Bejövő és kimenő hálózati forgalom konfigurálása

  • Cikk

Az Azure Machine Tanulás hozzáférést igényel a nyilvános interneten található kiszolgálókhoz és szolgáltatásokhoz. A hálózatelkülönítés megvalósításakor tisztában kell lennie a szükséges hozzáféréssel és annak engedélyezésének módjával.

Feljegyzés

A cikkben szereplő információk az Azure Machine Tanulás Azure-beli virtuális hálózat használatára konfigurált munkaterületre vonatkoznak. Felügyelt virtuális hálózat használata esetén a rendszer automatikusan alkalmazza a munkaterülethez szükséges bejövő és kimenő konfigurációt. További információ: Azure Machine Tanulás felügyelt virtuális hálózat.

Általános kifejezések és információk

A cikk a következő kifejezéseket és információkat használja:

  • Azure-szolgáltatáscímkék: A szolgáltatáscímkék egyszerű módot adnak az Azure-szolgáltatás által használt IP-tartományok megadására. A címke például az AzureMachineLearning Azure Machine Tanulás szolgáltatás által használt IP-címeket jelöli.

    Fontos

    Az Azure-szolgáltatáscímkéket csak egyes Azure-szolgáltatások támogatják. A hálózati biztonsági csoportokkal és az Azure Firewalllal támogatott szolgáltatáscímkék listáját a virtuális hálózati szolgáltatás címkéiről szóló cikkben találja.

    Ha nem Azure-beli megoldást, például külső tűzfalat használ, töltse le az Azure IP-tartományok és szolgáltatáscímkék listáját. Bontsa ki a fájlt, és keresse meg a szolgáltatáscímkét a fájlban. Az IP-címek rendszeresen változhatnak.

  • Régió: Egyes szolgáltatáscímkék lehetővé teszik egy Azure-régió megadását. Ez korlátozza a szolgáltatás IP-címeinek elérését egy adott régióban, általában abban, amelyben a szolgáltatás található. Ebben a cikkben, amikor megjelenik <region>, cserélje le helyette az Azure-régiót. Ilyen lehet BatchNodeManagement.uswest például, BatchNodeManagement.<region> ha az Azure Machine Tanulás munkaterülete az USA nyugati régiójában található.

  • Azure Batch: Az Azure Machine Tanulás számítási fürtök és számítási példányok egy háttérbeli Azure Batch-példányra támaszkodnak. Ezt a háttérszolgáltatást Egy Microsoft-előfizetés üzemelteti.

  • Portok: Ebben a cikkben a következő portokat használjuk. Ha egy porttartomány nem szerepel a táblázatban, az a szolgáltatásra vonatkozik, és nem feltétlenül rendelkezik közzétett információkkal arról, hogy mire használják:

    Kikötő Leírás
    80 Nem biztonságos webes forgalom (HTTP)
    443 Biztonságos webes forgalom (HTTPS)
    445 Az Azure File Storage fájlmegosztásaihoz való hozzáféréshez használt SMB-forgalom
    8787 Akkor használatos, ha az RStudióhoz csatlakozik egy számítási példányon
    18881 A nyelvi kiszolgálóhoz való csatlakozásra szolgál, hogy engedélyezze az IntelliSense-t egy számítási példány jegyzetfüzeteihez.

  • Protokoll: Ha másként nem jelezzük, a cikkben említett összes hálózati forgalom TCP-t használ.

Alapszintű konfiguráció

Ez a konfiguráció a következő feltételezéseket teszi lehetővé:

  • Ön egy ön által megadott tárolóregisztrációs adatbázis által biztosított Docker-lemezképeket használ, és nem használja a Microsoft által biztosított rendszerképeket.
  • Privát Python-csomagtárházat használ, és nem fog hozzáférni olyan nyilvános csomagtárakhoz, mint például pypi.orga , *.anaconda.comvagy *.anaconda.org.
  • A privát végpontok közvetlenül kommunikálhatnak egymással a virtuális hálózaton belül. Például minden szolgáltatás rendelkezik egy privát végponttal ugyanabban a virtuális hálózaton:
    • Azure Machine Learning-munkaterület
    • Azure Storage-fiók (blob, fájl, tábla, üzenetsor)

Bejövő forgalom

Forrás Forrás
ports		 Cél Célportok Cél
AzureMachineLearning Bármely VirtualNetwork 44224 Bejövő forgalom a számítási példányba/fürtbe. Csak akkor szükséges, ha a példány/fürt nyilvános IP-cím használatára van konfigurálva.

Tipp.

Ehhez a forgalomhoz alapértelmezés szerint létrejön egy hálózati biztonsági csoport (NSG). További információ: Alapértelmezett biztonsági szabályok.

Kimenő forgalom

Szolgáltatáscímke/szolgáltatáscímkék Portok Cél
AzureActiveDirectory 80, 443 Hitelesítés Microsoft Entra ID használatával.
AzureMachineLearning 443, 8787, 18881
UDP: 5831		 Az Azure Machine Learning-szolgáltatások használata.
BatchNodeManagement.<region> 443 Kommunikációs Azure Batch.
AzureResourceManager 443 Azure-erőforrások létrehozása az Azure Machine Learning használatával.
Storage.<region> 443 Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. Ez a kimenő adatszűrés használható. További információ: Adatkiszivárgás elleni védelem.
AzureFrontDoor.FrontEnd
* Nem szükséges a 21Vianet által üzemeltetett Microsoft Azure-ban.		 443 Az Azure Machine Learning stúdió globális belépési pontja. Képek és környezetek tárolása az AutoML-hez.
MicrosoftContainerRegistry.<region> 443 A Microsoft által biztosított Docker-rendszerképek elérése.
Frontdoor.FirstParty 443 A Microsoft által biztosított Docker-rendszerképek elérése.
AzureMonitor 443 A monitorozás és a metrikák Azure Monitorba való naplózására szolgál. Csak akkor van szükség, ha nem biztosította az Azure Monitort a munkaterülethez.
* Ez a kimenő szolgáltatás a támogatási incidensek adatainak naplózására is használható.

Fontos

Ha egy számítási példány vagy számítási fürt nincs nyilvános IP-címre konfigurálva, alapértelmezés szerint nem fér hozzá az internethez. Ha továbbra is képes kimenő forgalmat küldeni az internetre, az az Azure alapértelmezett kimenő hozzáférése miatt van, és rendelkezik egy NSG-vel, amely engedélyezi a kimenő forgalmat az internetre. Nem javasoljuk az alapértelmezett kimenő hozzáférés használatát. Ha kimenő internet-hozzáférésre van szüksége, javasoljuk, hogy az alapértelmezett kimenő hozzáférés helyett használja az alábbi lehetőségek egyikét:

  • Azure Virtual Network NAT nyilvános IP-címmel: A virtuális hálózati nat használatával kapcsolatos további információkért tekintse meg a virtuális hálózati NAT dokumentációját.
  • Felhasználó által definiált útvonal és tűzfal: Hozzon létre egy felhasználó által definiált útvonalat a számítást tartalmazó alhálózatban. Az útvonal következő ugrásának a tűzfal magánhálózati IP-címére kell hivatkoznia a 0.0.0.0/0 címelőtaggal.

További információ: Az Alapértelmezett kimenő hozzáférés az Azure-ban című cikkben.

Kimenő forgalom

Szolgáltatáscímke/szolgáltatáscímkék Portok Cél
MicrosoftContainerRegistry.<region> és AzureFrontDoor.FirstParty 443 Lehetővé teszi a Microsoft által a betanításhoz és következtetéshez biztosított Docker-rendszerképek használatát. Emellett beállítja az Azure Machine Tanulás útválasztót az Azure Kubernetes Service-hez.

Ha engedélyezni szeretné a Python-csomagok telepítését a betanításhoz és üzembe helyezéshez, engedélyezze a kimenő forgalmat a következő gazdagépnevekre:

Feljegyzés

Ez nem az internet összes Python-erőforrásához szükséges gazdagépek teljes listája, csak a leggyakrabban használt. Ha például egy GitHub-adattárhoz vagy más gazdagéphez kell hozzáférnie, azonosítania kell és hozzá kell adnia az adott forgatókönyvhöz szükséges gazdagépeket.

Gazdagép neve Célja
anaconda.com
*.anaconda.com		 Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org Adattáradatok lekérésére szolgál.
pypi.org Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet a felhasználói beállítások nem írják felül. Ha az index felülírva van, engedélyeznie *.pythonhosted.orgkell azt is.
pytorch.org
*.pytorch.org		 Néhány példa a PyTorch alapján használja.
*.tensorflow.org A Tensorflow alapján néhány példa használja.

Forgatókönyv: Az RStudio telepítése számítási példányra

Ha engedélyezni szeretné az RStudio telepítését egy számítási példányon, a tűzfalnak engedélyeznie kell a kimenő hozzáférést azokhoz a webhelyekhez, amelyekről a Docker-rendszerképet kéri le. Adja hozzá a következő alkalmazásszabályt az Azure Firewall-szabályzathoz:

  • Név: AllowRStudioInstall
  • Forrás típusa: IP-cím
  • Forrás IP-címek: Annak az alhálózatnak az IP-címtartománya, ahol létre fogja hozni a számítási példányt. Például: 172.16.0.0/24.
  • Célhelytípus: Teljes tartománynév
  • Cél teljes tartománynév: ghcr.io, pkg-containers.githubusercontent.com
  • Protokoll: Https:443

Az R-csomagok telepítésének engedélyezéséhez engedélyezze a kimenő forgalmat.cloud.r-project.org Ez a gazdagép CRAN-csomagok telepítéséhez használható.

Feljegyzés

Ha hozzá kell férnie egy GitHub-adattárhoz vagy más gazdagéphez, azonosítania kell és hozzá kell adnia az adott forgatókönyvhöz szükséges gazdagépeket.

Forgatókönyv: Számítási fürt vagy számítási példány használata nyilvános IP-címmel

Fontos

A nyilvános IP-cím nélküli számítási példányok vagy számítási fürtök nem igényelnek bejövő forgalmat az Azure Batch felügyeletéből és az Azure Machine Tanulás szolgáltatásokból. Ha azonban több számítással rendelkezik, és némelyikük nyilvános IP-címet használ, engedélyeznie kell ezt a forgalmat.

Az Azure Machine Tanulás számítási példány vagy számítási fürt (nyilvános IP-címmel) használatakor engedélyezze a bejövő forgalmat az Azure Machine Tanulás szolgáltatásból. Egy nyilvános IP-címmel (előzetes verzió) nem rendelkező számítási példány vagy számítási fürt nem igényli ezt a bejövő kommunikációt. A rendszer dinamikusan létrehoz egy olyan hálózati biztonsági csoportot, amely engedélyezi ezt a forgalmat, de tűzfal esetén előfordulhat, hogy felhasználó által megadott útvonalakat (UDR) is létre kell hoznia. A forgalomhoz tartozó UDR létrehozásakor IP-címek vagy szolgáltatáscímkék használatával irányíthatja a forgalmat.

Az Azure Machine Tanulás szolgáltatáshoz hozzá kell adnia az elsődleges és a másodlagos régiók IP-címét is. A másodlagos régió megkereséséhez tekintse meg a régiók közötti replikációt az Azure-ban. Ha például az Azure Machine Tanulás szolgáltatás az USA 2. keleti régiójában található, a másodlagos régió az USA középső régiója.

Az Azure Machine Tanulás szolgáltatás IP-címeinek listájának lekéréséhez töltse le az Azure IP-tartományait és szolgáltatáscímkéket, és keressen rá a fájlraAzureMachineLearning.<region>, ahol <region> az Azure-régió található.

Fontos

Az IP-címek idővel változhatnak.

Az UDR létrehozásakor állítsa a Következő ugrás típust internetre. Ez azt jelenti, hogy az Azure bejövő kommunikációja kihagyja a tűzfalat a számítási példány és a számítási fürt nyilvános IP-címeivel rendelkező terheléselosztók eléréséhez. Az UDR-re azért van szükség, mert a számítási példány és a számítási fürt véletlenszerű nyilvános IP-címeket kap a létrehozáskor, és a létrehozás előtt nem ismerheti meg a nyilvános IP-címeket, hogy regisztrálja őket a tűzfalon, hogy lehetővé tegye a bejövő forgalmat az Azure-ból a számítási példányhoz és a számítási fürthöz tartozó meghatározott IP-címekre. Az alábbi képen egy példa IP-címalapú UDR látható az Azure Portalon:

Image of a user-defined route configuration

Az UDR konfigurálásával kapcsolatos információkért lásd : Hálózati forgalom átirányítása útválasztási táblával.

Forgatókönyv: Tűzfal az Azure Machine Tanulás és az Azure Storage-végpontok között

A kimenő hozzáférést Storage.<region> a 445-ös porton is engedélyeznie kell.

Forgatókönyv: A jelölővel hbi_workspace létrehozott munkaterület engedélyezve van

A kimenő hozzáférést is engedélyeznie kell.Keyvault.<region> Ez a kimenő forgalom a key vault-példány elérésére szolgál a háttérbeli Azure Batch szolgáltatáshoz.

A jelzőről hbi_workspace további információt az adattitkosításról szóló cikkben talál.

Forgatókönyv: Kubernetes-számítás használata

A kimenő proxykiszolgáló vagy tűzfal mögött futó Kubernetes-fürt további kimenő hálózati konfigurációt igényel.

A fenti követelmények mellett a következő kimenő URL-címekre is szükség van az Azure Machine Tanulás,

Kimenő végpont Kikötő Leírás Tanfolyam Következtetés
*.kusto.windows.net
*.table.core.windows.net
*.queue.core.windows.net		 443 A rendszernaplók Kusto-ba való feltöltéséhez szükséges.
<your ACR name>.azurecr.io
<your ACR name>.<region>.data.azurecr.io		 443 Azure Container Registry, amely a gépi tanulási számítási feladatokhoz használt Docker-rendszerképek lekéréséhez szükséges.
<your storage account name>.blob.core.windows.net 443 Azure Blob Storage, amely gépi tanulási projektszkriptek, adatok vagy modellek beolvasásához és feladatnaplók/kimenetek feltöltéséhez szükséges.
<your workspace ID>.workspace.<region>.api.azureml.ms
<region>.experiments.azureml.net
<region>.api.azureml.ms		 443 Azure Machine Tanulás service API.
pypi.org 443 Python-csomagindex a betanítási feladatkörnyezet inicializálásához használt PIP-csomagok telepítéséhez. n/a
archive.ubuntu.com
security.ubuntu.com
ppa.launchpad.net		 80 A szükséges biztonsági javítások letöltéséhez szükséges. n/a

Feljegyzés

  • Cserélje le <your workspace workspace ID> a munkaterület azonosítóját. Az azonosító az Azure Portalon található – a gép Tanulás erőforráslapja – Tulajdonságok – Munkaterület azonosítója.
  • Cserélje le <your storage account> a tárfiók nevére.
  • Cserélje le <your ACR name> a munkaterületHez tartozó Azure Container Registry nevére.
  • Cserélje le <region> a munkaterület régiójára.

Fürtön belüli kommunikációs követelmények

Az Azure Machine Tanulás bővítmény kubernetes-számításra való telepítéséhez az összes Azure Machine-Tanulás kapcsolódó összetevő egy azureml névtérben lesz üzembe helyezve. A következő fürtön belüli kommunikációra van szükség ahhoz, hogy az ML-számítási feladatok megfelelően működjenek az AKS-fürtben.

  • A névtér összetevőinek azureml képesnek kell lenniük kommunikálni a Kubernetes API-kiszolgálóval.
  • A névtér összetevőinek azureml képesnek kell lenniük kommunikálni egymással.
  • A névtér összetevőinek azureml képesnek kell lenniük kommunikálni a névtérben és konnectivity-agent a kube-dns névtérbenkube-system.
  • Ha a fürtöt valós idejű következtetésre használják, azureml-fe-xxx a poD-knak képesnek kell lenniük kommunikálni az 5001 porton lévő, más névtérben lévő, üzembe helyezett modell-azonosítókkal. azureml-fe-xxx A poD-knak 11001, 12001, 12101, 12201, 20000, 8000, 8001, 9001 portot kell megnyitniuk a belső kommunikációhoz.
  • Ha a fürtöt valós idejű következtetésre használják, az üzembe helyezett modell poD-jainak képesnek kell lenniük kommunikálni a 9999-ben lévő porton lévő poD-kkal amlarc-identity-proxy-xxx .

Forgatókönyv: Visual Studio Code

Az ebben a szakaszban szereplő gazdagépekkel Visual Studio Code-csomagokat telepíthet, hogy távoli kapcsolatot létesítsen a Visual Studio Code és a számítási példányok között az Azure Machine Tanulás-munkaterületen.

Feljegyzés

Ez nem az internet összes Visual Studio Code-erőforrásához szükséges gazdagépek teljes listája, csak a leggyakrabban használt. Ha például egy GitHub-adattárhoz vagy más gazdagéphez kell hozzáférnie, azonosítania kell és hozzá kell adnia az adott forgatókönyvhöz szükséges gazdagépeket. A gazdagépnevek teljes listáját a Visual Studio Code Hálózati Csatlakozás című témakörben találja.

Gazdagép neve Célja
*.vscode.dev
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com		 A vscode.dev (Webes Visual Studio Code) eléréséhez szükséges
code.visualstudio.com Az asztali VS Code letöltéséhez és telepítéséhez szükséges. Ez a gazdagép nem szükséges a VS Code Web szolgáltatáshoz.
update.code.visualstudio.com
*.vo.msecnd.net		 A VS Code-kiszolgáló azon részeinek lekéréséhez használatos, amelyek egy beállítási szkripttel lettek telepítve a számítási példányon.
marketplace.visualstudio.com
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io		 A VS Code-bővítmények letöltéséhez és telepítéséhez szükséges. Ezek a gazdagépek lehetővé teszik a távoli kapcsolatot a példányok kiszámításához a VS Code Azure Machine Tanulás bővítményével. További információ: Csatlakozás egy Azure Machine Tanulás számítási példányhoz a Visual Studio Code-ban
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* A WebSocket-kiszolgáló azon részeinek lekéréséhez használatos, amelyek telepítve vannak a számítási példányon. A websocket-kiszolgáló a Visual Studio Code-ügyfél (asztali alkalmazás) kéréseinek továbbítására szolgál a számítási példányon futó Visual Studio Code-kiszolgálóra.
vscode.download.prss.microsoft.com A Visual Studio Code letöltési CDN-éhez használatos

Forgatókönyv: Külső tűzfal vagy Azure Firewall szolgáltatáscímkék nélkül

Az ebben a szakaszban található útmutató általános, mivel minden tűzfal saját terminológiával és konkrét konfigurációkkal rendelkezik. Ha kérdése van, tekintse meg a használt tűzfal dokumentációját.

Tipp.

Ha az Azure Firewallt használja, és szolgáltatáscímkék használata helyett az ebben a szakaszban felsorolt teljes tartományneveket szeretné használni, kövesse az alábbi útmutatást:

  • A HTTP/S portokat (80 és 443) használó teljes tartományneveket alkalmazásszabályokként kell konfigurálni.
  • A más portokat használó teljes tartományneveket hálózati szabályként kell konfigurálni.

További információ: Különbségek az alkalmazásszabályokban és a hálózati szabályokban.

Ha nincs megfelelően konfigurálva, a tűzfal problémákat okozhat a munkaterület használatával. Az Azure Machine Tanulás-munkaterület különböző gazdagépneveket használ. Az alábbi szakaszok az Azure Machine-Tanulás szükséges gazdagépeket sorolják fel.

Dependencies API

Az Azure Machine Tanulás REST API-val is lekérheti azoknak a gazdagépeknek és portoknak a listáját, amelyeknek engedélyeznie kell a kimenő forgalmat. Az API használatához kövesse az alábbi lépéseket:

  1. Hitelesítési jogkivonat lekérése. Az alábbi parancs bemutatja, hogy az Azure CLI használatával lekérhet egy hitelesítési jogkivonatot és egy előfizetés-azonosítót:

    TOKEN=$(az account get-access-token --query accessToken -o tsv)
SUBSCRIPTION=$(az account show --query id -o tsv)

  2. Hívja meg az API-t. A következő parancsban cserélje le a következő értékeket:

    • Cserélje le <region> azt az Azure-régiót, amelyben a munkaterület található. Például: westus2.
    • Cserélje le <resource-group> a munkaterületet tartalmazó erőforráscsoportra.
    • Cserélje le <workspace-name> a munkaterület nevére.
    az rest --method GET \
    --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
    --header Authorization="Bearer $TOKEN"

Az API-hívás eredménye egy JSON-dokumentum. A következő kódrészlet a dokumentum egy részlete:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Microsoft-gazdagépek

Az alábbi táblázatokban szereplő gazdagépek a Microsoft tulajdonában vannak, és a munkaterület megfelelő működéséhez szükséges szolgáltatásokat nyújtanak. A táblák a 21Vianet-régiók által üzemeltetett Azure public, Azure Government és Microsoft Azure gazdagépeit sorolják fel.

Fontos

Az Azure Machine Tanulás Azure Storage-fiókokat használ az előfizetésében és a Microsoft által felügyelt előfizetésekben. Ahol lehetséges, a következő kifejezésekkel különböztetjük meg őket ebben a szakaszban:

  • Saját tárterület: Az előfizetésben található Azure Storage-fiók(ok), amely az adatok és összetevők, például modellek, betanítási adatok, betanítási naplók és Python-szkriptek tárolására szolgál.>
  • Microsoft Storage: Az Azure Machine Tanulás számítási példányok és számítási fürtök az Azure Batchre támaszkodnak, és hozzá kell férniük egy Microsoft-előfizetésben található tárolóhoz. Ez a tárterület csak a számítási példányok kezelésére szolgál. Az adatok egyikét sem tárolja itt.

Általános Azure-gazdagépek

A következőhöz szükséges: Házigazdák Protokoll Portok
Microsoft Entra-azonosító login.microsoftonline.com TCP 80, 443
Azure Portalra management.azure.com TCP 443
Azure Resource Manager management.azure.com TCP 443

Azure Machine Tanulás gazdagépek

Fontos

Az alábbi táblázatban cserélje le <storage> az Azure Machine Tanulás-munkaterület alapértelmezett tárfiókjának nevét. Cserélje le <region> a munkaterület régiójára.

A következőhöz szükséges: Házigazdák Protokoll Portok
Azure Machine Learning Studio ml.azure.com TCP 443
API *.azureml.ms TCP 443
API *.azureml.net TCP 443
Modellkezelés *.modelmanagement.azureml.net TCP 443
Integrált jegyzetfüzet *.notebooks.azure.net TCP 443
Integrált jegyzetfüzet <storage>.file.core.windows.net TCP 443, 445
Integrált jegyzetfüzet <storage>.dfs.core.windows.net TCP 443
Integrált jegyzetfüzet <storage>.blob.core.windows.net TCP 443
Integrált jegyzetfüzet graph.microsoft.com TCP 443
Integrált jegyzetfüzet *.aznbcontent.net TCP 443
AutoML NLP, Vision automlresources-prod.azureedge.net TCP 443
AutoML NLP, Vision aka.ms TCP 443

Feljegyzés

Az AutoML NLP és a Vision jelenleg csak az Azure nyilvános régióiban támogatott.

Azure Machine Tanulás számítási példány és számítási fürt gazdagépei

Tipp.

  • Az Azure Key Vault gazdagépére csak akkor van szükség, ha a munkaterület a hbi_workspace jelzővel lett létrehozva.
  • A számítási példány 8787-ben és 18881-ben használt portjaira csak akkor van szükség, ha az Azure Machine-munkaterület privát végpontot használ.
  • Az alábbi táblázatban cserélje le <storage> az Azure Machine Tanulás-munkaterület alapértelmezett tárfiókjának nevét.
  • Az alábbi táblázatban cserélje le <region> az Azure Machine Tanulás-munkaterületet tartalmazó Azure-régióra.
  • A websocket-kommunikációt engedélyezni kell a számítási példány számára. Ha letiltja a websocket-forgalmat, a Jupyter-jegyzetfüzetek nem fognak megfelelően működni.
A következőhöz szükséges: Házigazdák Protokoll Portok
Számítási fürt/példány graph.windows.net TCP 443
Számítási példány *.instances.azureml.net TCP 443
Számítási példány *.instances.azureml.ms TCP 443, 8787, 18881
Számítási példány <region>.tundra.azureml.ms UDP 5831
Számítási példány *.<region>.batch.azure.com BÁRMELY 443
Számítási példány *.<region>.service.batch.azure.com BÁRMELY 443
Microsoft Storage-hozzáférés *.blob.core.windows.net TCP 443
Microsoft Storage-hozzáférés *.table.core.windows.net TCP 443
Microsoft Storage-hozzáférés *.queue.core.windows.net TCP 443
Az Ön tárfiókja <storage>.file.core.windows.net TCP 443, 445
Az Ön tárfiókja <storage>.blob.core.windows.net TCP 443
Azure Key Vault *.vault.azure.net TCP 443

Az Azure Machine Tanulás által karbantartott Docker-rendszerképek

A következőhöz szükséges: Házigazdák Protokoll Portok
Microsoft Container Registry
mcr.microsoft.com*.data.mcr.microsoft.com		 TCP 443

Tipp.

  • Az Azure Container Registry minden egyéni Docker-rendszerképhez szükséges. Ez magában foglalja a Microsoft által biztosított rendszerképek alapjául szolgáló kisebb módosításokat (például további csomagokat). Ezt az Azure Machine Tanulás belső betanítási feladatbeküldési folyamata is megköveteli.
  • A Microsoft Container Registryre csak akkor van szükség, ha a Microsoft által biztosított alapértelmezett Docker-rendszerképeket tervezi használni, és engedélyezi a felhasználó által felügyelt függőségeket.
  • Ha összevont identitást szeretne használni, kövesse Active Directory összevonási szolgáltatások (AD FS) cikk biztonságossá tételének ajánlott eljárásait.

Emellett a számítási adatok és a nyilvános IP-cím szakasz használatával is hozzáadhat IP-címeket a következőhöz BatchNodeManagement : és AzureMachineLearning.

Az AKS-ben üzembe helyezett modellekhez való hozzáférés korlátozásáról további információt az Azure Kubernetes Service kimenő forgalmának korlátozása című témakörben talál.

Monitorozás, metrikák és diagnosztika

Ha nem biztosította az Azure Monitort a munkaterülethez, engedélyeznie kell a kimenő forgalmat a következő gazdagépek felé:

Ha nem biztosította az Azure Monitort a munkaterülethez, engedélyeznie kell a kimenő forgalmat a következő gazdagépek felé:

Feljegyzés

A gazdagépekre naplózott információkat a Microsoft ügyfélszolgálata is felhasználja a munkaterülettel kapcsolatos problémák diagnosztizálásához.

  • dc.applicationinsights.azure.com
  • dc.applicationinsights.microsoft.com
  • dc.services.visualstudio.com
  • *.in.applicationinsights.azure.com

A gazdagépek IP-címeinek listájáért tekintse meg az Azure Monitor által használt IP-címeket.

Következő lépések

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

További információ az Azure Firewall konfigurálásáról: Oktatóanyag: Az Azure Firewall üzembe helyezése és konfigurálása az Azure Portal használatával.