Çalışma Alanı Yönetilen Sanal Ağ Yalıtımı

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)

Azure Machine Learning, yönetilen sanal ağ (yönetilen sanal ağ) yalıtımı için destek sağlar. Yönetilen sanal ağ yalıtımı, yerleşik, çalışma alanı düzeyinde Azure Machine Learning yönetilen sanal ağıyla ağ yalıtımı yapılandırmanızı kolaylaştırır ve otomatikleştirir. Yönetilen sanal ağ, işlem örnekleri, işlem kümeleri, sunucusuz işlem ve yönetilen çevrimiçi uç noktalar gibi yönetilen Azure Machine Learning kaynaklarınızın güvenliğini sağlar.

Yönetilen ağ ile çalışma alanınızın güvenliğini sağlamak, çalışma alanından ve yönetilen işlemlerden giden erişim için ağ yalıtımı sağlar. Oluşturduğunuz ve yönettiğiniz bir Azure Sanal Ağ, çalışma alanına gelen ağ yalıtımı erişimi sağlamak için kullanılır. Örneğin, Azure Sanal Ağ çalışma alanı için özel bir uç nokta oluşturulur. Sanal ağa bağlanan tüm istemciler çalışma alanına özel uç nokta üzerinden erişebilir. Yönetilen işlemlerde işler çalıştırılırken yönetilen ağ, işlem tarafından erişilebilen işlemleri kısıtlar.

Yönetilen Sanal Ağ Mimarisi

Yönetilen sanal ağ yalıtımını etkinleştirdiğinizde, çalışma alanı için bir yönetilen sanal ağ oluşturulur. Çalışma alanı için oluşturduğunuz yönetilen işlem kaynakları bu yönetilen sanal ağı otomatik olarak kullanır. Yönetilen sanal ağ, çalışma alanınız tarafından kullanılan Azure kaynakları için Azure Depolama, Azure Key Vault ve Azure Container Registry gibi özel uç noktaları kullanabilir.

Yönetilen sanal ağdan giden trafik için iki farklı yapılandırma modu vardır:

İpucu

Kullandığınız giden modundan bağımsız olarak, Azure kaynaklarına giden trafik özel uç nokta kullanacak şekilde yapılandırılabilir. Örneğin, İnternet'e giden tüm trafiğe izin verebilir, ancak kaynaklar için giden kuralları ekleyerek Azure kaynaklarıyla iletişimi kısıtlayabilirsiniz.

Giden modu	Açıklama	Senaryolar
İnternet'e gidenlere izin ver	Yönetilen sanal ağdan gelen tüm İnternet giden trafiğine izin verin.	Python paketleri veya önceden eğitilmiş modeller gibi internet üzerindeki makine öğrenmesi kaynaklarına sınırsız erişim istiyorsunuz.1
Yalnızca onaylanan gidene izin ver	Hizmet etiketleri belirtilerek giden trafiğe izin verilir.	* Veri sızdırma riskini en aza indirmek istiyorsunuz, ancak gerekli tüm makine öğrenmesi yapıtlarını özel ortamınızda hazırlamanız gerekiyor. * Onaylı bir hizmet listesine, hizmet etiketlerine veya FQDN'lere giden erişimi yapılandırmak istiyorsunuz.
Devre dışı	Gelen ve giden trafik kısıtlanmış değil veya kaynakları korumak için kendi Azure Sanal Ağ kullanıyorsunuz.	Çalışma alanından genel gelen ve gidenler istiyorsunuz veya ağ yalıtımını kendi Azure sanal ağınızla işliıyorsunuz.

1: İnternet'e gidene izin ver seçeneğini kullanarak aynı sonucu elde etmek için yalnızca onaylanan giden moduna izin ver ile giden kurallarını kullanabilirsiniz. Farklar şunlardır:

• İzin vermeniz gereken her giden bağlantı için kurallar eklemeniz gerekir.
• Bu kural türü Azure Güvenlik Duvarı kullandığından FQDN giden kuralları eklemek maliyetlerinizi artırır. Daha fazla bilgi için bkz . Fiyatlandırma
• Yalnızca onaylanan gidenlere izin ver için varsayılan kurallar, veri sızdırma riskini en aza indirmek için tasarlanmıştır. Eklediğiniz tüm giden kuralları riskinizi artırabilir.

Yönetilen sanal ağ, gerekli varsayılan kurallarla önceden yapılandırılmıştır. Ayrıca çalışma alanınıza özel uç nokta bağlantıları, çalışma alanının varsayılan depolama alanı, kapsayıcı kayıt defteri ve anahtar kasası özel olarak yapılandırılmışsa veya çalışma alanı yalıtım modu yalnızca onaylanan gidene izin verecek şekilde ayarlanmışsa yapılandırılır. Yalıtım modunu seçtikten sonra, yalnızca eklemeniz gerekebilecek diğer giden gereksinimleri dikkate almanız gerekir.

Aşağıdaki diyagramda İnternet'e giden İnternet'e izin verecek şekilde yapılandırılmış yönetilen bir sanal ağ gösterilmektedir:

Aşağıdaki diyagramda yalnızca onaylanan gidene izin verecek şekilde yapılandırılmış yönetilen bir sanal ağ gösterilmektedir:

Not

Bu yapılandırmada, çalışma alanı tarafından kullanılan depolama, anahtar kasası ve kapsayıcı kayıt defteri özel olarak işaretlenir. Bunlar özel olarak işaretlendiğinden, onlarla iletişim kurmak için özel bir uç nokta kullanılır.

Not

Yönetilen bir sanal ağ çalışma alanı İnternet'e gidene izin verecek şekilde yapılandırıldıktan sonra, çalışma alanı devre dışı olarak yeniden yapılandırılamaz. Benzer şekilde, yönetilen bir sanal ağ çalışma alanı yalnızca onaylanan gidene izin verecek şekilde yapılandırıldıktan sonra, çalışma alanı İnternet'e gidene izin verecek şekilde yeniden yapılandırılamaz. Çalışma alanınızda yönetilen sanal ağ için yalıtım modunu seçerken lütfen bunu göz önünde bulundurun.

Azure Machine Learning Studio

Tümleşik not defterini kullanmak veya studio'dan varsayılan depolama hesabında veri kümeleri oluşturmak istiyorsanız istemcinizin varsayılan depolama hesabına erişmesi gerekir. İstemcilerin kullandığı Azure Sanal Ağ varsayılan depolama hesabı için özel bir uç nokta veya hizmet uç noktası oluşturun.

Azure Machine Learning stüdyosu bir bölümü istemcinin web tarayıcısında yerel olarak çalışır ve çalışma alanının varsayılan depolama alanıyla doğrudan iletişim kurar. İstemcinin sanal ağında özel uç nokta veya hizmet uç noktası (varsayılan depolama hesabı için) oluşturmak, istemcinin depolama hesabıyla iletişim kurabilmesini sağlar.

Özel uç nokta veya hizmet uç noktası oluşturma hakkında daha fazla bilgi için depolama hesabına özel Bağlan ve Hizmet Uç Noktaları makalelerine bakın.

Önkoşullar

Bu makaledeki adımları takip etmeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

Azure CLI

• Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.

• Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.

  Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.

• Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI ve ml Azure CLI uzantısı. Daha fazla bilgi için bkz . CLI'yi (v2) yükleme, ayarlama ve kullanma.

  İpucu

  Azure Machine Learning tarafından yönetilen sanal ağ 23 Mayıs 2023'te kullanıma sunulmuştur. ML uzantısının eski bir sürümüne sahipseniz, bu makaledeki örnekler için bu uzantıyı güncelleştirmeniz gerekebilir. Uzantıyı güncelleştirmek için aşağıdaki Azure CLI komutunu kullanın:

  az extension update -n ml
  

• Bu makaledeki CLI örneklerinde Bash (veya uyumlu) kabuğu kullandığınız varsayılır. Örneğin, bir Linux sisteminden veya Linux için Windows Alt Sistemi.

• Bu makaledeki Azure CLI örnekleri, çalışma alanının adını ve rg kaynak grubunun adını temsil etmek için kullanılırws. Azure aboneliğinizle komutları kullanırken bu değerleri gerektiği gibi değiştirin.

• Azure CLI ve yönetilen sanal ağ ile genel IP kullanan SSH çalışır, ancak özel IP kullanan SSH çalışmaz.

Python SDK'sı

• Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.

• Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.

  Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.

• Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure Machine Learning Python SDK v2. SDK hakkında daha fazla bilgi için bkz . Azure Machine Learning için Python SDK v2'yi yükleme.

  İpucu

  Azure Machine learning yönetilen sanal ağı 23 Mayıs 2023'te kullanıma sunulmuştur. SDK'nın eski bir sürümü yüklüyse, bu makaledeki örneklerin çalışması için bunu güncelleştirmeniz gerekebilir. SDK'yı güncelleştirmek için aşağıdaki komutu kullanın:

  pip install --upgrade azure-ai-ml azure-identity
  

• Bu makaledeki örneklerde kodunuzun aşağıdaki Python ile başladığı varsayılır. Bu kod, yönetilen sanal ağ ile çalışma alanı oluştururken gereken sınıfları içeri aktarır, Azure aboneliğiniz ve kaynak grubunuz için değişkenleri ayarlar ve oluşturur ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Azure portalı

• Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.

• Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.

  Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.

• Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Not

UAI çalışma alanını kullanıyorsanız lütfen kimliğinize Ağ Katkıda Bulunanı rolünü eklediğinizden emin olun. Daha fazla bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlik.

İnternet giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

İpucu

Yönetilen sanal ağın oluşturulması, işlem kaynağı oluşturulana veya sağlama el ile başlatılana kadar ertelenebilir. Otomatik oluşturma işlemine izin verildiğinde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. Daha fazla bilgi için bkz . Ağı el ile sağlama.

Önemli

Sunucusuz Spark işleri göndermeyi planlıyorsanız, sağlamayı el ile başlatmanız gerekir. Daha fazla bilgi için sunucusuz Spark işleri için yapılandırma bölümüne bakın.

Azure CLI

İnternet'e giden iletişimlere izin veren yönetilen bir sanal ağı yapılandırmak için, parametresini --managed-network allow_internet_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:

managed_network:
  isolation_mode: allow_internet_outbound

Çalışma alanının bağlı olduğu diğer Azure hizmetlerine giden kuralları da tanımlayabilirsiniz. Bu kurallar, bir Azure kaynağının yönetilen sanal ağ ile güvenli bir şekilde iletişim kurmasına olanak sağlayan özel uç noktaları tanımlar. Aşağıdaki kural, Bir Azure Blob kaynağına özel uç nokta eklemeyi gösterir.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Yönetilen bir sanal ağı veya az ml workspace update komutlarını az ml workspace create kullanarak yapılandırabilirsiniz:

• Yeni bir çalışma alanı oluşturun:

  Aşağıdaki örnek yeni bir çalışma alanı oluşturur. parametresi, --managed-network allow_internet_outbound çalışma alanı için yönetilen bir sanal ağ yapılandırıyor:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Bunun yerine YAML dosyası kullanarak çalışma alanı oluşturmak için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  Aşağıdaki YAML örneği, yönetilen sanal ağa sahip bir çalışma alanını tanımlar:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Mevcut bir çalışma alanını güncelleştirme:

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  Aşağıdaki örnek var olan bir çalışma alanını güncelleştirir. parametresi, --managed-network allow_internet_outbound çalışma alanı için yönetilen bir sanal ağ yapılandırıyor:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  YAML dosyasını kullanarak var olan bir çalışma alanını güncelleştirmek için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  Aşağıdaki YAML örneği, çalışma alanı için yönetilen bir sanal ağı tanımlar. Ayrıca çalışma alanı tarafından kullanılan bir kaynağa özel uç nokta bağlantısının nasıl ekleneceğini de gösterir; bu örnekte blob deposu için özel uç nokta:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK'sı

İnternet giden iletişimlerine izin veren yönetilen bir sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOW_INTERNET_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir çalışma alanı oluşturabilir veya var olan bir çalışma alanını güncelleştirebilirsiniz. Çalışma alanının kullandığı Azure hizmetlerine giden kuralları tanımlamak için sınıfını PrivateEndpointDestination kullanarak hizmete yeni bir özel uç nokta tanımlayın.

• Yeni bir çalışma alanı oluşturun:

  Aşağıdaki örnek, myworkspaceAzure Blob deposu için özel uç nokta ekleyen adlı myrule bir giden kuralıyla adlı yeni bir çalışma alanı oluşturur:

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Mevcut bir çalışma alanını güncelleştirme:

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  Aşağıdaki örnekte adlı myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure portalı

• Yeni bir çalışma alanı oluşturun:

  1. Azure portalında oturum açın ve Kaynak oluştur menüsünden Azure Machine Learning'i seçin.

  2. Temel Bilgiler sekmesinde gerekli bilgileri sağlayın.

  3. Ağ sekmesinden İnternet Giden ile Özel'i seçin.

     

  4. Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Çalışma alanı giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:

     • Kural adı: Kural için bir ad. Ad bu çalışma alanı için benzersiz olmalıdır.
     • Hedef türü: Ağ yalıtımı İnternet giden ile özel olduğunda tek seçenek Özel Uç Noktadır. Azure Machine Learning yönetilen sanal ağı, tüm Azure kaynak türleri için özel uç nokta oluşturmayı desteklemez. Desteklenen kaynakların listesi için Özel uç noktalar bölümüne bakın.
     • Abonelik: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren abonelik.
     • Kaynak grubu: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren kaynak grubu.
     • Kaynak türü: Azure kaynağının türü.
     • Kaynak adı: Azure kaynağının adı.
     • Alt Kaynak: Azure kaynak türünün alt kaynağı.
     • Spark etkin: Çalışma alanı için sunucusuz Spark işlerini etkinleştirmek istiyorsanız bu seçeneği belirleyin. Bu seçenek yalnızca kaynak türü Azure Depolama olduğunda kullanılabilir.

     

     Kuralı kaydetmek için Kaydet'i seçin. Kural eklemek için Kullanıcı tanımlı giden kuralları ekleme'yi kullanmaya devam edebilirsiniz.

  5. Çalışma alanını normal şekilde oluşturmaya devam edin.

• Mevcut bir çalışma alanını güncelleştirme:

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  1. Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz Azure Machine Learning çalışma alanını seçin.

  2. Ağ'ı ve ardından İnternet Giden ile Özel'i seçin.

     

     • Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin.Çalışma alanı giden kuralları kenar çubuğundan , 'Yeni çalışma alanı oluşturma' bölümünde çalışma alanı oluştururken kullanılanla aynı bilgileri sağlayın.

       

     • Giden kuralı silmek için kural için sil'i seçin.

       

  3. Değişiklikleri yönetilen sanal ağda kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

Yalnızca onaylı giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

İpucu

Yönetilen sanal ağ, işlem kaynağı oluşturduğunuzda otomatik olarak sağlanır. Otomatik oluşturma işlemine izin verildiğinde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız, ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Daha fazla bilgi için bkz . Ağı el ile sağlama.

Önemli

Sunucusuz Spark işleri göndermeyi planlıyorsanız, sağlamayı el ile başlatmanız gerekir. Daha fazla bilgi için sunucusuz Spark işleri için yapılandırma bölümüne bakın.

Azure CLI

Yalnızca onaylanan giden iletişimlere izin veren yönetilen bir sanal ağı yapılandırmak için, parametresini --managed-network allow_only_approved_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:

managed_network:
  isolation_mode: allow_only_approved_outbound

Ayrıca, onaylanan giden iletişimini tanımlamak için giden kuralları da tanımlayabilirsiniz. , ve private_endpointtürü service_tagfqdniçin bir giden kuralı oluşturulabilir. Aşağıdaki kural bir Azure Blob kaynağına özel uç nokta, Azure Data Factory'ye hizmet etiketi ve öğesine pypi.orgFQDN eklemeyi gösterir:

Önemli

• Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak allow_only_approved_outboundyapılandırıldığında geçerlidir.
• Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.

Uyarı

FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Yönetilen bir sanal ağı veya az ml workspace update komutlarını az ml workspace create kullanarak yapılandırabilirsiniz:

• Yeni bir çalışma alanı oluşturun:

  Aşağıdaki örnek, yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Aşağıdaki YAML dosyası yönetilen sanal ağa sahip bir çalışma alanını tanımlar:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  YAML dosyasını kullanarak çalışma alanı oluşturmak için parametresini --file kullanın:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Mevcut çalışma alanını güncelleştirme

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  Aşağıdaki örnek, mevcut bir çalışma alanı için yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Aşağıdaki YAML dosyası, çalışma alanı için yönetilen bir sanal ağı tanımlar. Ayrıca yönetilen sanal ağa onaylı bir gidenin nasıl ekleneceğini de gösterir. Bu örnekte, her iki hizmet etiketi için de bir giden kuralı eklenir:

  Uyarı

  FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK'sı

Yalnızca onaylanan giden iletişimlere izin veren yönetilen bir sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir çalışma alanı oluşturabilir veya var olan bir çalışma alanını güncelleştirebilirsiniz. Giden kuralları tanımlamak için aşağıdaki sınıfları kullanın:

Hedef	Sınıf
Çalışma alanının bağlı olduğu Azure hizmeti	PrivateEndpointDestination
Azure hizmet etiketi	ServiceTagDestination
Tam etki alanı adı (FQDN)	FqdnDestination

• Yeni bir çalışma alanı oluşturun:

  Aşağıdaki örnek, birkaç giden kuralıyla adlı myworkspaceyeni bir çalışma alanı oluşturur:

  • myrule - Azure Blob deposu için özel uç nokta ekler.
  • datafactory - Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.

  Önemli

  • Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir.
  • Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.

  Uyarı

  FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Mevcut bir çalışma alanını güncelleştirme:

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  Aşağıdaki örnekte adlı myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir. Örnek, yönetilen sanal ağ için birkaç giden kuralı da ekler:

  • myrule - Azure Blob deposu için özel uç nokta ekler.
  • datafactory - Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.

  İpucu

  Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir.

  Uyarı

  FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure portalı

• Yeni bir çalışma alanı oluşturun:

  1. Azure portalında oturum açın ve Kaynak oluştur menüsünden Azure Machine Learning'i seçin.

  2. Temel Bilgiler sekmesinde gerekli bilgileri sağlayın.

  3. Ağ sekmesinden Onaylı Giden ile Özel'i seçin.

     

  4. Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Çalışma alanı giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:

     • Kural adı: Kural için bir ad. Ad bu çalışma alanı için benzersiz olmalıdır.
     • Hedef türü: Özel Uç Nokta, Hizmet Etiketi veya FQDN. Hizmet Etiketi ve FQDN yalnızca ağ yalıtımı onaylanan giden ile özel olduğunda kullanılabilir.

     Hedef türü Özel Uç Nokta ise aşağıdaki bilgileri sağlayın:

     • Abonelik: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren abonelik.
     • Kaynak grubu: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren kaynak grubu.
     • Kaynak türü: Azure kaynağının türü.
     • Kaynak adı: Azure kaynağının adı.
     • Alt Kaynak: Azure kaynak türünün alt kaynağı.
     • Spark etkin: Çalışma alanı için sunucusuz Spark işlerini etkinleştirmek istiyorsanız bu seçeneği belirleyin. Bu seçenek yalnızca kaynak türü Azure Depolama olduğunda kullanılabilir.

     İpucu

     Azure Machine Learning yönetilen sanal ağı, tüm Azure kaynak türleri için özel uç nokta oluşturmayı desteklemez. Desteklenen kaynakların listesi için Özel uç noktalar bölümüne bakın.

     

     Hedef türü Hizmet Etiketi ise aşağıdaki bilgileri sağlayın:

     • Hizmet etiketi: Onaylanan giden kurallarına eklenecek hizmet etiketi.
     • Protokol: Hizmet etiketine izin veren protokol.
     • Bağlantı noktası aralıkları: Hizmet etiketine izin vermek için bağlantı noktası aralıkları.

     

     Hedef türü FQDN ise aşağıdaki bilgileri sağlayın:

     Uyarı

     FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

     • FQDN hedefi: Onaylanan giden kurallarına eklenecek tam etki alanı adı.

     

     Kuralı kaydetmek için Kaydet'i seçin. Kural eklemek için Kullanıcı tanımlı giden kuralları ekleme'yi kullanmaya devam edebilirsiniz.

  5. Çalışma alanını normal şekilde oluşturmaya devam edin.

• Mevcut bir çalışma alanını güncelleştirme:

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  1. Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz Azure Machine Learning çalışma alanını seçin.

  2. Ağ'ı ve ardından Onaylı Giden ile Özel'i seçin.

     

     • Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin.Çalışma alanı giden kuralları kenar çubuğundan, önceki 'Yeni çalışma alanı oluşturma' bölümünde çalışma alanı oluştururken kullanılanla aynı bilgileri sağlayın.

     • Giden kuralı silmek için kural için sil'i seçin.

       

  3. Değişiklikleri yönetilen sanal ağda kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

Sunucusuz Spark işleri için yapılandırma

İpucu

Bu bölümdeki adımlar yalnızca sunucusuz Spark işleri göndermeyi planlıyorsanız gereklidir. Sunucusuz Spark işleri göndermeyecekseniz bu bölümü atlayabilirsiniz.

Yönetilen sanal ağ için sunucusuz Spark işlerini etkinleştirmek için aşağıdaki eylemleri gerçekleştirmeniz gerekir:

• Çalışma alanı için yönetilen bir sanal ağ yapılandırın ve Azure Depolama Hesabı için bir giden özel uç nokta ekleyin.
• Yönetilen sanal ağı yapılandırdıktan sonra, Spark işlerine izin verecek şekilde sağlayın ve bayrak ekleyin.

1. Giden özel uç noktayı yapılandırın.

   Azure CLI

   Yönetilen sanal ağ yapılandırmasını tanımlamak ve Azure Depolama Hesabı için özel bir uç nokta eklemek için YAML dosyası kullanın. Ayrıca ayarlayın spark_enabled: true:

   İpucu

   Bu örnek, İnternet trafiğine izin vermek için kullanılarak isolation_mode: allow_internet_outbound yapılandırılmış yönetilen bir sanal ağa yöneliktir. Yalnızca onaylanan giden trafiğe izin vermek istiyorsanız kullanın isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   parametresini ve YAML dosyasının az ml workspace update adını belirterek --file komutuyla YAML yapılandırma dosyasını kullanabilirsiniz. Örneğin, aşağıdaki komut adlı workspace_pe.ymlbir YAML dosyası kullanarak var olan bir çalışma alanını güncelleştirir:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Not

   Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()isolation_mode: allow_only_approved_outbound Spark oturum yapılandırmasında tanımlanan conda paketi bağımlılıkları yüklenemiyor. Bu sorunu çözmek için azure depolama hesabına dış bağımlılıkları olmayan bağımsız bir Python paket tekerleği yükleyin ve bu depolama hesabına özel uç nokta oluşturun. Spark işinizde parametre olarak py_files Python paket tekerleğinin yolunu kullanın. FQDN giden kuralının ayarlanması, Spark tarafından FQDN kuralı yayılması desteklenmediğinden bu sorunu atlamaz.

   Python SDK'sı

   Aşağıdaki örnekte adlı myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir. Ayrıca Azure Depolama Hesabı için özel bir uç nokta ekler ve ayarlarspark_enabled=true:

   İpucu

   Aşağıdaki örnek, İnternet trafiğine izin vermek için kullanılarak IsolationMode.ALLOW_INTERNET_OUTBOUND yapılandırılmış yönetilen bir sanal ağa yöneliktir. Yalnızca onaylanan giden trafiğe izin vermek istiyorsanız kullanın IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Not

   • Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()isolation_mode: allow_only_approved_outbound Spark oturum yapılandırmasında tanımlanan conda paketi bağımlılıkları yüklenemiyor. Bu sorunu çözmek için azure depolama hesabına dış bağımlılıkları olmayan bağımsız bir Python paket tekerleği yükleyin ve bu depolama hesabına özel uç nokta oluşturun. Spark işinde parametre olarak py_files Python paket tekerleğinin yolunu kullanın.
   • çalışma alanı ile IsolationMode.ALLOW_INTERNET_OUTBOUNDoluşturulduysa, daha sonra kullanmak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDüzere güncelleştirilemez.

   Azure portalı

   1. Azure portalında oturum açın ve Azure Machine Learning çalışma alanını seçin.

   2. Ağ'ı ve ardından Kullanıcı tanımlı giden kuralları ekle'yi seçin. Azure Depolama Hesabı için bir kural ekleyin ve Spark'ın etkinleştirildiğinden emin olun.

      

   3. Kuralı kaydetmek için Kaydet'i seçin ve ardından ağ oluşturmanın üst kısmından Kaydet'i seçerek değişiklikleri yönetilen sanal ağa kaydedin.

2. Yönetilen sanal ağı sağlayın.

   Not

   Çalışma alanınız zaten bir genel uç nokta (örneğin, Azure Sanal Ağ ile) için yapılandırılmışsa ve genel ağ erişimi etkinleştirilmişse, yönetilen sanal ağı sağlamadan önce devre dışı bırakmanız gerekir. Yönetilen sanal ağı sağlarken genel ağ erişimini devre dışı bırakmazsanız, yönetilen uç noktanın özel uç noktaları başarıyla oluşturulamayabilir.

   Azure CLI

   Aşağıdaki örnekte parametresi kullanılarak sunucusuz Spark işleri için yönetilen bir sanal ağın nasıl sağlandığı gösterilmektedir --include-spark .

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   Python SDK'sı

   Aşağıdaki örnek, sunucusuz Spark işleri için yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Azure portalı

   Yönetilen sanal ağı sunucusuz Spark desteğiyle el ile sağlamayı öğrenmek için Azure CLI veya Python SDK sekmelerini kullanın.

Yönetilen sanal ağı el ile sağlama

Yönetilen sanal ağ, işlem kaynağı oluşturduğunuzda otomatik olarak sağlanır. Otomatik sağlamayı kullandığınızda, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız (yalnızca onaylanan moda izin ver ile kullanılabilir), ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Yönetilen ağda sağlanacak çok sayıda giden kuralınız varsa sağlamanın tamamlanması daha uzun sürebilir. Artan sağlama süresi, ilk işlem oluşturma işleminizin veya ilk yönetilen çevrimiçi uç nokta dağıtımınızın zaman aşımına neden olabilir.

Bekleme süresini azaltmak ve olası zaman aşımı hatalarını önlemek için yönetilen ağı el ile sağlamanızı öneririz. Ardından bir işlem kaynağı veya yönetilen çevrimiçi uç nokta dağıtımı oluşturmadan önce sağlamanın tamamlanmasını bekleyin.

Azure CLI

Aşağıdaki örnek, yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir.

İpucu

Sunucusuz Spark işleri göndermeyi planlıyorsanız parametresini --include-spark ekleyin.

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Sağlamanın tamamlandığını doğrulamak için aşağıdaki komutu kullanın:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Python SDK'sı

Aşağıdaki örnek, yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Çalışma alanının sağlandığını doğrulamak için, çalışma alanı bilgilerini almak için kullanın ml_client.workspaces.get() . özelliği yönetilen managed_network ağın durumunu içerir.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Azure portalı

Yönetilen sanal ağı sunucusuz Spark desteğiyle el ile sağlamayı öğrenmek için Azure CLI veya Python SDK sekmelerini kullanın.

Görüntü derlemelerini yapılandırma

Çalışma alanınız için Azure Container Registry bir sanal ağın arkasında olduğunda docker görüntülerini doğrudan oluşturmak için kullanılamaz. Bunun yerine, görüntü oluşturmak için çalışma alanınızı bir işlem kümesi veya işlem örneği kullanacak şekilde yapılandırın.

Önemli

Docker görüntüleri oluşturmak için kullanılan işlem kaynağının modellerinizi eğitmek ve dağıtmak için kullanılan paket depolarına erişebilmesi gerekir. Yalnızca onaylı gidenlere izin verecek şekilde yapılandırılmış bir ağ kullanıyorsanız, genel depolara erişime izin veren kurallar eklemeniz veya özel Python paketleri kullanmanız gerekebilir.

Azure CLI

Bir çalışma alanını Docker görüntüleri oluşturmak üzere işlem kümesi veya işlem örneği kullanacak şekilde güncelleştirmek için parametresiyle --image-build-compute komutunu kullanınaz ml workspace update:

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Python SDK'sı

Aşağıdaki örnekte, görüntü oluşturmak için işlem kümesi kullanmak üzere bir çalışma alanının nasıl güncelleştirilecekleri gösterilmektedir:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Azure portalı

Şu anda Azure portalından görüntü derleme işlemini ayarlamanın bir yolu yoktur. Görüntü derlemelerini el ile yapılandırmayı öğrenmek için Azure CLI veya Python SDK sekmelerini kullanın.

Giden kurallarını yönetme

Azure CLI

Bir çalışma alanının yönetilen sanal ağ giden kurallarını listelemek için aşağıdaki komutu kullanın:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Yönetilen sanal ağ giden kuralının ayrıntılarını görüntülemek için aşağıdaki komutu kullanın:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Yönetilen sanal ağdan giden kuralı kaldırmak için aşağıdaki komutu kullanın:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Python SDK'sı

Aşağıdaki örnekte adlı myworkspacebir çalışma alanı için giden kuralların nasıl yönetileceğini gösterilmektedir:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Azure portalı

1. Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz Azure Machine Learning çalışma alanını seçin.

2. Ağ'ı seçin. Çalışma Alanı Giden erişimi bölümü, giden kurallarını yönetmenize olanak tanır.

   

• Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin.Çalışma alanı giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:

• Bir kuralı etkinleştirmek veya devre dışı bırakmak için Etkin sütunundaki iki durumlu düğmeyi kullanın.

• Giden kuralı silmek için kural için sil'i seçin.

Gerekli kuralların listesi

İpucu

Bu kurallar yönetilen sanal ağa otomatik olarak eklenir.

Özel uç noktalar:

• Yönetilen sanal ağın yalıtım modu olduğundaAllow internet outbound, çalışma alanı için yönetilen sanal ağdan ve genel ağ erişimi devre dışı bırakılmış ilişkili kaynaklardan (Key Vault, Depolama Hesabı, Container Registry, Azure Machine Learning çalışma alanı) gerekli kurallar olarak özel uç nokta giden kuralları otomatik olarak oluşturulur.
• Yönetilen sanal ağın yalıtım modu olduğundaAllow only approved outbound, özel uç nokta giden kuralları, söz konusu kaynaklar için genel ağ erişim modundan bağımsız olarak çalışma alanı ve ilişkili kaynaklar için yönetilen sanal ağdan gerekli kurallar olarak otomatik olarak oluşturulur (Key Vault, Depolama Hesabı, Container Registry, Azure Machine Learning çalışma alanı).

Giden hizmet etiketi kuralları:

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor
• MicrosoftContainerRegistry
• AzureMonitor

Gelen hizmet etiketi kuralları:

• AzureMachineLearning

Senaryoya özgü giden kuralların listesi

Senaryo: Genel makine öğrenmesi paketlerine erişme

Eğitim ve dağıtım için Python paketlerinin yüklenmesine izin vermek için, aşağıdaki konak adlarına gelen trafiğe izin vermek için giden FQDN kuralları ekleyin:

Uyarı

FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

Not

Bu, internet üzerindeki tüm Python kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı	Amaç
anaconda.com *.anaconda.com	Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org	Depo verilerini almak için kullanılır.
pypi.org	Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa, dizinine de izin *.pythonhosted.orgvermelisiniz.
pytorch.org *.pytorch.org	PyTorch tabanlı bazı örnekler tarafından kullanılır.
*.tensorflow.org	Tensorflow tabanlı bazı örnekler tarafından kullanılır.

Senaryo: İşlem örneğiyle Visual Studio Code masaüstü veya web kullanma

Azure Machine Learning ile Visual Studio Code kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:

Uyarı

FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• vscode.download.prss.microsoft.com

Senaryo: Toplu iş uç noktalarını kullanma

Dağıtım için Azure Machine Learning toplu uç noktalarını kullanmayı planlıyorsanız, varsayılan depolama hesabı için aşağıdaki alt kaynaklara giden trafiğe izin vermek için giden özel uç nokta kuralları ekleyin:

• queue
• table

Senaryo: Azure OpenAI, içerik güvenliği ve Azure AI Search ile istem akışını kullanma

• Azure AI Services'a özel uç nokta
• Azure AI Search'e özel uç nokta

Senaryo: HuggingFace modellerini kullanma

HuggingFace modellerini Azure Machine Learning ile kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:

Uyarı

FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Senaryo: Seçili IP Adreslerinden erişimi etkinleştirme

Belirli IP adreslerinden erişimi etkinleştirmek istiyorsanız aşağıdaki eylemleri kullanın:

1. Azure Machine Learning çalışma alanına giden trafiğe izin vermek için bir giden özel uç nokta kuralı ekleyin. Bu, yönetilen sanal ağda oluşturulan işlem örneklerinin çalışma alanına erişmesine olanak tanır.

   İpucu

   Çalışma alanı henüz mevcut olmadığından, çalışma alanı oluşturma sırasında bu kuralı ekleyemezsiniz.

2. Çalışma alanına genel ağ erişimini etkinleştirin. Daha fazla bilgi için bkz . Genel ağ erişimi etkin.

3. IP adreslerinizi Azure Machine Learning güvenlik duvarına ekleyin. Daha fazla bilgi için bkz . Yalnızca IP aralıklarından erişimi etkinleştirme.

Özel uç noktalar

Özel uç noktalar şu anda aşağıdaki Azure hizmetleri için desteklenmektedir:

• Azure Machine Learning
• Azure Machine Learning kayıt defterleri
• Azure Depolama (tüm alt kaynak türleri)
• Azure Container Registry
• Azure Key Vault
• Azure Yapay Zeka Hizmetleri
• Azure AI Search (eski adıyla Bilişsel Arama)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (tüm alt kaynak türleri)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• MariaDB için Azure Veritabanı
• PostgreSQL için Azure Veritabanı
• MySQL için Azure Veritabanı
• Azure SQL Yönetilen Örnek

Özel uç nokta oluşturduğunuzda, uç noktanın bağlanacağı kaynak türünü ve alt kaynağı sağlarsınız. Bazı kaynakların birden çok türü ve alt kaynağı vardır. Daha fazla bilgi için bkz . Özel uç nokta nedir?

Azure Depolama, Azure Container Registry ve Azure Key Vault gibi Azure Machine Learning bağımlılık kaynakları için özel bir uç nokta oluşturduğunuzda, kaynak farklı bir Azure aboneliğinde olabilir. Ancak kaynağın Azure Machine Learning çalışma alanıyla aynı kiracıda olması gerekir.

Önemli

Azure Machine Learning yönetilen sanal ağı için özel uç noktaları yapılandırırken, özel uç noktalar yalnızca ilk işlem oluşturulduğunda veya yönetilen sanal ağ sağlama zorlandığında oluşturulur. Yönetilen sanal ağ sağlamayı zorlama hakkında daha fazla bilgi için bkz . Sunucusuz Spark işleri için yapılandırma.

Fiyatlandırma

Azure Machine Learning tarafından yönetilen sanal ağ özelliği ücretsizdir. Ancak, yönetilen sanal ağ tarafından kullanılan aşağıdaki kaynaklar için ücretlendirilirsiniz:

• Azure Özel Bağlantı - Yönetilen sanal ağ ile Azure kaynakları arasındaki iletişimin güvenliğini sağlamak için kullanılan özel uç noktalar Azure Özel Bağlantı’ya dayanır. Fiyatlandırma hakkında daha fazla bilgi için bkz. fiyatlandırma Azure Özel Bağlantı.

• FQDN giden kuralları - FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Azure Güvenlik Duvarı (standart SKU), Azure Machine Learning tarafından sağlanır.

  Önemli

  Giden FQDN kuralı ekleyene kadar güvenlik duvarı oluşturulmaz. Fiyatlandırma hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı fiyatlandırma ve standart sürümün fiyatlarını görüntüleme.

Sınırlamalar

• Çalışma alanınızın yönetilen sanal ağ yalıtımını etkinleştirdikten sonra devre dışı bırakamazsınız.
• Yönetilen sanal ağ, özel kaynaklarınıza erişmek için özel uç nokta bağlantısını kullanır. Depolama hesabı gibi Azure kaynaklarınız için aynı anda özel uç noktanız ve hizmet uç noktanız olamaz. Tüm senaryolarda özel uç noktaları kullanmanızı öneririz.
• Yönetilen sanal ağ, çalışma alanı silindiğinde silinir.
• Veri sızdırma koruması, onaylanan tek giden mod için otomatik olarak etkinleştirilir. FQDN'ler gibi başka giden kuralları eklerseniz, Microsoft bu giden hedeflere veri sızdırmaya karşı koruma altında olduğunuzu garantileyemez.
• Yönetilen bir sanal ağ kullanılırken çalışma alanından farklı bir bölgede işlem kümesi oluşturma desteklenmez.
• Kubernetes ve bağlı VM'ler, Azure Machine Learning tarafından yönetilen bir sanal ağda desteklenmez.
• FQDN giden kurallarının kullanılması yönetilen sanal ağın maliyetini artırır çünkü FQDN kuralları Azure Güvenlik Duvarı kullanır. Daha fazla bilgi için bkz. Fiyatlandırma.

İşlem kaynaklarının geçişi

Mevcut bir çalışma alanınız varsa ve bunun için yönetilen sanal ağı etkinleştirmek istiyorsanız, şu anda mevcut yönetilen işlem kaynakları için desteklenen bir geçiş yolu yoktur. Yönetilen sanal ağı etkinleştirdikten sonra mevcut tüm yönetilen işlem kaynaklarını silmeniz ve yeniden oluşturmanız gerekir. Aşağıdaki liste, silinmesi ve yeniden oluşturulması gereken işlem kaynaklarını içerir:

• İşlem kümesi
• İşlem örneği
• Kubernetes kümeleri
• Yönetilen çevrimiçi uç noktalar

Sonraki adımlar

• Yönetilen sanal ağ sorunlarını giderme
• Yönetilen sanal ağda yönetilen işlemleri yapılandırma