تأمين موارد مساحة عمل التعلم الآلي من Azure باستخدام الشبكات الظاهرية (VNets)

  • مقالة

تلميح

توصي Microsoft باستخدام Azure التعلم الآلي الشبكات الظاهرية المدارة بدلا من الخطوات الواردة في هذه المقالة. باستخدام شبكة ظاهرية مدارة، يعالج Azure التعلم الآلي مهمة عزل الشبكة لمساحة العمل والحسابات المدارة. يمكنك أيضا إضافة نقاط نهاية خاصة للموارد التي تحتاجها مساحة العمل، مثل حساب تخزين Azure. لمزيد من المعلومات، راجع عزل الشبكة المدارة في مساحة العمل.

تأمين موارد مساحة عمل Azure التعلم الآلي وبيئات الحوسبة باستخدام شبكات Azure الظاهرية (VNets). هذه المقالة تستخدم مثالا لسيناريو يوضح لك كيفية تكوين شبكة افتراضية كاملة.

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة:

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة:

للحصول على برنامج تعليمي حول إنشاء مساحة عمل آمنة، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة أو البرنامج التعليمي: إنشاء مساحة عمل آمنة باستخدام قالب.

المتطلبات الأساسية

تفترض هذه المقالة أن لديك الإلمام بالمقالات التالية:

سيناريو مثال

ستتعرف في هذا القسم على كيفية إعداد سيناريو شبكة مشتركة لتأمين اتصال التعلم الآلي من Azure بعناوين IP الخاصة.

الجدول التالي يقارن كيفية وصول الخدمات إلى أجزاء مختلفة من شبكة التعلم الآلي من Azure مع شبكة افتراضية وبدونها:

السيناريو مساحة عمل الموارد المقترنة بيئة حساب التدريب استدلال بيئة الحوسبة
بدون شبكة افتراضية عنوان IP عام عنوان IP عام عنوان IP عام عنوان IP عام
مساحة عمل عامة، جميع الموارد الأخرى في شبكة افتراضية عنوان IP عام IP العام (نقطة نهاية الخدمة)
- أو -
IP خاص (نقطة نهاية خاصة)		 عنوان IP عام عنوان IP خاص
تأمين الموارد في شبكة افتراضية IP خاص (نقطة نهاية خاصة) IP العام (نقطة نهاية الخدمة)
- أو -
IP خاص (نقطة نهاية خاصة)		 عنوان IP خاص عنوان IP خاص
  • مساحة العمل - أنشئ نقطة نهاية خاصة لمساحة العمل الخاصة بك. نقطة النهاية الخاصة تربط مساحة العمل بالشبكة الافتراضية من خلال العديد من عناوين IP الخاصة.
    • الوصول العام - يمكنك اختياريا تمكين الوصول العام لمساحة عمل آمنة.
  • المورد المقترن - استخدم نقاط نهاية الخدمة أو نقاط النهاية الخاصة للاتصال بموارد مساحة العمل مثل تخزين Azure وAzure Key Vault. بالنسبة إلى Azure Container Services، استخدم نقطة نهاية خاصة.
    • توفر نقاط تقديم الخدمة هوية شبكتك الظاهرية لخدمة Azure. بمجرد تمكين نقاط نهاية الخدمة في شبكتك الظاهرية، يمكنك إضافة قاعدة شبكة ظاهرية لتأمين موارد خدمة Azure إلى شبكتك الظاهرية. تستخدم نقاط نهاية الخدمة عناوين IP العامة.
    • نقاط النهاية الخاصة هي واجهات شبكة تصلك بأمان بخدمة مدعمة من Azure Private Link. نقطة النهاية الخاصة تستخدم عنوان IP خاص من VNet الخاص بك، ما يجلب الخدمة في VNet الخاصة بك بشكل فعال.
  • الوصول إلى حساب التدريب - أهداف حساب التدريب على الوصول مثل مثيل حساب التعلم الآلي من Azure ومجموعات حساب التعلم الآلي من Azure مع عناوين IP العامة أو الخاصة.
  • الوصول إلى حساب الاستدلال - الوصول إلى مجموعات حساب خدمات Azure Kubernetes (AKS) بعناوين IP الخاصة.

توضح لك الأقسام التالية كيفية تأمين سيناريو الشبكة الموضح سابقا. لتأمين شبكتك، لابد من القيام بما يلي:

  1. قم بتأمين مساحة العمل والموارد المقترنة.
  2. قم بتأمين بيئة التدريب.
  3. تأمين بيئة الاستدلال.
  4. اختياريا: تمكين وظيفة الاستوديو.
  5. تكوين إعدادات جدار الحماية.
  6. تكوين تحليل اسم DNS.

مساحة العمل العامة والموارد المؤمنة

هام

في حين أن هذا تكوين مدعوم ل Azure التعلم الآلي، لا توصي Microsoft بذلك. يمكن عرض البيانات الموجودة في حساب تخزين Azure خلف الشبكة الظاهرية على مساحة العمل العامة. يجب التحقق من هذا التكوين مع فريق الأمان قبل استخدامه في الإنتاج.

إذا كنت تريد الوصول إلى مساحة العمل عبر الإنترنت العام مع الحفاظ على تأمين جميع الموارد المقترنة في شبكة افتراضية، استخدم الخطوات التالية:

  1. إنشاء شبكة Azure الظاهرية. تؤمن هذه الشبكة الموارد المستخدمة من قبل مساحة العمل.

  2. استخدم أحد الخيارات التالية لإنشاء مساحة عمل يمكن الوصول إليها بشكل عام:

    • إنشاء مساحة عمل التعلم الآلي من Azure لا يستخدم الشبكة الافتراضية. لمزيد من المعلومات، راجع إدارة مساحات عمل Azure التعلم الآلي.

    OR

  3. أضف الخدمات التالية إلى الشبكة الافتراضية باستخدام إما نقطة نهاية خدمة أو نقطة نهاية خاصة. اسمح أيضًا لخدمات Microsoft الموثوق بها بالوصول إلى هذه الخدمات:

  4. في خصائص حساب (حسابات) تخزين Azure لمساحة عملك، أضف عنوان IP للعميل إلى القائمة المسموح بها في إعدادات جدار الحماية. لمزيد من المعلومات، راجع تكوين جُدر حماية التخزين والشبكات الافتراضية في Azure.

قم بتأمين مساحة العمل والموارد المقترنة

استخدم الخطوات التالية لتأمين مساحة عملك والموارد المقترنة. تتيح هذه الخطوات لخدماتك الاتصال بالشبكة الافتراضية.

  1. إنشاء شبكات Azure الظاهرية. تؤمن هذه الشبكة مساحة العمل والموارد الأخرى. أنشئ مساحة عمل خاصة ممكنة للارتباط لتمكين الاتصال بين VNet ومساحة العمل.

  2. أضف الخدمات التالية إلى الشبكة الافتراضية باستخدام إما نقطة نهاية خدمة أو نقطة نهاية خاصة. اسمح أيضًا لخدمات Microsoft الموثوق بها بالوصول إلى هذه الخدمات:

    الخدمة معلومات نقطة النهاية السماح بالمعلومات الموثوق بها
    Azure Key Vault نقطة نهاية الخدمة
    نقطة نهاية خاصة    		 السماح بخدمات Microsoft الموثوق بها لتجاوز جدار الحماية هذا
    حساب تخزين Azure الخدمة ونقطة النهاية الخاصة
    نقطة نهاية خاصة    		 منح حق الوصول من مثيلات موارد Azure
    أو
    منح حق الوصول إلى خدمات Azure الموثوق بها
    Azure Container Registry نقطة النهاية الخاصة السماح بالخدمات الموثوقة

  1. إنشاء شبكات Azure الظاهرية. تؤمن هذه الشبكة الظاهرية مساحة العمل والموارد الأخرى. أنشئ مساحة عمل خاصة ممكنة للارتباط لتمكين الاتصال بين VNet ومساحة العمل.

  2. أضف الخدمات التالية إلى الشبكة الافتراضية باستخدام إما نقطة نهاية خدمة أو نقطة نهاية خاصة. اسمح أيضًا لخدمات Microsoft الموثوق بها بالوصول إلى هذه الخدمات:

    الخدمة معلومات نقطة النهاية السماح بالمعلومات الموثوق بها
    Azure Key Vault نقطة نهاية الخدمة
    نقطة نهاية خاصة    		 السماح بخدمات Microsoft الموثوق بها لتجاوز جدار الحماية هذا
    حساب تخزين Azure الخدمة ونقطة النهاية الخاصة
    نقطة نهاية خاصة    		 منح حق الوصول من مثيلات موارد Azure
    أو
    منح حق الوصول إلى خدمات Azure الموثوق بها
    Azure Container Registry نقطة النهاية الخاصة السماح بالخدمات الموثوقة

Diagram showing how the workspace and associated resources communicate inside a VNet.

للحصول على إرشادات مفصلة حول كيفية إكمال هذه الخطوات، راجع تأمين مساحة عمل التعلم الآلي من Azure.

للحصول على إرشادات مفصلة حول كيفية إكمال هذه الخطوات، راجع تأمين مساحة عمل التعلم الآلي من Azure.

القيود

يكون لتأمين مساحة العمل والموارد المقترنة داخل شبكة افتراضية القيود التالية:

  • يجب أن تكون مساحة العمل وحساب التخزين الافتراضي في نفس VNet. ومع ذلك، يسمح بالشبكات الفرعية داخل نفس الشبكة الافتراضية. على سبيل المثال، مساحة العمل في شبكة فرعية واحدة والتخزين في شبكة أخرى.

    نوصي بأن يكون Azure Key Vault وAzure Container Registry لمساحة العمل أيضا في نفس VNet. ومع ذلك، يمكن أن يكون كلا هذين الموردين أيضا في شبكة ظاهرية نظيرة .

تأمين بيئة التدريب

في هذا القسم، ستتعلم كيفية تأمين بيئة التدريب في التعلم الآلي من Azure. يمكنك أيضا تعلم كيف يقوم التعلم الآلي من Azure بإكمال مهمة تدريب لفهم كيفية عمل تكوينات الشبكة معا.

لتأمين بيئة التدريب، استخدم الخطوات التالية:

  1. أنشئ مثيل حساب التعلم الآلي من Azure ونظام مجموعة الكمبيوتر في الشبكة الافتراضية لتشغيل مهمة التدريب.

  2. إذا لم يستخدم نظام مجموعة الحوسبة أو مثيل الحوسبة عنوان IP عام، لابد من السماح بالاتصال الوارد لكي تتمكن خدمات الإدارة من إرسال المهام إلى موارد الحساب.

    تلميح

    يمكن إنشاء نظام مجموعة الحساب ومثيل الحساب باستخدام عنوان IP عام أو بدونه. إذا تم إنشاؤه باستخدام عنوان IP عام، ستحصل على موازن حمل مع عنوان IP عام لقبول الوصول الوارد من خدمة دفعة Azure وخدمة التعلم الآلي من Azure. إذا كنت تستخدم جدار حماية، تحتاج إلى تكوين التوجيه المعرف من قبل المستخدم (UDR). إذا تم إنشاؤه بدون عنوان IP عام، فستحصل على خدمة ارتباط خاصة لقبول الوصول الوارد من خدمة دفعة Azure وخدمة التعلم الآلي من Azure دون عنوان IP عام.

  1. أنشئ مثيل حساب التعلم الآلي من Azure ونظام مجموعة الكمبيوتر في الشبكة الافتراضية لتشغيل مهمة التدريب.

  2. إذا لم يستخدم نظام مجموعة الحوسبة أو مثيل الحوسبة عنوان IP عام، لابد من السماح بالاتصال الوارد لكي تتمكن خدمات الإدارة من إرسال المهام إلى موارد الحساب.

    تلميح

    يمكن إنشاء نظام مجموعة الحساب ومثيل الحساب باستخدام عنوان IP عام أو بدونه. إذا تم إنشاؤه باستخدام عنوان IP عام، ستحصل على موازن حمل مع عنوان IP عام لقبول الوصول الوارد من خدمة دفعة Azure وخدمة التعلم الآلي من Azure. إذا كنت تستخدم جدار حماية، تحتاج إلى تكوين التوجيه المعرف من قبل المستخدم (UDR). إذا تم إنشاؤه بدون عنوان IP عام، فستحصل على خدمة ارتباط خاصة لقبول الوصول الوارد من خدمة دفعة Azure وخدمة التعلم الآلي من Azure دون عنوان IP عام.

Diagram showing how to secure managed compute clusters and instances.

للحصول على إرشادات مفصلة حول كيفية إكمال هذه الخطوات، راجع تأمين بيئة تدريب.

للحصول على إرشادات مفصلة حول كيفية إكمال هذه الخطوات، راجع تأمين بيئة تدريب.

مثال على إرسال مهمة تدريب

في هذا القسم، ستتعرف على كيفية اتصال التعلم الآلي من Azure بأمان بين الخدمات لإرسال مهمة تدريب. يوضح لك هذا المثال كيفية عمل جميع التكوينات معا لتأمين الاتصال.

  1. العميل يقوم بتحميل البرامج النصية للتدريب وبيانات التدريب إلى حسابات التخزين التي يتم تأمينها باستخدام خدمة أو نقطة نهاية خاصة.

  2. يرسل العميل مهمة تدريب إلى مساحة عمل التعلم الآلي من Azure من خلال نقطة النهاية الخاصة.

  3. تتلقى خدمة دفعة Azure المهمة من مساحة العمل. ثم ترسل مهمة التدريب إلى بيئة الحساب من خلال موازن الحمل العام لمورد الحساب.

  4. مورد الحساب يتلقى الوظيفة ويبدأ التدريب. مورد الحساب يستخدم المعلومات المخزنة في خزنة المفتاح للوصول إلى حسابات التخزين لتنزيل ملفات التدريب وتحميل الإخراج.

Diagram showing the secure training job submission workflow.

القيود

  • لابد أن يكون مثيل حساب Azure ومجموعات حساب Azure في نفس الشبكة الافتراضية والمنطقة والاشتراك مثل مساحة العمل والموارد المقترنة بها.

تأمين بيئة الاستدلال

يمكنك تمكين عزل الشبكة لنقاط النهاية المُدارة عبر الإنترنت لتأمين نسبة استخدام الشبكة التالية:

  • الطلبات الواردة لتسجيل النقاط.
  • الاتصال الصادر بمساحة العمل وAzure Container Registry وAzure Blob Storage.

لمزيد من المعلومات، راجع تمكين عزل الشبكة لنقاط النهاية المُدارة عبر الإنترنت (إصدار أولي).

في هذا القسم، ستتعرف على الخيارات المتاحة لتأمين بيئة استنتاج عند استخدام ملحق Azure CLI ل ML v1 أو Azure التعلم الآلي Python SDK v1. عند إجراء توزيع v1، نوصي باستخدام مجموعات Azure Kubernetes Services (AKS) لتوزيع الإنتاج على نطاق واسع.

لديك خياران لمجموعات AKS في شبكة افتراضية:

  • توزيع مجموعة AKS افتراضية أو إرفاقها بشبكتك الافتراضية.
  • أرفق نظام مجموعة AKS خاص بشبكتك الافتراضية.

مجموعات AKS الافتراضية تحتوي على مستوى تحكم أو خادم API بعناوين IP عامة. يمكنك إضافة مجموعة AKS افتراضية إلى VNet أثناء التوزيع أو إرفاق نظام مجموعة بعد إنشائها.

مجموعات AKS الخاصة تحتوي على وحدة تحكم، والتي لا يمكن الوصول إليها إلا من خلال عناوين IP الخاصة. لابد من إرفاق مجموعات AKS الخاصة بعد إنشاء نظام المجموعة.

للحصول على إرشادات مفصلة حول كيفية إضافة مجموعات افتراضية وخاصة، راجع تأمين بيئة الاستدلال.

بغض النظر عن مجموعة AKS الافتراضية أو مجموعة AKS الخاصة المستخدمة، إذا كانت مجموعة AKS الخاصة بك خلف VNET، يجب أن تحتوي مساحة العمل والموارد المرتبطة بها (التخزين وخزنة المفاتيح وACR) على نقاط نهاية خاصة أو نقاط نهاية خدمة في نفس VNET مثل نظام مجموعة AKS.

الرسم التخطيطي التالي للشبكة يظهر مساحة عمل التعلم الآلي من Azure آمنة مع مجموعة AKS خاصة متصلة بالشبكة الافتراضية.

Diagram showing an attached private AKS cluster.

اختياري: تمكين وصول الجمهور

يمكنك تأمين مساحة العمل خلف شبكة افتراضية باستخدام نقطة نهاية خاصة ولا تزال تسمح بالوصول عبر الإنترنت العام. التكوين الأولي هو نفسه تأمين مساحة العمل والموارد المقترنة.

بعد تأمين مساحة العمل بنقطة نهاية خاصة، استخدم الخطوات التالية لتمكين العملاء من التطوير عن بعد باستخدام SDK أو استديو التعلم الآلي من Azure:

  1. تمكين الوصول العام إلى مساحة العمل.
  2. تكوين جدار حماية تخزين Azure للسماح بالاتصال بعنوان IP للعملاء الذين يتصلون عبر الإنترنت العام.
  1. تمكين الوصول العام إلى مساحة العمل.
  2. تكوين جدار حماية تخزين Azure للسماح بالاتصال بعنوان IP للعملاء الذين يتصلون عبر الإنترنت العام.

اختياريا: قم بتمكين وظيفة الاستوديو

إذا كان تخزينك في VNet، لابد من استخدام خطوات تكوين إضافية لتمكين الوظائف الكاملة في الاستوديو. بشكل افتراضي، يتم تعطيل الميزات التالية:

  • معاينة البيانات في الاستوديو.
  • تصور البيانات في المصمم.
  • توزيع نموذج في المصمم.
  • إرسال تجربة AutoML.
  • بدء مشروع وضع التسميات.

لتمكين وظائف الاستوديو الكاملة، راجع استخدام استديو التعلم الآلي من Azure في شبكة افتراضية.

القيود

تسمية البيانات بمساعدة التعلم الآلي لا تدعم حساب تخزين افتراضي خلف شبكة افتراضية. بدلا من ذلك، استخدم حساب تخزين غير افتراضي لوصف البيانات بمساعدة التعلم الآلي.

تلميح

طالما أنه ليس حساب تخزين افتراضي، يمكن تأمين الحساب المستخدم بواسطة تسمية البيانات خلف الشبكة الافتراضية.

تكوين إعدادات جدار الحماية

تكوين جدار حماية للتحكم في حركة المرور بين موارد مساحة عمل التعلم الآلي من Azure والإنترنت العام. بينما نوصي بجدار حماية Azure، يمكنك استخدام منتجات جدار حماية آخر.

لمزيد من المعلومات حول إعدادات جدار الحماية، راجع استخدام مساحة العمل خلف جدار الحماية.

نظام أسماء مجالات مخصصة

إذا كنت بحاجة إلى استخدام حل DNS مخصص لشبكتك الافتراضية، يجب إضافة سجلات مضيف لمساحة العمل الخاصة بك.

لمزيد من المعلومات حول أسماء المجالات وعناوين IP المطلوبة، راجع كيفية استخدام مساحة عمل مع خادم DNS مخصص.

Microsoft Sentinel

يعد Microsoft Sentinel حل أمان يمكنه أن يتكامل مع التعلم الآلي من Azure. على سبيل المثال، استخدام دفاتر ملاحظات Jupyter المتوفرة من خلال التعلم الآلي من Azure. لمزيد من المعلومات، راجع استخدام دفاتر ملاحظات Jupyter للبحث عن تهديدات الأمان.

الوصول العام

يمكن ل Microsoft Sentinel إنشاء مساحة عمل تلقائيا لك إذا كنت موافقا على نقطة نهاية عامة. في هذا التكوين، يتصل محللو مركز عمليات الأمان (SOC) ومسؤولو النظام بدفاتر الملاحظات في مساحة عملك من خلال Sentinel.

للحصول على معلومات حول هذه العملية، راجع إنشاء مساحة عمل Azure التعلم الآلي من Microsoft Sentinel

Diagram showing Microsoft Sentinel public connection.

نقطة النهاية الخاصة

إذا كنت ترغب في تأمين مساحة العمل والموارد المقترنة في VNet، لابد من إنشاء مساحة عمل التعلم الآلي من Azure أولا. يجب أيضا إنشاء جهاز افتراضي "مربع الانتقال" في نفس VNet مثل مساحة عملك، وتمكين اتصال Azure Bastion به. على غرار التكوين العام، يمكن لمحللي SOC والمسؤولين الاتصال باستخدام Microsoft Sentinel، ولكن يجب تنفيذ بعض العمليات باستخدام Azure Bastion للاتصال بالجهاز الافتراضية.

لمزيد من المعلومات حول هذا التكوين، راجع إنشاء مساحة عمل Azure التعلم الآلي من Microsoft Sentinel

Daigram showing Microsoft Sentinel connection through a VNet.

الخطوات التالية

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة: