azure
    Azure Container Registry Punkt końcowy usługi
    Prywatny punkt końcowy
    Zezwalaj na zaufane usługi

Diagram architektury przedstawiający sposób, w jaki obszar roboczy i skojarzone zasoby komunikują się ze sobą za pośrednictwem punktów końcowych usługi lub prywatnych punktów końcowych w sieci wirtualnej

Aby uzyskać szczegółowe instrukcje dotyczące sposobu wykonania tych kroków, zobacz Secure an Azure Machine Learning workspace (Zabezpieczanie Azure Machine Learning roboczego).

Ograniczenia

Zabezpieczanie obszaru roboczego i skojarzonych zasobów w sieci wirtualnej ma następujące ograniczenia:

  • Korzystanie z Azure Machine Learning z łączem prywatnym nie jest dostępne w Azure Government ani Azure (Chiny) — 21Vianet regionach.
  • Wszystkie zasoby muszą znajdować się za tę samą siecią wirtualną. Jednak podsieci w tej samej sieci wirtualnej są dozwolone.

Zabezpieczanie środowiska szkoleniowego

W tej sekcji dowiesz się, jak zabezpieczyć środowisko szkoleniowe w Azure Machine Learning. Dowiesz się również, Azure Machine Learning kończy zadanie szkoleniowe, aby zrozumieć, jak konfiguracje sieci współpracują ze sobą.

Aby zabezpieczyć środowisko szkoleniowe, należy wykonać następujące czynności:

  1. Utwórz wystąpienie Azure Machine Learning obliczeniowego i klaster komputera w sieci wirtualnej, aby uruchomić zadanie szkolenia.
  2. Zezwalaj na komunikację przychodzącyą z Azure Batch Service, dzięki czemu usługa Batch może przesyłać zadania do zasobów obliczeniowych.

Diagram architektury przedstawiający sposób zabezpieczania zarządzanych klastrów obliczeniowych i wystąpień

Aby uzyskać szczegółowe instrukcje dotyczące sposobu wykonania tych kroków, zobacz Zabezpieczanie środowiska szkoleniowego.

Przykład przesyłania zadania szkoleniowego

W tej sekcji dowiesz się, jak Azure Machine Learning bezpiecznie komunikuje się między usługami w celu przesyłania zadania szkoleniowego. Pokazuje to, jak wszystkie konfiguracje współpracują ze sobą w celu zabezpieczenia komunikacji.

  1. Klient przesyła skrypty szkoleniowe i dane szkoleniowe na konta magazynu, które są zabezpieczone za pomocą usługi lub prywatnego punktu końcowego.

  2. Klient przesyła zadanie szkoleniowe do obszaru roboczego Azure Machine Learning za pośrednictwem prywatnego punktu końcowego.

  3. Azure Batch odbierają zadanie z obszaru roboczego i przesyła je do środowiska obliczeniowego za pośrednictwem publicznego usługi równoważenia obciążenia, która jest aprowizowana za pomocą zasobu obliczeniowego.

  4. Zasób obliczeniowy odbiera zadanie i rozpoczyna szkolenie. Zasoby obliczeniowe mają dostęp do bezpiecznych kont magazynu w celu pobrania plików szkoleniowych i przekazania danych wyjściowych.

Ograniczenia

  • Azure Compute i klastry Azure Compute muszą znajdować się w tej samej sieci wirtualnej, regionie i subskrypcji co obszar roboczy i skojarzone z nim zasoby.

Zabezpieczanie środowiska wnioskowania

W tej sekcji poznasz dostępne opcje zabezpieczania środowiska wnioskowania. Zalecamy używanie klastrów usługi Azure Kubernetes Services (AKS) na użytek wdrożeń produkcyjnych na dużą skalę.

W sieci wirtualnej dostępne są dwie opcje klastrów usługi AKS:

  • Wdrażanie lub dołączanie domyślnego klastra usługi AKS do sieci wirtualnej.
  • Dołącz prywatny klaster usługi AKS do sieci wirtualnej.

Domyślne klastry usługi AKS mają płaszczyznę sterowania z publicznymi adresami IP. Podczas wdrażania można dodać domyślny klaster usługi AKS do sieci wirtualnej lub dołączyć klaster po jego utworzeniu.

Prywatne klastry AKS mają płaszczyznę sterowania, do której można uzyskać dostęp tylko za pośrednictwem prywatnych ip. Prywatne klastry usługi AKS muszą zostać dołączone po jego utworzeniu.

Aby uzyskać szczegółowe instrukcje dotyczące dodawania klastrów domyślnych i prywatnych, zobacz Zabezpieczanie środowiska wnioskowania.

Poniższy diagram sieciowy przedstawia zabezpieczony obszar roboczy Azure Machine Learning z prywatnym klastrem usługi AKS dołączonym do sieci wirtualnej.

Diagram architektury przedstawiający sposób dołączania prywatnego klastra usługi AKS do sieci wirtualnej. Płaszczyzna sterowania AKS znajduje się poza siecią wirtualną klienta

Ograniczenia

  • Klastry usługi AKS muszą należeć do tej samej sieci wirtualnej co obszar roboczy i skojarzone z nim zasoby.

Opcjonalnie: Włącz dostęp publiczny

Obszar roboczy za siecią wirtualną można zabezpieczyć przy użyciu prywatnego punktu końcowego i nadal zezwalać na dostęp za pośrednictwem publicznego Internetu. Konfiguracja początkowa jest taka sama jak w przypadku zabezpieczania obszaru roboczego i skojarzonych zasobów.

Po zabezpieczeniu obszaru roboczego za pomocą linku prywatnego należy włączyć dostęp publiczny. Następnie można uzyskać dostęp do obszaru roboczego zarówno z publicznego Internetu, jak i z sieci wirtualnej.

Ograniczenia

  • Jeśli korzystasz Azure Machine Learning studio publicznym Internecie, niektóre funkcje, takie jak projektant, mogą nie mieć dostępu do danych. Ten problem występuje, gdy dane są przechowywane w usłudze zabezpieczonej za siecią wirtualną. Na przykład konto usługi Azure Storage.

Opcjonalnie: włączanie funkcji programu Studio

Zabezpieczanie obszaru roboczego > Zabezpieczanie środowiska szkoleniowego > Zabezpieczanie środowiska wnioskowania > Włączanie funkcji programu Studio > Konfigurowanie ustawień zapory

Jeśli magazyn znajduje się w sieci wirtualnej, należy najpierw wykonać dodatkowe czynności konfiguracyjne, aby włączyć pełną funkcjonalność w studio. Domyślnie następująca funkcja jest wyłączona:

  • Wyświetlanie podglądu danych w studio.
  • Wizualizowanie danych w projektancie.
  • Wdrażanie modelu w projektancie.
  • Prześlij eksperyment automl.
  • Uruchom projekt etykietowania.

Aby włączyć pełną funkcjonalność studio wewnątrz sieci wirtualnej, zobacz Use Azure Machine Learning studio in a virtual network (Używanie usługi Azure Machine Learning studio w sieci wirtualnej). Studio obsługuje konta magazynu przy użyciu punktów końcowych usługi lub prywatnych punktów końcowych.

Ograniczenia

Etykietowanie danych wspomagane przez ml nie obsługuje domyślnych kont magazynu zabezpieczonych za siecią wirtualną. Do etykietowania danych wspomaganych przez uczenia maszynowego należy użyć konta magazynu, które nie jest domyślne. Pamiętaj, że konto magazynu inne niż domyślne może być zabezpieczone za siecią wirtualną.

Konfigurowanie ustawień zapory

Skonfiguruj zaporę, aby kontrolować dostęp do Azure Machine Learning obszaru roboczego i publicznego Internetu. Chociaż zalecamy Azure Firewall sieci, powinno być możliwe zabezpieczanie sieci przy użyciu innych produktów zapory. Jeśli masz pytania dotyczące sposobu zezwalania na komunikację przez zaporę, zapoznaj się z dokumentacją dotyczącą zapory, z których korzystasz.

Aby uzyskać więcej informacji na temat ustawień zapory, zobacz Korzystanie z obszaru roboczego za zaporą.

Niestandardowe DNS

Jeśli musisz użyć niestandardowego rozwiązania DNS dla sieci wirtualnej, musisz dodać rekordy hosta dla obszaru roboczego.

Aby uzyskać więcej informacji na temat wymaganych nazw domen i adresów IP, zobacz jak używać obszaru roboczego z niestandardowym serwerem DNS.

Następne kroki

Ten artykuł jest jedną z pięciu części serii sieci wirtualnych. Zobacz pozostałe artykuły, aby dowiedzieć się, jak zabezpieczyć sieć wirtualną:

Zapoznaj się również z artykułem na temat używania niestandardowego systemu DNS do rozpoznawania nazw.