Munkaterület Kezelt Virtuális Hálózat Izolációja

VONATKOZIK:Azure CLI ml kiterjesztés v2 (aktualis)Python SDK azure-ai-ml v2 (aktualis)

Az Azure Machine Learning támogatást nyújt a kezelt virtuális hálózat izolációjához. A kezelt virtuális hálózat izolációja egyszerűsíti és automatizálja a hálózat izolációjának konfigurálását egy beépített, munkaterület-szintű Azure Machine Learning kezelt virtuális hálózattal. Az Azure Machine Learning erőforrásai, mint például a számítási példányok, számítási klaszterek, szerver nélküli számítás és a menedzselt online végpontok, biztonságát a menedzselt virtuális hálózat biztosítja.

A munkaterület kezelt hálózattal történő biztosítása hálózati izolációt biztosít a munkaterület és a kezelt számítások kimenő hozzáféréséhez. Egy Azure Virtual Network (virtuális hálózat), amelyet Ön hoz létre és kezel, szolgál arra, hogy hálózati izolációt biztosítson a munkaterület bejövő elérése számára. Például a Azure virtuális hálózatban létrehoznak egy privát végpontot a munkaterület számára. Bármely ügyfél, aki csatlakozik a virtuális hálózathoz, hozzáférhet a munkaterülethez a privát végponton keresztül. Ha felügyelt számítási egységeken futtatunk feladatokat, a felügyelt hálózat korlátozza, hogy a számítási egység mit érhet el.

Kezelt Virtuális Hálózati Architektúra

Amikor engedélyezi a kezelt virtuális hálózati izolációt, egy kezelt virtuális hálózat jön létre a munkaterület számára. A munkaterülethez létrehozott kezelt számítási erőforrások automatikusan ezt a kezelt virtuális hálózatot használják. A kezelt virtuális hálózat magánvégpontokat használhat az Azure-erőforrásokhoz, amelyeket a munkaterülete használ, például Azure Storage, Azure Key Vault és Azure Container Registry.

A kezelt virtuális hálózat kimenő forgalmának két különböző konfigurációs módja létezik:

Tipp

Függetlenül attól, hogy melyik kimenő módot használja, az Azure erőforrásokhoz való forgalom konfigurálható úgy, hogy privát végpontot használjon. Például engedélyezheti az összes kimenő forgalmat az internet felé, de korlátozhatja a kommunikációt az Azure-erőforrásokkal úgy, hogy kimenő szabályokat ad hozzá az erőforrásokhoz.

Kimenő mód	Leírás	Lehetséges helyzetek
Engedélyezze az internetes kimenő kapcsolatokat	Engedélyezze a kezelt virtuális hálózatból érkező összes internetes kimenő forgalmat.	Azt akarja, hogy korlátlan hozzáférése legyen az interneten elérhető gépi tanulási erőforrásokhoz, mint például a python csomagok vagy az előre betanított modellek.1
Csak jóváhagyott kimenő forgalom engedélyezése	A kimenő forgalom engedélyezett a szolgáltatáscímkék megadásával.	* Minimalizálni szeretné a kockázatát az adatszivárgásnak, de elő kell készítenie minden szükséges gépi tanulási artefaktot a saját környezetében. * Külső hozzáférést szeretne konfigurálni egy jóváhagyott szolgáltatások, szolgáltatáscímkék vagy FQDN-ek listájához.
Kikapcsolva	A bejövő és kimenő forgalom nincs korlátozva, vagy saját Azure-beli virtuális hálózatot használ az erőforrások védelméhez.	Azt akarja, hogy a munkaállomásról legyen nyilvános bejövő és kimenő forgalom, vagy a hálózati elkülönítést egy saját Azure virtuális hálózattal kezeli.

1. Az csak jóváhagyott kimenő módú kimenő szabályokat használva ugyanazt az eredményt érheti el, mint az internetes kimenő forgalom engedélyezésével. A különbségek a következőek:

• A kimenő kapcsolatok engedélyezéséhez szabályokat kell hozzáadnia minden egyes kapcsolat esetében, amit engedélyezni szeretne.
• A teljes tartománynév kimenő szabályainak hozzáadása növeli a költségeket, mivel ez a szabálytípus az Azure Firewallt használja. További információ: Díjszabás
• A csak jóváhagyott kimenő forgalom engedélyezésének alapértelmezett szabályai úgy vannak kialakítva, hogy minimalizálják az adatkiszivárgás kockázatát. A hozzáadott kimenő szabályok növelhetik a kockázatot.

Az üzemeltetett virtuális hálózat előre konfigurálva van a szükséges alapértelmezett szabályokkal. Emellett a munkaterülethez, a munkaterület alapértelmezett tárolójához, tárolóregisztrációs adatbázisához és kulcstartójához is konfigurálva van, ha privátként vannak konfigurálva , vagy a munkaterület elkülönítési módja úgy van beállítva, hogy csak jóváhagyott kimenő forgalmat engedélyezzen. Miután kiválasztotta a izolációs módot, csak más, potenciálisan szükséges kimenő követelményeket kell figyelembe vennie.

Az alábbi ábra egy kezelt virtuális hálózatot mutat, amely úgy van beállítva, hogy engedélyezze a kimenő internetkapcsolatot.

A következő diagram egy kezelt virtuális hálózatot mutat be, amely úgy van konfigurálva, hogy csak az engedélyezett kimenő forgalmat engedélyezze.

Megjegyzés:

Ebben a konfigurációban a munkaterület által használt tároló, kulcstartó és tárolóregisztrációs adatbázis privátként van megjelölve. Mivel privátként vannak megjelölve, a rendszer egy privát végpontot használ a velük való kommunikációhoz.

Megjegyzés:

Miután egy felügyelt VNet munkaterületet konfiguráltak az interneten keresztüli kimenő forgalom engedélyezésére, a munkaterület nem konfigurálható vissza letiltott állapotra. Hasonlóképpen, ha egy kezelt VNet munkaterület úgy van beállítva, hogy csak a jóváhagyott kimenő kapcsolatok engedélyezése legyen lehetséges, akkor a munkaterület nem állítható vissza úgy, hogy engedélyezze az internethálózati kapcsolatokat.

Azure Machine Learning stúdió

Ha a stúdióból az integrált jegyzetfüzetet szeretné használni, vagy adatcsomagokat kíván létrehozni az alapértelmezett tárfiókban, akkor az ügyfelének hozzáférésre van szüksége az alapértelmezett tárfiókhoz. Hozzon létre egy privát végpontot vagy szolgáltatás végpontot az alapértelmezett tároló fiókhoz az Azure virtuális hálózatban, amelyet az ügyfelek használnak.

Az Azure Machine Learning műhelyének egy része helyben fut a kliens webböngészőjében, és közvetlenül kommunikál az alapértelmezett tárhellyel a munkaterülethez. A privát végpont vagy szolgáltatási végpont létrehozása (az alapértelmezett tárolási fiókhoz) az ügyfél virtuális hálózatában biztosítja, hogy az ügyfél kommunikálni tudjon a tárolási fiókkal.

Ha a munkaterülethez társított Azure tárfiókhoz a nyilvános hálózati hozzáférés le van tiltva, győződjön meg arról, hogy az ügyfél virtuális hálózatában létrehozott privát végpont megkapja a Reader szerepkört a munkaterület kezelt identitásához. Ez vonatkozik mind a blog-, mind a fájltárolás magán végpontokra. A feladat nem szükséges a kezelt virtuális hálózat által létrehozott privát végponthoz.

További információkért a privát végpont vagy szolgáltatási végpont létrehozásáról, tekintse meg a Csatlakozzon privát módon egy tárfiókhoz és Szolgáltatási végpontok cikkeket.

Biztonságos kapcsolódó erőforrások

Ha a következő szolgáltatásokat hozzáadja a virtuális hálózathoz szolgáltatáspont vagy privát végpont használatával (a nyilvános hozzáférés letiltásával), engedélyezze a megbízható Microsoft-szolgáltatások számára, hogy hozzáférjenek ezekhez a szolgáltatásokhoz.

Szolgáltatás	Végpont információk	Megbízható információk engedélyezése
Azure Key Vault	Szolgáltatásvégpont Privát végpont	Engedélyezze, hogy a megbízható Microsoft szolgáltatások megkerüljék ezt a tűzfalat
Azure Storage-fiók	Szolgáltatás és privát végpont Privát végpont	Hozzáférés biztosítása az Azure erőforrás példányokból vagy Hozzáférés biztosítása megbízható Azure szolgáltatásokhoz
Azure Container Registry	Privát végpont	Megbízható szolgáltatások engedélyezése

Előfeltételek

Mielőtt követné a cikk lépéseit, győződjön meg arról, hogy a következő előfeltételek megvannak:

• Egy Azure-előfizetés. Ha nincs Azure-előfizetésed, hozz létre egy ingyenes fiókot, mielőtt elkezded. Próbálja ki az Azure Machine Learning ingyenes vagy fizetős verzióját.

• Az Microsoft.Network erőforrásszolgáltatót regisztrálni kell az Azure-előfizetéséhez. Ez az erőforrásszolgáltató akkor használatos a munkaterület által, amikor privát végpontokat hoz létre a kezelt virtuális hálózat számára.

  További információkért a forrásszolgáltatók regisztrációjához lásd: A forrásszolgáltató regisztrációs hibák megoldása.

• Az Azure identitás, amelyet egy felügyelt hálózat telepítésekor használ, a következő Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) műveleteket igényli a privát végpontok létrehozásához.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• A Azure CLI és a ml Azure CLI kiterjesztése. További információért lásd: A CLI (v2) telepítése, beállítása és használata.

  Tipp

  Az Azure Machine Learning kezelt VNetet 2023. május 23-án vezették be. hu-HU: Ha az ml kiterjesztés egy régebbi verzióját használja, előfordulhat, hogy frissítenie kell, hogy a példák a cikkben működjenek. A kiterjesztés frissítéséhez használja a következő Azure CLI parancsot:

  az extension update -n ml
  

• A cikk CLI példái feltételezik, hogy a Bash (vagy kompatibilis) shellt használja. Például egy Linux rendszerről vagy a Windows Subsystem for Linux-ról.

• Az ebben a cikkben található Azure CLI példák a ws címkével jelölik a munkaterület nevét, és a rg címkével jelölik az erőforráscsoport nevét. A parancsok használatakor szükség szerint módosítsa ezeket az értékeket az Azure-előfizetéséhez.

• Egy Azure-előfizetés. Ha nincs Azure-előfizetésed, hozz létre egy ingyenes fiókot, mielőtt elkezded. Próbálja ki az Azure Machine Learning ingyenes vagy fizetős verzióját.

• Az Microsoft.Network erőforrásszolgáltatót regisztrálni kell az Azure-előfizetéséhez. Ez az erőforrásszolgáltató akkor használatos a munkaterület által, amikor privát végpontokat hoz létre a kezelt virtuális hálózat számára.

  További információkért a forrásszolgáltatók regisztrációjához lásd: A forrásszolgáltató regisztrációs hibák megoldása.

• Az Azure identitás, amelyet egy felügyelt hálózat telepítésekor használ, a következő Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) műveleteket igényli a privát végpontok létrehozásához.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Az Azure Machine Learning Python SDK 2-s verziója. További információért az SDK-ról lásd Install the Python SDK v2 for Azure Machine Learning.

  Tipp

  Az Azure Machine Learning kezelt VNetet 2023. május 23-án vezették be. Ha a SDK egy régebbi verziója van telepítve, lehet, hogy frissítenie kell ahhoz, hogy a cikk példái működjenek. Az SDK frissítéséhez használja a következő parancsot:

  pip install --upgrade azure-ai-ml azure-identity
  

• A cikkben szereplő példák feltételezik, hogy a kódod az alábbi Python sorokkal kezdődik. Ez a kód importálja a szükséges osztályokat a kezelt virtuális hálózattal rendelkező munkaterület létrehozásakor, beállítja a változókat az Azure-előfizetéséhez és erőforráscsoportjához, és létrehozza a ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group)
  

• Egy Azure-előfizetés. Ha nincs Azure-előfizetésed, hozz létre egy ingyenes fiókot, mielőtt elkezded. Próbálja ki az Azure Machine Learning ingyenes vagy fizetős verzióját.

• Az Microsoft.Network erőforrásszolgáltatót regisztrálni kell az Azure-előfizetéséhez. Ez az erőforrásszolgáltató akkor használatos a munkaterület által, amikor privát végpontokat hoz létre a kezelt virtuális hálózat számára.

  További információkért a forrásszolgáltatók regisztrációjához lásd: A forrásszolgáltató regisztrációs hibák megoldása.

• Az Azure identitás, amelyet egy felügyelt hálózat telepítésekor használ, a következő Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) műveleteket igényli a privát végpontok létrehozásához.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Ha privát végpontkapcsolatokat szeretne létesíteni felügyelt virtuális hálózatokban az Azure Machine Learning használatával, a munkaterület felügyelt identitásának , akár rendszer által hozzárendelt, akár felhasználó által hozzárendelt, valamint a privát végpont létrehozását kezdeményező felhasználói identitásnak engedéllyel kell rendelkeznie ahhoz, hogy jóváhagyja a privát végpont kapcsolatait a célerőforrásokon. 2025. április 30-a után a rendszer nem ad automatikusan engedélyeket a felügyelt identitásnak, és manuálisan kell hozzárendelni.

A Microsoft azt javasolja, hogy rendelje hozzá az Azure AI Enterprise Network Connection Approver szerepkört a felügyelt identitáshoz. Az alábbi lista tartalmazza az Azure AI Enterprise Network Connection Approver szerepkör által lefedett privát végpont célerőforrás-típusait:

• Azure Application Gateway
• Azure Monitor
• Azure AI Keresés
• Event Hubs
• Azure SQL Database
• Azure Storage
• Azure Machine Learning-munkaterület
• Azure Machine Learning-beállításjegyzék
• Azure AI Foundry
• Azure Key Vault
• Azure Cosmos DB
• Azure Database for MySQL
• Azure Database for PostgreSQL
• Azure AI Services
• Azure Cache for Redis
• Container Registry
• API Management

Ha ehelyett egyéni szerepkört szeretne létrehozni, tekintse meg az Azure AI Enterprise Network Connection Approver szerepkört az egyes erőforrástípusokhoz tartozó műveletek hozzáadásához.

Privát végpont-kimenő szabályok létrehozásához az Azure AI Enterprise Network Connection Approver szerepkör által nem érintett erőforrástípusok megcélzásához, egy egyéni, korlátozott hatókörű szerepkör használata javasolt. A szerepkört a célerőforrás-típusok privát végpontkapcsolatainak jóváhagyásához szükséges műveletekkel kell meghatározni. Ilyen erőforrástípusok például az Azure Data Factory, az Azure Databricks és az Azure Function Apps.

Ha privát végpont kimenő szabályait szeretné létrehozni az alapértelmezett munkaterület-erőforrásokhoz, a szükséges engedélyekre automatikusan kiterjednek a munkaterület létrehozása során megadott szerepkör-hozzárendelések, így nincs szükség más műveletre.

Állítson be egy kezelt virtuális hálózatot az internet kimenő forgalmának engedélyezéséhez.

Tipp

A kezelt VNet létrehozása elhalasztódik, amíg egy számítási erőforrás létre nem jön, vagy a előkészítés manuálisan el nem indul. Ha engedélyezi az automatikus létrehozást, körülbelül 30 perc is eltelhet az első számítási erőforrás létrehozásához, mivel ez a hálózat elkészítését is magában foglalja. További információért lásd: A hálózat kézi konfigurálása.

Fontos

Ha serverless Spark feladatokat szeretne beadni, kézzel kell megkezdenie a szolgáltatások előkészítését. További információért lásd a szervertelen Spark feladatok beállítása szakaszt.

A felügyelt virtuális hálózat konfigurálásához, amely lehetővé teszi az internetre irányuló kimenő kommunikációt, használhatja a --managed-network allow_internet_outbound paramétert vagy egy YAML konfigurációs fájlt, amely tartalmazza a következő bejegyzéseket:

managed_network:
  isolation_mode: allow_internet_outbound

A munkaterület által használt többi Azure szolgáltatással való kapcsolathoz kimenő szabályokat is definiálhat. Ezek a szabályok meghatározzák a privát végpontokat, amelyek lehetővé teszik, hogy egy Azure erőforrás biztonságosan kommunikáljon a kezelt virtuális hálózattal. A következő szabály bemutatja, hogyan lehet hozzáadni egy privát végpontot az Azure Blob erőforráshoz.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Konfigurálhat egy felügyelt virtuális hálózatot a az ml workspace create vagy az ml workspace update parancsok használatával.

Új munkaterület létrehozása

Az alábbi példa egy új munkaterületet hoz létre. A --managed-network allow_internet_outbound paraméter egy kezelt virtuális hálózatot konfigurál a munkaterülethez.

az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound

Egy munkaterület létrehozásához YAML fájl használatával használja a --file paramétert, és adja meg a beállításokat tartalmazó YAML fájlt:

az ml workspace create --file workspace.yaml --resource-group rg --name ws

A következő YAML példa egy kezelői virtuális hálózattal rendelkező munkaterületet definiál.

name: myworkspace
location: EastUS
managed_network:
    isolation_mode: allow_internet_outbound

Frissítse egy meglévő munkaterületet

Figyelmeztetés

A meglévő munkaterület frissítése előtt, hogy egy kezelt virtuális hálózatot használhasson, törölni kell a munkaterülethez tartozó összes számítási erőforrást. Ez magában foglalja a számítási példányokat, a számítási fürtöket és a kezelt online végpontokat.

A következő példa egy meglévő munkaterületet frissít. A --managed-network allow_internet_outbound paraméter egy kezelt virtuális hálózatot konfigurál a munkaterülethez.

az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound

A meglévő munkaterület frissítéséhez a YAML fájl segítségével használja a --file paramétert, és adja meg a YAML fájlt, amely a konfigurációs beállításokat tartalmazza.

az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup

Az alábbi YAML példa egy kezelt virtuális hálózatot definiál a munkaterülethez. Ez bemutatja, hogyan lehet privát végpont csatlakozást hozzáadni egy erőforráshoz, amelyet a munkaterület használ; ebben a példában egy privát végpont egy blob-tárhelyhez.

name: myworkspace
managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
    destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
    type: private_endpoint

A felügyelt virtuális hálózat konfigurálásához, amely lehetővé teszi az internetről kimenő kommunikációkat, használja a ManagedNetwork osztályt a hálózat IsolationMode.ALLOW_INTERNET_OUTBOUND meghatározásához. Ezután az ManagedNetwork objektumot használhatja új munkaterület létrehozására vagy egy meglévő frissítésére. Azoknak az Azure szolgáltatásoknak a kimenő szabályai, amelyekre a munkaterület támaszkodik, a PrivateEndpointDestination osztály segítségével definiáld az új privát végpontot a szolgáltatáshoz.

Új munkaterület létrehozása

A következő példa létrehoz egy új munkaterületet myworkspace néven, egy myrule nevű kimenő szabállyal, amely egy privát végpontot ad hozzá egy Azure Blob tárolóhoz.

# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Workspace configuration
ws = Workspace(
    name="myworkspace",
    location="eastus",
    managed_network=network
)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()

Frissítse egy meglévő munkaterületet

Figyelmeztetés

A meglévő munkaterület frissítése előtt, hogy egy kezelt virtuális hálózatot használhasson, törölni kell a munkaterülethez tartozó összes számítási erőforrást. Ez magában foglalja a számítási példányokat, a számítási fürtöket és a kezelt online végpontokat.

A következő példa bemutatja, hogyan hozhat létre egy kezelt virtuális hálózatot egy meglévő Azure Machine Learning munkaterülethez, amelynek neve myworkspace:

# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ml_client.workspaces.begin_update(ws)

Új munkaterület létrehozása

1. Jelentkezzen be az Azure portálra, és válassza az Azure Machine Learning lehetőséget a "Forrás létrehozása" menüből.

2. Kérjük, adja meg a szükséges információkat a Alapok fülön.

3. A Hálózat lapon válassza a Private with Internet Outbound (Kimenő internettel) lehetőséget.

   

4. A kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózat fülön. A Munkaterület kimenő szabályai oldalsávban adja meg a következő információkat:

   • Rule name: Egy név a szabályhoz. A névnek egyedinek kell lennie ebben a munkaterületben.
   • Cél típus: A hálózati izoláció privát, internetkapcsolattal kifelé irányuló esetén a Private Endpoint az egyetlen lehetőség. Az Azure Machine Learning által kezelt virtuális hálózat nem támogatja a privát végpont létrehozását minden Azure erőforrástípushoz. A támogatott erőforrások listáját a Privát végpontok részben találja.
   • Előfizetés: Az az előfizetés, amely tartalmazza azt az Azure erőforrást, amelyhez egy privát végpontot szeretne hozzáadni.
   • Erőforrás-csoport: Az erőforrás-csoport, amely az Azure-erőforrást tartalmazza, amelyhez privát végpontot szeretne hozzáadni.
   • Erőforrás típusa: Az Azure erőforrás típusa.
   • Erőforrás neve: Az Azure erőforrás neve.
   • Alsóerőforrás: Az Azure-erőforrástípus alsóerőforrása.
   • Spark engedélyezve: Válassza ezt az opciót, ha engedélyezni szeretné a szerver nélküli Spark feladatokat a munkaterülethez. Ez az opció csak akkor érhető el, ha az erőforrás típusa Azure Storage.

   

   Válassza a Mentés lehetőséget a szabály mentéséhez. Folytathatja a Felhasználó által meghatározott kimenő szabályok hozzáadása használatát a szabályok hozzáadásához.

5. Folytassa a munkaterület szokásos létrehozását.

Frissítse egy meglévő munkaterületet

Figyelmeztetés

A meglévő munkaterület frissítése előtt, hogy egy kezelt virtuális hálózatot használhasson, törölni kell a munkaterülethez tartozó összes számítási erőforrást. Ez magában foglalja a számítási példányokat, a számítási fürtöket és a kezelt online végpontokat.

1. Jelentkezzen be az Azure portálra, és válassza ki azt az Azure Machine Learning munkaterületet, amelyhez a kezelt virtuális hálózati izolációt szeretné engedélyezni.

2. Válassza a Hálózat, a Munkaterület által kezelt kimenő hozzáférés lehetőséget, majd az Internetes kimenet engedélyezése opciót.

   

   • Hozzáadás egy kimenő szabály, válassza a Felhasználó által meghatározott kimenő szabályok hozzáadása lehetőséget. A Workspace kifelé irányuló szabályok oldalsávból adja meg ugyanazokat az információkat, amelyeket egy munkaterület létrehozásakor használt a "Hozzon létre egy új munkaterületet" szakaszban.

     

   • Az eltávolításhoz egy kimenő szabályt, válassza ki az adott szabályhoz az eltávolítás opciót.

     

3. A lap tetején válassza a Mentés lehetőséget a kezelt virtuális hálózat módosításainak mentéséhez.

Konfiguráljon egy kezelt virtuális hálózatot, hogy csak a jóváhagyott kimenő forgalmat engedélyezze.

Tipp

A kezelt VNetet automatikusan biztosítják, amikor létrehoz egy számítási erőforrást. Ha engedélyezi az automatikus létrehozást, körülbelül 30 perc is eltelhet az első számítási erőforrás létrehozásához, mivel ez a hálózat elkészítését is magában foglalja. Ha konfigurálja az FQDN kimenő szabályokat, az első FQDN szabály körülbelül 10 percet ad hozzá az előkészítési időhöz. További információért lásd: A hálózat kézi konfigurálása.

Fontos

Ha serverless Spark feladatokat szeretne beadni, kézzel kell megkezdenie a szolgáltatások előkészítését. További információért lásd a szervertelen Spark feladatok beállítása szakaszt.

Az engedélyezett kimenő kommunikációkat engedélyező menedzselt virtuális hálózat konfigurálásához használhatja a --managed-network allow_only_approved_outbound paramétert vagy egy YAML konfigurációs fájlt, amely tartalmazza a következő bejegyzéseket:

managed_network:
  isolation_mode: allow_only_approved_outbound

Emellett definiálhat kimenő szabályokat az engedélyezett kimenő kommunikáció meghatározására. Létrehozható egy kimenő szabály egy service_tag, fqdn és private_endpoint típushoz. A következő szabály bemutatja, hogyan adhat privát végpontot egy Azure Blob erőforráshoz, szolgáltatási címkét az Azure Data Factory-hez, és egy teljesen minősített tartománynevet (FQDN) a pypi.org-hoz.

Fontos

• Kiszolgáló címke vagy FQDN számára kimenő útvonal hozzáadása csak akkor érvényes, ha a kezelt VNet allow_only_approved_outbound-ra van konfigurálva.
• Ha kimenő szabályokat ad hozzá, a Microsoft nem tudja garantálni az adatok kiszivárgását.

Figyelmeztetés

Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Konfigurálhat egy felügyelt virtuális hálózatot a az ml workspace create vagy az ml workspace update parancsok használatával.

Új munkaterület létrehozása

A következő példa a --managed-network allow_only_approved_outbound paramétert használja a kezelt virtuális hálózat konfigurálásához:

az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound

A következő YAML fájl egy menedzselt virtuális hálózattal rendelkező munkaterületet definiál.

name: myworkspace
location: EastUS
managed_network:
    isolation_mode: allow_only_approved_outbound

Ha egy munkaterületet szeretne létrehozni a YAML fájl segítségével, használja a --file paramétert:

az ml workspace create --file workspace.yaml --resource-group rg --name ws

Frissítse egy meglévő munkaterületet

Figyelmeztetés

A meglévő munkaterület frissítése előtt, hogy egy kezelt virtuális hálózatot használhasson, törölni kell a munkaterülethez tartozó összes számítási erőforrást. Ez magában foglalja a számítási példányokat, a számítási fürtöket és a kezelt online végpontokat.

Az alábbi példa a --managed-network allow_only_approved_outbound paramétert használja a kezelt virtuális hálózat konfigurálásához egy meglévő munkaterülethez.

az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound

Az alábbi YAML fájl egy kezelt virtuális hálózatot határoz meg a munkaterület számára. Ez egyben bemutatja, hogyan lehet hozzáadni egy jóváhagyott kimenő kapcsolatot a kezelt virtuális hálózathoz. Ebben a példában kimenő szabályt adunk hozzá mindkettőhöz, egy szolgáltatás-címkéhez.

Figyelmeztetés

Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

name: myworkspace_dep
managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
    destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
    type: service_tag
    - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
    - name: added-perule
    destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
    type: private_endpoint

A kezelhető virtuális hálózat konfigurálásához, amely csak jóváhagyott kimenő kommunikációkat engedélyez, használja a ManagedNetwork osztályt a hálózat IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND által történő meghatározásához. Ezután az ManagedNetwork objektumot használhatja új munkaterület létrehozására vagy egy meglévő frissítésére. Az kimenő szabályok meghatározásához használja a következő osztályokat:

Úti cél	Osztály
Az Azure-szolgáltatás, amelyre a munkaterület támaszkodik	PrivateEndpointDestination
Azure-szolgáltatáscímke	ServiceTagDestination
Teljes tartománynév (FQDN)	FqdnDestination

Új munkaterület létrehozása

A következő példa létrehoz egy új munkaterületet, amelynek neve myworkspace, és több kimenő szabállyal rendelkezik.

• myrule - Privát végpontot ad hozzá egy Azure Blob tárhelyhez.
• datafactory - Szolgáltatási címkét szabályt ad hozzá az Azure Data Factory-val való kommunikációhoz.

Fontos

• Kiszolgáló címke vagy FQDN számára kimenő útvonal hozzáadása csak akkor érvényes, ha a kezelt VNet IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND-ra van konfigurálva.
• Ha kimenő szabályokat ad hozzá, a Microsoft nem tudja garantálni az adatok kiszivárgását.

Figyelmeztetés

Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Workspace configuration
ws = Workspace(
    name="myworkspace",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()

Frissítse egy meglévő munkaterületet

Figyelmeztetés

A meglévő munkaterület frissítése előtt, hogy egy kezelt virtuális hálózatot használhasson, törölni kell a munkaterülethez tartozó összes számítási erőforrást. Ez magában foglalja a számítási példányokat, a számítási fürtöket és a kezelt online végpontokat.

A következő példa bemutatja, hogyan lehet létrehozni egy kezelt virtuális hálózatot egy meglévő Azure Machine Learning munkaterülethez, amelynek neve myworkspace. A példa több kimenő szabályt is hozzáad a kezelt virtuális hálózathoz.

• myrule - Privát végpontot ad hozzá egy Azure Blob tárhelyhez.
• datafactory - Szolgáltatási címkét szabályt ad hozzá az Azure Data Factory-val való kommunikációhoz.

Tipp

Kiszolgáló címke vagy FQDN számára kimenő útvonal hozzáadása csak akkor érvényes, ha a kezelt VNet IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND-ra van konfigurálva.

Figyelmeztetés

Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the workspace
ml_client.workspaces.begin_update(ws)

Új munkaterület létrehozása

1. Jelentkezzen be az Azure portálra, és válassza az Azure Machine Learning lehetőséget a "Forrás létrehozása" menüből.

2. Kérjük, adja meg a szükséges információkat a Alapok fülön.

3. A Hálózatkezelés lapról válassza a Privát jóváhagyott kimenővel lehetőséget.

   

4. A kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózat fülön. A Munkaterület kimenő szabályai oldalsávban adja meg a következő információkat:

   • Rule name: Egy név a szabályhoz. A névnek egyedinek kell lennie ebben a munkaterületben.
   • Cél típusa: Privát végpont, Szolgáltatáscímke, vagy FQDN. A szolgáltatási címke és az FQDN csak akkor érhető el, ha a hálózati izoláció privát, és jóváhagyott kimenő forgalom van.

   Ha a cél típus Privát Végpont, adja meg a következő információkat:

   • Előfizetés: Az az előfizetés, amely tartalmazza azt az Azure erőforrást, amelyhez egy privát végpontot szeretne hozzáadni.
   • Erőforrás-csoport: Az erőforrás-csoport, amely az Azure-erőforrást tartalmazza, amelyhez privát végpontot szeretne hozzáadni.
   • Erőforrás típusa: Az Azure erőforrás típusa.
   • Erőforrás neve: Az Azure erőforrás neve.
   • Alsóerőforrás: Az Azure-erőforrástípus alsóerőforrása.
   • Spark engedélyezve: Válassza ezt az opciót, ha engedélyezni szeretné a szerver nélküli Spark feladatokat a munkaterülethez. Ez az opció csak akkor érhető el, ha az erőforrás típusa Azure Storage.

   Tipp

   Az Azure Machine Learning kezelt VNet nem támogatja privát végpont létrehozását az összes Azure erőforrástípushoz. A támogatott erőforrások listáját a Privát végpontok részben találja.

   

   Ha a cél típus a Szerviz címke, akkor adja meg a következő információkat:

   • Service tag: A szolgáltatási címke, amelyet hozzá kell adni a jóváhagyott kimenő szabályokhoz.
   • Protokoll: A szolgáltatási címke engedélyezéséhez szükséges protokoll.
   • Porttartományok: A szolgáltatáscímkéhez engedélyezendő porttartományok.

   

   Ha a cél típus FQDN, adja meg a következő információkat:

   Figyelmeztetés

   Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

   • FQDN célpont: A teljesen képzett tartománynév, amelyet hozzá kell adni az engedélyezett kimenő szabályokhoz.

   

   Válassza a Mentés lehetőséget a szabály mentéséhez. Folytathatja a Felhasználó által meghatározott kimenő szabályok hozzáadása használatát a szabályok hozzáadásához.

5. Folytassa a munkaterület szokásos létrehozását.

Frissítse egy meglévő munkaterületet

Figyelmeztetés

A meglévő munkaterület frissítése előtt, hogy egy kezelt virtuális hálózatot használhasson, törölni kell a munkaterülethez tartozó összes számítási erőforrást. Ez magában foglalja a számítási példányokat, a számítási fürtöket és a kezelt online végpontokat.

1. Jelentkezzen be az Azure portálra, és válassza ki azt az Azure Machine Learning munkaterületet, amelyhez a kezelt virtuális hálózati izolációt szeretné engedélyezni.

2. Válassza a Hálózatkezelést, a Munkahely által kezelt kimenő hozzáférést, majd válassza a Private with Approved Outbound lehetőséget.

   

   • Egy kimenő szabályt való hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózat fülről. A Munkaterület kimenő szabályok oldalsávból adja meg ugyanazokat az információkat, mint a munkaterület létrehozásakor az előző 'Új munkaterület létrehozása' szakaszban.

   • Az eltávolításhoz egy kimenő szabályt, válassza ki az adott szabályhoz az eltávolítás opciót.

     

3. A lap tetején válassza a Mentés lehetőséget a kezelt virtuális hálózat módosításainak mentéséhez.

Beállítás szerver nélküli Spark feladatokhoz

Tipp

Az ebben a szakaszban szereplő lépésekre csak akkor van szükség, ha kiszolgáló nélküli Spark-feladatokat szeretne küldeni. Ha nem tervezel szerver nélküli Spark-feladatokat beküldeni, ezt a szakaszt kihagyhatod.

A szerver nélküli Spark-feladatok engedélyezéséhez a kezelt virtuális hálózathoz a következő lépéseket kell megtennie:

• Konfiguráljon egy kezelt virtuális hálózatot a munkaterülethez, és adjon hozzá egy kimenő privát végpontot az Azure Storage-fiókhoz.
• Miután konfigurálta a felügyelt virtuális hálózatot, kiépíteni és megjelölni a Spark-feladatok engedélyezéséhez.

1. Konfiguráljon egy kimenő privát végpontot.

   Egy YAML-fájl segítségével definiáld a kezelt virtuális hálózati konfigurációt, és adj hozzá egy privát végpontot az Azure Storage-fiókhoz. Állítsa be a következőket is spark_enabled: true:

   Tipp

   Ez a példa egy kezelt VNet-re, amely isolation_mode: allow_internet_outbound használatával van konfigurálva az internetforgalom engedélyezésére. Ha csak az engedélyezett kimenő forgalmat szeretné engedélyezni, használja a isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   A YAML konfigurációs fájlt a az ml workspace update parancs használatával alkalmazhatja, ha megadja a --file paramétert és a YAML fájl nevét. Például a következő parancs egy meglévő munkaterületet frissít egy YAML fájl segítségével, amelynek neve workspace_pe.yml.

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Megjegyzés:

   Ha a Csak jóváhagyott kimenő forgalom engedélyezése be van kapcsolva (isolation_mode: allow_only_approved_outbound), a Spark munkamenet konfigurációjában meghatározott conda csomagfüggőségek telepítése nem sikerül. A probléma megoldásához töltsön fel egy külső függőségek nélküli, önálló Python csomag kerék egy Azure tároló fiókba, és hozzon létre egy privát végpontot ehhez a tároló fiókhoz. Használd a Python csomagkerék elérési útját py_files paraméterként a Spark feladatodban. Egy FQDN kimenő szabály beállítása nem fogja megkerülni ezt a problémát, mivel a FQDN szabályok terjesztését a Spark nem támogatja.

   A következő példa bemutatja, hogyan lehet létrehozni egy kezelt virtuális hálózatot egy meglévő Azure Machine Learning munkaterülethez, amelynek neve myworkspace. Egy privát végpontot is hozzáad az Azure Storage-fiókhoz, és beállítja a spark_enabled=true:

   Tipp

   A következő példa egy kezelt VNet konfigurálásának bemutatása IsolationMode.ALLOW_INTERNET_OUTBOUND használatával, amely lehetővé teszi az internetes forgalmat. Ha csak az engedélyezett kimenő forgalmat szeretné engedélyezni, használja a IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Megjegyzés:

   • Ha a Csak jóváhagyott kimenő forgalom engedélyezése be van kapcsolva (isolation_mode: allow_only_approved_outbound), a Spark munkamenet konfigurációjában meghatározott conda csomagfüggőségek telepítése nem sikerül. A probléma megoldásához töltsön fel egy külső függőségek nélküli, önálló Python csomag kerék egy Azure tároló fiókba, és hozzon létre egy privát végpontot ehhez a tároló fiókhoz. Használja a Python csomag kerék elérési útját a Spark feladatban py_files paraméterként.
   • Ha a munkaterületet a IsolationMode.ALLOW_INTERNET_OUTBOUND-mal hozták létre, akkor később nem frissíthető, hogy a IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND-t használja.

   1. Jelentkezzen be az Azure portálra, és válassza ki az Azure Machine Learning munkahelyet.

   2. Válassza a Hálózatkezelés lehetőséget, majd válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget. Adj hozzá egy szabályt az Azure Storage fiókhoz, és győződj meg róla, hogy a Spark engedélyezve van kiválasztva.

      

   3. A szabály mentéséhez válassza a Mentés lehetőséget, majd a Hálózatkezelés lapról a Mentés elemet a felügyelt virtuális hálózat módosításainak mentéséhez.

2. Gondoskodjon a kezelt virtuális hálózatról.

   Megjegyzés:

   Ha a munkaterületén engedélyezve van a nyilvános hálózati hozzáférés, le kell tiltanod azt a kezelt VNet kiépítése előtt. Ha nem tiltja le a nyilvános hálózati hozzáférést a kezelt VNet rendelkezésre bocsátásakor, a munkaterület privát végpontjai lehet, hogy nem jönnek létre automatikusan a kezelt VNet-ben. Ellenkező esetben a privát végpont kimenő szabályait manuálisan kell konfigurálnia a munkaterület számára a létrehozás után.

   A következő példa bemutatja, hogyan lehet egy kiszolgáló nélküli Spark feladatokhoz használt felügyelt virtuális hálózatot kialakítani a --include-spark paraméter segítségével.

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   A következő példa bemutatja, hogyan lehet kezelt virtuális hálózatot létrehozni szerver nélküli Spark feladatokhoz:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Az Azure Portalon csak a felügyelt hálózat üzembe helyezését választhatja ki a munkaterület létrehozása során. Ehhez válassza a Felügyelt virtuális hálózat kiépítése lehetőséget a Kimenő hozzáférés lapon. Ha egy meglévő munkaterület kiszolgáló nélküli Spark-feladataihoz szeretné kiépíteni a felügyelt hálózatot, az Azure CLI-t vagy a Python SDK-t kell használnia.

Kézzel állítson be egy kezelt virtuális hálózatot

A kezelt virtuális hálózat automatikusan létrehozásra kerül, amikor létrehoz egy számítási példányt. Amikor automatikus előkészítésre támaszkodik, körülbelül 30 percbe telhet az első számítási példány létrehozása, mivel ez a hálózat előkészítését is magában foglalja. Ha FQDN kimenő szabályokat konfigurál (ez csak a csak engedélyezett mód esetén érhető el), az első FQDN szabály körülbelül 10 percet ad hozzá a szolgáltatás telepítési idejéhez. Ha az irányított hálózatban egy nagy készlet kimenő szabályt kell előkészíteni, akkor a telepítés befejezése hosszabb időt vehet igénybe. A megnövekedett rendelkezési idő miatt előfordulhat, hogy az első számítási példány létrehozása időtúllépést okoz.

A várakozási idő csökkentése és az esetleges időtúllépési hibák elkerülése érdekében javasoljuk a kezelt hálózat manuális kiépítését. Ezután várjon, amíg a kiépítés be nem fejeződik, mielőtt létrehozna egy számítási példányt.

Alternatív megoldásként használhatja a provision_network_now zászlót a kezelt hálózat biztosítására a munkaterület létrehozásának részeként.

Megjegyzés:

Az online telepítés létrehozásához manuálisan kell üzembe helyeznie a kezelt hálózatot, vagy először létre kell hoznia egy számítási példányt, amely automatikusan üzembe helyezi azt.

Az alábbi példa bemutatja, hogyan építhet ki felügyelt virtuális hálózatot a munkaterület létrehozása során.

az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now

Az alábbi példa bemutatja, hogyan lehet manuálisan kiépíteni egy felügyelt virtuális hálózatot.

Tipp

Ha kiszolgáló nélküli Spark-feladatokat szeretne küldeni, adja hozzá a paramétert --include-spark .

az ml workspace provision-network -g my_resource_group -n my_workspace_name

A kiépítés befejezésének ellenőrzéséhez használja a következő parancsot:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

A felügyelt hálózat létrehozása során, a munkaterület létrehozása közben, állítsa be a provision_network_now jelzőt True értékre.

provision_network_now: True

A következő példa bemutatja, hogyan lehet egy kezelt virtuális hálózatot létrehozni:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Annak ellenőrzéséhez, hogy a munkaterület elkészült-e, használja a ml_client.workspaces.get() parancsot a munkaterület információinak lekéréséhez. A managed_network tulajdonság tartalmazza a kezelt hálózat állapotát.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

A munkaterület létrehozása során válassza a Felügyelt hálózat proaktív biztosítása a létrehozáskor lehetőséget a felügyelt hálózat biztosításához. A díjak a hálózati erőforrásokból, például a privát végpontokból keletkeznek, miután a virtuális hálózatot előkészítették. Ez a konfigurációs beállítás csak a munkaterület létrehozása során érhető el.

Kép buildjeinek konfigurálása

Ha a munkaterületéhez tartozó Azure Container Registry egy virtuális hálózat mögött található, akkor nem használható közvetlenül Docker képek építésére. Ehelyett konfigurálja a munkaterületét úgy, hogy számítási klasztert vagy számítási példányt használjon a képek létrehozásához.

Fontos

A Docker-képek létrehozásához használt számítási erőforrásnak képesnek kell lennie elérni azokat a csomagtárakat, amelyeket a modellek betanítása és telepítése során használnak. Ha olyan hálózatot használ, amelyet úgy konfiguráltak, hogy csak jóváhagyott kimenő forgalmat engedélyezzen, előfordulhat, hogy hozzá kell adnia szabályokat, amelyek lehetővé teszik a nyilvános tárolók elérését, vagy privát Python csomagokat kell használnia.

A munkaterület frissítéséhez, hogy számítási fürtöt vagy számítási példányt használhasson Docker képek létrehozásához, használja a az ml workspace update parancsot a --image-build-compute paraméterrel.

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

A következő példa bemutatja, hogyan kell frissíteni egy munkaterületet úgy, hogy számítási klasztert használjon képek létrehozásához.

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name=workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Az Azure Portalról nem lehet beállítani a rendszerkép-összeállítási számítást. Ehelyett használja az Azure CLI-t vagy a Python SDK-t.

Kimenő szabályok kezelése

A munkaterület kezelt virtuális hálózati kimeneti szabályainak listázásához használja a következő parancsot:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

A kezelt virtuális hálózat kimenő szabályának részleteinek megtekintéséhez használja a következő parancsot:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

A kezelt virtuális hálózatból egy kimenő szabály eltávolításához használja a következő parancsot:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

A következő példa bemutatja, hogyan kezeljük a kimenő szabályokat egy myworkspace nevű munkahely számára:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

1. Jelentkezzen be az Azure portálra, és válassza ki azt az Azure Machine Learning munkaterületet, amelyhez a kezelt virtuális hálózati izolációt szeretné engedélyezni.

2. Válassza a Hálózatkezelés lehetőséget. A Workspace Kimenő hozzáférés szakasz lehetővé teszi a kimenő szabályok kezelését.

   

• A kimenő szabályok hozzáadásához válassza a Felhasználó által meghatározott kimenő szabályok hozzáadása lehetőséget a Hálózat fülön. A Munkaterület kimenő szabályok oldalsávján adja meg a következő információkat:

• A szabályzat engedélyezéséhez vagy letiltásához használja a Aktív oszlopban található kapcsolót.

• Az eltávolításhoz egy kimenő szabályt, válassza ki az adott szabályhoz az eltávolítás opciót.

A szükséges szabályok listája

Privát végpontok:

• Amikor a kezelt virtuális hálózat izolációs módja Allow internet outbound, a privát végpontokhoz tartozó kimenő szabályok automatikusan létrejönnek mint szükséges szabályok a kezelt virtuális hálózatból a munkahelyre és a társított erőforrásokra nézve, nyilvános hálózati hozzáférés letiltva (Key Vault, Storage Account, Container Registry, Azure Machine Learning munkaterület).
• Ha a kezelt virtuális hálózat izolációs módja Allow only approved outbound, a privát végpont kimenő szabályai automatikusan létrejönnek, mint szükséges szabályok a kezelt virtuális hálózatból a munkaterület és a társított erőforrások számára a nyilvános hálózati hozzáférési módjától függetlenül ezekért az erőforrásokért (Key Vault, Storage Account, Container Registry, Azure Machine Learning munkaterület).
• Ezek a szabályok automatikusan hozzáadódnak a kezelt virtuális hálózathoz.

Ahhoz, hogy az Azure Machine Learning normál működéséhez szükséges legyen, egy sor szolgáltatás címke szükséges, amelyek egy kezelt vagy egyéni virtuális hálózati beállítás során szükségesek. Nincs alternatíva a bizonyos kötelező szolgáltatási címkék cseréjére. Az alábbi táblázat leírja az összes szükséges szolgáltatáscímkét és azok célját az Azure Machine Learning keretében.

Szolgáltatáscímke-szabály	Bejövő vagy Kimenő	Cél
AzureMachineLearning	Bejövő	Azure Machine Learning számítási példányok/fürtök létrehozása, frissítése és törlése.
AzureMachineLearning	Kimenő	Azure Machine Learning szolgáltatások használata. A Python intellisense notebookokban a 18881-es portot használja. Egy Azure Machine Learning számítási példány létrehozása, frissítése és törlése a 5831-es portot használja.
AzureActiveDirectory	Kimenő	Hitelesítés Microsoft Entra ID használatával.
BatchNodeManagement.region	Kimenő	Kommunikáció az Azure Batch háttérrendszerrel az Azure Machine Learning számítási példányokhoz/kötegekhez.
AzureResourceManager	Kimenő	Azure erőforrások létrehozása az Azure Machine Learning, az Azure CLI és az Azure Machine Learning SDK segítségével.
AzureFrontDoor.FirstParty	Kimenő	Érje el a Microsoft által biztosított Docker képeket.
MicrosoftContainerRegistry	Kimenő	Érje el a Microsoft által biztosított Docker képeket. Azure Machine Learning útválasztó beállítása az Azure Kubernetes Service-hez.
AzureMonitor	Kimenő	A monitorozási és metrikai adatokat naplózza az Azure Monitorhoz. Csak akkor van szükség, ha a munkaterület Azure Monitorja nincs biztosítva. Ez a kimenő adatfolyam a támogatási incidensek adatainak naplózására is szolgál.
VirtualNetwork	Kimenő	Akkor szükséges, ha privát végpontok vannak jelen a virtuális hálózatban vagy összekapcsolt virtuális hálózatokban.

Megjegyzés:

A szolgáltatási címkék, mint az EGYETLEN biztonsági határ, nem elegendőek. A bérlő szintű elkülönítéshez használja a privát végpontokat, amikor lehetséges.

A forgatókönyv-specifikus kimenő szabályok listája

Forgatókönyv: Hozzáférés nyilvános gépi tanulási csomagokhoz

Annak érdekében, hogy lehetővé tegye a Python csomagok telepítését a képzéshez és telepítéshez, adjon hozzá kimenő FQDN szabályokat, hogy engedélyezze a forgalmat a következő hostnevekre:

Figyelmeztetés

Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

Megjegyzés:

A következő lista nem tartalmazza az interneten található összes Python erőforráshoz szükséges hostot, csak a leggyakrabban használtakat. Például, ha hozzáférésre van szüksége egy GitHub-tárhelyhez vagy más gazdagéphez, az adott helyzethez szükséges gazdagépeket azonosítania kell és hozzá kell adnia.

Gazdagép neve	Cél
anaconda.com *.anaconda.com	Az alapértelmezett csomagok telepítésére használható.
*.anaconda.org	Adattár adatok lekérésére használva.
pypi.org	Az alapértelmezett indexből származó függőségek felsorolására szolgál, amennyiben vannak, és az indexet nem írják felül a felhasználói beállítások. Ha a mutatót felülírják, akkor az *.pythonhosted.org-t is engedélyeznie kell.
pytorch.org *.pytorch.org	PyTorch-alapú néhány példa használja.
*.tensorflow.org	A TensorFlow-alapú példák használják.

Szenárió: Visual Studio Code asztali vagy webes használata számítási példánnyal

Ha Visual Studio Code-ot tervez használni az Azure Machine Learninggel, adjon meg kifelé irányuló FQDN-szabályokat, hogy engedélyezze a forgalmat az alábbi gazdagépekhez.

Megjegyzés:

Az alábbi lista nem a Visual Studio Code internetes erőforrásaihoz szükséges összes gazdagép teljes felsorolása, csak a leggyakrabban használtak. Például, ha hozzáférésre van szüksége egy GitHub-tárhelyhez vagy más gazdagéphez, az adott helyzethez szükséges gazdagépeket azonosítania kell és hozzá kell adnia. A hosztnevek teljes listájáért lásd a Hálózati kapcsolatok a Visual Studio Code-ban című részt.

Gazdagép neve	Cél
*.vscode.dev *.vscode-unpkg.net *.vscode-cdn.net *.vscodeexperiments.azureedge.net default.exp-tas.com	Szükséges a hozzáféréshez a vscode.dev-hez (Visual Studio Code for the Web)
code.visualstudio.com	Szükséges letölteni és telepíteni a VS Code asztali alkalmazást. Ez a hálózat nem szükséges a VS Code Web használatához.
update.code.visualstudio.com *.vo.msecnd.net	A számítási példányon egy telepítési szkripttel telepített VS Code szerver részeinek visszakeresésére használatos.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Szükséges letölteni és telepíteni a VS Code bővítményeket. Ezek a gazdagépek lehetővé teszik a távoli kapcsolatot a számítási példányokhoz. További információért lásd: Azure Machine Learning erőforrások kezelése a VS Code-ban.
vscode.download.prss.microsoft.com	A Visual Studio Code letöltéséhez használt CDN

Forgatókönyv: Használja a kötegelt végpontokat vagy a ParallelRunStep-et

Ha az Azure Machine Learning tételvégpontokat kívánja használni telepítéshez vagy a ParallelRunStep lépéshez, adjon hozzá kimenő privát végpont szabályokat az alapértelmezett tárolófiók alábbi alerőforrásainak forgalmának engedélyezéséhez.

• queue
• table

Szenárió: A prompt folyamat használata Azure OpenAI-jal, tartalombiztonság és Azure AI Keresés alkalmazásával

• Privát végpont az Azure AI szolgáltatásokhoz
• Privát végpont az Azure AI Search-hez

Forgatókönyv: HuggingFace modellek használata

Ha azt tervezi, hogy az HuggingFace modelleket használja az Azure Machine Learninggel, adjon hozzá kimenő FQDN szabályokat, hogy engedélyezze a forgalmat a következő hosztokhoz:

Figyelmeztetés

Az FQDN kimenő szabályok az Azure Tűzfal használatával vannak megvalósítva. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. További információért lásd a Pricing oldalt.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Scenario: Engedélyezze az elérést a kiválasztott IP-címekről

Ha bizonyos IP-címekről szeretne hozzáférést engedélyezni, használja a következő műveleteket:

1. Adjon hozzá egy kimenő privát végpont szabályt, hogy engedélyezze a forgalmat az Azure Machine Learning munkaterületre. Ez a szabály lehetővé teszi, hogy a menedzselt virtuális hálózatban létrehozott számítási példányok hozzáférjenek a munkaterülethez.

   Tipp

   Ezt a szabályt nem adhatja hozzá a munkahely létrehozása során, mivel a munkahely még nem létezik.

2. Engedélyezze a nyilvános hálózati hozzáférést a munkaterülethez. További információért lásd: engedélyezett nyilvános hálózati hozzáférés.

3. Adja hozzá IP-címeit az Azure Machine Learning tűzfalához. Ha további információra van szüksége, tekintse meg a hozzáférés engedélyezése csak IP-tartományokból című részt.

   Megjegyzés:

   Csak az IPv4 címek támogatottak.

További információért lásd: Configure private link.

Privát végpontok

A következő Azure szolgáltatásokhoz jelenleg támogatottak a privát végpontok:

• Azure Machine Learning
• Azure Machine Learning-regisztrációs adatbázisok
• Azure Storage (minden alerőforrás típus)
• Azure Container Registry
• Azure Key Vault
• Azure AI-szolgáltatások
• Azure AI Search (korábbi nevén Cognitive Search)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (minden alerőforrás típus)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• Azure Database for MariaDB
• Azure Database for PostgreSQL egyszeres kiszolgáló
• Azure Database for PostgreSQL rugalmas kiszolgáló.
• Azure Database for MySQL
• Azure API Management
  • Csak a klasszikus szint támogatása VNET-injektálás nélkül és a Standard V2 szint virtuális hálózati integrációval. További információ az API Management virtuális hálózatokról: Virtual Network Concepts
• Application Insights ( a PrivateLinkScopesen keresztül)

Amikor létrehoz egy privát végpontot, megadja a erőforrás típusát és a al-erőforrást, amelyhez a végpont kapcsolódik. Egyes erőforrásoknak több típusa és alerőforrása van. További információért tekintse meg a mi az a privát végpont című részt.

Amikor létrehoz egy privát végpontot az Azure Machine Learning függőségi erőforrások, például az Azure Storage, az Azure Container Registry és az Azure Key Vault számára, az erőforrás egy másik Azure-előfizetésben is lehet. A forrásnak ugyanabban a bérlőben kell lennie, mint az Azure Machine Learning munkaterület.

A munkaterület privát végpontjai nem jönnek létre automatikusan. Ezek csak akkor jönnek létre, ha az első számítás létrejött, vagy ha a felügyelt virtuális hálózat kiépítése kényszerítve van. A felügyelt virtuális hálózat kiépítésének kényszerítésével kapcsolatos további információkért lásd a hálózat manuális kiépítését ismertető témakört.

Privát végpontok jóváhagyása

Az Azure Machine Learning használatával történő magánvégpont-kapcsolatok kialakításához kezelt virtuális hálózatokban a munkaterület kezelt identitásának – legyen az rendszer által hozzárendelt vagy felhasználó által hozzárendelt – engedélyekkel kell rendelkeznie, hogy jóváhagyhassa a magánvégpont-kapcsolatokat a célforrásokon. Ezt a feladatot korábban az Azure Machine Learning szolgáltatás automatikus szerepkör-hozzárendelésekkel hajtotta végre. Azonban vannak biztonsági aggályok az automatikus szerepkör-kiosztással kapcsolatban. A biztonság javítása érdekében 2025. április 30-tól ez a szerepkör-hozzárendelés nem automatikus.

Javasoljuk, hogy rendelje hozzá az Azure AI Enterprise Hálózati kapcsolat jóváhagyó szerepkörét, vagy egy egyéni szerepkört a szükséges privát végpont kapcsolati engedélyekkel a célerőforrás-típusokhoz. Ha engedélyezni szeretné, hogy az Azure Machine Learning-szolgáltatások jóváhagyják a cél Azure-erőforrások privát végpontkapcsolatait, adja meg ezt a szerepkört az Azure Machine Learning-munkaterület felügyelt identitásának.

Íme az Azure AI Enterprise Network Connection Approver szerepkör által lefedett privát végpont célerőforrás-típusainak listája:

• Azure Application Gateway
• Azure Monitor
• Azure AI Keresés
• Event Hubs
• Azure SQL Database
• Azure Storage
• Azure Machine Learning-munkaterület
• Azure Machine Learning-beállításjegyzék
• Azure AI Foundry
• Azure Key Vault
• Azure Cosmos DB
• Azure Database for MySQL
• Azure Database for PostgreSQL
• Azure AI Services
• Azure Cache for Redis
• Container Registry
• API Management

Ha privát végpont kimenő szabályokat szeretne létrehozni azokra az erőforrástípusokra, amelyeket az Azure AI Enterprise Network Connection Approver szerepkör nem fed le, akkor egy egyéni, szűkített hatókörű szerepkör használata javasolt. A szabálynak meg kell határoznia a célerőforrás-típusok privát végpontkapcsolatainak jóváhagyásához szükséges műveleteket. Ilyen erőforrástípusok például az Azure Data Factory, az Azure Databricks és az Azure Function Apps.

Ha privát végpont kimenő szabályait szeretné létrehozni az alapértelmezett munkaterület-erőforrásokhoz, a szükséges engedélyekre automatikusan kiterjednek a munkaterület létrehozása során megadott szerepkör-hozzárendelések, így nincs szükség más műveletre.

Az Azure Firewall verzió választása csak engedélyezett kimenő forgalom részére.

Egy Azure tűzfal akkor van telepítve, ha egy FQDN kimenő szabály létrehozásra kerül, miközben az csak az engedélyezett kimenő módban van. Az Azure Firewall díjai beleértve kerülnek a számlázásába. Alapértelmezés szerint egy Standard verziójút hozunk létre az Azure tűzfalból. Opcionálisan választhatja a Basic verzió használatát. A tűzfal verzióját szükség szerint megváltoztathatja. Ahhoz, hogy kiderítse, melyik verzió a legjobb önnek, látogassa meg a Válassza ki a megfelelő Azure tűzfal verziót oldalát.

Fontos

A tűzfal addig nem jön létre, amíg nem ad hozzá egy kifelé irányuló FQDN szabályt. További információt az árakról az Azure Firewall árképzés résznél találhat, és tekintse meg az árakat a standard verzióhoz. Az URL-alapú szűrés csak prémium termékváltozatú Azure Firewall esetén támogatott, az Alapszintű és a Standard termékváltozatú Azure Firewall esetében nem. A felügyelt virtuális hálózat nem támogatja a prémium szintű termékváltozatú Azure Firewallt.

A csak jóváhagyott kimenő mód kiválasztása után megjelenik egy opció az Azure Tűzfal verziójának (SKU) kiválasztásához. Válassza a Standard lehetőséget a standard verzió használatához vagy a Basic lehetőséget az alapverzió használatához. A konfiguráció mentéséhez válassza a Mentés lehetőséget.

A CLI-n keresztül a tűzfal verziójának konfigurálásához használjon egy YAML fájlt, és adja meg a firewall_sku-t. A következő példa bemutat egy YAML fájlt, amely beállítja a tűzfal SKU-ját basic-ra.

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

A Python SDK-ből konfigurálni a tűzfal verzióját, állítsa be a firewall_sku tulajdonságot a ManagedNetwork objektumra. A következő példa bemutatja, hogyan állíthatja be a tűzfal SKU értékét basic:

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND,
                         firewall_sku='basic')

Árképzés

Az Azure Machine Learning által kezelt virtuális hálózat funkció ingyenes. Azonban, a kezelt virtuális hálózat által használt következő erőforrásokért díjat számolnak fel önnek:

• Azure Private Link - A privát végpontok, amelyek a kezelt virtuális hálózat és az Azure-erőforrások közötti kommunikáció biztonságának megteremtésére szolgálnak, az Azure Private Link-re támaszkodnak. További információért az árképzéssel kapcsolatban lásd: Azure Private Link pricing.

• FQDN kimenő szabályok - A FQDN kimenő szabályokat az Azure Tűzfal segítségével valósítják meg. Ha kimenő FQDN szabályokat használ, az Azure Firewall díjai hozzáadódnak a számlázásához. Alapértelmezés szerint az Azure Firewall egy szabványos verziója van használatban. Az alapverzió kiválasztásáról további információt az Azure Firewall-verzió kiválasztása című témakörben talál.

  Fontos

  A tűzfal addig nem jön létre, amíg nem ad hozzá egy kifelé irányuló FQDN szabályt. További információt az árakról az Azure Firewall árképzés résznél találhat, és tekintse meg az árakat a standard verzióhoz.

Korlátozások

• Miután engedélyezte a munkaterület kezelt virtuális hálózati izolálását (akár az internet felé irányuló forgalmat engedélyezi, akár csak az elfogadott kimenő forgalmat), nem tudja azt letiltani.
• A kezelt virtuális hálózat privát végpont kapcsolatot használ az Ön privát erőforrásainak eléréséhez. Azure-erőforrásaik, mint például egy tárfiók, esetében nem lehet egyszerre privát végpontja és szolgáltatási végpontja. Javasoljuk, hogy minden esetben használjon privát végpontokat.
• A felügyelt virtuális hálózat a munkaterület törlésekor törlődik.
• Győződjön meg arról, hogy nincsenek hatókörzárak az Azure Machine Learning erőforrásokon és az erőforráscsoporton. A felügyelt virtuális hálózattal kapcsolatos belső műveletek blokkolva lehetnek.
• Az adatok kiszivárgás elleni védelme automatikusan engedélyezve van az egyetlen jóváhagyott kimenő módhoz. Ha más kimenő szabályokat ad hozzá, például FQDN-ekhez, a Microsoft nem tudja garantálni, hogy védve lesz az adatok kifelé irányuló úti célokra történő kiszivárgásától.
• Az számítási fürt létrehozása egy másik régióban, mint a munkaterület, nem támogatott, ha kezelt virtuális hálózatot használunk.
• Az Azure Machine Learning által kezelt virtuális hálózatban a Kubernetes és a csatlakoztatott virtuális gépek nem támogatottak.
• A FQDN kimenő szabályok használata növeli a kezelt virtuális hálózat költségét, mivel a FQDN szabályok az Azure Tűzfalat használják. További információért lásd a Pricing oldalt.
• A FQDN kimenő szabályok csak a 80-as és 443-as portokat támogatják.
• Ha a számítógépe egy kezelt hálózatban van, és nincs konfigurálva nyilvános IP-címre, használja a az ml compute connect-ssh parancsot, hogy SSH-val csatlakozzon hozzá.
• Amikor a Kezelt virtuális hálózatot használja, nem telepíthet számítási erőforrásokat az egyéni virtuális hálózaton belül. A számítási erőforrásokat csak a kezelt virtuális hálózaton belül lehet létrehozni.
• Ha a kezelt hálózata úgy van beállítva, hogy csak az engedélyezett kimeneti forgalmat engedélyezze, akkor nem használhat FQDN-szabályt az Azure Storage fiókok eléréséhez. Ehelyett privát végpontot kell használnia.
• Győződjön meg arról, hogy az egyéni házirendjében helyet ad a Microsoft által kezelt, a kezelt virtuális hálózat számára létrehozott privát végpontoknak.

Számítási erőforrások migrációja

Ha meglévő munkaterülete van, és engedélyezni szeretné a felügyelt virtuális hálózatot, a meglévő felügyelt számítási erőforrások jelenleg nem támogatják a migrálási útvonalat. A meglévő kezelt számítási erőforrásokat törölnie kell, majd újból létrehoznia, miután engedélyezte a kezelt virtuális hálózatot. Az alábbi lista tartalmazza azokat a számítási erőforrásokat, amelyeket törölni és újra létrehozni kell.

• Számítási klaszter
• Számítási erőforrás vagy (virtuális) gép
• Felügyelt online végpontok

Következő lépések

• Hibaelhárítás kezelt virtuális hálózat esetén
• Konfigurálja a kezelt számításokat egy kezelt virtuális hálózatban