Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával

  • Cikk

Tipp.

A Microsoft a jelen cikkben ismertetett lépések helyett az Azure Machine Tanulás felügyelt virtuális hálózatok használatát javasolja. Felügyelt virtuális hálózat esetén az Azure Machine Tanulás kezeli a munkaterület és a felügyelt számítások hálózatelkülönítési feladatait. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.

Az Azure Machine Tanulás munkaterület erőforrásainak és számítási környezeteinek védelme Az Azure Virtual Networks (VNetek) használatával. Ez a cikk egy példaforgatókönyv segítségével mutatja be, hogyan konfigurálhat teljes virtuális hálózatot.

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

A biztonságos munkaterület létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy oktatóanyag: Biztonságos munkaterület létrehozása sablonnal.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri a következő cikkeket:

Példaforgatókönyv

Ebben a szakaszban megtudhatja, hogyan van beállítva egy gyakori hálózati forgatókönyv az Azure Machine Tanulás privát IP-címekkel való kommunikáció védelmére.

Az alábbi táblázat összehasonlítja, hogy a szolgáltatások hogyan férnek hozzá az Azure Machine Tanulás hálózat különböző részeihez virtuális hálózattal és anélkül:

Eset Munkaterület Társított erőforrások Számítási környezet betanítása Számítási környezet következtetése
Nincs virtuális hálózat Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím
Nyilvános munkaterület, minden más erőforrás egy virtuális hálózaton Nyilvános IP-cím Nyilvános IP-cím (szolgáltatásvégpont)
-Vagy-
Magánhálózati IP-cím (privát végpont)		 Nyilvános IP-cím Magánhálózati IP-cím
Erőforrások védelme egy virtuális hálózaton Magánhálózati IP-cím (privát végpont) Nyilvános IP-cím (szolgáltatásvégpont)
-Vagy-
Magánhálózati IP-cím (privát végpont)		 Magánhálózati IP-cím Magánhálózati IP-cím
  • Munkaterület – Hozzon létre egy privát végpontot a munkaterülethez. A privát végpont több privát IP-címen keresztül csatlakoztatja a munkaterületet a virtuális hálózathoz.
    • Nyilvános hozzáférés – Opcionálisan engedélyezheti a nyilvános hozzáférést egy biztonságos munkaterülethez.
  • Társított erőforrás – Szolgáltatásvégpontok vagy privát végpontok használatával csatlakozhat olyan munkaterületi erőforrásokhoz, mint az Azure Storage, az Azure Key Vault. Az Azure Container Services esetében használjon privát végpontot.
    • A szolgáltatásvégpontok biztosítják a virtuális hálózat identitását az Azure-szolgáltatásnak. Miután engedélyezte a szolgáltatásvégpontokat a virtuális hálózaton, hozzáadhat egy virtuális hálózati szabályt az Azure-szolgáltatás erőforrásainak védelméhez a virtuális hálózathoz. A szolgáltatásvégpontok nyilvános IP-címeket használnak.
    • A privát végpontok olyan hálózati adapterek, amelyek biztonságosan csatlakoztatják Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont egy privát IP-címet használ a virtuális hálózatról, így hatékonyan hozza a szolgáltatást a virtuális hálózatba.
  • Számítási hozzáférés betanítása – Olyan betanítási számítási célok elérése, mint az Azure Machine Tanulás Compute Instance és az Azure Machine Tanulás a nyilvános vagy privát IP-címekkel rendelkező számítási fürtök.
  • Következtetési számítási hozzáférés – Privát IP-címekkel rendelkező Azure Kubernetes Services-(AKS-) számítási fürtök elérése.

A következő szakaszok bemutatják, hogyan védheti meg a korábban ismertetett hálózati forgatókönyvet. A hálózat védelméhez a következőt kell tennie:

  1. Biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat.
  2. A betanítási környezet védelme.
  3. A következtetési környezet védelme.
  4. Opcionálisan: engedélyezze a studio funkcióit.
  5. Tűzfalbeállítások konfigurálása.
  6. A DNS-névfeloldás konfigurálása.

Nyilvános munkaterület és biztonságos erőforrások

Fontos

Bár ez az Azure Machine Tanulás támogatott konfigurációja, a Microsoft nem javasolja. A virtuális hálózat mögötti Azure Storage-fiók adatai a nyilvános munkaterületen is közzétehetők. Ezt a konfigurációt a biztonsági csapattal kell ellenőriznie, mielőtt éles környezetben használnák.

Ha a munkaterületet a nyilvános interneten keresztül szeretné elérni, miközben az összes társított erőforrást biztonságossá szeretné tenni egy virtuális hálózaton, kövesse az alábbi lépéseket:

  1. Azure-beli virtuális hálózat létrehozása. Ez a hálózat biztosítja a munkaterület által használt erőforrásokat.

  2. Az alábbi lehetőségek egyikével hozhat létre nyilvánosan elérhető munkaterületet:

    VAGY

  3. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:

  4. A munkaterületHez tartozó Azure Storage-fiók(ok) tulajdonságaiban adja hozzá az ügyfél IP-címét az engedélyezett listához a tűzfalbeállításokban. További információ: Tűzfalak és virtuális hálózatok konfigurálása.

A munkaterület és a kapcsolódó erőforrások védelme

Az alábbi lépésekkel biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat. Ezek a lépések lehetővé teszik, hogy a szolgáltatások kommunikáljanak a virtuális hálózaton.

  1. Azure-beli virtuális hálózatok létrehozása. Ez a hálózat védi a munkaterületet és más erőforrásokat. Ezután hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.

  2. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:

    Szolgáltatás Végpontadatok Megbízható adatok engedélyezése
    Azure Key Vault Szolgáltatásvégpont
    privát végpontja    		 Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez
    Azure Storage-tárfiók Szolgáltatás- és privát végpont
    privát végpontja    		 Hozzáférés biztosítása Azure-erőforráspéldányokból
    vagy
    hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése

  1. Azure-beli virtuális hálózatok létrehozása. Ez a virtuális hálózat biztosítja a munkaterületet és más erőforrásokat. Ezután hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.

  2. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:

    Szolgáltatás Végpontadatok Megbízható adatok engedélyezése
    Azure Key Vault Szolgáltatásvégpont
    privát végpontja    		 Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez
    Azure Storage-tárfiók Szolgáltatás- és privát végpont
    privát végpontja    		 Hozzáférés biztosítása Azure-erőforráspéldányokból
    vagy
    hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése

Diagram showing how the workspace and associated resources communicate inside a VNet.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine-Tanulás-munkaterület biztonságossá tételét ismertető cikket.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine-Tanulás-munkaterület biztonságossá tételét ismertető cikket.

Korlátozások

A munkaterület és a társított erőforrások virtuális hálózaton belüli biztonságossá tétele a következő korlátozásokkal jár:

  • A munkaterületnek és az alapértelmezett tárfióknak ugyanabban a virtuális hálózaton kell lennie. Az ugyanazon a virtuális hálózaton belüli alhálózatok azonban engedélyezettek. Például az egyik alhálózat munkaterülete, a másikban pedig a tárterület.

    Azt javasoljuk , hogy a munkaterület Azure Key Vaultja és Azure Container Registryje is ugyanabban a virtuális hálózatban legyen. Azonban mindkét erőforrás egy társhálózatban is lehet.

A betanítási környezet védelme

Ebben a szakaszban megtudhatja, hogyan védheti meg a betanítási környezetet az Azure Machine Tanulás. Azt is megtudhatja, hogyan végzi el az Azure Machine Tanulás egy betanítási feladat elvégzését a hálózati konfigurációk együttműködésének megértéséhez.

A betanítási környezet védelméhez kövesse az alábbi lépéseket:

  1. Hozzon létre egy Azure Machine-Tanulás számítási példányt és számítógépfürtöt a virtuális hálózaton a betanítási feladat futtatásához.

  2. Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.

    Tipp.

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból.

  1. Hozzon létre egy Azure Machine-Tanulás számítási példányt és számítógépfürtöt a virtuális hálózaton a betanítási feladat futtatásához.

  2. Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.

    Tipp.

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból.

Diagram showing how to secure managed compute clusters and instances.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg a betanítási környezet biztonságossá tételét ismertető cikket.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg a betanítási környezet biztonságossá tételét ismertető cikket.

Példa betanítási feladat beküldése

Ebben a szakaszban megtudhatja, hogyan kommunikál biztonságosan az Azure Machine Tanulás a szolgáltatások között egy betanítási feladat elküldéséhez. Ez a példa bemutatja, hogyan működnek együtt a konfigurációk a kommunikáció biztonságossá tételéhez.

  1. Az ügyfél feltölti a betanítási szkripteket és a betanítási adatokat egy szolgáltatással vagy privát végponttal védett tárfiókokba.

  2. Az ügyfél betanítási feladatot küld az Azure Machine Tanulás-munkaterületre a privát végponton keresztül.

  3. Az Azure Batch szolgáltatás megkapja a feladatot a munkaterületről. Ezután elküldi a betanítási feladatot a számítási környezetnek a számítási erőforrás nyilvános terheléselosztójának segítségével.

  4. A számítási erőforrás megkapja a feladatot, és megkezdi a betanítást. A számítási erőforrás a Key Vaultban tárolt információkat használja a tárfiókok eléréséhez a betanítási fájlok letöltéséhez és a kimenet feltöltéséhez.

Diagram showing the secure training job submission workflow.

Korlátozások

  • Az Azure Compute Instance-nek és az Azure számítási fürtöknek a munkaterülettel és az ahhoz tartozó erőforrásokkal megegyező virtuális hálózaton, régióban és előfizetésben kell lenniük.

A dedukciós környezet biztonságossá tétele

A felügyelt online végpontok hálózatelkülönítését a következő hálózati forgalom védelméhez engedélyezheti:

  • Bejövő pontozási kérelmek.
  • Kimenő kommunikáció a munkaterülettel, az Azure Container Registryvel és az Azure Blob Storage-ral.

További információ: Hálózatelkülönítés engedélyezése felügyelt online végpontokhoz.

Ebben a szakaszban megismerheti a következtetési környezetek biztonságossá tételének lehetőségeit az ML v1 vagy az Azure Machine Tanulás Python SDK 1-es verziójához készült Azure CLI-bővítmény használatakor. V1-alapú üzembe helyezés esetén javasoljuk, hogy az Azure Kubernetes Services -fürtöket (AKS) használja nagy léptékű, éles környezetekhez.

A virtuális hálózat AKS-fürtjeinek két lehetősége van:

  • Helyezzen üzembe vagy csatoljon egy alapértelmezett AKS-fürtöt a virtuális hálózathoz.
  • Csatoljon egy privát AKS-fürtöt a virtuális hálózathoz.

Az alapértelmezett AKS-fürtök egy nyilvános IP-címekkel rendelkező vezérlősíkkal rendelkeznek. Az üzembe helyezés során hozzáadhat egy alapértelmezett AKS-fürtöt a virtuális hálózathoz, vagy csatolhat egy fürtöt a létrehozása után.

A privát AKS-fürtök vezérlősíkot használnak, amely csak privát IP-címeken keresztül érhető el. A privát AKS-fürtöket a fürt létrehozása után kell csatolni.

Az alapértelmezett és privát fürtök hozzáadásának részletes útmutatását a következtetési környezet biztonságossá tétele című témakörben találja.

A használt alapértelmezett AKS-fürttől vagy privát AKS-fürttől függetlenül, ha az AKS-fürt a VNET mögött van, a munkaterületnek és a hozzá tartozó erőforrásoknak (tároló, kulcstartó és ACR) privát végpontokkal vagy szolgáltatásvégpontokkal kell rendelkezniük ugyanabban a virtuális hálózaton, mint az AKS-fürt.

Az alábbi hálózati ábra egy biztonságos Azure Machine-Tanulás-munkaterületet mutat be a virtuális hálózathoz csatlakoztatott privát AKS-fürttel.

Diagram showing an attached private AKS cluster.

Nem kötelező: Nyilvános hozzáférés engedélyezése

A virtuális hálózat mögötti munkaterületet privát végponttal is biztonságossá teheti, és továbbra is engedélyezheti a nyilvános interneten keresztüli hozzáférést. A kezdeti konfiguráció megegyezik a munkaterület és a társított erőforrások biztonságossá tételével.

Miután biztonságossá tette a munkaterületet egy privát végponttal, az alábbi lépésekkel engedélyezheti az ügyfelek számára a távoli fejlesztést az SDK vagy az Azure Machine Tanulás studio használatával:

  1. Nyilvános hozzáférés engedélyezése a munkaterülethez.
  2. Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.
  1. Nyilvános hozzáférés engedélyezése a munkaterülethez.
  2. Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.

Nem kötelező: a studio funkcióinak engedélyezése

Ha a tároló virtuális hálózaton található, további konfigurációs lépéseket kell végrehajtania a teljes funkcionalitás engedélyezéséhez a studióban. Alapértelmezés szerint a következő funkciók le vannak tiltva:

  • Adatok előnézete a stúdióban.
  • Adatvizualizáció a tervezőben.
  • Modell üzembe helyezése a tervezőben.
  • AutoML-kísérlet beküldése.
  • Címkézési projekt indítása.

A teljes stúdiófunkció engedélyezéséről az Azure Machine Tanulás Studio használata virtuális hálózaton című témakörben olvashat.

Korlátozások

Az ML által támogatott adatok címkézése nem támogatja a virtuális hálózat mögötti alapértelmezett tárfiókot. Ehelyett az ml-alapú adatcímkék alapértelmezettétől eltérő tárfiókot használjon.

Tipp.

Ha nem ez az alapértelmezett tárfiók, az adatcímkézés által használt fiók biztonságossá teheti a virtuális hálózat mögött.

Tűzfalbeállítások konfigurálása

Konfigurálja a tűzfalat az Azure Machine Tanulás munkaterület erőforrásai és a nyilvános internet közötti forgalom szabályozásához. Bár az Azure Firewallt javasoljuk, használhat más tűzfaltermékeket is.

A tűzfalbeállításokról további információt a Tűzfal mögötti munkaterület használata című témakörben talál.

Egyéni DNS

Ha egyéni DNS-megoldást kell használnia a virtuális hálózathoz, hozzá kell adnia a munkaterület gazdagéprekordjait.

A szükséges tartománynevekkel és IP-címekkel kapcsolatos további információkért tekintse meg , hogyan használhat munkaterületet egyéni DNS-kiszolgálóval.

Microsoft Sentinel

A Microsoft Sentinel egy biztonsági megoldás, amely integrálható az Azure Machine Tanulás. Például az Azure Machine-Tanulás keresztül biztosított Jupyter-jegyzetfüzetek használata. További információ: A Jupyter-jegyzetfüzetek használata biztonsági fenyegetések kereséséhez.

Nyilvános hozzáférés

A Microsoft Sentinel automatikusan létrehozhat önnek egy munkaterületet, ha nincs rendben egy nyilvános végponttal. Ebben a konfigurációban a biztonsági műveleti központ (SOC) elemzői és rendszergazdái a Sentinelen keresztül csatlakoznak a munkaterület jegyzetfüzeteihez.

Erről a folyamatról további információt a Microsoft Sentinelből származó Azure Machine Tanulás-munkaterület létrehozása című témakörben talál.

Diagram showing Microsoft Sentinel public connection.

Privát végpont

Ha biztonságossá szeretné tenni a munkaterületet és a társított erőforrásokat egy virtuális hálózaton, először létre kell hoznia az Azure Machine Tanulás munkaterületet. Emellett létre kell hoznia egy "jump box" virtuális gépet a munkaterületével megegyező virtuális hálózaton, és engedélyeznie kell az Azure Bastion-kapcsolatot. A nyilvános konfigurációhoz hasonlóan az SOC-elemzők és a rendszergazdák a Microsoft Sentinel használatával is csatlakozhatnak, de néhány műveletet az Azure Bastion használatával kell végrehajtani a virtuális géphez való csatlakozáshoz.

További információ erről a konfigurációról: Azure Machine Tanulás-munkaterület létrehozása a Microsoft Sentinelből

Daigram showing Microsoft Sentinel connection through a VNet.

Következő lépések

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét: