Azure Machine Learning-beli betanítási környezet biztonságossá tétele virtuális hálózatokkal

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azure-ai-ml v2 (előzetes verzió)

Ebből a cikkből megtudhatja, hogyan védheti meg a betanítási környezeteket egy virtuális hálózattal az Azure Machine Learningben. Megtudhatja, hogyan védheti meg a betanítási környezeteket az Azure Machine Learning Studio és a Python SDK v2 használatával.

Tipp

Ez a cikk az Azure Machine Learning-munkafolyamatok biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat további cikkeit:

A biztonságos munkaterületek létrehozásáról szóló oktatóanyagért lásd : Oktatóanyag: Biztonságos munkaterület létrehozása vagy oktatóanyag: Biztonságos munkaterület létrehozása sablonnal.

Ebből a cikkből megtudhatja, hogyan védheti meg a következő betanítási számítási erőforrásokat egy virtuális hálózaton:

  • Azure Machine Learning számítási fürt
  • Azure Machine Learning számítási példány
  • Azure Databricks
  • Virtuális gép
  • HDInsight-fürt

Előfeltételek

  • Olvassa el a Hálózatbiztonság áttekintési cikket a gyakori virtuális hálózati forgatókönyvek és az általános virtuális hálózati architektúra megismeréséhez.

  • Egy meglévő virtuális hálózat és alhálózat, amelyet a számítási erőforrásokhoz használhat.

  • Ha erőforrásokat szeretne üzembe helyezni egy virtuális hálózatban vagy alhálózatban, a felhasználói fióknak a következő műveletekhez kell engedélyekkel rendelkeznie az Azure szerepköralapú hozzáférés-vezérlésben (Azure RBAC):

    • "Microsoft.Network/virtualNetworks/*/read" a virtuális hálózati erőforráson. Erre az engedélyre nincs szükség az Azure Resource Manager (ARM) sablon üzembe helyezéséhez.
    • "Microsoft.Network/virtualNetworks/subnet/join/action" az alhálózati erőforráson.

    További információ a hálózatkezeléssel rendelkező Azure RBAC-ről: Hálózatkezelés beépített szerepkörei

Azure Machine Learning számítási fürt/példány

  • A számítási fürtök és példányok a következő erőforrásokat hozzák létre. Ha nem tudják létrehozni ezeket az erőforrásokat (például ha erőforrás-zárolás van az erőforráscsoporton), akkor a létrehozás, a vertikális felskálázás vagy a vertikális felskálázás meghiúsulhat.

    • IP-cím.
    • Hálózati biztonsági csoport (NSG).
    • Terheléselosztó.
  • A virtuális hálózatnak ugyanabban az előfizetésben kell lennie, mint az Azure Machine Learning-munkaterületnek.

  • A számítási példányhoz vagy fürthöz használt alhálózatnak elegendő hozzárendeletlen IP-címmel kell rendelkeznie.

    • A számítási fürtök dinamikusan méretezhetők. Ha nincs elég hozzárendeletlen IP-cím, a rendszer részben lefoglalja a fürtöt.
    • Egy számítási példányhoz csak egy IP-cím szükséges.
  • Ha nyilvános IP-cím (előzetes verziójú funkció) nélkül szeretne számítási fürtöt vagy példányt létrehozni, a munkaterületnek privát végpontot kell használnia a virtuális hálózathoz való csatlakozáshoz. További információ: Privát végpont konfigurálása az Azure Machine Learning-munkaterülethez.

  • Ha a forgalom korlátozásával szeretné biztonságossá tenni a virtuális hálózatot, tekintse meg a Kötelező nyilvános internet-hozzáférés szakaszt.

  • A számítási fürt/példány üzembe helyezéséhez használt alhálózatot nem szabad más szolgáltatáshoz delegálni. Például nem szabad delegálni az ACI-hez.

Azure Databricks

  • A virtuális hálózatnak ugyanabban az előfizetésben és régióban kell lennie, mint az Azure Machine Learning-munkaterületnek.
  • Ha a munkaterületHez tartozó Azure Storage-fiók(ok) egy virtuális hálózatban is védettek, akkor ugyanabban a virtuális hálózatban kell lenniük, mint az Azure Databricks-fürt.

Korlátozások

Azure Machine Learning számítási fürt/példány

  • Ha több számítási példányt vagy fürtöt helyez egy virtuális hálózatba, előfordulhat, hogy egy vagy több erőforráshoz kvótanövelést kell kérnie. A Machine Learning számítási példánya vagy fürtje automatikusan lefoglalja a hálózati erőforrásokat a virtuális hálózatot tartalmazó erőforráscsoportban. A szolgáltatás minden számítási példányhoz vagy fürthöz a következő erőforrásokat foglalja le:

    • Egy hálózati biztonsági csoport (NSG). Ez az NSG a következő szabályokat tartalmazza, amelyek a számítási fürtre és a számítási példányra vonatkoznak:

      Fontos

      A számítási példány és a számítási fürt automatikusan létrehoz egy NSG-t a szükséges szabályokkal.

      Ha egy másik NSG-vel rendelkezik az alhálózat szintjén, az alhálózati szintű NSG szabályai nem ütköznek az automatikusan létrehozott NSG szabályaival.

      Az NSG-k a hálózati forgalom szűrésének módját a hálózati biztonsági csoportok hálózati forgalmának szűrésével foglalkozó témakörben tekinthetik meg.

      • Engedélyezze a bejövő TCP-forgalmat a 29876-29877-ös portokon a BatchNodeManagement szolgáltatáscímkéből.
      • Engedélyezze a bejövő TCP-forgalmat a 44224-s porton a AzureMachineLearning szolgáltatáscímkéből.

      Az alábbi képernyőképen egy példa látható ezekre a szabályokra:

      Képernyőkép az NSG-ről

      Tipp

      Ha a számítási fürt vagy a példány nem használ nyilvános IP-címet (előzetes verziójú funkciót), ezekre a bejövő NSG-szabályokra nincs szükség.

    • Számítási fürt vagy példány esetében most már eltávolítható a nyilvános IP-cím (előzetes verziójú funkció). Ha Azure Policy hozzárendelések tiltják a nyilvános IP-cím létrehozását, akkor a számítási fürt vagy példány üzembe helyezése sikeres lesz.

    • Egy terheléselosztó

    A számítási fürtök esetében ezek az erőforrások minden alkalommal törlődnek, amikor a fürt 0 csomópontra skálázható le, és a vertikális felskálázáskor jön létre.

    A számítási példányok esetében ezeket az erőforrásokat a rendszer a példány törléséig megőrzi. A példány leállítása nem távolítja el az erőforrásokat.

    Fontos

    Ezekre az erőforrásokra az előfizetésben meghatározott erőforráskvóták vonatkoznak. Ha a virtuális hálózati erőforráscsoport zárolva van, a számítási fürt/példány törlése sikertelen lesz. A terheléselosztó csak a számítási fürt/példány törléséig törölhető. Győződjön meg arról is, hogy nincs olyan Azure Policy hozzárendelés, amely tiltaná a hálózati biztonsági csoportok létrehozását.

  • Ha létrehoz egy számítási példányt, és nem szeretne nyilvános IP-címkonfigurációt használni, az Azure Machine Learning-munkaterület felügyelt identitásához hozzá kell rendelni a munkaterületet tartalmazó virtuális hálózat Olvasó szerepkörét. A szerepkörök hozzárendelésével kapcsolatos további információkért tekintse meg az Azure-szerepkörök hozzárendelésének lépéseit.

  • Ha Azure Container Registry konfigurált a virtuális hálózat mögötti munkaterülethez, a Docker-rendszerképek létrehozásához számítási fürtöt kell használnia. Ha nyilvános IP-cím nélküli számítási fürtöt használ, meg kell adnia valamilyen módszert a fürt számára a nyilvános internet eléréséhez. Internet-hozzáférésre van szükség a Microsoft Container Registryben tárolt képek, a Pypi-ra, a Condára stb. telepített csomagok eléréséhez. További információ: Azure Container Registry engedélyezése.

  • Ha a munkaterületHez tartozó Azure Storage-fiókok szintén a virtuális hálózaton találhatók, használja az alábbi, az alhálózatra vonatkozó korlátozásokkal kapcsolatos útmutatást:

    • Ha az Azure Machine Learning Studiót tervezi adatok megjelenítésére vagy tervező használatára, a tárfióknak ugyanabban az alhálózatban kell lennie, mint a számítási példány vagy a fürt.
    • Ha az SDK-t tervezi használni, a tárfiók egy másik alhálózatban is lehet.

    Megjegyzés

    Ha hozzáad egy erőforráspéldányt a munkaterülethez, vagy bejelöli a "Megbízható Microsoft-szolgáltatások hozzáférésének engedélyezése ehhez a fiókhoz" jelölőnégyzetet, az nem elegendő a számításból történő kommunikáció engedélyezéséhez.

  • Ha a munkaterület privát végpontot használ, a számítási példány csak a virtuális hálózaton belülről érhető el. Ha egyéni DNS- vagy gazdagépfájlt használ, adjon hozzá egy bejegyzést a következőhöz <instance-name>.<region>.instances.azureml.ms: . A bejegyzés leképezése a munkaterület privát végpontjának privát IP-címére. További információt az egyéni DNS-cikkben talál.

  • A virtuális hálózati szolgáltatásvégpont-szabályzatok nem működnek a számítási fürt/példány rendszer tárfiókjainál.

  • Ha a tár- és számítási példány különböző régiókban található, időszakos időtúllépések jelenhetnek meg.

  • Ha a munkaterület Azure Container Registry privát végponttal csatlakozik a virtuális hálózathoz, nem használhat felügyelt identitást a számítási példányhoz. Ha felügyelt identitást szeretne használni a számítási példánnyal, ne helyezze a tárolóregisztrációs adatbázist a virtuális hálózatba.

  • Ha Jupyter Notebookokat szeretne használni egy számítási példányon:

    • Ne tiltsa le a websocket-kommunikációt. Győződjön meg arról, hogy a hálózat engedélyezi a websocket és a *.instances.azureml.net*.instances.azureml.ms.
    • Győződjön meg arról, hogy a jegyzetfüzet az adatokkal azonos virtuális hálózat és alhálózat mögött található számítási erőforráson fut. A számítási példány létrehozásakor a Speciális beállítások>A virtuális hálózat konfigurálása lehetőség használatával válassza ki a hálózatot és az alhálózatot.
  • A számítási fürtök a munkaterületen kívül más régióban is létrehozhatók. Ez a funkció előzetes verzióban érhető el, és csak számítási fürtökhöz érhető el, számítási példányokhoz nem. Ha másik régiót használ a fürthöz, a következő korlátozások érvényesek:

    • Ha a munkaterülethez társított erőforrások, például a tároló más virtuális hálózaton vannak, mint a fürt, állítson be globális virtuális hálózatok közötti társviszonyt a hálózatok között. További információ: Virtuális hálózatok közötti társviszony-létesítés.
    • Nagyobb hálózati késést és adatátviteli költségeket tapasztalhat. A késés és a költségek a fürt létrehozásakor és a feladatok futtatásakor fordulhatnak elő.

    Az olyan útmutatók, mint az NSG-szabályok, a felhasználó által megadott útvonalak és a bemeneti/kimeneti követelmények, a szokásos módon érvényesek, ha a munkaterületétől eltérő régiót használnak.

    Figyelmeztetés

    Ha privát végponttal kompatibilis munkaterületet használ, a fürt létrehozása egy másik régióban nem támogatott.

  • Az Azure Machine Learning-munkaterületek kimenő hozzáférést igényelnek storage.<region>/*.blob.core.windows.net a nyilvános interneten, ahol <region> a munkaterület Azure-régiója található. Ezt a kimenő hozzáférést az Azure Machine Learning számítási fürtje és számítási példánya igényli. Mindkettő Azure Batch alapul, és a nyilvános hálózaton Azure Batch által biztosított tárfiókhoz kell hozzáférnie.

    A szolgáltatásvégpont-szabályzat használatával elháríthatja ezt a biztonsági rést. Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. További információkért tekintse meg az Azure Machine Learning adatkiszivárgás-megelőzési cikkét .

Azure Databricks

  • Az Azure Databricks által használt databricks-private és databricks-public alhálózatok mellett a virtuális hálózathoz létrehozott alapértelmezett alhálózatra is szükség van.
  • Az Azure Databricks nem használ privát végpontot a virtuális hálózattal való kommunikációhoz.

Az Azure Databricks virtuális hálózaton való használatával kapcsolatos további információkért lásd: Az Azure Databricks üzembe helyezése az Azure Virtual Network.

Azure HDInsight vagy virtuális gép

  • Az Azure Machine Learning csak az Ubuntu rendszerű virtuális gépeket támogatja.

Szükséges nyilvános internet-hozzáférés

Az Azure Machine Learningnek bejövő és kimenő hozzáférést kell biztosítani a nyilvános internethez. Az alábbi táblázatok áttekintést nyújtanak arról, hogy milyen hozzáférésre van szükség, és mire szolgál. Az összes elem protokollja a TCP. A végződésű .regionszolgáltatáscímkék esetében cserélje le region a munkaterületet tartalmazó Azure-régióra. Például Storage.westus:

Irány Portok Szolgáltatáscímke Cél
Bejövő 29876-29877 BatchNodeManagement Azure Machine Learning számítási példány és számítási fürt létrehozása, frissítése és törlése. Nem szükséges, ha a Nem nyilvános IP-címet választja.
Bejövő 44224 AzureMachineLearning Azure Machine Learning számítási példány létrehozása, frissítése és törlése. Nem szükséges, ha a Nem nyilvános IP-címet választja.
Kimenő 80, 443 AzureActiveDirectory Hitelesítés Azure AD használatával.
Kimenő 443, 8787, 18881 AzureMachineLearning Az Azure Machine Learning-szolgáltatások használata.
Kimenő 443 AzureResourceManager Azure-erőforrások létrehozása az Azure Machine Learninggel.
Kimenő 443, 445 (*) Storage.region Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. Ez a kimenő adatkiszivárgás használható. További információ: Adatkiszivárgás elleni védelem.
(*) A 445-ös verzióra csak akkor van szükség, ha tűzfallal rendelkezik az Azure ML virtuális hálózata és a tárfiókok privát végpontja között.
Kimenő 443 AzureFrontDoor.FrontEnd
* Nem szükséges az Azure China-ban.
A Azure Machine Learning stúdió globális belépési pontja. Képek és környezetek tárolása az AutoML-hez.
Kimenő 443 MicrosoftContainerRegistry.region
Vegye figyelembe , hogy ez a címke függőségi viszonyban van az AzureFrontDoor.FirstParty címkével
A Microsoft által biztosított Docker-rendszerképek elérése. Az Azure Machine Learning-útválasztó beállítása Azure Kubernetes Service.
Kimenő 443 AzureMonitor Az App Insights és az Azure Monitor monitorozásának és metrikáinak naplózására szolgál.
Kimenő 443 Keyvault.region A Azure Batch szolgáltatás kulcstartójának elérése. Csak akkor szükséges, ha a munkaterület úgy lett létrehozva , hogy engedélyezve van a hbi_workspace jelző.

Tipp

Ha a szolgáltatáscímkék helyett az IP-címekre van szüksége, használja az alábbi lehetőségek egyikét:

Az IP-címek időnként változhatnak.

Fontos

Ha olyan számítási fürtöt használ, amely nincs nyilvános IP-címre konfigurálva, engedélyeznie kell a következő forgalmat:

  • Bejövő forgalom a VirtualNetwork forrásától és bármely portforrástól a VirtualNetwork célhelyére, valamint a 29876-os, 29877-ös célportig.
  • Bejövő forgalom az AzureLoadBalancer forrásból és bármely portforrásból a VirtualNetwork célhelyre és a 44224-s port célhelyére.

Előfordulhat, hogy a gépi tanulási projekthez szükséges csomagok telepítéséhez engedélyeznie kell a Visual Studio Code-ba és a nem Microsoft-webhelyekre irányuló kimenő forgalmat is. Az alábbi táblázat a gépi tanuláshoz gyakran használt adattárakat sorolja fel:

Állomásnév Cél

anaconda.com *.anaconda.com
Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org Az adattáradatok lekérésére szolgál.
pypi.org Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet nem írja felül a felhasználói beállítások. Ha az index felül van írva, engedélyeznie kell a *.pythonhosted.org is.
cloud.r-project.org A CRAN-csomagok R-fejlesztéshez való telepítésekor használatos.
*pytorch.org A PyTorchon alapuló példák használják.
*.tensorflow.org A Tensorflow-n alapuló néhány példa használja.
code.visualstudio.com A VS Code asztali verziójának letöltéséhez és telepítéséhez szükséges. Ez a VS Code Web esetében nem szükséges.

update.code.visualstudio.com *.vo.msecnd.net
A számítási példányra telepített VS Code-kiszolgáló bitjeinek lekérésére szolgál egy telepítési szkripttel.

marketplace.visualstudio.com
vscode.blob.core.windows.net *.gallerycdn.vsassets.io
A VS Code-bővítmények letöltéséhez és telepítéséhez szükséges. Ezek lehetővé teszik a TÁVOLI kapcsolatot a VS Code-hoz készült Azure ML-bővítmény által biztosított számítási példányokkal. További információt a Visual Studio Code-ban, az Azure Machine Learning számítási példányhoz való csatlakozást ismertető cikkben talál.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* A számítási példányra telepített websocket-kiszolgálói bitek lekérésére szolgál. A websocket-kiszolgáló a Visual Studio Code-ügyfél (asztali alkalmazás) kéréseinek a számítási példányon futó Visual Studio Code-kiszolgálóra való továbbítására szolgál.

Az Azure Kubernetes Service (AKS) Azure Machine Learninggel való használatakor engedélyezze a következő forgalmat az AKS virtuális hálózatra:

Tűzfalmegoldás használatával kapcsolatos információkért lásd: Tűzfal használata az Azure Machine Learninggel.

Számítási fürtök

Számítási fürt létrehozásához kövesse az alábbi lépéseket a Azure Machine Learning stúdió:

  1. Jelentkezzen be a Azure Machine Learning stúdió, majd válassza ki az előfizetését és a munkaterületét.

  2. Válassza a bal oldalon a Számítás lehetőséget, középről a Számítási fürtöket , majd az + Új lehetőséget.

    Fürt létrehozásának képernyőképe

  3. A Számítási fürt létrehozása párbeszédpanelen válassza ki a szükséges virtuálisgép-méretet és konfigurációt, majd válassza a Tovább gombot.

    Képernyőkép a virtuális gép konfigurációjának beállításáról

  4. A Beállítások konfigurálása szakaszban adja meg a számítás nevét, a virtuális hálózatot és az alhálózatot.

    Képernyőkép a számítási név, a virtuális hálózat és az alhálózat beállításával.

    Tipp

    Ha a munkaterület privát végpontot használ a virtuális hálózathoz való csatlakozáshoz, a virtuális hálózat kiválasztási mezője szürkén látható.

  5. Válassza a Létrehozás lehetőséget a számítási fürt létrehozásához.

Amikor a létrehozási folyamat befejeződik, betanítja a modellt a fürt használatával egy kísérletben.

Megjegyzés

Dönthet úgy, hogy alacsony prioritású virtuális gépeket használ a számítási feladatok egy részének vagy mindegyikének futtatásához. Tekintse meg, hogyan hozhat létre alacsony prioritású virtuális gépet.

Nincs nyilvános IP-cím a számítási fürtökhöz (előzetes verzió)

Ha engedélyezi a Nincs nyilvános IP-címet, a számítási fürt nem használ nyilvános IP-címet a függőségekkel való kommunikációhoz. Ehelyett kizárólag a virtuális hálózaton belül kommunikál Azure Private Link ökoszisztémával és szolgáltatás-/privát végpontokkal, így nincs szükség nyilvános IP-címre. Egyetlen nyilvános IP-cím sem távolítja el a számítási fürtcsomópontok internetről való hozzáférését és felderíthetőségét, így kiküszöböli a jelentős fenyegetésvektort. A nyilvános IP-fürtök nem segítenek megfelelni a sok vállalat által alkalmazott nyilvános IP-szabályzatoknak.

A nyilvános IP-címmel nem rendelkező számítási fürtök nem igényelnek bejövő kommunikációs követelményeket a nyilvános internetről. Konkrétan egyik bejövő NSG-szabály (BatchNodeManagement, AzureMachineLearning) sem szükséges. Továbbra is engedélyeznie kell a bejövő forgalmat a VirtualNetwork forrásából és bármely portforrásból a VirtualNetwork célhelyére, valamint a 29876-os, 29877-ös célportra, valamint az AzureLoadBalancer forrásból bejövő és bármely portforrásból a VirtualNetwork célhelyre és a 44224-ös portra.

Figyelmeztetés

Alapértelmezés szerint nem rendelkezik nyilvános internet-hozzáféréssel a Nem nyilvános IP-alapú számítási fürtről. Ez megakadályozza a szükséges erőforrások, például az Azure Active Directory, az Azure Resource Manager, a Microsoft Container Registry és más kimenő erőforrások kimenő elérését a Kötelező nyilvános internet-hozzáférés szakaszban felsoroltak szerint. Vagy nem Microsoft-erőforrásokra, például Pypi- vagy Conda-adattárakra. A probléma megoldásához konfigurálnia kell a felhasználó által megadott útválasztást (UDR) úgy, hogy egy nyilvános IP-címet érjen el az internet eléréséhez. Használhatja például a tűzfal nyilvános IP-címét, vagy használhatja Virtual Network NAT-ot nyilvános IP-címmel.

Egyetlen nyilvános IP-fürt sem függ az Azure Machine Learning-munkaterület Azure Private Link. A nyilvános IP-cím nélküli számítási fürtök esetében a privát végpontok hálózati házirendjeinek és a privát kapcsolati szolgáltatás hálózati házirendjeinek letiltására is szükség van. Ezek a követelmények az Azure Private Link szolgáltatásból és privát végpontokból származnak, és nem azure Machine Learning-specifikusak. A paraméterek és a virtuális hálózat alhálózatának beállításához kövesse Private Link szolgáltatás hálózati szabályzatainakdisable-private-endpoint-network-policiesdisable-private-link-service-network-policies letiltása című témakör utasításait.

Ahhoz, hogy a kimenő kapcsolatok működjenek, be kell állítania egy kimenő tűzfalat, például az Azure Firewallt felhasználó által megadott útvonalakkal. Használhat például egy bejövő/kimenő konfigurációval beállított tűzfalat, és oda irányíthatja a forgalmat, ha meghatároz egy útvonaltáblát azon az alhálózaton, amelyen a számítási fürt üzembe van helyezve. Az útvonaltábla bejegyzése beállíthatja a tűzfal magánhálózati IP-címének következő ugrását a 0.0.0.0/0 címelőtaggal.

Használhat szolgáltatásvégpontot vagy privát végpontot az Azure Container Registryhez és az Azure Storage-hoz abban az alhálózatban, amelyben a fürt üzembe van helyezve.

Ha nem szeretne nyilvános IP-cím számítási fürtöt (előzetes verziójú funkciót) létrehozni a studióban, a Virtuális hálózat szakaszban állítsa be a Nincs nyilvános IP-cím jelölőnégyzetet. Arm-sablonnal nem hozhat létre nyilvános IP-alapú számítási fürtöt. Az ARM-sablonkészletben engedélyezze aNodePublicIP paraméter hamis értékét.

Megjegyzés

A nyilvános IP-címek nélküli számítási példányok támogatása jelenleg elérhető és nyilvános előzetes verzióban érhető el a következő régiókban: Közép-Franciaország, Kelet-Ázsia, USA nyugati középső régiója, USA déli középső régiója, USA 2. nyugati régiója, USA 2. keleti régiója, USA 2. keleti régiója, Észak-Európa, Nyugat-Európa, USA középső régiója, USA északi középső régiója, USA nyugati régiója, Ausztrália keleti régiója, Kelet-Japán, Nyugat-Japán.

A nyilvános IP-címekkel nem rendelkező számítási fürtök támogatása jelenleg elérhető és nyilvános előzetes verzióban érhető el a következő régiókban: Közép-Franciaország, Kelet-Ázsia, USA nyugati középső régiója, USA déli középső régiója, USA 2. nyugati régiója, USA keleti régiója, Észak-Európa, USA 2. keleti régiója, USA középső régiója, Nyugat-Európa, USA északi középső régiója, USA nyugati régiója, Ausztrália keleti régiója, Kelet-Japán, Nyugat-Japán.

Hibaelhárítás

  • Ha ez a hibaüzenet a fürt The specified subnet has PrivateLinkServiceNetworkPolicies or PrivateEndpointNetworkEndpoints enabledlétrehozásakor jelenik meg, kövesse Private Link szolgáltatás hálózati házirendjeinek letiltása és a privát végpont hálózati házirendjeinek letiltása című témakör utasításait.

  • Ha a feladat végrehajtása az ACR-hez vagy az Azure Storage-hoz való kapcsolódással meghiúsul, ellenőrizze, hogy az ügyfél hozzáadta-e az ACR-t és az Azure Storage szolgáltatásvégpontot/privát végpontokat az alhálózathoz, és az ACR/Azure Storage lehetővé teszi-e a hozzáférést az alhálózatról.

  • Ha meg szeretne győződni arról, hogy nem hozott létre nyilvános IP-fürtöt, a Studióban a fürt részleteinek megtekintésekor azt fogja látni, hogy a Nyilvános IP-cím tulajdonság értéketrue (igaz ) értékre van állítva az erőforrás tulajdonságai között.

Számítási példány

A virtuális hálózaton üzembe helyezett számítási példányok létrehozásának lépéseiért lásd: Azure Machine Learning számítási példány létrehozása és kezelése.

Nincs nyilvános IP-cím a számítási példányokhoz (előzetes verzió)

Ha engedélyezi a Nincs nyilvános IP-címet, a számítási példány nem használ nyilvános IP-címet a függőségekkel való kommunikációhoz. Ehelyett kizárólag a virtuális hálózaton belül kommunikál Azure Private Link ökoszisztémával és szolgáltatás-/privát végpontokkal, így nincs szükség nyilvános IP-címre. Egyetlen nyilvános IP-cím sem távolítja el a számításipéldány-csomópont internetről való elérését és felderíthetőségét, így kiküszöböli a jelentős fenyegetésvektort. A számítási példányok csomagszűrést is végeznek, hogy elutasítsa a virtuális hálózaton kívülről érkező forgalmat. Egyetlen nyilvános IP-példány sem függ az Azure Machine Learning-munkaterület Azure Private Link.

Figyelmeztetés

Alapértelmezés szerint nem rendelkezik nyilvános internet-hozzáféréssel egyetlen nyilvános IP-alapú számítási példányról sem. Konfigurálnia kell a felhasználó által definiált útválasztást (UDR) úgy, hogy egy nyilvános IP-címet érjen el az internet eléréséhez. Használhatja például a tűzfal nyilvános IP-címét, vagy használhatja Virtual Network NAT-ot nyilvános IP-címmel. Pontosabban hozzá kell férnie az Azure Active Directoryhoz, az Azure Resource Manager-hoz, a Microsoft Container Registryhez és más kimenő erőforrásokhoz a Kötelező nyilvános internet-hozzáférés szakaszban leírtak szerint. Előfordulhat, hogy kimenő hozzáférésre van szüksége nem Microsoft-erőforrásokhoz, például Pypi- vagy Conda-adattárakhoz.

Ahhoz, hogy a kimenő kapcsolatok működjenek, be kell állítania egy kimenő tűzfalat, például az Azure Firewallt felhasználó által megadott útvonalakkal. Használhat például egy bejövő/kimenő konfigurációval beállított tűzfalat, és oda irányíthatja a forgalmat egy útvonaltábla meghatározásával azon az alhálózaton, amelyben a számítási példány üzembe van helyezve. Az útvonaltábla bejegyzése beállíthatja a tűzfal magánhálózati IP-címének következő ugrását a 0.0.0.0/0 címelőtaggal.

A nyilvános IP-cím nélküli számítási példányok nem igényelnek bejövő kommunikációs követelményeket a nyilvános internetről. Konkrétan egyik bejövő NSG-szabály (BatchNodeManagement, AzureMachineLearning) sem szükséges. Továbbra is engedélyeznie kell a bejövő forgalmat a VirtualNetwork forrásából, bármely portforrásból, a VirtualNetwork célhelyéről és a 29876-os, 29877-ös, 44224-s célportból.

A nyilvános IP-cím nélküli számítási példányok esetében a privát végpont hálózati házirendjeinek és a privát kapcsolati szolgáltatás hálózati házirendjeinek letiltására is szükség van. Ezek a követelmények az Azure Private Link szolgáltatásból és privát végpontokból származnak, és nem azure Machine Learning-specifikusak. A paraméterek és a virtuális hálózat alhálózatának beállításához kövesse Private Link szolgáltatás forrás IP-címének hálózati szabályzatainakdisable-private-endpoint-network-policiesdisable-private-link-service-network-policies letiltása című témakör utasításait.

Ha nem szeretne nyilvános IP-cím számítási példányt (előzetes verziójú funkciót) létrehozni a studióban, állítsa be a Nincs nyilvános IP-cím jelölőnégyzetet a virtuális hálózat szakaszban. ARM-sablonnal nem hozhat létre nyilvános IP-alapú számítási példányt. Az ARM-sablonkészletben engedélyezze aNodePublicIP paraméter hamis értékét.

Következő lépések:

Megjegyzés

A nyilvános IP-címmel nem rendelkező számítási példányok támogatása jelenleg elérhető és nyilvános előzetes verzióban a következő régiókban érhető el: Közép-Franciaország, Kelet-Ázsia, USA nyugati középső régiója, USA déli középső régiója, USA 2. nyugati régiója, USA 2. keleti régiója, Észak-Európa, Nyugat-Európa, USA középső régiója, USA északi középső régiója, USA nyugati régiója, Ausztrália keleti régiója, Kelet-Japán, Nyugat-Japán.

A nyilvános IP-címekkel nem rendelkező számítási fürtök támogatása jelenleg elérhető és nyilvános előzetes verzióban érhető el a következő régiókban: Közép-Franciaország, Kelet-Ázsia, USA nyugati középső régiója, USA déli középső régiója, USA 2. nyugati régiója, USA keleti régiója, Észak-Európa, USA 2. keleti régiója, USA középső régiója, Nyugat-Európa, USA északi középső régiója, USA nyugati régiója, Kelet-Japán, Kelet-Japán.

Bejövő forgalom

Az Azure Machine Learning számítási példányának (nyilvános IP-címmel) vagy számítási fürtnek a használatakor engedélyezze a bejövő forgalmat Azure Batch felügyeleti és Azure Machine Learning-szolgáltatásokból. A nyilvános IP-címmel (előzetes verzió) nem rendelkező számítási példányhoz nincs szükség erre a bejövő kommunikációra. A rendszer dinamikusan létrehoz egy hálózati biztonsági csoportot, amely engedélyezi ezt a forgalmat, de tűzfal esetén előfordulhat, hogy felhasználó által definiált útvonalakat (UDR) is létre kell hoznia. Amikor létrehoz egy UDR-t ehhez a forgalomhoz, ip-címeket vagy szolgáltatáscímkéket használhat a forgalom irányításához.

Fontos

A szolgáltatáscímkék felhasználó által megadott útvonalakkal való használata mostantól általánosan elérhető. További információ: Virtual Network útválasztás.

Tipp

Bár egy nyilvános IP-címmel (előzetes verziójú funkcióval) nem rendelkező számítási példánynak nincs szüksége UDR-re ehhez a bejövő forgalomhoz, akkor is szüksége lesz ezekre az UDR-ekre, ha egy számítási fürtöt vagy egy nyilvános IP-címmel rendelkező számítási példányt is használ.

Az Azure Machine Learning szolgáltatáshoz hozzá kell adnia az elsődleges és a másodlagos régiók IP-címét is. A másodlagos régió megkereséséhez tekintse meg a régiók közötti replikációt az Azure-ban. Ha például az Azure Machine Learning szolgáltatás az USA 2. keleti régiójában található, a másodlagos régió az USA középső régiója.

A Batch szolgáltatás és az Azure Machine Learning szolgáltatás IP-címeinek listájának lekéréséhez töltse le az Azure IP-tartományait és szolgáltatáscímkéket , és keresse meg a fájlt BatchNodeManagement.<region> , és AzureMachineLearning.<region>ahol <region> az Azure-régió található.

Fontos

Az IP-címek idővel változhatnak.

Az UDR létrehozásakor állítsa a Következő ugrás típustinternetre. Ez azt jelenti, hogy az Azure bejövő kommunikációja kihagyja a tűzfalat a számítási példány és a számítási fürt nyilvános IP-címeivel rendelkező terheléselosztók eléréséhez. Az UDR azért szükséges, mert a számítási példány és a számítási fürt véletlenszerű nyilvános IP-címeket kap a létrehozáskor, és a létrehozás előtt nem tudhatja a nyilvános IP-címeket, hogy regisztrálja őket a tűzfalon, hogy engedélyezze az Azure-ból a számítási példányhoz és a számítási fürthöz tartozó adott IP-címekre irányuló bejövő forgalmat. Az alábbi képen egy PÉLDA IP-címalapú UDR látható a Azure Portal:

Felhasználó által definiált útvonalkonfiguráció képe

Az UDR konfigurálásával kapcsolatos információkért lásd: Hálózati forgalom átirányítása útválasztási táblával.

Az Azure Machine Learning bemeneti és kimeneti forgalmi követelményeivel kapcsolatos további információkért lásd: Munkaterület használata tűzfal mögött.

Azure Databricks

Az Azure Databricks virtuális hálózattal való használatáról további információt az Azure Databricks Üzembe helyezése az Azure Virtual Network című témakörben talál.

Virtuális gép vagy HDInsight-fürt

Ebben a szakaszban megtudhatja, hogyan használhat virtuális gépet vagy Azure HDInsight-fürtöt egy virtuális hálózatban a munkaterületével.

A virtuális gép vagy a HDInsight-fürt létrehozása

Hozzon létre egy virtuális gépet vagy HDInsight-fürtöt a Azure Portal vagy az Azure CLI használatával, és helyezze a fürtöt egy Azure-beli virtuális hálózatba. További információért tekintse át a következő cikkeket:

Hálózati portok konfigurálása

Engedélyezze az Azure Machine Learning számára a virtuális gép vagy fürt SSH-portjával való kommunikációt, és konfiguráljon egy forrásbejegyzést a hálózati biztonsági csoporthoz. Az SSH-port általában a 22-s port. A forrásból érkező forgalom engedélyezéséhez hajtsa végre a következő műveleteket:

  1. A Forrás legördülő listában válassza a Szolgáltatáscímke lehetőséget.

  2. A Forrásszolgáltatás címke legördülő listájában válassza az AzureMachineLearning lehetőséget.

    Virtuális gépen vagy HDInsight-fürtön végzett kísérletezés bejövő szabályai egy virtuális hálózaton belül

  3. A Forrásporttartományok legördülő listában válassza a *lehetőséget.

  4. A Cél legördülő listában válassza az Any (Bármelyik) lehetőséget.

  5. A Célporttartományok legördülő listában válassza a 22 lehetőséget.

  6. A Protokoll területen válassza az Any (Bármelyik) lehetőséget.

  7. A Művelet területen válassza az Engedélyezés lehetőséget.

Tartsa meg a hálózati biztonsági csoport alapértelmezett kimenő szabályait. További információt a biztonsági csoportok alapértelmezett biztonsági szabályaiban talál.

Ha nem az alapértelmezett kimenő szabályokat szeretné használni, és korlátozni szeretné a virtuális hálózat kimenő hozzáférését, tekintse meg a szükséges nyilvános internet-hozzáférési szakaszt.

A virtuális gép vagy a HDInsight-fürt csatolása

Csatolja a virtuális gépet vagy a HDInsight-fürtöt az Azure Machine Learning-munkaterülethez. További információ: Számítási erőforrások kezelése modellbetanításhoz és üzembe helyezéshez a studióban.

Következő lépések

Ez a cikk az Azure Machine Learning-munkafolyamatok biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat további cikkeit: