Aislamiento de red en puntos de conexión por lotes

Puede proteger la comunicación de los puntos de conexión por lotes mediante redes privadas. En este artículo se explican los requisitos para usar el punto de conexión por lotes en un entorno protegido por redes privadas.

Protección de puntos de conexión por lotes

Los puntos de conexión por lotes heredan la configuración de red desde el área de trabajo donde se implementen. Todos los puntos de conexión por lotes creados dentro del área de trabajo habilitada para vínculo privado se implementan como puntos de conexión por lotes privados de forma predeterminada. Cuando el área de trabajo está configurada correctamente, no se requiere ninguna otra configuración.

Para comprobar que el área de trabajo esté configurada correctamente para que los puntos de conexión por lotes funcionen con redes privadas, asegúrese de lo siguiente:

1. Ha configurado el área de trabajo de Azure Machine Learning para redes privadas. Para más información sobre cómo lograrlo, consulte Creación de un área de trabajo segura.

2. Para Azure Container Registry en redes privadas, tenga en cuenta que hay algunos requisitos previos sobre su configuración.

   Advertencia

   Registros de contenedor de Azure con la característica cuarentena habilitada no se admite en este momento.

3. Asegúrese de que los puntos de conexión privados de blobs, archivos, colas y tablas están configurados para las cuentas de almacenamiento, como se explica en Protección de cuentas de almacenamiento de Azure. Las implementaciones por lotes requieren que los 4 funcionen correctamente.

En el diagrama siguiente se muestra el aspecto de las redes para los puntos de conexión por lotes cuando se implementan en un área de trabajo privada:

Precaución

Los puntos de conexión de Batch, al contrario que los puntos de conexión en línea, no admiten las claves public_network_access ni egress_public_network_access al configurar el punto de conexión. No es posible implementar puntos de conexión por lotes públicos en áreas de trabajo habilitadas para vínculo privado.

Protección de trabajos de implementación por lotes

Las implementaciones por lotes de Azure Machine Learning se ejecutan en clústeres de proceso. Para proteger los trabajos de implementación por lotes, esos clústeres de proceso también deben implementarse en una red virtual.

1. Cree un clúster de equipos de Azure Machine Learning en la red virtual.

2. Asegúrese de que todos los servicios relacionados tienen puntos de conexión privados configurados en la red. Los puntos de conexión privados se usan no solo para el área de trabajo de Azure Machine Learning, sino también para sus recursos asociados, como Azure Storage, Azure Key Vault o Azure Container Registry. Azure Container Registry es un servicio necesario. Al proteger el área de trabajo de Azure Machine Learning con redes virtuales, tenga en cuenta que hay algunos requisitos previos sobre Azure Container Registry.

3. Si la instancia de proceso usan una dirección IP pública, debe permitir la comunicación entrante para que los servicios de administración puedan enviar trabajos a los recursos de proceso.

   Sugerencia

   El clúster de proceso y la instancia de proceso se pueden crear con o sin una dirección IP pública. Si se crea con una IP pública, obtendrá un equilibrador de carga con una IP pública para aceptar el acceso entrante desde el servicio Azure Batch y el Azure Machine Learning Service. Debe configurar el enrutamiento definido por el usuario (UDR) si usa un firewall. Si se crea sin una IP pública, obtendrá un servicio de vínculo privado para aceptar el acceso entrante desde el servicio Azure Batch y Azure Machine Learning Service sin una IP pública.

4. Es posible que sea necesario un grupo de seguridad de red adicional en función de su caso. Para más información, consulte Protección del entorno de entrenamiento.

Para más información, consulte el artículo Protección de un entorno de entrenamiento de Azure Machine Learning con redes virtuales.

Limitaciones

Tenga en cuenta las limitaciones siguientes al trabajar en puntos de conexión por lotes implementados con respecto a las redes:

• Si cambia la configuración de red del área de trabajo de pública a privada o de privada a pública, esto no afecta a la configuración de red de puntos de conexión por lotes existentes. Los puntos de conexión por lotes se basan en la configuración del área de trabajo en el momento de la creación. Puede volver a crear los puntos de conexión si quiere que reflejen los cambios realizados en el área de trabajo.

• Al trabajar en áreas de trabajo habilitadas para vínculos privados, los puntos de conexión por lotes se pueden crear y administrar mediante Estudio de Azure Machine Learning. Sin embargo, no se pueden invocar desde la interfaz de usuario en Estudio. En su lugar, use la CLI v2 de Azure Machine Learning para la creación de trabajos. Para más información sobre cómo usarlo, vea Ejecución del punto de conexión por lotes para iniciar un trabajo de puntuación por lotes.

Lectura recomendada

• Protección de los recursos del área de trabajo de Azure Machine Learning con redes virtuales (VNet)