عزل الشبكة الظاهرية المدارة لمساحة العمل

مقالة
04/11/2024

ينطبق على:ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)

يوفر Azure التعلم الآلي الدعم لعزل الشبكة الظاهرية المدارة (VNet المدارة). يعمل عزل الشبكة الظاهرية المدارة على تبسيط تكوين عزل الشبكة وأتمتته باستخدام Azure على مستوى مساحة العمل المضمنة التعلم الآلي VNet المدارة. تؤمن الشبكة الظاهرية المدارة موارد Azure التعلم الآلي المدارة، مثل مثيلات الحوسبة ومجموعات الحوسبة والحوسبة بلا خادم ونقاط النهاية المدارة عبر الإنترنت.

يوفر تأمين مساحة العمل الخاصة بك مع شبكة مدارة عزل الشبكة للوصول الصادر من مساحة العمل والحسابات المدارة. يتم استخدام شبكة Azure الظاهرية التي تقوم بإنشائها وإدارتها لتوفير الوصول الوارد لعزل الشبكة إلى مساحة العمل. على سبيل المثال، يتم إنشاء نقطة نهاية خاصة لمساحة العمل في شبكة Azure الظاهرية. يمكن لأي عملاء يتصلون بالشبكة الظاهرية الوصول إلى مساحة العمل من خلال نقطة النهاية الخاصة. عند تشغيل المهام على الحسابات المدارة، تقيد الشبكة المدارة ما يمكن للحوسبة الوصول إليه.

بنية الشبكة الظاهرية المدارة

عند تمكين عزل الشبكة الظاهرية المدارة، يتم إنشاء شبكة ظاهرية مدارة لمساحة العمل. تستخدم موارد الحوسبة المدارة التي تقوم بإنشائها لمساحة العمل هذه الشبكة الظاهرية المدارة تلقائيا. يمكن للشبكة الظاهرية المدارة استخدام نقاط النهاية الخاصة لموارد Azure التي تستخدمها مساحة العمل الخاصة بك، مثل Azure Storage وAzure Key Vault وAzure Container Registry.

هناك وضعان مختلفان للتكوين لحركة المرور الصادرة من الشبكة الظاهرية المدارة:

تلميح

بغض النظر عن الوضع الصادر الذي تستخدمه، يمكن تكوين حركة المرور إلى موارد Azure لاستخدام نقطة نهاية خاصة. على سبيل المثال، يمكنك السماح بجميع حركة المرور الصادرة إلى الإنترنت، ولكن تقييد الاتصال بموارد Azure عن طريق إضافة قواعد صادرة للموارد.

الوضع الصادر	‏‏الوصف	السيناريوهات
السماح بالإنترنت الصادر	السماح بجميع نسبة استخدام الشبكة الصادرة عبر الإنترنت من الشبكة الظاهرية المدارة.	تريد الوصول غير المقيد إلى موارد التعلم الآلي على الإنترنت، مثل حزم python أو النماذج المدربة مسبقا.¹
السماح بالصادرة المعتمدة فقط	يسمح بنسبة استخدام الشبكة الصادرة عن طريق تحديد علامات الخدمة.	* تريد تقليل مخاطر النقل غير المصرح به للبيانات، ولكن تحتاج إلى إعداد جميع أدوات التعلم الآلي المطلوبة في بيئتك الخاصة. * تريد تكوين الوصول الصادر إلى قائمة معتمدة من الخدمات أو علامات الخدمة أو FQDNs.
⁧⁩مُعطل⁧⁩	نسبة استخدام الشبكة الواردة والصادرة غير مقيدة أو أنك تستخدم شبكة Azure الظاهرية الخاصة بك لحماية الموارد.	تريد عام وارد وصادر من مساحة العمل، أو كنت تتعامل مع عزل الشبكة باستخدام Azure VNet الخاص بك.

1: يمكنك استخدام القواعد الصادرة مع السماح فقط بالوضع الصادر المعتمد لتحقيق نفس النتيجة مثل استخدام السماح بالإنترنت الصادر. الاختلافات هي:

يجب إضافة قواعد لكل اتصال صادر تحتاج إلى السماح به.
تؤدي إضافة قواعد FQDN الصادرة إلى زيادة تكاليفك لأن نوع القاعدة هذا يستخدم Azure Firewall. لمزيد من المعلومات، راجع التسعير
تم تصميم القواعد الافتراضية للسماح بالصادرة المعتمدة فقط لتقليل مخاطر النقل غير المصرح للبيانات. قد تزيد أي قواعد صادرة تضيفها من خطرك.

تم تكوين الشبكة الظاهرية المدارة مسبقا مع القواعد الافتراضية المطلوبة. كما تم تكوينه لاتصالات نقطة النهاية الخاصة بمساحة العمل والتخزين الافتراضي لمساحة العمل وسجل الحاوية وخزنة المفاتيح إذا تم تكوينها كخاصة أو تم تعيين وضع عزل مساحة العمل للسماح بالصادرة المعتمدة فقط. بعد اختيار وضع العزل، تحتاج فقط إلى مراعاة المتطلبات الصادرة الأخرى التي قد تحتاج إلى إضافتها.

يوضح الرسم التخطيطي التالي شبكة ظاهرية مدارة تم تكوينها للسماح بالإنترنت الصادر:

يوضح الرسم التخطيطي التالي شبكة ظاهرية مدارة تم تكوينها للسماح بالصادرة المعتمدة فقط:

إشعار

في هذا التكوين، يتم وضع علامة على التخزين وخزنة المفاتيح وسجل الحاوية المستخدمة من قبل مساحة العمل على أنها خاصة. نظرا لأنه يتم وضع علامة خاص عليها، يتم استخدام نقطة نهاية خاصة للتواصل معها.

إشعار

بمجرد تكوين مساحة عمل VNet مدارة للسماح بالإنترنت الصادر، لا يمكن إعادة تكوين مساحة العمل لتعطيلها. وبالمثل، بمجرد تكوين مساحة عمل VNet مدارة للسماح بالصادرة المعتمدة فقط، لا يمكن إعادة تكوين مساحة العمل للسماح بالإنترنت الصادر. يرجى وضع ذلك في الاعتبار عند تحديد وضع العزل للشبكة الظاهرية المدارة في مساحة العمل الخاصة بك.

Azure Machine Learning Studio

إذا كنت ترغب في استخدام دفتر الملاحظات المتكامل أو إنشاء مجموعات بيانات في حساب التخزين الافتراضي من الاستوديو، يحتاج العميل إلى الوصول إلى حساب التخزين الافتراضي. إنشاء نقطة نهاية خاصة أو نقطة نهاية خدمة لحساب التخزين الافتراضي في شبكة Azure الظاهرية التي يستخدمها العملاء.

يعمل جزء من Azure التعلم الآلي studio محليا في مستعرض الويب الخاص بالعميل، ويتصل مباشرة بالتخزين الافتراضي لمساحة العمل. يضمن إنشاء نقطة نهاية خاصة أو نقطة نهاية خدمة (لحساب التخزين الافتراضي) في الشبكة الظاهرية للعميل إمكانية اتصال العميل بحساب التخزين.

لمزيد من المعلومات حول إنشاء نقطة نهاية خاصة أو نقطة نهاية خدمة، راجع مقالات الاتصال بشكل خاص إلى حساب تخزين ونقاط نهاية الخدمة.

المتطلبات الأساسية

قبل اتباع الخطوات الواردة في هذه المقالة، تأكد من توفر المتطلبات الأساسية التالية لديك:

اشتراك Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء. جرّب الإصدار المجاني أو المدفوع من «التعلم الآلي» من Azure.
يجب تسجيل موفر موارد Microsoft.Network لاشتراك Azure الخاص بك. يتم استخدام موفر الموارد هذا بواسطة مساحة العمل عند إنشاء نقاط نهاية خاصة للشبكة الظاهرية المدارة.

للحصول على معلومات بشأن تسجيل موفري الموارد، راجع حل الأخطاء لتسجيل موفر المورد.
تتطلب هوية Azure التي تستخدمها عند نشر شبكة مدارة إجراءات التحكم في الوصول المستندة إلى الدور (Azure RBAC) التالية لإنشاء نقاط نهاية خاصة:
- Microsoft.MachineLearningServices/workspaces/privateEndpoint الاتصال ions/read
- Microsoft.MachineLearningServices/workspaces/privateEndpoint الاتصال ions/write
Azure CLI والملحق ml إلى Azure CLI. لمزيد من المعلومات، راجع تثبيت وإعداد واستخدام واجهة مستوى الاستدعاء (CLI) (الإصدار 2).
تلميح

تم تقديم Azure التعلم الآلي VNet المدارة في 23 مايو 2023. إذا كان لديك إصدار أقدم من ملحق ml، فقد تحتاج إلى تحديثه للأمثلة الواردة في هذه المقالة. لتحديث الملحق، استخدم أمر Azure CLI التالي:
```
az extension update -n ml
```
تفترض أمثلة CLI في هذه المقالة أنك تستخدم واجهة Bash (أو متوافقة). على سبيل المثال، من النظام الخاص بـ Linux أو نظام Windows الفرعي لـ Linux‬.
تستخدم ws أمثلة Azure CLI في هذه المقالة لتمثيل اسم مساحة العمل، ولتمثيل rg اسم مجموعة الموارد. قم بتغيير هذه القيم حسب الحاجة عند استخدام الأوامر مع اشتراك Azure الخاص بك.
مع Azure CLI والشبكة الظاهرية المدارة، يعمل SSH باستخدام IP العام، ولكن SSH باستخدام IP الخاص لا يعمل.

اشتراك Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء. جرّب الإصدار المجاني أو المدفوع من «التعلم الآلي» من Azure.
يجب تسجيل موفر موارد Microsoft.Network لاشتراك Azure الخاص بك. يتم استخدام موفر الموارد هذا بواسطة مساحة العمل عند إنشاء نقاط نهاية خاصة للشبكة الظاهرية المدارة.

للحصول على معلومات بشأن تسجيل موفري الموارد، راجع حل الأخطاء لتسجيل موفر المورد.
تتطلب هوية Azure التي تستخدمها عند نشر شبكة مدارة إجراءات التحكم في الوصول المستندة إلى الدور (Azure RBAC) التالية لإنشاء نقاط نهاية خاصة:
- Microsoft.MachineLearningServices/workspaces/privateEndpoint الاتصال ions/read
- Microsoft.MachineLearningServices/workspaces/privateEndpoint الاتصال ions/write
Azure التعلم الآلي Python SDK v2. لمزيد من المعلومات حول SDK، راجع تثبيت Python SDK v2 ل Azure التعلم الآلي.
تلميح

تم تقديم الشبكة الظاهرية المدارة للتعلم الآلي من Azure في 23 مايو 2023. إذا كان لديك إصدار أقدم من SDK مثبتا، فقد تحتاج إلى تحديثه حتى تعمل الأمثلة الواردة في هذه المقالة. لتحديث SDK، استخدم الأمر التالي:
```
pip install --upgrade azure-ai-ml azure-identity
```

تفترض الأمثلة في هذه المقالة أن التعليمات البرمجية الخاصة بك تبدأ ب Python التالية. تستورد هذه التعليمات البرمجية الفئات المطلوبة عند إنشاء مساحة عمل باستخدام VNet المدارة، وتعين متغيرات لاشتراك Azure ومجموعة الموارد الخاصة بك، وتنشئ ml_client:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Workspace,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

إشعار

إذا كنت تستخدم مساحة عمل UAI، فيرجى التأكد من إضافة دور مساهم الشبكة إلى هويتك. لمزيد من المعلومات، راجع الهوية المدارة المعينة من قبل المستخدم.

تكوين شبكة ظاهرية مدارة للسماح بالإنترنت الصادر

تلميح

يتم تأجيل إنشاء VNet المدارة حتى يتم إنشاء مورد حساب أو بدء التوفير يدويا. عند السماح بالإنشاء التلقائي، قد يستغرق إنشاء مورد الحوسبة الأول حوالي 30 دقيقة لأنه يقوم أيضا بتوفير الشبكة. لمزيد من المعلومات، راجع توفير الشبكة يدويا.

هام

إذا كنت تخطط لإرسال مهام Spark بلا خادم، فيجب عليك بدء التوفير يدويا. لمزيد من المعلومات، راجع قسم تكوين وظائف Spark بلا خادم.

لتكوين شبكة ظاهرية مدارة تسمح بالاتصالات الصادرة عبر الإنترنت، يمكنك استخدام المعلمة --managed-network allow_internet_outbound أو ملف تكوين YAML الذي يحتوي على الإدخالات التالية:

managed_network:
  isolation_mode: allow_internet_outbound

يمكنك أيضا تعريف القواعد الصادرة إلى خدمات Azure الأخرى التي تعتمد عليها مساحة العمل. تحدد هذه القواعد نقاط النهاية الخاصة التي تسمح لمورد Azure بالاتصال بأمان مع الشبكة الظاهرية المدارة. توضح القاعدة التالية إضافة نقطة نهاية خاصة إلى مورد Azure Blob.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

يمكنك تكوين شبكة ظاهرية مدارة az ml workspace create باستخدام الأوامر أو az ml workspace update :

إنشاء مساحة عمل جديدة:

ينشئ المثال التالي مساحة عمل جديدة. تقوم --managed-network allow_internet_outbound المعلمة بتكوين VNet مدار لمساحة العمل:
```
az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
```
لإنشاء مساحة عمل باستخدام ملف YAML بدلا من ذلك، استخدم المعلمة --file وحدد ملف YAML الذي يحتوي على إعدادات التكوين:
```
az ml workspace create --file workspace.yaml --resource-group rg --name ws
```
يعرف مثال YAML التالي مساحة عمل مع شبكة ظاهرية مدارة:
```
name: myworkspace
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
تحديث مساحة عمل موجودة:

تحذير

قبل تحديث مساحة عمل موجودة لاستخدام شبكة ظاهرية مدارة، يجب حذف كافة موارد الحوسبة لمساحة العمل. يتضمن ذلك مثيل الحساب، والمجموعة الحسابية، ونقاط النهاية المدارة عبر الإنترنت.

يحدث المثال التالي مساحة عمل موجودة. تقوم --managed-network allow_internet_outbound المعلمة بتكوين VNet مدار لمساحة العمل:
```
az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
```
لتحديث مساحة عمل موجودة باستخدام ملف YAML، استخدم المعلمة --file وحدد ملف YAML الذي يحتوي على إعدادات التكوين:
```
az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
```
يعرف مثال YAML التالي شبكة ظاهرية مدارة لمساحة العمل. كما يوضح كيفية إضافة اتصال نقطة نهاية خاصة إلى مورد تستخدمه مساحة العمل؛ في هذا المثال، نقطة نهاية خاصة لمخزن كائن ثنائي كبير الحجم:
```
name: myworkspace
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

لتكوين شبكة ظاهرية مدارة تسمح بالاتصالات الصادرة ManagedNetwork عبر الإنترنت، استخدم الفئة لتعريف شبكة باستخدام IsolationMode.ALLOW_INTERNET_OUTBOUND. يمكنك بعد ذلك استخدام ManagedNetwork الكائن لإنشاء مساحة عمل جديدة أو تحديث مساحة عمل موجودة. لتعريف القواعد الصادرة إلى خدمات Azure التي تعتمد عليها مساحة العمل، استخدم PrivateEndpointDestination الفئة لتعريف نقطة نهاية خاصة جديدة للخدمة.

إنشاء مساحة عمل جديدة:

ينشئ المثال التالي مساحة عمل جديدة باسم myworkspace، مع قاعدة صادرة تسمى myrule تضيف نقطة نهاية خاصة لمخزن Azure Blob:

# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Workspace configuration
ws = Workspace(
    name="myworkspace",
    location="eastus",
    managed_network=network
)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()

تحديث مساحة عمل موجودة:

تحذير

قبل تحديث مساحة عمل موجودة لاستخدام شبكة ظاهرية مدارة، يجب حذف كافة موارد الحوسبة لمساحة العمل. يتضمن ذلك مثيل الحساب، والمجموعة الحسابية، ونقاط النهاية المدارة عبر الإنترنت.

يوضح المثال التالي كيفية إنشاء شبكة ظاهرية مدارة لمساحة عمل Azure التعلم الآلي موجودة تسمى myworkspace:

# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ml_client.workspaces.begin_update(ws)

تكوين شبكة ظاهرية مدارة للسماح بالصادرة المعتمدة فقط

تلميح

يتم توفير الشبكة الظاهرية المدارة تلقائيا عند إنشاء مورد حساب. عند السماح بالإنشاء التلقائي، قد يستغرق إنشاء مورد الحوسبة الأول حوالي 30 دقيقة لأنه يقوم أيضا بتوفير الشبكة. إذا قمت بتكوين قواعد FQDN الصادرة، فإن قاعدة FQDN الأولى تضيف حوالي 10 دقائق إلى وقت التوفير. لمزيد من المعلومات، راجع توفير الشبكة يدويا.

هام

لتكوين شبكة ظاهرية مدارة تسمح بالاتصالات الصادرة المعتمدة فقط، يمكنك استخدام المعلمة --managed-network allow_only_approved_outbound أو ملف تكوين YAML الذي يحتوي على الإدخالات التالية:

managed_network:
  isolation_mode: allow_only_approved_outbound

يمكنك أيضا تعريف القواعد الصادرة لتعريف الاتصالات الصادرة المعتمدة. يمكن إنشاء قاعدة صادرة لنوع من service_tagو fqdnو.private_endpoint توضح القاعدة التالية إضافة نقطة نهاية خاصة إلى مورد Azure Blob وعلامة خدمة إلى Azure Data Factory وFQDN إلى pypi.org:

هام

تعد إضافة صادر لعلامة خدمة أو FQDN صالحة فقط عند تكوين VNet المدارة إلى allow_only_approved_outbound.
إذا أضفت قواعد صادرة، فلن تضمن Microsoft النقل غير المصرح للبيانات.

تحذير

يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع الأسعار.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

يمكنك تكوين شبكة ظاهرية مدارة az ml workspace create باستخدام الأوامر أو az ml workspace update :

إنشاء مساحة عمل جديدة:

يستخدم المثال التالي المعلمة --managed-network allow_only_approved_outbound لتكوين الشبكة الظاهرية المدارة:
```
az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
```
يعرف ملف YAML التالي مساحة عمل مع VNet مدارة:
```
name: myworkspace
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
لإنشاء مساحة عمل باستخدام ملف YAML، استخدم المعلمة --file :
```
az ml workspace create --file workspace.yaml --resource-group rg --name ws
```
تحديث مساحة عمل موجودة

تحذير

قبل تحديث مساحة عمل موجودة لاستخدام شبكة ظاهرية مدارة، يجب حذف كافة موارد الحوسبة لمساحة العمل. يتضمن ذلك مثيل الحساب، والمجموعة الحسابية، ونقاط النهاية المدارة عبر الإنترنت.

يستخدم المثال التالي المعلمة --managed-network allow_only_approved_outbound لتكوين VNet المدارة لمساحة عمل موجودة:
```
az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
```
يعرف ملف YAML التالي شبكة ظاهرية مدارة لمساحة العمل. كما يوضح كيفية إضافة صادر معتمد إلى الشبكة الظاهرية المدارة. في هذا المثال، تتم إضافة قاعدة صادرة لكل من علامة الخدمة:

تحذير

يتم تطبيق القواعد الصادرة FQDN باستخدام Azure Firewall. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. لمزيد من المعلومات، راجع التسعير.
```
name: myworkspace_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

لتكوين شبكة ظاهرية مدارة تسمح بالاتصالات الصادرة المعتمدة ManagedNetwork فقط، استخدم الفئة لتعريف شبكة باستخدام IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. يمكنك بعد ذلك استخدام ManagedNetwork الكائن لإنشاء مساحة عمل جديدة أو تحديث مساحة عمل موجودة. لتعريف القواعد الصادرة، استخدم الفئات التالية:

الوجهة	الفصل
خدمة Azure التي تعتمد عليها مساحة العمل	`PrivateEndpointDestination`
علامة خدمة Azure	`ServiceTagDestination`
اسم المجال المؤهل بالكامل (FQDN)	`FqdnDestination`

إنشاء مساحة عمل جديدة:

ينشئ المثال التالي مساحة عمل جديدة باسم myworkspace، مع العديد من القواعد الصادرة:

myrule - إضافة نقطة نهاية خاصة لمخزن Azure Blob.
datafactory - إضافة قاعدة علامة خدمة للاتصال ب Azure Data Factory.

هام

تعد إضافة صادر لعلامة خدمة أو FQDN صالحة فقط عند تكوين VNet المدارة إلى IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
إذا أضفت قواعد صادرة، فلن تضمن Microsoft النقل غير المصرح للبيانات.

تحذير

# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Workspace configuration
ws = Workspace(
    name="myworkspace",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()

تحديث مساحة عمل موجودة:

تحذير

يوضح المثال التالي كيفية إنشاء شبكة ظاهرية مدارة لمساحة عمل Azure التعلم الآلي موجودة تسمى myworkspace. يضيف المثال أيضا العديد من القواعد الصادرة للشبكة الظاهرية المدارة:

myrule - إضافة نقطة نهاية خاصة لمخزن Azure Blob.
datafactory - إضافة قاعدة علامة خدمة للاتصال ب Azure Data Factory.

تلميح

تعد إضافة صادر لعلامة خدمة أو FQDN صالحة فقط عند تكوين VNet المدارة إلى IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

تحذير

# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the workspace
ml_client.workspaces.begin_update(ws)

تكوين لمهام Spark بلا خادم

تلميح

الخطوات الواردة في هذا القسم مطلوبة فقط إذا كنت تخطط لإرسال مهام Spark بلا خادم. إذا كنت لن تقوم بإرسال مهام Spark بلا خادم، يمكنك تخطي هذا القسم.

لتمكين مهام Spark بلا خادم للشبكة الظاهرية المدارة، يجب تنفيذ الإجراءات التالية:

تكوين شبكة ظاهرية مدارة لمساحة العمل وإضافة نقطة نهاية خاصة صادرة لحساب تخزين Azure.
بعد تكوين الشبكة الظاهرية المدارة، قم بتوفيرها ووضع علامة عليها للسماح بوظائف Spark.

تكوين نقطة نهاية خاصة صادرة.
استخدم ملف YAML لتعريف تكوين VNet المدار وإضافة نقطة نهاية خاصة لحساب تخزين Azure. قم أيضا بتعيين spark_enabled: true:

تلميح

هذا المثال مخصص لشبكة ظاهرية مدارة تم تكوينها باستخدام isolation_mode: allow_internet_outbound للسماح بحركة مرور الإنترنت. إذا كنت تريد السماح بنسبة استخدام الشبكة الصادرة المعتمدة فقط، فاستخدم isolation_mode: allow_only_approved_outbound.
```
name: myworkspace
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```
يمكنك استخدام ملف تكوين YAML مع az ml workspace update الأمر عن طريق تحديد المعلمة --file واسم ملف YAML. على سبيل المثال، يقوم الأمر التالي بتحديث مساحة عمل موجودة باستخدام ملف YAML يسمى workspace_pe.yml:
```
az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
```
إشعار

عند تمكين Allow Only Approved Outbound (isolation_mode: allow_only_approved_outbound)، ستفشل تبعيات حزمة conda المحددة في تكوين جلسة Spark في التثبيت. لحل هذه المشكلة، قم بتحميل عجلة حزمة Python مكتفية ذاتيا بدون تبعيات خارجية إلى حساب تخزين Azure وإنشاء نقطة نهاية خاصة إلى حساب التخزين هذا. استخدم المسار إلى عجلة حزمة Python كمعلمة py_files في وظيفة Spark. لن يتجاوز تعيين قاعدة FQDN الصادرة هذه المشكلة لأن نشر قاعدة FQDN غير مدعوم من قبل Spark.
يوضح المثال التالي كيفية إنشاء شبكة ظاهرية مدارة لمساحة عمل Azure التعلم الآلي موجودة تسمى myworkspace. كما يضيف نقطة نهاية خاصة لحساب تخزين Azure ويعين spark_enabled=true:

تلميح

المثال التالي هو لشبكة ظاهرية مدارة تم تكوينها باستخدام IsolationMode.ALLOW_INTERNET_OUTBOUND للسماح بحركة مرور الإنترنت. إذا كنت تريد السماح بنسبة استخدام الشبكة الصادرة المعتمدة فقط، فاستخدم IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
```
# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ml_client.workspaces.begin_update(ws)
```
إشعار
- عند تمكين Allow Only Approved Outbound (isolation_mode: allow_only_approved_outbound)، ستفشل تبعيات حزمة conda المحددة في تكوين جلسة Spark في التثبيت. لحل هذه المشكلة، قم بتحميل عجلة حزمة Python مكتفية ذاتيا بدون تبعيات خارجية إلى حساب تخزين Azure وإنشاء نقطة نهاية خاصة إلى حساب التخزين هذا. استخدم المسار إلى عجلة حزمة Python كمعلمة py_files في وظيفة Spark.
- إذا تم إنشاء مساحة العمل باستخدام IsolationMode.ALLOW_INTERNET_OUTBOUND، فلا يمكن تحديثها لاحقا لاستخدام IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
1. سجل الدخول إلى مدخل Microsoft Azure، وحدد مساحة عمل Azure التعلم الآلي.
2. حدد Networking، ثم حدد Add user-defined outbound rules. أضف قاعدة لحساب تخزين Azure، وتأكد من تحديد تمكين Spark.
3. حدد Save لحفظ القاعدة، ثم حدد Save من أعلى Networking لحفظ التغييرات على الشبكة الظاهرية المنسوغة.
توفير الشبكة الظاهرية المدارة.

إشعار

إذا تم تكوين مساحة العمل الخاصة بك بالفعل لنقطة نهاية عامة (على سبيل المثال، مع شبكة Azure الظاهرية)، وتم تمكين الوصول إلى الشبكة العامة، يجب تعطيلها قبل توفير الشبكة الظاهرية المدارة. إذا لم تقم بتعطيل الوصول إلى الشبكة العامة عند توفير الشبكة الظاهرية المدارة، فقد لا يتم إنشاء نقاط النهاية الخاصة لنقطة النهاية المدارة بنجاح.
يوضح المثال التالي كيفية توفير شبكة ظاهرية مدارة لمهام Spark بلا خادم باستخدام المعلمة --include-spark .
```
az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
```
يوضح المثال التالي كيفية توفير شبكة ظاهرية مدارة لمهام Spark بلا خادم:
```
# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
```
استخدم علامات تبويب Azure CLI أو Python SDK لمعرفة كيفية توفير VNet المدار يدويا مع دعم Spark بلا خادم.

توفير شبكة ظاهرية مدارة يدويا

يتم توفير الشبكة الظاهرية المدارة تلقائيا عند إنشاء مورد حساب. عند الاعتماد على التوفير التلقائي، قد يستغرق إنشاء مورد الحساب الأول حوالي 30 دقيقة لأنه يقوم أيضا بتوفير الشبكة. إذا قمت بتكوين قواعد FQDN الصادرة (متوفرة فقط مع السماح بالوضع المعتمد فقط)، فإن قاعدة FQDN الأولى تضيف حوالي 10 دقائق إلى وقت التوفير. إذا كان لديك مجموعة كبيرة من القواعد الصادرة ليتم توفيرها في الشبكة المدارة، فقد يستغرق اكتمال التوفير وقتا أطول. يمكن أن يؤدي زيادة وقت التوفير إلى انتهاء مهلة إنشاء الحساب الأول، أو أول نشر نقطة نهاية مدارة عبر الإنترنت.

لتقليل وقت الانتظار وتجنب أخطاء المهلة المحتملة، نوصي بتوفير الشبكة المدارة يدويا. ثم انتظر حتى يكتمل التوفير قبل إنشاء مورد حساب أو نشر نقطة نهاية مدارة عبر الإنترنت.

يوضح المثال التالي كيفية توفير شبكة ظاهرية مدارة.

تلميح

إذا كنت تخطط لإرسال مهام Spark بلا خادم، أضف المعلمة --include-spark .

az ml workspace provision-network -g my_resource_group -n my_workspace_name

للتحقق من اكتمال التوفير، استخدم الأمر التالي:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

يوضح المثال التالي كيفية توفير شبكة ظاهرية مدارة:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

للتحقق من توفير مساحة العمل، استخدم ml_client.workspaces.get() للحصول على معلومات مساحة العمل. managed_network تحتوي الخاصية على حالة الشبكة المدارة.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

قم بتكوين بنيات الصور

عندما يكون Azure Container Registry لمساحة العمل الخاصة بك خلف شبكة ظاهرية، لا يمكن استخدامه لإنشاء صور Docker مباشرة. بدلا من ذلك، قم بتكوين مساحة العمل الخاصة بك لاستخدام نظام مجموعة حساب أو مثيل حساب لإنشاء صور.

هام

يجب أن يكون مورد الحساب المستخدم لإنشاء صور Docker قادرا على الوصول إلى مستودعات الحزمة المستخدمة لتدريب نماذجك ونشرها. إذا كنت تستخدم شبكة تم تكوينها للسماح بالصادرة المعتمدة فقط، فقد تحتاج إلى إضافة قواعد تسمح بالوصول إلى المستودعات العامة أو استخدام حزم Python الخاصة.

لتحديث مساحة عمل لاستخدام نظام مجموعة حساب أو مثيل حساب لإنشاء صور Docker، استخدم az ml workspace update الأمر مع المعلمة --image-build-compute :

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

يوضح المثال التالي كيفية تحديث مساحة عمل لاستخدام نظام مجموعة حساب لإنشاء صور:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

إدارة القواعد الصادرة

لسرد قواعد VNet الصادرة المدارة لمساحة عمل، استخدم الأمر التالي:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

لعرض تفاصيل قاعدة VNet الصادرة المدارة، استخدم الأمر التالي:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

لإزالة قاعدة صادرة من الشبكة الظاهرية المدارة، استخدم الأمر التالي:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

يوضح المثال التالي كيفية إدارة القواعد الصادرة لمساحة عمل تسمى myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

قائمة القواعد المطلوبة

تلميح

تتم إضافة هذه القواعد تلقائيا إلى VNet المدارة.

نقاط النهاية الخاصة:

عندما يكون وضع العزل للشبكة الظاهرية المدارة هو Allow internet outbound، يتم إنشاء قواعد نقطة النهاية الخاصة الصادرة تلقائيا كالقواعد المطلوبة من VNet المدارة لمساحة العمل والموارد المقترنة مع تعطيل الوصول إلى الشبكة العامة (Key Vault، وحساب التخزين، وسجل الحاوية، ومساحة عمل Azure التعلم الآلي).
عندما يكون وضع العزل للشبكة الظاهرية المدارة هو Allow only approved outbound، يتم إنشاء القواعد الصادرة لنقطة النهاية الخاصة تلقائيا كالقواعد المطلوبة من VNet المدارة لمساحة العمل والموارد المقترنة بغض النظر عن وضع الوصول إلى الشبكة العامة لتلك الموارد (Key Vault، وحساب التخزين، وسجل الحاوية، ومساحة عمل Azure التعلم الآلي).

قواعد علامة الخدمة الصادرة :

AzureActiveDirectory
AzureMachineLearning
BatchNodeManagement.region
AzureResourceManager
AzureFrontDoor
MicrosoftContainerRegistry
AzureMonitor

قواعد علامة الخدمة الواردة :

AzureMachineLearning

قائمة بالقواعد الصادرة المحددة للسيناريو

السيناريو: الوصول إلى حزم التعلم الآلي العامة

للسماح بتثبيت حزم Python للتدريب والنشر، أضف قواعد FQDN الصادرة للسماح بحركة المرور إلى أسماء المضيفين التالية:

تحذير

إشعار

لا تعد هذه قائمة كاملة بالمضيفين المطلوبين لجميع موارد Python على الإنترنت، ولكن فقط الأكثر استخداما. على سبيل المثال، إذا كنت بحاجة إلى الوصول إلى مستودع GitHub أو مضيف آخر، فيجب عليك اولا تحديد المضيفين المطلوبين لهذا السيناريو وإضافتها.

اسم المضيف	الغرض
`anaconda.com` `*.anaconda.com`	تستخدم لتثبيت الحزم الافتراضية.
`*.anaconda.org`	تستخدم للحصول على بيانات المستودع.
`pypi.org`	يُستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا تتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تم الكتابة فوق الفهرس، فيجب عليك أيضا السماح .`*.pythonhosted.org`
`pytorch.org` `*.pytorch.org`	يتم استخدامه من قبل بعض الأمثلة استنادًا إلى PyTorch.
`*.tensorflow.org`	يتم استخدامه من قبل بعض الأمثلة استنادًا إلى Tensorflow.

السيناريو: استخدام Visual Studio Code لسطح المكتب أو الويب مع مثيل الحساب

إذا كنت تخطط لاستخدام Visual Studio Code مع Azure التعلم الآلي، أضف قواعد FQDN الصادرة للسماح بحركة المرور إلى المضيفين التاليين:

تحذير

*.vscode.dev
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
raw.githubusercontent.com
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
code.visualstudio.com
update.code.visualstudio.com
*.vo.msecnd.net
marketplace.visualstudio.com
vscode.download.prss.microsoft.com

السيناريو: استخدام نقاط النهاية الدفعية

إذا كنت تخطط لاستخدام Azure التعلم الآلي نقاط النهاية الدفعية للنشر، أضف قواعد نقطة النهاية الخاصة الصادرة للسماح بنسبة استخدام الشبكة إلى الموارد الفرعية التالية لحساب التخزين الافتراضي:

queue
table

السيناريو: استخدام تدفق المطالبة مع Azure OpenAI وسلامة المحتوى وAzure الذكاء الاصطناعي Search

نقطة نهاية خاصة لخدمات الذكاء الاصطناعي Azure
نقطة نهاية خاصة إلى Azure الذكاء الاصطناعي Search

السيناريو: استخدام نماذج HuggingFace

إذا كنت تخطط لاستخدام نماذج HuggingFace مع Azure التعلم الآلي، أضف قواعد FQDN الصادرة للسماح بنسبة استخدام الشبكة إلى المضيفين التاليين:

تحذير

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
cdn-lfs.huggingface.co

السيناريو: تمكين الوصول من عناوين IP المحددة

إذا كنت تريد تمكين الوصول من عناوين IP معينة، فاستخدم الإجراءات التالية:

أضف قاعدة نقطة نهاية خاصة صادرة للسماح بنسبة استخدام الشبكة إلى مساحة عمل Azure التعلم الآلي. يسمح هذا لمثيلات الحساب التي تم إنشاؤها في الشبكة الظاهرية المدارة بالوصول إلى مساحة العمل.

تلميح

لا يمكنك إضافة هذه القاعدة أثناء إنشاء مساحة العمل، حيث إن مساحة العمل غير موجودة بعد.
تمكين الوصول إلى الشبكة العامة إلى مساحة العمل. لمزيد من المعلومات، راجع تمكين الوصول إلى الشبكة العامة.
أضف عناوين IP الخاصة بك إلى جدار الحماية ل Azure التعلم الآلي. لمزيد من المعلومات، راجع تمكين الوصول فقط من نطاقات IP.

نقاط النهاية الخاصة

نقاط النهاية الخاصة مدعومة حاليا لخدمات Azure التالية:

التعلم الآلي من Azure
سجلات Azure التعلم الآلي
تخزين Azure (جميع أنواع الموارد الفرعية)
Azure Container Registry
Azure Key Vault
خدمات الذكاء الاصطناعي في Azure
Azure الذكاء الاصطناعي Search (البحث المعرفي سابقا)
Azure SQL Server
Azure Data Factory
Azure Cosmos DB (جميع أنواع الموارد الفرعية)
مراكز أحداث Azure
ذاكرة Azure Redis المؤقتة
Azure Databricks
قاعدة بيانات Azure لـ MariaDB
قاعدة بيانات Azure لـ PostgreSQL
قاعدة بيانات Azure لـ MySQL
مثيل Azure SQL المُدار

عند إنشاء نقطة نهاية خاصة، فإنك توفر نوع المورد والمورد الفرعي الذي تتصل به نقطة النهاية. تحتوي بعض الموارد على أنواع متعددة ومصادر فرعية. لمزيد من المعلومات، راجع ما هي نقطة النهاية الخاصة.

عند إنشاء نقطة نهاية خاصة لموارد تبعية Azure التعلم الآلي، مثل Azure Storage وAzure Container Registry وAzure Key Vault، يمكن أن يكون المورد في اشتراك Azure مختلف. ومع ذلك، يجب أن يكون المورد في نفس المستأجر مثل مساحة عمل Azure التعلم الآلي.

هام

عند تكوين نقاط النهاية الخاصة ل Azure التعلم الآلي VNet المدارة، يتم إنشاء نقاط النهاية الخاصة فقط عند إنشاء الحساب الأول أو عند فرض توفير VNet المدار. لمزيد من المعلومات حول فرض توفير الشبكة الظاهرية المدارة، راجع تكوين وظائف Spark بلا خادم.

التسعير

ميزة Azure التعلم الآلي VNet المدارة مجانية. ومع ذلك، تتم محاسبتك على الموارد التالية التي تستخدمها الشبكة الظاهرية المدارة:

Azure Private Link - نقاط النهاية الخاصة المستخدمة لتأمين الاتصالات بين موارد VNet المدارة وموارد Azure تعتمد على Azure Private Link. لمزيد من المعلومات حول التسعير، راجع تسعير Azure Private Link.
قواعد FQDN الصادرة - يتم تنفيذ القواعد الصادرة FQDN باستخدام جدار حماية Azure. إذا كنت تستخدم قواعد FQDN الصادرة، تتم إضافة رسوم جدار حماية Azure إلى الفوترة. يتم توفير جدار حماية Azure (SKU القياسي) بواسطة Azure التعلم الآلي.

هام

لا يتم إنشاء جدار الحماية حتى تقوم بإضافة قاعدة FQDN صادرة. لمزيد من المعلومات حول التسعير، راجع تسعير جدار حماية Azure وعرض الأسعار للإصدار القياسي .

القيود

بمجرد تمكين عزل VNet المدار لمساحة العمل الخاصة بك، لا يمكنك تعطيله.
تستخدم الشبكة الظاهرية المدارة اتصال نقطة النهاية الخاصة للوصول إلى مواردك الخاصة. لا يمكن أن يكون لديك نقطة نهاية خاصة ونقطة نهاية خدمة في نفس الوقت لموارد Azure، مثل حساب التخزين. نوصي باستخدام نقاط النهاية الخاصة في جميع السيناريوهات.
يتم حذف الشبكة الظاهرية المدارة عند حذف مساحة العمل.
يتم تمكين الحماية من النقل غير المصرح للبيانات تلقائيا لوضع الصادر الوحيد المعتمد. إذا أضفت قواعد صادرة أخرى، مثل FQDNs، فلن تضمن Microsoft حمايتك من تسرب البيانات إلى تلك الوجهات الصادرة.
لا يتم دعم إنشاء نظام مجموعة حساب في منطقة مختلفة عن مساحة العمل عند استخدام شبكة ظاهرية مدارة.
Kubernetes والأجهزة الظاهرية المرفقة غير مدعومة في Azure التعلم الآلي VNet المدارة.
يؤدي استخدام القواعد الصادرة FQDN إلى زيادة تكلفة الشبكة الظاهرية المدارة لأن قواعد FQDN تستخدم جدار حماية Azure. لمزيد من المعلومات، راجع الأسعار.

ترحيل موارد الحوسبة

إذا كانت لديك مساحة عمل موجودة وتريد تمكين VNet المدارة لها، فلا يوجد حاليا مسار ترحيل مدعوم لموارد الحوسبة المنسوغة الحالية. ستحتاج إلى حذف جميع موارد الحوسبة المدارة الموجودة وإعادة إنشائها بعد تمكين الشبكة الظاهرية المدارة. تحتوي القائمة التالية على موارد الحساب التي يجب حذفها وإعادة إنشائها:

نظام مجموعة الحساب
مثيل الحساب
مجموعات أجهزة كمبيوتر Kubernetes
نقاط النهاية عبر الإنترنت المدارة

عزل الشبكة الظاهرية المدارة لمساحة العمل

بنية الشبكة الظاهرية المدارة

Azure Machine Learning Studio

المتطلبات الأساسية

تكوين شبكة ظاهرية مدارة للسماح بالإنترنت الصادر

تكوين شبكة ظاهرية مدارة للسماح بالصادرة المعتمدة فقط

تكوين لمهام Spark بلا خادم

توفير شبكة ظاهرية مدارة يدويا

قم بتكوين بنيات الصور

إدارة القواعد الصادرة

قائمة القواعد المطلوبة

قائمة بالقواعد الصادرة المحددة للسيناريو

السيناريو: الوصول إلى حزم التعلم الآلي العامة

السيناريو: استخدام Visual Studio Code لسطح المكتب أو الويب مع مثيل الحساب

السيناريو: استخدام نقاط النهاية الدفعية

السيناريو: استخدام تدفق المطالبة مع Azure OpenAI وسلامة المحتوى وAzure الذكاء الاصطناعي Search

السيناريو: استخدام نماذج HuggingFace

السيناريو: تمكين الوصول من عناوين IP المحددة

نقاط النهاية الخاصة

التسعير

القيود

ترحيل موارد الحوسبة

الخطوات التالية

الموارد الإضافية