Azure Machine Learning-betanítási környezet védelme virtuális hálózatokkal (SDKv1)

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

Ebből a cikkből megtudhatja, hogyan védheti meg a betanítási környezeteket egy virtuális hálózattal az Azure Machine Learningben a Python SDK v1 használatával.

Az Azure Machine Learning számítási példánya és számítási fürtje segítségével biztonságosan taníthat be modelleket egy virtuális hálózaton. A környezet tervezésekor konfigurálhatja a számítási példányt/fürtöt nyilvános IP-címmel vagy anélkül. A kettő közötti általános különbségek a következők:

• Nincs nyilvános IP-cím: Csökkenti a költségeket, mivel nem rendelkezik ugyanazokkal a hálózati erőforrás-követelményekkel. Javítja a biztonságot azáltal, hogy eltávolítja az internetről érkező bejövő forgalomra vonatkozó követelményt. A szükséges erőforrásokhoz (Microsoft Entra ID, Azure Resource Manager stb.) való kimenő hozzáférés engedélyezéséhez azonban további konfigurációmódosítások szükségesek.
• Nyilvános IP-cím: Alapértelmezés szerint működik, de további Azure-hálózati erőforrások miatt többe kerül. Bejövő kommunikációt igényel az Azure Machine Learning szolgáltatástól a nyilvános interneten keresztül.

Az alábbi táblázat a konfigurációk közötti különbségeket tartalmazza:

Konfiguráció	Nyilvános IP-címmel	Nyilvános IP-cím nélkül
Bejövő forgalom	AzureMachineLearning szolgáltatáscímke.	Egyik sem
Kimenő forgalom	Alapértelmezés szerint korlátozás nélkül elérheti a nyilvános internetet. A hálózati biztonsági csoport vagy tűzfal használatával korlátozhatja, hogy mit ér el.	Alapértelmezés szerint nem fér hozzá az internethez. Ha továbbra is képes kimenő forgalmat küldeni az internetre, annak oka az Azure alapértelmezett kimenő hozzáférése , és van egy NSG, amely lehetővé teszi a kimenő forgalmat az internetre. Nem javasoljuk az alapértelmezett kimenő hozzáférés használatát. Ha kimenő internet-hozzáférésre van szüksége, javasoljuk, hogy inkább virtuális hálózati NAT-átjárót vagy tűzfalat használjon, ha a kimenő forgalmat a szükséges internetes erőforrásokhoz kell irányítania.
Azure-beli hálózati erőforrások	Nyilvános IP-cím, terheléselosztó, hálózati adapter	Egyik sem

Az Azure Databricks vagy a HDInsight használatával modelleket taníthat be egy virtuális hálózaton.

Tipp.

A cikkben ismertetett lépések helyett használhatja az Azure Machine Learning által felügyelt virtuális hálózatokat . Felügyelt virtuális hálózat esetén az Azure Machine Learning kezeli a munkaterület és a felügyelt számítások hálózati elkülönítésének feladatát. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.

Feljegyzés

Az Azure Machine Learning Studio és a Python SDK v2 használatáról további információt a Biztonságos betanítási környezet (v2) című témakörben talál.

A biztonságos munkaterületek létrehozásáról szóló oktatóanyagért lásd : Biztonságos munkaterület létrehozása az Azure Portalon, Bicep-sablon vagy Terraform-sablon.

Ebből a cikkből megtudhatja, hogyan védheti meg a következő betanítási számítási erőforrásokat egy virtuális hálózaton:

• Azure Machine Learning számítási fürt
• Azure Machine Learning számítási példány
• Azure Databricks
• Virtuális gép
• HDInsight-fürt

Fontos

A cikkben "előzetes verzióként" megjelölt elemek jelenleg nyilvános előzetes verzióban érhetők el. Az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

• Olvassa el a Hálózatbiztonság áttekintési cikket a gyakori virtuális hálózati forgatókönyvek és az általános virtuális hálózati architektúra megismeréséhez.

• A számítási erőforrásokhoz használandó meglévő virtuális hálózat és alhálózat. Ennek a virtuális hálózatnak ugyanabban az előfizetésben kell lennie, mint az Azure Machine Learning-munkaterület.

  • Javasoljuk, hogy a munkaterület és a betanítási feladatok által használt tárfiókokat ugyanabban az Azure-régióban helyezze el, amelyet a számítási példányokhoz és fürtökhöz használni kíván. Ha nem ugyanabban az Azure-régióban vannak, adatátviteli költségekkel és nagyobb hálózati késéssel járhat.
  • Győződjön meg arról, hogy a WebSocket-kommunikáció engedélyezve van az *.instances.azureml.net és az *.instances.azureml.ms felé a virtuális hálózaton. A WebSocketeket a Jupyter használja a számítási példányokon.

• A virtuális hálózat egy meglévő alhálózata. Ez az alhálózat számítási példányok és fürtök létrehozásakor használatos.

  • Győződjön meg arról, hogy az alhálózat nincs delegálva más Azure-szolgáltatásokba.
  • Győződjön meg arról, hogy az alhálózat elegendő ingyenes IP-címet tartalmaz. Minden számítási példányhoz egy IP-cím szükséges. A számítási fürt minden csomópontja egy IP-címet igényel.

• Ha saját DNS-kiszolgálóval rendelkezik, javasoljuk a DNS-továbbítás használatát a számítási példányok és fürtök teljes tartományneveinek (FQDN) feloldásához. További információ: Egyéni DNS használata az Azure Machine Learning használatával.

• Ha erőforrásokat szeretne üzembe helyezni egy virtuális hálózaton vagy alhálózaton, a felhasználói fióknak rendelkeznie kell az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) alábbi műveleteihez szükséges engedélyekkel:

  • "Microsoft.Network/*/read" a virtuális hálózati erőforráson. Erre az engedélyre nincs szükség az Azure Resource Manager-sablontelepítésekhez.
  • "Microsoft.Network/virtualNetworks/join/action" a virtuális hálózati erőforráson.
  • "Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet" az alhálózati erőforráson.

  További információ a hálózatkezeléssel rendelkező Azure RBAC-ről: A hálózatkezelés beépített szerepkörei

Korlátozások

Azure Machine Learning számítási fürt/példány

• A számítási fürtök a munkaterülethez képest más régióban és virtuális hálózaton hozhatók létre. Ez a funkció azonban csak az SDK v2, CLI v2 vagy studio használatával érhető el. További információt a biztonságos betanítási környezetek v2-es verziójában talál.

• A számítási fürt/példány virtuális hálózaton való üzembe helyezése nem támogatott az Azure Lighthouse-ban.

• A 445-ös portot privát hálózati kommunikációhoz meg kell nyitni a számítási példányok és az alapértelmezett tárolófiók között a képzés során. Ha például a számítógépek egy VNetben, a tárolófiók pedig egy másikban van, ne blokkolja a 445-ös portot a tárolófiók VNetjéhez.

Azure Databricks

• A virtuális hálózatnak ugyanabban az előfizetésben és régióban kell lennie, mint az Azure Machine Learning-munkaterületnek.
• Ha a munkaterületHez tartozó Azure Storage-fiók(ok) is védettek egy virtuális hálózaton, akkor azoknak ugyanabban a virtuális hálózaton kell lenniük, mint az Azure Databricks-fürt.
• Az Azure Databricks által használt databricks-private és databricks-public alhálózatok mellett a virtuális hálózathoz létrehozott alapértelmezett alhálózatra is szükség van.
• Az Azure Databricks nem használ privát végpontot a virtuális hálózattal való kommunikációhoz.

Az Azure Databricks virtuális hálózatban való használatáról további információt az Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton című témakörben talál.

Azure HDInsight vagy virtuális gép

• Az Azure Machine Learning csak az Ubuntu rendszerű virtuális gépeket támogatja.

Számítási példány/fürt nyilvános IP-cím nélkül

Fontos

Ha nem nyilvános IP-címre konfigurált számítási példányokat vagy számítási fürtöket használ az előzetes verzió engedélyezése nélkül, 2023. január 20. után törölnie kell és újra létre kell hoznia őket (ha a szolgáltatás általánosan elérhető).

Ha korábban nem használt nyilvános IP-címet, előfordulhat, hogy módosítania kell a bejövő és kimenő forgalmat, mivel az általános rendelkezésre állásra vonatkozó követelmények megváltoztak:

• Kimenő követelmények – Két további kimenő, amelyeket csak számítási példányok és fürtök kezelésére használnak. A szolgáltatáscímkék célhelye a Microsoft tulajdonában van:
  • AzureMachineLearning szolgáltatáscímke az 5831-ös UDP-porton.
  • BatchNodeManagement szolgáltatáscímke a 443-at tartalmazó TCP-porton.

Az előfeltételek szakaszban felsorolt konfigurációk mellett a következő konfigurációk is szerepelnek, amelyek egy nyilvános IP-címre konfigurált számítási példányok/fürtök létrehozására vonatkoznak:

• A virtuális hálózatról származó Azure Machine Learning-szolgáltatásokkal való kommunikációhoz a számítási erőforráshoz egy privát munkaterületi végpontot kell használnia. További információ: Privát végpont konfigurálása az Azure Machine Learning-munkaterülethez.

• A VNet hálózaton engedélyezze a kimenő forgalmat a következő szolgáltatáscímkék vagy teljesen minősített tartománynevek (FQDN) felé:

  Szolgáltatáscímke	Protokoll	Kikötő	Jegyzetek
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Kommunikáció az Azure Machine Learning szolgáltatással.
  BatchNodeManagement.<region>	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal. A számítási példány és a számítási fürt az Azure Batch szolgáltatás segítségével valósul meg.
  Storage.<region>	TCP	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Ez a szolgáltatáscímke az Azure Batch által használt Azure Storage fiókkal való kommunikációra szolgál.

  Fontos

  A kimenő hozzáférés Storage.<region> felhasználható a munkaterületről származó adatok kiszűrésére. Szolgáltatásvégpont-szabályzat használatával enyhítheti ezt a biztonsági rést. További információkért tekintse meg az Azure Machine Learning adatkiszivárgás megelőzéséről szóló cikket.

  FQDN	Protokoll	Kikötő	Jegyzetek
  <region>.tundra.azureml.ms	UDP	5831	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza.
  graph.windows.net	TCP	443	Kommunikáció a Microsoft Graph API-val.
  *.instances.azureml.ms	TCP	443/8787/18881	Kommunikáció az Azure Machine Learning szolgáltatással.
  *.<region>.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.<region>.service.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.blob.core.windows.net	TCP	443	Kommunikáció az Azure Blob tárolóval.
  *.queue.core.windows.net	TCP	443	Kommunikáció az Azure Queue tárolóval.
  *.table.core.windows.net	TCP	443	Kommunikáció az Azure Table tárolóval.

• Hozzon létre tűzfalat és kimenő szabályokat, vagy NAT-átjárót és hálózati szolgáltatáscsoportokat a kimenő forgalom engedélyezéséhez. Mivel a számítás nem rendelkezik nyilvános IP-címmel, ezen konfiguráció nélkül nem tud kommunikálni a nyilvános interneten található erőforrásokkal. Például nem tud kommunikálni a Microsoft Entra-azonosítóval vagy az Azure Resource Managerrel. A Python-csomagok nyilvános forrásokból történő telepítéséhez is szükség lenne erre a konfigurációra.

  Az Azure Machine Learning által használt kimenő forgalommal kapcsolatos további információkért lásd a következő cikkeket:

  • Bejövő és kimenő hálózati forgalom konfigurálása.
  • Az Azure kimenő kapcsolódási módszerei.

Az alábbi információk segítségével hozzon létre egy nyilvános IP-cím nélküli számítási példányt vagy fürtöt:

Ha nyilvános IP-cím nélküli számítási példányt vagy számítási fürtöt szeretne létrehozni, az Azure Machine Learning Studio felhasználói felületével hozza létre az erőforrást:

1. Jelentkezzen be az Azure Machine Learning Studióba, majd válassza ki az előfizetését és a munkaterületét.

2. Válassza ki a Számítás lapot a bal oldali navigációs sávon.

3. Válassza az + Új lehetőséget a számítási példány vagy számítási fürt navigációs sávjáról.

4. Konfigurálja a szükséges virtuális gép méretét és konfigurációját, majd válassza a Tovább gombot.

5. A Speciális beállítások területen válassza a Virtuális hálózat, a virtuális hálózat és az alhálózat engedélyezése lehetőséget, végül pedig a Nem nyilvános IP-címet a VNet/alhálózat szakaszban.

   

Tipp.

Használhatja az Azure Machine Learning SDK v2-t vagy az Azure CLI-bővítményt is az ML v2-hez. A nyilvános IP-cím nélküli számítási példányok vagy fürtök létrehozásáról az Azure Machine Learning betanítási környezetének biztonságossá tételéről szóló cikk 2. verziójában olvashat.

Számítási példány/fürt nyilvános IP-címmel

Az előfeltételek szakaszban felsorolt konfigurációk mellett a következő konfigurációk is szerepelnek, amelyek a nyilvános IP-címekkel rendelkező számítási példányok/fürtök létrehozására vonatkoznak:

• Ha több számítási példányt/fürtöt helyez el egy virtuális hálózatban, előfordulhat, hogy egy vagy több erőforrásra kvótanövelést kell kérnie. A Machine Learning számítási példány vagy -fürt automatikusan lefoglalja a hálózati erőforrásokat a virtuális hálózatot tartalmazó erőforráscsoportban. A szolgáltatás minden számítási példányhoz vagy fürthöz a következő erőforrásokat foglalja le:

  • A rendszer automatikusan létrehoz egy hálózati biztonsági csoportot (NSG). Ez az NSG engedélyezi a bejövő TCP-forgalmat a 44224-s porton a AzureMachineLearning szolgáltatáscímkéről.

    Fontos

    A számítási példány és a számítási fürt automatikusan létrehoz egy NSG-t a szükséges szabályokkal.

    Ha egy másik NSG-vel rendelkezik az alhálózat szintjén, az alhálózati szintű NSG szabályainak nem szabad ütközniük az automatikusan létrehozott NSG szabályaival.

    A hálózati biztonsági csoportok hálózati forgalmának szűréséről a hálózati biztonsági csoportok hogyan szűrik a hálózati forgalmat.

  • Egy terheléselosztó

  A számítási fürtök esetében ezek az erőforrások minden alkalommal törlődnek, amikor a fürt 0 csomópontra skáláz, és felskálázáskor jön létre.

  A számítási példányok esetében ezeket az erőforrásokat a rendszer a példány törléséig megőrzi. A példány leállítása nem távolítja el az erőforrásokat.

  Fontos

  Ezekre az erőforrásokra az előfizetésben meghatározott erőforráskvóták vonatkoznak. Ha a virtuális hálózati erőforráscsoport zárolva van, a számítási fürt/példány törlése sikertelen lesz. A terheléselosztó csak a számítási fürt/példány törléséig törölhető. Győződjön meg arról is, hogy nincs olyan Azure Policy-hozzárendelés, amely tiltaná a hálózati biztonsági csoportok létrehozását.

• A virtuális hálózatban engedélyezze a bejövő TCP-forgalmat a 44224-s porton a AzureMachineLearning szolgáltatáscímkéről.

  Fontos

  A számítási példány/fürt létrehozásakor dinamikusan hozzárendel egy IP-címet. Mivel a cím nem ismert a létrehozás előtt, és a létrehozási folyamat részeként bejövő hozzáférésre van szükség, statikusan nem rendelheti hozzá a tűzfalhoz. Ehelyett, ha tűzfalat használ a virtuális hálózattal, létre kell hoznia egy felhasználó által megadott útvonalat a bejövő forgalom engedélyezéséhez.

• Ha virtuális hálózaton van, engedélyezze a kimenő forgalmat a következő szolgáltatáscímkék felé:

  Szolgáltatáscímke	Protokoll	Kikötő	Jegyzetek
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Kommunikáció az Azure Machine Learning szolgáltatással.
  BatchNodeManagement.<region>	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal. A számítási példány és a számítási fürt az Azure Batch szolgáltatás segítségével valósul meg.
  Storage.<region>	TCP	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Ez a szolgáltatáscímke az Azure Batch által használt Azure Storage fiókkal való kommunikációra szolgál.

  Fontos

  A kimenő hozzáférés Storage.<region> felhasználható a munkaterületről származó adatok kiszűrésére. Szolgáltatásvégpont-szabályzat használatával enyhítheti ezt a biztonsági rést. További információkért tekintse meg az Azure Machine Learning adatkiszivárgás megelőzéséről szóló cikket.

  FQDN	Protokoll	Kikötő	Jegyzetek
  <region>.tundra.azureml.ms	UDP	5831	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza.
  graph.windows.net	TCP	443	Kommunikáció a Microsoft Graph API-val.
  *.instances.azureml.ms	TCP	443/8787/18881	Kommunikáció az Azure Machine Learning szolgáltatással.
  *.<region>.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.<region>.service.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.blob.core.windows.net	TCP	443	Kommunikáció az Azure Blob tárolóval.
  *.queue.core.windows.net	TCP	443	Kommunikáció az Azure Queue tárolóval.
  *.table.core.windows.net	TCP	443	Kommunikáció az Azure Table tárolóval.

Számítási példány

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

import datetime
import time

from azureml.core.compute import ComputeTarget, ComputeInstance
from azureml.core.compute_target import ComputeTargetException

# Choose a name for your instance
# Compute instance name should be unique across the azure region
compute_name = "ci{}".format(ws._workspace_id)[:10]

# Verify that instance does not exist already
try:
    instance = ComputeInstance(workspace=ws, name=compute_name)
    print('Found existing instance, use it.')
except ComputeTargetException:
    compute_config = ComputeInstance.provisioning_configuration(
        vm_size='STANDARD_D3_V2',
        ssh_public_access=False,
        vnet_resourcegroup_name='vnet_resourcegroup_name',
        vnet_name='vnet_name',
        subnet_name='subnet_name',
        # admin_user_ssh_public_key='<my-sshkey>'
    )
    instance = ComputeInstance.create(ws, compute_name, compute_config)
    instance.wait_for_completion(show_output=True)

Számítási fürt

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azureml v1

from azureml.core.compute import ComputeTarget, AmlCompute
from azureml.core.compute_target import ComputeTargetException

# The Azure virtual network name, subnet, and resource group
vnet_name = 'mynetwork'
subnet_name = 'default'
vnet_resourcegroup_name = 'mygroup'

# Choose a name for your CPU cluster
cpu_cluster_name = "cpucluster"

# Verify that cluster does not exist already
try:
    cpu_cluster = ComputeTarget(workspace=ws, name=cpu_cluster_name)
    print("Found existing cpucluster")
except ComputeTargetException:
    print("Creating new cpucluster")

    # Specify the configuration for the new cluster
    compute_config = AmlCompute.provisioning_configuration(vm_size="STANDARD_D2_V2",
                                                           min_nodes=0,
                                                           max_nodes=4,
                                                           location="westus2",
                                                           vnet_resourcegroup_name=vnet_resourcegroup_name,
                                                           vnet_name=vnet_name,
                                                           subnet_name=subnet_name)

    # Create the cluster with the specified name and configuration
    cpu_cluster = ComputeTarget.create(ws, cpu_cluster_name, compute_config)

    # Wait for the cluster to be completed, show the output log
    cpu_cluster.wait_for_completion(show_output=True)

Amikor a létrehozási folyamat befejeződik, betanítja a modellt. További információ: Számítási cél kiválasztása és használata betanításhoz.

Azure Databricks

• A virtuális hálózatnak ugyanabban az előfizetésben és régióban kell lennie, mint az Azure Machine Learning-munkaterületnek.
• Ha a munkaterületHez tartozó Azure Storage-fiók(ok) is védettek egy virtuális hálózaton, akkor azoknak ugyanabban a virtuális hálózaton kell lenniük, mint az Azure Databricks-fürt.
• Az Azure Databricks által használt databricks-private és databricks-public alhálózatok mellett a virtuális hálózathoz létrehozott alapértelmezett alhálózatra is szükség van.
• Az Azure Databricks nem használ privát végpontot a virtuális hálózattal való kommunikációhoz.

Az Azure Databricks virtuális hálózattal való használatáról további információt az Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton című témakörben talál.

A modellek betanítása érdekében szükséges nyilvános internet-hozzáférés

Fontos

Bár a jelen cikk korábbi szakaszai a számítási erőforrások létrehozásához szükséges konfigurációkat ismertetik, az ebben a szakaszban szereplő konfigurációs információk szükségesek ahhoz, hogy ezeket az erőforrásokat a modellek betanítására használják.

Az Azure Machine Learningnek bejövő és kimenő hozzáférést kell biztosítani a nyilvános internethez. Az alábbi táblázatok áttekintést nyújtanak a szükséges hozzáférésről és annak céljáról. A végződő .regionszolgáltatáscímkék esetében cserélje le region a munkaterületet tartalmazó Azure-régióra. Például Storage.westus:

Tipp.

A szükséges lap felsorolja a szükséges bejövő és kimenő konfigurációt. A helyzet lap felsorolja azokat az opcionális bejövő és kimenő konfigurációkat, amelyeket engedélyezni szeretne bizonyos konfigurációkhoz.

Szükséges

Irány	Protokoll > ports	Szolgáltatáscímke	Cél
Kimenő	TCP: 80, 443	AzureActiveDirectory	Hitelesítés Microsoft Entra ID használatával.
Kimenő	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Az Azure Machine Learning-szolgáltatások használata. A python intellisense a jegyzetfüzetekben az 18881-ben használt portot használja. Egy Azure Machine Learning számítási példány létrehozása, frissítése és törlése az 5831-ös portot használja.
Kimenő	BÁRMELY: 443	BatchNodeManagement.region	Kommunikáció az Azure Batch háttérrendszerével az Azure Machine Learning számítási példányaihoz/fürtjeihez.
Kimenő	TCP: 443	AzureResourceManager	Azure-erőforrások létrehozása az Azure Machine Learning, az Azure CLI és az Azure Machine Learning SDK használatával.
Kimenő	TCP: 443	Storage.region	Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál.
Kimenő	TCP: 443	AzureFrontDoor.FrontEnd * Nem szükséges a 21Vianet által üzemeltetett Microsoft Azure-ban.	Az Azure Machine Learning stúdió globális belépési pontja. Képek és környezetek tárolása az AutoML-hez. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál.
Kimenő	TCP: 443	MicrosoftContainerRegistry.region Vegye figyelembe , hogy ez a címke függőségben van a AzureFrontDoor.FirstParty címkén	A Microsoft által biztosított Docker-rendszerképek elérése. Az Azure Machine Learning útválasztó beállítása az Azure Kubernetes Service-hez.

Helyzeti

Irány	Protokoll > ports	Szolgáltatáscímke	Cél
Bejövő	TCP: 44224	AzureMachineLearning	Azure Machine Learning számítási példány/-fürt létrehozása, frissítése és törlése. Kötelező, ha a példány/fürt nyilvános IP-beállítással van konfigurálva.
Kimenő	TCP: 8787	AzureMachineLearning	Az Azure Machine Learning-szolgáltatások használata. Az RStudio használata esetén a 8787-s portra van szükség.
Kimenő	TCP: 445	Storage.region	Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál. A 445 csak akkor szükséges, ha tűzfal van az Azure ML virtuális hálózata és a tárfiókok privát végpontja között.
Kimenő	TCP: 443	AzureMonitor	A monitorozás és a metrikák naplózására szolgál az App Insightsban és az Azure Monitorban. Csak akkor van szükség, ha nem biztosította az Azure Monitort a munkaterülethez. * Ez a kimenő szolgáltatás a támogatási incidensek adatainak naplózására is használható.
Kimenő	TCP: 443	Keyvault.region	Az Azure Batch szolgáltatás kulcstartójának elérése. Csak akkor van szükség, ha engedélyezte a hbi_workspace jelzőt a munkaterület létrehozásakor.

Tipp.

Ha a szolgáltatáscímkék helyett az IP-címekre van szüksége, használja az alábbi lehetőségek egyikét:

• Töltsön le egy listát az Azure IP-tartományokból és szolgáltatáscímkékből.
• Használja az Azure CLI az network list-service-tags parancsot.
• Használja az Azure PowerShell Get-AzNetworkServiceTag parancsot.

Az IP-címek rendszeresen változhatnak.

Előfordulhat, hogy engedélyeznie kell a Visual Studio Code-ba és nem Microsoft-webhelyekre irányuló kimenő forgalmat a gépi tanulási projekt által igényelt csomagok telepítéséhez. Az alábbi táblázat a gépi tanuláshoz gyakran használt adattárakat sorolja fel:

Gazdagép neve	Cél
anaconda.com *.anaconda.com	Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org	Adattáradatok lekérésére szolgál.
pypi.org	Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet a felhasználói beállítások nem írják felül. Ha az index felülírva van, engedélyeznie *.pythonhosted.orgkell azt is.
cloud.r-project.org	CRAN-csomagok R-fejlesztéshez való telepítésekor használatos.
*.pytorch.org	Néhány példa a PyTorch alapján használja.
*.tensorflow.org	A Tensorflow alapján néhány példa használja.
code.visualstudio.com	A Visual Studio Code asztali verziójának letöltéséhez és telepítéséhez szükséges. Ez a Visual Studio Code Web esetében nem szükséges.
update.code.visualstudio.com *.vo.msecnd.net	A számítási példányra telepített Visual Studio Code-kiszolgáló bitjeinek lekérésére szolgál egy beállítási szkripten keresztül.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	A Visual Studio Code-bővítmények letöltéséhez és telepítéséhez szükséges. Ezek a gazdagépek engedélyezik a Visual Studio Code Azure ML-bővítménye által biztosított számítási példányokhoz való távoli kapcsolatot. További információ: Csatlakozás Azure Machine Learning számítási példányokhoz a Visual Studio Code-ban.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	A számítási példányra telepített websocket-kiszolgáló bitjeinek lekérésére szolgál. A websocket-kiszolgáló kéréseket továbbít a Visual Studio Code-ügyféltől (asztali alkalmazás) a számítási példányon futtatott Visual Studio Code-kiszolgálóhoz.

Feljegyzés

Az Azure Machine Learning VS Code-bővítmény használatakor a távoli számítási példánynak hozzá kell férnie a nyilvános adattárakhoz a bővítmény által igényelt csomagok telepítéséhez. Ha a számítási példány proxyt igényel ezen nyilvános adattárak vagy az Internet eléréséhez, a számítási példány ~/.bashrc fájljában be kell állítania és exportálnia kell a HTTP_PROXY és a HTTPS_PROXY környezeti változót. Ez a folyamat az üzembe helyezéskor automatizálható egy egyéni szkript használatával.

Ha az Azure Kubernetes Service-t (AKS) az Azure Machine Learning szolgáltatással használja, engedélyezze a következő forgalmat az AKS virtuális hálózatra:

• Az AKS-re vonatkozó általános bejövő/kimenő követelmények az Azure Kubernetes Service-ben a kimenő forgalom korlátozása című cikkben leírtak szerint.
• Kimenő mcr.microsoft.com .
• Modell AKS-fürtön való üzembe helyezésekor használja az ML-modellek Üzembe helyezése az Azure Kubernetes Service-ben című cikkben található útmutatást.

A tűzfalmegoldások használatáról további információt a Tűzfal használata az Azure Machine Learningdel című témakörben talál.

Következő lépések

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• Virtuális hálózat áttekintése (v1)
• A munkaterület erőforrásainak védelme
• Biztonságos következtetési környezet (v1)
• Studio-funkciók engedélyezése
• Egyéni DNS használata
• Tűzfal használata