Gelen ve giden ağ trafiğini yapılandırma

Bu makalede, bir sanal ağ (VNet) içinde çalışma alanı Azure Machine Learning ağ iletişim gereksinimleri hakkında bilgi edinebilirsiniz. Bu, çalışma alanınıza Azure Güvenlik Duvarı genel İnternet'e erişimi Azure Machine Learning için yapılandırmayı içerir. Güvenlik güvenliğini sağlama hakkında daha fazla Azure Machine Learning için bkz. Enterprise için güvenlik Azure Machine Learning.

Not

Bu makaledeki bilgiler özel uç nokta Azure Machine Learning hizmet uç noktası kullandığında çalışma alanı için geçerlidir.

İpucu

Bu makale, bir iş akışını güvenli hale getirme serisinin Azure Machine Learning içerir. Bu seride yer alan diğer makalelere bakın:

Gerekli genel İnternet erişimi

Azure Machine Learning, genel internet 'e hem gelen hem de giden erişimi gerektirir. Aşağıdaki tablolarda, hangi erişimin gerekli olduğu ve ne olduğu ile ilgili bir genel bakış sağlanmaktadır. Tüm öğeler için protokol TCP'dir. İle biten hizmet etiketleri için .region , region çalışma alanınızı içeren Azure bölgesi ile değiştirin. Örneğin Storage.westus :

Yön Bağlantı noktaları Hizmet etiketi Amaç
Gelen 29876-29877 BatchNodeManagement Azure Machine Learning işlem örneği ve işlem kümesi oluşturun, güncelleştirin ve silin.
Gelen 44224 AzureMachineLearning Azure Machine Learning işlem örneğini oluşturun, güncelleştirin ve silin.
Giden * AzureActiveDirectory Azure AD kullanarak kimlik doğrulama.
Giden 443 AzureMachineLearning Azure Machine Learning hizmetlerini kullanma.
Giden 443 AzureResourceManager Azure Machine Learning ile Azure kaynakları oluşturma.
Giden 443 Depolama. region Azure Batch hizmeti için Azure Depolama hesapta depolanan verilere erişin.
Giden 443 Azurefrontkapısı. ön uç
* Azure Çin 'de gerekli değildir.
Azure Machine Learning studioiçin genel giriş noktası.
Giden 443 ContainerRegistry. Region Microsoft tarafından sunulan Docker görüntülerine erişin.
Giden 443 MicrosoftContainerRegistry. Region Microsoft tarafından sunulan Docker görüntülerine erişin. Azure kubernetes hizmeti için Azure Machine Learning yönlendirici kurulumu.
Giden 443 Keykasası. Region Azure Batch hizmeti için anahtar kasasına erişin. Yalnızca, çalışma alanınız hbi_workspace bayrağıyla oluşturulmuşsa gereklidir.

İpucu

Hizmet etiketleri yerine IP adreslerine ihtiyacınız varsa, aşağıdaki seçeneklerden birini kullanın:

IP adresleri düzenli aralıklarla değişebilir.

ayrıca, makine öğrenimi projenizin gerektirdiği paketlerin yüklenmesi için Visual Studio Code ve Microsoft dışı sitelere giden trafiğe izin vermeniz gerekebilir. Aşağıdaki tabloda makine öğrenimi için yaygın olarak kullanılan depolar listelenmektedir:

Konak adı Amaç
anaconda.com
*. anaconda.com
Varsayılan paketleri yüklemek için kullanılır.
*. anaconda.org Depo verilerini almak için kullanılır.
pypi.org Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve dizin, Kullanıcı ayarları tarafından üzerine yazılmaz. Dizinin üzerine yazılırsa, * . pythonhosted.org de izin vermeniz gerekir.
cloud.r-project.org R geliştirmesi için CRAN paketleri yüklenirken kullanılır.
*pytorch.org PyTorch tabanlı bazı örnekler tarafından kullanılır.
*. tensorflow.org TensorFlow temel alınarak bazı örnekler tarafından kullanılır.
update.code.visualstudio.com

*. vo.msecnd.net
bir kurulum betiği aracılığıyla işlem örneğinde yüklü olan VS Code sunucu bitlerini almak için kullanılır.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* İşlem örneğinde yüklü olan WebSocket sunucu bitlerini almak için kullanılır. websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) gelen istekleri, işlem örneği üzerinde çalışan Visual Studio Code sunucuya iletmek için kullanılır.

Azure Machine Learning ile Azure kubernetes hizmeti (aks) kullanırken, aks VNet 'e aşağıdaki trafiğe izin verin:

Azure Güvenlik Duvarı

Önemli

Azure Güvenlik Duvarı Azure Sanal Ağ kaynakları için güvenlik sağlar. Azure Depolama Hesapları gibi bazı Azure Hizmetlerinin ilgili hizmet örneği için genel uç nokta için geçerli olan kendi güvenlik duvarı ayarları vardır. Bu belgede yer alan bilgiler, Azure Güvenlik Duvarı.

Hizmet örneği güvenlik duvarı ayarları hakkında bilgi için bkz. Sanal ağ üzerinde studio kullanma.

  • İşlem kümesine ve Azure Machine Learning örneğine gelen trafik için, güvenlik duvarını atlamak için kullanıcı tanımlı yolları (UDR) kullanın.

  • Giden trafik için ağ ve uygulama kuralları oluşturun.

Bu kural koleksiyonları, Bazı temel kavramlar konusunda daha Azure Güvenlik Duvarı açıklanmıştır.

Gelen yapılandırması

bir işlem Azure Machine Learning kümesi kullanırken, yönetim ve hizmetlerden gelen trafiğe Azure Batch izin Azure Machine Learning sağlar. Bu trafiğe izin veren bir Ağ Güvenlik Grubu sizin için dinamik olarak oluşturulur, ancak bir güvenlik duvarınız varsa kullanıcı tanımlı yollar (UDR) de oluşturmanız gerekebilir. Bu trafik için bir UDR oluştururken, trafiği yönlendirmek için IP Adreslerini veya hizmet etiketlerini kullanabilirsiniz.

Önemli

Hizmet etiketlerini kullanıcı tanımlı yollarla kullanmak şu anda önizlemededir ve tam olarak desteklenemmektedir. Daha fazla bilgi için bkz. Sanal Ağ yönlendirme.

Hizmet Azure Machine Learning için hem birincil hem de ikincil bölgelerin IP adresini eklemeniz gerekir. İkincil bölgeyi bulmak için bkz. Azure Eşleştirilmiş Bölgeleri kullanarak & olağanüstü durum kurtarma için iş sürekliliğini garanti edin. Örneğin, Azure Machine Learning hizmetiniz Doğu ABD 2 ikincil bölge Orta ABD.

Batch hizmetinin ve Azure Machine Learning IP adreslerinin listesini almak için aşağıdaki yöntemlerden birini kullanın:

  • Azure IP Aralıkları ve Hizmet Etiketleri'yi indirin ve dosyasında ve için arama BatchNodeManagement.<region> ( Azure AzureMachineLearning.<region> <region> bölgeniz) bulun.

  • Bilgileri indirmek için Azure CLI'sini kullanın. Aşağıdaki örnek IP adresi bilgilerini indirir ve Doğu ABD 2 (birincil) ve Orta ABD (ikincil) için bilgileri filtreler:

    az network list-service-tags -l "East US 2" --query "values[?starts_with(id, 'Batch')] | [?properties.region=='eastus2']"
    # Get primary region IPs
    az network list-service-tags -l "East US 2" --query "values[?starts_with(id, 'AzureMachineLearning')] | [?properties.region=='eastus2']"
    # Get secondary region IPs
    az network list-service-tags -l "Central US" --query "values[?starts_with(id, 'AzureMachineLearning')] | [?properties.region=='centralus']"
    

    İpucu

    US-Virginia, US-Arizona veya Çin-Doğu-2 bölgelerini kullanıyorsanız, bu komutlar IP adresi dönmez. Bunun yerine, IP adreslerinin listesini indirmek için aşağıdaki bağlantılardan birini kullanın:

Önemli

IP adresleri zaman içinde değişebilir.

UDR'leri oluştururken Sonraki atlama türünü İnternet olarak ayarlayın. Aşağıdaki görüntüde, aşağıdaki örnekteki örnek IP adresi tabanlı UDR Azure portal:

Kullanıcı tanımlı yol yapılandırmasının resmi

UDR'nin yapılandırılması hakkında bilgi için bkz. Yönlendirme tablosuyla ağ trafiğini yönlendirme.

Giden yapılandırması

  1. Aşağıdaki hizmet etiketlerine gelen ve bu etiketlerden gelen trafiğe izin veren Ağ kuralları ekleyin:

    Hizmet etiketi Protokol Bağlantı noktası
    AzureActiveDirectory TCP *
    AzureMachineLearning TCP 443
    AzureResourceManager TCP 443
    Depolama.region TCP 443
    AzureFrontDoor.FrontEnd
    * Azure Çin'de gerekli değildir.
    TCP 443
    ContainerRegistry.region TCP 443
    MicrosoftContainerRegistry.region TCP 443
    Keyvault.region TCP 443

    İpucu

    • ContainerRegistry.region yalnızca özel Docker görüntüleri için gereklidir. Bu, Microsoft tarafından sağlanan temel görüntülerde küçük değişiklikler (ek paketler gibi) içerir.
    • MicrosoftContainerRegistry.region, yalnızca Microsoft tarafından sağlanan varsayılan Docker görüntülerini kullanmayı ve kullanıcı tarafından yönetilen bağımlılıkları etkinleştirmeyi planlıyorsanız gereklidir.
    • Keyvault.region, yalnızca çalışma alanınız hbi_workspace gereklidir.
    • içeren girişler region için yerine kullanmakta olduğunu Azure bölgesini kullanın. Örneğin, ContainerRegistry.westus.
  2. Aşağıdaki konaklar için Uygulama kuralları ekleyin:

    Not

    Bu, internet üzerinde tüm Python kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir depoya veya başka bir GitHub erişmeye ihtiyacınız varsa, bu senaryo için gerekli konakları tanımlamalı ve eklemeniz gerekir.

    Konak adı Amaç
    graph.windows.net İşlem örneği Azure Machine Learning küme tarafından kullanılır.
    anaconda.com
    *.anaconda.com
    Varsayılan paketleri yüklemek için kullanılır.
    *.anaconda.org Repo verilerini almak için kullanılır.
    pypi.org Varsa varsayılan dizinden bağımlılıkları liste için kullanılır ve dizin kullanıcı ayarları tarafından üzerine yazılmaz. Dizinin üzerine yazılırsa * .pythonhosted.org.
    cloud.r-project.org R geliştirmesi için CRAN paketlerini yüklerken kullanılır.
    *pytorch.org PyTorch'a dayalı bazı örnekler tarafından kullanılır.
    *.tensorflow.org Tensorflow'a dayalı bazı örnekler tarafından kullanılır.
    update.code.visualstudio.com

    *.vo.msecnd.net
    Bir kurulum VS Code işlem örneğine yüklü sunucu bitlerini almak için kullanılır.
    raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* İşlem örneğinde yüklü websocket sunucu bitlerini almak için kullanılır. Websocket sunucusu, istekleri Visual Studio Code istemciden (masaüstü uygulaması) işlem Visual Studio Code çalıştıran bir sunucuya iletmek için kullanılır.

    Protokol:Bağlantı Noktası için http, https kullanın'ı seçin.

    Uygulama kurallarını yapılandırma hakkında daha fazla bilgi için bkz. Uygulama kurallarını Azure Güvenlik Duvarı.

  3. Azure Kubernetes Service'a (AKS) dağıtılan modellerin giden trafiğini kısıtlamak için Azure Kubernetes Service'de çıkış trafiğini kısıtlama ve ML dağıtım Azure Kubernetes Service bakın.

Azure Kubernetes Services

Aşağıdaki Azure Kubernetes Service Azure Machine Learning izin verilmiyor:

Destek için tanılama

Microsoft desteğiyle çalışırken tanılama bilgilerini toplamaya ihtiyacınız varsa aşağıdaki adımları kullanın:

  1. Etikete gelen ve etiketinden gelen trafiğe izin vermek için bir Ağ kuralı AzureMonitor ekleyin.

  2. Aşağıdaki konaklar için Uygulama kuralları ekleyin. Bu konaklar için Protocol:Port için http, https'yi seçin:

    • dc.applicationinsights.azure.com
    • dc.applicationinsights.microsoft.com
    • dc.services.visualstudio.com

    Konakların IP adreslerinin listesi Azure İzleyici, bkz. ip adresleri tarafından Azure İzleyici.

Diğer güvenlik duvarları

Her güvenlik duvarının kendi terminolojisi ve belirli yapılandırmaları olduğu için bu bölümdeki kılavuz geneldir. Sorularınız varsa, kullanmakta olan güvenlik duvarının belgelerini inceleyin.

Doğru yapılandırılmamışsa, güvenlik duvarı çalışma alanınızı kullanırken sorunlara neden olabilir. Her ikisi de çalışma alanı tarafından kullanılan çeşitli konak Azure Machine Learning vardır. Aşağıdaki bölümlerde, konaklar için gereken konaklar Azure Machine Learning.

Microsoft konakları

Aşağıdaki tablolarda yer alan konaklar Microsoft'a aittir ve çalışma alanınız için gereken hizmetleri sağlar. Tablolar Azure genel, Azure Kamu ve Azure China 21Vianet için konakları listelemektedir.

Genel Azure konakları

Şunun için gerekli: Azure genel Azure Devlet Kurumları Azure China 21Vianet
Azure Active Directory login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn
Azure portal management.azure.com management.azure.us management.azure.cn
Azure Resource Manager management.azure.com management.usgovcloudapi.net management.chinacloudapi.cn

Azure Machine Learning konakları

Önemli

Aşağıdaki tabloda, yerine <storage> çalışma alanınız için varsayılan depolama hesabının adını Azure Machine Learning değiştirin.

Şunun için gerekli: Azure genel Azure Devlet Kurumları Azure China 21Vianet
Azure Machine Learning Studio ml.azure.com ml.azure.us studio.ml.azure.cn
API *.azureml.ms *.ml.azure.us *.ml.azure.cn
Tümleşik not defteri *.notebooks.azure.net *.notebooks.usgovcloudapi.net *.notebooks.chinacloudapi.cn
Tümleşik not defteri <storage>.file.core.windows.net <storage>.file.core.usgovcloudapi.net <storage>.file.core.chinacloudapi.cn
Tümleşik not defteri <storage>.dfs.core.windows.net <storage>.dfs.core.usgovcloudapi.net <storage>.dfs.core.chinacloudapi.cn
Tümleşik not defteri <storage>.blob.core.windows.net <storage>.blob.core.usgovcloudapi.net <storage>.blob.core.chinacloudapi.cn
Tümleşik not defteri graph.microsoft.com graph.microsoft.us graph.chinacloudapi.cn
Tümleşik not defteri *.aznbcontent.net

Azure Machine Learning örneği ve işlem kümesi konakları oluşturma

Şunun için gerekli: Azure genel Azure Devlet Kurumları Azure China 21Vianet
İşlem kümesi/örneği graph.windows.net graph.windows.net graph.chinacloudapi.cn
İşlem örneği *.instances.azureml.net *.instances.azureml.us *.instances.azureml.cn
İşlem örneği *.instances.azureml.ms
Azure Depolama Hesabı *.blob.core.windows.net
*.table.core.windows.net
*.queue.core.windows.net
*.blob.core.usgovcloudapi.net
*.table.core.usgovcloudapi.net
*.queue.core.usgovcloudapi.net
*blob.core.chinacloudapi.cn
*.table.core.chinacloudapi.cn
*.queue.core.chinacloudapi.cn
Azure Key Vault *.vault.azure.net *.vault.usgovcloudapi.net *.vault.azure.cn

Önemli

Güvenlik duvarınız * 18881, 443 ve 8787 instances.azureml.ms tcp bağlantı noktaları üzerinden .instances.azureml.ms iletişime izin versin.

İpucu

Azure Key Vault için FQDN, yalnızca çalışma alanınız hbi_workspace etkinleştirilmişse gereklidir.

Azure Machine Learning tarafından bakımı yapılan Docker görüntüleri

Şunun için gerekli: Azure genel Azure Devlet Kurumları Azure China 21Vianet
Microsoft Container Registry mcr.microsoft.com mcr.microsoft.com mcr.microsoft.com
Azure Machine Learning görüntüleri yeniden kullanın viennaglobal.azurecr.io viennaglobal.azurecr.io viennaglobal.azurecr.io

İpucu

  • Azure Container Registry Docker görüntüsü için gerekli olan bir sorundur. Bu, Microsoft tarafından sağlanan temel görüntülerde küçük değişiklikler (ek paketler gibi) içerir.
  • Microsoft Container Registry, yalnızca Microsoft tarafından sağlanan varsayılan Docker görüntülerini kullanmayı ve kullanıcı tarafından yönetilen bağımlılıkları etkinleştirmeyi planlıyorsanız gereklidir.
  • Federasyon kimliğini kullanmayı planlıyorsanız, güvenlik güvenliğini sağlamak için en iyi Active Directory Federasyon Hizmetleri (AD FS) izleyin.

Ayrıca, ve ip adreslerini eklemek için gelen yapılandırma bölümündeki bilgileri BatchNodeManagement AzureMachineLearning kullanın.

AKS'ye dağıtılan modellere erişimi kısıtlama hakkında bilgi için bkz.Azure Kubernetes Service.

İpucu

Tanılama bilgilerini toplamak için Microsoft Desteği çalışıyorsanız, konaklar tarafından kullanılan IP adreslerine giden trafiğe izin Azure İzleyici gerekir. Konak konaklarının IP adreslerinin listesi Azure İzleyici, bkz. ip adresleri tarafından Azure İzleyici.

Python konakları

Bu bölümdeki konaklar Python paketlerini yüklemek için kullanılır ve geliştirme, eğitim ve dağıtım sırasında gereklidir.

Not

Bu, internet üzerinde tüm Python kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir depoya veya başka bir GitHub erişmeye ihtiyacınız varsa, bu senaryo için gerekli konakları tanımlamalı ve eklemeniz gerekir.

Konak adı Amaç
anaconda.com
*.anaconda.com
Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org Repo verilerini almak için kullanılır.
pypi.org Varsa varsayılan dizinden bağımlılıkları liste için kullanılır ve dizin kullanıcı ayarları tarafından üzerine yazılmaz. Dizinin üzerine yazılırsa * .pythonhosted.org.
*pytorch.org PyTorch'a dayalı bazı örnekler tarafından kullanılır.
*.tensorflow.org Tensorflow'a dayalı bazı örnekler tarafından kullanılır.

R konakları

Bu bölümdeki konaklar R paketlerini yüklemek için kullanılır ve geliştirme, eğitim ve dağıtım sırasında gereklidir.

Not

Bu, internet üzerinde tüm R kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir depoya veya başka bir GitHub erişmeye ihtiyacınız varsa, bu senaryo için gerekli konakları tanımlamalı ve eklemeniz gerekir.

Konak adı Amaç
cloud.r-project.org CRAN paketlerini yüklerken kullanılır.

Azure Kubernetes Services

Azure Kubernetes Service ile Azure Machine Learning aşağıdaki trafiğe izin verilmiyor:

Visual Studio Code konakları

Bu bölümdeki konaklar, Visual Studio Code çalışma alanınıza Visual Studio Code işlem örnekleri arasında uzak bağlantı kurmak için Azure Machine Learning kullanılır.

Not

Bu, İnternet'Visual Studio Code tüm kaynaklar için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir depoya veya başka bir GitHub erişmeye ihtiyacınız varsa, bu senaryo için gerekli konakları tanımlamalı ve eklemeniz gerekir.

Konak adı Amaç
update.code.visualstudio.com

*.vo.msecnd.net
Bir kurulum VS Code işlem örneğine yüklü sunucu bitlerini almak için kullanılır.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* İşlem örneğinde yüklü websocket sunucu bitlerini almak için kullanılır. Websocket sunucusu, istekleri Visual Studio Code istemciden (masaüstü uygulaması) işlem Visual Studio Code çalıştıran bir sunucuya iletmek için kullanılır.

Sonraki adımlar

Bu makale, bir iş akışını güvenli hale getirme serisinin Azure Machine Learning içerir. Bu seride yer alan diğer makalelere bakın:

Uygulama yapılandırma hakkında daha fazla Azure Güvenlik Duvarı için bkz. Öğretici:Azure Güvenlik Duvarı kullanarak Azure portal.