Zabezpečení prostředků pracovních prostorů Azure Machine Learning s využitím virtuálních sítí

  • Článek

Tip

Microsoft doporučuje místo kroků v tomto článku používat službu Azure Machine Učení spravované virtuální sítě. Se spravovanou virtuální sítí azure machine Učení zpracovává úlohu izolace sítě pro váš pracovní prostor a spravované výpočetní prostředky. Můžete také přidat privátní koncové body pro prostředky potřebné pracovním prostorem, jako je například účet služby Azure Storage. Další informace najdete v tématu Spravovaná izolace sítě pracovního prostoru.

Zabezpečení prostředků a výpočetních prostředí pracovního prostoru Azure Machine Učení pomocí virtuálních sítí Azure Tento článek používá ukázkový scénář, ve který se dozvíte, jak nakonfigurovat úplnou virtuální síť.

Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:

Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii:

Kurz vytvoření zabezpečeného pracovního prostoru najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru nebo kurzu: Vytvoření zabezpečeného pracovního prostoru pomocí šablony.

Požadavky

Tento článek předpokládá, že znáte následující články:

Ukázkový scénář

V této části se dozvíte, jak je běžný scénář sítě nastavený tak, aby zabezpečil komunikaci se službou Azure Machine Učení s privátními IP adresami.

Následující tabulka porovnává, jak služby přistupují k různým částem sítě Azure Machine Učení a bez virtuální sítě:

Scénář Pracovní prostor Přidružené prostředky Trénování výpočetního prostředí Odvozování výpočetního prostředí
Bez virtuální sítě Veřejná IP adresa Veřejná IP adresa Veřejná IP adresa Veřejná IP adresa
Veřejný pracovní prostor, všechny ostatní prostředky ve virtuální síti Veřejná IP adresa Veřejná IP adresa (koncový bod služby)
-Nebo-
Privátní IP adresa (privátní koncový bod)		 Veřejná IP adresa Privátní IP adresa
Zabezpečení prostředků ve virtuální síti Privátní IP adresa (privátní koncový bod) Veřejná IP adresa (koncový bod služby)
-Nebo-
Privátní IP adresa (privátní koncový bod)		 Privátní IP adresa Privátní IP adresa
  • Pracovní prostor – Vytvoření privátního koncového bodu pro váš pracovní prostor Privátní koncový bod připojí pracovní prostor k virtuální síti prostřednictvím několika privátních IP adres.
    • Veřejný přístup – Pro zabezpečený pracovní prostor můžete volitelně povolit veřejný přístup.
  • Přidružený prostředek – Pomocí koncových bodů služby nebo privátních koncových bodů se připojte k prostředkům pracovního prostoru, jako je Azure Storage, Azure Key Vault. Pro Azure Container Services použijte privátní koncový bod.
    • Koncové body služby poskytují identitě vaší virtuální sítě službě Azure. Jakmile ve virtuální síti povolíte koncové body služby, můžete přidat pravidlo virtuální sítě pro zabezpečení prostředků služby Azure do vaší virtuální sítě. Koncové body služby používají veřejné IP adresy.
    • Privátní koncové body jsou síťová rozhraní, která vás bezpečně připojují ke službě využívající Azure Private Link. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě a efektivně přenese službu do vaší virtuální sítě.
  • Trénovací výpočetní přístup – Přístup k cílovým výpočetním prostředkům trénování, jako je Azure Machine Učení Compute Instance a Výpočetní clustery Azure Učení s veřejnými nebo privátními IP adresami.
  • Odvozovat výpočetní přístup – Přístup k výpočetním clusterům Azure Kubernetes Services (AKS) s privátními IP adresami

V dalších částech se dozvíte, jak zabezpečit scénář sítě popsaný výše. Pokud chcete zabezpečit síť, musíte:

  1. Zabezpečte pracovní prostor a přidružené prostředky.
  2. Zabezpečte trénovací prostředí.
  3. Zabezpečte odvozovací prostředí.
  4. Volitelně: povolte funkci studia.
  5. Nakonfigurujte nastavení brány firewall.
  6. Nakonfigurujte překlad názvů DNS.

Veřejný pracovní prostor a zabezpečené prostředky

Důležité

I když se jedná o podporovanou konfiguraci pro službu Azure Machine Učení, Microsoft ji nedoporučuje. Data v účtu služby Azure Storage za virtuální sítí je možné zveřejnit ve veřejném pracovním prostoru. Tuto konfiguraci byste měli před použitím v produkčním prostředí ověřit u týmu zabezpečení.

Pokud chcete získat přístup k pracovnímu prostoru přes veřejný internet a současně zachovat všechny přidružené prostředky zabezpečené ve virtuální síti, postupujte následovně:

  1. Vytvořte virtuální síť Azure. Tato síť zabezpečuje prostředky používané pracovním prostorem.

  2. Pomocí jedné z následujících možností vytvořte veřejně přístupný pracovní prostor:

    • Vytvořte pracovní prostor azure machine Učení, který nepoužívá virtuální síť. Další informace najdete v tématu Správa pracovních prostorů Učení Azure Machine.

    NEBO

  3. Přidejte do virtuální sítě následující služby pomocí koncového bodu služby nebo privátního koncového bodu. Povolte také důvěryhodným služby Microsoft přístup k těmto službám:

  4. Ve vlastnostech účtů úložiště Azure pro váš pracovní prostor přidejte IP adresu klienta do seznamu povolených v nastavení brány firewall. Další informace najdete v tématu Konfigurace bran firewall a virtuálních sítí.

Zabezpečení pracovního prostoru a přidružených prostředků

Pomocí následujících kroků zabezpečte pracovní prostor a přidružené prostředky. Tyto kroky umožňují službám komunikovat ve virtuální síti.

  1. Vytvořte virtuální sítě Azure. Tato síť zabezpečuje pracovní prostor a další prostředky. Pak vytvořte pracovní prostor s podporou služby Private Link, který umožní komunikaci mezi vaší virtuální sítí a pracovním prostorem.

  2. Přidejte do virtuální sítě následující služby pomocí koncového bodu služby nebo privátního koncového bodu. Povolte také důvěryhodným služby Microsoft přístup k těmto službám:

    Služba Informace o koncovém bodu Povolit důvěryhodné informace
    Azure Key Vault Privátní koncový bod koncového bodu
    služby    		 Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall
    Účet služby Azure Storage Privátní koncový bod služby a privátního koncového bodu
    		 Udělení přístupu z instancí
    prostředků Azure nebo
    udělení přístupu k důvěryhodným službám Azure
    Azure Container Registry Privátní koncový bod Povolit důvěryhodné služby

  1. Vytvořte virtuální sítě Azure. Tato virtuální síť zabezpečuje pracovní prostor a další prostředky. Pak vytvořte pracovní prostor s podporou služby Private Link, který umožní komunikaci mezi vaší virtuální sítí a pracovním prostorem.

  2. Přidejte do virtuální sítě následující služby pomocí koncového bodu služby nebo privátního koncového bodu. Povolte také důvěryhodným služby Microsoft přístup k těmto službám:

    Služba Informace o koncovém bodu Povolit důvěryhodné informace
    Azure Key Vault Privátní koncový bod koncového bodu
    služby    		 Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall
    Účet služby Azure Storage Privátní koncový bod služby a privátního koncového bodu
    		 Udělení přístupu z instancí
    prostředků Azure nebo
    udělení přístupu k důvěryhodným službám Azure
    Azure Container Registry Privátní koncový bod Povolit důvěryhodné služby

Diagram showing how the workspace and associated resources communicate inside a VNet.

Podrobné pokyny k provedení těchto kroků najdete v tématu Zabezpečení pracovního prostoru azure machine Učení.

Podrobné pokyny k provedení těchto kroků najdete v tématu Zabezpečení pracovního prostoru azure machine Učení.

Omezení

Zabezpečení pracovního prostoru a přidružených prostředků ve virtuální síti má následující omezení:

  • Pracovní prostor a výchozí účet úložiště musí být ve stejné virtuální síti. Podsítě v rámci stejné virtuální sítě jsou však povolené. Například pracovní prostor v jedné podsíti a úložišti v jiné.

    Doporučujeme , aby služba Azure Key Vault a Azure Container Registry pro tento pracovní prostor byly také ve stejné virtuální síti. Oba tyto prostředky ale můžou být také v partnerské virtuální síti.

Zabezpečení trénovacího prostředí

V této části se dozvíte, jak zabezpečit trénovací prostředí ve službě Azure Machine Učení. Dozvíte se také, jak Azure Machine Učení dokončí trénovací úlohu, abyste pochopili, jak konfigurace sítě spolupracují.

K zabezpečení trénovacího prostředí použijte následující kroky:

  1. Vytvořte počítač Azure Učení výpočetní instanci a clusteru počítačů ve virtuální síti, abyste mohli spustit trénovací úlohu.

  2. Pokud výpočetní cluster nebo výpočetní instance používá veřejnou IP adresu, musíte povolit příchozí komunikaci , aby služby pro správu mohly odesílat úlohy do výpočetních prostředků.

    Tip

    Výpočetní cluster a výpočetní instance je možné vytvořit s veřejnou IP adresou nebo bez této veřejné IP adresy. Pokud je vytvořený s veřejnou IP adresou, získáte nástroj pro vyrovnávání zatížení s veřejnou IP adresou pro příjem příchozího přístupu ze služby Azure Batch a služby Azure Machine Učení. Pokud používáte bránu firewall, musíte nakonfigurovat trasu definovanou uživatelem. Pokud se vytvoří bez veřejné IP adresy, získáte službu privátního propojení, která přijme příchozí přístup ze služby Azure Batch a služby Azure Machine Učení bez veřejné IP adresy.

  1. Vytvořte počítač Azure Učení výpočetní instanci a clusteru počítačů ve virtuální síti, abyste mohli spustit trénovací úlohu.

  2. Pokud výpočetní cluster nebo výpočetní instance používá veřejnou IP adresu, musíte povolit příchozí komunikaci , aby služby pro správu mohly odesílat úlohy do výpočetních prostředků.

    Tip

    Výpočetní cluster a výpočetní instance je možné vytvořit s veřejnou IP adresou nebo bez této veřejné IP adresy. Pokud je vytvořený s veřejnou IP adresou, získáte nástroj pro vyrovnávání zatížení s veřejnou IP adresou pro příjem příchozího přístupu ze služby Azure Batch a služby Azure Machine Učení. Pokud používáte bránu firewall, musíte nakonfigurovat trasu definovanou uživatelem. Pokud se vytvoří bez veřejné IP adresy, získáte službu privátního propojení, která přijme příchozí přístup ze služby Azure Batch a služby Azure Machine Učení bez veřejné IP adresy.

Diagram showing how to secure managed compute clusters and instances.

Podrobné pokyny k provedení těchto kroků najdete v tématu Zabezpečení trénovacího prostředí.

Podrobné pokyny k provedení těchto kroků najdete v tématu Zabezpečení trénovacího prostředí.

Příklad odeslání trénovací úlohy

V této části se dozvíte, jak Azure Machine Učení bezpečně komunikovat mezi službami a odeslat trénovací úlohu. Tento příklad ukazuje, jak všechny konfigurace spolupracují na zabezpečení komunikace.

  1. Klient nahraje trénovací skripty a trénovací data do účtů úložiště, které jsou zabezpečené pomocí služby nebo privátního koncového bodu.

  2. Klient odešle trénovací úlohu do pracovního prostoru Azure Machine Učení prostřednictvím privátního koncového bodu.

  3. Služba Azure Batch přijímá úlohu z pracovního prostoru. Potom odešle trénovací úlohu do výpočetního prostředí prostřednictvím veřejného nástroje pro vyrovnávání zatížení výpočetního prostředku.

  4. Výpočetní prostředek obdrží úlohu a zahájí trénování. Výpočetní prostředek používá informace uložené v trezoru klíčů pro přístup k účtům úložiště ke stažení trénovacích souborů a nahrání výstupu.

Diagram showing the secure training job submission workflow.

Omezení

  • Výpočetní instance a clustery Azure musí být ve stejné virtuální síti, oblasti a předplatném jako pracovní prostor a jeho přidružené prostředky.

Zabezpečení prostředí pro odvozování

Izolaci sítě můžete povolit pro spravované online koncové body, abyste zajistili následující síťový provoz:

  • Příchozí žádosti o bodování
  • Odchozí komunikace s pracovním prostorem, službou Azure Container Registry a službou Azure Blob Storage

Další informace najdete v tématu Povolení izolace sítě pro spravované online koncové body.

V této části se dozvíte o možnostech, které jsou k dispozici pro zabezpečení prostředí odvozování při použití rozšíření Azure CLI pro ML v1 nebo Azure Machine Učení Python SDK v1. Při nasazování v1 doporučujeme používat clustery Azure Kubernetes Services (AKS) pro vysoce škálovaná produkční nasazení.

Clustery AKS ve virtuální síti máte dvě možnosti:

  • Nasaďte nebo připojte výchozí cluster AKS k virtuální síti.
  • Připojte privátní cluster AKS k virtuální síti.

Výchozí clustery AKS mají řídicí rovinu s veřejnými IP adresami. Během nasazení můžete do virtuální sítě přidat výchozí cluster AKS nebo ho po vytvoření připojit.

Privátní clustery AKS mají řídicí rovinu, ke které lze přistupovat pouze prostřednictvím privátních IP adres. Privátní clustery AKS musí být po vytvoření clusteru připojené.

Podrobné pokyny k přidání výchozích a privátních clusterů najdete v tématu Zabezpečení prostředí pro odvozování.

Bez ohledu na výchozí cluster AKS nebo privátní cluster AKS, pokud je váš cluster AKS za virtuální sítí, váš pracovní prostor a jeho přidružené prostředky (úložiště, trezor klíčů a ACR) musí mít privátní koncové body nebo koncové body služby ve stejné virtuální síti jako cluster AKS.

Následující síťový diagram znázorňuje zabezpečený pracovní prostor azure machine Učení s privátním clusterem AKS připojeným k virtuální síti.

Diagram showing an attached private AKS cluster.

Volitelné: Povolení veřejného přístupu

Pracovní prostor za virtuální sítí můžete zabezpečit pomocí privátního koncového bodu a přesto povolit přístup přes veřejný internet. Počáteční konfigurace je stejná jako zabezpečení pracovního prostoru a přidružených prostředků.

Po zabezpečení pracovního prostoru s privátním koncovým bodem pomocí následujících kroků povolte klientům vývoj vzdáleně pomocí sady SDK nebo studio Azure Machine Learning:

  1. Povolte veřejný přístup k pracovnímu prostoru.
  2. Nakonfigurujte bránu firewall služby Azure Storage tak, aby umožňovala komunikaci s IP adresou klientů, kteří se připojují přes veřejný internet.
  1. Povolte veřejný přístup k pracovnímu prostoru.
  2. Nakonfigurujte bránu firewall služby Azure Storage tak, aby umožňovala komunikaci s IP adresou klientů, kteří se připojují přes veřejný internet.

Volitelné: Povolení funkcí studia

Pokud je vaše úložiště ve virtuální síti, musíte k povolení plné funkčnosti v sadě Studio použít další konfigurační kroky. Ve výchozím nastavení jsou zakázány následující funkce:

  • Náhled dat ve studiu
  • Vizualizace dat v návrháři
  • Nasazení modelu v návrháři
  • Odeslání experimentu automatizovaného strojového učení
  • Spuštění projektu popisování

Pokud chcete povolit úplné funkce studia, přečtěte si téma Použití studio Azure Machine Learning ve virtuální síti.

Omezení

Popisování dat s asistencí ML nepodporuje výchozí účet úložiště za virtuální sítí. Místo toho použijte jiný účet úložiště než výchozí pro popisování dat s asistencí ML.

Tip

Pokud se nejedná o výchozí účet úložiště, může být účet používaný popisky dat zabezpečený za virtuální sítí.

Konfigurace nastavení brány firewall

Nakonfigurujte bránu firewall pro řízení provozu mezi prostředky pracovního prostoru Azure Machine Učení a veřejným internetem. I když doporučujeme službu Azure Firewall, můžete použít jiné produkty brány firewall.

Další informace o nastavení brány firewall najdete v tématu Použití pracovního prostoru za bránou firewall.

Vlastní DNS

Pokud potřebujete pro virtuální síť použít vlastní řešení DNS, musíte přidat záznamy hostitele pro váš pracovní prostor.

Další informace o požadovaných názvech domén a IP adresách najdete v tématu použití pracovního prostoru s vlastním serverem DNS.

Microsoft Sentinel

Microsoft Sentinel je řešení zabezpečení, které se dá integrovat se službou Azure Machine Učení. Například použití poznámkových bloků Jupyter poskytovaných prostřednictvím služby Azure Machine Učení. Další informace najdete v tématu Použití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb.

Veřejný přístup

Microsoft Sentinel vám může automaticky vytvořit pracovní prostor, pokud máte v pořádku veřejný koncový bod. V této konfiguraci se analytici a správci systému security Operations Center (SOC) připojují k poznámkovému bloku ve vašem pracovním prostoru prostřednictvím služby Sentinel.

Informace o tomto procesu najdete v tématu Vytvoření pracovního prostoru azure machine Učení z Microsoft Sentinelu.

Diagram showing Microsoft Sentinel public connection.

Privátní koncový bod

Pokud chcete zabezpečit pracovní prostor a přidružené prostředky ve virtuální síti, musíte nejprve vytvořit pracovní prostor Azure Machine Učení. Musíte také vytvořit virtuální počítač "jump box" ve stejné virtuální síti jako váš pracovní prostor a povolit připojení ke službě Azure Bastion. Podobně jako u veřejné konfigurace se analytici a správci SOC můžou připojit pomocí služby Microsoft Sentinel, ale některé operace se musí provést pomocí služby Azure Bastion pro připojení k virtuálnímu počítači.

Další informace o této konfiguraci najdete v tématu Vytvoření pracovního prostoru azure machine Učení z Microsoft Sentinelu.

Daigram showing Microsoft Sentinel connection through a VNet.

Další kroky

Tento článek je součástí série o zabezpečení pracovního postupu azure machine Učení. Podívejte se na další články v této sérii: