Hálózatelkülönítés kötegvégpontokban

  • Cikk

A kötegvégpontok közötti kommunikációt privát hálózatok használatával is biztonságossá teheti. Ez a cikk a kötegelt végpont magánhálózatok által védett környezetben való használatára vonatkozó követelményeket ismerteti.

Kötegvégpontok biztonságossá tétele

A Batch-végpontok a hálózati konfigurációt attól a munkaterülettől öröklik, ahol üzembe helyezték őket. A privát kapcsolattal kompatibilis munkaterületen belül létrehozott kötegvégpontok alapértelmezés szerint privát kötegvégpontokként vannak üzembe helyezve. Ha a munkaterület megfelelően van konfigurálva, nincs szükség további konfigurációra.

Annak ellenőrzéséhez, hogy a munkaterület megfelelően van-e konfigurálva a kötegelt végpontokhoz a privát hálózatkezeléshez, győződjön meg a következőkről:

  1. Az Azure Machine Tanulás-munkaterületet privát hálózatkezelésre konfigurálta. A biztonságos munkaterület létrehozásának módjáról további információt a Create a secure workspace (Biztonságos munkaterület létrehozása) című témakörben talál.

  2. A privát hálózatokban lévő Azure Container Registry esetében vannak előfeltételek a konfigurációjukhoz.

    Figyelmeztetés

    A Karantén funkcióval rendelkező Azure Container Registries jelenleg nem támogatott.

  3. Győződjön meg arról, hogy a blob-, fájl-, üzenetsor- és tábla-privát végpontok konfigurálva vannak a tárfiókokhoz a Biztonságos Azure Storage-fiókokban leírtak szerint. A Batch üzembe helyezéséhez mind a 4-nek megfelelően kell működnie.

Az alábbi ábra bemutatja, hogyan néz ki a hálózatkezelés a kötegelt végpontok esetében egy privát munkaterületen való üzembe helyezéskor:

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

Figyelem

A Batch-végpontok az online végpontokkal ellentétben nem támogatják a kulcsokat public_network_access , és egress_public_network_access nem konfigurálják a végpontot. Nyilvános kötegvégpontok nem helyezhetők üzembe privát kapcsolatokkal kompatibilis munkaterületeken.

Kötegelt üzembehelyezési feladatok biztonságossá tétele

Az Azure Machine Tanulás kötegelt üzembe helyezések számítási fürtökön futnak. A kötegelt üzembehelyezési feladatok védelméhez ezeket a számítási fürtöket is üzembe kell helyezni egy virtuális hálózaton.

  1. Hozzon létre egy Azure Machine Tanulás számítógépfürtöt a virtuális hálózaton.

  2. Győződjön meg arról, hogy minden kapcsolódó szolgáltatás rendelkezik a hálózaton konfigurált privát végpontokkal. A privát végpontok nem csak az Azure Machine Tanulás-munkaterülethez használhatók, hanem az olyan kapcsolódó erőforrásokhoz is, mint az Azure Storage, az Azure Key Vault vagy az Azure Container Registry. Az Azure Container Registry egy kötelező szolgáltatás. Az Azure Machine Tanulás-munkaterület virtuális hálózatokkal való védelme során vegye figyelembe, hogy az Azure Container Registry néhány előfeltételt is figyelembe kell vennie.

  3. Ha a számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.

    Tipp.

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból.

  4. Az esettől függően további NSG-kre lehet szükség. További információ: A betanítási környezet védelme.

További információt az Azure Machine Tanulás betanítási környezetének biztonságossá tételéről a virtuális hálózatokról szóló cikkben talál.

Korlátozások

Vegye figyelembe a következő korlátozásokat, amikor a hálózatkezelésre vonatkozóan üzembe helyezett kötegelt végpontokon dolgozik:

  • Ha a munkaterület hálózati konfigurációját nyilvánosról privátra vagy privátról nyilvánosra módosítja, az nem befolyásolja a meglévő kötegelt végpontok hálózati konfigurációját. A Batch-végpontok a munkaterület konfigurációjára támaszkodnak a létrehozáskor. A végpontokat újra létrehozhatja, ha azt szeretné, hogy tükrözzék a munkaterületen végrehajtott módosításokat.

  • Ha privát kapcsolattal kompatibilis munkaterületen dolgozik, kötegelt végpontok hozhatók létre és kezelhetők az Azure Machine Tanulás Studióval. A felhasználói felületről azonban nem hívhatók meg a studióban. A feladatlétrehozáshoz használja az Azure Machine Tanulás CLI v2-t. A kötegelt pontozási feladat elindításához a Batch-végpont futtatása című témakörben talál további részleteket.