عزل الشبكة باستخدام سجلات Azure التعلم الآلي

في هذه المقالة، ستتعلم كيفية تأمين سجل Azure التعلم الآلي باستخدام شبكة Azure الظاهرية ونقاط النهاية الخاصة.

توفر نقاط النهاية الخاصة على Azure عزل الشبكة عن طريق تمكين الوصول إلى خدمات Azure من خلال عنوان IP خاص داخل شبكة ظاهرية (VNet). تؤمن الشبكة الظاهرية الاتصالات بين موارد Azure وتمنع تعرض البيانات الحساسة للإنترنت العام.

يؤدي استخدام عزل الشبكة مع نقاط النهاية الخاصة إلى منع حركة مرور الشبكة من الانتقال عبر الإنترنت العام وجلب خدمة تسجيل Azure التعلم الآلي إلى الشبكة الظاهرية. تحدث جميع حركة مرور الشبكة عبر Azure Private Link عند استخدام نقاط النهاية الخاصة.

المتطلبات الأساسية

• سجل التعلم الآلي Azure. لإنشاء سجل، استخدم الخطوات الواردة في مقالة كيفية إنشاء السجلات وإدارتها .
• الإلمام بالمقالات التالية:
  • شبكات Azure الظاهرية‬‏‫
  • شبكات IP
  • مساحة عمل التعلم الآلي من Azure بنقطة نهاية خاصة
  • مجموعات أمان الشبكة (NSG)
  • جدران حماية الشبكة

تأمين سجل azure التعلم الآلي

إشعار

للتبسيط، سنشير إلى مساحة العمل، والموارد المرتبطة بها والشبكة الظاهرية التي تشكل جزءا منها كتكوين مساحة عمل آمنة. سنستكشف كيفية إضافة سجلات التعلم الآلي من Azure كجزء من التكوين الحالي.

يوضح الرسم التخطيطي التالي تكوين شبكة أساسية وكيفية احتواء سجل التعلم الآلي Azure. إذا كنت تستخدم مساحة عمل Azure التعلم الآلي بالفعل ولديك تكوين مساحة عمل آمنة حيث تكون جميع الموارد جزءا من الشبكة الظاهرية، يمكنك إنشاء نقطة نهاية خاصة من الشبكة الظاهرية الموجودة إلى سجل Azure التعلم الآلي والموارد المقترنة بها (التخزين و ACR).

إذا لم يكن لديك تكوين مساحة عمل آمن، يمكنك إنشاؤه باستخدام إنشاء مساحة عمل آمنة في مدخل Microsoft Azure أو إنشاء مساحة عمل آمنة باستخدام مقالات القالب .

القيود

إذا كنت تستخدم سجل Azure التعلم الآلي مع عزل الشبكة، يمكنك عرض أصول النموذج في Azure التعلم الآلي studio. لن تتمكن من عرض أنواع أخرى من الأصول. لن تتمكن من تنفيذ أي عمليات على سجل أو أصول Azure التعلم الآلي ضمنه باستخدام الاستوديو. يرجى استخدام Azure التعلم الآلي CLI أو SDK بدلا من ذلك.

السيناريو: تكوين مساحة العمل آمن وسجل Azure التعلم الآلي عام

يصف هذا القسم السيناريوهات وتكوين الشبكة المطلوب إذا كان لديك تكوين مساحة عمل آمن ولكن باستخدام سجل عام.

إنشاء أصول في السجل من الملفات المحلية

يجب تعيين الهوية (على سبيل المثال، هوية مستخدم Microsoft Entra لعالم البيانات) المستخدمة لإنشاء أصول في السجل إلى دور مستخدم تسجيل AzureML أو مالكه أو مساهمه في التحكم في الوصول المستند إلى الدور في Azure. لمزيد من المعلومات، راجع مقالة إدارة الوصول إلى Azure التعلم الآلي.

مشاركة الأصول من مساحة العمل إلى السجل

إشعار

مشاركة مكون من مساحة عمل Azure التعلم الآلي إلى سجل Azure التعلم الآلي غير مدعوم حاليا.

نظرا لحماية النقل غير المصرح للبيانات، لا يمكن مشاركة أصل من مساحة عمل آمنة إلى سجل عام إذا تم تعطيل الوصول العام لحساب التخزين الذي يحتوي على الأصل. لتمكين مشاركة الأصول من مساحة العمل إلى السجل:

• انتقل إلى قسم Networking في حساب التخزين المرفق بمساحة العمل (حيث تريد السماح بمشاركة الأصول في السجل)
• تعيين الوصول إلى الشبكة العامة إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP
• مرر لأسفل وانتقل إلى قسم Resource instances . حدد نوع المورد إلى Microsoft.MachineLearningServices/registries وقم بتعيين اسم المثيل إلى اسم مورد سجل Azure التعلم الآلي الذي كنت ترغب في تمكين المشاركة إليه من مساحة العمل.
• تأكد من التحقق من بقية الإعدادات وفقا لتكوين الشبكة.

استخدام الأصول من السجل في مساحة العمل

مثال على العمليات:

• إرسال مهمة تستخدم أصل من السجل.
• استخدم مكونا من السجل في البنية الأساسية لبرنامج ربط العمليات التجارية.
• استخدم بيئة من التسجيل في مكون.

يتطلب استخدام الأصول من السجل إلى مساحة عمل آمنة تكوين الوصول الصادر إلى السجل.

نشر نموذج من السجل إلى مساحة العمل

لنشر نموذج من سجل إلى نقطة نهاية آمنة مدارة عبر الإنترنت، يجب أن يكون النشر قد تم تعيينه egress_public_network_access=disabled . يقوم Azure التعلم الآلي بإنشاء نقاط النهاية الخاصة الضرورية إلى السجل أثناء نشر نقطة النهاية. لمزيد من المعلومات، راجع إنشاء نقاط نهاية آمنة مدارة عبر الإنترنت.

تكوين الشبكة الصادرة للوصول إلى أي سجل التعلم الآلي Azure

علامة الخدمة	البروتوكول والمنافذ	الغرض
AzureMachineLearning	TCP: 443، 877، 18881 UDP: 5831	استخدام خدمات التعلم الآلي من Azure.
Storage.<region>	TCP: 443	الوصول إلى البيانات المخزنة في حساب تخزين Azure لمجموعات الحوسبة ومثيلات الحساب. يمكن استخدام هذا الصادر للنقل غير المصرّح للبيانات. لمزيد من المعلومات، راجع حماية النقل غير المصرّح للبيانات.
MicrosoftContainerRegistry.<region>	TCP: 443	الوصول إلى صور Docker التي توفرها Microsoft.
AzureContainerRegistry.<region>	TCP: 443	الوصول إلى صور Docker للبيئات.

السيناريو: تكوين مساحة العمل آمن ويتم توصيل سجل azure التعلم الآلي بالشبكات الظاهرية باستخدام نقاط النهاية الخاصة

يصف هذا القسم السيناريوهات وتكوين الشبكة المطلوب إذا كان لديك تكوين مساحة عمل آمنة مع سجلات Azure التعلم الآلي متصلة باستخدام نقطة نهاية خاصة بشبكة ظاهرية.

يحتوي سجل Azure التعلم الآلي على مثيلات خدمة التخزين/ACR المقترنة. يمكن أيضا توصيل مثيلات الخدمة هذه بالشبكة الظاهرية باستخدام نقاط النهاية الخاصة لتأمين التكوين. لمزيد من المعلومات، راجع قسم كيفية إنشاء نقطة نهاية خاصة.

كيفية العثور على حساب تخزين Azure وسجل حاويات Azure المستخدم من قبل السجل الخاص بك

يتم إنشاء حساب التخزين و ACR المستخدم من قبل سجل Azure التعلم الآلي ضمن مجموعة موارد مدارة في اشتراك Azure الخاص بك. يتبع اسم مجموعة الموارد المدارة نمط azureml-rg-<name-of-your-registry>_<GUID>. المعرف الفريد العمومي هو سلسلة تم إنشاؤها عشوائيا. على سبيل المثال، إذا كان اسم السجل الخاص بك هو "contosoreg"، فسيكون azureml-rg-contosoreg_<GUID>اسم مجموعة الموارد المدارة .

في مدخل Microsoft Azure، يمكنك العثور على مجموعة الموارد هذه عن طريق البحث عن azureml_rg-<name-of-your-registry>. تتوفر جميع موارد التخزين و ACR للسجل الخاص بك ضمن مجموعة الموارد هذه.

إنشاء أصول في السجل من الملفات المحلية

إشعار

إنشاء أصل بيئة غير مدعوم في سجل خاص حيث يكون ACR المقترن معطلا الوصول العام. كحل بديل، يمكنك إنشاء بيئة في مساحة عمل Azure التعلم الآلي ومشاركتها في سجل Azure التعلم الآلي.

يجب أن يكون العملاء متصلين بالشبكة الظاهرية التي يتصل بها السجل بنقطة نهاية خاصة.

الاتصال بسجلك بشكل آمن

للاتصال بسجل مؤمن خلف VNet، استخدم إحدى الطرق التالية:

• بوابة الشبكة الظاهرية الخاصة من Azure - توصيل الشبكات المحلية بشبكة ظاهرية عبر اتصال خاص. يتم إجراء الاتصالات عبر الإنترنت العام. يوجد نوعان من بوابات الشبكة الظاهرية الخاصة التي يمكنك استخدامها:

  • من نقطة إلى موقع: يعمل كل جهاز كمبيوتر عميل على استخدام عميل VPN للاتصال بالشبكة الظاهرية.

  • من موقع إلى موقع: يقوم جهاز الشبكة الظاهرية الخاصة بتوصيل الشبكة الظاهرية بشبكتك المحلية.

• ExpressRoute - يربط الشبكات المحلية بالسحابة عبر اتصال خاص. يتم الاتصال باستخدام موفر الاتصال.

• Azure Bastion - في هذا السيناريو، يقوم بإنشاء جهاز Azure ظاهري (يسمى أحياناً مربع الانتقال) داخل شبكة ظاهرية. ومن ثَم يمكنك الاتصال بالجهاز الظاهري باستخدام Azure Bastion. يسمح لك Bastion بالاتصال بالجهاز الظاهري باستخدام جلسة بروتوكول سطح المكتب البعيد أو SSH من مستعرض الويب المحلي لديك. ومن ثَم يمكنك استخدام مربع الانتقال كبيئة تطوير. نظرا لأنه داخل VNet، يمكنه الوصول مباشرة إلى السجل.

مشاركة الأصول من مساحة العمل إلى السجل

إشعار

مشاركة مكون من مساحة عمل Azure التعلم الآلي إلى سجل Azure التعلم الآلي غير مدعوم حاليا.

نظرا لحماية النقل غير المصرح للبيانات، لا يمكن مشاركة أصل من مساحة عمل آمنة إلى سجل خاص إذا تم تعطيل الوصول العام لحساب التخزين الذي يحتوي على الأصل. لتمكين مشاركة الأصول من مساحة العمل إلى السجل:

• انتقل إلى قسم Networking في حساب التخزين المرفق بمساحة العمل (حيث تريد السماح بمشاركة الأصول في السجل)
• تعيين الوصول إلى الشبكة العامة إلى ممكن من الشبكات الظاهرية المحددة وعناوين IP
• مرر لأسفل وانتقل إلى قسم Resource instances . حدد نوع المورد إلى Microsoft.MachineLearningServices/registries وقم بتعيين اسم المثيل إلى اسم مورد سجل Azure التعلم الآلي الذي كنت ترغب في تمكين المشاركة إليه من مساحة العمل.
• تأكد من التحقق من بقية الإعدادات وفقا لتكوين الشبكة.

استخدام الأصول من السجل في مساحة العمل

مثال على العمليات:

• إرسال مهمة تستخدم أصل من السجل.
• استخدم مكونا من السجل في البنية الأساسية لبرنامج ربط العمليات التجارية.
• استخدم بيئة من التسجيل في مكون.

إنشاء نقطة نهاية خاصة إلى السجل والتخزين و ACR من VNet لمساحة العمل. إذا كنت تحاول الاتصال بسجلات متعددة، فقم بإنشاء نقطة نهاية خاصة لكل سجل والتخزين المقترن و ACRs. لمزيد من المعلومات، راجع قسم كيفية إنشاء نقطة نهاية خاصة.

نشر نموذج من السجل إلى مساحة العمل

لنشر نموذج من سجل إلى نقطة نهاية آمنة مدارة عبر الإنترنت، يجب أن يكون النشر قد تم تعيينه egress_public_network_access=disabled . يقوم Azure التعلم الآلي بإنشاء نقاط النهاية الخاصة الضرورية إلى السجل أثناء نشر نقطة النهاية. لمزيد من المعلومات، راجع إنشاء نقاط نهاية آمنة مدارة عبر الإنترنت.

كيفية إنشاء نقطة نهاية خاصة

استخدم علامات التبويب لعرض الإرشادات لإضافة نقطة نهاية خاصة إلى سجل موجود أو إنشاء سجل جديد يحتوي على نقطة نهاية خاصة:

السجل الحالي

1. في مدخل Microsoft Azure، ابحث عن نقطة النهاية الخاصة، وحدد إدخال نقاط النهاية الخاصة للانتقال إلى مركز الارتباطات الخاصة.

2. في صفحة نظرة عامة على مركز الارتباطات الخاصة، حدد + إنشاء.

3. قم بتوفير المعلومات المطلوبة. بالنسبة للحقل Region ، حدد نفس المنطقة مثل شبكة Azure الظاهرية. حدد التالي.

4. من علامة التبويب Resource ، عند تحديد Resource type، حدد Microsoft.MachineLearningServices/registries. قم بتعيين حقل Resource إلى اسم سجل Azure التعلم الآلي، ثم حدد Next.

5. من علامة التبويب Virtual network، حدد الشبكة الظاهرية والشبكة الفرعية لموارد Azure التعلم الآلي. حدد التالي للمتابعة.

6. من علامة التبويب DNS، اترك القيم الافتراضية ما لم يكن لديك متطلبات تكامل DNS خاصة محددة. حدد التالي للمتابعة.

7. من علامة التبويب Review + Create، حدد Create لإنشاء نقطة النهاية الخاصة.

8. إذا كنت ترغب في تعيين الوصول إلى الشبكة العامة إلى معطل، فاستخدم الأمر التالي. تأكد من أن التخزين و ACR قد تم تعطيل الوصول إلى الشبكة العامة أيضا.

   az ml registry update --set publicNetworkAccess=Disabled --name <name-of-registry>
   

سجل جديد

1. عند إنشاء سجل جديد في مدخل Microsoft Azure، حدد تعطيل الوصول العام واستخدام نقاط النهاية الخاصة في علامة التبويب Networking .
2. حدد إضافة ضمن نقطة النهاية الخاصة وقدم المعلومات المطلوبة.
3. حدد الشبكة الظاهرية والشبكة الفرعية لموارد Azure التعلم الآلي.
4. حدد بقية الخيارات، ثم حدد موافق.
5. إنهاء عملية إنشاء السجل. بمجرد انتهاء الإنشاء، يتم تكوين السجل الجديد لاستخدام نقطة نهاية خاصة للاتصال بالشبكة الظاهرية.

كيفية العثور على حساب تخزين Azure وسجل حاويات Azure المستخدم من قبل السجل الخاص بك

يتم إنشاء حساب التخزين و ACR المستخدم من قبل سجل Azure التعلم الآلي ضمن مجموعة موارد مدارة في اشتراك Azure الخاص بك. يتبع اسم مجموعة الموارد المدارة نمط azureml-rg-<name-of-your-registry>_<GUID>. المعرف الفريد العمومي هو سلسلة تم إنشاؤها عشوائيا. على سبيل المثال، إذا كان اسم السجل الخاص بك هو "contosoreg"، فسيكون azureml-rg-contosoreg_<GUID>اسم مجموعة الموارد المدارة .

في مدخل Microsoft Azure، يمكنك العثور على مجموعة الموارد هذه عن طريق البحث عن azureml_rg-<name-of-your-registry>. تتوفر جميع موارد التخزين و ACR للسجل الخاص بك ضمن مجموعة الموارد هذه.

كيفية إنشاء نقطة نهاية خاصة لحساب تخزين Azure

لإنشاء نقطة نهاية خاصة لحساب التخزين المستخدم من قبل السجل الخاص بك، استخدم الخطوات التالية:

1. في مدخل Microsoft Azure، ابحث عن نقطة النهاية الخاصة، وحدد إدخال نقاط النهاية الخاصة للانتقال إلى مركز الارتباطات الخاصة.
2. في صفحة نظرة عامة على مركز الارتباطات الخاصة، حدد + إنشاء.
3. قم بتوفير المعلومات المطلوبة. بالنسبة للحقل Region ، حدد نفس المنطقة مثل شبكة Azure الظاهرية. حدد التالي.
4. من علامة التبويب Resource ، عند تحديد Resource type، حدد Microsoft.Storage/storageAccounts. تعيين حقل المورد إلى اسم حساب التخزين. قم بتعيين المورد الفرعي إلى Blob، ثم حدد التالي.
5. من علامة التبويب Virtual network، حدد الشبكة الظاهرية والشبكة الفرعية لموارد Azure التعلم الآلي. حدد التالي للمتابعة.
6. من علامة التبويب DNS، اترك القيم الافتراضية ما لم يكن لديك متطلبات تكامل DNS خاصة محددة. حدد التالي للمتابعة.
7. من علامة التبويب Review + Create، حدد Create لإنشاء نقطة النهاية الخاصة.

حماية تسرب البيانات

بالنسبة لمستخدم قام بإنشاء سجل Azure التعلم الآلي، نوصي باستخدام نقطة نهاية خاصة للسجل وحساب التخزين المدار و ACR المدار.

بالنسبة إلى سجل النظام، نوصي بإنشاء نهج نقطة نهاية الخدمة لحساب التخزين باستخدام /services/Azure/MachineLearning الاسم المستعار. لمزيد من المعلومات، راجع تكوين منع النقل غير المصرح للبيانات.

كيفية العثور على اسم المجال المؤهل بالكامل للسجل

توضح الأمثلة التالية كيفية استخدام عنوان URL للاكتشاف للحصول على اسم المجال المؤهل بالكامل (FQDN) للسجل الخاص بك. عند استدعاء عنوان URL للاكتشاف، يجب توفير رمز مميز للوصول إلى Azure في عنوان الطلب. توضح الأمثلة التالية كيفية الحصول على رمز مميز للوصول واستدعاء عنوان URL للاكتشاف:

تلميح

تنسيق عنوان URL للاكتشاف هو https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery، حيث <region> هو المنطقة التي يوجد <registry_name> فيها السجل الخاص بك وهو اسم السجل الخاص بك. للاتصال بعنوان URL، قم بإجراء طلب GET:

   GET https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery 

• Azure PowerShell

$region = "<region>"
$registryName = "<registry_name>"
$accessToken = (az account get-access-token | ConvertFrom-Json).accessToken 
(Invoke-RestMethod -Method Get `
                   -Uri "https://$region.api.azureml.ms/registrymanagement/v1.0/registries/$registryName/discovery" `
                   -Headers @{ Authorization="Bearer $accessToken" }).registryFqdns

• واجهة برمجة التطبيقات REST

إشعار

لمزيد من المعلومات حول استخدام واجهات برمجة تطبيقات AZURE REST، راجع مرجع Azure REST API.

1. احصل على الرمز المميز للوصول إلى Azure. يمكنك استخدام أمر Azure CLI التالي للحصول على رمز مميز:

   az account get-access-token --query accessToken
   

2. استخدم عميل REST مثل Curl لتقديم طلب GET إلى عنوان URL للاكتشاف. استخدم رمز الوصول الذي تم استرداده في الخطوة السابقة للتخويل. في المثال التالي، استبدل <region> بالمنطقة التي يوجد فيها السجل الخاص بك واسم <registry_name> السجل الخاص بك. استبدل <token> برمز الوصول الذي تم استرداده في الخطوة السابقة:

   curl -X GET "https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery" -H "Authorization: Bearer <token>" -H "Content-Type: application/json"
   

الخطوة التالية

تعرف على كيفية مشاركة النماذج والمكونات والبيئات عبر مساحات العمل باستخدام السجلات.