Dedukciós Azure Machine Learning-környezet biztonságossá tétele virtuális hálózatokkal

Cikk
02/02/2024

Ebből a cikkből megtudhatja, hogyan védheti meg a következtetési környezeteket (online végpontokat) egy virtuális hálózattal az Azure Machine Tanulás. Két következtetési lehetőség áll rendelkezésre, amelyeket virtuális hálózattal lehet biztonságossá tenni:

Azure Machine Tanulás felügyelt online végpontok

Tipp.

A Microsoft a jelen cikkben ismertetett lépések helyett egy Azure Machine Tanulás felügyelt virtuális hálózat használatát javasolja a felügyelt online végpontok védelme során. Felügyelt virtuális hálózat esetén az Azure Machine Tanulás kezeli a munkaterület és a felügyelt számítások hálózatelkülönítési feladatait. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.
Azure Kubernetes Service

Tipp.

Ez a cikk egy Azure Machine-Tanulás-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

A biztonságos munkaterület létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy oktatóanyag: Biztonságos munkaterület létrehozása sablonnal.

Előfeltételek

Olvassa el a Hálózatbiztonság áttekintési cikket a gyakori virtuális hálózati forgatókönyvek és az általános virtuális hálózati architektúra megismeréséhez.
Egy meglévő virtuális hálózat és alhálózat, amely az Azure Machine Tanulás-munkaterület védelmére szolgál.

Ha erőforrásokat szeretne üzembe helyezni egy virtuális hálózaton vagy alhálózaton, a felhasználói fióknak rendelkeznie kell az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) alábbi műveleteihez szükséges engedélyekkel:
- "Microsoft.Network/*/read" a virtuális hálózati erőforráson. Erre az engedélyre nincs szükség az Azure Resource Manager-sablontelepítésekhez.
- "Microsoft.Network/virtualNetworks/join/action" a virtuális hálózati erőforráson.
- "Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet" az alhálózati erőforráson.
További információ a hálózatkezeléssel rendelkező Azure RBAC-ről: A hálózatkezelés beépített szerepkörei

Az Azure Kubernetes Service (AKS) használata esetén egy meglévő AKS-fürtöt kell biztonságossá tennie a Biztonságos Azure Kubernetes Service következtetési környezetről szóló cikkben leírtak szerint.

Felügyelt online végpontok biztonságossá tétele

A felügyelt online végpontok biztonságossá tételével kapcsolatos információkért tekintse meg a Hálózatelkülönítés használata felügyelt online végpontokkal című cikket.

Azure Kubernetes Service online végpontok biztonságossá tétele

Az Azure Kubernetes Service-fürt biztonságos következtetéshez való használatához kövesse az alábbi lépéseket:

Biztonságos Kubernetes-következtetési környezet létrehozása vagy konfigurálása.
Az Azure Machine Tanulás bővítmény üzembe helyezése.
Csatolja a Kubernetes-fürtöt a munkaterülethez.
A Modell üzembe helyezése a Kubernetes online végpontjával cli v2, Python SDK v2 és Studio felhasználói felület használatával végezhető el.
- CLI v2 – https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 – https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Studio felhasználói felület – Kövesse a felügyelt online végpont üzembe helyezésének lépéseit a Studióban. A végpont nevének megadása után a Felügyelt helyett válassza a Kubernetes számítási típust.

A virtuális hálózat kimenő kapcsolatainak korlátozása

Ha nem szeretné használni az alapértelmezett kimenő szabályokat, és korlátozni szeretné a virtuális hálózat kimenő hozzáférését, engedélyeznie kell az Azure Container Registryhez való hozzáférést. Ellenőrizze például, hogy a hálózati biztonsági csoportok (NSG) tartalmaz-e olyan szabályt, amely lehetővé teszi az AzureContainerRegistry.RegionName szolgáltatáscímkéhez való hozzáférést, ahol a (z) {RegionName} egy Azure-régió neve.

Következő lépések