Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával
Tipp.
A Microsoft a jelen cikkben ismertetett lépések helyett az Azure Machine Tanulás felügyelt virtuális hálózatok használatát javasolja. Felügyelt virtuális hálózat esetén az Azure Machine Tanulás kezeli a munkaterület és a felügyelt számítások hálózatelkülönítési feladatait. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.
Az Azure Machine Tanulás munkaterület erőforrásainak és számítási környezeteinek védelme Az Azure Virtual Networks (VNetek) használatával. Ez a cikk egy példaforgatókönyv segítségével mutatja be, hogyan konfigurálhat teljes virtuális hálózatot.
Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:
Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:
A biztonságos munkaterület létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy oktatóanyag: Biztonságos munkaterület létrehozása sablonnal.
Előfeltételek
Ez a cikk feltételezi, hogy ismeri a következő cikkeket:
- Azure Virtual Networks
- IP-hálózatkezelés
- Azure Machine Tanulás-munkaterület privát végponttal
- Hálózati biztonsági csoportok (NSG)
- Hálózati tűzfalak
Példaforgatókönyv
Ebben a szakaszban megtudhatja, hogyan van beállítva egy gyakori hálózati forgatókönyv az Azure Machine Tanulás privát IP-címekkel való kommunikáció védelmére.
Az alábbi táblázat összehasonlítja, hogy a szolgáltatások hogyan férnek hozzá az Azure Machine Tanulás hálózat különböző részeihez virtuális hálózattal és anélkül:
Eset | Munkaterület | Társított erőforrások | Számítási környezet betanítása | Számítási környezet következtetése |
---|---|---|---|---|
Nincs virtuális hálózat | Nyilvános IP-cím | Nyilvános IP-cím | Nyilvános IP-cím | Nyilvános IP-cím |
Nyilvános munkaterület, minden más erőforrás egy virtuális hálózaton | Nyilvános IP-cím | Nyilvános IP-cím (szolgáltatásvégpont) -Vagy- Magánhálózati IP-cím (privát végpont) |
Nyilvános IP-cím | Magánhálózati IP-cím |
Erőforrások védelme egy virtuális hálózaton | Magánhálózati IP-cím (privát végpont) | Nyilvános IP-cím (szolgáltatásvégpont) -Vagy- Magánhálózati IP-cím (privát végpont) |
Magánhálózati IP-cím | Magánhálózati IP-cím |
- Munkaterület – Hozzon létre egy privát végpontot a munkaterülethez. A privát végpont több privát IP-címen keresztül csatlakoztatja a munkaterületet a virtuális hálózathoz.
- Nyilvános hozzáférés – Opcionálisan engedélyezheti a nyilvános hozzáférést egy biztonságos munkaterülethez.
- Társított erőforrás – Szolgáltatásvégpontok vagy privát végpontok használatával csatlakozhat olyan munkaterületi erőforrásokhoz, mint az Azure Storage, az Azure Key Vault. Az Azure Container Services esetében használjon privát végpontot.
- A szolgáltatásvégpontok biztosítják a virtuális hálózat identitását az Azure-szolgáltatásnak. Miután engedélyezte a szolgáltatásvégpontokat a virtuális hálózaton, hozzáadhat egy virtuális hálózati szabályt az Azure-szolgáltatás erőforrásainak védelméhez a virtuális hálózathoz. A szolgáltatásvégpontok nyilvános IP-címeket használnak.
- A privát végpontok olyan hálózati adapterek, amelyek biztonságosan csatlakoztatják Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont egy privát IP-címet használ a virtuális hálózatról, így hatékonyan hozza a szolgáltatást a virtuális hálózatba.
- Számítási hozzáférés betanítása – Olyan betanítási számítási célok elérése, mint az Azure Machine Tanulás Compute Instance és az Azure Machine Tanulás a nyilvános vagy privát IP-címekkel rendelkező számítási fürtök.
- Következtetési számítási hozzáférés – Privát IP-címekkel rendelkező Azure Kubernetes Services-(AKS-) számítási fürtök elérése.
A következő szakaszok bemutatják, hogyan védheti meg a korábban ismertetett hálózati forgatókönyvet. A hálózat védelméhez a következőt kell tennie:
- Biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat.
- A betanítási környezet védelme.
- A következtetési környezet védelme.
- Opcionálisan: engedélyezze a studio funkcióit.
- Tűzfalbeállítások konfigurálása.
- A DNS-névfeloldás konfigurálása.
Nyilvános munkaterület és biztonságos erőforrások
Fontos
Bár ez az Azure Machine Tanulás támogatott konfigurációja, a Microsoft nem javasolja. A virtuális hálózat mögötti Azure Storage-fiók adatai a nyilvános munkaterületen is közzétehetők. Ezt a konfigurációt a biztonsági csapattal kell ellenőriznie, mielőtt éles környezetben használnák.
Ha a munkaterületet a nyilvános interneten keresztül szeretné elérni, miközben az összes társított erőforrást biztonságossá szeretné tenni egy virtuális hálózaton, kövesse az alábbi lépéseket:
Azure-beli virtuális hálózat létrehozása. Ez a hálózat biztosítja a munkaterület által használt erőforrásokat.
Az alábbi lehetőségek egyikével hozhat létre nyilvánosan elérhető munkaterületet:
- Hozzon létre egy Azure Machine Tanulás munkaterületet, amely nem használja a virtuális hálózatot. További információ: Azure Machine Tanulás-munkaterületek kezelése.
VAGY
- Hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez. Ezután engedélyezze a munkaterülethez való nyilvános hozzáférést.
- Hozzon létre egy Azure Machine Tanulás munkaterületet, amely nem használja a virtuális hálózatot. További információ: Azure Machine Tanulás-munkaterületek kezelése.
- Hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez. Ezután engedélyezze a munkaterülethez való nyilvános hozzáférést.
Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:
Szolgáltatás Végpontadatok Megbízható adatok engedélyezése Azure Key Vault Szolgáltatásvégpont
privát végpontjaMegbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez Azure Storage-tárfiók Szolgáltatás- és privát végpont
privát végpontjaHozzáférés biztosítása megbízható Azure-szolgáltatásokhoz Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése Szolgáltatás Végpontadatok Megbízható adatok engedélyezése Azure Key Vault Szolgáltatásvégpont
privát végpontjaMegbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez Azure Storage-tárfiók Szolgáltatás- és privát végpont
privát végpontjaHozzáférés biztosítása megbízható Azure-szolgáltatásokhoz Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése A munkaterületHez tartozó Azure Storage-fiók(ok) tulajdonságaiban adja hozzá az ügyfél IP-címét az engedélyezett listához a tűzfalbeállításokban. További információ: Tűzfalak és virtuális hálózatok konfigurálása.
A munkaterület és a kapcsolódó erőforrások védelme
Az alábbi lépésekkel biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat. Ezek a lépések lehetővé teszik, hogy a szolgáltatások kommunikáljanak a virtuális hálózaton.
Azure-beli virtuális hálózatok létrehozása. Ez a hálózat védi a munkaterületet és más erőforrásokat. Ezután hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.
Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:
Szolgáltatás Végpontadatok Megbízható adatok engedélyezése Azure Key Vault Szolgáltatásvégpont
privát végpontjaMegbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez Azure Storage-tárfiók Szolgáltatás- és privát végpont
privát végpontjaHozzáférés biztosítása Azure-erőforráspéldányokból
vagy
hozzáférés biztosítása megbízható Azure-szolgáltatásokhozAzure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése
Azure-beli virtuális hálózatok létrehozása. Ez a virtuális hálózat biztosítja a munkaterületet és más erőforrásokat. Ezután hozzon létre egy privát kapcsolattal kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.
Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végpont használatával. A megbízható Microsoft-szolgáltatások is elérheti ezeket a szolgáltatásokat:
Szolgáltatás Végpontadatok Megbízható adatok engedélyezése Azure Key Vault Szolgáltatásvégpont
privát végpontjaMegbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez Azure Storage-tárfiók Szolgáltatás- és privát végpont
privát végpontjaHozzáférés biztosítása Azure-erőforráspéldányokból
vagy
hozzáférés biztosítása megbízható Azure-szolgáltatásokhozAzure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése
A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine-Tanulás-munkaterület biztonságossá tételét ismertető cikket.
A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine-Tanulás-munkaterület biztonságossá tételét ismertető cikket.
Korlátozások
A munkaterület és a társított erőforrások virtuális hálózaton belüli biztonságossá tétele a következő korlátozásokkal jár:
A munkaterületnek és az alapértelmezett tárfióknak ugyanabban a virtuális hálózaton kell lennie. Az ugyanazon a virtuális hálózaton belüli alhálózatok azonban engedélyezettek. Például az egyik alhálózat munkaterülete, a másikban pedig a tárterület.
Azt javasoljuk , hogy a munkaterület Azure Key Vaultja és Azure Container Registryje is ugyanabban a virtuális hálózatban legyen. Azonban mindkét erőforrás egy társhálózatban is lehet.
A betanítási környezet védelme
Ebben a szakaszban megtudhatja, hogyan védheti meg a betanítási környezetet az Azure Machine Tanulás. Azt is megtudhatja, hogyan végzi el az Azure Machine Tanulás egy betanítási feladat elvégzését a hálózati konfigurációk együttműködésének megértéséhez.
A betanítási környezet védelméhez kövesse az alábbi lépéseket:
Hozzon létre egy Azure Machine-Tanulás számítási példányt és számítógépfürtöt a virtuális hálózaton a betanítási feladat futtatásához.
Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.
Tipp.
A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból.
Hozzon létre egy Azure Machine-Tanulás számítási példányt és számítógépfürtöt a virtuális hálózaton a betanítási feladat futtatásához.
Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.
Tipp.
A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel van létrehozva, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely elfogadja a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el a bejövő hozzáférést az Azure Batch szolgáltatásból és az Azure Machine Tanulás szolgáltatásból.
A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg a betanítási környezet biztonságossá tételét ismertető cikket.
A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg a betanítási környezet biztonságossá tételét ismertető cikket.
Példa betanítási feladat beküldése
Ebben a szakaszban megtudhatja, hogyan kommunikál biztonságosan az Azure Machine Tanulás a szolgáltatások között egy betanítási feladat elküldéséhez. Ez a példa bemutatja, hogyan működnek együtt a konfigurációk a kommunikáció biztonságossá tételéhez.
Az ügyfél feltölti a betanítási szkripteket és a betanítási adatokat egy szolgáltatással vagy privát végponttal védett tárfiókokba.
Az ügyfél betanítási feladatot küld az Azure Machine Tanulás-munkaterületre a privát végponton keresztül.
Az Azure Batch szolgáltatás megkapja a feladatot a munkaterületről. Ezután elküldi a betanítási feladatot a számítási környezetnek a számítási erőforrás nyilvános terheléselosztójának segítségével.
A számítási erőforrás megkapja a feladatot, és megkezdi a betanítást. A számítási erőforrás a Key Vaultban tárolt információkat használja a tárfiókok eléréséhez a betanítási fájlok letöltéséhez és a kimenet feltöltéséhez.
Korlátozások
- Az Azure Compute Instance-nek és az Azure számítási fürtöknek a munkaterülettel és az ahhoz tartozó erőforrásokkal megegyező virtuális hálózaton, régióban és előfizetésben kell lenniük.
A dedukciós környezet biztonságossá tétele
A felügyelt online végpontok hálózatelkülönítését a következő hálózati forgalom védelméhez engedélyezheti:
- Bejövő pontozási kérelmek.
- Kimenő kommunikáció a munkaterülettel, az Azure Container Registryvel és az Azure Blob Storage-ral.
További információ: Hálózatelkülönítés engedélyezése felügyelt online végpontokhoz.
Ebben a szakaszban megismerheti a következtetési környezetek biztonságossá tételének lehetőségeit az ML v1 vagy az Azure Machine Tanulás Python SDK 1-es verziójához készült Azure CLI-bővítmény használatakor. V1-alapú üzembe helyezés esetén javasoljuk, hogy az Azure Kubernetes Services -fürtöket (AKS) használja nagy léptékű, éles környezetekhez.
A virtuális hálózat AKS-fürtjeinek két lehetősége van:
- Helyezzen üzembe vagy csatoljon egy alapértelmezett AKS-fürtöt a virtuális hálózathoz.
- Csatoljon egy privát AKS-fürtöt a virtuális hálózathoz.
Az alapértelmezett AKS-fürtök egy nyilvános IP-címekkel rendelkező vezérlősíkkal rendelkeznek. Az üzembe helyezés során hozzáadhat egy alapértelmezett AKS-fürtöt a virtuális hálózathoz, vagy csatolhat egy fürtöt a létrehozása után.
A privát AKS-fürtök vezérlősíkot használnak, amely csak privát IP-címeken keresztül érhető el. A privát AKS-fürtöket a fürt létrehozása után kell csatolni.
Az alapértelmezett és privát fürtök hozzáadásának részletes útmutatását a következtetési környezet biztonságossá tétele című témakörben találja.
A használt alapértelmezett AKS-fürttől vagy privát AKS-fürttől függetlenül, ha az AKS-fürt a VNET mögött van, a munkaterületnek és a hozzá tartozó erőforrásoknak (tároló, kulcstartó és ACR) privát végpontokkal vagy szolgáltatásvégpontokkal kell rendelkezniük ugyanabban a virtuális hálózaton, mint az AKS-fürt.
Az alábbi hálózati ábra egy biztonságos Azure Machine-Tanulás-munkaterületet mutat be a virtuális hálózathoz csatlakoztatott privát AKS-fürttel.
Nem kötelező: Nyilvános hozzáférés engedélyezése
A virtuális hálózat mögötti munkaterületet privát végponttal is biztonságossá teheti, és továbbra is engedélyezheti a nyilvános interneten keresztüli hozzáférést. A kezdeti konfiguráció megegyezik a munkaterület és a társított erőforrások biztonságossá tételével.
Miután biztonságossá tette a munkaterületet egy privát végponttal, az alábbi lépésekkel engedélyezheti az ügyfelek számára a távoli fejlesztést az SDK vagy az Azure Machine Tanulás studio használatával:
- Nyilvános hozzáférés engedélyezése a munkaterülethez.
- Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.
- Nyilvános hozzáférés engedélyezése a munkaterülethez.
- Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.
Nem kötelező: a studio funkcióinak engedélyezése
Ha a tároló virtuális hálózaton található, további konfigurációs lépéseket kell végrehajtania a teljes funkcionalitás engedélyezéséhez a studióban. Alapértelmezés szerint a következő funkciók le vannak tiltva:
- Adatok előnézete a stúdióban.
- Adatvizualizáció a tervezőben.
- Modell üzembe helyezése a tervezőben.
- AutoML-kísérlet beküldése.
- Címkézési projekt indítása.
A teljes stúdiófunkció engedélyezéséről az Azure Machine Tanulás Studio használata virtuális hálózaton című témakörben olvashat.
Korlátozások
Az ML által támogatott adatok címkézése nem támogatja a virtuális hálózat mögötti alapértelmezett tárfiókot. Ehelyett az ml-alapú adatcímkék alapértelmezettétől eltérő tárfiókot használjon.
Tipp.
Ha nem ez az alapértelmezett tárfiók, az adatcímkézés által használt fiók biztonságossá teheti a virtuális hálózat mögött.
Tűzfalbeállítások konfigurálása
Konfigurálja a tűzfalat az Azure Machine Tanulás munkaterület erőforrásai és a nyilvános internet közötti forgalom szabályozásához. Bár az Azure Firewallt javasoljuk, használhat más tűzfaltermékeket is.
A tűzfalbeállításokról további információt a Tűzfal mögötti munkaterület használata című témakörben talál.
Egyéni DNS
Ha egyéni DNS-megoldást kell használnia a virtuális hálózathoz, hozzá kell adnia a munkaterület gazdagéprekordjait.
A szükséges tartománynevekkel és IP-címekkel kapcsolatos további információkért tekintse meg , hogyan használhat munkaterületet egyéni DNS-kiszolgálóval.
Microsoft Sentinel
A Microsoft Sentinel egy biztonsági megoldás, amely integrálható az Azure Machine Tanulás. Például az Azure Machine-Tanulás keresztül biztosított Jupyter-jegyzetfüzetek használata. További információ: A Jupyter-jegyzetfüzetek használata biztonsági fenyegetések kereséséhez.
Nyilvános hozzáférés
A Microsoft Sentinel automatikusan létrehozhat önnek egy munkaterületet, ha nincs rendben egy nyilvános végponttal. Ebben a konfigurációban a biztonsági műveleti központ (SOC) elemzői és rendszergazdái a Sentinelen keresztül csatlakoznak a munkaterület jegyzetfüzeteihez.
Erről a folyamatról további információt a Microsoft Sentinelből származó Azure Machine Tanulás-munkaterület létrehozása című témakörben talál.
Privát végpont
Ha biztonságossá szeretné tenni a munkaterületet és a társított erőforrásokat egy virtuális hálózaton, először létre kell hoznia az Azure Machine Tanulás munkaterületet. Emellett létre kell hoznia egy "jump box" virtuális gépet a munkaterületével megegyező virtuális hálózaton, és engedélyeznie kell az Azure Bastion-kapcsolatot. A nyilvános konfigurációhoz hasonlóan az SOC-elemzők és a rendszergazdák a Microsoft Sentinel használatával is csatlakozhatnak, de néhány műveletet az Azure Bastion használatával kell végrehajtani a virtuális géphez való csatlakozáshoz.
További információ erről a konfigurációról: Azure Machine Tanulás-munkaterület létrehozása a Microsoft Sentinelből
Következő lépések
Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét: