مشاركة عبر

عزل الشبكة في نقاط نهاية الدفعة

  • مقالة

يمكنك تأمين اتصال نقاط النهاية الدفعية باستخدام الشبكات الخاصة. توضح هذه المقالة متطلبات استخدام نقطة نهاية الدفعة في بيئة مؤمنة بواسطة الشبكات الخاصة.

تأمين نقاط النهاية الدفعية

ترث نقاط النهاية الدفعية تكوين الشبكة من مساحة العمل حيث يتم نشرها. يتم نشر جميع نقاط النهاية الدفعية التي تم إنشاؤها داخل مساحة العمل الخاصة الممكنة للارتباط كنقاط نهاية دفعية خاصة بشكل افتراضي. عند تكوين مساحة العمل بشكل صحيح، لا يلزم إجراء أي تكوين إضافي.

للتحقق من تكوين مساحة العمل بشكل صحيح لنقاط نهاية الدفعة للعمل مع الشبكات الخاصة، تأكد مما يلي:

  1. لقد قمت بتكوين مساحة عمل Azure التعلم الآلي للشبكات الخاصة. لمزيد من التفاصيل حول كيفية تحقيق ذلك، اقرأ إنشاء مساحة عمل آمنة.

  2. بالنسبة إلى Azure Container Registry في الشبكات الخاصة، هناك بعض المتطلبات الأساسية حول تكوينها.

    تحذير

    سجلات حاويات Azure مع تمكين ميزة العزل غير مدعومة في الوقت الحالي.

  3. تأكد من تكوين نقاط النهاية الخاصة للكائن الثنائي كبير الحجم والملف وقائمة الانتظار والجدول لحسابات التخزين كما هو موضح في حسابات تخزين Azure الآمنة. تتطلب عمليات نشر الدفعات جميع ال 4 للعمل بشكل صحيح.

يوضح الرسم التخطيطي التالي كيف تبدو الشبكات لنقاط نهاية الدفعة عند نشرها في مساحة عمل خاصة:

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

تنبيه

لا تدعم نقاط النهاية الدفعية، على عكس نقاط النهاية عبر الإنترنت، المفاتيح public_network_access أو egress_public_network_access عند تكوين نقطة النهاية. لا يمكن نشر نقاط نهاية الدفعة العامة على مساحات العمل الخاصة الممكنة للارتباط.

تأمين مهام توزيع الدفعات

يتم تشغيل عمليات توزيع دفعات Azure التعلم الآلي على مجموعات الحوسبة. لتأمين مهام توزيع الدفعات، يجب نشر مجموعات الحوسبة هذه في شبكة ظاهرية أيضا.

  1. إنشاء نظام مجموعة كمبيوتر Azure التعلم الآلي في الشبكة الظاهرية.

  2. تأكد من أن جميع الخدمات ذات الصلة تحتوي على نقاط نهاية خاصة تم تكوينها في الشبكة. تستخدم نقاط النهاية الخاصة ليس فقط لمساحة عمل Azure التعلم الآلي، ولكن أيضا الموارد المقترنة بها مثل Azure Storage أو Azure Key Vault أو Azure Container Registry. Azure Container Registry هي خدمة مطلوبة. أثناء تأمين مساحة عمل Azure التعلم الآلي مع الشبكات الظاهرية، يرجى ملاحظة أن هناك بعض المتطلبات الأساسية حول Azure Container Registry.

  3. إذا كان مثيل الحساب الخاص بك يستخدم عنوان IP عاما، يجب السماح بالاتصال الوارد حتى تتمكن خدمات الإدارة من إرسال المهام إلى موارد الحوسبة الخاصة بك.

    تلميح

    يمكن إنشاء نظام مجموعة الحساب ومثيل الحساب باستخدام عنوان IP عام أو بدونه. إذا تم إنشاؤه باستخدام عنوان IP عام، ستحصل على موازن حمل مع عنوان IP عام لقبول الوصول الوارد من خدمة دفعة Azure وخدمة التعلم الآلي من Azure. إذا كنت تستخدم جدار حماية، تحتاج إلى تكوين التوجيه المعرف من قبل المستخدم (UDR). إذا تم إنشاؤه بدون عنوان IP عام، فستحصل على خدمة ارتباط خاصة لقبول الوصول الوارد من خدمة دفعة Azure وخدمة التعلم الآلي من Azure دون عنوان IP عام.

  4. قد تكون NSG إضافية مطلوبة اعتمادا على حالتك. لمزيد من المعلومات، راجع كيفية تأمين بيئة التدريب الخاصة بك.

لمزيد من المعلومات، راجع مقالة تأمين بيئة تدريب التعلم الآلي Azure باستخدام الشبكات الظاهرية.

القيود

ضع في اعتبارك القيود التالية عند العمل على نقاط النهاية الدفعية المنشورة فيما يتعلق بالشبكات:

  • إذا قمت بتغيير تكوين الشبكة لمساحة العمل من عام إلى خاص، أو من خاص إلى عام، فلا يؤثر ذلك على تكوين شبكة نقاط نهاية الدفعات الموجودة. تعتمد نقاط النهاية الدفعية على تكوين مساحة العمل في وقت الإنشاء. يمكنك إعادة إنشاء نقاط النهاية إذا كنت تريدها أن تعكس التغييرات التي أجريتها في مساحة العمل.

  • عند العمل على مساحة عمل خاصة ممكنة للارتباط، يمكن إنشاء نقاط النهاية الدفعية وإدارتها باستخدام Azure التعلم الآلي studio. ومع ذلك، لا يمكن استدعاؤها من واجهة المستخدم في الاستوديو. استخدم Azure التعلم الآلي CLI v2 بدلا من ذلك لإنشاء الوظيفة. لمزيد من التفاصيل حول كيفية استخدامه، راجع تشغيل نقطة نهاية الدفعة لبدء مهمة تسجيل الدفعات.