تمرين - إعداد شبكة Azure ظاهرية آمنة

مكتمل

تشبه شبكة Azure الظاهرية (VNet) الشبكة التقليدية ولكن مع المزايا الإضافية التي توفرها البنية الأساسية لـ Azure.

تمكّن الشبكات الظاهرية مواردك مثل الأجهزة الظاهرية (VMs) ومساحات عمل التعلم الآلي من التواصل بشكل آمن مع بعضها البعض ومع الشبكات الأخرى أو الإنترنت.

يمكن لمهندس التعلم الآلي استخدامها في مجموعة متنوعة من السيناريوهات، مثل ربط جهاز ظاهري بالبيانات المخزنة في البيئة المحلية، أو تقييد الوصول إلى واجهة برمجة تطبيقات للتدريب بحيث لا يراها سوى الأفراد من مختبرهم، أو كشف نقطة نهاية للاستدلال على الإنترنت.

في هذا التمرين، سننشئ شبكة ظاهرية ونستخدمها لتأمين الوصول إلى مساحة العمل التي أنشأناها في التمرين السابق. بينما يعطي هذا التمرين حدساً حول آليات تأمين مساحة العمل، إلا أنه ليس حلاً كاملاً. راجع الوثائق المرتبطة في نهاية التمرين للحصول على تعليمات كاملة.

تحذير

سيعطي هذا التمرين حدساً أساسياً فقط فيما يتعلق بالعملية المتضمنة في تأمين بيئة شبكة مساحة عمل التعلم الآلي. للحصول على إرشادات العملية خطوة بخطوة لبيئة الإنتاج، اتبع الارتباط الموجود في نهاية هذا التمرين.

تحذير

سيؤدي هذا التمرين إلى حظر الوصول إلى مساحة العمل المتأثرة، ويجب ألا يتم إجراؤه في مساحة عمل الإنتاج.

المتطلبات الأساسية

  • المعرفة الأساسية بمفاهيم شبكات الاتصال.
  • حساب Azure واشتراك.
  • مساحة عمل تعلم آلي من Azure لمجموعة الموارد كما تم إنشاؤها في التمرين السابق.

تسجيل الدخول إلى Azure

سجل الدخول إلى مدخل Azure.

إنشاء شبكة افتراضية

لننشئ شبكة ظاهرية لهذا التمرين:

  1. في مدخل Azure، حدد Create a resource في الزاوية العلوية اليمنى من المدخل.

  2. في مربع البحث، أدخل "Virtual Network". حدد Virtual Network في نتائج البحث.

  3. في صفحة Virtual Network، حدد Create.

    Screenshot showing the virtual network page with a red box around create.

  4. في Create virtual network، أدخل هذه المعلومات أو حددها في علامة التبويب Basics:

    Screenshot showing how to fill in the Azure Virtual Network form.

    إعداد القيمة
    تفاصيل المشروع
    الاشتراك حدد اشتراكك.
    مجموعة الموارد: أدخل MLResourceGroup (أو اسم مجموعة الموارد التي أنشأتها في التمرين السابق)
    تفاصيل المثيل
    الاسم أدخل MLVNet.
    المنطقة حدد (US) East US.
  5. حدد علامة التبويب IP Addresses، أو حدد الزر Next: IP Addresses أسفل الصفحة.

    تلميح

    إذا ظهر على شاشتك مساحة عنوان IPv4 وإعداد الشبكة الفرعية الافتراضي كما هو موضح في الصورة التالية، فانتقل إلى الخطوة 9.

    Screenshot showing Azure Virtual Network IP Addresses page.

  6. في IPv4 address space، حدد مساحة العنوان الحالية وقم بتغييرها إلى 10.1.0.0/16.

  7. حدد + Add subnet، ثم أدخل default لـ Subnet name و10.1.0.0/24 لـ Subnet address range.

  8. اختر ⁧⁩«إضافة»⁧

  9. حدد علامة التبويب Review + create أو حدد الزر Review + create.

  10. حدد Create وانتظر بضع دقائق حتى ينتهي النشر:

    Screenshot showing the deployment complete page from step 11.

هام

للتبسيط، نقوم بإنشاء شبكة فرعية واحدة لشبكتنا الظاهرية. الشبكة الفرعية هي مجموعة من عناوين IP في شبكة ظاهرية. يمكننا تقسيم الشبكة الظاهرية إلى عدة شبكات فرعية للتنظيم والأمان، على سبيل المثال، شبكة فرعية للتدريب لا يمكن إلا لعلماء البيانات استخدامها، وشبكة فرعية للاستدلال متاحة للجمهور.

اختبار الوصول إلى مساحة العمل

لقد أضفنا للتو شبكة ظاهرية إلى مجموعة الموارد لدينا، ولكن هل يقيد ذلك الوصول إلى ml-workspace؟

يمكننا اختبار ذلك باستخدام Azure Machine Learning Studio للوصول إلى محتويات مساحة العمل.

تلميح

تعد مساحة عمل التعلم الآلي من Azure عبارة عن مدخل ويب يحتوي على أدوات عالية المستوى لتدريب النموذج والنشر وإدارة الأصول.

  1. حدد Home للعودة إلى الصفحة الرئيسية

  2. حدد ml-workspace في قائمة الموارد الأخيرة:

    Screenshot showing the Azure portal with a red box around ml-workspace.

  3. حدد Studio web URL لمساحة العمل:

    Screenshot showing the studio web url to select.

  4. يجب فتح Azure Machine Learning Studio في علامة تبويب أو نافذة جديدة. قم بالتمرير لأسفل حتى تتمكن من رؤية علامات التبويب أدناه (عمليات التشغيل والحوسبة والنماذج ومجموعات البيانات):

    Screenshot showing the workspace with no warnings.

تمثل كل علامة تبويب من علامات التبويب السابقة "مجلداً" يخزن الموارد التي ستستخدمها أنت وفريقك في التعلم الآلي.

على الرغم من أنه من المحتمل ألا يكون لديك أي عناصر هناك حتى الآن كما في الصورة السابقة، يجب ألا تكون هناك تحذيرات أو رسائل خطأ، مما يعني أنه لا توجد قيود على الوصول إلى الشبكة على هذه الموارد حتى الآن.

تأمين وصول الشبكة إلى مساحة عمل التعلم الآلي

أنشأنا حتى الآن مصدرين مستقلين:

  • مساحة عمل التعلم الآلي (ml-workspace)
  • الشبكة الظاهرية (MLVNet)

ويتعين علينا الآن توصيل هذين الاثنين بحيث يجب أن تمر حركة نقل بيانات شبكة مساحة العمل عبر الشبكة الظاهرية. بعبارة أخرى، نريد أن تكون مساحة العمل لدينا متاحة فقط للموارد المتصلة بشبكة MLVNet الظاهرية.

ولتحقيق ذلك، نحتاج إلى تحديد نقطة نهاية خاصة لمورد ml-workspace.

تلميح

تعد نقطة النهاية الخاصة عبارة عن واجهة شبكة تستخدم عنوان IP خاصاً من الشبكة الظاهرية لإنشاء اتصالات آمنة وخاصة بمورد.

إنشاء نقطة نهاية خاصة

  1. انتقل إلى "الصفحة الرئيسية"، وحدد مجموعات الموارد، ثم حدد مجموعة موارد MLResourceGroup، ثم حدد مساحة العمل ml_workspace:

    Screenshot showing the machine learning workspace page.

  2. في القائمة اليمنى، حدد Private endpoint connections:

    Screenshot showing where to select private endpoint connections with a red box.

  3. حدد Private Endpoint واملأ النموذج بالقيم التالية:

    Screenshot showing how to fill in the private endpoint form.

    إعداد القيمة
    تفاصيل المشروع
    الاشتراك حدد اشتراكك.
    مجموعة الموارد: أدخل MLResourceGroup (أو اسم مجموعة الموارد التي أنشأتها في التمرين السابق)
    تفاصيل المثيل
    الاسم أدخل MLPrivateEndpoint.
    المنطقة حدد (US) East US.
  4. حدد الزر Next: Resource >.

  5. في علامة التبويب Resource، استخدم القيم التالية

    Screenshot showing how to fill in the resources form.

    إعداد القيمة
    تفاصيل المشروع
    الاشتراك حدد اشتراكك.
    نوع المورد أدخل Microsoft.MachineLearningServices/workspaces
    تفاصيل المثيل
    المورد * حدد ml-workspace.
    هدف المورد الفرعي حدد amlworkspace.
  6. حدد الزر Next: Configuration>.

    اترك الإعدادات الافتراضية المقترحة:

    Screenshot showing how to fill in the configuration form.

    إعداد القيمة
    الشبكة الظاهرية * MLVNet
    الشبكة الفرعية * default (10.1.0.0/24)
    التكامل مع منطقة DNS الخاصة نعم
  7. حدد Review + Create للتحقق من صحة النشر، ثم حدد Create لنشر نقطة النهاية (قد يستغرق ذلك بضع لحظات):

    Screenshot showing the deployment complete page.

اختبار تكوين الشبكة

يمكننا التأكد من أن مساحة العمل موجودة داخل شبكة ظاهرية الآن عن طريق اختبار ما إذا كان لا يزال بإمكاننا الوصول إلى مواردها:

  1. إعادة تحميل نافذة Azure Machine Learning Studio (أو افتح الاستوديو مرة أخرى):

    Screenshot showing the workspace with warnings on the page.

  2. كما يظهر التحذير، تم الآن حظر الوصول إلى هذه الموارد. يحدث ذلك لأن مساحة العمل موجودة الآن داخل شبكة ظاهرية، وقد تمت تهيئتها لحظر جميع الطلبات التي لا تنشأ من داخل الشبكة الفرعية الافتراضية التي أنشأناها (تذكر أننا نحاول الوصول إليها من خارج محيط الشبكة).

آمن ولكن لا يمكن الوصول إليه

لقد قمت للتو بتأمين وصول الشبكة إلى مساحة عمل التعلم الآلي.

لاحظ أنه لا يمكنك الوصول إليها بنفس الطريقة، ولا يمكن لأي موارد أخرى في مؤسستك ليست جزءاً من الشبكة الفرعية الوصول إليها.

يتطلب فتح الأشياء بحيث يمكن توصيل الموارد بعض التخطيط الاستراتيجي!

نوصي بقراءة دليل كيفية تأمين مساحة العمل باستخدام الشبكة الظاهرية للحصول على مرجع أكثر تفصيلاً.

الملخص

في هذه الوحدة، قمت بتغطية المواضيع التالية:

  • الشبكة الظاهرية وبعض استخداماتها
  • إنشاء شبكة Azure ظاهرية
  • إنشاء شبكات فرعية في شبكة ظاهرية
  • كيفية استخدام نقاط النهاية الخاصة لتأمين وصول الشبكة إلى مساحات عمل التعلم الآلي
  • الوصول إلى مساحة عمل باستخدام Azure Machine Learning Studio والتحقق مما إذا كانت الموارد محظورة