Schützen einer Azure Machine Learning-Rückschlussumgebung mit virtuellen Netzwerken

  • Artikel

In diesem Artikel erfahren Sie, wie Sie Rückschlussumgebungen (Online-Endpunkte) mit einem virtuellen Netzwerk in Azure Machine Learning schützen. Es gibt zwei Rückschlussoptionen, die mithilfe eines VNet gesichert werden können:

  • Verwaltete Azure Machine Learning-Onlineendpunkte

    Tipp

    Microsoft empfiehlt die Verwendung von verwalteten virtuellen Netzwerken für Azure Machine Learning anstelle der Schritte in diesem Artikel, wenn Sie verwaltete Onlineendpunkte sichern. Mit einem verwalteten virtuellen Netzwerk übernimmt Azure Machine Learning die Aufgabe der Netzwerkisolation für Ihren Arbeitsbereich und Ihre verwalteten Computeressourcen. Sie können auch private Endpunkte für Ressourcen hinzufügen, die vom Arbeitsbereich benötigt werden, z. B. Azure Storage-Konto. Weitere Informationen finden Sie unter Verwaltete Netzwerkisolation auf Arbeitsbereichsebene (Vorschau).

  • Azure Kubernetes Service

Tipp

Dieser Artikel ist Teil einer Reihe zum Schützen eines Azure Machine Learning-Workflows. Sehen Sie sich auch die anderen Artikel in dieser Reihe an:

Ein Tutorial zum Erstellen eines sicheren Arbeitsbereichs finden Sie unter Tutorial: Erstellen eines sicheren Arbeitsbereichs oder Tutorial: Erstellen eines sicheren Arbeitsbereichs mithilfe einer Vorlage.

Voraussetzungen

  • Im Artikel Übersicht über die Netzwerksicherheit finden Sie Informationen zu gängigen Szenarien im Zusammenhang mit virtuellen Netzwerken sowie zur Gesamtarchitektur virtueller Netzwerke.

  • Ein vorhandenes virtuelles Netzwerk und ein Subnetz, das zum Sichern des Azure Machine Learning-Arbeitsbereichs verwendet wird.

  • Ihr Benutzerkonto muss über die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) zu den folgenden Aktionen berechtigt werden, um Ressourcen in einem virtuellen Netzwerk oder Subnetz bereitstellen zu können:

    • „Microsoft.Network/*/read“ auf der virtuellen Netzwerkressource. Diese Berechtigung ist für ARM-Vorlagenbereitstellungen (Azure Resource Manager) nicht erforderlich.
    • „Microsoft.Network/virtualNetworks/join/action“ auf der virtuellen Netzwerkressource
    • „Microsoft.Network/virtualNetworks/subnets/join/action“ in der Subnetzressource

    Weitere Informationen zur rollenbasierten Zugriffssteuerung von Azure in Netzwerken finden Sie unter Integrierte Netzwerkrollen.

Sicher verwaltete Online-Endpunkte

Informationen zum Sichern verwalteter Online-Endpunkte finden Sie im Artikel Verwenden der Netzwerkisolation mit verwalteten Online-Endpunkten.

Azure Kubernetes Service-Onlineendpunkte sichern

Verwenden Sie die folgenden Schritte, um einen Azure Kubernetes Service-Cluster für sicheres Rückschließen zu verwenden:

  1. Erstellen oder konfigurieren Sie eine sichere Kubernetes-Rückschlussumgebung.

  2. Bereitstellen der Azure Machine Learning-Erweiterung.

  3. Fügen Sie den Kubernetes-Cluster an den Arbeitsbereich an.

  4. Die Modellimplementierung mit dem Kubernetes-Onlineendpunkt kann mithilfe der CLI v2, des Python-SDK v2 und der Studio-Benutzeroberfläche erfolgen.

Beschränken ausgehender Verbindungen aus dem virtuellen Netzwerk

Wenn Sie die Standardausgangsregeln nicht verwenden und den ausgehenden Zugriff auf Ihr virtuelles Netzwerk beschränken möchten, müssen Sie Zugriff auf Azure Container Registry gewähren. Stellen Sie beispielsweise sicher, dass Ihre Netzwerksicherheitsgruppen (NSG) eine Regel enthalten, die den Zugriff auf das Diensttag AzureContainerRegistry.RegionName erlaubt, wobei {RegionName} der Name einer Azure-Region ist.

Nächste Schritte

Dieser Artikel ist Teil einer Reihe zum Schützen eines Azure Machine Learning-Workflows. Sehen Sie sich auch die anderen Artikel in dieser Reihe an: