مشاركة عبر

التخطيط لعزل الشبكة

  • مقالة

في هذه المقالة، ستتعلم كيفية تخطيط عزل الشبكة ل Azure التعلم الآلي وتوصياتنا. هذه المقالة مخصصة لمسؤولي تكنولوجيا المعلومات الذين يرغبون في تصميم بنية الشبكة.

يوفر استخدام شبكة ظاهرية مدارة تكوينا أسهل لعزل الشبكة. يؤمن تلقائيا مساحة العمل وموارد الحوسبة المدارة في شبكة ظاهرية مدارة. يمكنك إضافة اتصالات نقطة نهاية خاصة لخدمات Azure الأخرى التي تعتمد عليها مساحة العمل، مثل حسابات تخزين Azure. بناء على احتياجاتك، يمكنك السماح بجميع نسبة استخدام الشبكة الصادرة إلى الشبكة العامة أو السماح فقط بنسبة استخدام الشبكة الصادرة التي توافق عليها. يتم تمكين نسبة استخدام الشبكة الصادرة المطلوبة من قبل خدمة Azure التعلم الآلي تلقائيا للشبكة الظاهرية المدارة. نوصي باستخدام عزل الشبكة المدارة لمساحة العمل لأسلوب عزل شبكة اتصال أقل احتكاكا مضمنا. لدينا نمطان: السماح بوضع الإنترنت الصادر أو السماح بوضع الصادر المعتمد فقط.

السماح بوضع الإنترنت الصادر

استخدم هذا الخيار إذا كنت تريد السماح لمهندسي التعلم الآلي بالوصول إلى الإنترنت بحرية. يمكنك إنشاء قواعد أخرى صادرة لنقطة النهاية الخاصة للسماح لها بالوصول إلى مواردك الخاصة على Azure.

Diagram of managed network isolation configured for internet outbound.

السماح بوضع الصادر المعتمد فقط

استخدم هذا الخيار إذا كنت تريد تقليل مخاطر النقل غير المصرح للبيانات والتحكم في ما يمكن لمهندسي التعلم الآلي الوصول إليه. يمكنك التحكم في القواعد الصادرة باستخدام نقطة النهاية الخاصة وعلامة الخدمة وFQDN.

Diagram of managed network isolation configured for allow only approved outbound.

إذا كان لديك متطلبات محددة أو نهج شركة يمنعك من استخدام شبكة ظاهرية مدارة، يمكنك استخدام شبكة Azure الظاهرية لعزل الشبكة.

الرسم التخطيطي التالي هو تصميمنا الموصى به لجعل جميع الموارد خاصة ولكن السماح بالوصول إلى الإنترنت الصادر من الشبكة الظاهرية الخاصة بك. يصف هذا الرسم التخطيطي البنية التالية:

  • ضع جميع الموارد في نفس المنطقة.
  • شبكة ظاهرية مركزية، تحتوي على جدار الحماية الخاص بك.
  • الشبكة الظاهرية المحورية، التي تحتوي على الموارد التالية:
    • تحتوي الشبكة الفرعية للتدريب على مثيلات الحوسبة والمجموعات المستخدمة لتدريب نماذج التعلم الآلي. يتم تكوين هذه الموارد من أجل أي IP عام.
    • تحتوي الشبكة الفرعية لتسجيل النقاط على نظام مجموعة AKS.
    • تحتوي الشبكة الفرعية 'pe' على نقاط نهاية خاصة تتصل بمساحة العمل والموارد الخاصة المستخدمة من قبل مساحة العمل (التخزين، وخزنة المفاتيح، وسجل الحاوية، وما إلى ذلك)
  • تستخدم نقاط النهاية المدارة عبر الإنترنت نقطة النهاية الخاصة لمساحة العمل لمعالجة الطلبات الواردة. يتم أيضا استخدام نقطة نهاية خاصة للسماح بنشر نقطة النهاية المدارة عبر الإنترنت للوصول إلى التخزين الخاص.

توازن هذه البنية بين أمان الشبكة وإنتاجية مهندسي التعلم الآلي.

Diagram of the recommended network architecture.

يمكنك أتمتة إنشاء هذه البيئات باستخدام قالب دون نقطة نهاية مدارة عبر الإنترنت أو AKS. نقطة النهاية المدارة عبر الإنترنت هي الحل إذا لم يكن لديك مجموعة AKS موجودة لتسجيل نموذج الذكاء الاصطناعي. راجع كيفية تأمين وثائق نقطة النهاية عبر الإنترنت لمزيد من المعلومات. AKS مع ملحق Azure التعلم الآلي هو الحل إذا كان لديك مجموعة AKS موجودة لتسجيل نموذج الذكاء الاصطناعي. راجع كيفية إرفاق وثائق kubernetes لمزيد من المعلومات.

إزالة متطلبات جدار الحماية

إذا كنت ترغب في إزالة متطلبات جدار الحماية، يمكنك استخدام مجموعات أمان الشبكة وAzure virtual network NAT للسماح بالإنترنت الصادر من موارد الحوسبة الخاصة بك.

Diagram of the recommended network architecture without a firewall.

استخدام مساحة العمل العامة

يمكنك استخدام مساحة عمل عامة إذا كنت موافقا على مصادقة Microsoft Entra والتخويل مع الوصول المشروط. تحتوي مساحة العمل العامة على بعض الميزات لإظهار البيانات في حساب التخزين الخاص بك، ونوصي باستخدام مساحة عمل خاصة.

يوضح هذا الرسم التخطيطي البنية الموصى بها لجعل جميع الموارد خاصة والتحكم في الوجهات الصادرة لمنع تسرب البيانات. نوصي بهذه البنية عند استخدام Azure التعلم الآلي مع بياناتك الحساسة في الإنتاج. يصف هذا الرسم التخطيطي البنية التالية:

  • ضع جميع الموارد في نفس المنطقة.
  • شبكة ظاهرية مركزية، تحتوي على جدار الحماية الخاص بك.
    • بالإضافة إلى علامات الخدمة، يستخدم جدار الحماية FQDNs لمنع تسرب البيانات.
  • الشبكة الظاهرية المحورية، التي تحتوي على الموارد التالية:
    • تحتوي الشبكة الفرعية للتدريب على مثيلات الحوسبة والمجموعات المستخدمة لتدريب نماذج التعلم الآلي. يتم تكوين هذه الموارد من أجل أي IP عام. بالإضافة إلى ذلك، توجد نقطة نهاية خدمة ونهج نقطة نهاية الخدمة لمنع تسرب البيانات.
    • تحتوي الشبكة الفرعية لتسجيل النقاط على نظام مجموعة AKS.
    • تحتوي الشبكة الفرعية 'pe' على نقاط نهاية خاصة تتصل بمساحة العمل والموارد الخاصة المستخدمة من قبل مساحة العمل (التخزين، وخزنة المفاتيح، وسجل الحاوية، وما إلى ذلك)
  • تستخدم نقاط النهاية المدارة عبر الإنترنت نقطة النهاية الخاصة لمساحة العمل لمعالجة الطلبات الواردة. يتم أيضا استخدام نقطة نهاية خاصة للسماح بنشر نقطة النهاية المدارة عبر الإنترنت للوصول إلى التخزين الخاص.

Diagram of recommended network with data exfiltration protection configuration.

تسرد الجداول التالية علامات خدمة Azure الصادرة المطلوبة وأسماء المجالات المؤهلة بالكامل (FQDN) مع إعداد حماية النقل غير المصرح للبيانات :

علامة الخدمة الصادرة بروتوكول المنفذ
AzureActiveDirectory TCP 80, 443
AzureResourceManager TCP 443
AzureMachineLearning بروتوكول مخطط بيانات المستخدم 5831
BatchNodeManagement TCP 443
FQDN الصادر بروتوكول المنفذ
mcr.microsoft.com TCP 443
*.data.mcr.microsoft.com TCP 443
ml.azure.com TCP 443
automlresources-prod.azureedge.net TCP 443

استخدام مساحة العمل العامة

يمكنك استخدام مساحة العمل العامة إذا كنت موافقا على مصادقة Microsoft Entra والتخويل مع الوصول المشروط. تحتوي مساحة العمل العامة على بعض الميزات لإظهار البيانات في حساب التخزين الخاص بك، ونوصي باستخدام مساحة عمل خاصة.

الاعتبارات الرئيسية لفهم التفاصيل

يحتوي Azure التعلم الآلي على كل من موارد IaaS وPaaS

يتضمن عزل شبكة Azure التعلم الآلي كلا من مكونات النظام الأساسي كخدمة (PaaS) والبنية التحتية كخدمة (IaaS). يمكن عزل خدمات PaaS، مثل مساحة عمل Azure التعلم الآلي والتخزين وخزنة المفاتيح وسجل الحاوية والمراقبة، باستخدام Private Link. يمكن إدخال خدمات حوسبة IaaS، مثل مثيلات الحساب/المجموعات لتدريب نموذج الذكاء الاصطناعي، وخدمة Azure Kubernetes (AKS) أو نقاط النهاية المدارة عبر الإنترنت لتسجيل نموذج الذكاء الاصطناعي، في شبكتك الظاهرية والتواصل مع خدمات PaaS باستخدام Private Link. الرسم التخطيطي التالي هو مثال على هذه البنية.

Diagram of IaaS and PaaS components.

في هذا الرسم التخطيطي، توجد مثيلات الحوسبة ومجموعات الحوسبة ومجموعات AKS داخل شبكتك الظاهرية. يمكنهم الوصول إلى مساحة عمل أو تخزين Azure التعلم الآلي باستخدام نقطة نهاية خاصة. بدلا من نقطة نهاية خاصة، يمكنك استخدام نقطة نهاية خدمة ل Azure Storage وAzure Key Vault. لا تدعم الخدمات الأخرى نقطة نهاية الخدمة.

التكوينات الواردة والصادرة المطلوبة

يحتوي Azure التعلم الآلي على العديد من التكوينات الواردة والصادرة المطلوبة مع شبكتك الظاهرية. إذا كان لديك شبكة ظاهرية مستقلة، يكون التكوين مباشرا باستخدام مجموعة أمان الشبكة. ومع ذلك، قد يكون لديك بنية شبكة محورية أو شبكة اتصال وجدار حماية والأجهزة الظاهرية للشبكة والوكيل والتوجيه المعرف من قبل المستخدم. في كلتا الحالتين، تأكد من السماح بالواردة والصادرة مع مكونات أمان الشبكة.

Diagram of hub-spoke network with outbound through firewall.

في هذا الرسم التخطيطي، لديك بنية شبكة محورية ومركزية. تحتوي الشبكة الظاهرية المحورية على موارد ل Azure التعلم الآلي. يحتوي المركز VNet على جدار حماية يتحكم في الإنترنت الصادر من الشبكات الظاهرية. في هذه الحالة، يجب أن يسمح جدار الحماية الخاص بك بالموارد الصادرة إلى الموارد المطلوبة ويجب أن تكون موارد الحوسبة الخاصة بك في الشبكة الظاهرية المحورية قادرة على الوصول إلى جدار الحماية الخاص بك.

تلميح

في الرسم التخطيطي، يتم تكوين مثيل الحساب والمجموعة الحسابية بدون عنوان IP عام. إذا كنت تستخدم بدلا من ذلك مثيل حساب أو مجموعة مع IP عام، فأنت بحاجة إلى السماح بالواردة من علامة خدمة Azure التعلم الآلي باستخدام مجموعة أمان الشبكة (NSG) والتوجيه المعرف من قبل المستخدم لتخطي جدار الحماية الخاص بك. ستكون نسبة استخدام الشبكة الواردة هذه من خدمة Microsoft (Azure التعلم الآلي). ومع ذلك، نوصي باستخدام أي خيار IP عام لإزالة هذا المطلب الوارد.

إذا كان لديك خادم DNS الخاص بك مستضافا في Azure أو محليا، فستحتاج إلى إنشاء معاد توجيه شرطي في خادم DNS الخاص بك. يرسل معاد التوجيه الشرطي طلبات DNS إلى Azure DNS لجميع خدمات PaaS الممكنة للارتباط الخاص. لمزيد من المعلومات، راجع سيناريوهات تكوين DNS وAzure التعلم الآلي مقالات تكوين DNS محددة.

حماية تسرب البيانات

لدينا نوعان من الصادرات؛ للقراءة فقط والقراءة/الكتابة. لا يمكن استغلال القراءة الصادرة فقط من قبل الجهات الفاعلة الضارة ولكن يمكن أن تكون القراءة/الكتابة الصادرة. يتم قراءة/كتابة Azure Storage وAzure Frontdoor ( frontdoor.frontend علامة الخدمة) الصادرة في حالتنا.

يمكنك التخفيف من مخاطر النقل غير المصرح للبيانات هذه باستخدام حل منع النقل غير المصرح للبيانات. نستخدم نهج نقطة نهاية الخدمة مع اسم مستعار ل Azure التعلم الآلي للسماح بحسابات التخزين المدارة فقط في Azure التعلم الآلي. لا تحتاج إلى فتح الصادر إلى التخزين على جدار الحماية الخاص بك.

Diagram of network with exfiltration protection configuration.

في هذا الرسم التخطيطي، يحتاج مثيل الحساب والمجموعة إلى الوصول إلى حسابات التخزين المدارة التعلم الآلي Azure للحصول على البرامج النصية للإعداد. بدلا من فتح الصادر إلى التخزين، يمكنك استخدام نهج نقطة نهاية الخدمة مع الاسم المستعار ل Azure التعلم الآلي للسماح بالوصول إلى التخزين فقط إلى حسابات تخزين Azure التعلم الآلي.

تسرد الجداول التالية علامات خدمة Azure الصادرة المطلوبة وأسماء المجالات المؤهلة بالكامل (FQDN) مع إعداد حماية النقل غير المصرح للبيانات :

علامة الخدمة الصادرة بروتوكول المنفذ
AzureActiveDirectory TCP 80, 443
AzureResourceManager TCP 443
AzureMachineLearning بروتوكول مخطط بيانات المستخدم 5831
BatchNodeManagement TCP 443
FQDN الصادر بروتوكول المنفذ
mcr.microsoft.com TCP 443
*.data.mcr.microsoft.com TCP 443
ml.azure.com TCP 443
automlresources-prod.azureedge.net TCP 443

نقطة النهاية المدارة عبر الإنترنت

يتم تكوين أمان الاتصالات الواردة والصادرة بشكل منفصل لنقاط النهاية المدارة عبر الإنترنت.

الاتصال الوارد

يستخدم Azure التعلم الآلي نقطة نهاية خاصة لتأمين الاتصال الوارد إلى نقطة نهاية مدارة عبر الإنترنت. قم بتعيين علامة نقطة public_network_access النهاية إلى disabled لمنع الوصول العام إليها. عند تعطيل هذه العلامة، يمكن الوصول إلى نقطة النهاية الخاصة بك فقط عبر نقطة النهاية الخاصة بمساحة عمل Azure التعلم الآلي، ولا يمكن الوصول إليها من الشبكات العامة.

الاتصالات الصادرة

لتأمين الاتصال الصادر من التوزيع إلى الموارد، يستخدم Azure التعلم الآلي شبكة ظاهرية مدارة لمساحة العمل. يجب إنشاء النشر في الشبكة الظاهرية المدارة لمساحة العمل بحيث يمكن استخدام نقاط النهاية الخاصة للشبكة الظاهرية المدارة لمساحة العمل للاتصال الصادر.

يوضح الرسم التخطيطي للبنية التالية كيفية تدفق الاتصالات من خلال نقاط النهاية الخاصة إلى نقطة النهاية المدارة عبر الإنترنت. طلبات تسجيل النقاط الواردة من تدفق الشبكة الظاهرية للعميل من خلال نقطة النهاية الخاصة لمساحة العمل إلى نقطة النهاية المدارة عبر الإنترنت. تتم معالجة الاتصالات الصادرة من عمليات النشر إلى الخدمات من خلال نقاط النهاية الخاصة من الشبكة الظاهرية المدارة لمساحة العمل إلى مثيلات الخدمة هذه.

Diagram showing inbound communication via a workspace private endpoint and outbound communication via private endpoints of a workspace managed VNet.

لمزيد من المعلومات، راجع عزل الشبكة مع نقاط النهاية المدارة عبر الإنترنت.

نقص عنوان IP الخاص في شبكتك الرئيسية

يتطلب Azure التعلم الآلي عناوين IP خاصة؛ عنوان IP واحد لكل مثيل حساب، وعقدة نظام مجموعة حساب، ونقطة نهاية خاصة. تحتاج أيضا إلى العديد من عناوين IP إذا كنت تستخدم AKS. قد لا تحتوي شبكة النظام المحوري المتصلة بشبكتك المحلية على مساحة عنوان IP خاصة كافية. في هذا السيناريو، يمكنك استخدام شبكات ظاهرية معزولة غير نظيرة لموارد Azure التعلم الآلي.

Diagram of networks connected by private endpoints instead of peering.

في هذا الرسم التخطيطي، تتطلب الشبكة الظاهرية الرئيسية عناوين IP لنقاط النهاية الخاصة. يمكنك الحصول على شبكات ظاهرية محورية لمساحات عمل Azure التعلم الآلي متعددة مع مساحات عناوين كبيرة. الجانب السلبي لهذه البنية هو مضاعفة عدد نقاط النهاية الخاصة.

إنفاذ نهج الشبكة

يمكنك استخدام النهج المضمنة إذا كنت تريد التحكم في معلمات عزل الشبكة باستخدام مساحة عمل الخدمة الذاتية وإنشاء موارد الحوسبة.

اعتبارات ثانوية أخرى

إعداد حساب بناء الصورة ل ACR خلف VNet

إذا وضعت سجل حاوية Azure (ACR) خلف نقطة النهاية الخاصة بك، فلن يتمكن ACR من إنشاء صور docker الخاصة بك. تحتاج إلى استخدام مثيل الحساب أو نظام مجموعة الحوسبة لإنشاء الصور. لمزيد من المعلومات، راجع مقالة كيفية تعيين حوسبة إنشاء الصورة.

إذا كنت تخطط لاستخدام Azure التعلم الآلي studio، فهناك خطوات تكوين إضافية مطلوبة. هذه الخطوات هي لمنع أي سيناريوهات تسرب البيانات. لمزيد من المعلومات، راجع مقالة كيفية استخدام Azure التعلم الآلي studio في شبكة Azure الظاهرية.

الخطوات التالية

لمزيد من المعلومات حول استخدام شبكة ظاهرية مدارة، راجع المقالات التالية:

لمزيد من المعلومات حول استخدام شبكة Azure الظاهرية، راجع المقالات التالية: