Netzwerkisolation in Batchendpunkten

  • Artikel

Sie können die Kommunikation von Batchendpunkten mithilfe privater Netzwerke schützen. In diesem Artikel werden die Anforderungen für die Verwendung von Batchendpunkten in einer Umgebung erläutert, die von privaten Netzwerken geschützt wird.

Schützen von Batchendpunkten

Batch-Endpunkte übernehmen die Netzwerkkonfiguration aus dem Arbeitsbereich, in dem sie bereitgestellt werden. Alle Batch-Endpunkte, die innerhalb des Arbeitsbereichs mit aktiviertem Private Link erstellt wurden, werden standardmäßig als private Batch-Endpunkte bereitgestellt. Wenn der Arbeitsbereich ordnungsgemäß konfiguriert ist, ist keine weitere Konfiguration erforderlich.

Stellen Sie Folgendes sicher, um zu verifizieren, dass Ihr Arbeitsbereich ordnungsgemäß für Batch-Endpunkte für die Arbeit mit privaten Netzwerken konfiguriert ist:

  1. Sie haben Ihren Azure Machine Learning-Arbeitsbereich für private Netzwerke konfiguriert. Weitere Informationen zum Erreichen dieses Arbeitsbereichs finden Sie unter So erstellen Sie einen sicheren Arbeitsbereich.

  2. Für Azure Container Registry in privaten Netzwerken gibt es einige Voraussetzungen hinsichtlich ihrer Konfiguration.

    Warnung

    Azure Container Registry-Instanzen mit aktivierter Quarantänefunktion werden derzeit nicht unterstützt.

  3. Stellen Sie sicher, dass private Blob-, Datei-, Warteschlangen- und Tabellenendpunkte für die Speicherkonten konfiguriert sind, wie unter Schützen von Azure-Speicherkonten erläutert. Batchbereitstellungen erfordern alle 4, um ordnungsgemäß zu funktionieren.

Das folgende Diagramm zeigt, wie das Netzwerk für Batchendpunkte aussieht, wenn sie in einem privaten Arbeitsbereich bereitgestellt werden:

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

Achtung

Batchendpunkte unterstützen die Schlüssel public_network_access oder egress_public_network_access beim Konfigurieren des Endpunkts nicht als Gegensatz zu Onlineendpunkten. Es ist nicht möglich, öffentliche Batch-Endpunkte in Arbeitsbereichen mit aktiviertem Private Link bereitzustellen.

Schützen von Batchbereitstellungsaufträgen

Azure Machine Learning-Batchbereitstellungen werden auf Computeclustern ausgeführt. Um Batchbereitstellungsaufträge zu schützen, müssen diese Computecluster auch in einem virtuellen Netzwerk bereitgestellt werden.

  1. Erstellen Sie einen Azure Machine Learning-Computercluster im virtuellen Netzwerk.

  2. Stellen Sie sicher, dass für alle zugehörigen Dienste private Endpunkte im Netzwerk konfiguriert sind. Private Endpunkte werden nicht nur für den Azure Machine Learning-Arbeitsbereich verwendet, sondern auch für die zugehörigen Ressourcen wie Azure Storage, Azure Key Vault oder Azure Container Registry. Azure Container Registry ist ein erforderlicher Dienst. Beachten Sie beim Schützen des Azure Machine Learning-Arbeitsbereichs mit virtuellen Netzwerken, dass es einige Voraussetzungen für Azure Container Registry gibt.

  3. Wenn Ihre Computeinstanz eine öffentliche IP-Adresse nutzt, müssen Sie eingehende Kommunikation zulassen, damit Verwaltungsdienste Aufträge an Ihre Computeressourcen übermitteln können.

    Tipp

    Computecluster und Compute-Instanzen können mit oder ohne öffentliche IP-Adresse erstellt werden. Wenn Sie mit einer öffentlichen IP-Adresse erstellt wurden, erhalten Sie einen Lastenausgleich mit einer öffentlichen IP, um den eingehenden Zugriff vom Azure-Batch-Dienst und Azure Machine Learning Service zu akzeptieren. Sie müssen benutzerdefiniertes Routing (UDR) konfigurieren, wenn Sie eine Firewall verwenden. Wenn Sie ohne öffentliche IP erstellt wurden, erhalten Sie einen privaten Link-Dienst, um den eingehenden Zugriff vom Azure-Batch-Dienst und Azure Machine Learning Service ohne öffentliche IP zu akzeptieren.

  4. Je nach Ihrem Fall kann eine zusätzliche NSG erforderlich sein. Weitere Informationen finden Sie unter Schützen einer Azure Machine Learning-Trainingsumgebung mit virtuellen Netzwerken.

Weitere Informationen finden Sie im Artikel Schützen einer Azure Machine Learning-Trainingsumgebung mit virtuellen Netzwerken.

Einschränkungen

Beachten Sie beim Arbeiten auf bereitgestellten Batchendpunkten die folgenden Einschränkungen in Bezug auf Netzwerke:

  • Wenn Sie die Netzwerkkonfiguration des Arbeitsbereichs von öffentlich zu privat oder von privat zu öffentlich ändern, wirkt sich dies nicht auf die Netzwerkkonfiguration vorhandener Batchendpunkte aus. Batchendpunkte nutzen die Konfiguration des Arbeitsbereichs zum Zeitpunkt der Erstellung. Sie können Ihre Endpunkte neu erstellen, wenn sie Änderungen widerspiegeln sollen, die Sie im Arbeitsbereich vorgenommen haben.

  • Bei der Arbeit in einem Arbeitsbereich mit aktivierten privaten Verbindungen können Sie Batchendpunkte mithilfe von Azure Machine Learning Studio erstellen und verwalten. Sie können jedoch nicht über die Benutzeroberfläche im Studio aufgerufen werden. Verwenden Sie stattdessen die Azure Machine Learning CLI v2 für die Auftragserstellung. Weitere Informationen zur Verwendung finden Sie unter Ausführen des Batchendpunkts zum Starten eines Batchbewertungsauftrags.