Izolace sítě s využitím registrů služby Azure Machine Učení

V tomto článku se naučíte zabezpečit registr služby Azure Machine Učení pomocí služby Azure Virtual Network a privátních koncových bodů.

Privátní koncové body v Azure poskytují izolaci sítě povolením přístupu ke službám Azure prostřednictvím privátní IP adresy v rámci virtuální sítě. Virtuální síť zabezpečuje připojení mezi prostředky Azure a zabraňuje vystavení citlivých dat veřejnému internetu.

Použití izolace sítě s privátními koncovými body brání síťovému provozu v přenosu přes veřejný internet a přináší službu registru azure machine Učení do vaší virtuální sítě. Veškerý síťový provoz probíhá přes Azure Private Link při použití privátních koncových bodů.

Požadavky

• Registr Učení Azure Machine. Pokud ho chcete vytvořit, postupujte podle kroků v článku Vytváření a správa registrů .
• Znalost následujících článků:
  • Azure Virtual Networks
  • Sítě IP
  • Pracovní prostor Učení Azure s privátním koncovým bodem
  • Skupiny zabezpečení sítě (NSG)
  • Síťové brány firewall

Zabezpečení registru služby Azure Machine Učení

Poznámka:

Pro zjednodušení budeme odkazovat na pracovní prostor, jsou to přidružené prostředky a virtuální síť, které jsou součástí konfigurace zabezpečeného pracovního prostoru. Podíváme se, jak přidat registry Učení Azure jako součást stávající konfigurace.

Následující diagram znázorňuje základní konfiguraci sítě a způsob, jakým se registr azure machine Učení hodí. Pokud už používáte pracovní prostor Azure Machine Učení a máte zabezpečenou konfiguraci pracovního prostoru, ve které jsou všechny prostředky součástí virtuální sítě, můžete vytvořit privátní koncový bod ze stávající virtuální sítě do registru Azure Machine Učení a přidružené prostředky (úložiště a ACR).

Pokud nemáte zabezpečenou konfiguraci pracovního prostoru, můžete ji vytvořit pomocí webu Azure Portal vytvořit zabezpečený pracovní prostor nebo vytvořit zabezpečený pracovní prostor s články šablony .

Omezení

Pokud používáte registr služby Azure Machine Učení s izolací sítě, můžete zobrazit prostředky modelu v studio Azure Machine Learning. Nebudete moct zobrazit jiné typy prostředků. V azure Machine Učení registry ani prostředcích v něm nebudete moct provádět žádné operace pomocí studia. Místo toho použijte Azure Machine Učení CLI nebo SADU SDK.

Scénář: Konfigurace pracovního prostoru je zabezpečená a registr služby Azure Machine Učení je veřejný

Tato část popisuje scénáře a požadovanou konfiguraci sítě, pokud máte zabezpečenou konfiguraci pracovního prostoru, ale používáte veřejný registr.

Vytváření prostředků v registru z místních souborů

Identita (například identita uživatele Microsoft Entra Datoví vědci) používaná k vytváření prostředků v registru musí mít přiřazenou roli uživatele, vlastníka nebo přispěvatele služby AzureML Registry v řízení přístupu na základě role v Azure. Další informace najdete v článku Správa přístupu ke službě Azure Machine Učení.

Sdílení prostředků z pracovního prostoru do registru

Poznámka:

Sdílení komponenty z pracovního prostoru Azure Machine Učení do registru azure machine Učení se v současné době nepodporuje.

Kvůli ochraně před exfiltrací dat není možné sdílet prostředek ze zabezpečeného pracovního prostoru do veřejného registru, pokud má účet úložiště obsahující prostředek zakázaný veřejný přístup. Povolení sdílení prostředků z pracovního prostoru do registru:

• Přejděte do části Sítě účtu úložiště připojeného k pracovnímu prostoru (ze kterého chcete povolit sdílení prostředků do registru).
• Nastavení přístupu k veřejné síti na Povoleno z vybraných virtuálních sítí a IP adres
• Posuňte se dolů a přejděte do části Instance prostředků . Vyberte typ prostředku do Microsoft.Machine Učení Services/registry a nastavte název instance na název prostředku registru Učení Azure, pokud chcete povolit sdílení z pracovního prostoru.
• Nezapomeňte zkontrolovat zbývající nastavení podle konfigurace sítě.

Použití prostředků z registru v pracovním prostoru

Příklady operací:

• Odešle úlohu, která používá prostředek z registru.
• Použijte komponentu z registru v kanálu.
• Použijte prostředí z registru v komponentě.

Použití prostředků z registru do zabezpečeného pracovního prostoru vyžaduje konfiguraci odchozího přístupu k registru.

Nasazení modelu z registru do pracovního prostoru

Pokud chcete nasadit model z registru do zabezpečeného spravovaného online koncového bodu, musí být egress_public_network_access=disabled nastavené nasazení. Azure Machine Učení vytvoří nezbytné privátní koncové body do registru během nasazování koncových bodů. Další informace najdete v tématu Vytvoření zabezpečených spravovaných online koncových bodů.

Odchozí konfigurace sítě pro přístup k libovolnému registru Učení počítačů Azure

Značka služby	Protokol a porty	Účel
AzureMachineLearning	TCP: 443, 877, 18881 UDP: 5831	Použití služeb Azure Machine Learning.
Storage.<region>	TCP: 443	Přístup k datům uloženým v účtu úložiště Azure pro výpočetní clustery a výpočetní instance Tento odchozí provoz se dá použít k exfiltraci dat. Další informace najdete v tématu Ochrana před exfiltrací dat.
MicrosoftContainerRegistry.<region>	TCP: 443	Přístup k imagím Dockeru poskytovaným Microsoftem
AzureContainerRegistry.<region>	TCP: 443	Přístup k imagím Dockeru pro prostředí

Scénář: Konfigurace pracovního prostoru je zabezpečená a registr Učení Azure je připojený k virtuálním sítím pomocí privátních koncových bodů.

Tato část popisuje scénáře a požadovanou konfiguraci sítě, pokud máte zabezpečenou konfiguraci pracovního prostoru s azure machine Učení registry připojenými pomocí privátního koncového bodu k virtuální síti.

Registr Učení Azure má přidružené instance úložiště nebo služby ACR. Tyto instance služby je také možné připojit k virtuální síti pomocí privátních koncových bodů pro zabezpečení konfigurace. Další informace najdete v části Vytvoření privátního koncového bodu .

Jak najít účet služby Azure Storage a službu Azure Container Registry používanou vaším registrem

Účet úložiště a ACR používané vaším registrem Učení Azure se vytvoří ve spravované skupině prostředků ve vašem předplatném Azure. Název spravované skupiny prostředků se řídí vzorem azureml-rg-<name-of-your-registry>_<GUID>. Identifikátor GUID je náhodně vygenerovaný řetězec. Pokud je například název vašeho registru "contosoreg", název spravované skupiny prostředků by byl azureml-rg-contosoreg_<GUID>.

Tuto skupinu prostředků najdete na webu Azure Portal vyhledáním azureml_rg-<name-of-your-registry>. V rámci této skupiny prostředků jsou k dispozici všechny prostředky úložiště a ACR pro váš registr.

Vytváření prostředků v registru z místních souborů

Poznámka:

Vytvoření prostředku prostředí není podporováno v privátním registru, kde má přidružený ACR zakázaný veřejný přístup. Alternativním řešením je vytvořit prostředí v pracovním prostoru Azure Machine Učení a sdílet ho s registrem Učení Azure Machine.

Klienti musí být připojení k virtuální síti, ke které je registr připojený k privátnímu koncovému bodu.

Bezpečné připojení k registru

Pokud se chcete připojit k registru zabezpečenému za virtuální sítí, použijte jednu z následujících metod:

• Azure VPN Gateway – Připojení místní sítě k virtuální síti přes privátní připojení. Připojení ion se provádí přes veřejný internet. Existují dva typy bran VPN, které můžete použít:

  • Point-to-site: Každý klientský počítač používá klienta VPN pro připojení k virtuální síti.

  • Site-to-site: Zařízení VPN připojí virtuální síť k místní síti.

• ExpressRoute – Připojení místní sítě do cloudu přes privátní připojení. Připojení ion se provádí pomocí poskytovatele připojení.

• Azure Bastion – V tomto scénáři vytvoříte virtuální počítač Azure (někdy označovaný jako jump box) uvnitř virtuální sítě. Pak se k virtuálnímu počítači připojíte pomocí služby Azure Bastion. Bastion umožňuje připojení k virtuálnímu počítači pomocí relace RDP nebo SSH z místního webového prohlížeče. Pak jako vývojové prostředí použijete jump box. Vzhledem k tomu, že se nachází uvnitř virtuální sítě, má přímý přístup k registru.

Sdílení prostředků z pracovního prostoru do registru

Poznámka:

Sdílení komponenty z pracovního prostoru Azure Machine Učení do registru azure machine Učení se v současné době nepodporuje.

Kvůli ochraně před exfiltrací dat není možné sdílet prostředek ze zabezpečeného pracovního prostoru do privátního registru, pokud má účet úložiště obsahující prostředek veřejný přístup zakázaný. Povolení sdílení prostředků z pracovního prostoru do registru:

• Přejděte do části Sítě účtu úložiště připojeného k pracovnímu prostoru (ze kterého chcete povolit sdílení prostředků do registru).
• Nastavení přístupu k veřejné síti na Povoleno z vybraných virtuálních sítí a IP adres
• Posuňte se dolů a přejděte do části Instance prostředků . Vyberte typ prostředku do Microsoft.Machine Učení Services/registry a nastavte název instance na název prostředku registru Učení Azure, pokud chcete povolit sdílení z pracovního prostoru.
• Nezapomeňte zkontrolovat zbývající nastavení podle konfigurace sítě.

Použití prostředků z registru v pracovním prostoru

Příklady operací:

• Odešle úlohu, která používá prostředek z registru.
• Použijte komponentu z registru v kanálu.
• Použijte prostředí z registru v komponentě.

Vytvořte privátní koncový bod pro registr, úložiště a ACR z virtuální sítě pracovního prostoru. Pokud se pokoušíte připojit k více registrům, vytvořte privátní koncový bod pro každý registr a přidružené úložiště a ACL. Další informace najdete v části Vytvoření privátního koncového bodu .

Nasazení modelu z registru do pracovního prostoru

Pokud chcete nasadit model z registru do zabezpečeného spravovaného online koncového bodu, musí být egress_public_network_access=disabled nastavené nasazení. Azure Machine Učení vytvoří nezbytné privátní koncové body do registru během nasazování koncových bodů. Další informace najdete v tématu Vytvoření zabezpečených spravovaných online koncových bodů.

Vytvoření privátního koncového bodu

Pomocí karet můžete zobrazit pokyny k přidání privátního koncového bodu do existujícího registru nebo vytvoření nového registru , který má privátní koncový bod:

Existující registr

1. Na webu Azure Portal vyhledejte privátní koncový bod a výběrem položky Privátní koncové body přejděte do Centra privátních propojení.

2. Na stránce přehledu Centra privátního propojení vyberte + Vytvořit.

3. Zadejte požadované informace. V poli Oblast vyberte stejnou oblast jako vaše virtuální síť Azure. Vyberte Další.

4. Na kartě Zdroj vyberte při výběru typu prostředku možnost Microsoft.MachineLearningServices/registries. Nastavte pole Prostředek na název registru Učení azure machine a pak vyberte Další.

5. Na kartě Virtuální síť vyberte virtuální síť a podsíť pro prostředky Učení azure machine. Pokračujte výběrem tlačítka Další.

6. Na kartě DNS ponechte výchozí hodnoty, pokud nemáte specifické požadavky na integraci privátního DNS. Pokračujte výběrem tlačítka Další.

7. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit a vytvořte privátní koncový bod.

8. Pokud chcete nastavit přístup k veřejné síti na zakázaný, použijte následující příkaz. Ověřte, že úložiště a ACR mají zakázaný přístup k veřejné síti.

   az ml registry update --set publicNetworkAccess=Disabled --name <name-of-registry>
   

Nový registr

1. Při vytváření nového registru na webu Azure Portal vyberte Zakázat veřejný přístup a na kartě Sítě použijte privátní koncové body.
2. Vyberte Přidat v části Privátní koncový bod a zadejte požadované informace.
3. Vyberte virtuální síť a podsíť pro prostředky Učení počítače Azure.
4. Vyberte zbývající možnosti a pak vyberte OK.
5. Dokončete proces vytváření registru. Po dokončení vytváření je nový registr nakonfigurovaný tak, aby ke komunikaci s virtuální sítí používal privátní koncový bod.

Jak najít účet služby Azure Storage a službu Azure Container Registry používanou vaším registrem

Účet úložiště a ACR používané vaším registrem Učení Azure se vytvoří ve spravované skupině prostředků ve vašem předplatném Azure. Název spravované skupiny prostředků se řídí vzorem azureml-rg-<name-of-your-registry>_<GUID>. Identifikátor GUID je náhodně vygenerovaný řetězec. Pokud je například název vašeho registru "contosoreg", název spravované skupiny prostředků by byl azureml-rg-contosoreg_<GUID>.

Tuto skupinu prostředků najdete na webu Azure Portal vyhledáním azureml_rg-<name-of-your-registry>. V rámci této skupiny prostředků jsou k dispozici všechny prostředky úložiště a ACR pro váš registr.

Vytvoření privátního koncového bodu pro účet úložiště Azure

Pokud chcete vytvořit privátní koncový bod pro účet úložiště používaný vaším registrem, postupujte následovně:

1. Na webu Azure Portal vyhledejte privátní koncový bod a výběrem položky Privátní koncové body přejděte do Centra privátních propojení.
2. Na stránce přehledu Centra privátního propojení vyberte + Vytvořit.
3. Zadejte požadované informace. V poli Oblast vyberte stejnou oblast jako vaše virtuální síť Azure. Vyberte Další.
4. Na kartě Zdroj vyberte při výběru typu prostředku možnost Microsoft.Storage/storageAccounts. Nastavte pole Prostředek na název účtu úložiště. Nastavte dílčí prostředek na objekt blob a pak vyberte Další.
5. Na kartě Virtuální síť vyberte virtuální síť a podsíť pro prostředky Učení azure machine. Pokračujte výběrem tlačítka Další.
6. Na kartě DNS ponechte výchozí hodnoty, pokud nemáte specifické požadavky na integraci privátního DNS. Pokračujte výběrem tlačítka Další.
7. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit a vytvořte privátní koncový bod.

Ochrana před exfiltrací dat

Pro uživatele vytvořeného registru Azure Machine Učení doporučujeme použít privátní koncový bod pro registr, spravovaný účet úložiště a spravovanou službu ACR.

V případě systémového registru doporučujeme vytvořit zásadu koncového bodu služby pro účet úložiště pomocí aliasu /services/Azure/MachineLearning . Další informace najdete v tématu Konfigurace prevence exfiltrace dat.

Jak najít plně kvalifikovaný název domény registru

Následující příklady ukazují, jak pomocí adresy URL zjišťování získat plně kvalifikovaný název domény (FQDN) vašeho registru. Při volání adresy URL zjišťování musíte v hlavičce požadavku zadat přístupový token Azure. Následující příklady ukazují, jak získat přístupový token a volat adresu URL zjišťování:

Tip

Formát adresy URL zjišťování je https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery, kde <region> je oblast, kde se nachází váš registr a <registry_name> je název vašeho registru. Pokud chcete volat adresu URL, vytvořte požadavek GET:

   GET https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery 

• Azure PowerShell

$region = "<region>"
$registryName = "<registry_name>"
$accessToken = (az account get-access-token | ConvertFrom-Json).accessToken 
(Invoke-RestMethod -Method Get `
                   -Uri "https://$region.api.azureml.ms/registrymanagement/v1.0/registries/$registryName/discovery" `
                   -Headers @{ Authorization="Bearer $accessToken" }).registryFqdns

• REST API

Poznámka:

Další informace o používání rozhraní Azure REST API najdete v referenčních informacích k rozhraní Azure REST API.

1. Získejte přístupový token Azure. K získání tokenu můžete použít následující příkaz Azure CLI :

   az account get-access-token --query accessToken
   

2. Pomocí klienta REST, jako je Postman nebo Curl, vytvořte požadavek GET na adresu URL zjišťování. Pro autorizaci použijte přístupový token načtený v předchozím kroku. V následujícím příkladu nahraďte <region> oblastí, ve které se nachází váš registr, a <registry_name> názvem vašeho registru. Nahraďte <token> přístupovým tokenem načteným v předchozím kroku:

   curl -X GET "https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery" -H "Authorization: Bearer <token>" -H "Content-Type: application/json"
   

Další kroky

Naučte se sdílet modely, komponenty a prostředí napříč pracovními prostory pomocí registrů.