Общие сведения об изоляции и конфиденциальности в виртуальной сети

В этой статье описано использование виртуальных сетей (VNets) для защиты сетевого взаимодействия в решении "Машинное обучение Azure". В статье использован пример сценария для демонстрации настройки полной виртуальной сети.

Эта статья представляет собой первую часть серии из пяти частей, описывающих способы обеспечения безопасности рабочего процесса "Машинное обучение Azure". Настоятельно рекомендуем сначала изучить эту обзорную статью, чтобы ознакомиться с основными понятиями.

Ниже приведены другие статьи этой серии.

1. Общие сведения о виртуальных сетях > 2. Обеспечение безопасности рабочей области > 3. Обеспечение безопасности среды обучения > 4. Обеспечение безопасности среды для операций вывода > 5. Включение функциональных возможностей студии

Предварительные требования

В этой статье предполагается, что вы ознакомились со следующими темами:

Пример сценария

В этом разделе вы ознакомитесь с настройкой общего сетевого сценария для защиты взаимодействия службы "Машинное обучение Azure" с частными IP-адресами.

В таблице ниже проведено сравнение обращения к разным частям сети "Машинное обучение Azure" как с виртуальной сетью, так и без нее.

Сценарий Рабочая область Связанные ресурсы Вычислительная среда для обучения Вычислительная среда для операций вывода
Без виртуальной сети Общедоступный IP-адрес Общедоступный IP-адрес Общедоступный IP-адрес Общедоступный IP-адрес
Защита ресурсов в виртуальной сети Частный IP-адрес (частная конечная точка) Общедоступный IP-адрес (конечная точка службы)
- или -
Частный IP-адрес (частная конечная точка)
Частный IP-адрес Частный IP-адрес
  • Рабочая область. Создайте частную конечную точку из виртуальной сети для подключения к Приватному каналу Azure в рабочей области. Частная конечная точка подключает рабочую область к виртуальной сети через несколько частных IP-адресов.
  • Связанный ресурс. Используйте конечные точки службы или частные конечные точки для подключения к ресурсам рабочей области, таким как служба хранилища Azure, Azure Key Vault и службы контейнеров Azure.
    • Конечные точки службы предоставляют идентификатор виртуальной сети службе Azure. После включения конечных точек службы в виртуальной сети можно добавить правило виртуальной сети, чтобы обеспечить безопасность ресурсов службы Azure в виртуальной сети. Конечные точки службы используют общедоступные IP-адреса.
    • Частные конечные точки — это сетевые интерфейсы, которые безопасно подключают пользователя к службе на базе Приватного канала Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, фактически перемещая службу в виртуальную сеть.
  • Доступ к вычислительной среде обучения . Обеспечение безопасного доступа с помощью частных IP-адресов к целевым объектам вычислительной среды обучения, таким как экземпляр Вычислительной среды Машинного обучения Azure и вычислительные кластеры службы "Машинное обучение Azure".
  • Доступ к вычислительной среде для операций вывода. Обеспечение доступа к вычислительным кластерам службы Azure Kubernetes (AKS) с помощью частных IP-адресов.

В следующих пяти разделах описаны методы защиты описанного выше сетевого сценария. Для защиты сети необходимо выполнить действия, описанные ниже.

  1. Обеспечение безопасности рабочей области и связанных ресурсов.
  2. Обеспечение безопасности среды обучения.
  3. Обеспечение безопасности среды для операций вывода.
  4. Дополнительно: включение функциональных возможностей студии.
  5. Настройка параметров брандмауэра.
  6. Настройка разрешения имен DNS.

Защита рабочей области и связанных ресурсов

Чтобы защитить рабочую область и связанные с ней ресурсы, выполните действия, описанные ниже. Эти действия обеспечивают взаимодействие служб в виртуальной сети.

  1. Создайте рабочую область с поддержкой Приватного канала Azure, чтобы обеспечить взаимодействие между виртуальной сетью и рабочей областью.

  2. Добавьте в виртуальную сеть указанные ниже службы, используя либо конечную точку службы или частную конечную точку. Кроме того, необходимо разрешить доступ к этим службам для доверенных служб Майкрософт.

    Служба Сведения о конечных точках Разрешить доверенные сведения
    Azure Key Vault Конечная точка службы
    Частная конечная точка
    Разрешить доверенным службам Майкрософт обходить этот брандмауэр
    Учетная запись хранения Azure Конечная точка службы
    Частная конечная точка
    Предоставить доступ к доверенным службам Azure
    Реестр контейнеров Azure Конечная точка службы
    Частная конечная точка
    Разрешить доверенные службы

Схема архитектуры, отображающая взаимодействие рабочей области и связанных ресурсов через конечные точки службы или частные конечные точки в виртуальной сети

Подробные инструкции по выполнению этих действий см. в статье Защита рабочей области "Машинное обучение Azure".

Ограничения

Для защиты рабочей области и связанных с ней ресурсов в виртуальной сети установлены описанные ниже ограничения.

  • Использование рабочей области "Машинное обучение Azure" через приватный канал недоступно в регионах Azure для государственных организаций и регионах Azure для Китая (21Vianet).
  • Все ресурсы должны находиться за границами одной виртуальной сети. Однако разрешены подсети в рамках одной и той же виртуальной сети.

Обеспечение безопасности среды обучения

В этом разделе вы ознакомитесь с методами обеспечения безопасности среды обучения в решении "Машинное обучение Azure". Вы также узнаете, как решение "Машинное обучение Azure" выполняет учебное задание, и разберетесь в совместной работой сетевых конфигураций.

Чтобы обеспечить безопасность среды обучения, выполните действия, описанные ниже.

  1. Для запуска учебного задания создайте вычислительный экземпляр и вычислительный кластер в виртуальной сети для решения "Машинное обучение Azure".
  2. Разрешите входящий трафик из пакетной службы Azure, чтобы пакетная служба Microsoft Azure могла отправлять задания в вычислительные ресурсы.

Схема архитектуры, демонстрирующая защиту управляемых вычислительных кластеров и экземпляров

Подробные инструкции по выполнению этих действий см. в разделе Обеспечение безопасности среды обучения.

Пример отправки учебного задания

В этом разделе вы ознакомитесь с тем, как решение "Машинное обучение Azure" обеспечивает безопасное взаимодействие между службами для отправки учебного задания. Здесь показана совместная работа всех конфигураций для безопасного обмена данными.

  1. Клиент отправляет учебные сценарии и данные для обучения в учетные записи хранения, защищенные с помощью службы или частной конечной точки.

  2. Клиент отправляет учебное задание в рабочую область "Машинное обучение Azure" через частную конечную точку.

  3. Пакетная служба Azure получает задание из рабочей области и отправляет учебное задание в среду вычислений через общедоступную подсистему балансировки нагрузки, подготовленную с помощью вычислительного ресурса.

  4. Вычислительный ресурс получает задание и начинает обучение. Вычислительные ресурсы получают доступ к защищенным учетным записям хранения для загрузки обучающих файлов и передачи выходных данных.

Ограничения

  • Вычислительный экземпляр Azure и вычислительные кластеры Azure должны находиться в той же виртуальной сети, регионе и подписке, что и рабочая область и связанные с ней ресурсы.

Обеспечение безопасности среды для операций вывода

В этом разделе описаны параметры, доступные для обеспечения безопасности среды для операций вывода. Рекомендуем использовать кластеры службы Azure Kubernetes (AKS) для масштабных производственных развертываний.

Имеется два варианта для кластеров AKS в виртуальной сети.

  • Развертывание или присоединение кластера AKS по умолчанию к виртуальной сети.
  • Присоединение частного кластера AKS к виртуальной сети.

Кластеры AKS по умолчанию имеют уровень управления с общедоступными IP-адресами. Кластер AKS по умолчанию можно добавить в виртуальную сеть в процессе развертывания либо можно подключить кластер после его создания.

Частные кластеры AKS имеют уровень управления, доступ к которому может осуществляться только через частные IP-адреса. Частные кластеры AKS должны присоединяться после создания кластера.

Подробные инструкции по добавлению кластера по умолчанию и частных кластеров см. в разделе Обеспечение безопасности среды для операций вывода.

На схеме сети, представленной ниже, показана защищенная рабочая область "Машинное обучение Azure" с частным кластером AKS, подключенным к виртуальной сети.

Схема архитектуры, демонстрирующая подключение частного кластера AKS к виртуальной сети. Уровень управления AKS находится за пределами клиентской виртуальной сети

Ограничения

  • Кластеры AKS должны принадлежать к той же виртуальной сети, что и рабочая область и связанные с ней ресурсы.

Дополнительно: включение общего доступа

С помощью частной конечной точки можно защитить рабочую область границей виртуальной сети, при этом по-прежнему разрешая доступ через общедоступный Интернет. Начальная конфигурация аналогична конфигурации для обеспечения безопасности рабочей области и связанных с ней ресурсов.

После защиты рабочей области с помощью закрытой ссылки можно включить общий доступ. После этого доступ к рабочей области обеспечивается как из общедоступной сети Интернет, так и из виртуальной сети.

Ограничения

  • Если Студия машинного обучения Azure используется через общедоступную сеть Интернет, некоторые функции, например конструктор, могут не получать доступ к данным. Эта проблема возникает, если данные хранятся в службе, защищенной за границей виртуальной сети. Это, к примеру, учетная запись службы хранилища Microsoft Azure.

Дополнительно: включение функциональных возможностей студии.

Обеспечение безопасности рабочей области > Обеспечение безопасности среды обучения > Обеспечение безопасности среды для операций вывода > Включение функциональных возможностей студии > Настройка параметров брандмауэра

Если хранилище находится в виртуальной сети, то для включения функциональных возможностей студии в полном объеме необходимо сначала выполнить дополнительные действия по настройке. По умолчанию отключены компоненты, указанные ниже.

  • Предварительный просмотр данных в студии.
  • Визуализация данных в конструкторе.
  • Развертывание модели в конструкторе.
  • Отправка эксперимента автоматизированного машинного обучения (AutoML).
  • Запуск проекта маркировки.

Сведения о включении функциональных возможностей студии в полном объеме в рамках виртуальной сети см. в статье Использование Студии машинного обучения Azure в виртуальных сетях. Студия поддерживает учетные записи хранения с помощью конечных точек службы или частных конечных точек.

Ограничения

Служба маркировки данных с поддержкой Машинного обучения Azure не поддерживает учетные записи хранения по умолчанию, защищенные за границей виртуальной сети. Для маркировки данных с поддержкой Машинного обучения Azure необходимо использовать учетную запись хранения, не используемую по умолчанию. Обратите внимание, что учетная запись хранения, не используемая по умолчанию, может быть защищена за границей виртуальной сети.

Настройка параметров брандмауэра

Настройте брандмауэр для управления доступом к ресурсам рабочей области "Машинное обучение Azure" и общедоступной сети Интернет. Хотя мы рекомендуем использовать Брандмауэр Azure, можно использовать другие продукты межсетевой защиты для обеспечения безопасности сети. Если возникают вопросы о том, как разрешить обмен данными через брандмауэр, см. документацию по используемому брандмауэру.

Дополнительные сведения о параметрах брандмауэра см. в статье Использование рабочей области за границей брандмауэра.

Пользовательский DNS

Если для виртуальной сети необходимо использовать пользовательское решение DNS, следует добавить записи узла для рабочей области.

Дополнительные сведения о необходимых доменных именах и IP-адресах см. в статье Использование рабочей области с пользовательским DNS-сервером.

Дальнейшие действия

Эта статья представляет собой первую часть серии статей о виртуальных сетях из пяти частей. Ознакомьтесь с другими статьями с информацией об обеспечении безопасности виртуальной сети.

Также см. статью об использовании пользовательского DNS для разрешения имен.