Olvasás angol nyelven

Megosztás a következőn keresztül:

Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával

  • Cikk

ÉRVÉNYES:Azure CLI ml-bővítmény v1Python SDK azureml v1

Fontos

A cikkben szereplő Azure CLI-parancsok némelyike az azure-cli-mlAzure Machine Learning bővítményét vagy v1-et használja. A v1-bővítmény támogatása 2025. szeptember 30-án megszűnik. Addig a dátumig telepítheti és használhatja a v1-bővítményt.

Javasoljuk, hogy 2025. szeptember 30-a előtt váltsa át a ml(vagy v2) bővítményt. További információ a v2-bővítményről: Azure Machine Learning CLI-bővítmény és Python SDK v2.

Tipp

A cikkben ismertetett lépések helyett használhatja az Azure Machine Learning által felügyelt virtuális hálózatokat . Felügyelt virtuális hálózat esetén az Azure Machine Learning kezeli a munkaterület és a felügyelt számítások hálózati elkülönítésének feladatát. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.

Megtudhatja, hogyan védheti meg az Azure Machine Learning-munkaterület erőforrásait és számítási környezeteit az Azure Virtual Networks (VNets) használatával. Ez a cikk egy példaforgatókönyv segítségével mutatja be, hogyan konfigurálhat teljes virtuális hálózatot.

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

A biztonságos munkaterület létrehozásáról szóló oktatóanyagért tekintse meg a következő oktatóanyagot: Biztonságos munkaterület, Bicep-sablon vagy Terraform-sablon létrehozása.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri a következő cikkeket:

Példaforgatókönyv

Ebben a szakaszban megtudhatja, hogyan van beállítva egy gyakori hálózati forgatókönyv az Azure Machine Learning magánhálózati IP-címekkel való kommunikációja biztonságossá tételéhez.

Az alábbi táblázat összehasonlítja, hogy a szolgáltatások hogyan férnek hozzá az Azure Machine Learning-hálózat különböző részeihez virtuális hálózattal és anélkül:

Eset Munkaterület Társított erőforrások Számítási környezet betanítása Számítási környezet következtetése
Nincs virtuális hálózat Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím
Nyilvános munkaterület, minden más erőforrás egy virtuális hálózaton Nyilvános IP-cím Nyilvános IP-cím (szolgáltatásvégpont)
-vagy-
Magánhálózati IP-cím (privát végpont)		 Nyilvános IP-cím Magánhálózati IP-cím
Erőforrások védelme egy virtuális hálózaton Magánhálózati IP-cím (privát végpont) Nyilvános IP-cím (szolgáltatásvégpont)
-vagy-
Magánhálózati IP-cím (privát végpont)		 Magánhálózati IP-cím Magánhálózati IP-cím
  • Munkaterület – Hozzon létre egy privát végpontot a munkaterülethez. A privát végpont több privát IP-címen keresztül csatlakoztatja a munkaterületet a virtuális hálózathoz.
    • Nyilvános hozzáférés – Opcionálisan engedélyezheti a nyilvános hozzáférést egy biztonságos munkaterülethez.
  • Társított erőforrás – Szolgáltatásvégpontok vagy privát végpontok használatával csatlakozhat olyan munkaterületi erőforrásokhoz, mint az Azure Storage, az Azure Key Vault. Az Azure Container Services esetében használjon privát végpontot.
    • A szolgáltatásvégpontok biztosítják a virtuális hálózat identitását az Azure-szolgáltatásnak. Miután engedélyezte a szolgáltatásvégpontokat a virtuális hálózaton, hozzáadhat egy virtuális hálózati szabályt az Azure-szolgáltatás erőforrásainak védelméhez a virtuális hálózathoz. A szolgáltatásvégpontok nyilvános IP-címeket használnak.
    • A privát végpontok olyan hálózati adapterek, amelyek biztonságosan csatlakoztatják Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont egy privát IP-címet használ a virtuális hálózatról, így hatékonyan hozza a szolgáltatást a virtuális hálózatba.
  • Számítási hozzáférés betanítása – Olyan betanítási számítási célok elérése, mint az Azure Machine Learning Compute Instance és az Azure Machine Learning Compute Clusters nyilvános vagy privát IP-címekkel.
  • Következtetési számítási hozzáférés – Privát IP-címekkel rendelkező Azure Kubernetes Services-(AKS-) számítási fürtök elérése.

A következő szakaszok bemutatják, hogyan védheti meg a korábban ismertetett hálózati forgatókönyvet. A hálózat védelméhez a következőt kell tennie:

  1. Biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat.
  2. A betanítási környezet védelme.
  3. A következtetési környezet védelme.
  4. Opcionálisan: engedélyezze a studio funkcióit.
  5. Tűzfalbeállítások konfigurálása.
  6. A DNS-névfeloldás konfigurálása.

Nyilvános munkaterület és biztonságos erőforrások

Fontos

Bár ez az Azure Machine Learning támogatott konfigurációja, a Microsoft nem javasolja. A virtuális hálózat mögötti Azure Storage-fiók adatai a nyilvános munkaterületen is közzétehetők. Ezt a konfigurációt a biztonsági csapattal kell ellenőriznie, mielőtt éles környezetben használnák.

Ha a munkaterületet a nyilvános interneten keresztül szeretné elérni, miközben az összes társított erőforrást biztonságossá szeretné tenni egy virtuális hálózaton, kövesse az alábbi lépéseket:

  1. Azure-beli virtuális hálózat létrehozása. Ez a hálózat biztosítja a munkaterület által használt erőforrásokat.

  2. Az alábbi lehetőségek egyikével hozhat létre nyilvánosan elérhető munkaterületet:

    VAGY

  3. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:

  4. A munkaterületHez tartozó Azure Storage-fiók tulajdonságaiban adja hozzá az ügyfél IP-címét az engedélyezett listához a tűzfalbeállításokban. További információ: Tűzfalak és virtuális hálózatok konfigurálása.

A munkaterület és a kapcsolódó erőforrások védelme

Az alábbi lépésekkel biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat. Ezek a lépések lehetővé teszik, hogy a szolgáltatások kommunikáljanak a virtuális hálózaton.

  1. Azure-beli virtuális hálózatok létrehozása. Ez a hálózat védi a munkaterületet és más erőforrásokat. Ezután hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.

  2. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:

    Szolgáltatás Végpontadatok Megbízható adatok engedélyezése
    Azure Key Vault Szolgáltatásvégpont
    privát végpontja    		 Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez
    Azure Storage-tárfiók Szolgáltatás- és privát végpont
    privát végpontja    		 Hozzáférés biztosítása Azure-erőforráspéldányokból
    vagy
    hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése

  1. Azure-beli virtuális hálózatok létrehozása. Ez a virtuális hálózat biztosítja a munkaterületet és más erőforrásokat. Ezután hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.

  2. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:

    Szolgáltatás Végpontadatok Megbízható adatok engedélyezése
    Azure Key Vault Szolgáltatásvégpont
    privát végpontja    		 Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez
    Azure Storage-tárfiók Szolgáltatás- és privát végpont
    privát végpontja    		 Hozzáférés biztosítása Azure-erőforráspéldányokból
    vagy
    hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése

Diagram, amely bemutatja, hogyan kommunikálnak a munkaterület és a társított erőforrások egy virtuális hálózaton belül.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine Learning-munkaterület biztonságossá tételét ismertető cikket.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine Learning-munkaterület biztonságossá tételét ismertető cikket.

Korlátozások

A munkaterület és a társított erőforrások virtuális hálózaton belüli biztonságossá tétele a következő korlátozásokkal jár:

  • A munkaterületnek és az alapértelmezett tárfióknak ugyanabban a virtuális hálózaton kell lennie. Az ugyanazon a virtuális hálózaton belüli alhálózatok azonban engedélyezettek. Például az egyik alhálózat munkaterülete, a másikban pedig a tárterület.

    Azt javasoljuk , hogy a munkaterület Azure Key Vaultja és Azure Container Registryje is ugyanabban a virtuális hálózatban legyen. Azonban mindkét erőforrás egy társhálózatban is lehet.

A betanítási környezet védelme

Ebben a szakaszban megtudhatja, hogyan védheti meg a betanítási környezetet az Azure Machine Learningben. Azt is megtudhatja, hogyan hajt végre az Azure Machine Learning egy betanítási feladatot a hálózati konfigurációk együttműködésének megértéséhez.

A betanítási környezet védelméhez kövesse az alábbi lépéseket:

  1. Azure Machine Learning számítási példány és számítógépfürt létrehozása a virtuális hálózaton. A betanítási feladatok ezeken a számításokon futnak.

  2. Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.

    Tipp

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Learning szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Learning szolgáltatásból.

  1. Azure Machine Learning számítási példány és számítógépfürt létrehozása a virtuális hálózaton. A feladatok betanítása ezeken a számításokon fut.

  2. Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.

    Tipp

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Learning szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Learning szolgáltatásból.

A felügyelt számítási fürtök és -példányok biztonságossá tételét bemutató ábra.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg a betanítási környezet biztonságossá tételét ismertető cikket.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg a betanítási környezet biztonságossá tételét ismertető cikket.

Példa betanítási feladat beküldése

Ebben a szakaszban megtudhatja, hogyan kommunikál biztonságosan az Azure Machine Learning a szolgáltatások között egy betanítási feladat elküldéséhez. Ez a példa bemutatja, hogyan működnek együtt a konfigurációk a kommunikáció biztonságossá tételéhez.

  1. Az ügyfél feltölti a betanítási szkripteket és a betanítási adatokat egy szolgáltatással vagy privát végponttal védett tárfiókokba.

  2. Az ügyfél betanítási feladatot küld az Azure Machine Learning-munkaterületre a privát végponton keresztül.

  3. Az Azure Batch szolgáltatás megkapja a feladatot a munkaterületről. Ezután elküldi a betanítási feladatot a számítási környezetnek a számítási erőforrás nyilvános terheléselosztójának segítségével.

  4. A számítási erőforrás megkapja a feladatot, és megkezdi a betanítást. A számítási erőforrás a Key Vaultban tárolt információkat használja a tárfiókok eléréséhez a betanítási fájlok letöltéséhez és a kimenet feltöltéséhez.

A biztonságos betanítási feladat beküldési munkafolyamatát bemutató ábra.

Korlátozások

  • Az Azure Compute Instance-nek és az Azure Compute-fürtöknek ugyanabban a virtuális hálózaton, régióban és előfizetésben kell lenniük, mint a munkaterületnek. Ha a társított erőforrások más régióban találhatók, mint a munkaterület, további késést tapasztalhat.

A dedukciós környezet biztonságossá tétele

A felügyelt online végpontok hálózatelkülönítését a következő hálózati forgalom védelméhez engedélyezheti:

  • Bejövő pontozási kérelmek.
  • Kimenő kommunikáció a munkaterülettel, az Azure Container Registryvel és az Azure Blob Storage-ral.

További információ: Hálózatelkülönítés engedélyezése felügyelt online végpontokhoz.

Ebben a szakaszban megismerheti a következtetési környezetek biztonságossá tételének lehetőségeit az ML v1 vagy az Azure Machine Learning Python SDK 1-es verziójához készült Azure CLI-bővítmény használatakor. V1-alapú üzembe helyezés esetén javasoljuk, hogy az Azure Kubernetes Services -fürtöket (AKS) használja nagy léptékű, éles környezetekhez.

A virtuális hálózat AKS-fürtjeinek két lehetősége van:

  • Helyezzen üzembe vagy csatoljon egy alapértelmezett AKS-fürtöt a virtuális hálózathoz.
  • Csatoljon egy privát AKS-fürtöt a virtuális hálózathoz.

Az alapértelmezett AKS-fürtök egy nyilvános IP-címekkel rendelkező vezérlősíkkal rendelkeznek. Az üzembe helyezés során hozzáadhat egy alapértelmezett AKS-fürtöt a virtuális hálózathoz, vagy csatolhat egy fürtöt a létrehozás után.

A privát AKS-fürtök vezérlősíkot használnak, amely csak privát IP-címeken keresztül érhető el. A privát AKS-fürtöket a fürt létrehozása után kell csatolni.

Az alapértelmezett és privát fürtök hozzáadásának részletes útmutatását a következtetési környezet biztonságossá tétele című témakörben találja.

A használt alapértelmezett AKS-fürttől vagy privát AKS-fürttől függetlenül, ha az AKS-fürt a VNET mögött van, a munkaterületnek és a hozzá tartozó erőforrásoknak (tároló, kulcstartó és ACR) privát végpontokkal vagy szolgáltatásvégpontokkal kell rendelkezniük ugyanabban a virtuális hálózaton, mint az AKS-fürt.

Az alábbi hálózati ábra egy biztonságos Azure Machine Learning-munkaterületet mutat be a virtuális hálózathoz csatlakoztatott privát AKS-fürttel.

Csatolt privát AKS-fürtöt bemutató ábra.

Nem kötelező: Nyilvános hozzáférés engedélyezése

A virtuális hálózat mögötti munkaterületet privát végponttal is biztonságossá teheti, és továbbra is engedélyezheti a nyilvános interneten keresztüli hozzáférést. A kezdeti konfiguráció megegyezik a munkaterület és a társított erőforrások biztonságossá tételével.

Miután biztonságossá tette a munkaterületet egy privát végponttal, az alábbi lépésekkel engedélyezheti az ügyfelek számára a távoli fejlesztést az SDK vagy az Azure Machine Learning Studio használatával:

  1. Nyilvános hozzáférés engedélyezése a munkaterülethez.
  2. Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.
  1. Nyilvános hozzáférés engedélyezése a munkaterülethez.
  2. Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.

Nem kötelező: a studio funkcióinak engedélyezése

Ha a tároló virtuális hálózaton található, további konfigurációs lépéseket kell végrehajtania a teljes funkcionalitás engedélyezéséhez a studióban. Alapértelmezés szerint a következő funkciók le vannak tiltva:

  • Adatok előnézete a stúdióban.
  • Adatvizualizáció a tervezőben.
  • Modell üzembe helyezése a tervezőben.
  • AutoML-kísérlet beküldése.
  • Címkézési projekt indítása.

A teljes stúdiófunkció engedélyezéséről az Azure Machine Learning Studio használata virtuális hálózaton című témakörben olvashat.

Korlátozások

Az ML által támogatott adatok címkézése nem támogatja a virtuális hálózat mögötti alapértelmezett tárfiókot. Ehelyett az ml-alapú adatcímkék alapértelmezettétől eltérő tárfiókot használjon.

Tipp

Ha nem ez az alapértelmezett tárfiók, az adatcímkézés által használt fiók biztonságossá teheti a virtuális hálózat mögött.

Tűzfalbeállítások konfigurálása

Konfigurálja a tűzfalat az Azure Machine Learning-munkaterület erőforrásai és a nyilvános internet közötti forgalom szabályozásához. Bár az Azure Firewallt javasoljuk, használhat más tűzfaltermékeket is.

A tűzfalbeállításokról további információt a Tűzfal mögötti munkaterület használata című témakörben talál.

Egyéni DNS

Ha egyéni DNS-megoldást kell használnia a virtuális hálózathoz, hozzá kell adnia a munkaterület gazdagéprekordjait.

A szükséges tartománynevekkel és IP-címekkel kapcsolatos további információkért tekintse meg , hogyan használhat munkaterületet egyéni DNS-kiszolgálóval.

Microsoft Sentinel

A Microsoft Sentinel egy biztonsági megoldás, amely integrálható az Azure Machine Learning szolgáltatással. Például az Azure Machine Learningen keresztül biztosított Jupyter-jegyzetfüzetek használata. További információ: A Jupyter-jegyzetfüzetek használata biztonsági fenyegetések kereséséhez.

Nyilvános hozzáférés

A Microsoft Sentinel automatikusan létrehozhat önnek egy munkaterületet, ha nincs rendben egy nyilvános végponttal. Ebben a konfigurációban a biztonsági műveleti központ (SOC) elemzői és rendszergazdái a Sentinelen keresztül csatlakoznak a munkaterület jegyzetfüzeteihez.

Erről a folyamatról további információt a Microsoft Sentinel Azure Machine Learning-munkaterületének létrehozása című témakörben talál .

A Microsoft Sentinel nyilvános kapcsolatát bemutató ábra.

Privát végpont

Ha biztonságossá szeretné tenni a munkaterületet és a társított erőforrásokat egy virtuális hálózaton, először létre kell hoznia az Azure Machine Learning-munkaterületet. Emellett létre kell hoznia egy "jump box" virtuális gépet a munkaterületével megegyező virtuális hálózaton, és engedélyeznie kell az Azure Bastion-kapcsolatot. A nyilvános konfigurációhoz hasonlóan az SOC-elemzők és a rendszergazdák a Microsoft Sentinel használatával is csatlakozhatnak, de néhány műveletet az Azure Bastion használatával kell végrehajtani a virtuális géphez való csatlakozáshoz.

További információ erről a konfigurációról: Azure Machine Learning-munkaterület létrehozása a Microsoft Sentinelből

A Microsoft Sentinel-kapcsolatot megjelenítő Daigram egy virtuális hálózaton keresztül.

Kapcsolódó tartalom

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét: