Privát végpont konfigurálása Azure Machine Learning-munkaterülethez SDK és CLI v1 használatával

ÉRVÉNYES:Azure CLI ml-bővítmény v1Python SDK azureml v1

Ebben a dokumentumban megtudhatja, hogyan konfigurálhat privát végpontot az Azure Machine Learning-munkaterülethez. Az Azure Machine Learning virtuális hálózatának létrehozásáról további információt a Virtuális hálózatok elkülönítése és az adatvédelem áttekintése című témakörben talál.

Az Azure Private Link lehetővé teszi, hogy privát végpont használatával csatlakozzon a munkaterülethez. A privát végpont a virtuális hálózaton belüli privát IP-címek halmaza. Ezután korlátozhatja a munkaterülethez való hozzáférést, hogy csak a magánhálózati IP-címeken történjen. A privát végpontok csökkentik az adatkiszivárgás kockázatát. A privát végpontokkal kapcsolatos további információkért tekintse meg az Azure Private Link-cikket .

Figyelmeztetés

A munkaterület privát végpontokkal való biztonságossá tétele önmagában nem biztosítja a végpontok közötti biztonságot. A megoldás minden egyes összetevőjét biztonságossá kell tennie. Ha például privát végpontot használ a munkaterülethez, de az Azure Storage-fiókja nincs a virtuális hálózat mögött, a munkaterület és a tár közötti forgalom nem használja a virtuális hálózatot a biztonság érdekében.

Az Azure Machine Learning által használt erőforrások védelméről az alábbi cikkekben talál további információt:

• A virtuális hálózatok elkülönítése és az adatvédelem áttekintése.
• Munkaterület erőforrásainak védelme.
• Biztonságos betanítási környezetek (v1).
• Biztonságos következtetési környezet (v1)
• Az Azure Machine Learning Studio használata virtuális hálózaton.
• API-platform hálózati elkülönítése.

Előfeltételek

• A privát végpont létrehozásához meglévő virtuális hálózatra van szükség.
• A privát végpont hozzáadása előtt tiltsa le a hálózati házirendeket a privát végpontok esetében.

Korlátozások

• Ha nyilvános hozzáférést engedélyez egy privát végponttal védett munkaterülethez, és nyilvános interneten keresztül használja az Azure Machine Learning Studiót, előfordulhat, hogy egyes funkciók, például a tervező nem férnek hozzá az adatokhoz. Ez a probléma akkor áll elő, ha az adatok nem a virtuális hálózat mögötti védett szolgáltatásban vannak tárolva. Ilyen például egy Azure Storage-fiók.

• A Mozilla Firefox használata esetén problémák léphetnek fel a munkaterület privát végpontjának elérésekor. Ez a probléma a HTTPS-en keresztüli DNS-sel kapcsolatos lehet a Mozilla Firefoxban. Javasoljuk, hogy kerülő megoldásként használja a Microsoft Edge-et vagy a Google Chrome-ot.

• A privát végpont használata nem befolyásolja az Azure vezérlősíkját (felügyeleti műveleteit), például a munkaterület törlését vagy a számítási erőforrások kezelését. Például számítási cél létrehozása, frissítése vagy törlése. Ezeket a műveleteket a szokásos módon hajtja végre a nyilvános interneten keresztül. Az adatsík-műveletek, például az Azure Machine Learning Studio, az API-k (beleértve a közzétett folyamatokat) vagy az SDK a privát végpontot használják.

• Amikor számítási példányt vagy számítási fürtöt hoz létre egy privát végponttal rendelkező munkaterületen, a számítási példánynak és számítási fürtnek a munkaterület Azure-régiójával megegyező régióban kell lennie.

• Az Azure Kubernetes Service-fürt privát végponttal rendelkező munkaterülethez való létrehozásakor vagy csatolásakor a fürtnek ugyanabban a régióban kell lennie, mint a munkaterület.

• Ha több privát végponttal rendelkező munkaterületet használ, az egyik privát végpontnak ugyanabban a virtuális hálózaton kell lennie, mint a következő függőségi szolgáltatásoknak:

  • Azure Storage-fiók, amely a munkaterület alapértelmezett tárterületét biztosítja
  • Azure Key Vault a munkaterülethez
  • Azure Container Registry a munkaterülethez.

  Egy virtuális hálózat ('services' VNet) például tartalmazna egy privát végpontot a függőségi szolgáltatásokhoz és a munkaterülethez. Ez a konfiguráció lehetővé teszi, hogy a munkaterület kommunikáljon a szolgáltatásokkal. Egy másik virtuális hálózat ("ügyfelek") csak a munkaterület privát végpontját tartalmazhatják, és csak az ügyfélfejlesztő gépek és a munkaterület közötti kommunikációhoz használhatók.

Privát végpontot használó munkaterület létrehozása

Az alábbi módszerek egyikével hozzon létre egy privát végponttal rendelkező munkaterületet. Ezekhez a módszerekhez szükség van egy meglévő virtuális hálózatra:

Tipp.

Ha egyszerre szeretne munkaterületet, privát végpontot és virtuális hálózatot létrehozni, olvassa el az Azure Resource Manager-sablon használata munkaterület létrehozásához az Azure Machine Learninghez című témakört.

Python

Az Azure Machine Learning Python SDK a PrivateEndpointConfig osztályt biztosítja, amely a Workspace.create() használatával használható egy privát végponttal rendelkező munkaterület létrehozásához. Ehhez az osztályhoz meglévő virtuális hálózatra van szükség.

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig

pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.create(name='myworkspace',
    subscription_id='<my-subscription-id>',
    resource_group='myresourcegroup',
    location='eastus2',
    private_endpoint_config=pe,
    private_endpoint_auto_approval=True,
    show_output=True)

Azure CLI

A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény 1-es verzió

Ha az Azure CLI 1.0-s bővítményét használja gépi tanuláshoz, használja az az ml-munkaterület létrehozási parancsát. A parancshoz a következő paraméterek használhatók egy magánhálózattal rendelkező munkaterület létrehozásához, de ehhez egy meglévő virtuális hálózatra van szükség:

• --pe-name: A létrehozott privát végpont neve.
• --pe-auto-approval: Azt jelzi, hogy a munkaterülethez való privát végpontkapcsolatokat automatikusan jóvá kell-e hagyni.
• --pe-resource-group: Az erőforráscsoport, amelyben létre kívánja hozni a privát végpontot. A virtuális hálózatot tartalmazó csoportnak kell lennie.
• --pe-vnet-name: A privát végpont létrehozásához használt meglévő virtuális hálózat.
• --pe-subnet-name: Annak az alhálózatnak a neve, amelyben létre kívánja hozni a privát végpontot. Az alapértelmezett érték default.

Ezek a paraméterek a létrehozási parancshoz szükséges egyéb paraméterek mellett találhatók. A következő parancs például létrehoz egy új munkaterületet az USA nyugati régiójában egy meglévő erőforráscsoport és virtuális hálózat használatával:

A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény 1-es verzió

az ml workspace create -r myresourcegroup \
    -l westus \
    -n myworkspace \
    --pe-name myprivateendpoint \
    --pe-auto-approval \
    --pe-resource-group myresourcegroup \
    --pe-vnet-name myvnet \
    --pe-subnet-name mysubnet

Privát végpont hozzáadása munkaterülethez

Magánvégpont meglévő munkaterülethez való hozzáadásához használja az alábbi módszerek egyikét:

Figyelmeztetés

Ha rendelkezik a munkaterülethez társított meglévő számítási célokkal, és nem ugyanazon a virtuális hálózaton vannak mögöttük, ha a privát végpont létrejön, azok nem fognak működni.

Python

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig

pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.from_config()
ws.add_private_endpoint(private_endpoint_config=pe, private_endpoint_auto_approval=True, show_output=True)

A példában használt osztályokról és metódusokról további információt a PrivateEndpointConfig és a Workspace.add_private_endpoint című témakörben talál.

Azure CLI

A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény 1-es verzió

A gépi tanuláshoz készült Azure CLI-bővítmény 1.0-s verziója biztosítja az az ml-munkaterület private-endpoint add parancsát.

A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény 1-es verzió

az ml workspace private-endpoint add -w myworkspace  --pe-name myprivateendpoint --pe-auto-approval --pe-vnet-name myvnet

Privát végpont eltávolítása

Egy munkaterület egy vagy az összes privát végpontja eltávolítható. A privát végpont eltávolítása eltávolítja a munkaterületet abból a virtuális hálózatból, amelyhez a végpont társítva volt. A privát végpont eltávolítása megakadályozhatja, hogy a munkaterület hozzáférjen az adott virtuális hálózat erőforrásaihoz, vagy hogy a virtuális hálózat erőforrásai hozzáférjenek a munkaterülethez. Ha például a virtuális hálózat nem engedélyezi a nyilvános internethez vagy az internetről való hozzáférést.

Figyelmeztetés

A munkaterület privát végpontjainak eltávolítása nem teszi nyilvánosan elérhetővé. A munkaterület nyilvános akadálymentesítéséhez használja a nyilvános hozzáférés engedélyezése szakaszban található lépéseket.

Privát végpont eltávolításához használja az alábbi információkat:

Python

Privát végpont eltávolításához használja a Workspace.delete_private_endpoint_connection. Az alábbi példa bemutatja, hogyan távolíthat el egy privát végpontot:

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

from azureml.core import Workspace

ws = Workspace.from_config()
# get the connection name
_, _, connection_name = ws.get_details()['privateEndpointConnections'][0]['id'].rpartition('/')
ws.delete_private_endpoint_connection(private_endpoint_connection_name=connection_name)

Azure CLI

A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény 1-es verzió

A gépi tanuláshoz készült Azure CLI-bővítmény 1.0-s verziója biztosítja az az ml-munkaterület privát végpont törlési parancsát.

Nyilvános hozzáférés engedélyezése

Bizonyos esetekben előfordulhat, hogy engedélyezni szeretné, hogy valaki nyilvános végponton keresztül csatlakozzon a biztonságos munkaterülethez a virtuális hálózat helyett. Vagy el szeretné távolítani a munkaterületet a virtuális hálózatról, és újra engedélyezni a nyilvános hozzáférést.

Fontos

A nyilvános hozzáférés engedélyezése nem távolít el egyetlen privát végpontot sem. A virtuális hálózat mögötti összetevők közötti összes kommunikáció, amelyhez a privát végpont(ok) csatlakoznak, továbbra is biztonságosak. A nyilvános hozzáférést csak a munkaterülethez teszi lehetővé, a magánvégpontokon keresztüli privát hozzáférés mellett.

Figyelmeztetés

Ha a nyilvános végponton keresztül csatlakozik, amikor a munkaterület privát végpont használatával kommunikál más erőforrásokkal:

• A studio egyes funkciói nem férnek hozzá az adatokhoz. Ez a probléma akkor fordul elő, ha az adatok a virtuális hálózat mögött biztonságos szolgáltatásban vannak tárolva. Ilyen például egy Azure Storage-fiók.
• Nem támogatott a Jupyter, a JupyterLab, az RStudio vagy a Posit Workbench (korábban RStudio Workbench) használata egy számítási példányon, beleértve a futó jegyzetfüzeteket is.

A nyilvános hozzáférés engedélyezéséhez kövesse az alábbi lépéseket:

Tipp.

Két lehetséges tulajdonságot konfigurálhat:

• allow_public_access_when_behind_vnet - a Python SDK és a CLI v2 használja
• public_network_access - a Python SDK és a CLI v2 által használt minden tulajdonság felülírja a másikat. A beállítás public_network_access például felülírja a korábbi beállításokat.allow_public_access_when_behind_vnet

A Microsoft a public_network_access munkaterülethez való nyilvános hozzáférés engedélyezését vagy letiltását javasolja.

Python

A nyilvános hozzáférés engedélyezéséhez használja a Workspace.update és a set parancsot allow_public_access_when_behind_vnet=True.

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

from azureml.core import Workspace

ws = Workspace.from_config()
ws.update(allow_public_access_when_behind_vnet=True)

Azure CLI

A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény 1-es verzió

A gépi tanuláshoz készült Azure CLI-bővítmény 1.0-s verziója biztosítja az ml-munkaterület frissítési parancsát. A munkaterülethez való nyilvános hozzáférés engedélyezéséhez adja hozzá a paramétert --allow-public-access true.

Biztonságos csatlakozás a munkaterülethez

A virtuális hálózat mögött biztonságos munkaterülethez való csatlakozáshoz használja az alábbi módszerek egyikét:

• Azure VPN Gateway – Helyszíni hálózatokat csatlakoztat a virtuális hálózathoz privát kapcsolaton keresztül. A kapcsolat a nyilvános interneten keresztül történik. Kétféle VPN-átjárót használhat:

  • Pont–hely: Minden ügyfélszámítógép VPN-ügyféllel csatlakozik a virtuális hálózathoz.
  • Helyek közötti: Egy VPN-eszköz csatlakoztatja a virtuális hálózatot a helyszíni hálózathoz.

• ExpressRoute – Helyszíni hálózatokat csatlakoztat a felhőbe privát kapcsolaton keresztül. A kapcsolat kapcsolatszolgáltatóval jön létre.

• Azure Bastion – Ebben a forgatókönyvben egy Azure-beli virtuális gépet (más néven jump boxot) hoz létre a virtuális hálózaton belül. Ezután az Azure Bastion használatával csatlakozhat a virtuális géphez. A Bastion lehetővé teszi a virtuális géphez való csatlakozást RDP- vagy SSH-munkamenet használatával a helyi webböngészőből. Ezt követően a jump boxot fogja használni fejlesztési környezetként. Mivel a virtuális hálózaton belül van, közvetlenül hozzáférhet a munkaterülethez. A jump box használatára példa: Oktatóanyag: Biztonságos munkaterület létrehozása.

Fontos

VPN-átjáró vagy ExpressRoute használatakor meg kell terveznie a névfeloldás működését a helyszíni erőforrások és a virtuális hálózatban lévők között. További információ: Egyéni DNS-kiszolgáló használata.

Ha problémái vannak a munkaterülethez való csatlakozással, olvassa el a biztonságos munkaterület-kapcsolat hibaelhárításával kapcsolatos témakört.

Több privát végpont

Az Azure Machine Learning több privát végpontot is támogat egy munkaterületen. Gyakran több privát végpontot használnak, ha külön szeretné tartani a különböző környezeteket. Az alábbi forgatókönyvek több privát végpont használatával engedélyezve vannak:

• Ügyfélfejlesztési környezetek egy külön virtuális hálózaton.

• Egy Azure Kubernetes Service-fürt (AKS) egy külön virtuális hálózaton.

• Más Azure-szolgáltatások külön virtuális hálózaton. Az Azure Synapse és az Azure Data Factory például használhat Microsoft által felügyelt virtuális hálózatot. Mindkét esetben a munkaterület privát végpontja hozzáadható a szolgáltatások által használt felügyelt virtuális hálózathoz. A felügyelt virtuális hálózat ezen szolgáltatásokkal való használatával kapcsolatos további információkért tekintse meg az alábbi cikkeket:

  • A Synapse által felügyelt privát végpontok.
  • Azure Data Factory által felügyelt virtuális hálózat.

  Fontos

  Az Azure Machine Learning nem támogatja a Synapse adatkiszivárgás elleni védelmét .

Fontos

A munkaterülethez privát végpontot tartalmazó virtuális hálózatoknak is hozzá kell férniük a munkaterület által használt Azure Storage-fiókhoz, Az Azure Key Vaulthoz és az Azure Container Registryhez. Létrehozhat például egy privát végpontot az egyes virtuális hálózatok szolgáltatásaihoz.

Több privát végpont hozzáadása ugyanazokat a lépéseket használja, mint az Add a private endpoint to a workspace section.

Forgatókönyv: Izolált ügyfelek

Ha el szeretné különíteni a fejlesztési ügyfeleket, hogy ne férhessenek hozzá közvetlenül az Azure Machine Learning által használt számítási erőforrásokhoz, kövesse az alábbi lépéseket:

Feljegyzés

Ezek a lépések feltételezik, hogy van egy meglévő munkaterülete, az Azure Storage-fiókja, az Azure Key Vault és az Azure Container Registry. Mindegyik szolgáltatás privát végpontokkal rendelkezik egy meglévő virtuális hálózaton.

1. Hozzon létre egy másik virtuális hálózatot az ügyfelek számára. Ez a virtuális hálózat tartalmazhat olyan Azure-beli virtuális gépeket, amelyek az ügyfelekként működnek, vagy tartalmazhatnak egy VPN Gatewayt, amelyet a helyszíni ügyfelek használnak a virtuális hálózathoz való csatlakozáshoz.
2. Adjon hozzá egy új privát végpontot a munkaterület által használt Azure Storage-fiókhoz, Azure Key Vaulthoz és Azure Container Registryhez. Ezeknek a privát végpontoknak az ügyfél virtuális hálózatában kell létezniük.
3. Ha a munkaterület egy másik tárolóval rendelkezik, adjon hozzá egy új privát végpontot ehhez a tárolóhoz. A privát végpontnak az ügyfél virtuális hálózatában kell lennie, és engedélyezve kell lennie a privát DNS-zónaintegrációnak.
4. Adjon hozzá egy új privát végpontot a munkaterülethez. Ennek a privát végpontnak az ügyfél virtuális hálózatában kell lennie, és engedélyezve kell lennie a privát DNS-zónaintegrációnak.
5. A Studio használata virtuális hálózati cikkben ismertetett lépésekkel engedélyezheti a studio számára a tárfiók(ok) elérését.

Az alábbi ábra ezt a konfigurációt szemlélteti. A számítási feladatok virtuális hálózata a munkaterület által a betanítási és üzembe helyezési célokra létrehozott számításokat tartalmazza. Az ügyfél virtuális hálózata ügyfeleket vagy ügyfél ExpressRoute-/VPN-kapcsolatokat tartalmaz. Mindkét virtuális hálózat privát végpontokat tartalmaz a munkaterülethez, az Azure Storage-fiókhoz, az Azure Key Vaulthoz és az Azure Container Registryhez.

Forgatókönyv: Izolált Azure Kubernetes Service

Ha a munkaterület által használt izolált Azure Kubernetes-szolgáltatást szeretne létrehozni, kövesse az alábbi lépéseket:

Feljegyzés

Ezek a lépések feltételezik, hogy van egy meglévő munkaterülete, az Azure Storage-fiókja, az Azure Key Vault és az Azure Container Registry. Mindegyik szolgáltatás privát végpontokkal rendelkezik egy meglévő virtuális hálózaton.

1. Hozzon létre egy Azure Kubernetes Service-példányt. A létrehozás során az AKS létrehoz egy VNetet, amely tartalmazza az AKS-fürtöt.
2. Adjon hozzá egy új privát végpontot a munkaterület által használt Azure Storage-fiókhoz, Azure Key Vaulthoz és Azure Container Registryhez. Ezeknek a privát végpontoknak az ügyfél virtuális hálózatában kell létezniük.
3. Ha a munkaterület más tárolóval is rendelkezik, adjon hozzá egy új privát végpontot ehhez a tárolóhoz. A privát végpontnak az ügyfél virtuális hálózatában kell lennie, és engedélyezve kell lennie a privát DNS-zónaintegrációnak.
4. Adjon hozzá egy új privát végpontot a munkaterülethez. Ennek a privát végpontnak az ügyfél virtuális hálózatában kell lennie, és engedélyezve kell lennie a privát DNS-zónaintegrációnak.
5. Csatolja az AKS-fürtöt az Azure Machine Learning-munkaterülethez. További információ: Azure Kubernetes Service-fürt létrehozása és csatolása.

Következő lépések

• Az Azure Machine Learning-munkaterület biztonságossá tételével kapcsolatos további információkért tekintse meg a virtuális hálózatok elkülönítését és az adatvédelem áttekintését ismertető cikket.

• Ha egyéni DNS-megoldást szeretne használni a virtuális hálózaton, tekintse meg , hogyan használhat munkaterületet egyéni DNS-kiszolgálóval.

• API-platform hálózati elkülönítése