Поделиться через

Сетевая изоляция в конечных точках пакетной службы

  • Статья

Вы можете защитить обмен данными конечных точек пакетной службы с помощью частных сетей. В этой статье описываются требования к использованию пакетной конечной точки в среде, защищенной частными сетями.

Защита конечных точек пакетной службы

Конечные точки пакетной службы наследуют конфигурацию сети из рабочей области, в которой они развернуты. Все конечные точки пакетной службы, созданные внутри рабочей области с поддержкой приватного канала, развертываются как частные конечные точки пакетной службы по умолчанию. При правильной настройке рабочей области дополнительная конфигурация не требуется.

Чтобы убедиться, что рабочая область настроена правильно для пакетных конечных точек для работы с частными сетями, убедитесь в следующем:

  1. Вы настроили рабочую область Машинное обучение Azure для частной сети. Дополнительные сведения о том, как достичь его, см. в статье "Создание безопасной рабочей области".

  2. Для Реестр контейнеров Azure в частных сетях существуют некоторые предварительные требования к их конфигурации.

    Предупреждение

    Реестры контейнеров Azure с включенной функцией карантина не поддерживаются на данный момент.

  3. Убедитесь, что для учетных записей хранения настроены частные конечные точки больших двоичных объектов, файлов, очередей и таблиц, как описано в учетных записях хранения Secure Azure. Пакетные развертывания требуют правильной работы всех 4.

На следующей схеме показано, как выглядит сеть для конечных точек пакетной службы при развертывании в частной рабочей области:

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

Внимание

Конечные точки пакетной службы, в отличие от сетевых конечных точек, не поддерживают ключи public_network_access или egress_public_network_access при настройке конечной точки. Невозможно развернуть общедоступные конечные точки пакетной службы в рабочих областях с поддержкой приватного канала.

Защита заданий пакетного развертывания

Машинное обучение Azure пакетные развертывания выполняются в вычислительных кластерах. Для защиты заданий пакетного развертывания эти вычислительные кластеры также должны быть развернуты в виртуальной сети.

  1. Создайте кластер компьютеров Машинное обучение Azure в виртуальной сети.

  2. Убедитесь, что все связанные службы имеют частные конечные точки, настроенные в сети. Частные конечные точки используются не только для рабочей области Машинное обучение Azure, но и для связанных с ним ресурсов, таких как служба хранилища Azure, Azure Key Vault или Реестр контейнеров Azure. Реестр контейнеров Azure является обязательной службой. При защите рабочей области Машинное обучение Azure с помощью виртуальных сетей обратите внимание, что существуют некоторые предварительные требования для Реестр контейнеров Azure.

  3. Если в вычислительном экземпляре используется общедоступный IP-адрес, необходимо разрешить входящий обмен данными , чтобы службы управления могли отправлять задания в вычислительные ресурсы.

    Совет

    Вычислительный кластер и вычислительный экземпляр можно создать с общедоступным IP-адресом или без него. При создании с помощью общедоступного IP-адреса вы получите подсистему балансировки нагрузки с общедоступным IP-адресом, чтобы принимать входящий трафик из пакетной службы Azure и службы "Машинное обучение Azure". При использовании брандмауэра необходимо настроить определяемую пользователем маршрутизацию (UDR). При создании без использования общедоступного IP-адреса вы получите службу приватного канала для приема входящего трафика из пакетной службы Azure и службы "Машинное обучение Azure" без общедоступного IP-адреса.

  4. В зависимости от вашего случая может потребоваться дополнительная группа безопасности сети. Дополнительные сведения см. в разделе "Защита среды обучения".

Дополнительные сведения см. в статье "Защита среды обучения Машинное обучение Azure с помощью виртуальных сетей".

Ограничения

При работе с конечными точками пакетной службы, развернутыми в отношении сети, учитывайте следующие ограничения:

  • Если изменить сетевую конфигурацию рабочей области с общедоступной на частную или с частной на общедоступную, это не влияет на существующую конфигурацию сети конечных точек пакетной службы. Конечные точки пакетной службы зависят от конфигурации рабочей области во время создания. Вы можете повторно создать конечные точки, если вы хотите, чтобы они отражали изменения, внесенные в рабочую область.

  • При работе с рабочей областью с поддержкой приватного канала конечные точки пакетной службы можно создавать и управлять ими с помощью Студия машинного обучения Azure. Однако их нельзя вызывать из пользовательского интерфейса в студии. Вместо создания задания используйте Машинное обучение Azure CLI версии 2. Дополнительные сведения об использовании этой точки см. в статье "Запуск конечной точки пакетной службы" для запуска задания оценки пакетной службы.