Hálózatelkülönítés az Azure Machine Learning-regisztrációs adatbázisokkal
Ebből a cikkből megtudhatja, hogyan védheti meg az Azure Machine Learning-regisztrációs adatbázist az Azure Virtual Network és a privát végpontok használatával.
Az Azure privát végpontjai hálózatelkülönítést biztosítanak azáltal, hogy lehetővé teszik az Azure-szolgáltatások elérését egy virtuális hálózaton (VNet) belüli privát IP-címen keresztül. A virtuális hálózat biztosítja az Azure-erőforrások közötti kapcsolatokat, és megakadályozza a bizalmas adatok nyilvános interneten való kitettségét.
A privát végpontokkal való hálózatelkülönítés megakadályozza, hogy a hálózati forgalom a nyilvános interneten haladjon át, és az Azure Machine Learning beállításjegyzék-szolgáltatását a virtuális hálózathoz hozza. A privát végpontok használatakor az összes hálózati forgalom az Azure Private Linken keresztül történik.
Előfeltételek
- Egy Azure Machine Learning-beállításjegyzék. Ha létre szeretne hozni egyet, használja a Regisztrációs adatbázisok létrehozása és kezelése című cikk lépéseit .
- A következő cikkek ismerete:
Az Azure Machine Learning-beállításjegyzék biztonságossá tétele
Feljegyzés
Az egyszerűség kedvéért a munkaterületre, a kapcsolódó erőforrásokra és a virtuális hálózatra fogunk hivatkozni, amelyek a biztonságos munkaterület-konfiguráció részét képezik. Bemutatjuk, hogyan adhat hozzá Azure Machine Learning-regisztrációs adatbázisokat a meglévő konfiguráció részeként.
Az alábbi ábra egy alapszintű hálózati konfigurációt és az Azure Machine Learning beállításjegyzékének működését mutatja be. Ha már használja az Azure Machine Learning-munkaterületet, és olyan biztonságos munkaterület-konfigurációval rendelkezik, amelyben az összes erőforrás a virtuális hálózat része, létrehozhat egy privát végpontot a meglévő virtuális hálózatból az Azure Machine Learning-beállításjegyzékbe, valamint az ahhoz tartozó erőforrásokat (tárhelyet és ACR-t).
Ha nem rendelkezik biztonságos munkaterület-konfigurációval, létrehozhatja azt az Azure Portal biztonságos munkaterületének létrehozásával, vagy létrehozhat egy biztonságos munkaterületet sabloncikkekkel .
Korlátozások
Ha hálózatelkülönítéssel rendelkező Azure Machine Learning-regisztrációs adatbázist használ, megtekintheti a modellegységeket az Azure Machine Learning Studióban. Más típusú objektumok nem tekinthetők meg. Nem fog tudni műveleteket végrehajtani az Azure Machine Learning regisztrációs adatbázisán vagy az alatta lévő objektumokon a studio használatával. Ehelyett használja az Azure Machine Learning CLI-t vagy az SDK-t.
Forgatókönyv: A munkaterület konfigurációja biztonságos, és az Azure Machine Learning-beállításjegyzék nyilvános
Ez a szakasz azokat a forgatókönyveket és szükséges hálózati konfigurációkat ismerteti, amelyek akkor szükségesek, ha biztonságos munkaterület-konfigurációval rendelkezik, de nyilvános beállításjegyzéket használ.
Objektumok létrehozása a beállításjegyzékben helyi fájlokból
A beállításjegyzékben az eszközök létrehozásához használt identitást (például egy adattudós Microsoft Entra-felhasználói identitását) az Azure-beli szerepköralapú hozzáférés-vezérlésben az AzureML beállításjegyzék-felhasználójának, tulajdonosának vagy közreműködői szerepkörének kell hozzárendelnie. További információt az Azure Machine Learning-hozzáférés kezelése című cikkben talál.
Objektumok megosztása a munkaterületről a beállításjegyzékbe
Feljegyzés
Egy összetevő megosztása az Azure Machine Learning-munkaterületről az Azure Machine Learning-beállításjegyzékbe jelenleg nem támogatott.
Az adatkiszivárgás elleni védelem miatt nem lehet megosztani egy objektumot a biztonságos munkaterületről a nyilvános beállításjegyzékbe, ha az objektumot tartalmazó tárfiók nyilvános hozzáférése le van tiltva. Az eszközmegosztás engedélyezése a munkaterületről a beállításjegyzékbe:
- Nyissa meg a munkaterülethez csatolt tárfiók Hálózatkezelés szakaszát (ahonnan engedélyezni szeretné az eszközök megosztását a beállításjegyzékben)
- Nyilvános hálózati hozzáférés beállítása engedélyezve a kiválasztott virtuális hálózatokról és IP-címekről
- Görgessen le, és lépjen az Erőforráspéldányok szakaszra. Válassza ki a Microsoft.MachineLearningServices/regiszries erőforrástípust, és állítsa a példány nevét az Azure Machine Learning beállításjegyzék-erőforrásának nevére, ha engedélyezni szeretné a munkaterületről való megosztást.
- Ellenőrizze a többi beállítást a hálózati konfigurációnak megfelelően.
Objektumok használata a munkaterület beállításjegyzékéből
Példaműveletek:
- Küldjön be egy olyan feladatot, amely egy objektumot használ a beállításjegyzékből.
- A folyamat beállításjegyzékéből származó összetevő használata.
- Használjon egy környezetet a beállításjegyzékből egy összetevőben.
Az objektumok beállításjegyzékből biztonságos munkaterületre való használatával konfigurálnia kell a regisztrációs adatbázishoz való kimenő hozzáférést.
Modell üzembe helyezése a beállításjegyzékből a munkaterületre
Ha egy modellt egy beállításjegyzékből egy biztonságos, felügyelt online végpontra szeretne telepíteni, az üzembe helyezésnek be kell állítania egress_public_network_access=disabled
. Az Azure Machine Learning létrehozza a szükséges privát végpontokat a beállításjegyzékben a végpont üzembe helyezése során. További információ: Biztonságosan felügyelt online végpontok létrehozása.
Kimenő hálózati konfiguráció bármely Azure Machine Learning-beállításjegyzék eléréséhez
Szolgáltatáscímke | Protokoll és portok | Cél |
---|---|---|
AzureMachineLearning |
TCP: 443, 877, 18881 UDP: 5831 |
Az Azure Machine Learning-szolgáltatások használata. |
Storage.<region> |
TCP: 443 | Az Azure Storage-fiókban tárolt adatok elérése számítási fürtökhöz és számítási példányokhoz. Ez a kimenő adatszűrés használható. További információ: Adatkiszivárgás elleni védelem. |
MicrosoftContainerRegistry.<region> |
TCP: 443 | A Microsoft által biztosított Docker-képek elérése. |
AzureContainerRegistry.<region> |
TCP: 443 | Docker-rendszerképek elérése környezetekhez. |
Forgatókönyv: A munkaterület konfigurációja biztonságos, és az Azure Machine Learning-beállításjegyzék privát végpontok használatával csatlakozik a virtuális hálózatokhoz
Ez a szakasz ismerteti a forgatókönyveket és a szükséges hálózati konfigurációkat, ha rendelkezik biztonságos munkaterület-konfigurációval az Azure Machine Learning-regisztrációs adatbázisokkal, amelyek privát végponttal csatlakoznak egy virtuális hálózathoz.
Az Azure Machine Learning-beállításjegyzékhez társított tárolási/ACR-szolgáltatáspéldányok tartoznak. Ezek a szolgáltatáspéldányok privát végpontok használatával is csatlakoztathatók a virtuális hálózathoz a konfiguráció biztonságossá tételéhez. További információ: Privát végpont létrehozása szakasz.
A beállításjegyzék által használt Azure Storage-fiók és Azure Container Registry megkeresése
Az Azure Machine Learning-regisztrációs adatbázis által használt tárfiók és ACR egy felügyelt erőforráscsoportban jön létre az Azure-előfizetésben. A felügyelt erőforráscsoport neve a következő mintát azureml-rg-<name-of-your-registry>_<GUID>
követi: . A GUID egy véletlenszerűen létrehozott sztring. Ha például a beállításjegyzék neve "contosoreg", akkor a felügyelt erőforráscsoport neve lesz azureml-rg-contosoreg_<GUID>
.
Az Azure Portalon ezt az erőforráscsoportot a kereséssel azureml_rg-<name-of-your-registry>
találja meg. A beállításjegyzék összes tárolási és ACR-erőforrása ebben az erőforráscsoportban érhető el.
Objektumok létrehozása a beállításjegyzékben helyi fájlokból
Feljegyzés
A környezeti objektum létrehozása nem támogatott olyan magánregisztrációs adatbázisban, ahol a társított ACR nyilvános hozzáférése le van tiltva. Áthidaló megoldásként létrehozhat egy környezetet az Azure Machine Learning-munkaterületen, és megoszthatja azt az Azure Machine Learning beállításjegyzékében.
Az ügyfeleknek ahhoz a virtuális hálózathoz kell csatlakozniuk, amelyhez a beállításjegyzék privát végponthoz csatlakozik.
Biztonságos csatlakozás a beállításjegyzékhez
A virtuális hálózat mögött védett beállításjegyzékhez való csatlakozáshoz használja az alábbi módszerek egyikét:
Azure VPN Gateway – Helyszíni hálózatokat csatlakoztat a virtuális hálózathoz privát kapcsolaton keresztül. A kapcsolat a nyilvános interneten keresztül történik. Kétféle VPN-átjárót használhat:
Pont–hely: Minden ügyfélszámítógép VPN-ügyféllel csatlakozik a virtuális hálózathoz.
Helyek közötti: Egy VPN-eszköz csatlakoztatja a virtuális hálózatot a helyszíni hálózathoz.
ExpressRoute – Helyszíni hálózatokat csatlakoztat a felhőbe privát kapcsolaton keresztül. A kapcsolat kapcsolatszolgáltatóval jön létre.
Azure Bastion – Ebben a forgatókönyvben egy Azure-beli virtuális gépet (más néven jump boxot) hoz létre a virtuális hálózaton belül. Ezután az Azure Bastion használatával csatlakozhat a virtuális géphez. A Bastion lehetővé teszi a virtuális géphez való csatlakozást RDP- vagy SSH-munkamenet használatával a helyi webböngészőből. Ezt követően a jump boxot fogja használni fejlesztési környezetként. Mivel a virtuális hálózaton belül van, közvetlenül hozzáférhet a beállításjegyzékhez.
Objektumok megosztása a munkaterületről a beállításjegyzékbe
Feljegyzés
Egy összetevő megosztása az Azure Machine Learning-munkaterületről az Azure Machine Learning-beállításjegyzékbe jelenleg nem támogatott.
Az adatkiszivárgás elleni védelem miatt nem lehet megosztani egy objektumot a biztonságos munkaterületről egy privát beállításjegyzékbe, ha az objektumot tartalmazó tárfiók nyilvános hozzáférése le van tiltva. Az eszközmegosztás engedélyezése a munkaterületről a beállításjegyzékbe:
- Nyissa meg a munkaterülethez csatolt tárfiók Hálózatkezelés szakaszát (ahonnan engedélyezni szeretné az eszközök megosztását a beállításjegyzékben)
- Nyilvános hálózati hozzáférés beállítása engedélyezve a kiválasztott virtuális hálózatokról és IP-címekről
- Görgessen le, és lépjen az Erőforráspéldányok szakaszra. Válassza ki a Microsoft.MachineLearningServices/regiszries erőforrástípust, és állítsa a példány nevét az Azure Machine Learning beállításjegyzék-erőforrásának nevére, ha engedélyezni szeretné a munkaterületről való megosztást.
- Ellenőrizze a többi beállítást a hálózati konfigurációnak megfelelően.
Objektumok használata a munkaterület beállításjegyzékéből
Példaműveletek:
- Küldjön be egy olyan feladatot, amely egy objektumot használ a beállításjegyzékből.
- A folyamat beállításjegyzékéből származó összetevő használata.
- Használjon egy környezetet a beállításjegyzékből egy összetevőben.
Hozzon létre egy privát végpontot a munkaterület virtuális hálózatából a beállításjegyzékbe, a tárolóba és az ACR-be. Ha több adatbázishoz próbál csatlakozni, hozzon létre privát végpontot minden beállításjegyzékhez, valamint a társított tárolóhoz és ACL-ekhez. További információ: Privát végpont létrehozása szakasz.
Modell üzembe helyezése a beállításjegyzékből a munkaterületre
Ha egy modellt egy beállításjegyzékből egy biztonságos, felügyelt online végpontra szeretne telepíteni, az üzembe helyezésnek be kell állítania egress_public_network_access=disabled
. Az Azure Machine Learning létrehozza a szükséges privát végpontokat a beállításjegyzékben a végpont üzembe helyezése során. További információ: Biztonságosan felügyelt online végpontok létrehozása.
Privát végpont létrehozása
A lapfülek segítségével megtekintheti az utasításokat, amelyekkel privát végpontot adhat hozzá egy meglévő beállításjegyzékhez , vagy létrehozhat egy új, privát végpontot tartalmazó beállításjegyzéket :
Az Azure Portalon keresse meg a privát végpontot, és válassza ki a Privát végpontok bejegyzést a Privát kapcsolat központba való ugráshoz.
A Privát hivatkozás központ áttekintési lapján válassza a + Létrehozás lehetőséget.
Adja meg a kért információkat. A Region (Régió) mezőben válassza ki ugyanazt a régiót, mint az Azure Virtual Network. Válassza a Tovább lehetőséget.
Az Erőforrás lapon válassza az Erőforrás típusa
Microsoft.MachineLearningServices/registries
lehetőséget. Állítsa be az Erőforrás mezőt az Azure Machine Learning-beállításjegyzék nevére, majd válassza a Tovább gombot.A Virtuális hálózat lapon válassza ki az Azure Machine Learning-erőforrások virtuális hálózatát és alhálózatát. A folytatáshoz válassza a Tovább gombra.
A DNS lapon hagyja meg az alapértelmezett értékeket, hacsak nem rendelkezik meghatározott privát DNS-integrációs követelményekkel. A folytatáshoz válassza a Tovább gombra.
A Véleményezés + Létrehozás lapon válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
Ha le szeretné tiltani a nyilvános hálózati hozzáférést, használja az alábbi parancsot. Győződjön meg arról, hogy a tároló és az ACR nyilvános hálózati hozzáférése is le van tiltva.
az ml registry update --set publicNetworkAccess=Disabled --name <name-of-registry>
A beállításjegyzék által használt Azure Storage-fiók és Azure Container Registry megkeresése
Az Azure Machine Learning-regisztrációs adatbázis által használt tárfiók és ACR egy felügyelt erőforráscsoportban jön létre az Azure-előfizetésben. A felügyelt erőforráscsoport neve a következő mintát azureml-rg-<name-of-your-registry>_<GUID>
követi: . A GUID egy véletlenszerűen létrehozott sztring. Ha például a beállításjegyzék neve "contosoreg", akkor a felügyelt erőforráscsoport neve lesz azureml-rg-contosoreg_<GUID>
.
Az Azure Portalon ezt az erőforráscsoportot a kereséssel azureml_rg-<name-of-your-registry>
találja meg. A beállításjegyzék összes tárolási és ACR-erőforrása ebben az erőforráscsoportban érhető el.
Privát végpont létrehozása az Azure Storage-fiókhoz
Ha privát végpontot szeretne létrehozni a beállításjegyzék által használt tárfiókhoz, kövesse az alábbi lépéseket:
- Az Azure Portalon keresse meg a privát végpontot, és válassza ki a Privát végpontok bejegyzést a Privát kapcsolat központba való ugráshoz.
- A Privát hivatkozás központ áttekintési lapján válassza a + Létrehozás lehetőséget.
- Adja meg a kért információkat. A Region (Régió) mezőben válassza ki ugyanazt a régiót, mint az Azure Virtual Network. Válassza a Tovább lehetőséget.
- Az Erőforrás lapon válassza az Erőforrás típusa
Microsoft.Storage/storageAccounts
lehetőséget. Állítsa az Erőforrás mezőt a tárfiók nevére. Állítsa az alerőforrást Blob értékre, majd válassza a Tovább gombot. - A Virtuális hálózat lapon válassza ki az Azure Machine Learning-erőforrások virtuális hálózatát és alhálózatát. A folytatáshoz válassza a Tovább gombra.
- A DNS lapon hagyja meg az alapértelmezett értékeket, hacsak nem rendelkezik meghatározott privát DNS-integrációs követelményekkel. A folytatáshoz válassza a Tovább gombra.
- A Véleményezés + Létrehozás lapon válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
Adatkiszivárgás elleni védelem
Az Azure Machine Learning-beállításjegyzéket létrehozó felhasználó számára javasoljuk, hogy használjon privát végpontot a beállításjegyzékhez, a felügyelt tárfiókhoz és a felügyelt ACR-hez.
Rendszerregisztrációs adatbázis esetén javasoljuk, hogy hozzon létre egy szolgáltatásvégpont-szabályzatot a Tárfiókhoz az /services/Azure/MachineLearning
alias használatával. További információ: Adatkiszivárgás-megelőzés konfigurálása.
A beállításjegyzék teljes tartománynevének megkeresése
Feljegyzés
Győződjön meg arról, hogy a DNS képes feloldani a beállításjegyzék privát teljes tartománynevét, amely ebben a formátumban van: <registry-guid>.registry.<region>.privatelink.api.azureml.ms
mivel nincs olyan nyilvános erőforrásspecifikus teljes tartománynév, amelyet az Azure DNS rekurzív módon old fel.
Az alábbi példák bemutatják, hogyan használhatja a felderítési URL-címet a beállításjegyzék teljes tartománynevének (FQDN) lekéréséhez. A felderítési URL-cím meghívásakor meg kell adnia egy Azure-hozzáférési jogkivonatot a kérelem fejlécében. Az alábbi példák bemutatják, hogyan szerezhet be hozzáférési jogkivonatot, és hogyan hívhatja meg a felderítési URL-címet:
Tipp.
A felderítési URL-cím https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery
formátuma az, ahol <region>
a beállításjegyzék található, és <registry_name>
a beállításjegyzék neve. Az URL meghívásához küldjön get kérést:
GET https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery
$region = "<region>"
$registryName = "<registry_name>"
$accessToken = (az account get-access-token | ConvertFrom-Json).accessToken
(Invoke-RestMethod -Method Get `
-Uri "https://$region.api.azureml.ms/registrymanagement/v1.0/registries/$registryName/discovery" `
-Headers @{ Authorization="Bearer $accessToken" }).registryFqdns
- REST API
Feljegyzés
Az Azure REST API-k használatáról további információt az Azure REST API-referenciában talál.
Szerezze be az Azure hozzáférési jogkivonatát. Jogkivonat lekéréséhez az alábbi Azure CLI-parancsot használhatja:
az account get-access-token --query accessToken
EGY REST-ügyfél, például a Curl használatával küldjön GET kérést a felderítési URL-címre. Az engedélyezéshez használja az előző lépésben lekért hozzáférési jogkivonatot. Az alábbi példában cserélje le
<region>
azt a régiót, ahol a beállításjegyzék található, és<registry_name>
adja meg a beállításjegyzék nevét. Cserélje le<token>
az előző lépésben lekért hozzáférési jogkivonatra:curl -X GET "https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery" -H "Authorization: Bearer <token>" -H "Content-Type: application/json"
Következő lépés
Megtudhatja, hogyan oszthat meg modelleket, összetevőket és környezeteket a munkaterületeken a regisztrációs adatbázisokkal.