Zabezpečení prostředí pro odvozování služby Azure Machine Learning s využitím virtuálních sítí
V tomto článku se dozvíte, jak zabezpečit prostředí odvozování (online koncové body) s virtuální sítí ve službě Azure Machine Learning. Existují dvě možnosti odvození, které je možné zabezpečit pomocí virtuální sítě:
Online koncové body spravované službou Azure Machine Learning
Tip
Microsoft doporučuje používat virtuální sítě spravované službou Azure Machine Learning místo kroků v tomto článku při zabezpečení spravovaných online koncových bodů. Se spravovanou virtuální sítí zpracovává Azure Machine Learning úlohu izolace sítě pro váš pracovní prostor a spravované výpočetní prostředky. Můžete také přidat privátní koncové body pro prostředky potřebné pracovním prostorem, jako je například účet služby Azure Storage. Další informace najdete v tématu Spravovaná izolace sítě pracovního prostoru.
Azure Kubernetes Service
Tip
Tento článek je součástí série o zabezpečení pracovního postupu služby Azure Machine Learning. Podívejte se na další články v této sérii:
- Přehled virtuální sítě
- Zabezpečení prostředků pracovního prostoru
- Zabezpečení trénovacího prostředí
- Povolení funkcí studia
- Použití vlastní služby DNS
- Použití brány firewall
Kurz vytvoření zabezpečeného pracovního prostoru najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru, šablony Bicep nebo šablony Terraformu.
Požadavky
Přečtěte si článek s přehledem zabezpečení sítě a seznamte se s běžnými scénáři virtuální sítě a celkovou architekturou virtuální sítě.
Existující virtuální síť a podsíť, které slouží k zabezpečení pracovního prostoru Azure Machine Learning.
Pokud chcete nasadit prostředky do virtuální sítě nebo podsítě, musí mít váš uživatelský účet oprávnění k následujícím akcím v řízení přístupu na základě role v Azure (Azure RBAC):
- Microsoft.Network/*/read v prostředku virtuální sítě. Toto oprávnění není potřeba pro nasazení šablon Azure Resource Manageru (ARM).
- "Microsoft.Network/virtualNetworks/join/action" u prostředku virtuální sítě.
- Prostředek podsítě "Microsoft.Network/virtualNetworks/subnets/join/action".
Další informace o Azure RBAC se sítěmi najdete v předdefinovaných rolích sítě.
- Pokud používáte službu Azure Kubernetes Service (AKS), musíte mít existující cluster AKS zabezpečený, jak je popsáno v článku o prostředí pro odvození služby Azure Kubernetes Service.
Zabezpečení spravovaných online koncových bodů
Informace o zabezpečení spravovaných online koncových bodů najdete v článku Použití izolace sítě se spravovanými online koncovými body.
Zabezpečení online koncových bodů služby Azure Kubernetes Service
Pokud chcete cluster Azure Kubernetes Service použít k zabezpečenému odvozování, postupujte následovně:
Vytvořte nebo nakonfigurujte zabezpečené prostředí pro odvozování Kubernetes.
Nasazení rozšíření Azure Machine Learning
Nasazení modelu s online koncovým bodem Kubernetes je možné provést pomocí rozhraní příkazového řádku v2, sady Python SDK v2 a uživatelského rozhraní sady Studio.
- CLI v2 – https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 – https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Uživatelské rozhraní sady Studio – Postupujte podle kroků ve spravovaném nasazení online koncového bodu prostřednictvím sady Studio. Po zadání názvu koncového bodu místo spravovaného výpočetního typu vyberte Kubernetes.
Omezení odchozího připojení z virtuální sítě
Pokud nechcete používat výchozí odchozí pravidla a chcete omezit odchozí přístup virtuální sítě, musíte povolit přístup ke službě Azure Container Registry. Ujistěte se například, že vaše skupiny zabezpečení sítě (NSG) obsahují pravidlo, které umožňuje přístup ke značce služby AzureContainerRegistry.RegionName , kde {RegionName} je název oblasti Azure.
Další kroky
Tento článek je součástí série o zabezpečení pracovního postupu služby Azure Machine Learning. Podívejte se na další články v této sérii: