Sanal ağları (VNet) kullanarak Azure Machine Learning çalışma alanı kaynaklarının güvenliğini sağlama

  • Makale
  • Okumak için 7 dakika

Sanal Azure Machine Learning kullanarak çalışma alanı kaynaklarının ve işlem ortamlarının güvenliğini sağlama. Bu makalede, tam bir sanal ağın nasıl yapılandırıldığında size örnek bir senaryo kullanılır.

İpucu

Bu makale, bir iş akışını güvenli hale getirme serisinin Azure Machine Learning içerir. Bu seride yer alan diğer makalelere bakın:

Önkoşullar

Bu makalede aşağıdaki konular hakkında bilgi sahibi olduğunuz varsaylanmıştır:

Örnek senaryo

Bu bölümde, özel IP adresleriyle iletişimin güvenliğini sağlamak için ortak bir ağ senaryosunun Azure Machine Learning senaryosunu öğrenirsiniz.

Aşağıdaki tabloda hizmetlerin sanal ağ ile ve sanal ağ olmadan bir Azure Machine Learning bölümlerine nasıl erişenleri karşılaştırıldı:

Senaryo Çalışma alanı İlişkili kaynaklar Eğitim işlem ortamı İşlem ortamı çıkarım
Sanal ağ yok Genel IP Genel IP Genel IP Genel IP
Genel çalışma alanı, bir sanal ağ içinde diğer tüm kaynaklar Genel IP Genel IP (hizmet uç noktası)
- veya -
Özel IP (özel uç nokta)		 Özel IP Özel IP
Sanal ağ içinde kaynakların güvenliğini sağlama Özel IP (özel uç nokta) Genel IP (hizmet uç noktası)
- veya -
Özel IP (özel uç nokta)		 Özel IP Özel IP
  • Çalışma Alanı - Çalışma alanınız için özel bir uç nokta oluşturun. Özel uç nokta, çalışma alanını birkaç özel IP adresi aracılığıyla sanal ağa bağlar.
    • Genel erişim - Güvenli bir çalışma alanı için isteğe bağlı olarak genel erişimi etkinleştirebilirsiniz.
  • İlişkili kaynak - Azure depolama ve depolama gibi çalışma alanı kaynaklarına bağlanmak için hizmet uç noktalarını veya özel uç Azure Key Vault. Azure Container Services için özel uç nokta kullanın.
    • Hizmet uç noktaları, Azure hizmetine sanal ağın kimliğini sağlar. Sanal ağ içinde hizmet uç noktalarını etkinleştir sonra, sanal ağınıza Azure hizmet kaynaklarının güvenliğini sağlamak için bir sanal ağ kuralı eklemeniz gerekir. Hizmet uç noktaları genel IP adreslerini kullanır.
    • Özel uç noktalar, sizi ağ arabirimleri tarafından desteklenen bir hizmete güvenli bir şekilde Azure Özel Bağlantı. Özel uç nokta, hizmeti sanal ağınıza etkili bir şekilde getirerek sanal ağınıza özel bir IP adresi kullanır.
  • eğitim işlem erişimi - genel IP adresleriyle Azure Machine Learning İşlem Azure Machine Learning (önizleme) gibi eğitim işlem hedeflerine erişin.
  • Çıkarım işlem erişimi - Özel IP adresleriyle Azure Kubernetes Services (AKS) işlem kümelerine erişin.

Sonraki bölümlerde, yukarıda açıklanan ağ senaryosunun güvenliğini nasıl sağlar? Ağın güvenliğini sağlamak için şunları yapmak gerekir:

  1. Çalışma alanının ve ilişkili kaynakların güvenliğini sağlama.
  2. Eğitim ortamının güvenliğini sağlama.
  3. Çıkarım ortamının güvenliğini sağlama.
  4. İsteğe bağlı olarak: studio işlevselliğini etkinleştirin.
  5. Güvenlik duvarı ayarlarını yapılandırma.
  6. DNS ad çözümlemeyi yapılandırma.

Genel çalışma alanı ve güvenli kaynaklar

Çalışma alanına genel İnternet üzerinden erişmek ve ilişkili tüm kaynakları bir sanal ağ içinde güvenli bir şekilde tutmak için aşağıdaki adımları kullanın:

  1. Çalışma alanı tarafından kullanılan kaynakları içeren bir Azure Sanal Ağları oluşturun.

  2. Genel olarak erişilebilen bir çalışma alanı oluşturmak için aşağıdaki seçeneklerden birini kullanın:

  3. Bir hizmet uç noktası veya özel uç nokta kullanarak aşağıdaki hizmetleri sanal ağa ekleyin. Ayrıca, güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin ver:

    Hizmet Uç nokta bilgileri Güvenilen bilgilere izin ver
    Azure Key Vault Hizmet uç noktası
    Özel uç nokta    		 Güvenilen kullanıcıların Microsoft hizmetleri güvenlik duvarını atlayarak geçişe izin verme
    Azure Depolama Hesabı Hizmet ve özel uç nokta
    Özel uç nokta    		 Güvenilen Azure hizmetleri için erişim izni ver
    Azure Container Registry Özel uç nokta Güvenilen hizmetlere izin ver

  4. Çalışma alanınız için Azure Depolama Hesaplarının özelliklerinde, istemci IP adresinizi güvenlik duvarı ayarlarında izin verilenler listesine ekleyin. Daha fazla bilgi için bkz. Güvenlik duvarlarını ve sanal ağları yapılandırma.

Çalışma alanının ve ilişkili kaynakların güvenliğini sağlama

Çalışma alanınızı ve ilişkili kaynaklarınızı güvenli hale almak için aşağıdaki adımları kullanın. Bu adımlar, hizmetlerinizin sanal ağ ile iletişim kurmasına olanak sağlar.

  1. Çalışma alanını ve diğer kaynakları içeren bir Azure Sanal Ağları oluşturun.

  2. Sanal ağınız ve çalışma alanınız arasında iletişimi etkinleştirmek için Özel Bağlantı özellikli bir çalışma alanı oluşturun.

  3. Bir hizmet uç noktası veya özel uç nokta kullanarak aşağıdaki hizmetleri sanal ağa ekleyin. Ayrıca, güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin ver:

    Hizmet Uç nokta bilgileri Güvenilen bilgilere izin ver
    Azure Key Vault Hizmet uç noktası
    Özel uç nokta    		 Güvenilen kullanıcıların Microsoft hizmetleri güvenlik duvarını atlayarak geçişe izin verme
    Azure Depolama Hesabı Hizmet ve özel uç nokta
    Özel uç nokta    		 Azure kaynak örneklerinden erişim izni ver
    veya
    Güvenilen Azure hizmetleri için erişim izni ver
    Azure Container Registry Özel uç nokta Güvenilen hizmetlere izin ver

Çalışma alanının ve ilişkili kaynakların bir sanal ağ içindeki hizmet uç noktaları veya özel uç noktalar üzerinden birbirleriyle nasıl iletişim kuralarını gösteren mimari diyagramı

Bu adımların nasıl tamamlanacakları hakkında ayrıntılı yönergeler için bkz. Azure Machine Learning çalışma alanının güvenliğini sağlama.

Sınırlamalar

Bir sanal ağ içindeki çalışma alanı ve ilişkili kaynaklarınızı güvenli hale getirmenin aşağıdaki sınırlamaları vardır:

  • Tüm kaynakların aynı sanal anın arkasında olması gerekir. Ancak, aynı sanal ağ içindeki alt ağlara izin verilir.

Eğitim ortamının güvenliğini sağlama

Bu bölümde, Azure Machine Learning'da eğitim ortamının güvenliğini sağlamayı Azure Machine Learning. Ayrıca ağ yapılandırmalarının Azure Machine Learning anlamak için bir eğitim işini nasıl tamamlayacağız?

Eğitim ortamının güvenliğini sağlamak için aşağıdaki adımları kullanın:

  1. Eğitim Azure Machine Learning için sanal ağ içinde bir sanal işlem örneği ve bilgisayar kümesi oluşturun.
  2. Yönetim hizmetlerinin işlem kaynaklarınıza iş göndermesi için gelen iletişime izin verme.

Yönetilen işlem kümelerini ve örneklerinin güvenliğini sağlamayı gösteren mimari diyagramı

Bu adımların nasıl tamamlanacakları hakkında ayrıntılı yönergeler için bkz. Eğitim ortamının güvenliğini sağlama.

Örnek eğitim işi gönderme

Bu bölümde, eğitim işi Azure Machine Learning hizmetler arasında güvenli bir şekilde iletişim kurma hakkında bilgi edinebilirsiniz. Bu, iletişimin güvenliğini sağlamak için tüm yapılandırmalarınızı birlikte nasıl birlikte çalışmanızı gösterir.

  1. İstemci, eğitim betiklerini ve eğitim verilerini bir hizmet veya özel uç nokta ile güvenliği sağlanacak depolama hesaplarına yükler.

  2. İstemci, özel uç nokta üzerinden Azure Machine Learning çalışma alanına bir eğitim işi göndererek.

  3. Azure Batch hizmeti işi çalışma alanından alır. Ardından eğitim işini işlem kaynağı için genel yük dengeleyici aracılığıyla işlem ortamına göndermektedir.

  4. İşlem kaynağı işi alır ve eğitimine başlar. İşlem kaynakları, eğitim dosyalarını indirmek ve çıkışı karşıya yüklemek için güvenli depolama hesaplarına erişer.

Sınırlamalar

  • Azure İşlem Ve Azure İşlem Kümeleri çalışma alanı ve ilişkili kaynaklarıyla aynı sanal ağ, bölge ve abonelikte olmalıdır.

Çıkarım ortamının güvenliğini sağlama

Bu bölümde çıkarım ortamının güvenliğini sağlamak için kullanılabilen seçenekleri öğrenirsiniz. Yüksek ölçekli üretim dağıtımları için Azure Kubernetes Services (AKS) kümelerini kullanmanızı öneririz.

Bir sanal ağ içinde AKS kümeleri için iki seçeneğiniz vardır:

  • Sanal ağınıza varsayılan bir AKS kümesi dağıtın veya iliştirin.
  • Sanal ağınıza özel bir AKS kümesi ekleme.

Varsayılan AKS kümelerinin genel IP adreslerine sahip bir denetim düzlemi vardır. Dağıtım sırasında sanal ağınıza varsayılan AKS kümesi ekleyebilir veya oluşturulduktan sonra bir küme iliştirebilirsiniz.

Özel AKS kümelerinin yalnızca özel IP'ler üzerinden erişilebilen bir kontrol düzlemi vardır. Küme oluşturulduktan sonra özel AKS kümeleri eklenmeli.

Varsayılan ve özel kümeleri ekleme hakkında ayrıntılı yönergeler için bkz. Çıkarım ortamının güvenliğini sağlama.

Aşağıdaki ağ diyagramında, sanal ağa Azure Machine Learning aks kümesine sahip güvenli bir çalışma alanı yer alır.

Sanal ağa özel AKS kümesi eklemeyi gösteren mimari diyagramı. AKS kontrol düzlemi müşteri sanal ağının dışına yerleştirilir

Sınırlamalar

  • Çalışma alanının AKS kümesiyle aynı sanal ağ içinde özel bir uç noktası olmalıdır. Örneğin, çalışma alanıyla birden çok özel uç nokta kullanırken, bir özel uç nokta AKS sanal a alanında ve çalışma alanı için bağımlılık hizmetlerini içeren sanal ağ içinde başka bir özel uç nokta olabilir.

İsteğe bağlı: Genel erişimi etkinleştirme

Özel bir uç nokta kullanarak bir sanal anın arkasındaki çalışma alanının güvenliğini sildiyebilirsiniz ve yine de genel İnternet üzerinden erişime izin veebilirsiniz. İlk yapılandırma, çalışma alanının ve ilişkili kaynakların güvenliğini sağlamakla aynıdır.

Çalışma alanını özel uç noktayla güvenli hale getirmenin ardından, istemcilerin SDK veya Azure Machine Learning studio kullanarak uzaktan geliştirmelerini sağlamak için aşağıdaki adımları kullanın:

  1. Çalışma alanına genel erişimi etkinleştirin.
  2. Genel İnternet Depolama istemcilerin IP adresiyle iletişime izin vermek için Azure Güvenlik Duvarı güvenlik duvarını yapılandırma.

İsteğe bağlı: studio işlevselliğini etkinleştirme

Çalışma alanının güvenliğini sağlama > Eğitim ortamının güvenliğini sağlama > Çıkarım ortamının güvenliğini sağlama > Studio işlevselliğini etkinleştirme > Güvenlik duvarı ayarlarını yapılandırma

Depolama alanınız bir sanal ağ içinde ise, Studio'da tam işlevselliği etkinleştirmek için ek yapılandırma adımları kullansanız gerekir. Varsayılan olarak, aşağıdaki özellikler devre dışıdır:

  • Studio'da önizleme verileri.
  • Tasarımcıda verileri görselleştirme.
  • Tasarımcıda model dağıtma.
  • Bir AutoML denemesi gönderin.
  • Etiketleme projesi başlatma.

Tam studio işlevselliğini etkinleştirmek için bkz. Azure Machine Learning studio'Azure Machine Learning sanal ağın içinde kullanma.

Sınırlamalar

ML destekli veri etiketleme, sanal ağın arkasındaki varsayılan depolama hesabını desteklemez. Bunun yerine, yardımlı veri etiketleme için varsayılan ML bir depolama hesabı kullanın.

İpucu

Varsayılan depolama hesabı olmadığınız sürece, veri etiketleme tarafından kullanılan hesap sanal ağın arkasında güvenli hale alınabilir.

Güvenlik duvarı ayarlarını yapılandırma

Güvenlik duvarınızı, çalışma alanı kaynaklarınız Azure Machine Learning genel İnternet arasındaki trafiği kontrol etmek için yapılandırma. Güvenlik duvarı Azure Güvenlik Duvarı diğer güvenlik duvarı ürünlerini kullanabilirsiniz.

Güvenlik duvarı ayarları hakkında daha fazla bilgi için bkz. Güvenlik Duvarı arkasında çalışma alanı kullanma.

Özel DNS

Sanal ağınız için özel bir DNS çözümü kullanıyorsanız çalışma alanınız için konak kayıtları eklemeniz gerekir.

Gerekli etki alanı adları ve IP adresleri hakkında daha fazla bilgi için bkz. özel DNS sunucusu ile çalışma alanı kullanma.

Sonraki adımlar

Bu makale, bir iş akışını güvenli hale getirme serisinin Azure Machine Learning içerir. Bu seride yer alan diğer makalelere bakın: