Netzwerkisolationsänderung mit unserer neuen API-Plattform für Azure Resource Manager

In diesem Artikel erfahren Sie mehr über die Änderungen bei der Netzwerkisolation mit unserer neuen v2 API-Plattform für Azure Resource Manager (ARM) und deren Auswirkungen auf die Netzwerkisolation.

Was ist die neue API-Plattform für Azure Resource Manager (ARM)?

Es gibt zwei Arten von Vorgängen, die von den v1- und v2-APIs, Azure Resource Manager (ARM) und Azure Machine Learning-Arbeitsbereich verwendet werden.

Bei der v1-API haben die meisten Vorgänge den Arbeitsbereich verwendet. Für v2 haben wir die meisten Vorgänge auf die Verwendung des öffentlichen ARM umgestellt.

API-Version	Öffentlicher ARM	Innerhalb des virtuellen Arbeitsbereichsnetzwerks
v1	Vorgänge zum Erstellen, Aktualisieren und Löschen (Create, Update, Delete, CRUD) für Arbeitsbereich und Compute.	Andere Vorgänge wie Experimente.
V2	Die meisten Vorgänge wie Arbeitsbereich, Compute, Datenspeicher, Dataset, Auftrag, Umgebung, Code, Komponente, Endpunkte.	Verbleibende Vorgänge.

Die v2 API bietet eine einheitliche API an einem Ort. Sie können die rollenbasierte Zugriffssteuerung von Azure und Azure Policy für Ressourcen mit der v2 API einfacher verwenden, da sie auf Azure Resource Manager basiert.

Die Azure Machine Learning CLI v2 verwendet unsere neue v2 API-Plattform. Neue Features wie verwaltete Onlineendpunkte sind nur verfügbar, wenn Sie die v2 API-Plattform verwenden.

Welche Änderungen gibt es bei der Netzwerkisolation in V2?

Wie im vorherigen Abschnitt erwähnt, gibt es zwei Arten von Vorgängen: mit ARM und mit dem Arbeitsbereich. Bei der Legacy-v1 API haben die meisten Vorgänge den Arbeitsbereich verwendet. Mit der v1 API bot das Hinzufügen eines privaten Endpunkts zum Arbeitsbereich die Netzwerkisolation für alles außer CRUD-Vorgängen für Arbeitsbereichs- oder Computeressourcen.

Mit der neuen v2 API verwenden die meisten Vorgänge ARM. Die Aktivierung eines privaten Endpunkts in Ihrem Arbeitsbereich bietet daher nicht dasselbe Maß an Netzwerkisolation. Vorgänge, die ARM verwenden, kommunizieren über öffentliche Netzwerke und enthalten alle Metadaten (wie Ihre Ressourcen-IDs) oder Parameter, die von dem Vorgang verwendet werden. Beispielsweise die Parameter.

Wichtig

Für die meisten Menschen ist die Verwendung der öffentlichen ARM-Kommunikation in Ordnung:

• Öffentliche ARM-Kommunikation ist der Standard für Verwaltungsvorgänge mit Azure-Diensten. Beispielsweise wird beim Erstellen eines Azure Storage-Kontos oder eines virtuellen Azure-Netzwerks ARM verwendet.
• Die Azure Machine Learning-Vorgänge machen keine Daten in Ihrem Speicherkonto (oder anderem Speicher im VNet) in öffentlichen Netzwerken verfügbar. Beispielsweise würde ein Trainingsauftrag, der auf einem Compute-Cluster im VNet ausgeführt wird und Daten aus einem Speicherkonto im VNet verwendet, sicher direkt über das VNet auf die Daten zugreifen.
• Die gesamte Kommunikation mit öffentlichem ARM wird mit TLS 1.2 verschlüsselt.

Wenn Sie Zeit benötigen, um die neue v2 API zu testen, bevor Sie sie in Ihre Unternehmenslösungen einführen, oder wenn Sie über eine Richtlinie verfügen, die das Senden von Kommunikation über öffentliche Netzwerke verbietet, können Sie den Parameter v1_legacy_mode aktivieren. Wenn dieser Parameter aktiviert ist, wird die v2 API für Ihren Arbeitsbereich deaktiviert.

Warnung

Wenn Sie „v1_legacy_mode“ aktivieren, können Sie möglicherweise keine Features der v2 API verwenden. Beispielsweise können einige Features von Azure Machine Learning Studio nicht verfügbar sein.

Szenarien und erforderliche Aktionen

Warnung

Der Parameter v1_legacy_mode ist jetzt verfügbar, aber die v2 API-Blockierungsfunktionalität wird ab der Woche des 15. Mai 2022 erzwungen.

• Wenn Sie nicht vorhaben, einen privaten Endpunkt mit Ihrem Arbeitsbereich zu verwenden, brauchen Sie den Parameter nicht zu aktivieren.

• Wenn Sie damit einverstanden sind, dass Vorgänge mit der öffentlichen ARM-Instanz kommunizieren, müssen Sie den Parameter nicht aktivieren.

• Sie müssen den Parameter nur aktivieren, wenn Sie einen privaten Endpunkt mit dem Arbeitsbereich verwenden und keine Vorgänge mit der ARM-Instanz über öffentliche Netzwerke zulassen möchten.

Sobald wir den Parameter implementiert haben, wird er rückwirkend auf bestehende Arbeitsbereiche angewendet, indem wir die folgende Logik verwenden:

• Wenn Sie über einen vorhandenen Arbeitsbereich mit einem privaten Endpunkt verfügen, wird das Flag auf true festgelegt.

• Wenn Sie über einen vorhandenen Arbeitsbereich ohne einen privaten Endpunkt (öffentlicher Arbeitsbereich) verfügen, ist das Flag false.

Nachdem der Parameter implementiert wurde, hängt der Standardwert des Flags von der zugrunde liegenden REST-API-Version ab, die verwendet wird, wenn Sie einen Arbeitsbereich (mit einem privaten Endpunkt) erstellen:

• Wenn die API-Version älter als 2022-05-01 ist, ist das Flag standardmäßig true.
• Wenn die API-Version 2022-05-01 oder höher ist, ist das Flag standardmäßig false.

Wichtig

Wenn Sie die v2 API mit Ihrem Arbeitsbereich verwenden möchten, müssen Sie den Parameter „v1_legacy_mode“ auf false festlegen.

Aktualisieren des Parameters „v1_legacy_mode“

Warnung

Der Parameter v1_legacy_mode ist jetzt verfügbar, aber die v2 API-Blockierungsfunktionalität wird ab der Woche des 15. Mai 2022 erzwungen.

Verwenden Sie zur Aktualisierung von „v1_legacy_mode“ die folgenden Schritte:

Python SDK

Wichtig

Wenn Sie die v2-API deaktivieren möchten, verwenden Sie das Azure Machine Learning Python SDK v1.

Verwenden Sie zum Deaktivieren von „v1_legacy_mode“ entsprechend Workspace.update, und legen Sie v1_legacy_mode=false fest.

from azureml.core import Workspace

ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)

Azure CLI-Erweiterung v1

Die Azure CLI-Erweiterung v1 für maschinelles Lernen bietet den Befehl az ml workspace update. Fügen Sie zum Deaktivieren des Parameters für einen Arbeitsbereich den Parameter --v1-legacy-mode False hinzu.

Wichtig

Der v1-legacy-mode-Parameter ist nur in Version 1.41.0 oder höher der Azure CLI-Erweiterung für maschinelles Lernen v1 (azure-cli-ml) verfügbar. Dieser Parameter ist nicht in der Erweiterung v2 (ml) verfügbar. Verwenden Sie den Befehl az version, um Versionsinformationen einschließlich der installierten Erweiterung und Version anzuzeigen.

az ml workspace update -g <myresourcegroup> -n <myworkspace> --v1-legacy-mode False

Der Rückgabewert des az ml workspace update-Befehls zeigt möglicherweise nicht den aktualisierten Wert an. Um den aktuellen Status des Parameters anzuzeigen, verwenden Sie den folgenden Befehl:

az ml workspace show -g <myresourcegroup> -n <myworkspace> --query v1LegacyMode

Wichtig

Beachten Sie, dass es etwa 30 Minuten bis eine Stunde oder mehr dauert, bis die Änderung des Parameters „v1_legacy_mode“ von true zu false im Arbeitsbereich sichtbar wird. Wenn Sie also den Parameter auf false festlegen, aber bei einem nachfolgenden Vorgang die Fehlermeldung erhalten, dass der Parameter true ist, versuchen Sie es nach ein paar weiteren Minuten erneut.

Nächste Schritte

• Verwenden eines privaten Endpunkts mit dem Azure Machine Learning-Arbeitsbereich.
• Erstellen einer privaten Verbindung zum Verwalten von Azure-Ressourcen.