عزل الشبكة الظاهرية المدارة لمساحة العمل
ينطبق على:ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)
يوفر Azure التعلم الآلي الدعم لعزل الشبكة الظاهرية المدارة (VNet المدارة). يعمل عزل الشبكة الظاهرية المدارة على تبسيط تكوين عزل الشبكة وأتمتته باستخدام Azure على مستوى مساحة العمل المضمنة التعلم الآلي VNet المدارة. تؤمن الشبكة الظاهرية المدارة موارد Azure التعلم الآلي المدارة، مثل مثيلات الحوسبة ومجموعات الحوسبة والحوسبة بلا خادم ونقاط النهاية المدارة عبر الإنترنت.
يوفر تأمين مساحة العمل الخاصة بك مع شبكة مدارة عزل الشبكة للوصول الصادر من مساحة العمل والحسابات المدارة. يتم استخدام شبكة Azure الظاهرية التي تقوم بإنشائها وإدارتها لتوفير الوصول الوارد لعزل الشبكة إلى مساحة العمل. على سبيل المثال، يتم إنشاء نقطة نهاية خاصة لمساحة العمل في شبكة Azure الظاهرية. يمكن لأي عملاء يتصلون بالشبكة الظاهرية الوصول إلى مساحة العمل من خلال نقطة النهاية الخاصة. عند تشغيل المهام على الحسابات المدارة، تقيد الشبكة المدارة ما يمكن للحوسبة الوصول إليه.
بنية الشبكة الظاهرية المدارة
عند تمكين عزل الشبكة الظاهرية المدارة، يتم إنشاء شبكة ظاهرية مدارة لمساحة العمل. تستخدم موارد الحوسبة المدارة التي تقوم بإنشائها لمساحة العمل هذه الشبكة الظاهرية المدارة تلقائيا. يمكن للشبكة الظاهرية المدارة استخدام نقاط النهاية الخاصة لموارد Azure التي تستخدمها مساحة العمل الخاصة بك، مثل Azure Storage وAzure Key Vault وAzure Container Registry.
هناك وضعان مختلفان للتكوين لحركة المرور الصادرة من الشبكة الظاهرية المدارة:
تلميح
بغض النظر عن الوضع الصادر الذي تستخدمه، يمكن تكوين حركة المرور إلى موارد Azure لاستخدام نقطة نهاية خاصة. على سبيل المثال، يمكنك السماح بجميع حركة المرور الصادرة إلى الإنترنت، ولكن تقييد الاتصال بموارد Azure عن طريق إضافة قواعد صادرة للموارد.
الوضع الصادر | الوصف | السيناريوهات |
---|---|---|
السماح بالإنترنت الصادر | السماح بجميع نسبة استخدام الشبكة الصادرة عبر الإنترنت من الشبكة الظاهرية المدارة. | تريد الوصول غير المقيد إلى موارد التعلم الآلي على الإنترنت، مثل حزم python أو النماذج المدربة مسبقا.1 |
السماح بالصادرة المعتمدة فقط | يسمح بنسبة استخدام الشبكة الصادرة عن طريق تحديد علامات الخدمة. | * تريد تقليل مخاطر النقل غير المصرح به للبيانات، ولكن تحتاج إلى إعداد جميع أدوات التعلم الآلي المطلوبة في بيئتك الخاصة. * تريد تكوين الوصول الصادر إلى قائمة معتمدة من الخدمات أو علامات الخدمة أو FQDNs. |
مُعطل | نسبة استخدام الشبكة الواردة والصادرة غير مقيدة أو أنك تستخدم شبكة Azure الظاهرية الخاصة بك لحماية الموارد. | تريد عام وارد وصادر من مساحة العمل، أو كنت تتعامل مع عزل الشبكة باستخدام Azure VNet الخاص بك. |
1: يمكنك استخدام القواعد الصادرة مع السماح فقط بالوضع الصادر المعتمد لتحقيق نفس النتيجة مثل استخدام السماح بالإنترنت الصادر. الاختلافات هي:
- يجب إضافة قواعد لكل اتصال صادر تحتاج إلى السماح به.
- تؤدي إضافة قواعد FQDN الصادرة إلى زيادة تكاليفك لأن نوع القاعدة هذا يستخدم Azure Firewall. لمزيد من المعلومات، راجع التسعير
- تم تصميم القواعد الافتراضية للسماح بالصادرة المعتمدة فقط لتقليل مخاطر النقل غير المصرح للبيانات. قد تزيد أي قواعد صادرة تضيفها من خطرك.
تم تكوين الشبكة الظاهرية المدارة مسبقا مع القواعد الافتراضية المطلوبة. كما تم تكوينه لاتصالات نقطة النهاية الخاصة بمساحة العمل والتخزين الافتراضي لمساحة العمل وسجل الحاوية وخزنة المفاتيح إذا تم تكوينها كخاصة أو تم تعيين وضع عزل مساحة العمل للسماح بالصادرة المعتمدة فقط. بعد اختيار وضع العزل، تحتاج فقط إلى مراعاة المتطلبات الصادرة الأخرى التي قد تحتاج إلى إضافتها.
يوضح الرسم التخطيطي التالي شبكة ظاهرية مدارة تم تكوينها للسماح بالإنترنت الصادر:
يوضح الرسم التخطيطي التالي شبكة ظاهرية مدارة تم تكوينها للسماح بالصادرة المعتمدة فقط:
إشعار
في هذا التكوين، يتم وضع علامة على التخزين وخزنة المفاتيح وسجل الحاوية المستخدمة من قبل مساحة العمل على أنها خاصة. نظرا لأنه يتم وضع علامة خاص عليها، يتم استخدام نقطة نهاية خاصة للتواصل معها.
إشعار
بمجرد تكوين مساحة عمل VNet مدارة للسماح بالإنترنت الصادر، لا يمكن إعادة تكوين مساحة العمل لتعطيلها. وبالمثل، بمجرد تكوين مساحة عمل VNet مدارة للسماح بالصادرة المعتمدة فقط، لا يمكن إعادة تكوين مساحة العمل للسماح بالإنترنت الصادر. يرجى وضع ذلك في الاعتبار عند تحديد وضع العزل للشبكة الظاهرية المدارة في مساحة العمل الخاصة بك.
Azure Machine Learning Studio
إذا كنت ترغب في استخدام دفتر الملاحظات المتكامل أو إنشاء مجموعات بيانات في حساب التخزين الافتراضي من الاستوديو، يحتاج العميل إلى الوصول إلى حساب التخزين الافتراضي. إنشاء نقطة نهاية خاصة أو نقطة نهاية خدمة لحساب التخزين الافتراضي في شبكة Azure الظاهرية التي يستخدمها العملاء.
يعمل جزء من Azure التعلم الآلي studio محليا في مستعرض الويب الخاص بالعميل، ويتصل مباشرة بالتخزين الافتراضي لمساحة العمل. يضمن إنشاء نقطة نهاية خاصة أو نقطة نهاية خدمة (لحساب التخزين الافتراضي) في الشبكة الظاهرية للعميل إمكانية اتصال العميل بحساب التخزين.
لمزيد من المعلومات حول إنشاء نقطة نهاية خاصة أو نقطة نهاية خدمة، راجع مقالات الاتصال بشكل خاص إلى حساب تخزين ونقاط نهاية الخدمة.
المتطلبات الأساسية
قبل اتباع الخطوات الواردة في هذه المقالة، تأكد من توفر المتطلبات الأساسية التالية لديك:
اشتراك Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء. جرّب الإصدار المجاني أو المدفوع من «التعلم الآلي» من Azure.
يجب تسجيل موفر موارد Microsoft.Network لاشتراك Azure الخاص بك. يتم استخدام موفر الموارد هذا بواسطة مساحة العمل عند إنشاء نقاط نهاية خاصة للشبكة الظاهرية المدارة.
للحصول على معلومات بشأن تسجيل موفري الموارد، راجع حل الأخطاء لتسجيل موفر المورد.
تتطلب هوية Azure التي تستخدمها عند نشر شبكة مدارة إجراءات التحكم في الوصول المستندة إلى الدور (Azure RBAC) التالية لإنشاء نقاط نهاية خاصة:
- Microsoft.MachineLearningServices/workspaces/privateEndpoint الاتصال ions/read
- Microsoft.MachineLearningServices/workspaces/privateEndpoint الاتصال ions/write
Azure CLI والملحق
ml
إلى Azure CLI. لمزيد من المعلومات، راجع تثبيت وإعداد واستخدام واجهة مستوى الاستدعاء (CLI) (الإصدار 2).تلميح
تم تقديم Azure التعلم الآلي VNet المدارة في 23 مايو 2023. إذا كان لديك إصدار أقدم من ملحق ml، فقد تحتاج إلى تحديثه للأمثلة الواردة في هذه المقالة. لتحديث الملحق، استخدم أمر Azure CLI التالي:
az extension update -n ml
تفترض أمثلة CLI في هذه المقالة أنك تستخدم واجهة Bash (أو متوافقة). على سبيل المثال، من النظام الخاص بـ Linux أو نظام Windows الفرعي لـ Linux.
تستخدم
ws
أمثلة Azure CLI في هذه المقالة لتمثيل اسم مساحة العمل، ولتمثيلrg
اسم مجموعة الموارد. قم بتغيير هذه القيم حسب الحاجة عند استخدام الأوامر مع اشتراك Azure الخاص بك.مع Azure CLI والشبكة الظاهرية المدارة، يعمل SSH باستخدام IP العام، ولكن SSH باستخدام IP الخاص لا يعمل.
إشعار
إذا كنت تستخدم مساحة عمل UAI، فيرجى التأكد من إضافة دور مساهم الشبكة إلى هويتك. لمزيد من المعلومات، راجع الهوية المدارة المعينة من قبل المستخدم.
تكوين شبكة ظاهرية مدارة للسماح بالإنترنت الصادر
تلميح
يتم تأجيل إنشاء VNet المدارة حتى يتم إنشاء مورد حساب أو بدء التوفير يدويا. عند السماح بالإنشاء التلقائي، قد يستغرق إنشاء مورد الحوسبة الأول حوالي 30 دقيقة لأنه يقوم أيضا بتوفير الشبكة. لمزيد من المعلومات، راجع توفير الشبكة يدويا.
هام
إذا كنت تخطط لإرسال مهام Spark بلا خادم، فيجب عليك بدء التوفير يدويا. لمزيد من المعلومات، راجع قسم تكوين وظائف Spark بلا خادم.
لتكوين شبكة ظاهرية مدارة تسمح بالاتصالات الصادرة عبر الإنترنت، يمكنك استخدام المعلمة --managed-network allow_internet_outbound
أو ملف تكوين YAML الذي يحتوي على الإدخالات التالية:
managed_network:
isolation_mode: allow_internet_outbound
يمكنك أيضا تعريف القواعد الصادرة إلى خدمات Azure الأخرى التي تعتمد عليها مساحة العمل. تحدد هذه القواعد نقاط النهاية الخاصة التي تسمح لمورد Azure بالاتصال بأمان مع الشبكة الظاهرية المدارة. توضح القاعدة التالية إضافة نقطة نهاية خاصة إلى مورد Azure Blob.
managed_network:
isolation_mode: allow_internet_outbound
outbound_rules:
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
يمكنك تكوين شبكة ظاهرية مدارة az ml workspace create
باستخدام الأوامر أو az ml workspace update
:
إنشاء مساحة عمل جديدة:
ينشئ المثال التالي مساحة عمل جديدة. تقوم
--managed-network allow_internet_outbound
المعلمة بتكوين VNet مدار لمساحة العمل:az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
لإنشاء مساحة عمل باستخدام ملف YAML بدلا من ذلك، استخدم المعلمة
--file
وحدد ملف YAML الذي يحتوي على إعدادات التكوين:az ml workspace create --file workspace.yaml --resource-group rg --name ws
يعرف مثال YAML التالي مساحة عمل مع شبكة ظاهرية مدارة:
name: myworkspace location: EastUS managed_network: isolation_mode: allow_internet_outbound
تحديث مساحة عمل موجودة:
تحذير
قبل تحديث مساحة عمل موجودة لاستخدام شبكة ظاهرية مدارة، يجب حذف كافة موارد الحوسبة لمساحة العمل. يتضمن ذلك مثيل الحساب، والمجموعة الحسابية، ونقاط النهاية المدارة عبر الإنترنت.
يحدث المثال التالي مساحة عمل موجودة. تقوم
--managed-network allow_internet_outbound
المعلمة بتكوين VNet مدار لمساحة العمل:az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
لتحديث مساحة عمل موجودة باستخدام ملف YAML، استخدم المعلمة
--file
وحدد ملف YAML الذي يحتوي على إعدادات التكوين:az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
يعرف مثال YAML التالي شبكة ظاهرية مدارة لمساحة العمل. كما يوضح كيفية إضافة اتصال نقطة نهاية خاصة إلى مورد تستخدمه مساحة العمل؛ في هذا المثال، نقطة نهاية خاصة لمخزن كائن ثنائي كبير الحجم:
name: myworkspace managed_network: isolation_mode: allow_internet_outbound outbound_rules: - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpoint
تكوين شبكة ظاهرية مدارة للسماح بالصادرة المعتمدة فقط
تلميح
يتم توفير الشبكة الظاهرية المدارة تلقائيا عند إنشاء مورد حساب. عند السماح بالإنشاء التلقائي، قد يستغرق إنشاء مورد الحوسبة الأول حوالي 30 دقيقة لأنه يقوم أيضا بتوفير الشبكة. إذا قمت بتكوين قواعد FQDN الصادرة، فإن قاعدة FQDN الأولى تضيف حوالي 10 دقائق إلى وقت التوفير. لمزيد من المعلومات، راجع توفير الشبكة يدويا.
هام
إذا كنت تخطط لإرسال مهام Spark بلا خادم، فيجب عليك بدء التوفير يدويا. لمزيد من المعلومات، راجع قسم تكوين وظائف Spark بلا خادم.
لتكوين شبكة ظاهرية مدارة تسمح بالاتصالات الصادرة المعتمدة فقط، يمكنك استخدام المعلمة --managed-network allow_only_approved_outbound
أو ملف تكوين YAML الذي يحتوي على الإدخالات التالية:
managed_network:
isolation_mode: allow_only_approved_outbound
يمكنك أيضا تعريف القواعد الصادرة لتعريف الاتصالات الصادرة المعتمدة. يمكن إنشاء قاعدة صادرة لنوع من service_tag
و fqdn
و.private_endpoint
توضح القاعدة التالية إضافة نقطة نهاية خاصة إلى مورد Azure Blob وعلامة خدمة إلى Azure Data Factory وFQDN إلى pypi.org
:
هام
- تعد إضافة صادر لعلامة خدمة أو FQDN صالحة فقط عند تكوين VNet المدارة إلى
allow_only_approved_outbound
. - إذا أضفت قواعد صادرة، فلن تضمن Microsoft النقل غير المصرح للبيانات.
تحذير
يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع الأسعار.
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- name: added-servicetagrule
destination:
port_ranges: 80, 8080
protocol: TCP
service_tag: DataFactory
type: service_tag
- name: add-fqdnrule
destination: 'pypi.org'
type: fqdn
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
يمكنك تكوين شبكة ظاهرية مدارة az ml workspace create
باستخدام الأوامر أو az ml workspace update
:
إنشاء مساحة عمل جديدة:
يستخدم المثال التالي المعلمة
--managed-network allow_only_approved_outbound
لتكوين الشبكة الظاهرية المدارة:az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
يعرف ملف YAML التالي مساحة عمل مع VNet مدارة:
name: myworkspace location: EastUS managed_network: isolation_mode: allow_only_approved_outbound
لإنشاء مساحة عمل باستخدام ملف YAML، استخدم المعلمة
--file
:az ml workspace create --file workspace.yaml --resource-group rg --name ws
تحديث مساحة عمل موجودة
تحذير
قبل تحديث مساحة عمل موجودة لاستخدام شبكة ظاهرية مدارة، يجب حذف كافة موارد الحوسبة لمساحة العمل. يتضمن ذلك مثيل الحساب، والمجموعة الحسابية، ونقاط النهاية المدارة عبر الإنترنت.
يستخدم المثال التالي المعلمة
--managed-network allow_only_approved_outbound
لتكوين VNet المدارة لمساحة عمل موجودة:az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
يعرف ملف YAML التالي شبكة ظاهرية مدارة لمساحة العمل. كما يوضح كيفية إضافة صادر معتمد إلى الشبكة الظاهرية المدارة. في هذا المثال، تتم إضافة قاعدة صادرة لكل من علامة الخدمة:
تحذير
يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع التسعير.
name: myworkspace_dep managed_network: isolation_mode: allow_only_approved_outbound outbound_rules: - name: added-servicetagrule destination: port_ranges: 80, 8080 protocol: TCP service_tag: DataFactory type: service_tag - name: add-fqdnrule destination: 'pypi.org' type: fqdn - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpoint
تكوين لمهام Spark بلا خادم
تلميح
الخطوات الواردة في هذا القسم مطلوبة فقط إذا كنت تخطط لإرسال مهام Spark بلا خادم. إذا كنت لن تقوم بإرسال مهام Spark بلا خادم، يمكنك تخطي هذا القسم.
لتمكين مهام Spark بلا خادم للشبكة الظاهرية المدارة، يجب تنفيذ الإجراءات التالية:
- تكوين شبكة ظاهرية مدارة لمساحة العمل وإضافة نقطة نهاية خاصة صادرة لحساب تخزين Azure.
- بعد تكوين الشبكة الظاهرية المدارة، قم بتوفيرها ووضع علامة عليها للسماح بوظائف Spark.
تكوين نقطة نهاية خاصة صادرة.
استخدم ملف YAML لتعريف تكوين VNet المدار وإضافة نقطة نهاية خاصة لحساب تخزين Azure. قم أيضا بتعيين
spark_enabled: true
:تلميح
هذا المثال مخصص لشبكة ظاهرية مدارة تم تكوينها باستخدام
isolation_mode: allow_internet_outbound
للسماح بحركة مرور الإنترنت. إذا كنت تريد السماح بنسبة استخدام الشبكة الصادرة المعتمدة فقط، فاستخدمisolation_mode: allow_only_approved_outbound
.name: myworkspace managed_network: isolation_mode: allow_internet_outbound outbound_rules: - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpoint
يمكنك استخدام ملف تكوين YAML مع
az ml workspace update
الأمر عن طريق تحديد المعلمة--file
واسم ملف YAML. على سبيل المثال، يقوم الأمر التالي بتحديث مساحة عمل موجودة باستخدام ملف YAML يسمىworkspace_pe.yml
:az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
إشعار
عند تمكين Allow Only Approved Outbound (
isolation_mode: allow_only_approved_outbound
)، ستفشل تبعيات حزمة conda المحددة في تكوين جلسة Spark في التثبيت. لحل هذه المشكلة، قم بتحميل عجلة حزمة Python مكتفية ذاتيا بدون تبعيات خارجية إلى حساب تخزين Azure وإنشاء نقطة نهاية خاصة إلى حساب التخزين هذا. استخدم المسار إلى عجلة حزمة Python كمعلمةpy_files
في وظيفة Spark. لن يتجاوز تعيين قاعدة FQDN الصادرة هذه المشكلة لأن نشر قاعدة FQDN غير مدعوم من قبل Spark.توفير الشبكة الظاهرية المدارة.
إشعار
إذا تم تكوين مساحة العمل الخاصة بك بالفعل لنقطة نهاية عامة (على سبيل المثال، مع شبكة Azure الظاهرية)، وتم تمكين الوصول إلى الشبكة العامة، يجب تعطيلها قبل توفير الشبكة الظاهرية المدارة. إذا لم تقم بتعطيل الوصول إلى الشبكة العامة عند توفير الشبكة الظاهرية المدارة، فقد لا يتم إنشاء نقاط النهاية الخاصة لنقطة النهاية المدارة بنجاح.
يوضح المثال التالي كيفية توفير شبكة ظاهرية مدارة لمهام Spark بلا خادم باستخدام المعلمة
--include-spark
.az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
توفير شبكة ظاهرية مدارة يدويا
يتم توفير الشبكة الظاهرية المدارة تلقائيا عند إنشاء مورد حساب. عند الاعتماد على التوفير التلقائي، قد يستغرق إنشاء مورد الحساب الأول حوالي 30 دقيقة لأنه يقوم أيضا بتوفير الشبكة. إذا قمت بتكوين قواعد FQDN الصادرة (متوفرة فقط مع السماح بالوضع المعتمد فقط)، فإن قاعدة FQDN الأولى تضيف حوالي 10 دقائق إلى وقت التوفير. إذا كان لديك مجموعة كبيرة من القواعد الصادرة ليتم توفيرها في الشبكة المدارة، فقد يستغرق اكتمال التوفير وقتا أطول. يمكن أن يؤدي زيادة وقت التوفير إلى انتهاء مهلة إنشاء الحساب الأول، أو أول نشر نقطة نهاية مدارة عبر الإنترنت.
لتقليل وقت الانتظار وتجنب أخطاء المهلة المحتملة، نوصي بتوفير الشبكة المدارة يدويا. ثم انتظر حتى يكتمل التوفير قبل إنشاء مورد حساب أو نشر نقطة نهاية مدارة عبر الإنترنت.
يوضح المثال التالي كيفية توفير شبكة ظاهرية مدارة.
تلميح
إذا كنت تخطط لإرسال مهام Spark بلا خادم، أضف المعلمة --include-spark
.
az ml workspace provision-network -g my_resource_group -n my_workspace_name
للتحقق من اكتمال التوفير، استخدم الأمر التالي:
az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network
قم بتكوين بنيات الصور
عندما يكون Azure Container Registry لمساحة العمل الخاصة بك خلف شبكة ظاهرية، لا يمكن استخدامه لإنشاء صور Docker مباشرة. بدلا من ذلك، قم بتكوين مساحة العمل الخاصة بك لاستخدام نظام مجموعة حساب أو مثيل حساب لإنشاء صور.
هام
يجب أن يكون مورد الحساب المستخدم لإنشاء صور Docker قادرا على الوصول إلى مستودعات الحزمة المستخدمة لتدريب نماذجك ونشرها. إذا كنت تستخدم شبكة تم تكوينها للسماح بالصادرة المعتمدة فقط، فقد تحتاج إلى إضافة قواعد تسمح بالوصول إلى المستودعات العامة أو استخدام حزم Python الخاصة.
لتحديث مساحة عمل لاستخدام نظام مجموعة حساب أو مثيل حساب لإنشاء صور Docker، استخدم az ml workspace update
الأمر مع المعلمة --image-build-compute
:
az ml workspace update --name ws --resource-group rg --image-build-compute mycompute
إدارة القواعد الصادرة
لسرد قواعد VNet الصادرة المدارة لمساحة عمل، استخدم الأمر التالي:
az ml workspace outbound-rule list --workspace-name ws --resource-group rg
لعرض تفاصيل قاعدة VNet الصادرة المدارة، استخدم الأمر التالي:
az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg
لإزالة قاعدة صادرة من الشبكة الظاهرية المدارة، استخدم الأمر التالي:
az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg
قائمة القواعد المطلوبة
تلميح
تتم إضافة هذه القواعد تلقائيا إلى VNet المدارة.
نقاط النهاية الخاصة:
- عندما يكون وضع العزل للشبكة الظاهرية المدارة هو
Allow internet outbound
، يتم إنشاء قواعد نقطة النهاية الخاصة الصادرة تلقائيا كالقواعد المطلوبة من VNet المدارة لمساحة العمل والموارد المقترنة مع تعطيل الوصول إلى الشبكة العامة (Key Vault، وحساب التخزين، وسجل الحاوية، ومساحة عمل Azure التعلم الآلي). - عندما يكون وضع العزل للشبكة الظاهرية المدارة هو
Allow only approved outbound
، يتم إنشاء القواعد الصادرة لنقطة النهاية الخاصة تلقائيا كالقواعد المطلوبة من VNet المدارة لمساحة العمل والموارد المقترنة بغض النظر عن وضع الوصول إلى الشبكة العامة لتلك الموارد (Key Vault، وحساب التخزين، وسجل الحاوية، ومساحة عمل Azure التعلم الآلي).
قواعد علامة الخدمة الصادرة :
AzureActiveDirectory
AzureMachineLearning
BatchNodeManagement.region
AzureResourceManager
AzureFrontDoor
MicrosoftContainerRegistry
AzureMonitor
قواعد علامة الخدمة الواردة :
AzureMachineLearning
قائمة بالقواعد الصادرة المحددة للسيناريو
السيناريو: الوصول إلى حزم التعلم الآلي العامة
للسماح بتثبيت حزم Python للتدريب والنشر، أضف قواعد FQDN الصادرة للسماح بحركة المرور إلى أسماء المضيفين التالية:
تحذير
يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع الأسعار.
إشعار
لا تعد هذه قائمة كاملة بالمضيفين المطلوبين لجميع موارد Python على الإنترنت، ولكن فقط الأكثر استخداما. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى مستودع GitHub أو مضيف آخر، فيجب عليك اولا تحديد المضيفين المطلوبين لهذا السيناريو وإضافتها.
اسم المضيف | الغرض |
---|---|
anaconda.com *.anaconda.com |
تستخدم لتثبيت الحزم الافتراضية. |
*.anaconda.org |
تستخدم للحصول على بيانات المستودع. |
pypi.org |
يُستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا تتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تم الكتابة فوق الفهرس، فيجب عليك أيضا السماح .*.pythonhosted.org |
pytorch.org *.pytorch.org |
يتم استخدامه من قبل بعض الأمثلة استنادًا إلى PyTorch. |
*.tensorflow.org |
يتم استخدامه من قبل بعض الأمثلة استنادًا إلى Tensorflow. |
السيناريو: استخدام Visual Studio Code لسطح المكتب أو الويب مع مثيل الحساب
إذا كنت تخطط لاستخدام Visual Studio Code مع Azure التعلم الآلي، أضف قواعد FQDN الصادرة للسماح بحركة المرور إلى المضيفين التاليين:
تحذير
يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع الأسعار.
*.vscode.dev
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
raw.githubusercontent.com
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
code.visualstudio.com
update.code.visualstudio.com
*.vo.msecnd.net
marketplace.visualstudio.com
vscode.download.prss.microsoft.com
السيناريو: استخدام نقاط النهاية الدفعية
إذا كنت تخطط لاستخدام Azure التعلم الآلي نقاط النهاية الدفعية للنشر، أضف قواعد نقطة النهاية الخاصة الصادرة للسماح بنسبة استخدام الشبكة إلى الموارد الفرعية التالية لحساب التخزين الافتراضي:
queue
table
السيناريو: استخدام تدفق المطالبة مع Azure OpenAI وسلامة المحتوى وAzure الذكاء الاصطناعي Search
- نقطة نهاية خاصة لخدمات الذكاء الاصطناعي Azure
- نقطة نهاية خاصة إلى Azure الذكاء الاصطناعي Search
السيناريو: استخدام نماذج HuggingFace
إذا كنت تخطط لاستخدام نماذج HuggingFace مع Azure التعلم الآلي، أضف قواعد FQDN الصادرة للسماح بنسبة استخدام الشبكة إلى المضيفين التاليين:
تحذير
يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع الأسعار.
docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
cdn-lfs.huggingface.co
السيناريو: تمكين الوصول من عناوين IP المحددة
إذا كنت تريد تمكين الوصول من عناوين IP معينة، فاستخدم الإجراءات التالية:
أضف قاعدة نقطة نهاية خاصة صادرة للسماح بنسبة استخدام الشبكة إلى مساحة عمل Azure التعلم الآلي. يسمح هذا لمثيلات الحساب التي تم إنشاؤها في الشبكة الظاهرية المدارة بالوصول إلى مساحة العمل.
تلميح
لا يمكنك إضافة هذه القاعدة أثناء إنشاء مساحة العمل، حيث إن مساحة العمل غير موجودة بعد.
تمكين الوصول إلى الشبكة العامة إلى مساحة العمل. لمزيد من المعلومات، راجع تمكين الوصول إلى الشبكة العامة.
أضف عناوين IP الخاصة بك إلى جدار الحماية ل Azure التعلم الآلي. لمزيد من المعلومات، راجع تمكين الوصول فقط من نطاقات IP.
نقاط النهاية الخاصة
نقاط النهاية الخاصة مدعومة حاليا لخدمات Azure التالية:
- التعلم الآلي من Azure
- سجلات Azure التعلم الآلي
- تخزين Azure (جميع أنواع الموارد الفرعية)
- Azure Container Registry
- Azure Key Vault
- خدمات الذكاء الاصطناعي في Azure
- Azure الذكاء الاصطناعي Search (البحث المعرفي سابقا)
- Azure SQL Server
- Azure Data Factory
- Azure Cosmos DB (جميع أنواع الموارد الفرعية)
- مراكز أحداث Azure
- ذاكرة Azure Redis المؤقتة
- Azure Databricks
- قاعدة بيانات Azure لـ MariaDB
- قاعدة بيانات Azure لـ PostgreSQL
- قاعدة بيانات Azure لـ MySQL
- مثيل Azure SQL المُدار
عند إنشاء نقطة نهاية خاصة، فإنك توفر نوع المورد والمورد الفرعي الذي تتصل به نقطة النهاية. تحتوي بعض الموارد على أنواع متعددة ومصادر فرعية. لمزيد من المعلومات، راجع ما هي نقطة النهاية الخاصة.
عند إنشاء نقطة نهاية خاصة لموارد تبعية Azure التعلم الآلي، مثل Azure Storage وAzure Container Registry وAzure Key Vault، يمكن أن يكون المورد في اشتراك Azure مختلف. ومع ذلك، يجب أن يكون المورد في نفس المستأجر مثل مساحة عمل Azure التعلم الآلي.
هام
عند تكوين نقاط النهاية الخاصة ل Azure التعلم الآلي VNet المدارة، يتم إنشاء نقاط النهاية الخاصة فقط عند إنشاء الحساب الأول أو عند فرض توفير VNet المدار. لمزيد من المعلومات حول فرض توفير الشبكة الظاهرية المدارة، راجع تكوين وظائف Spark بلا خادم.
التسعير
ميزة Azure التعلم الآلي VNet المدارة مجانية. ومع ذلك، تتم محاسبتك على الموارد التالية التي تستخدمها الشبكة الظاهرية المدارة:
Azure Private Link - نقاط النهاية الخاصة المستخدمة لتأمين الاتصالات بين موارد VNet المدارة وموارد Azure تعتمد على Azure Private Link. لمزيد من المعلومات حول التسعير، راجع تسعير Azure Private Link.
قواعد FQDN الصادرة - يتم تنفيذ القواعد الصادرة FQDN باستخدام جدار حماية Azure. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. يتم توفير جدار حماية Azure (SKU القياسي) بواسطة Azure التعلم الآلي.
هام
لا يتم إنشاء جدار الحماية حتى تقوم بإضافة قاعدة FQDN صادرة. لمزيد من المعلومات حول التسعير، راجع تسعير جدار حماية Azure وعرض الأسعار للإصدار القياسي .
القيود
- بمجرد تمكين عزل VNet المدار لمساحة العمل الخاصة بك، لا يمكنك تعطيله.
- تستخدم الشبكة الظاهرية المدارة اتصال نقطة النهاية الخاصة للوصول إلى مواردك الخاصة. لا يمكن أن يكون لديك نقطة نهاية خاصة ونقطة نهاية خدمة في نفس الوقت لموارد Azure، مثل حساب التخزين. نوصي باستخدام نقاط النهاية الخاصة في جميع السيناريوهات.
- يتم حذف الشبكة الظاهرية المدارة عند حذف مساحة العمل.
- يتم تمكين الحماية من النقل غير المصرح للبيانات تلقائيا لوضع الصادر الوحيد المعتمد. إذا أضفت قواعد صادرة أخرى، مثل FQDNs، فلن تضمن Microsoft حمايتك من تسرب البيانات إلى تلك الوجهات الصادرة.
- لا يتم دعم إنشاء نظام مجموعة حساب في منطقة مختلفة عن مساحة العمل عند استخدام شبكة ظاهرية مدارة.
- Kubernetes والأجهزة الظاهرية المرفقة غير مدعومة في Azure التعلم الآلي VNet المدارة.
- يؤدي استخدام القواعد الصادرة FQDN إلى زيادة تكلفة الشبكة الظاهرية المدارة لأن قواعد FQDN تستخدم جدار حماية Azure. لمزيد من المعلومات، راجع الأسعار.
ترحيل موارد الحوسبة
إذا كانت لديك مساحة عمل موجودة وتريد تمكين VNet المدارة لها، فلا يوجد حاليا مسار ترحيل مدعوم لموارد الحوسبة المنسوغة الحالية. ستحتاج إلى حذف جميع موارد الحوسبة المدارة الموجودة وإعادة إنشائها بعد تمكين الشبكة الظاهرية المدارة. تحتوي القائمة التالية على موارد الحساب التي يجب حذفها وإعادة إنشائها:
- نظام مجموعة الحساب
- مثيل الحساب
- مجموعات أجهزة كمبيوتر Kubernetes
- نقاط النهاية عبر الإنترنت المدارة