تأمين بيئة استدلال التعلم الآلي من Microsoft Azure مع الشبكات الافتراضية
ستتعلم في هذه المقالة كيفية تأمين بيئات الاستدلال (نقاط النهاية المتصلة) باستخدام شبكة افتراضية في التعلم الآلي من Microsoft Azure. هناك خياران للاستدلال يمكن تأمينهما باستخدام VNet:
نقاط نهاية التعلم الآلي من Azure عبر الإنترنت
تلميح
توصي Microsoft باستخدام الشبكات الظاهرية المدارة في Azure التعلم الآلي بدلا من الخطوات الواردة في هذه المقالة عند تأمين نقاط النهاية المدارة عبر الإنترنت. باستخدام شبكة ظاهرية مدارة، يعالج Azure التعلم الآلي مهمة عزل الشبكة لمساحة العمل والحسابات المدارة. يمكنك أيضا إضافة نقاط نهاية خاصة للموارد التي تحتاجها مساحة العمل، مثل حساب تخزين Azure. لمزيد من المعلومات، راجع عزل الشبكة المدارة في مساحة العمل.
Azure Kubernetes Service
تلميح
هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة:
- Virtual network overview
- تأمين موارد مساحة العمل
- تأمين بيئة التدريب
- تمكين وظيفة الاستوديو
- استخدام DNS المخصص
- استخدام جدار حماية
للحصول على برنامج تعليمي حول إنشاء مساحة عمل آمنة، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة أو البرنامج التعليمي: إنشاء مساحة عمل آمنة باستخدام قالب.
المتطلبات الأساسية
اقرأ مقالة نظرة عامة على أمان الشبكة للتعرّف على سيناريوهات الشبكة الظاهرية الشائعة وبنية الشبكة الظاهرية الشاملة.
شبكة ظاهرية وشبكة فرعية موجودة تستخدم لتأمين مساحة عمل Azure التعلم الآلي.
لتوزيع الموارد في شبكة ظاهرية أو شبكة فرعية، يجب أن يكون لحساب المستخدم الخاص بك أذونات للإجراءات التالية في التحكم في الوصول استناداً إلى الدور في Azure (Azure RBAC):
- "Microsoft.Network/*/read" على مورد الشبكة الظاهرية. هذا الإذن غير مطلوب لنشر قالب Azure Resource Manager (ARM).
- "Microsoft.Network/virtualNetworks/join/action" على مورد الشبكة الافتراضية.
- "Microsoft.Network/virtualNetworks/subnets/join/action" على مورد الشبكة الفرعية.
لمزيد من المعلومات حول Azure RBAC مع الشبكات، راجع الأدوار المضمنة في الشبكات
- إذا كنت تستخدم خدمة Azure Kubernetes (AKS)، يجب أن يكون لديك نظام مجموعة AKS موجود مؤمن كما هو موضح في مقالة بيئة الاستدلال الآمنة لخدمة Azure Kubernetes.
تأمين نقاط النهاية المدارة عبر الإنترنت
للحصول على معلومات حول تأمين نقاط النهاية المدارة عبر الإنترنت، راجع مقالة استخدام عزل الشبكة مع نقاط النهاية المدارة عبر الإنترنت.
تأمين نقاط النهاية عبر الإنترنت لخدمة Azure Kubernetes
لاستخدام نظام مجموعة Azure Kubernetes Service للاستدلال الآمن، استخدم الخطوات التالية:
إنشاء أو تكوين بيئة استدلال Kubernetes آمنة.
نشر ملحق Azure التعلم الآلي.
يمكن نشر النموذج باستخدام نقطة نهاية Kubernetes عبر الإنترنت باستخدام CLI v2 وPython SDK v2 وواجهة مستخدم Studio.
- CLI v2 - https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 - https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- واجهة مستخدم Studio - اتبع الخطوات في نشر نقطة النهاية المدارة عبر الإنترنت من خلال Studio. بعد إدخال اسم نقطة النهاية، حدد Kubernetes كنوع الحساب بدلا من Managed.
الحد من الاتصال الصادر من الشبكة الافتراضية
إذا كنت لا تريد استخدام القواعد الصادرة الافتراضية وكنت تريد الحد من الوصول الصادر للشبكة الافتراضية لديك، لابد من السماح بالوصول إلى Azure Container Registry. على سبيل المثال، تأكد من أن مجموعات أمان الشبكة (NSG) تحتوي على قاعدة تسمح بالوصول إلى علامة خدمة AzureContainerRegistry.RegionName حيث يكون `{RegionName} هو اسم منطقة Azure.
الخطوات التالية
هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة: