Azure Machine Learning-munkaterületi erőforrások biztonságossá tétele virtuális hálózatok használatával

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azure-ai-ml v2 (aktuális)

A KÖVETKEZŐKRE VONATKOZIK:Azure CLI ml extension v2 (aktuális)

Az Azure Machine Learning-munkaterület erőforrásainak és számítási környezeteinek védelme virtuális hálózatok (VNetek) használatával. Ez a cikk egy példaforgatókönyv segítségével mutatja be, hogyan konfigurálhat teljes virtuális hálózatot.

Tipp

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

A biztonságos munkaterület létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy Oktatóanyag: Biztonságos munkaterület létrehozása sablonnal.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri a következő témaköröket:

Példaforgatókönyv

Ebben a szakaszban megtudhatja, hogyan van beállítva egy gyakori hálózati forgatókönyv az Azure Machine Learning privát IP-címekkel való biztonságossá tételéhez.

Az alábbi táblázat összehasonlítja, hogy a szolgáltatások hogyan férnek hozzá egy Azure Machine Learning-hálózat különböző részeihez virtuális hálózattal és anélkül:

Eset Munkaterület Társított erőforrások Számítási környezet betanítása Számítási környezet következtetése
Nincs virtuális hálózat Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím Nyilvános IP-cím
Nyilvános munkaterület, a virtuális hálózat összes többi erőforrása Nyilvános IP-cím Nyilvános IP-cím (szolgáltatásvégpont)
-Vagy-
Privát IP-cím (privát végpont)
Nyilvános IP-cím Magánhálózati IP-cím
Erőforrások védelme virtuális hálózaton Privát IP-cím (privát végpont) Nyilvános IP-cím (szolgáltatásvégpont)
-Vagy-
Privát IP-cím (privát végpont)
Magánhálózati IP-cím Magánhálózati IP-cím
  • Munkaterület – Hozzon létre egy privát végpontot a munkaterülethez. A privát végpont több privát IP-címen keresztül csatlakoztatja a munkaterületet a virtuális hálózathoz.
    • Nyilvános hozzáférés – Opcionálisan engedélyezheti a nyilvános hozzáférést egy biztonságos munkaterülethez.
  • Társított erőforrás – Szolgáltatásvégpontok vagy privát végpontok használatával csatlakozhat olyan munkaterületi erőforrásokhoz, mint az Azure Storage, az Azure Key Vault. Az Azure Container Services esetében használjon privát végpontot.
    • A szolgáltatásvégpontok biztosítják a virtuális hálózat identitását az Azure-szolgáltatásnak. Miután engedélyezte a szolgáltatásvégpontokat a virtuális hálózaton, hozzáadhat egy virtuális hálózati szabályt az Azure-szolgáltatás erőforrásainak a virtuális hálózathoz való védelméhez. A szolgáltatásvégpontok nyilvános IP-címeket használnak.
    • A privát végpontok olyan hálózati adapterek, amelyek biztonságosan csatlakoztatják Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egy privát IP-címét használja, amely hatékonyan hozza a szolgáltatást a virtuális hálózatba.
  • Számítási hozzáférés betanítása – Hozzáférés a betanítási számítási célokhoz, például az Azure Machine Learning Számítási Példányhoz és az Azure Machine Learning Számítási fürtökhöz nyilvános vagy privát IP-címekkel.
  • Számítási hozzáférés következtetése – Privát IP-címekkel rendelkező Azure Kubernetes Services- (AKS-) számítási fürtök elérése.

A következő szakaszok bemutatják, hogyan védheti meg a fent leírt hálózati forgatókönyvet. A hálózat védelméhez a következőket kell tennie:

  1. Biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat.
  2. A betanítási környezet védelme.
  3. A következtetési környezet védelme.
  4. Igény szerint: engedélyezze a studiofunkciót.
  5. Tűzfalbeállítások konfigurálása.
  6. A DNS-névfeloldás konfigurálása.

Nyilvános munkaterület és biztonságos erőforrások

Ha a munkaterületet a nyilvános interneten keresztül szeretné elérni, miközben az összes társított erőforrást biztonságban szeretné tartani egy virtuális hálózaton, kövesse az alábbi lépéseket:

  1. Hozzon létre egy Azure-Virtual Network, amely tartalmazza a munkaterület által használt erőforrásokat.

  2. Az alábbi lehetőségek egyikével hozhat létre nyilvánosan elérhető munkaterületet:

  3. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végponthasználatával. A megbízható Microsoft szolgáltatások számára is lehetővé teszi a szolgáltatások elérését:

    Szolgáltatás Végpont adatai Megbízható információk engedélyezése
    Azure Key Vault Szolgáltatásvégpont
    Privát végpont
    A tűzfal megkerülése megbízható Microsoft szolgáltatások számára
    Azure Storage-tárfiók neve Szolgáltatás- és privát végpont
    Privát végpont
    Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése
  4. A munkaterülethez tartozó Azure Storage-fiók(ok) tulajdonságaiban adja hozzá az ügyfél IP-címét az engedélyezett listához a tűzfalbeállításokban. További információ: Tűzfalak és virtuális hálózatok konfigurálása.

A munkaterület és a kapcsolódó erőforrások védelme

Az alábbi lépésekkel biztonságossá teheti a munkaterületet és a kapcsolódó erőforrásokat. Ezek a lépések lehetővé teszik, hogy a szolgáltatások kommunikáljanak a virtuális hálózaton.

  1. Hozzon létre egy Azure-beli virtuális hálózatokat , amelyek tartalmazzák a munkaterületet és más erőforrásokat. Ezután hozzon létre egy Private Link-kompatibilis munkaterületet a virtuális hálózat és a munkaterület közötti kommunikáció engedélyezéséhez.

  2. Adja hozzá a következő szolgáltatásokat a virtuális hálózathoz szolgáltatásvégpont vagy privát végponthasználatával. A megbízható Microsoft szolgáltatások számára is lehetővé teszi a szolgáltatások elérését:

    Szolgáltatás Végpont adatai Megbízható információk engedélyezése
    Azure Key Vault Szolgáltatásvégpont
    Privát végpont
    A tűzfal megkerülése megbízható Microsoft szolgáltatások számára
    Azure Storage-tárfiók neve Szolgáltatás- és privát végpont
    Privát végpont
    Hozzáférés biztosítása Azure-erőforráspéldányokból
    Vagy
    Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
    Azure Container Registry Privát végpont Megbízható szolgáltatások engedélyezése

Diagram, amely bemutatja, hogyan kommunikálnak a munkaterület és a társított erőforrások egy virtuális hálózaton belül.

A lépések végrehajtásával kapcsolatos részletes útmutatásért tekintse meg az Azure Machine Learning-munkaterület biztonságossá tételét ismertető cikket.

Korlátozások

A munkaterület és a társított erőforrások virtuális hálózaton belüli biztonságossá tétele a következő korlátozásokkal jár:

  • Minden erőforrásnak ugyanazon virtuális hálózat mögött kell lennie. Az ugyanazon a virtuális hálózaton belüli alhálózatok azonban engedélyezettek.

A betanítási környezet védelme

Ebben a szakaszban megtudhatja, hogyan védheti meg a betanítási környezetet az Azure Machine Learningben. Azt is megtudhatja, hogyan hajt végre az Azure Machine Learning egy betanítási feladatot, hogy megismerje a hálózati konfigurációk együttes működését.

A betanítási környezet védelméhez kövesse az alábbi lépéseket:

  1. Hozzon létre egy Azure Machine Learning számítási példányt és számítógépfürtöt a virtuális hálózaton a betanítási feladat futtatásához.

  2. Ha a számítási fürt vagy számítási példány nyilvános IP-címet használ, engedélyeznie kell a bejövő kommunikációt , hogy a felügyeleti szolgáltatások feladatokat küldjenek a számítási erőforrásoknak.

    Tipp

    A számítási fürt és a számítási példány nyilvános IP-címmel vagy anélkül hozható létre. Ha nyilvános IP-címmel jön létre, egy nyilvános IP-címmel rendelkező terheléselosztót kap, amely fogadja az Azure Batch szolgáltatásból és az Azure Machine Learning szolgáltatásból érkező bejövő hozzáférést. Ha tűzfalat használ, konfigurálnia kell a felhasználó által definiált útválasztást (UDR). Ha nyilvános IP-cím nélkül jön létre, egy privát kapcsolati szolgáltatást kap, amely nyilvános IP-cím nélkül fogadja el az Azure Batch szolgáltatásból és az Azure Machine Learning szolgáltatásból érkező bejövő hozzáférést.

A felügyelt számítási fürtök és -példányok biztonságossá tételét bemutató ábra.

A lépések végrehajtásával kapcsolatos részletes útmutatásért lásd: Betanítási környezet védelme.

Példa betanítási feladat beküldése

Ebben a szakaszban megtudhatja, hogyan kommunikál biztonságosan az Azure Machine Learning a szolgáltatások között egy betanítási feladat beküldéséhez. Ez bemutatja, hogyan működik együtt az összes konfiguráció a kommunikáció biztonságossá tételéhez.

  1. Az ügyfél feltölti a betanítási szkripteket és a betanítási adatokat egy szolgáltatással vagy privát végponttal védett tárfiókokba.

  2. Az ügyfél betanítási feladatot küld az Azure Machine Learning-munkaterületre a privát végponton keresztül.

  3. Azure Batch szolgáltatás megkapja a feladatot a munkaterületről. Ezután elküldi a betanítási feladatot a számítási környezetnek a számítási erőforrás nyilvános terheléselosztón keresztül.

  4. A számítási erőforrás megkapja a feladatot, és megkezdi a betanítást. A számítási erőforrás a Key Vaultban tárolt adatokat használja a tárfiókok eléréséhez a betanítási fájlok letöltéséhez és a kimenet feltöltéséhez.

A biztonságos betanítási feladat beküldési munkafolyamatát bemutató ábra.

Korlátozások

  • Az Azure Compute Instance-nek és az Azure számítási fürtöknek a munkaterülettel és az ahhoz tartozó erőforrásokkal megegyező virtuális hálózaton, régióban és előfizetésben kell lenniük.

A dedukciós környezet biztonságossá tétele

A felügyelt online végpontok hálózatelkülönítését a következő hálózati forgalom biztonságossá tételéhez engedélyezheti:

  • Bejövő pontozási kérelmek.
  • Kimenő kommunikáció a munkaterülettel, Azure Container Registry és Azure Blob Storage.

Fontos

A felügyelt online végpontok hálózati elkülönítésének használata előzetes verziójú funkció, és nem teljes mértékben támogatott.

További információ: Hálózatelkülönítés engedélyezése felügyelt online végpontokhoz.

Nem kötelező: Nyilvános hozzáférés engedélyezése

A virtuális hálózat mögötti munkaterületet privát végponttal is biztonságossá teheti, és továbbra is engedélyezheti a nyilvános interneten keresztüli hozzáférést. A kezdeti konfiguráció megegyezik a munkaterület és a társított erőforrások biztonságossá tételével.

Miután biztonságossá tette a munkaterületet egy privát végponttal, az alábbi lépésekkel engedélyezheti az ügyfelek számára a távoli fejlesztést az SDK vagy Azure Machine Learning stúdió használatával:

  1. Nyilvános hozzáférés engedélyezése a munkaterülethez.
  2. Konfigurálja az Azure Storage-tűzfalat úgy, hogy engedélyezze a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt.

Nem kötelező: studiofunkciók engedélyezése

Ha a tároló virtuális hálózaton található, további konfigurációs lépéseket kell használnia a teljes funkcionalitás engedélyezéséhez a studióban. Alapértelmezés szerint a következő funkciók le vannak tiltva:

  • Adatok előnézete a stúdióban.
  • Adatvizualizáció a tervezőben.
  • Modell üzembe helyezése a tervezőben.
  • AutoML-kísérlet beküldése.
  • Címkézési projekt indítása.

A teljes stúdiófunkció engedélyezéséhez lásd: Azure Machine Learning stúdió használata virtuális hálózaton.

Korlátozások

Az ML által támogatott adatok címkézése nem támogatja a virtuális hálózat mögötti alapértelmezett tárfiókokat. Ehelyett az ml-alapú adatok címkézéséhez használjon nem alapértelmezett tárfiókot.

Tipp

Amíg nem ez az alapértelmezett tárfiók, az adatcímkézés által használt fiók a virtuális hálózat mögött védhető.

Tűzfalbeállítások konfigurálása

Konfigurálja a tűzfalat az Azure Machine Learning-munkaterület erőforrásai és a nyilvános internet közötti forgalom szabályozásához. Bár azt javasoljuk, hogy Azure Firewall, használhat más tűzfaltermékeket is.

További információ a tűzfalbeállításokról: Munkaterület használata tűzfal mögött.

Egyéni DNS

Ha egyéni DNS-megoldást kell használnia a virtuális hálózathoz, gazdagéprekordokat kell hozzáadnia a munkaterülethez.

A szükséges tartománynevekkel és IP-címekkel kapcsolatos további információkért lásd: Munkaterület használata egyéni DNS-kiszolgálóval.

Microsoft Sentinel

Microsoft A Sentinel egy biztonsági megoldás, amely integrálható az Azure Machine Learning szolgáltatással. Például az Azure Machine Learningen keresztül biztosított Jupyter-jegyzetfüzetek használata. További információ: A Jupyter-jegyzetfüzetek használata biztonsági fenyegetések kereséséhez.

Nyilvános hozzáférés

Microsoft A Sentinel automatikusan létrehozhat egy munkaterületet, ha egy nyilvános végponttal rendben van. Ebben a konfigurációban a biztonsági műveleti központ (SOC) elemzői és rendszergazdái a Sentinelen keresztül csatlakoznak a munkaterület jegyzetfüzeteihez.

További információ erről a folyamatról: Azure ML-munkaterület létrehozása Microsoft Sentinelből

A Sentinel nyilvános kapcsolat Microsoft ábrázoló ábra.

Privát végpont

Ha virtuális hálózaton szeretné biztonságossá tenni a munkaterületet és a társított erőforrásokat, először létre kell hoznia az Azure Machine Learning-munkaterületet. Létre kell hoznia egy "jump box" virtuális gépet is a munkaterületével megegyező virtuális hálózaton, és engedélyeznie kell az Azure Bastion-kapcsolatot. A nyilvános konfigurációhoz hasonlóan az SOC-elemzők és a rendszergazdák is csatlakozhatnak Microsoft Sentinel használatával, de egyes műveleteket az Azure Bastion használatával kell végrehajtani a virtuális géphez való csatlakozáshoz.

További információ erről a konfigurációról: Azure ML-munkaterület létrehozása Microsoft Sentinelből

Daigram, amely Microsoft Sentinel-kapcsolatot mutatja egy virtuális hálózaton keresztül.

Következő lépések

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét: