Dedukciós Azure Machine Learning-környezet biztonságossá tétele virtuális hálózatokkal
Ebből a cikkből megtudhatja, hogyan védheti meg a következtetési környezeteket (online végpontokat) egy virtuális hálózattal az Azure Machine Tanulás. Két következtetési lehetőség áll rendelkezésre, amelyeket virtuális hálózattal lehet biztonságossá tenni:
Azure Machine Tanulás felügyelt online végpontok
Tipp.
A Microsoft a jelen cikkben ismertetett lépések helyett egy Azure Machine Tanulás felügyelt virtuális hálózat használatát javasolja a felügyelt online végpontok védelme során. Felügyelt virtuális hálózat esetén az Azure Machine Tanulás kezeli a munkaterület és a felügyelt számítások hálózatelkülönítési feladatait. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.
Azure Kubernetes Service
Tipp.
Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:
- A virtuális hálózat áttekintése
- A munkaterület erőforrásainak védelme
- A betanítási környezet védelme
- Studio-funkciók engedélyezése
- Egyéni DNS használata
- Tűzfal használata
A biztonságos munkaterület létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy oktatóanyag: Biztonságos munkaterület létrehozása sablonnal.
Előfeltételek
Olvassa el a Hálózatbiztonság áttekintési cikket a gyakori virtuális hálózati forgatókönyvek és az általános virtuális hálózati architektúra megismeréséhez.
Egy meglévő virtuális hálózat és alhálózat, amely az Azure Machine Tanulás-munkaterület védelmére szolgál.
Ha erőforrásokat szeretne üzembe helyezni egy virtuális hálózaton vagy alhálózaton, a felhasználói fióknak rendelkeznie kell az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) alábbi műveleteihez szükséges engedélyekkel:
- "Microsoft.Network/*/read" a virtuális hálózati erőforráson. Erre az engedélyre nincs szükség az Azure Resource Manager-sablontelepítésekhez.
- "Microsoft.Network/virtualNetworks/join/action" a virtuális hálózati erőforráson.
- "Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet" az alhálózati erőforráson.
További információ a hálózatkezeléssel rendelkező Azure RBAC-ről: A hálózatkezelés beépített szerepkörei
- Az Azure Kubernetes Service (AKS) használata esetén egy meglévő AKS-fürtöt kell biztonságossá tennie a Biztonságos Azure Kubernetes Service következtetési környezetről szóló cikkben leírtak szerint.
Felügyelt online végpontok biztonságossá tétele
A felügyelt online végpontok biztonságossá tételével kapcsolatos információkért tekintse meg a Hálózatelkülönítés használata felügyelt online végpontokkal című cikket.
Azure Kubernetes Service online végpontok biztonságossá tétele
Az Azure Kubernetes Service-fürt biztonságos következtetéshez való használatához kövesse az alábbi lépéseket:
Biztonságos Kubernetes-következtetési környezet létrehozása vagy konfigurálása.
Az Azure Machine Tanulás bővítmény üzembe helyezése.
A Modell üzembe helyezése a Kubernetes online végpontjával cli v2, Python SDK v2 és Studio felhasználói felület használatával végezhető el.
- CLI v2 – https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 – https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Studio felhasználói felület – Kövesse a felügyelt online végpont üzembe helyezésének lépéseit a Studióban. A végpont nevének megadása után a Felügyelt helyett válassza a Kubernetes számítási típust.
A virtuális hálózat kimenő kapcsolatainak korlátozása
Ha nem szeretné használni az alapértelmezett kimenő szabályokat, és korlátozni szeretné a virtuális hálózat kimenő hozzáférését, engedélyeznie kell az Azure Container Registryhez való hozzáférést. Ellenőrizze például, hogy a hálózati biztonsági csoportok (NSG) tartalmaz-e olyan szabályt, amely lehetővé teszi az AzureContainerRegistry.RegionName szolgáltatáscímkéhez való hozzáférést, ahol a (z) {RegionName} egy Azure-régió neve.
Következő lépések
Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét: