Hálózati forgalom forgalom biztonságos munkaterület használata esetén
Amikor az Azure Machine-Tanulás munkaterületet és a kapcsolódó erőforrásokat egy Azure-beli virtuális hálózatba helyezi, az megváltoztatja az erőforrások közötti hálózati forgalmat. Virtuális hálózat nélkül a hálózati forgalom a nyilvános interneten vagy egy Azure-adatközponton keresztül áramlik. A virtuális hálózat bevezetése után érdemes lehet a hálózatbiztonságot is megkeményíteni. Előfordulhat például, hogy blokkolni szeretné a bejövő és kimenő kommunikációt a virtuális hálózat és a nyilvános internet között. Az Azure Machine Tanulás azonban hozzáférést igényel bizonyos erőforrásokhoz a nyilvános interneten. Például az Azure Resource Managert használja az üzembe helyezéshez és a felügyeleti műveletekhez.
Ez a cikk a nyilvános internetre irányuló és onnan érkező szükséges forgalmat sorolja fel. Azt is ismerteti, hogyan zajlik a hálózati forgalom az ügyfélfejlesztési környezet és egy biztonságos Azure Machine Tanulás-munkaterület között a következő esetekben:
Az Azure Machine Tanulás Studio használata a következőkkel:
- Az Ön munkaterülete
- AutoML
- Tervező
- Adatkészletek és adattárak
Az Azure Machine Tanulás Studio egy webalapú felhasználói felület, amely részben a webböngészőben fut. Meghívja az Azure-szolgáltatásokat olyan feladatok végrehajtására, mint a modell betanítása, a tervező használata vagy az adathalmazok megtekintése. A hívások némelyike más kommunikációs folyamatot használ, mint ha az Azure Machine Tanulás SDK-t, az Azure CLI-t, a REST API-t vagy a Visual Studio Code-ot használja.
Az Azure Machine Tanulás Studio, az Azure Machine Tanulás SDK, az Azure CLI vagy a REST API használata a következők használatához:
- Számítási példányok és fürtök
- Azure Kubernetes Service (AKS)
- Docker-rendszerképek, amelyeket az Azure Machine Tanulás kezel
Ha egy forgatókönyv vagy tevékenység nem szerepel a listán, akkor a biztonságos munkaterületen vagy anélkül is ugyanúgy kell működnie.
Feltételezések
Ez a cikk a következő konfigurációt feltételezi:
- Az Azure Machine Tanulás-munkaterület privát végpontot használ a virtuális hálózattal való kommunikációhoz.
- A munkaterület által használt Azure Storage-fiók, kulcstartó és tárolóregisztrációs adatbázis privát végpontot is használ a virtuális hálózattal való kommunikációhoz.
- Az ügyfél-munkaállomások VPN-átjárót vagy Azure ExpressRoute-ot használnak a virtuális hálózat eléréséhez.
Bejövő és kimenő követelmények
| Eset | Kötelező bejövő forgalom | Kötelező kimenő | További konfiguráció |
|---|---|---|---|
| Munkaterület elérése a studióból | Nem alkalmazható |
|
Előfordulhat, hogy egyéni DNS-kiszolgálót kell használnia. További információ: A munkaterület használata egyéni DNS-kiszolgálóval. |
| Használja az AutoML-t, a tervezőt, az adatkészletet és a stúdióból származó adattárat | Nem alkalmazható | Nem alkalmazható |
|
| Számítási példány és számítási fürt használata |
|
|
Ha tűzfalat használ, hozzon létre felhasználó által megadott útvonalakat. További információ: Bejövő és kimenő hálózati forgalom konfigurálása. |
| Az Azure Kubernetes Service használata | Nem alkalmazható | Az AKS kimenő konfigurációjáról további információt az Azure Kubernetes Service biztonságos következtetési környezetében talál. | |
| Az Azure Machine Tanulás által kezelt Docker-rendszerképek használata | Nem alkalmazható | Microsoft Eszközjegyzék | Ha a munkaterület tárolóregisztrációs adatbázisa a virtuális hálózat mögött található, konfigurálja a munkaterületet úgy, hogy számítási fürtöt használjon lemezképek létrehozásához. További információ: Azure Machine Tanulás-munkaterület védelme virtuális hálózatokkal. |
Tárfiókok célja
Az Azure Machine Tanulás több tárfiókot használ. Mindegyik különböző adatokat tárol, és más célt szolgál:
Saját tárhely: Az Azure-előfizetés tárfiókjai tárolják az adatokat és összetevőket, például modelleket, betanítási adatokat, betanítási naplókat és Python-szkripteket. A munkaterület alapértelmezett tárfiókja például az előfizetésében van. Az Azure Machine Tanulás számítási példány és számítási fürt hozzáférési fájlját és blobadatait ebben a tárolóban a 445-ös (SMB) és a 443-as (HTTPS) porton keresztül.
Számítási példány vagy számítási fürt használatakor a tárfiók fájlmegosztásként van csatlakoztatva az SMB protokollon keresztül. A számítási példány és a fürt ezt a fájlmegosztást használja olyan elemek tárolására, mint az adatok, modellek, Jupyter-jegyzetfüzetek és adathalmazok. A számítási példány és a fürt a privát végpontot használja a tárfiók elérésekor.
Microsoft Storage: Az Azure Machine Tanulás számítási példány és számítási fürt az Azure Batchre támaszkodik. Egy Microsoft-előfizetésben található tárolóhoz férnek hozzá. Ez a tároló csak a számítási példány vagy a fürt kezelésére szolgál. Az adatok egyikét sem tárolja itt. A számítási példány és a számítási fürt a 443-os port (HTTPS) használatával fér hozzá a tároló blob-, tábla- és üzenetsoradataihoz.
A gépi Tanulás egy Azure Cosmos DB-példányban is tárol metaadatokat. Alapértelmezés szerint ez a példány egy Microsoft-előfizetésben van üzemeltetve, és a Microsoft kezeli azt. Azure Cosmos DB-példányt is használhat az Azure-előfizetésében. További információ: Adattitkosítás az Azure Machine Tanulás.
Forgatókönyv: Munkaterület elérése a studióból
Feljegyzés
A jelen szakaszban szereplő információk az Azure Machine Tanulás Studióból származó munkaterület használatára vonatkoznak. Ha az Azure Machine Tanulás SDK-t, a REST API-t, az Azure CLI-t vagy a Visual Studio Code-ot használja, az ebben a szakaszban szereplő információk nem vonatkoznak Önre.
Amikor a munkaterületet a stúdióból éri el, a hálózati forgalom a következő:
- Az erőforrások hitelesítéséhez a konfiguráció Microsoft Entra-azonosítót használ.
- A felügyeleti és üzembehelyezési műveletekhez a konfiguráció az Azure Resource Managert használja.
- Az Azure Machine Tanulás jellemző feladatok esetében a konfiguráció az Azure Machine Tanulás szolgáltatást használja.
- Az Azure Machine Tanulás Studióhoz való hozzáféréshez a konfiguráció az Azure Front Doort használja.
- A legtöbb tárolási művelet esetében a forgalom a munkaterület alapértelmezett tárolójának privát végpontja felé halad. Az AutoML használata, a tervező, az adatkészlet és a jelen cikk stúdiószakaszában található adattár a kivételekről szól.
- Olyan DNS-megoldást is konfigurálnia kell, amely lehetővé teszi a virtuális hálózaton belüli erőforrások nevének feloldását. További információ: A munkaterület használata egyéni DNS-kiszolgálóval.
Forgatókönyv: Az AutoML, a tervező, az adatkészlet és az adattár használata a stúdióból
Az Azure Machine Tanulás Studio alábbi funkciói adatprofilozást használnak:
- Adatkészlet: Az adathalmaz felfedezése a stúdióból.
- Tervező: Modul kimeneti adatainak megjelenítése.
- AutoML: Megtekintheti az adatok előnézetét vagy profilját, és kiválaszthat egy céloszlopot.
- Címkézés: Címkék használatával előkészíthet adatokat egy gépi tanulási projekthez.
Az adatprofilozás attól függ, hogy az Azure Machine Tanulás felügyelt szolgáltatás képes-e hozzáférni a munkaterület alapértelmezett Azure Storage-fiókjához. A felügyelt szolgáltatás nem létezik a virtuális hálózaton, így nem tud közvetlenül hozzáférni a virtuális hálózat tárfiókjához. Ehelyett a munkaterület szolgáltatásnévvel fér hozzá a tárterülethez.
Tipp.
A munkaterület létrehozásakor megadhat egy egyszerű szolgáltatást. Ha nem, létrejön egy ön számára, és ugyanaz a neve, mint a munkaterületének.
A tárfiókhoz való hozzáférés engedélyezéséhez konfigurálja úgy a tárfiókot, hogy engedélyezze a munkaterület erőforráspéldányát, vagy válassza a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez. Ez a beállítás lehetővé teszi, hogy a felügyelt szolgáltatás az Azure adatközpont-hálózatán keresztül férhessen hozzá a tárolóhoz.
Ezután adja hozzá a munkaterület szolgáltatásnevét az Olvasó szerepkörhöz a tárfiók privát végpontjára. Az Azure ezt a szerepkört használja a munkaterület és a táralhálózat adatainak ellenőrzésére. Ha megegyeznek, az Azure engedélyezi a hozzáférést. Végül a szolgáltatásnévhez blobadat-közreműködői hozzáférésre is szükség van a tárfiókhoz.
További információkért tekintse meg az Azure Machine Tanulás virtuális hálózatokkal rendelkező munkaterület biztonságos azure-tárfiókok című szakaszát.
Forgatókönyv: Számítási példány és számítási fürt használata
Az Azure Machine Tanulás számítási példány és számítási fürt a Microsoft által üzemeltetett felügyelt szolgáltatások. Az Azure Batch szolgáltatásra épülnek. Bár a Microsoft által felügyelt környezetben léteznek, a rendszer a virtuális hálózatba is injektálja őket.
Számítási példány vagy számítási fürt létrehozásakor a következő erőforrások is létrejönnek a virtuális hálózaton:
Hálózati biztonsági csoport a szükséges kimenő szabályokkal. Ezek a szabályok engedélyezik a bejövő hozzáférést az Azure Machine Tanulás (TCP a 44224-s porton) és az Azure Batchből (TCP a 29876-29877-ös portokon).
Fontos
Ha tűzfalat használ a virtuális hálózathoz való internet-hozzáférés letiltásához, a tűzfalat úgy kell konfigurálnia, hogy engedélyezze ezt a forgalmat. Az Azure Firewall használatával például létrehozhat felhasználó által megadott útvonalakat. További információ: Bejövő és kimenő hálózati forgalom konfigurálása.
Nyilvános IP-címmel rendelkező terheléselosztó.
A következő szolgáltatáscímkék kimenő elérését is engedélyezheti. Minden címkénél cserélje le region a számítási példány vagy -fürt Azure-régióját:
Storage.region: Ez a kimenő hozzáférés az Azure Batch által felügyelt virtuális hálózaton belüli Azure Storage-fiókhoz való csatlakozásra szolgál.Keyvault.region: Ez a kimenő hozzáférés az Azure Batch által felügyelt virtuális hálózaton belüli Azure Key Vault-fiókhoz való csatlakozásra szolgál.
A számítási példányból vagy a fürtből származó adathozzáférés a virtuális hálózat tárfiókjának privát végpontja.
Ha a Visual Studio Code-ot számítási példányon használja, engedélyeznie kell az egyéb kimenő forgalmat. További információ: Bejövő és kimenő hálózati forgalom konfigurálása.
Forgatókönyv: Online végpontok használata
A felügyelt online végpontok esetében külön konfigurálja a bejövő és kimenő kommunikáció biztonságát.
Bejövő kommunikáció
Az online végpont pontozási URL-címével való bejövő kommunikáció biztonságossá tételéhez használja a public_network_access végponton lévő jelzőt. Ha úgy állítja be a jelzőtdisabled, hogy az online végpont csak az ügyfél virtuális hálózatáról fogadja a forgalmat az Azure Machine Tanulás-munkaterület privát végpontján keresztül.
Az public_network_access Azure Machine Tanulás-munkaterület zászlaja az online végpont láthatóságát is szabályozza. Ha ez a jelző, disableda pontozási végpontok csak olyan virtuális hálózatokról érhetők el, amelyek a munkaterület privát végpontját tartalmazzák. Ha ez a jelző, enableda pontozási végpont a virtuális hálózatról és a nyilvános hálózatokról érhető el.
Kimenő kommunikáció
Az Azure Machine Tanulás-munkaterület felügyelt virtuális hálózatelkülönítésével biztonságossá teheti az üzemelő példányok kimenő kommunikációját a munkaterület szintjén. Ezzel a beállítással az Azure Machine Tanulás létrehoz egy felügyelt virtuális hálózatot a munkaterülethez. A munkaterület felügyelt virtuális hálózatának minden üzembe helyezése használhatja a virtuális hálózat privát végpontjait a kimenő kommunikációhoz.
A kimenő kommunikáció biztonságossá tételéhez használt régi hálózati elkülönítési módszer az üzembe helyezés jelzőjének egress_public_network_access letiltásával működött. Javasoljuk, hogy inkább egy munkaterület által felügyelt virtuális hálózat használatával biztosítsa a kimenő kommunikációt az üzemelő példányok számára. Az örökölt megközelítéstől eltérően az egress_public_network_access üzembe helyezés jelzője már nem érvényes, ha egy munkaterület által felügyelt virtuális hálózatot használ az üzembe helyezéssel. Ehelyett a munkaterület felügyelt virtuális hálózatához beállított szabályok szabályozzák a kimenő kommunikációt.
Forgatókönyv: Az Azure Kubernetes Service használata
Az Azure Kubernetes Service szükséges kimenő konfigurációjáról további információt az Azure Machine Tanulás virtuális hálózatokkal való következtetési környezetének biztonságossá tételével kapcsolatban talál.
Feljegyzés
Az Azure Kubernetes Service terheléselosztója nem ugyanaz, mint az Azure Machine Tanulás által létrehozott terheléselosztó. Ha biztonságos alkalmazásként szeretné üzemeltetni a modellt, amely csak a virtuális hálózaton érhető el, használja az Azure Machine Tanulás által létrehozott belső terheléselosztót. Ha engedélyezni szeretné a nyilvános hozzáférést, használja az Azure Machine Tanulás által létrehozott nyilvános terheléselosztót.
Ha a modell további bejövő vagy kimenő kapcsolatot igényel, például külső adatforráshoz, használjon hálózati biztonsági csoportot vagy tűzfalat a forgalom engedélyezéséhez.
Forgatókönyv: Az Azure Machine Tanulás által kezelt Docker-rendszerképek használata
Az Azure Machine Tanulás Docker-rendszerképeket biztosít, amelyekkel modelleket taníthat be vagy következtetést hajthat végre. Ezek a képek Microsoft Eszközjegyzék vannak tárolva.
Ha saját Docker-lemezképeket ad meg, például egy ön által megadott tárolóregisztrációs adatbázisban, nincs szüksége az Artifact Registryvel való kimenő kommunikációra.
Tipp.
Ha a tárolóregisztrációs adatbázis védett a virtuális hálózaton, az Azure Machine Tanulás nem használhatja Docker-rendszerképek létrehozására. Ehelyett ki kell jelölnie egy Azure Machine-Tanulás számítási fürtöt a rendszerképek létrehozásához. További információ: Azure Machine Tanulás-munkaterület védelme virtuális hálózatokkal.
Következő lépések
Most, hogy megismerte, hogyan zajlik a hálózati forgalom egy biztonságos konfigurációban, az Azure Machine Tanulás virtuális hálózatban való biztonságossá tételéről a virtuális hálózatok elkülönítéséről és az adatvédelemről szóló áttekintő cikkből tudhat meg többet.
Az ajánlott eljárásokról az Azure Machine Tanulás vállalati biztonsági ajánlott eljárásait ismertető cikkben talál további információt.