Megosztás:

Bejövő és kimenő hálózati forgalom konfigurálása

Az Azure Machine Learninghez hozzáférést kell biztosítani a nyilvános interneten található kiszolgálókhoz és szolgáltatásokhoz. A hálózatelkülönítés megvalósításakor tisztában kell lennie a szükséges hozzáféréssel és annak engedélyezésének módjával.

Feljegyzés

A cikkben szereplő információk az Azure Virtual Network használatára konfigurált Azure Machine Learning-munkaterületre vonatkoznak. Felügyelt virtuális hálózat használata esetén a rendszer automatikusan alkalmazza a munkaterülethez szükséges bejövő és kimenő konfigurációt. További információ: Azure Machine Learning által felügyelt virtuális hálózat.

Általános kifejezések és információk

A cikk a következő kifejezéseket és információkat használja:

  • Azure-szolgáltatáscímkék: A szolgáltatáscímkék egyszerű módot adnak az Azure-szolgáltatás által használt IP-tartományok megadására. A címke például az AzureMachineLearning Azure Machine Learning szolgáltatás által használt IP-címeket jelöli.

    Fontos

    Az Azure-szolgáltatáscímkéket csak egyes Azure-szolgáltatások támogatják. A hálózati biztonsági csoportokkal és az Azure Firewalllal támogatott szolgáltatáscímkék listáját a virtuális hálózati szolgáltatás címkéiről szóló cikkben találja.

    Ha nem Azure-beli megoldást, például külső tűzfalat használ, töltse le az Azure IP-tartományok és szolgáltatáscímkék listáját. Bontsa ki a fájlt, és keresse meg a szolgáltatáscímkét a fájlban. Az IP-címek időnként változhatnak.

  • Régió: Egyes szolgáltatáscímkék lehetővé teszik egy Azure-régió megadását. Ez korlátozza a szolgáltatás IP-címeinek elérését egy adott régióban, általában abban, amelyben a szolgáltatás található. Ebben a cikkben, amikor megjelenik <region>, cserélje le helyette az Azure-régiót. Például BatchNodeManagement.<region> akkor, BatchNodeManagement.uswest ha az Azure Machine Learning-munkaterület az USA nyugati régiójában található.

  • Azure Batch: Az Azure Machine Learning számítási fürtöi és számítási példányai egy háttérbeli Azure Batch-példányra támaszkodnak. Ezt a háttérszolgáltatást egy Microsoft-előfizetésben üzemeltetik.

  • Portok: Ebben a cikkben a következő portokat használjuk. Ha egy porttartomány nem szerepel a táblázatban, az a szolgáltatásra jellemző, és nem feltétlenül rendelkezik közzétett információkkal arról, hogy mire használják:

    Kikötő Leírás
    80 Nem biztonságos webes forgalom (HTTP)
    443 Biztonságos webes forgalom (HTTPS)
    445 Az Azure File Storage fájlmegosztásaihoz való hozzáféréshez használt SMB-forgalom
    8787 Amikor egy számítási példányon csatlakozik az RStudióhoz, akkor használatos.
    18881 A nyelvi kiszolgálóhoz való csatlakozásra szolgál, hogy engedélyezze az IntelliSense-t egy jegyzetfüzet számítási példányán.

  • Protokoll: Ha másként nem jelezzük, a cikkben említett összes hálózati forgalom TCP-t használ.

Alapszintű konfiguráció

Ez a konfiguráció a következő feltételezéseket teszi lehetővé:

  • Ön egy ön által megadott tárolóregisztrációs adatbázis által biztosított Docker-lemezképeket használ, és nem használja a Microsoft által biztosított rendszerképeket.
  • Privát Python-csomagtárházat használ, és nem fér hozzá a nyilvános csomagtárházakhoz, például pypi.org, *.anaconda.comvagy *.anaconda.org.
  • A privát végpontok közvetlenül kommunikálhatnak egymással a virtuális hálózaton belül. Például minden szolgáltatás rendelkezik egy privát végponttal ugyanabban a virtuális hálózaton:
    • Azure Machine Learning-munkaterület
    • Azure Storage-fiók (blob, fájl, tábla, üzenetsor)

Bejövő forgalom

Forrás Forrás
portok		 Cél Célportok Cél
AzureMachineLearning Bármely VirtualNetwork 44224 Bejövő forgalom a számítási egységbe/fürtbe. Csak akkor szükséges, ha a példányt/fürtöt nyilvános IP-cím használatára konfigurálták.

Tipp.

Ehhez a forgalomhoz alapértelmezés szerint létrejön egy hálózati biztonsági csoport (NSG). További információ: Alapértelmezett biztonsági szabályok.

Kimenő forgalom

Szolgáltatáscímkék Portok Cél
AzureActiveDirectory 80, 443 Hitelesítés Microsoft Entra ID használatával.
AzureMachineLearning 443, 8787, 18881
UDP: 5831		 Az Azure Machine Learning-szolgáltatások használata.
BatchNodeManagement.<region> 443 Azure Batch kommunikáció.
AzureResourceManager 443 Azure-erőforrások létrehozása az Azure Machine Learning használatával.
Storage.<region> 443 Az Azure Storage-fiókban tárolt adatok elérése számítási fürtökhöz és számítási példányokhoz. Ez a kimenő kapcsolat használható az adatok kiszivárogtatásához. További információ: Adatkiszivárgás elleni védelem.
AzureFrontDoor.FrontEnd
* Nem szükséges a 21Vianet által üzemeltetett Microsoft Azure-ban.		 443 Globális belépési pont az Azure Machine Learning Studióhoz. Képek és környezetek tárolása az AutoML-hez.
MicrosoftContainerRegistry 443 A Microsoft által biztosított Docker-rendszerképek elérése.
Frontdoor.FirstParty 443 A Microsoft által biztosított Docker-rendszerképek elérése.
AzureMonitor 443 A monitorozás és a metrikák naplózásának végrehajtására az Azure Monitorban. Csak akkor van szükség, ha nem használ biztonságos Azure Monitort a munkaterülethez.
* Ez a kimenő szolgáltatás a támogatási incidensek adatainak naplózására is használható.
VirtualNetwork 443 Akkor szükséges, ha privát végpontok találhatók a virtuális hálózatban vagy a társhálózatban lévő virtuális hálózatokban.

Fontos

Ha egy számítási példány vagy számítási fürt nincs nyilvános IP-címre konfigurálva, alapértelmezés szerint nem fér hozzá az internethez. Ha továbbra is képes kimenő forgalmat küldeni az internetre, az az Azure alapértelmezett kimenő hozzáférése miatt van, és rendelkezik egy NSG-vel, amely engedélyezi a kimenő forgalmat az internetre. Nem javasoljuk az alapértelmezett kimenő hozzáférés használatát. Ha kimenő internet-hozzáférésre van szüksége, javasoljuk, hogy az alapértelmezett kimenő hozzáférés helyett használja az alábbi lehetőségek egyikét:

  • Azure Virtual Network NAT nyilvános IP-címmel: A virtuális hálózati nat használatával kapcsolatos további információkért tekintse meg a virtuális hálózati NAT dokumentációját.
  • Felhasználó által definiált útvonal és tűzfal: Hozzon létre egy felhasználó által definiált útvonalat a számítást tartalmazó alhálózatban. Az útvonal következő ugrásának a tűzfal magánhálózati IP-címére kell hivatkoznia a 0.0.0.0/0 címelőtaggal.

További információ: Az Alapértelmezett kimenő hozzáférés az Azure-ban című cikkben.

Kimenő forgalom

Szolgáltatás címke(k) Portok Cél
MicrosoftContainerRegistry és AzureFrontDoor.FirstParty 443 Lehetővé teszi a Microsoft által a betanításhoz és következtetéshez biztosított Docker-rendszerképek használatát. Emellett beállítja az Azure Machine Learning-útválasztót az Azure Kubernetes Service-hez.

Ha engedélyezni szeretné a Python-csomagok telepítését a betanításhoz és üzembe helyezéshez, engedélyezze a kimenő forgalmat a következő gazdagépnevekre:

Feljegyzés

Az alábbi lista nem tartalmazza az interneten található Python-erőforrásokhoz szükséges gazdagépeket, csak a leggyakrabban használtakat. Például, ha hozzáférésre van szüksége egy GitHub-adattárhoz vagy más gazdagéphez, akkor meg kell határoznia és hozzá kell adnia a szükséges gazdagépeket az adott forgatókönyvhöz.

Hosztnév Cél
anaconda.com
*.anaconda.com		 Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org Adattáradatok lekérésére szolgál.
pypi.org Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet a felhasználói beállítások nem írják felül. Ha az index felülírva van, engedélyeznie *.pythonhosted.orgkell azt is.
pytorch.org
*.pytorch.org		 Néhány példa a PyTorch-ot használja.
*.tensorflow.org A TensorFlow-on alapuló néhány példa használja.

Forgatókönyv: Az RStudio telepítése számítási példányra

Ha engedélyezni szeretné az RStudio telepítését egy számítási példányon, a tűzfalnak engedélyeznie kell a kimenő hozzáférést azokhoz a webhelyekhez, amelyekről a Docker-rendszerképet kéri le. Adja hozzá a következő alkalmazásszabályt az Azure Firewall-szabályzathoz:

  • Név: AllowRStudioInstall
  • Forrás típusa: IP-cím
  • Forrás IP-címek: Annak az alhálózatnak az IP-címtartománya, ahol a számítási erőforrást létrehozza. Például: 172.16.0.0/24.
  • Céltípus: FQDN (teljes tartománynév)
  • Cél FQDN: ghcr.io, pkg-containers.githubusercontent.com
  • Protokoll: Https:443

Az R-csomagok telepítésének engedélyezéséhez engedélyezze a kimenő forgalmat.cloud.r-project.org Ez a gazdagép CRAN-csomagok telepítéséhez használható.

Feljegyzés

Ha hozzá kell férnie egy GitHub-adattárhoz vagy más gazdagéphez, azonosítania kell és hozzá kell adnia az adott forgatókönyvhöz szükséges gazdagépeket.

Forgatókönyv: Számítási fürt vagy számítási példány használata nyilvános IP-címmel

Fontos

A nyilvános IP-cím nélküli számítási példányok vagy számítási fürtök nem igényelnek bejövő forgalmat az Azure Batch felügyeleti és Azure Machine Learning-szolgáltatásokból. Ha azonban több számítással rendelkezik, és némelyikük nyilvános IP-címet használ, engedélyeznie kell ezt a forgalmat.

Ha Azure Machine Learning számítási példányt vagy számítási fürtöt használ (nyilvános IP-címmel), engedélyezze a bejövő forgalmat az Azure Machine Learning szolgáltatásból. Egy nyilvános IP-címmel nem rendelkező számítási példány vagy számítási fürt nem igényli ezt a bejövő kommunikációt. A rendszer dinamikusan létrehoz egy olyan hálózati biztonsági csoportot, amely engedélyezi ezt a forgalmat, de tűzfal esetén előfordulhat, hogy felhasználó által megadott útvonalakat (UDR) is létre kell hoznia. A forgalomhoz tartozó UDR létrehozásakor IP-címek vagy szolgáltatáscímkék használatával irányíthatja a forgalmat.

Az Azure Machine Learning szolgáltatáshoz hozzá kell adnia az elsődleges és a másodlagos régiók IP-címét is. A másodlagos régió megkereséséhez tekintse meg a régiók közötti replikációt az Azure-ban. Ha például az Azure Machine Learning szolgáltatás az USA 2. keleti régiójában található, a másodlagos régió az USA középső régiója.

Az Azure Machine Learning szolgáltatás IP-címeinek listájának lekéréséhez töltse le az Azure IP-tartományait és szolgáltatáscímkéket , és keressen rá a fájlra AzureMachineLearning.<region>, ahol <region> az Azure-régió található.

Fontos

Az IP-címek idővel változhatnak.

Az UDR létrehozásakor állítsa a Következő ugrás típustinternetre. Ez azt jelenti, hogy az Azure bejövő kommunikációja kihagyja a tűzfalat, hogy elérje a nyilvános IP-címekkel rendelkező számítási példány és számítási fürt terheléselosztóit. Az UDR-re azért van szükség, mert a számítási példány és a számítási fürt véletlenszerű nyilvános IP-címeket kap a létrehozáskor, és a létrehozás előtt nem ismerheti meg a nyilvános IP-címeket, hogy regisztrálja őket a tűzfalon, hogy lehetővé tegye a bejövő forgalmat az Azure-ból a számítási példányhoz és a számítási fürthöz tartozó meghatározott IP-címekre. Az alábbi képen egy példa IP-címalapú UDR látható az Azure Portalon:

Felhasználó által definiált útvonalkonfiguráció képe

Az UDR konfigurálásával kapcsolatos információkért lásd: Hálózati forgalom átirányítása útválasztási táblával.

Forgatókönyv: Tűzfal az Azure Machine Learning és az Azure Storage-végpontok között

A kimenő hozzáférést Storage.<region> a 445-ös porton is engedélyeznie kell.

Forgatókönyv: A jelölővel hbi_workspace létrehozott munkaterület engedélyezve van

A kimenő hozzáférést is engedélyeznie kell.Keyvault.<region> Ez a kimenő forgalom a key vault-példány elérésére szolgál a háttérbeli Azure Batch szolgáltatáshoz.

A jelzőről hbi_workspace további információt az adattitkosításról szóló cikkben talál.

Forgatókönyv: Kubernetes-számítás használata

A Kubernetes-fürt, amely egy kimenő proxykiszolgáló vagy tűzfal mögött fut, további kimenő hálózati konfigurációt igényel.

A fenti követelmények mellett a következő kimenő URL-címekre is szükség van az Azure Machine Learninghez,

Kimenő végpont Kikötő Leírás Oktatás Következtetés
*.kusto.windows.net
*.table.core.windows.net
*.queue.core.windows.net		 443 A rendszernaplók Kusto-ba való feltöltéséhez szükséges.
<your ACR name>.azurecr.io
<your ACR name>.<region>.data.azurecr.io		 443 A gépi tanulási számítási feladatokhoz használt Docker-rendszerképek lekéréséhez szükséges Azure Container Registry.
<your storage account name>.blob.core.windows.net 443 Azure Blob Storage, amely gépi tanulási projektszkriptek, adatok vagy modellek beolvasásához és feladatnaplók/kimenetek feltöltéséhez szükséges.
<your workspace ID>.workspace.<region>.api.azureml.ms
<region>.experiments.azureml.net
<region>.api.azureml.ms		 443 Azure Machine Learning service API.
pypi.org 443 Python-csomagindex a betanítási feladatkörnyezet inicializálásához használt PIP-csomagok telepítéséhez. n/a
archive.ubuntu.com
security.ubuntu.com
ppa.launchpad.net		 80 A szükséges biztonsági javítások letöltéséhez szükséges. n/a

Feljegyzés

  • Cserélje le <your workspace workspace ID> a munkaterület azonosítóját. Az azonosító az Azure Portalon található – a Machine Learning-erőforrásoldal – Tulajdonságok – Munkaterület azonosítója.
  • Cserélje le <your storage account> a tárfiók nevére.
  • Cserélje le a <your ACR name> -t a munkaterülethez tartozó Azure Container Registry nevére.
  • Cserélje le <region> a munkaterület régiójára.

Fürtön belüli kommunikációs követelmények

Ha telepíteni szeretné az Azure Machine Learning bővítményt a Kubernetes-számításra, az összes Azure Machine Learning-hez kapcsolódó összetevő egy azureml névtérben lesz üzembe helyezve. A következő fürtön belüli kommunikációra van szükség ahhoz, hogy az ML-számítási feladatok megfelelően működjenek az AKS-fürtben.

  • A névtér összetevőinek azureml képesnek kell lenniük kommunikálni a Kubernetes API-kiszolgálóval.
  • A névtér összetevőinek azureml képesnek kell lenniük kommunikálni egymással.
  • Az azureml névtér összetevőinek képesnek kell lenniük kommunikálni a kube-dns névtérben található konnectivity-agent és kube-system.
  • Ha a fürtöt valós idejű következtetésre használják, azureml-fe-xxx a POD-oknak képesnek kell lenniük kommunikálni az 5001-es porton lévő és más névtérben található üzembe helyezett modell POD-okkal. azureml-fe-xxx A poD-knak 11001, 12001, 12101, 12201, 20000, 8000, 8001, 9001 portot kell megnyitniuk a belső kommunikációhoz.
  • Ha a fürtöt valós idejű következtetésekre használják, az üzembe helyezett modell POD-jainak képesnek kell lenniük kommunikálni a 9999-es porton lévő amlarc-identity-proxy-xxx POD-kkal.

Forgatókönyv: Visual Studio Code

A Visual Studio Code meghatározott gazdagépekre és portokra támaszkodik a távoli kapcsolat létrehozásához.

Házigazdák

Az ebben a szakaszban szereplő gazdagépekkel Visual Studio Code-csomagokat telepíthet, hogy távoli kapcsolatot létesítsen a Visual Studio Code és a számítási példányok között az Azure Machine Learning-munkaterületen.

Feljegyzés

Ez nem az internet összes Visual Studio Code-erőforrásához szükséges házigazdák teljes listája, csak a leggyakrabban használtakat tartalmazza. Például, ha hozzáférésre van szüksége egy GitHub-adattárhoz vagy más gazdagéphez, akkor meg kell határoznia és hozzá kell adnia a szükséges gazdagépeket az adott forgatókönyvhöz. A gazdagépnevek teljes listáját a Visual Studio Code hálózati kapcsolatok részében találja.

Hosztnév Cél
*.vscode.dev
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com		 A vscode.dev (webes Visual Studio Code) eléréséhez szükséges
code.visualstudio.com Az asztali VS Code letöltéséhez és telepítéséhez szükséges. Ez a gazdagép nem szükséges a webes VS Code használatához.
update.code.visualstudio.com
*.vo.msecnd.net		 A VS Code szerver komponenseinek lekérésére használatos, amelyeket egy telepítési szkripttel telepítettek a számítási példányra.
marketplace.visualstudio.com
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io		 A VS Code-bővítmények letöltéséhez és telepítéséhez szükséges. Ezek a gazdagépek teszik lehetővé a számítási példányokkal való távoli kapcsolatot a VS Code Azure gépi tanulás bővítményének használatával. További információ: Csatlakozás Azure Machine Learning számítási példányhoz a Visual Studio Code-ban
https://github.com/microsoft/vscode-tools-for-ai/tree/master/azureml_remote_websocket_server/* A számítási példányra telepített WebSocket-kiszolgáló elemeinek visszakeresésére használatos. A websocket-kiszolgáló kéréseket továbbít a Visual Studio Code-ügyféltől (asztali alkalmazás) a számítási példányon futtatott Visual Studio Code-kiszolgálóhoz. A azureml_websocket_server csak interaktív feladathoz való csatlakozáskor szükséges, lásd : Interakció a feladatokkal (hibakeresés és monitorozás)
vscode.download.prss.microsoft.com A Visual Studio Code letöltési CDN-hez használatos

Portok

Engedélyeznie kell a hálózati forgalmat a 8704 és 8710 közötti portokon. A VS Code-kiszolgáló dinamikusan kiválasztja az első elérhető portot ezen a tartományon belül.

Forgatókönyv: Külső tűzfal vagy Azure Firewall szolgáltatáscímkék nélkül

Az ebben a szakaszban található útmutató általános, mivel minden tűzfal saját terminológiával és konkrét konfigurációkkal rendelkezik. Ha kérdése van, tekintse meg a használt tűzfal dokumentációját.

Tipp.

Ha az Azure Firewallt használja, és szolgáltatáscímkék használata helyett az ebben a szakaszban felsorolt teljes tartományneveket szeretné használni, kövesse az alábbi útmutatást:

  • Az HTTP/S portokat (80 és 443) használó FQDN-eket alkalmazásszabályokként kell konfigurálni.
  • A más portokat használó teljes tartományneveket hálózati szabályként kell konfigurálni.

További információ: Különbségek az alkalmazásszabályokban és a hálózati szabályokban.

Ha nincs megfelelően konfigurálva, a tűzfal problémákat okozhat a munkaterület használatával. Az Azure Machine Learning-munkaterület számos különféle gazdagépnevet használ. Az alábbi szakaszok az Azure Machine Learninghez szükséges kiszolgálókat sorolják fel.

Függőségek API

Az Azure Machine Learning REST API-t is használhatja, hogy lekérje azoknak a gazdagépeknek és portoknak a listáját, amelyekhez engedélyeznie kell a kimenő forgalmat. Az API használatához kövesse az alábbi lépéseket:

  1. Hitelesítési token beszerzése. Az alábbi parancs bemutatja, hogy az Azure CLI használatával lekérhet egy hitelesítési jogkivonatot és egy előfizetés-azonosítót:

    TOKEN=$(az account get-access-token --query accessToken -o tsv)
SUBSCRIPTION=$(az account show --query id -o tsv)

  2. Hívja meg az API-t. A következő parancsban cserélje le a következő értékeket:

    • Cserélje le <region> azt az Azure-régiót, amelyben a munkaterület található. Például: westus2.
    • Cserélje le <resource-group> a munkaterületet tartalmazó erőforráscsoportra.
    • Cserélje le <workspace-name> a munkaterület nevére.
    az rest --method GET \
    --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
    --header Authorization="Bearer $TOKEN"

Az API-hívás eredménye egy JSON-dokumentum. A következő kódrészlet a dokumentum egy részlete:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Microsoft tárhelyszolgáltatások

Az alábbi táblázatokban felsorolt gazdagépek a Microsoft tulajdonát képezik, és a munkaterület megfelelő működéséhez szükséges szolgáltatásokat nyújtják. A táblázatok felsorolják az Azure Public, Azure Government és a 21Vianet-régiók által üzemeltetett Microsoft Azure gazdagépeit.

Fontos

Az Azure Machine Learning Azure Storage-fiókokat használ az előfizetésében és a Microsoft által felügyelt előfizetésekben. Ahol lehetséges, a következő kifejezésekkel különböztetjük meg őket ebben a szakaszban:

  • Saját tárterület: Az előfizetésben található Azure Storage-fiók(ok), amely az adatok és összetevők, például modellek, betanítási adatok, betanítási naplók és Python-szkriptek tárolására szolgál.>
  • Microsoft Storage: Az Azure Machine Learning számítási példánya és számítási fürtöi az Azure Batchre támaszkodnak, és hozzá kell férniük egy Microsoft-előfizetésben található tárolóhoz. Ez a tárterület csak a számítási példányok kezelésére szolgál. Adatait egyáltalán nem tároljuk itt.

Általános Azure-gazdagépek

A következőhöz szükséges: Házigazdák Protokoll Portok
Microsoft Entra-azonosító login.microsoftonline.com TCP 80, 443
Azure Portal management.azure.com TCP 443
Azure Resource Manager management.azure.com TCP 443

Azure Machine Learning-gazdagépek

Fontos

Az alábbi táblázatban cserélje le <storage> az Azure Machine Learning-munkaterület alapértelmezett tárfiókjának nevét. Cserélje le <region> a munkaterület régiójára.

A következőhöz szükséges: Házigazdák Protokoll Portok
Azure Machine Learning Studio ml.azure.com TCP 443
Alkalmazásprogramozási interfész (API) *.azureml.ms TCP 443
Alkalmazásprogramozási interfész (API) *.azureml.net TCP 443
Modellkezelés *.modelmanagement.azureml.net TCP 443
Integrált jegyzetfüzet *.notebooks.azure.net TCP 443
Integrált jegyzetfüzet <storage>.file.core.windows.net TCP 443, 445
Integrált jegyzetfüzet <storage>.dfs.core.windows.net TCP 443
Integrált jegyzetfüzet <storage>.blob.core.windows.net TCP 443
Integrált jegyzetfüzet graph.microsoft.com TCP 443
Integrált jegyzetfüzet *.aznbcontent.net TCP 443
AutoML NLP, Képfeldolgozás automlresources-prod.azureedge.net TCP 443
AutoML NLP, Képfeldolgozás aka.ms TCP 443

Feljegyzés

Az AutoML NLP és a Vision jelenleg csak az Azure nyilvános régióiban támogatott.

Azure Machine Learning számítási példány és számítási fürt gazdagépei

Tipp.

  • Az Azure Key Vault szolgáltatására csak akkor van szükség, ha a munkaterület a hbi_workspace jelzővel lett létrehozva.
  • A számítási példány 8787-es és 18881-es portjaira csak akkor van szükség, ha az Azure Machine munkaterület privát végpontot használ.
  • Az alábbi táblázatban cserélje le <storage> az Azure Machine Learning-munkaterület alapértelmezett tárfiókjának nevét.
  • Az alábbi táblázatban cserélje le <region> az Azure Machine Learning-munkaterületet tartalmazó Azure-régióra.
  • A WebSocket-kommunikációt engedélyezni kell a számítási példány számára. Ha letiltja a websocket-forgalmat, a Jupyter-jegyzetfüzetek nem fognak megfelelően működni.
A következőhöz szükséges: Házigazdák Protokoll Portok
Számítási fürt/példány graph.windows.net TCP 443
Számítási egység *.instances.azureml.net TCP 443
Számítási egység *.instances.azureml.ms TCP 443, 8787, 18881
Számítási egység <region>.tundra.azureml.ms Felhasználói Datagram Protokoll (UDP) 5831
Számítási egység *.<region>.batch.azure.com BÁRMELY 443
Számítási egység *.<region>.service.batch.azure.com BÁRMELY 443
Microsoft Storage-hozzáférés *.blob.core.windows.net TCP 443
Microsoft Storage-hozzáférés *.table.core.windows.net TCP 443
Microsoft Storage-hozzáférés *.queue.core.windows.net TCP 443
Az Ön tárfiókja <storage>.file.core.windows.net TCP 443, 445
Az Ön tárfiókja <storage>.blob.core.windows.net TCP 443
Azure Key Vault *.vault.azure.net TCP 443

Az Azure Machine Learning által karbantartott Docker-rendszerképek

A következőhöz szükséges: Házigazdák Protokoll Portok
Microsoft Konténer-nyilvántartó
mcr.microsoft.com*.data.mcr.microsoft.com		 TCP 443

Tipp.

  • Az Azure Container Registry minden egyéni Docker-rendszerképhez szükséges. Ez magában foglalja a Microsoft által biztosított rendszerképek alapjául szolgáló kisebb módosításokat (például további csomagokat). Ezt az Azure Machine Learning belső betanítási feladatbeküldési folyamata is megköveteli. Emellett a Microsoft Container Registryre mindig szükség van, függetlenül a forgatókönyvtől.
  • Ha összevont identitás használatát tervezi, kövesse az Active Directory összevonási szolgáltatások védelmének ajánlott eljárásait .

Továbbá, a nyilvános IP-vel való számítás szakasz információit használva hozzáadhat IP-címeket a BatchNodeManagement és AzureMachineLearning részére.

Az AKS-ben üzembe helyezett modellekhez való hozzáférés korlátozásáról további információt az Azure Kubernetes Service kimenő forgalmának korlátozása című témakörben talál.

Monitorozás, metrikák és diagnosztika

Ha még nem biztosította az Azure Monitort a munkaterület számára, engedélyeznie kell a kimenő adatforgalmat a következő házigazdák felé:

Ha még nem biztosította az Azure Monitort a munkaterület számára, engedélyeznie kell a kimenő adatforgalmat a következő házigazdák felé:

Feljegyzés

Az ezekre a gazdagépekre naplózott információkat a Microsoft ügyfélszolgálata is felhasználja, hogy elháríthassa a munkaterületével kapcsolatos bármilyen felmerülő problémát.

  • dc.applicationinsights.azure.com
  • dc.applicationinsights.microsoft.com
  • dc.services.visualstudio.com
  • *.in.applicationinsights.azure.com

Az ezekhez a gazdagépekhez tartozó IP-címek listájáért tekintse meg az Azure Monitor által használt IP-címeket.

Következő lépések

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

További információ az Azure Firewall konfigurálásáról : Oktatóanyag: Az Azure Firewall üzembe helyezése és konfigurálása az Azure Portal használatával.

  • Last updated on