تأمين مساحة عمل التعلم الآلي من Microsoft Azure باستخدام الشبكات الظاهرية

ينطبق على:ملحق ML Azure CLI v2 (الحالي)Python SDK azure-ai-ml v2 (الحالي)

تلميح

توصي Microsoft باستخدام Azure التعلم الآلي الشبكات الظاهرية المدارة بدلا من الخطوات الواردة في هذه المقالة. باستخدام شبكة ظاهرية مدارة، يعالج Azure التعلم الآلي مهمة عزل الشبكة لمساحة العمل والحسابات المدارة. يمكنك أيضا إضافة نقاط نهاية خاصة للموارد التي تحتاجها مساحة العمل، مثل حساب تخزين Azure. لمزيد من المعلومات، راجع عزل الشبكة المدارة في مساحة العمل.

في هذه المقالة، ستتعلم كيفية تأمين مساحة عمل Azure التعلم الآلي والموارد المقترنة بها في شبكة Azure الظاهرية.

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة:

للحصول على برنامج تعليمي حول إنشاء مساحة عمل آمنة، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة أو البرنامج التعليمي: إنشاء مساحة عمل آمنة باستخدام قالب.

في هذه المقالة، ستتعلم كيفية تمكين موارد مساحات العمل التالية في شبكة ظاهرية:

  • مساحة عمل Azure Machine Learning
  • حسابات تخزين Azure
  • Azure Key Vault
  • Azure Container Registry

المتطلبات الأساسية

  • اقرأ مقالة نظرة عامة على أمان الشبكة للتعرّف على سيناريوهات الشبكة الظاهرية الشائعة وبنية الشبكة الظاهرية الشاملة.

  • اقرأ مقالة أفضل ممارسات التعلم الآلي من Microsoft Azure لأمان المؤسسة للتعرّف على أفضل الممارسات.

  • شبكة ظاهرية وشبكة فرعية موجودة لاستخدامها مع موارد الحوسبة الخاصة بك.

    تحذير

    لا تستخدم نطاق عناوين IP 172.17.0.0/16 للشبكة الظاهرية الخاصة بك. هذا هو نطاق الشبكة الفرعية الافتراضي الذي تستخدمه شبكة جسر Docker، وسينتج عنه أخطاء إذا تم استخدامها للشبكة الظاهرية الخاصة بك. ربما تتعارض النطاقات الأخرى أيضاً اعتمادا على ما تريد الاتصال بالشبكة الظاهرية. على سبيل المثال، إذا كنت تخطط لتوصيل شبكة محلية بشبكة ظاهرية، وتستخدم الشبكة المحلية أيضا النطاق 172.16.0.0/16. في نهاية المطاف، الأمر يرجع إليك لتخطيط البنية الأساسية للشبكة.

  • لتوزيع الموارد في شبكة ظاهرية أو شبكة فرعية، يجب أن يكون لحساب المستخدم الخاص بك أذونات للإجراءات التالية في التحكم في الوصول استناداً إلى الدور في Azure (Azure RBAC):

    • "Microsoft.Network/*/read" على مورد الشبكة الظاهرية. هذا الإذن غير مطلوب لنشر قالب Azure Resource Manager (ARM).
    • "Microsoft.Network/virtualNetworks/join/action" على مورد الشبكة الافتراضية.
    • "Microsoft.Network/virtualNetworks/subnets/join/action" على مورد الشبكة الفرعية.

    لمزيد من المعلومات حول Azure RBAC مع الشبكات، راجع الأدوار المضمنة في الشبكات

Azure Container Registry

  • يجب أن يكون Azure Container Registry الخاص بك إصداراً مميزاً. لمزيد من المعلومات حول الترقية، راجع تغيير وحدات SKU.

  • إذا كان Azure Container Registry يستخدم نقطة نهاية خاصة، نوصي بأن يكون في نفس الشبكة الظاهرية مثل حساب التخزين وأهداف الحساب المستخدمة للتدريب أو الاستدلال. ومع ذلك يمكن أن يكون أيضا في شبكة ظاهرية نظيرة .

    إذا كان يستخدم نقطة نهاية خدمة، يجب أن يكون في نفس الشبكة الظاهريةوالشبكة الفرعية مثل حساب التخزين وأهداف الحساب.

  • يجب أن تحتوي مساحة عمل التعلم الآلي من Microsoft Azure على نظام مجموعة حساب التعلم الآلي من Microsoft Azure.

القيود

حساب مخزن Azure

  • إذا كنت تخطط لاستخدام Azure التعلم الآلي studio وكان حساب التخزين أيضا في الشبكة الظاهرية، فهناك متطلبات إضافية للتحقق من الصحة:

    • إذا كان حساب التخزين يستخدم نقطة نهاية خدمة، يجب أن تكون نقطة النهاية الخاصة لمساحة العمل ونقطة نهاية خدمة التخزين في نفس الشبكة الفرعية للشبكة الظاهرية.
    • إذا كان حساب التخزين يستخدم نقطة نهاية خاصة، يجب أن تكون نقطة النهاية الخاصة لمساحة العمل ونقطة النهاية الخاصة للتخزين في نفس الشبكة الظاهرية. في هذه الحالة، يمكن أن تكون في شبكات فرعية مختلفة.

مثيلات حاوية Azure

عند تكوين مساحة عمل Azure التعلم الآلي بنقطة نهاية خاصة، لا يتم دعم النشر إلى مثيلات حاوية Azure في شبكة ظاهرية. بدلًا من ذلك، ضع في اعتبارك استخدام نقطة نهاية مدارة عبر الإنترنت مع عزل الشبكة.

Azure Container Registry

عند تكوين مساحة عمل Azure التعلم الآلي أو أي مورد بنقطة نهاية خاصة، قد يلزم إعداد نظام مجموعة حساب مدارة من قبل المستخدم لإنشاء صور بيئة AzureML. السيناريو الافتراضي هو الاستفادة من الحوسبة بلا خادم والمقصود حاليا للسيناريوهات التي لا توجد قيود على الشبكة على الموارد المقترنة بمساحة عمل AzureML.

هام

يجب أن تكون مجموعة الحساب المستخدمة لإنشاء صور Docker قادرة على الوصول إلى مستودعات الحزمة المستخدمة لتدريب نماذجك وتوزيعها. قد تحتاج إلى إضافة قواعد أمان الشبكة التي تسمح بالوصول إلى المستودعات العامة، أو استخدام حزم Python الخاصة، أو استخدام صور Docker المخصصة (SDK v1) التي تتضمن بالفعل الحزم.

تحذير

إذا كان Azure Container Registry يستخدم نقطة نهاية خاصة أو نقطة تقديم الخدمة للاتصال بالشبكة الظاهرية، فلا يمكنك استخدام هوية مُدارة مع نظام مجموعة حساب التعلم الآلي من Microsoft Azure.

Azure Monitor

تحذير

يدعم Azure Monitor استخدام Azure Private Link للاتصال بشبكة ظاهرية. ومع ذلك، يجب استخدام وضع Private Link المفتوح في Azure Monitor. لمزيد من المعلومات، راجع أوضاع الوصول إلى Private Link: الخاص فقط مقابل المفتوح.

يعد الوصول العام إلى الإنترنت مطلوب

يتطلب التعلم الآلي من Azure الوصول الوارد والصادر إلى الإنترنت العام. توفر الجداول التالية نظرة عامة على الوصول المطلوب والغرض الذي يخدمه. أما بالنسبة لعلامات الخدمة التي تنتهي بـ.region، استبدل region بمنطقة Azure التي تحتوي على مساحة العمل الخاصة بك. على سبيل المثال، Storage.westus:

تلميح

تسرد علامة التبويب المطلوبة التكوين الوارد والصادر المطلوب. تسرد علامة التبويب الظرفية التكوينات الاختيارية الواردة والصادرة المطلوبة بواسطة تكوينات معينة قد ترغب في تمكينها.

الاتجاه البروتوكول
منافذ
علامة الخدمة الغرض
صادر TCP: 80، 443 AzureActiveDirectory المصادقة باستخدام معرف Microsoft Entra.
صادر TCP: 443، 18881
UDP: 5831
AzureMachineLearning استخدام خدمات التعلم الآلي من Azure.
يستخدم Python intellisense في دفاتر الملاحظات المنفذ 18881.
يستخدم إنشاء مثيل حساب Azure التعلم الآلي وتحديثه وحذفه المنفذ 5831.
صادر أي: 443 BatchNodeManagement.region الاتصال بالواجهة الخلفية ل Azure Batch لمثيلات/مجموعات حساب Azure التعلم الآلي.
صادر TCP: 443 AzureResourceManager إنشاء موارد Azure باستخدام Azure التعلم الآلي وAzure CLI وAzure التعلم الآلي SDK.
صادر TCP: 443 Storage.region الوصول إلى البيانات المخزنة في حساب تخزين Azure لنظام مجموعة الحساب ومثيل الحساب. للحصول على معلومات حول منع تسرب البيانات عبر هذه الصادرة، راجع حماية النقل غير المصرح للبيانات.
صادر TCP: 443 AzureFrontDoor.FrontEnd
* غير مطلوب في Microsoft Azure التي تديرها 21Vianet.
نقطة الإدخال العمومية لـاستوديو Azure التعلم الآلي في. عملية تخزين الصور والبيئات لـ AutoML. للحصول على معلومات حول منع تسرب البيانات عبر هذه الصادرة، راجع حماية النقل غير المصرح للبيانات.
صادر TCP: 443 MicrosoftContainerRegistry.region
لاحظ أن هذه العلامة لها تبعية على العلامة AzureFrontDoor.FirstParty
قم بالوصول إلى صور عامل الإرساء المقدمة من Microsoft. قم بإعداد موجه التعلم الآلي من Azure لخدمة Azure Kubernetes.

تلميح

في حالة كنت بحاجة إلى عناوين IP بدلًا من علامات الخدمة، فيمكنك استخدام أحد الخيارات التالية:

من المحتمل أن تتغير عناوين IP بشكل دوري.

قد تحتاج أيضًا إلى السماح بنسبة استخدام الشبكة الصادرة إلى تعليمات Visual Studio البرمجية والمواقع غير التابعة لـMicrosoft لتثبيت الحزم المطلوبة من قبل مشروع التعلم الآلي الخاص بك. يسرد الجدول التالي المستودعات شائعة الاستخدام للتعلم الآلي:

اسم المضيف الغرض
anaconda.com
*.anaconda.com
تستخدم لتثبيت الحزم الافتراضية.
*.anaconda.org تستخدم للحصول على بيانات المستودع.
pypi.org يُستخدم لسرد التبعيات من الفهرس الافتراضي، إن وجد، ولا تتم الكتابة فوق الفهرس بواسطة إعدادات المستخدم. إذا تم الكتابة فوق الفهرس، فيجب عليك أيضا السماح .*.pythonhosted.org
cloud.r-project.org يتم استخدامه عند تثبيت حزم CRAN لتطوير R.
*.pytorch.org يتم استخدامه من قبل بعض الأمثلة استنادًا إلى PyTorch.
*.tensorflow.org يتم استخدامه من قبل بعض الأمثلة استنادًا إلى Tensorflow.
code.visualstudio.com مطلوب لتنزيل وتثبيت Visual Studio Code لسطح المكتب. هذا غير مطلوب ل Visual Studio Code Web.
update.code.visualstudio.com
*.vo.msecnd.net
يستخدم لاسترداد وحدات بت خادم Visual Studio Code المثبتة على مثيل الحساب من خلال برنامج نصي للإعداد.
marketplace.visualstudio.com
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
مطلوب لتنزيل وتثبيت ملحقات Visual Studio Code. يقوم هؤلاء المضيفون بتمكين الاتصال عن بعد بمثيلات الحوسبة التي يوفرها ملحق التعلم الآلي من Azure ل Visual Studio Code. لمزيد من المعلومات، راجع الاتصال إلى مثيل حساب Azure التعلم الآلي في Visual Studio Code.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* يتم استخدامه لاسترداد بتات خادم websocket، والتي يتم تثبيتها على مثيل الحوسبة. يتم استخدام خادم websocket لإرسال الطلبات من عميل Visual Studio Code (تطبيق سطح المكتب) إلى خادم Visual Studio Code الذي يعمل على مثيل الحساب.

إشعار

عند استخدام ملحق Azure التعلم الآلي VS Code، سيتطلب مثيل الحساب البعيد وصولا إلى المستودعات العامة لتثبيت الحزم المطلوبة من قبل الملحق. إذا كان مثيل الحساب يتطلب وكيلا للوصول إلى هذه المستودعات العامة أو الإنترنت، فستحتاج إلى تعيين وتصدير متغيرات البيئة و HTTP_PROXYHTTPS_PROXY في ~/.bashrc ملف مثيل الحساب. يمكن أتمتة هذه العملية في وقت التوفير باستخدام برنامج نصي مخصص.

عند استخدام خدمة Azure Kubernetes (AKS) مع التعلم الآلي من Azure، قم بالسماح بنسبة استخدام الشبكة التالية إلى شبكة AKS الظاهرية:

للحصول على معلومات حول استخدام حل جدار الحماية، راجع تكوين اتصال الإدخال والإخراج المطلوب.

تأمين مساحة العمل باستخدام نقطة النهاية الخاصة

يتيح لك Azure Private Link الاتصال بمساحة العمل باستخدام نقطة نهاية خاصة. إن نقطة النهاية الخاصة عبارة عن مجموعة من عناوين IP الخاصة في شبكة فرعية داخل شبكتك الظاهرية. ويمكنك بعد ذلك تقييد الوصول إلى مساحة عملك لتحدث فقط عبر عناوين IP الخاصة. تساعد نقطة النهاية الخاصة على تقليل مخاطر النقل غير المصرح للبيانات.

لمزيد من المعلومات حول تكوين نقطة نهاية خاصة لمساحة عملك، راجع كيفية تكوين نقطة نهاية خاصة.

تحذير

لا يضمن تأمين مساحة عمل بنقاط نهاية خاصة الأمان من طرف إلى طرف في حد ذاته. يجب اتباع الخطوات الواردة في بقية هذه المقالة، وسلسلة الشبكة الظاهرية، لتأمين المكونات الفردية للحل الخاص بك. على سبيل المثال، إذا كنت تستخدم نقطة نهاية خاصة لمساحة العمل، ولكن حساب تخزين Azure الخاص بك ليس خلف VNet، فلن تستخدم نسبة استخدام الشبكة بين مساحة العمل والتخزين VNet للأمان.

تأمين حسابات Azure Storage

يدعم التعلم الآلي من Microsoft Azure حسابات التخزين التي تم تكوينها لاستخدام نقطة نهاية خاصة أو نقطة تقديم خدمة.

  1. في مدخل Microsoft Azure، حدد حسابك على Azure Storage.

  2. استخدم المعلومات في استخدام نقاط النهاية الخاصة على Azure Storage لإضافة نقاط نهاية خاصة لموارد التخزين التالية:

    • النقطه
    • ملف
    • قائمة الانتظار - مطلوبة فقط إذا كنت تخطط لاستخدام نقاط النهاية الدفعية أو ParallelRunStep في البنية الأساسية لبرنامج ربط العمليات التجارية التعلم الآلي Azure.
    • الجدول - مطلوب فقط إذا كنت تخطط لاستخدام نقاط النهاية الدفعية أو ParallelRunStep في البنية الأساسية لبرنامج ربط العمليات التجارية التعلم الآلي Azure.

    Screenshot showing private endpoint configuration page with blob and file options

    تلميح

    عند تكوين حساب تخزين بخلاف التخزين الافتراضي، حدد نوع Target subresource الذي يتوافق مع حساب التخزين الذي تريد إضافته.

  3. بعد إنشاء نقاط النهاية الخاصة لموارد التخزين، حدد علامة التبويب Firewalls and virtual networks ضمن Networking لحساب التخزين.

  4. حدد Selected networks، ثم ضمن Resource instances، حدد Microsoft.MachineLearningServices/Workspace باعتباره Resource type. حدد مساحة العمل باستخدام Instance name. لمزيد من المعلومات، راجع الوصول الموثوق استناداً إلى الهوية المُدارة المعينة من قِبل النظام.

    تلميح

    بدلاً من ذلك، يمكنك تحديد السماح لخدمات Azure في قائمة الخدمات الموثوقة بالوصول إلى حساب التخزين هذا للسماح بشكل أوسع بالوصول من الخدمات الموثوقة. لمزيد من المعلومات، انظر تكوين جدار حماية التخزين والشبكات الظاهرية في Azure

    The networking area on the Azure Storage page in the Azure portal when using private endpoint

  5. حدد حفظ لحفظ التكوين.

تلميح

عند استخدام نقطة نهاية خاصة، يمكنك أيضا تعطيل الوصول المجهول. لمزيد من المعلومات، راجع عدم السماح بالوصول المجهول.

تأمين Azure Key Vault

يستخدم التعلم الآلي من Microsoft Azure مثيل Key Vault مقترن لتخزين بيانات الاعتماد التالية:

  • سلسلة اتصال حساب التخزين المقترنة
  • كلمات المرور لمثيلات مستودع حاوية Azure
  • سلاسل الاتصال بمخازن البيانات

يمكن تكوين Azure Key Vault لاستخدام نقطة نهاية خاصة أو نقطة تقديم خدمة. لاستخدام قدرات إجراء تجارب التعلم الآلي من Microsoft Azure مع Azure Key Vault خلف شبكة ظاهرية، استخدم الخطوات التالية:

تلميح

نوصي بأن يكون مخزن المفاتيح في نفس الشبكة الظاهرية مثل مساحة العمل، ولكن يمكن أن يكون في شبكة ظاهرية نظيرة .

للحصول على معلومات حول استخدام نقطة نهاية خاصة مع Azure Key Vault، راجع دمج Key Vault مع Azure Private Link.

سجل Azure Container Registry (ACR)

تلميح

إذا لم تستخدم Azure Container Registry موجود عند إنشاء مساحة العمل، فقد لا يكون موجوداً. بشكل افتراضي، لن تنشئ مساحة العمل مثيل ACR حتى تحتاج إلى مثيل. لفرض إنشاء نموذج، قم بتدريب نموذج أو توزيعه باستخدام مساحة عملك قبل استخدام الخطوات الواردة في هذا القسم.

يمكن تكوين Azure Container Registry لاستخدام نقطة نهاية خاصة. استخدم الخطوات التالية لتكوين مساحة عملك لاستخدام ACR عندما تكون في الشبكة الظاهرية:

  1. ابحث عن اسم Azure Container Registry لمساحة عملك، باستخدام إحدى الطرق التالية:

    ينطبق على:ملحق CLI للتعلم الآلي من Microsoft Azure v2 (الحالي)

    إذا قمت بتثبيت الإصدار 2 من ملحق التعلم الآلي لـ Azure CLI، يمكنك استخدام الأمر az ml workspace show لإظهار معلومات مساحة العمل. لا يرجع ملحق v1 هذه المعلومات.

    az ml workspace show -n yourworkspacename -g resourcegroupname --query 'container_registry'
    

    يقوم هذا الأمر بإرجاع قيمة مشابهة لـ "/subscriptions/{GUID}/resourceGroups/{resourcegroupname}/providers/Microsoft.ContainerRegistry/registries/{ACRname}". الجزء الأخير من السلسلة هو اسم Azure Container Registry لمساحة العمل.

  2. تقييد الوصول إلى شبكتك الظاهرية باستخدام الخطوات الواردة في الاتصال بشكل خاص إلى Azure Container Registry. عند إضافة الشبكة الظاهرية، حدد الشبكة الظاهرية والشبكة الفرعية لموارد التعلم الآلي من Microsoft Azure.

  3. تكوين ACR لمساحة العمل للسماح بالوصول بواسطة الخدمات الموثوقة.

  4. إنشاء نظام مجموعة لحساب التعلم الآلي من Azure. يتم استخدام هذه المجموعة لإنشاء صور Docker عندما يكون ACR خلف شبكة ظاهرية. لمزيد من المعلومات، راجع إنشاء نظام مجموعة حساب.

  5. استخدم إحدى الطرق التالية لتكوين مساحة العمل لإنشاء صور Docker باستخدام نظام مجموعة الحساب.

    هام

    تنطبق القيود التالية عند استخدام نظام مجموعة حساب لعمليات إنشاء الصور:

    • يتم دعم وحدة SKU لوحدة CPU فقط.
    • إذا كنت تستخدم نظام مجموعة حساب تم تكوينه بدون عنوان IP عام، يتعين توفير بعض الطرق لنظام المجموعة للوصول إلى الإنترنت العام. يلزم الوصول إلى الإنترنت عند الوصول إلى الصور المخزنة على سجل حاوية Microsoft، والحزم المثبتة على Pypi وConda وما إلى ذلك. تحتاج إلى تكوين التوجيه المعرّف من قبل المستخدم (UDR) للوصول إلى عنوان IP عام للوصول إلى الإنترنت. على سبيل المثال، يمكنك استخدام عنوان IP العام لجدار الحماية الخاص بك، أو يمكنك استخدام NAT شبكة ظاهرية مع IP عام. لمزيد من المعلومات، راجع كيفية التدريب بأمان في شبكة ظاهرية.

    يمكنك استخدام الأمر az ml workspace update لتعيين حساب إنشاء. لا يتغير الأمر لكل من ملحقات الإصدار 1 و2 من ملحقات Azure CLI للتعلم الآلي. في الأمر التالي، استبدل myworkspace باسم مساحة العمل، وmyresourcegroup بمجموعة الموارد التي تحتوي على مساحة العمل، وmycomputecluster باسم مجموعة الحساب:

    az ml workspace update --name myworkspace --resource-group myresourcegroup --image-build-compute mycomputecluster
    

تلميح

عندما يكون ACR خلف الشبكة الظاهرية، يمكنك أيضاً تعطيل الوصول العام إليه.

تأمين Azure Monitor وApplication Insights

لتمكين عزل الشبكة ل Azure Monitor ومثيل Application Insights لمساحة العمل، استخدم الخطوات التالية:

  1. افتح مورد Application Insights في مدخل Microsoft Azure. قد تحتوي علامة التبويب Overview على خاصية Workspace أو لا تحتوي عليها. إذا لم يكن لديه الخاصية ، فنفذ الخطوة 2. إذا كان الأمر كذلك، فيمكنك المتابعة مباشرة إلى الخطوة 3.

    تلميح

    تنشئ مساحات العمل الجديدة مورد Application Insights المستند إلى مساحة العمل بشكل افتراضي. إذا تم إنشاء مساحة العمل الخاصة بك مؤخرا، فلن تحتاج إلى تنفيذ الخطوة 2.

  2. ترقية مثيل Application Insights لمساحة العمل الخاصة بك. للحصول على خطوات حول كيفية الترقية، راجع الترحيل إلى موارد Application Insights المستندة إلى مساحة العمل.

  3. إنشاء Azure Monitor Private Link Scope وإضافة مثيل Application Insights من الخطوة 1 إلى النطاق. لمزيد من المعلومات، راجع تكوين الارتباط الخاص ب Azure Monitor.

الاتصال بمساحة العمل الخاصة بك بشكل آمن

للاتصال بمساحة عمل مؤمنة خلف شبكة ظاهرية، استخدم إحدى الأساليب التالية:

  • بوابة الشبكة الظاهرية الخاصة من Azure - توصيل الشبكات المحلية بشبكة ظاهرية عبر اتصال خاص. يتم إجراء الاتصالات عبر الإنترنت العام. يوجد نوعان من بوابات الشبكة الظاهرية الخاصة التي يمكنك استخدامها:

    • من نقطة إلى موقع: يعمل كل جهاز كمبيوتر عميل على استخدام عميل VPN للاتصال بالشبكة الظاهرية.
    • من موقع إلى موقع: يقوم جهاز الشبكة الظاهرية الخاصة بتوصيل الشبكة الظاهرية بشبكتك المحلية.
  • ExpressRoute - يربط الشبكات المحلية بالسحابة عبر اتصال خاص. يتم الاتصال باستخدام موفر الاتصال.

  • Azure Bastion - في هذا السيناريو، يقوم بإنشاء جهاز Azure ظاهري (يسمى أحياناً مربع الانتقال) داخل شبكة ظاهرية. ومن ثَم يمكنك الاتصال بالجهاز الظاهري باستخدام Azure Bastion. يسمح لك Bastion بالاتصال بالجهاز الظاهري باستخدام جلسة بروتوكول سطح المكتب البعيد أو SSH من مستعرض الويب المحلي لديك. ومن ثَم يمكنك استخدام مربع الانتقال كبيئة تطوير. ونظراً إلى وجوده داخل الشبكة الظاهرية، يمكنه الوصول مباشرة إلى مساحة العمل. للحصول على مثال لاستخدام مربع الانتقال السريع، راجع البرنامج التعليمي: إنشاء مساحة عمل آمنة.

هام

عند استخدام بوابة VPN أو ExpressRoute، سوف تحتاج إلى تخطيط كيفية عمل تحليل الاسم بين الموارد المحلية والموارد الموجودة في الشبكة الظاهرية. لمزيد من المعلومات، قم بمراجعة استخدام خادم DNS مخصص.

إذا كنت تواجه أي مشكلات في الاتصال بمساحة العمل، فراجع استكشاف أخطاء اتصال مساحة العمل الآمنة وإصلاحها.

تشخيصات مساحة العمل

يمكنك تشغيل التشخيصات في مساحة عملك من استوديو التعلم الآلي من Azure أو Python SDK. بعد تشغيل التشخيص، تُرجع قائمة بأي مشكلات يُكشَف عنها. وتشمل هذه القائمة ارتباطات إلى الحلول الممكنة. لمزيد من المعلومات، راجع كيفية استخدام تشخيصات مساحة العمل.

الوصول العام إلى مساحة العمل

هام

في حين أن هذا تكوين مدعوم ل Azure التعلم الآلي، لا توصي Microsoft بذلك. يجب التحقق من هذا التكوين مع فريق الأمان قبل استخدامه في الإنتاج.

في بعض الحالات، قد تحتاج إلى السماح بالوصول إلى مساحة العمل من الشبكة العامة (دون الاتصال عبر الشبكة الظاهرية باستخدام الأساليب المفصلة في قسم الاتصال الآمن بمساحة العمل). يتم تأمين الوصول عبر الإنترنت العام باستخدام TLS.

لتمكين الوصول إلى الشبكة العامة إلى مساحة العمل، استخدم الخطوات التالية:

  1. تمكين الوصول العام إلى مساحة العمل بعد تكوين نقطة النهاية الخاصة بمساحة العمل.
  2. تكوين جدار حماية تخزين Azure للسماح بالاتصال بعنوان IP للعملاء الذين يتصلون عبر الإنترنت العام. قد تحتاج إلى تغيير عنوان IP المسموح به إذا لم يكن لدى العملاء عنوان IP ثابت. على سبيل المثال، إذا كان أحد علماء البيانات يعمل من المنزل ولا يمكنه إنشاء اتصال VPN بالشبكة الظاهرية.

الخطوات التالية

هذه المقالة هي جزء من سلسلة حول تأمين سير عمل التعلم الآلي من Azure. يرجى مراجعة المقالات الأخرى في هذه السلسلة: