Skydda en Azure Machine Learning-träningsmiljö med virtuella nätverk

I den här artikeln får du lära dig hur du skyddar träningsmiljöer med ett virtuellt nätverk i Azure Machine Learning.

Tips

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning arbetsflöde. Se de andra artiklarna i den här serien:

En självstudiekurs om hur du skapar en säker arbetsyta finns i Självstudie: Skapa en säker arbetsyta eller Självstudie: Skapa en säker arbetsyta med hjälp av en mall.

I den här artikeln får du lära dig hur du skyddar följande träningsberäkningsresurser i ett virtuellt nätverk:

  • Azure Machine Learning beräkningskluster
  • Azure Machine Learning-beräkningsinstans
  • Azure Databricks
  • Virtuell dator
  • HDInsight-kluster

Förutsättningar

  • Läs artikeln Översikt över nätverkssäkerhet för att förstå vanliga scenarier för virtuella nätverk och övergripande arkitektur för virtuella nätverk.

  • Ett befintligt virtuellt nätverk och undernät som ska användas med dina beräkningsresurser.

  • Om du vill distribuera resurser till ett virtuellt nätverk eller undernät måste ditt användarkonto ha behörighet till följande åtgärder i rollbaserad åtkomstkontroll i Azure (Azure RBAC):

    • "Microsoft.Network/virtualNetworks/*/read" på den virtuella nätverksresursen. Den här behörigheten behövs inte för distributioner av ARM-mallar (Azure Resource Manager).
    • "Microsoft.Network/virtualNetworks/subnet/join/action" på undernätsresursen.

    Mer information om Azure RBAC med nätverk finns i Inbyggda roller för nätverk

Azure Machine Learning beräkningskluster/instans

  • Beräkningskluster och instanser skapar följande resurser. Om de inte kan skapa dessa resurser (till exempel om det finns ett resurslås på resursgruppen) kan det hända att det inte går att skapa, skala ut eller skala in.

    • IP-adress.
    • Nätverkssäkerhetsgrupp (NSG).
    • Lastbalanserare.
  • Det virtuella nätverket måste finnas i samma prenumeration som Azure Machine Learning arbetsytan.

  • Undernätet som används för beräkningsinstansen eller klustret måste ha tillräckligt med otilldelade IP-adresser.

    • Ett beräkningskluster kan skalas dynamiskt. Om det inte finns tillräckligt med otilldelade IP-adresser allokeras klustret delvis.
    • En beräkningsinstans kräver bara en IP-adress.
  • Om du vill skapa ett beräkningskluster eller en instans utan en offentlig IP-adress (en förhandsgranskningsfunktion) måste din arbetsyta använda en privat slutpunkt för att ansluta till det virtuella nätverket. Mer information finns i Konfigurera en privat slutpunkt för Azure Machine Learning arbetsyta.

  • Om du planerar att skydda det virtuella nätverket genom att begränsa trafiken kan du läsa avsnittet Obligatorisk offentlig Internetåtkomst .

  • Undernätet som används för att distribuera beräkningskluster/instanser bör inte delegeras till någon annan tjänst. Den bör till exempel inte delegeras till ACI.

Azure Databricks

  • Det virtuella nätverket måste finnas i samma prenumeration och region som den Azure Machine Learning arbetsytan.
  • Om Azure Storage-konton för arbetsytan också skyddas i ett virtuellt nätverk måste de finnas i samma virtuella nätverk som Azure Databricks-klustret.

Begränsningar

Azure Machine Learning beräkningskluster/instans

  • Om du placerar flera beräkningsinstanser eller kluster i ett virtuellt nätverk kan du behöva begära en kvotökning för en eller flera av dina resurser. Den Machine Learning beräkningsinstansen eller klustret allokerar automatiskt nätverksresurser i resursgruppen som innehåller det virtuella nätverket. För varje beräkningsinstans eller kluster allokerar tjänsten följande resurser:

    • En nätverkssäkerhetsgrupp (NSG). Den här NSG:n innehåller följande regler, som är specifika för beräkningskluster och beräkningsinstanser:

      • Tillåt inkommande TCP-trafik på portarna 29876-29877 från BatchNodeManagement tjänsttaggen.
      • Tillåt inkommande TCP-trafik på port 44224 från AzureMachineLearning tjänsttaggen.

      Följande skärmbild visar ett exempel på dessa regler:

      Screenshot of NSG

      Tips

      Om beräkningsklustret eller instansen inte använder en offentlig IP-adress (en förhandsversionsfunktion) krävs inte dessa inkommande NSG-regler.

    • För beräkningskluster eller instanser är det nu möjligt att ta bort den offentliga IP-adressen (en förhandsgranskningsfunktion). Om du har Azure Policy tilldelningar som förbjuder skapande av offentliga IP-adresser kommer distributionen av beräkningsklustret eller instansen att lyckas.

    • En lastbalanserare

    För beräkningskluster tas dessa resurser bort varje gång klustret skalar ned till 0 noder och skapas vid uppskalning.

    För en beräkningsinstans behålls resurserna tills instansen tas bort. Om du stoppar instansen tar du inte bort resurserna.

    Viktigt

    Dessa resurser begränsas av prenumerationens resurskvoter. Om den virtuella nätverksresursgruppen är låst kommer borttagningen av beräkningsklustret/instansen att misslyckas. Det går inte att ta bort lastbalanseraren förrän beräkningsklustret/instansen har tagits bort. Kontrollera också att det inte finns någon Azure Policy tilldelning som förhindrar att nätverkssäkerhetsgrupper skapas.

  • Om du skapar en beräkningsinstans och planerar att använda konfigurationen utan offentlig IP-adress måste din Azure Machine Learning arbetsytans hanterade identitet tilldelas rollen Läsare för det virtuella nätverk som innehåller arbetsytan. Mer information om hur du tilldelar roller finns i Steg för att tilldela en Azure-roll.

  • Om du har konfigurerat Azure Container Registry för din arbetsyta bakom det virtuella nätverket måste du använda ett beräkningskluster för att skapa Docker-avbildningar. Du kan inte använda ett beräkningskluster utan konfiguration av offentliga IP-adresser. Mer information finns i Aktivera Azure Container Registry.

  • Om Azure Storage konton för arbetsytan också finns i det virtuella nätverket använder du följande vägledning om undernätsbegränsningar:

    • Om du planerar att använda Azure Machine Learning Studio för att visualisera data eller använda Designer måste lagringskontot finnas i samma undernät som beräkningsinstansen eller klustret.
    • Om du planerar att använda SDK:t kan lagringskontot finnas i ett annat undernät.

    Anteckning

    Det räcker inte att lägga till en resursinstans för arbetsytan eller markera kryssrutan "Tillåt betrodda Microsoft-tjänster att komma åt det här kontot" för att tillåta kommunikation från beräkningen.

  • När din arbetsyta använder en privat slutpunkt kan beräkningsinstansen endast nås inifrån det virtuella nätverket. Om du använder en anpassad DNS- eller värdfil lägger du till en post för <instance-name>.<region>.instances.azureml.ms. Mappa den här posten till den privata IP-adressen för arbetsytans privata slutpunkt. Mer information finns i den anpassade DNS-artikeln .

  • Principer för tjänstslutpunkter för virtuella nätverk fungerar inte för lagringskonton för beräkningskluster/instanssystem.

  • Om lagrings- och beräkningsinstansen finns i olika regioner kan det uppstå tillfälliga timeouter.

  • Om Azure Container Registry för din arbetsyta använder en privat slutpunkt för att ansluta till det virtuella nätverket kan du inte använda en hanterad identitet för beräkningsinstansen. Om du vill använda en hanterad identitet med beräkningsinstansen ska du inte placera containerregistret i det virtuella nätverket.

  • Om du vill använda Jupyter Notebooks på en beräkningsinstans:

    • Inaktivera inte websocket-kommunikation. Kontrollera att nätverket tillåter websocket-kommunikation till *.instances.azureml.net och *.instances.azureml.ms.
    • Kontrollera att notebook-filen körs på en beräkningsresurs bakom samma virtuella nätverk och undernät som dina data. När du skapar beräkningsinstansen använder du Avancerade inställningarKonfigurera>virtuellt nätverk för att välja nätverk och undernät.
  • Beräkningskluster kan skapas i en annan region än din arbetsyta. Den här funktionen är i förhandsversion och är endast tillgänglig för beräkningskluster, inte beräkningsinstanser. När du använder en annan region för klustret gäller följande begränsningar:

    • Om arbetsytans associerade resurser, till exempel lagring, finns i ett annat virtuellt nätverk än klustret konfigurerar du global peering för virtuella nätverk mellan nätverken. Mer information finns i Peering för virtuella nätverk.
    • Du kan se ökade kostnader för nätverksfördröjning och dataöverföring. Svarstiden och kostnaderna kan uppstå när klustret skapas och när jobb körs på det.

    Vägledning som att använda NSG-regler, användardefinierade vägar och krav på indata/utdata gäller som vanligt när du använder en annan region än arbetsytan.

    Varning

    Om du använder en privat slutpunktsaktiverad arbetsytastöds inte att skapa klustret i en annan region.

Azure Databricks

  • Förutom de databricks-private och databricks-public-undernät som används av Azure Databricks krävs även standardundernätet som skapats för det virtuella nätverket.
  • Azure Databricks använder inte en privat slutpunkt för att kommunicera med det virtuella nätverket.

Mer information om hur du använder Azure Databricks i ett virtuellt nätverk finns i Distribuera Azure Databricks i din Azure-Virtual Network.

Azure HDInsight eller virtuell dator

  • Azure Machine Learning stöder endast virtuella datorer som kör Ubuntu.

Nödvändig offentlig Internetåtkomst

Azure Machine Learning kräver både inkommande och utgående åtkomst till det offentliga Internet. Följande tabeller ger en översikt över vilken åtkomst som krävs och vad den är till för. Protokollet för alla objekt är TCP. För tjänsttaggar som slutar i .regionersätter region du med Den Azure-region som innehåller din arbetsyta. Till exempel Storage.westus:

Riktning Portar Tjänsttagg Syfte
Inkommande 29876–29877 BatchNodeManagement Skapa, uppdatera och ta bort Azure Machine Learning beräkningsinstans och beräkningskluster.
Inkommande 44224 AzureMachineLearning Skapa, uppdatera och ta bort Azure Machine Learning beräkningsinstans.
Utgående 443 AzureMonitor Används för att logga övervakning och mått till App Insights och Azure Monitor.
Utgående 80, 443 AzureActiveDirectory Autentisering med hjälp av Azure AD.
Utgående 443 AzureMachineLearning Använda Azure Machine Learning tjänster.
Utgående 443 AzureResourceManager Skapa Azure-resurser med Azure Machine Learning.
Utgående 443 Storage.region Komma åt data som lagras i Azure Storage-kontot för Azure Batch-tjänsten.
Utgående 443 AzureFrontDoor.FrontEnd
* Behövs inte i Azure Kina.
Global startpunkt för Azure Machine Learning-studio.
Utgående 443 ContainerRegistry.region Få åtkomst till Docker-avbildningar från Microsoft.
Utgående 443 MicrosoftContainerRegistry.region Få åtkomst till Docker-avbildningar från Microsoft. Installation av Azure Machine Learning router för Azure Kubernetes Service.
Utgående 443 Keyvault.region Få åtkomst till nyckelvalvet för Azure Batch-tjänsten. Behövs bara om arbetsytan har skapats med flaggan hbi_workspace aktiverad.

Tips

Om du behöver IP-adresserna i stället för tjänsttaggar använder du något av följande alternativ:

IP-adresserna kan ändras med jämna mellanrum.

Du kan också behöva tillåta utgående trafik till Visual Studio Code- och icke-Microsoft-webbplatser för installation av paket som krävs av ditt maskininlärningsprojekt. I följande tabell visas vanliga lagringsplatser för maskininlärning:

Värdnamn Syfte

anaconda.com *.anaconda.com
Används för att installera standardpaket.
*.anaconda.org Används för att hämta lagringsplatsdata.
pypi.org Används för att lista beroenden från standardindexet, om det finns några, och indexet skrivs inte över av användarinställningarna. Om indexet skrivs över måste du även tillåta *.pythonhosted.org.
cloud.r-project.org Används vid installation av CRAN-paket för R-utveckling.
*pytorch.org Används av några exempel som baseras på PyTorch.
*.tensorflow.org Används av några exempel som baseras på Tensorflow.


update.code.visualstudio.com *.vo.msecnd.net
Används för att hämta VS Code-serverbitar som installeras på beräkningsinstansen via ett installationsskript.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* Används för att hämta websocket-serverbitar som är installerade på beräkningsinstansen. Websocket-servern används för att överföra begäranden från Visual Studio Code-klienten (skrivbordsprogram) till Visual Studio Code-server som körs på beräkningsinstansen.

När du använder Azure Kubernetes Service (AKS) med Azure Machine Learning ska du tillåta följande trafik till det virtuella AKS-nätverket:

Information om hur du använder en brandväggslösning finns i Använda en brandvägg med Azure Machine Learning.

Beräkningskluster

Använd flikarna nedan för att välja hur du planerar att skapa ett beräkningskluster:

Använd följande steg för att skapa ett beräkningskluster i Azure Machine Learning-studio:

  1. Logga in på Azure Machine Learning-studio och välj sedan din prenumeration och arbetsyta.

  2. Välj Beräkning till vänster, Beräkningskluster i mitten och välj sedan + Ny.

    Screenshot of creating a cluster

  3. I dialogrutan Skapa beräkningskluster väljer du den VM-storlek och konfiguration som du behöver och väljer sedan Nästa.

    Screenshot of setting VM config

  4. I avsnittet Konfigurera Inställningar anger du beräkningsnamn, virtuellt nätverk och undernät.

    Screenshot shows setting compute name, virtual network, and subnet.

    Tips

    Om arbetsytan använder en privat slutpunkt för att ansluta till det virtuella nätverket är fältet Val av virtuellt nätverk nedtonat.

  5. Välj Skapa för att skapa beräkningsklustret.

När skapandeprocessen är klar tränar du din modell med hjälp av klustret i ett experiment. Mer information finns i Välj och använda ett beräkningsmål för träning.

Anteckning

Du kan välja att använda virtuella datorer med låg prioritet för att köra vissa eller alla dina arbetsbelastningar. Se hur du skapar en virtuell dator med låg prioritet.

Ingen offentlig IP-adress för beräkningskluster (förhandsversion)

När du aktiverar Ingen offentlig IP-adress använder beräkningsklustret inte en offentlig IP-adress för kommunikation med några beroenden. I stället kommunicerar den enbart inom det virtuella nätverket med hjälp av Azure Private Link ekosystem och tjänst-/privata slutpunkter, vilket eliminerar behovet av en offentlig IP-adress helt. Ingen offentlig IP-adress tar bort åtkomst och identifiering av beräkningsklusternoder från Internet, vilket eliminerar en betydande hotvektor. Inga offentliga IP-kluster hjälper till att uppfylla inga offentliga IP-principer som många företag har.

Varning

Som standard har du inte offentlig Internetåtkomst från Inget offentligt IP-beräkningskluster. Du måste konfigurera användardefinierad routning (UDR) för att nå en offentlig IP-adress för att få åtkomst till Internet. Du kan till exempel använda en offentlig IP-adress för brandväggen eller använda Virtual Network NAT med en offentlig IP-adress.

Ett beräkningskluster utan offentlig IP-adress har inga krav på inkommande kommunikation från offentligt Internet. Det innebär att varken NSG-regeln BatchNodeManagement eller AzureMachineLearning för inkommande trafik krävs. Men du måste fortfarande tillåta inkommande trafik från källan för VirtualNetwork och alla portkällor till målet för VirtualNetwork samt målport 29876 och 29877.

Inga offentliga IP-kluster är beroende av Azure Private Link för Azure Machine Learning arbetsyta. Ett beräkningskluster utan offentlig IP kräver också att du inaktiverar nätverksprinciper för privata slutpunkter och nätverksprinciper för privata länkar. Dessa krav kommer från Azures privata länktjänst och privata slutpunkter och är inte Azure Machine Learning specifika. Följ anvisningarna i Inaktivera nätverksprinciper för Private Link-tjänsten för att ange parametrarna disable-private-endpoint-network-policies och disable-private-link-service-network-policies i det virtuella nätverkets undernät.

För att utgående anslutningar ska fungera måste du konfigurera en utgående brandvägg, till exempel Azure-brandväggen med användardefinierade vägar. Du kan till exempel använda en brandvägg med inkommande/utgående konfiguration och dirigera trafik dit genom att definiera en routningstabell i undernätet där beräkningsklustret distribueras. Routningstabellposten kan konfigurera nästa hopp för brandväggens privata IP-adress med adressprefixet 0.0.0.0/0.

Du kan använda en tjänstslutpunkt eller en privat slutpunkt för ditt Azure-containerregister och Azure Storage i det undernät där klustret distribueras.

Om du vill skapa ett beräkningskluster för offentliga IP-adresser (en förhandsversionsfunktion) i studio anger du kryssrutan Ingen offentlig IP-adress i avsnittet virtuellt nätverk. Du kan också skapa inget offentligt IP-beräkningskluster via en ARM-mall. I ARM-malluppsättningen aktiverar du parameternNodePublicIP till false.

Anteckning

Stöd för beräkningsinstanser utan offentliga IP-adresser är för närvarande tillgängligt och i offentlig förhandsversion för följande regioner: Frankrike, centrala, Asien, östra, USA, västra centrala, USA, södra centrala, USA, västra 2, USA, östra, USA, östra 2, Europa, norra, Europa, västra, USA, centrala, USA, norra centrala, USA, västra, Australien, östra, Japan, östra, Japan, västra.

Stöd för beräkningskluster utan offentliga IP-adresser är för närvarande tillgängligt och i offentlig förhandsversion för följande regioner: Frankrike, centrala, Asien, östra, USA, västra centrala, USA, södra centrala, USA, västra 2, USA, östra, Europa, norra; USA, östra; USA, östra; Europa, östra; USA, östra 2; USA, centrala, Europa, västra; USA, norra centrala, USA, västra, Australien, östra, Japan, östra, Japan, västra.

Felsökning

  • Om du får det här felmeddelandet när du skapar klustret The specified subnet has PrivateLinkServiceNetworkPolicies or PrivateEndpointNetworkEndpoints enabledföljer du anvisningarna i Inaktivera nätverksprinciper för Private Link-tjänsten och Inaktivera nätverksprinciper för privat slutpunkt.

  • Om jobbkörningen misslyckas med anslutningsproblem till ACR eller Azure Storage kontrollerar du att kunden har lagt till ACR och Azure Storage tjänstslutpunkt/privata slutpunkter i undernätet och ACR/Azure Storage tillåter åtkomst från undernätet.

  • För att säkerställa att du inte har skapat ett offentligt IP-kluster i Studio när du tittar på klusterinformation visas ingen offentlig IP-egenskap inställd på true under resursegenskaper.

Beräkninsinstans

Anvisningar om hur du skapar en beräkningsinstans som distribuerats i ett virtuellt nätverk finns i Skapa och hantera en Azure Machine Learning beräkningsinstans.

Ingen offentlig IP-adress för beräkningsinstanser (förhandsversion)

När du aktiverar Ingen offentlig IP-adress använder beräkningsinstansen inte en offentlig IP-adress för kommunikation med några beroenden. I stället kommunicerar den enbart inom det virtuella nätverket med hjälp av Azure Private Link ekosystem och tjänst-/privata slutpunkter, vilket eliminerar behovet av en offentlig IP-adress helt. Ingen offentlig IP-adress tar bort åtkomst och identifiering av beräkningsinstansnoden från Internet, vilket eliminerar en betydande hotvektor. Beräkningsinstanser utför också paketfiltrering för att avvisa all trafik utanför det virtuella nätverket. Inga offentliga IP-instanser är beroende av Azure Private Link för Azure Machine Learning arbetsyta.

Varning

Som standard har du inte offentlig Internetåtkomst från Ingen offentlig IP-beräkningsinstans. Du måste konfigurera användardefinierad routning (UDR) för att nå en offentlig IP-adress för att få åtkomst till Internet. Du kan till exempel använda en offentlig IP-adress för brandväggen eller använda Virtual Network NAT med en offentlig IP-adress.

För att utgående anslutningar ska fungera måste du konfigurera en utgående brandvägg, till exempel Azure-brandväggen med användardefinierade vägar. Du kan till exempel använda en brandvägg med inkommande/utgående konfiguration och dirigera trafik dit genom att definiera en routningstabell i undernätet där beräkningsinstansen distribueras. Routningstabellposten kan konfigurera nästa hopp för brandväggens privata IP-adress med adressprefixet 0.0.0.0/0.

En beräkningsinstans utan offentlig IP-adress har inga krav på inkommande kommunikation från offentligt Internet. Det innebär att varken NSG-regeln BatchNodeManagement eller AzureMachineLearning för inkommande trafik krävs. Du måste fortfarande tillåta inkommande trafik från källan för VirtualNetwork, alla portkällor, målet för VirtualNetwork och målporten 29876, 29877, 44224.

En beräkningsinstans utan offentlig IP-adress kräver också att du inaktiverar nätverksprinciper för privata slutpunkter och nätverksprinciper för privata länkar. Dessa krav kommer från Azures privata länktjänst och privata slutpunkter och är inte Azure Machine Learning specifika. Följ anvisningarna i Inaktivera nätverksprinciper för Private Link tjänstkällans IP-adress för att ange parametrarna disable-private-endpoint-network-policies och disable-private-link-service-network-policies i det virtuella nätverkets undernät.

Om du vill skapa en beräkningsinstans utan offentlig IP-adress (en förhandsversionsfunktion) i studio anger du kryssrutan Ingen offentlig IP-adress i avsnittet virtuellt nätverk. Du kan också skapa ingen offentlig IP-beräkningsinstans via en ARM-mall. I ARM-malluppsättningen aktiverar du parameternNodePublicIP till false.

Nästa steg:

Anteckning

Stöd för beräkningsinstanser utan offentliga IP-adresser är för närvarande tillgängligt och i offentlig förhandsversion för följande regioner: Frankrike, centrala, Asien, östra, USA, västra centrala, USA, södra centrala, USA, västra 2, USA, östra, USA, östra 2, Europa, norra, Europa, västra, USA, centrala, USA, norra centrala, USA, västra, Australien, östra, Japan, östra, Japan, västra.

Stöd för beräkningskluster utan offentliga IP-adresser är för närvarande tillgängligt och i offentlig förhandsversion för följande regioner: Frankrike, centrala, Asien, östra, USA, västra centrala, USA, södra centrala, USA, västra 2, USA, östra, Europa, norra; USA, östra; USA, östra; Europa, östra; USA, östra 2; USA, centrala, Europa, västra; USA, norra centrala, USA, västra, Australien, östra, Japan, östra, Japan, västra.

Inkommande trafik

När du använder Azure Machine Learning beräkningsinstans (med en offentlig IP-adress) eller ett beräkningskluster tillåter du inkommande trafik från Azure Batch hantering och Azure Machine Learning tjänster. Beräkningsinstansen utan offentlig IP-adress (förhandsversion) kräver inte den här inkommande kommunikationen. En nätverkssäkerhetsgrupp som tillåter den här trafiken skapas dynamiskt åt dig, men du kan också behöva skapa användardefinierade vägar (UDR) om du har en brandvägg. När du skapar en UDR för den här trafiken kan du använda ip-adresser eller tjänsttaggar för att dirigera trafiken.

Viktigt

Att använda tjänsttaggar med användardefinierade vägar är nu allmänt tillgänglig. Mer information finns i Virtual Network routning.

Tips

Även om en beräkningsinstans utan en offentlig IP-adress (en förhandsversionsfunktion) inte behöver någon UDR för den här inkommande trafiken, behöver du fortfarande dessa UDR:er om du även använder ett beräkningskluster eller en beräkningsinstans med en offentlig IP-adress.

För den Azure Machine Learning tjänsten måste du lägga till IP-adressen för både de primära och sekundära regionerna. Information om hur du hittar den sekundära regionen finns i Replikering mellan regioner i Azure. Om din Azure Machine Learning-tjänst till exempel finns i USA, östra 2 är den sekundära regionen USA, centrala.

Hämta en lista över IP-adresser för Batch-tjänsten och Azure Machine Learning-tjänsten genom att ladda ned Azure IP-intervall och tjänsttaggar och söka i filen efter BatchNodeManagement.<region> och AzureMachineLearning.<region>, där <region> är din Azure-region.

Viktigt

IP-adresserna kan ändras med tiden.

När du skapar UDR anger du nästa hopptyp till Internet. Det innebär att inkommande kommunikation från Azure hoppar över brandväggen för att komma åt lastbalanserarna med offentliga IP-adresser för beräkningsinstansen och beräkningsklustret. UDR krävs eftersom beräkningsinstansen och beräkningsklustret får slumpmässiga offentliga IP-adresser när de skapas, och du kan inte känna till de offentliga IP-adresserna innan du skapar dem för att registrera dem i brandväggen för att tillåta inkommande från Azure till specifika IP-adresser för beräkningsinstansen och beräkningsklustret. Följande bild visar ett exempel på EN IP-adressbaserad UDR i Azure Portal:

Image of a user-defined route configuration

Information om hur du konfigurerar UDR finns i Dirigera nätverkstrafik med en routningstabell.

Mer information om trafikkrav för in- och utdata för Azure Machine Learning finns i Använda en arbetsyta bakom en brandvägg.

Azure Databricks

Specifik information om hur du använder Azure Databricks med ett virtuellt nätverk finns i Distribuera Azure Databricks i din Azure-Virtual Network.

Virtuell dator eller HDInsight-kluster

I det här avsnittet får du lära dig hur du använder en virtuell dator eller Ett Azure HDInsight-kluster i ett virtuellt nätverk med din arbetsyta.

Skapa den virtuella datorn eller HDInsight-klustret

Skapa en virtuell dator eller ETT HDInsight-kluster med hjälp av Azure Portal eller Azure CLI och placera klustret i ett virtuellt Azure-nätverk. Mer information finns i följande artiklar:

Konfigurera nätverksportar

Tillåt Azure Machine Learning att kommunicera med SSH-porten på den virtuella datorn eller klustret, konfigurera en källpost för nätverkssäkerhetsgruppen. SSH-porten är vanligtvis port 22. Gör följande för att tillåta trafik från den här källan:

  1. I listrutan Källa väljer du Tjänsttagg.

  2. I listrutan Källtjänsttagg väljer du AzureMachineLearning.

    Inbound rules for doing experimentation on a VM or HDInsight cluster within a virtual network

  3. I listrutan Källportintervall väljer du *.

  4. I listrutan Mål väljer du Alla.

  5. I listrutan Målportintervall väljer du 22.

  6. Under Protokoll väljer du Alla.

  7. Under Åtgärd väljer du Tillåt.

Behåll standardreglerna för utgående trafik för nätverkssäkerhetsgruppen. Mer information finns i standardsäkerhetsreglerna i Säkerhetsgrupper.

Om du inte vill använda standardreglerna för utgående trafik och vill begränsa utgående åtkomst för ditt virtuella nätverk kan du läsa avsnittet om offentlig Internetåtkomst som krävs .

Koppla den virtuella datorn eller HDInsight-klustret

Koppla den virtuella datorn eller HDInsight-klustret till din Azure Machine Learning arbetsyta. Mer information finns i Konfigurera beräkningsmål för modellträning.

Nästa steg

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning arbetsflöde. Se de andra artiklarna i den här serien: