Hálózati forgalom forgalom biztonságos munkaterület használata esetén
Amikor az Azure Machine Learning-munkaterületet és a társított erőforrásokat egy Azure-beli virtuális hálózatba helyezi, az megváltoztatja az erőforrások közötti hálózati forgalmat. Virtuális hálózat nélkül a hálózati forgalom a nyilvános interneten vagy egy Azure-adatközponton keresztül áramlik. A virtuális hálózat bevezetése után érdemes lehet a hálózatbiztonságot is megkeményíteni. Előfordulhat például, hogy blokkolni szeretné a bejövő és kimenő kommunikációt a virtuális hálózat és a nyilvános internet között. Az Azure Machine Learning azonban bizonyos erőforrásokhoz való hozzáférést igényel a nyilvános interneten. Például az Azure Resource Managert használja az üzembe helyezéshez és a felügyeleti műveletekhez.
Ez a cikk a nyilvános internetre irányuló és onnan érkező szükséges forgalmat sorolja fel. Azt is ismerteti, hogyan zajlik a hálózati forgalom az ügyfélfejlesztési környezet és egy biztonságos Azure Machine Learning-munkaterület között a következő helyzetekben:
Az Azure Machine Learning Studio használata a következőkkel:
- Az Ön munkaterülete
- AutoML
- Tervező
- Adatkészletek és adattárak
Az Azure Machine Learning Studio egy webalapú felhasználói felület, amely részben a webböngészőben fut. Meghívja az Azure-szolgáltatásokat olyan feladatok végrehajtására, mint a modell betanítása, a tervező használata vagy az adathalmazok megtekintése. A hívások némelyike más kommunikációs folyamatot használ, mint ha az Azure Machine Learning SDK-t, az Azure CLI-t, a REST API-t vagy a Visual Studio Code-ot használja.
Az Azure Machine Learning Studio, az Azure Machine Learning SDK, az Azure CLI vagy a REST API használata a következők használatához:
- Számítási példányok és fürtök
- Azure Kubernetes Service (AKS)
- Az Azure Machine Learning által kezelt Docker-rendszerképek
Ha egy forgatókönyv vagy tevékenység nem szerepel a listán, akkor a biztonságos munkaterületen vagy anélkül is ugyanúgy kell működnie.
Feltételezések
Ez a cikk a következő konfigurációt feltételezi:
- Az Azure Machine Learning-munkaterület privát végpontot használ a virtuális hálózattal való kommunikációhoz.
- A munkaterület által használt Azure Storage-fiók, kulcstartó és tárolóregisztrációs adatbázis privát végpontot is használ a virtuális hálózattal való kommunikációhoz.
- Az ügyfél-munkaállomások VPN-átjárót vagy Azure ExpressRoute-ot használnak a virtuális hálózat eléréséhez.
Bejövő és kimenő követelmények
| Eset | Kötelező bejövő forgalom | Kötelező kimenő | További konfiguráció |
|---|---|---|---|
| Munkaterület elérése a studióból | Nem alkalmazható |
|
Előfordulhat, hogy egyéni DNS-kiszolgálót kell használnia. További információ: A munkaterület használata egyéni DNS-kiszolgálóval. |
| Használja az AutoML-t, a tervezőt, az adatkészletet és a stúdióból származó adattárat | Nem alkalmazható | Nem alkalmazható |
|
| Számítási példány és számítási fürt használata |
|
|
Ha tűzfalat használ, hozzon létre felhasználó által megadott útvonalakat. További információ: Bejövő és kimenő hálózati forgalom konfigurálása. |
| Az Azure Kubernetes Service használata | Nem alkalmazható | Az AKS kimenő konfigurációjáról további információt az Azure Kubernetes Service biztonságos következtetési környezetében talál. | |
| Az Azure Machine Learning által kezelt Docker-rendszerképek használata | Nem alkalmazható | Microsoft Eszközjegyzék | Ha a munkaterület tárolóregisztrációs adatbázisa a virtuális hálózat mögött található, konfigurálja a munkaterületet úgy, hogy számítási fürtöt használjon lemezképek létrehozásához. További információ: Azure Machine Learning-munkaterület védelme virtuális hálózatokkal. |
Tárfiókok célja
Az Azure Machine Learning több tárfiókot használ. Mindegyik különböző adatokat tárol, és más célt szolgál:
Saját tárhely: Az Azure-előfizetés tárfiókjai tárolják az adatokat és összetevőket, például modelleket, betanítási adatokat, betanítási naplókat és Python-szkripteket. A munkaterület alapértelmezett tárfiókja például az előfizetésében van. Az Azure Machine Learning számítási példánya és a számítási fürt hozzáfér a tárolóban lévő fájl- és blobadatokhoz a 445-ös (SMB) és a 443-as (HTTPS) porton keresztül.
Számítási példány vagy számítási fürt használatakor a tárfiók fájlmegosztásként van csatlakoztatva az SMB protokollon keresztül. A számítási példány és a fürt ezt a fájlmegosztást használja olyan elemek tárolására, mint az adatok, modellek, Jupyter-jegyzetfüzetek és adathalmazok. A számítási példány és a fürt a privát végpontot használja a tárfiók elérésekor.
Microsoft Storage: Az Azure Machine Learning számítási példánya és számítási fürtje az Azure Batchre támaszkodik. Egy Microsoft-előfizetésben található tárolóhoz férnek hozzá. Ez a tároló csak a számítási példány vagy a fürt kezelésére szolgál. Az adatok egyikét sem tárolja itt. A számítási példány és a számítási fürt a 443-os port (HTTPS) használatával fér hozzá a tároló blob-, tábla- és üzenetsoradataihoz.
A Machine Learning egy Azure Cosmos DB-példányban is tárolja a metaadatokat. Alapértelmezés szerint ez a példány egy Microsoft-előfizetésben van üzemeltetve, és a Microsoft kezeli azt. Azure Cosmos DB-példányt is használhat az Azure-előfizetésében. További információ: Adattitkosítás az Azure Machine Learning használatával.
Forgatókönyv: Munkaterület elérése a studióból
Feljegyzés
A jelen szakaszban szereplő információk az Azure Machine Learning Studió munkaterületének használatára vonatkoznak. Ha az Azure Machine Learning SDK-t, a REST API-t, az Azure CLI-t vagy a Visual Studio Code-ot használja, az ebben a szakaszban szereplő információk nem vonatkoznak Önre.
Amikor a munkaterületet a stúdióból éri el, a hálózati forgalom a következő:
- Az erőforrások hitelesítéséhez a konfiguráció Microsoft Entra-azonosítót használ.
- A felügyeleti és üzembehelyezési műveletekhez a konfiguráció az Azure Resource Managert használja.
- Az Azure Machine Learningre jellemző feladatok esetében a konfiguráció az Azure Machine Learning szolgáltatást használja.
- Az Azure Machine Learning Studióhoz való hozzáféréshez a konfiguráció az Azure Front Doort használja.
- A legtöbb tárolási művelet esetében a forgalom a munkaterület alapértelmezett tárolójának privát végpontja felé halad. Az AutoML használata, a tervező, az adatkészlet és a jelen cikk stúdiószakaszában található adattár a kivételekről szól.
- Olyan DNS-megoldást is konfigurálnia kell, amely lehetővé teszi a virtuális hálózaton belüli erőforrások nevének feloldását. További információ: A munkaterület használata egyéni DNS-kiszolgálóval.
Forgatókönyv: Az AutoML, a tervező, az adatkészlet és az adattár használata a stúdióból
Az Azure Machine Learning Studio alábbi funkciói adatprofilozást használnak:
- Adatkészlet: Az adathalmaz felfedezése a stúdióból.
- Tervező: Modul kimeneti adatainak megjelenítése.
- AutoML: Megtekintheti az adatok előnézetét vagy profilját, és kiválaszthat egy céloszlopot.
- Címkézés: Címkék használatával előkészíthet adatokat egy gépi tanulási projekthez.
Az adatprofilozás attól függ, hogy az Azure Machine Learning által felügyelt szolgáltatás képes-e hozzáférni a munkaterület alapértelmezett Azure Storage-fiókjához. A felügyelt szolgáltatás nem létezik a virtuális hálózaton, így nem tud közvetlenül hozzáférni a virtuális hálózat tárfiókjához. Ehelyett a munkaterület szolgáltatásnévvel fér hozzá a tárterülethez.
Tipp.
A munkaterület létrehozásakor megadhat egy egyszerű szolgáltatást. Ha nem, létrejön egy ön számára, és ugyanaz a neve, mint a munkaterületének.
A tárfiókhoz való hozzáférés engedélyezéséhez konfigurálja úgy a tárfiókot, hogy engedélyezze a munkaterület erőforráspéldányát, vagy válassza a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások engedélyezése lehetőséget a tárfiók eléréséhez. Ez a beállítás lehetővé teszi, hogy a felügyelt szolgáltatás az Azure adatközpont-hálózatán keresztül férhessen hozzá a tárolóhoz.
Ezután adja hozzá a munkaterület szolgáltatásnevét az Olvasó szerepkörhöz a tárfiók privát végpontjára. Az Azure ezt a szerepkört használja a munkaterület és a táralhálózat adatainak ellenőrzésére. Ha megegyeznek, az Azure engedélyezi a hozzáférést. Végül a szolgáltatásnévhez blobadat-közreműködői hozzáférésre is szükség van a tárfiókhoz.
További információt az Azure Machine Learning-munkaterület biztonságossá tételének virtuális hálózatokkal foglalkozó szakaszában talál.
Forgatókönyv: Számítási példány és számítási fürt használata
Az Azure Machine Learning számítási példánya és számítási fürtje a Microsoft által üzemeltetett felügyelt szolgáltatások. Az Azure Batch szolgáltatásra épülnek. Bár a Microsoft által felügyelt környezetben léteznek, a rendszer a virtuális hálózatba is injektálja őket.
Számítási példány vagy számítási fürt létrehozásakor a következő erőforrások is létrejönnek a virtuális hálózaton:
Hálózati biztonsági csoport a szükséges kimenő szabályokkal. Ezek a szabályok engedélyezik a bejövő hozzáférést az Azure Machine Learningből (TCP a 44224-s porton) és az Azure Batchből (TCP a 29876-29877-ös portokon).
Fontos
Ha tűzfalat használ a virtuális hálózathoz való internet-hozzáférés letiltásához, a tűzfalat úgy kell konfigurálnia, hogy engedélyezze ezt a forgalmat. Az Azure Firewall használatával például létrehozhat felhasználó által megadott útvonalakat. További információ: Bejövő és kimenő hálózati forgalom konfigurálása.
Nyilvános IP-címmel rendelkező terheléselosztó.
A következő szolgáltatáscímkék kimenő elérését is engedélyezheti. Minden címkénél cserélje le region a számítási példány vagy -fürt Azure-régióját:
Storage.region: Ez a kimenő hozzáférés az Azure Batch által felügyelt virtuális hálózaton belüli Azure Storage-fiókhoz való csatlakozásra szolgál.Keyvault.region: Ez a kimenő hozzáférés az Azure Batch által felügyelt virtuális hálózaton belüli Azure Key Vault-fiókhoz való csatlakozásra szolgál.
A számítási példányból vagy a fürtből származó adathozzáférés a virtuális hálózat tárfiókjának privát végpontja.
Ha a Visual Studio Code-ot számítási példányon használja, engedélyeznie kell az egyéb kimenő forgalmat. További információ: Bejövő és kimenő hálózati forgalom konfigurálása.
Forgatókönyv: Online végpontok használata
A felügyelt online végpontok esetében külön konfigurálja a bejövő és kimenő kommunikáció biztonságát.
Bejövő kommunikáció
Az online végpont pontozási URL-címével való bejövő kommunikáció biztonságossá tételéhez használja a public_network_access végponton lévő jelzőt. A jelző disabled beállításával biztosítható, hogy az online végpont csak az ügyfél virtuális hálózatáról fogadja a forgalmat az Azure Machine Learning-munkaterület privát végpontján keresztül.
Az public_network_access Azure Machine Learning-munkaterület zászlaja az online végpont láthatóságát is szabályozza. Ha ez a jelző, disableda pontozási végpontok csak olyan virtuális hálózatokról érhetők el, amelyek a munkaterület privát végpontját tartalmazzák. Ha ez a jelző, enableda pontozási végpont a virtuális hálózatról és a nyilvános hálózatokról érhető el.
Kimenő kommunikáció
Az Azure Machine Learning-munkaterület felügyelt virtuális hálózatelkülönítésével biztonságossá teheti az üzemelő példányok kimenő kommunikációját a munkaterület szintjén. Ezzel a beállítással az Azure Machine Learning létrehoz egy felügyelt virtuális hálózatot a munkaterülethez. A munkaterület felügyelt virtuális hálózatának minden üzembe helyezése használhatja a virtuális hálózat privát végpontjait a kimenő kommunikációhoz.
A kimenő kommunikáció biztonságossá tételéhez használt régi hálózati elkülönítési módszer az üzembe helyezés jelzőjének egress_public_network_access letiltásával működött. Javasoljuk, hogy inkább egy munkaterület által felügyelt virtuális hálózat használatával biztosítsa a kimenő kommunikációt az üzemelő példányok számára. Az örökölt megközelítéstől eltérően az egress_public_network_access üzembe helyezés jelzője már nem érvényes, ha egy munkaterület által felügyelt virtuális hálózatot használ az üzembe helyezéssel. Ehelyett a munkaterület felügyelt virtuális hálózatához beállított szabályok szabályozzák a kimenő kommunikációt.
Forgatókönyv: Az Azure Kubernetes Service használata
Az Azure Kubernetes Service szükséges kimenő konfigurálásával kapcsolatos információkért lásd : Azure Machine Learning-következtetési környezet védelme virtuális hálózatokkal.
Feljegyzés
Az Azure Kubernetes Service terheléselosztója nem ugyanaz, mint az Azure Machine Learning által létrehozott terheléselosztó. Ha biztonságos alkalmazásként szeretné üzemeltetni a modellt, amely csak a virtuális hálózaton érhető el, használja az Azure Machine Learning által létrehozott belső terheléselosztót. Ha engedélyezni szeretné a nyilvános hozzáférést, használja az Azure Machine Learning által létrehozott nyilvános terheléselosztót.
Ha a modell további bejövő vagy kimenő kapcsolatot igényel, például külső adatforráshoz, használjon hálózati biztonsági csoportot vagy tűzfalat a forgalom engedélyezéséhez.
Forgatókönyv: Az Azure Machine Learning által kezelt Docker-rendszerképek használata
Az Azure Machine Learning Docker-rendszerképeket biztosít, amelyekkel modelleket taníthat be vagy következtetést hajthat végre. Ezek a képek Microsoft Eszközjegyzék vannak tárolva.
Ha saját Docker-lemezképeket ad meg, például egy ön által megadott tárolóregisztrációs adatbázisban, nincs szüksége az Artifact Registryvel való kimenő kommunikációra.
Tipp.
Ha a tárolóregisztrációs adatbázis védett a virtuális hálózaton, az Azure Machine Learning nem tudja használni Docker-rendszerképek készítésére. Ehelyett ki kell jelölnie egy Azure Machine Learning számítási fürtöt a rendszerképek létrehozásához. További információ: Azure Machine Learning-munkaterület védelme virtuális hálózatokkal.
Következő lépések
Most, hogy megismerte, hogyan zajlik a hálózati forgalom egy biztonságos konfigurációban, az Azure Machine Learning biztonságossá tételéről a virtuális hálózatban a virtuális hálózatok elkülönítéséről és az adatvédelemről szóló áttekintő cikkből tudhat meg többet.
Az ajánlott eljárásokkal kapcsolatos információkért tekintse meg az Azure Machine Learning nagyvállalati biztonsági cikkének ajánlott eljárásait.