Isolamento de rede em pontos de extremidade em lote

Você pode proteger a comunicação de pontos de extremidade em lotes usando redes privadas. Este artigo explica os requisitos para usar pontos de extremidade em lote em um ambiente protegido por redes privadas.

Proteger pontos de extremidade em lote

Os pontos de extremidade em lote herdam a configuração de rede do espaço de trabalho em que são implantados. Todos os pontos de extremidade em lote criados dentro do espaço de trabalho habilitado para link privado são implantados como pontos de extremidade em lote privados por padrão. Quando o espaço de trabalho está configurado corretamente, nenhuma configuração adicional é necessária.

Para verificar se seu espaço de trabalho está corretamente configurado para que os pontos de extremidade em lote funcionem com redes privadas, verifique o seguinte:

1. Você configurou seu workspace do Azure Machine Learning para a rede privada. Para saber como criar um workspace seguro, confira Criar um workspace seguro.

2. Para o Registro de Contêiner do Azure em redes privadas, há alguns pré-requisitos sobre a configuração.

   Aviso

   No momento, não há suporte para os Registros de Contêiner do Azure com o recurso de quarentena habilitado.

3. Configure os pontos de extremidade privados de blob, arquivo, fila e tabela para as contas de armazenamento, conforme explicado em Contas de armazenamento seguras do Azure. As implantações em lote exigem que todos os quatro funcionem corretamente.

O diagrama a seguir mostra a aparência da rede dos pontos de extremidade em lote quando a implantação é feita em um workspace privado:

Cuidado

Os pontos de extremidade de lote, ao contrário dos pontos de extremidade online, não dão suporte às chaves public_network_access ou egress_public_network_access ao configurar o ponto de extremidade. Não é possível implantar pontos de extremidade em lote públicos em espaços de trabalho habilitados para link privado.

Proteger trabalhos de implantação em lote

As implantações em lote do Azure Machine Learning são executadas em clusters de cálculo. Para proteger os trabalhos de implantação em lote, esses clusters de cálculo também precisam ser implantados em uma rede virtual.

1. Crie um cluster de cálculo do Azure Machine Learning na rede virtual.

2. Verifique se todos os serviços relacionados têm pontos de extremidade privados configurados na rede. Os pontos de extremidade privados são usados não apenas para o workspace do Azure Machine Learning, mas, também, para seus recursos associados, como Armazenamento do Microsoft Azure, Azure Key Vault ou Registro de Contêiner do Azure. O Registro de Contêiner do Azure é um serviço necessário. Ao proteger o workspace do Azure Machine Learning com redes virtuais, observe que há alguns pré-requisitos sobre o Registro de Contêiner do Azure.

3. Se a instância de computação usar um endereço IP público, será necessário Permitir a comunicação de entrada para que os serviços de gerenciamento possam enviar trabalhos aos recursos de computação.

   Dica

   O cluster e a instância de computação podem ser criados com ou sem um endereço IP público. Se criado com um endereço IP público, você obtém um balanceador de carga com um IP público para aceitar o acesso de entrada do serviço de lote do Azure e do serviço do Azure Machine Learning. Você precisará configurar o UDR (Roteamento Definido pelo Usuário) se usar um firewall. Se criado sem um IP público, você obtém um serviço de link privado para aceitar o acesso de entrada do serviço de lote do Azure e do serviço do Azure Machine Learning sem um IP público.

4. Um NSG extra pode ser necessário dependendo do caso. Para obter mais informações, consulte Como proteger seu ambiente de treinamento.

Para obter mais informações, consulte o artigo Proteger um ambiente de treinamento do Azure Machine Learning com redes virtuais.

Limitações

Considere as seguintes limitações ao trabalhar nos pontos de extremidade em lote implantados em relação à rede:

• Se você alterar a configuração de rede do workspace de público para privado ou de privado para público, isso não afetará a configuração de rede dos pontos de extremidade em lote existente. Os pontos de extremidade em lote dependem da configuração do workspace no momento da criação. Você pode recriar seus pontos de extremidade se quiser que eles reflitam as alterações feitas no workspace.

• Ao trabalhar em workspaces habilitados para link privado, é possível criar e gerenciar os pontos de extremidade em lote usando o Estúdio do Azure Machine Learning. No entanto, não é possível invocá-los por meio da IU no Estúdio. Use a CLI v2 do Azure Machine Learning como alternativa para a criação de trabalhos. Para obter mais detalhes sobre como usá-lo, confira Executar o ponto de extremidade do lote para iniciar um trabalho de pontuação em lote.

Leitura recomendada

• Proteger recursos do workspace do Azure Machine Learning usando redes virtuais (VNets)