Azure Machine Learning-beli betanítási környezet biztonságossá tétele virtuális hálózatokkal

A KÖVETKEZŐKRE VONATKOZIK: Python SDK azure-ai-ml v2 (aktuális)

Tipp.

A cikkben ismertetett lépések helyett használhatja az Azure Machine Learning által felügyelt virtuális hálózatokat . Felügyelt virtuális hálózat esetén az Azure Machine Learning kezeli a munkaterület és a felügyelt számítások hálózati elkülönítésének feladatát. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.

Az Azure Machine Learning számítási példányt, a kiszolgáló nélküli számítást és a számítási fürtöt használva biztonságosan betaníthat modelleket egy Azure-beli virtuális hálózaton. A környezet tervezésekor konfigurálhatja a számítási példányt/fürtöt vagy a kiszolgáló nélküli számítást nyilvános IP-címmel vagy anélkül. A kettő közötti általános különbségek a következők:

• Nincs nyilvános IP-cím: Csökkenti a költségeket, mivel nem rendelkezik ugyanazokkal a hálózati erőforrás-követelményekkel. Javítja a biztonságot azáltal, hogy eltávolítja az internetről érkező bejövő forgalomra vonatkozó követelményt. A szükséges erőforrásokhoz (Microsoft Entra ID, Azure Resource Manager stb.) való kimenő hozzáférés engedélyezéséhez azonban további konfigurációmódosítások szükségesek.
• Nyilvános IP-cím: Alapértelmezés szerint működik, de további Azure-hálózati erőforrások miatt többe kerül. Bejövő kommunikációt igényel az Azure Machine Learning szolgáltatástól a nyilvános interneten keresztül.

Az alábbi táblázat a konfigurációk közötti különbségeket tartalmazza:

Konfiguráció	Nyilvános IP-címmel	Nyilvános IP-cím nélkül
Bejövő forgalom	AzureMachineLearning szolgáltatáscímke.	Egyik sem
Kimenő forgalom	Alapértelmezés szerint korlátozás nélkül elérheti a nyilvános internetet. A hálózati biztonsági csoport vagy tűzfal használatával korlátozhatja, hogy mit ér el.	Alapértelmezés szerint az Azure által biztosított alapértelmezett kimenő hozzáféréssel érheti el a nyilvános hálózatot. Javasoljuk, hogy inkább virtuális hálózati NAT-átjárót vagy tűzfalat használjon, ha a kimenő forgalmat a szükséges internetes erőforrásokhoz kell irányítania.
Azure-beli hálózati erőforrások	Nyilvános IP-cím, terheléselosztó, hálózati adapter	Egyik sem

Az Azure Databricks vagy a HDInsight használatával modelleket taníthat be egy virtuális hálózaton.

Fontos

A cikkben megjelölt (előzetes verziójú) elemek jelenleg nyilvános előzetes verzióban érhetők el. Az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• A virtuális hálózat áttekintése
• A munkaterület erőforrásainak védelme
• A következtetési környezet védelme
• Studio-funkciók engedélyezése
• Egyéni DNS használata
• Tűzfal használata

A biztonságos munkaterületek létrehozásáról szóló oktatóanyagért lásd : Biztonságos munkaterület, Bicep-sablon vagy Terraform-sablon létrehozása.

Ebből a cikkből megtudhatja, hogyan védheti meg a következő betanítási számítási erőforrásokat egy virtuális hálózaton:

• Azure Machine Learning számítási fürt
• Azure Machine Learning számítási példány
• Kiszolgáló nélküli Azure Machine Learning-számítás
• Azure Databricks
• Virtuális gép
• HDInsight-fürt

Előfeltételek

• Olvassa el a Hálózatbiztonság áttekintési cikket a gyakori virtuális hálózati forgatókönyvek és az általános virtuális hálózati architektúra megismeréséhez.

• A számítási erőforrásokhoz használandó meglévő virtuális hálózat és alhálózat. Ennek a virtuális hálózatnak ugyanabban az előfizetésben kell lennie, mint az Azure Machine Learning-munkaterület.

  • Javasoljuk, hogy a munkaterület és a betanítási feladatok által használt tárfiókokat ugyanabban az Azure-régióban helyezze el, amelyet számítási példányokhoz, kiszolgáló nélküli számításokhoz és fürtökhöz kíván használni. Ha nem ugyanabban az Azure-régióban vannak, adatátviteli költségekkel és nagyobb hálózati késéssel járhat.
  • Győződjön meg arról, hogy a WebSocket-kommunikáció engedélyezve van az *.instances.azureml.net és az *.instances.azureml.ms felé a virtuális hálózaton. A WebSocketeket a Jupyter használja a számítási példányokon.

• A virtuális hálózat egy meglévő alhálózata. Ez az alhálózat számítási példányok, fürtök és csomópontok kiszolgáló nélküli számításhoz való létrehozásakor használatos.

  • Győződjön meg arról, hogy az alhálózat nincs delegálva más Azure-szolgáltatásokba.
  • Győződjön meg arról, hogy az alhálózat elegendő ingyenes IP-címet tartalmaz. Minden számítási példányhoz egy IP-cím szükséges. A számítási fürtön belüli összes csomóponthoz és minden kiszolgáló nélküli számítási csomóponthoz egy IP-cím szükséges.

• Ha saját DNS-kiszolgálóval rendelkezik, javasoljuk a DNS-továbbítás használatát a számítási példányok és fürtök teljes tartományneveinek (FQDN) feloldásához. További információ: Egyéni DNS használata az Azure Machine Learning használatával.

• Ha erőforrásokat szeretne üzembe helyezni egy virtuális hálózaton vagy alhálózaton, a felhasználói fióknak rendelkeznie kell az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) alábbi műveleteihez szükséges engedélyekkel:

  • "Microsoft.Network/*/read" a virtuális hálózati erőforráson. Erre az engedélyre nincs szükség az Azure Resource Manager-sablontelepítésekhez.
  • "Microsoft.Network/virtualNetworks/join/action" a virtuális hálózati erőforráson.
  • "Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet" az alhálózati erőforráson.

  További információ a hálózatkezeléssel rendelkező Azure RBAC-ről: A hálózatkezelés beépített szerepkörei

Korlátozások

• A virtuális hálózatban történő számítási fürt/példány és a kiszolgáló nélküli számítási rendszer telepítése nem támogatott az Azure Lighthouse segítségével.

• A 445-ös portotprivát hálózati kommunikációhoz meg kell nyitni a számítási példányok és az alapértelmezett tárolófiók között a képzés során. Ha például a számítógépek egy VNetben, a tárolófiók pedig egy másikban van, ne blokkolja a 445-ös portot a tárolófiók VNetjéhez.

Számítási fürt egy másik virtuális hálózatban vagy régióban a munkaterületen kívül

Fontos

Nem hozhat létre számítási példányt egy másik régióban/virtuális hálózaton, csak egy számítási fürtben.

Ha egy számítási fürtöt a munkaterület virtuális hálózatától eltérő régióban szeretne létrehozni egy Azure-beli virtuális hálózatban, több lehetősége van a két virtuális hálózat közötti kommunikáció engedélyezésére.

• Használja a VNet Peering-et.
• Adjon hozzá egy privát végpontot a munkaterülethez a számítási fürtöt tartalmazó virtuális hálózaton.

Fontos

A kiválasztott metódustól függetlenül létre kell hoznia a virtuális hálózatot is a számítási fürthöz; Az Azure Machine Learning nem hozza létre Önnek.

Azt is engedélyeznie kell, hogy az alapértelmezett tárfiók, az Azure Container Registry és az Azure Key Vault hozzáférjen a számítási fürt virtuális hálózatához. Ennek többféle módja is van. Létrehozhat például egy privát végpontot a számítási fürt virtuális hálózatának minden egyes erőforrásához, vagy virtuális hálózatok közötti társviszony-létesítéssel engedélyezheti a munkaterület virtuális hálózatának a számítási fürt virtuális hálózatának elérését.

Forgatókönyv: Virtuális hálózatok közötti társviszony-létesítés

1. A munkaterület konfigurálása Azure-beli virtuális hálózat használatára. További információ: Munkaterület erőforrásainak védelme.

2. Hozzon létre egy második Azure-beli virtuális hálózatot, amelyet a számítási fürtökhöz fog használni. A munkaterülethez használttól eltérő Azure-régióban is lehet.

3. Konfigurálja a VNet Peering-et a két VNet között.

   Tipp.

   A folytatás előtt várjon, amíg a VNet társviszony állapota csatlakoztatva legyen.

4. Módosítsa a privatelink.api.azureml.ms DNS-zónát a számítási fürt virtuális hálózatára mutató hivatkozás hozzáadásához. Ezt a zónát az Azure Machine Learning-munkaterület hozza létre, amikor privát végpontot használ a virtuális hálózatban való részvételhez.

   1. Adjon hozzá egy új virtuális hálózati hivatkozást a DNS-zónához. Ezt többféleképpen is megteheti:

      • Az Azure Portalon keresse meg a DNS-zónát, és válassza ki a virtuális hálózati kapcsolatokat. Ezután válassza a + Hozzáadás lehetőséget, és válassza ki a számítási fürtökhöz létrehozott virtuális hálózatot.
      • Az Azure CLI-ben használja a az network private-dns link vnet create parancsot. További információ: az network private-dns link vnet create.
      • Az Azure PowerShellben használja a New-AzPrivateDnsVirtualNetworkLink parancsot. További információ: New-AzPrivateDnsVirtualNetworkLink.

5. Ismételje meg az előző lépést és allépéseket a(z) privatelink.notebooks.azure.net DNS-zónára vonatkozóan.

6. Konfigurálja a következő Azure-erőforrásokat, hogy mindkét virtuális hálózatról engedélyezze a hozzáférést.

   • A munkaterület alapértelmezett tárfiókja.
   • A munkaterület Azure Container Registryje.
   • A munkaterület Azure Key Vaultja.

   Tipp.

   Ezeket a szolgáltatásokat többféleképpen is konfigurálhatja a virtuális hálózatokhoz való hozzáférés engedélyezéséhez. Létrehozhat például egy privát végpontot mindkét virtuális hálózat egyes erőforrásaihoz. Vagy konfigurálhatja az erőforrásokat úgy, hogy mindkét virtuális hálózatról engedélyezze a hozzáférést.

7. Hozzon létre egy számítási fürtöt, ahogyan a VNet használata esetén általában tenné, de válassza ki a számítási fürthöz létrehozott virtuális hálózatot. Ha a virtuális hálózat egy másik régióban található, válassza ki ezt a régiót a számítási fürt létrehozásakor.

   Figyelmeztetés

   A régió beállításakor, ha a munkaterületétől vagy adattáraitól eltérő régióról van szó, nagyobb hálózati késés és adatátviteli költségek jelentkezhetnek. A késleltetés és a költségek a fürt létrehozásakor és a rajta futó feladatok futtatásakor fordulhatnak elő.

Forgatókönyv: Privát végpont

1. A munkaterület konfigurálása Azure-beli virtuális hálózat használatára. További információ: Munkaterület erőforrásainak védelme.

2. Hozzon létre egy második Azure-beli virtuális hálózatot, amelyet a számítási fürtökhöz fog használni. A munkaterülethez használttól eltérő Azure-régióban is lehet.

3. Hozzon létre egy új privát végpontot a munkaterülethez a számítási fürtöt tartalmazó virtuális hálózaton.

   • Ha új privát végpontot szeretne hozzáadni az Azure Portalon, jelölje ki a munkaterületet, majd válassza a Hálózatkezelés lehetőséget. Válassza ki a privát végpont kapcsolatait és a privát végpontot, és a mezők használatával hozzon létre egy új privát végpontot.

     • A Régió kiválasztásakor válassza ki ugyanazt a régiót, mint a virtuális hálózat.
     • Az erőforrástípus kiválasztásakor használja a Microsoft.MachineLearningServices/workspaces szolgáltatást.
     • Állítsa be a Erőforrást a munkaterület nevére.
     • Állítsa be a virtuális hálózatot (VNet) és az alhálózatot az ön által a számítási fürtökhöz létrehozott VNetre és alhálózatra.

     Végül a privát végpont létrehozásához válassza a Létrehozás lehetőséget.

   • Ha új privát végpontot szeretne hozzáadni az Azure CLI használatával, használja a az network private-endpoint create. A parancs használatára példa: Privát végpont konfigurálása az Azure Machine Learning-munkaterülethez.

4. Hozzon létre egy számítási fürtöt, ahogyan a VNet használata esetén általában tenné, de válassza ki a számítási fürthöz létrehozott virtuális hálózatot. Ha a virtuális hálózat egy másik régióban található, válassza ki ezt a régiót a számítási fürt létrehozásakor.

   Figyelmeztetés

   A régió beállításakor, ha a munkaterületétől vagy adattáraitól eltérő régióról van szó, nagyobb hálózati késés és adatátviteli költségek jelentkezhetnek. A késleltetés és a költségek a fürt létrehozásakor és a rajta futó feladatok futtatásakor fordulhatnak elő.

Számítási példány, fürt vagy kiszolgáló nélküli feldolgozás nyilvános IP-cím nélkül

Fontos

Ezek az információk csak Azure-beli virtuális hálózat használatakor érvényesek. Felügyelt virtuális hálózat használata esetén a számítási erőforrások nem helyezhetők üzembe az Azure-beli virtuális hálózaton. A felügyelt virtuális hálózatok használatáról szóló információkat lásd a felügyelt hálózattal kapcsolatos felügyelt számítás alatt.

Fontos

Ha nem nyilvános IP-címre konfigurált számítási példányokat vagy számítási fürtöket használ az előzetes verzió engedélyezése nélkül, 2023. január 20. után törölnie kell és újra létre kell hoznia őket (ha a szolgáltatás általánosan elérhető).

Ha korábban nem használt nyilvános IP-címet, előfordulhat, hogy módosítania kell a bejövő és kimenő forgalmat, mivel az általános rendelkezésre állásra vonatkozó követelmények megváltoztak:

• Kimenő követelmények – Két további kimenő, amelyeket csak számítási példányok és fürtök kezelésére használnak. A szolgáltatáscímkék célhelye a Microsoft tulajdonában van:
  • AzureMachineLearning szolgáltatáscímke az 5831-ös UDP-porton.
  • BatchNodeManagement szolgáltatáscímke a 443-at tartalmazó TCP-porton.

Az előfeltételek szakaszban felsorolt konfigurációk mellett az alábbi konfigurációk is szerepelnek, amelyek egy nyilvános IP-cím nélküli számítási példányok/fürtök létrehozására vonatkoznak. A kiszolgáló nélküli számításra is vonatkoznak:

• A virtuális hálózatról származó Azure Machine Learning-szolgáltatásokkal való kommunikációhoz a számítási erőforráshoz egy privát munkaterületi végpontot kell használnia. További információ: Privát végpont konfigurálása az Azure Machine Learning-munkaterülethez.

• A VNet hálózaton engedélyezze a kimenő forgalmat a következő szolgáltatáscímkék vagy teljesen minősített tartománynevek (FQDN) felé:

  Szolgáltatáscímke	Protokoll	Kikötő	Jegyzetek
  AzureMachineLearning	TCP Felhasználói Datagram Protokoll (UDP)	443/8787/18881 5831	Kommunikáció az Azure Machine Learning szolgáltatással.
  BatchNodeManagement.<region>	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal. A számítási példány és a számítási fürt az Azure Batch szolgáltatás segítségével valósul meg.
  Storage.<region>	TCP	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Ez a szolgáltatáscímke az Azure Batch által használt Azure Storage fiókkal való kommunikációra szolgál.

  Fontos

  A kimenő hozzáférést Storage.<region> potenciálisan fel lehet használni arra, hogy adatokat eltávolítsanak a munkaterületéről. Szolgáltatásvégpont-szabályzat használatával enyhítheti ezt a biztonsági rést. További információkért tekintse meg az Azure Machine Learning adatkiszivárgás megelőzéséről szóló cikket.

  FQDN	Protokoll	Kikötő	Jegyzetek
  <region>.tundra.azureml.ms	Felhasználói Datagram Protokoll (UDP)	5831	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza.
  graph.windows.net	TCP	443	Kommunikáció a Microsoft Graph API-val.
  *.instances.azureml.ms	TCP	443/8787/18881	Kommunikáció az Azure Machine Learning szolgáltatással.
  *.<region>.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.<region>.service.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.blob.core.windows.net	TCP	443	Kommunikáció az Azure Blob tárolóval.
  *.queue.core.windows.net	TCP	443	Kommunikáció az Azure Queue tárolóval.
  *.table.core.windows.net	TCP	443	Kommunikáció az Azure Table tárolóval.

• Alapértelmezés szerint az internetkapcsolat nélküli nyilvános IP-cím nélkül konfigurált számítási példányok és klaszterek nem rendelkeznek kifelé irányuló internetes hozzáféréssel. Ha az internettel való kapcsolatot az Azure alapértelmezett kimenő hozzáférése és az internetre kimenő forgalmat engedélyező NSG teszi lehetővé, akkor elérheti róla az internetet. Azonban nem ajánljuk, hogy az alapértelmezett kimenő hozzáférést használja. Ha kimenő internet-hozzáférésre van szüksége, javasoljuk, hogy használjon tűzfalat és kimenő szabályokat, vagy NAT-átjárót és hálózati szolgáltatáscsoportokat a kimenő forgalom engedélyezéséhez.

  Az Azure Machine Learning által használt kimenő forgalommal kapcsolatos további információkért lásd a következő cikkeket:

  • Bejövő és kimenő hálózati forgalom konfigurálása.
  • Az Azure kimenő kapcsolódási módszerei.

  Az Azure Firewall használatával használható szolgáltatáscímkékről további információt a virtuális hálózati szolgáltatás címkéiről szóló cikkben talál.

Az alábbi információk segítségével hozzon létre egy nyilvános IP-cím nélküli számítási példányt vagy fürtöt:

Azure CLI

A parancsban az ml compute create cserélje le a következő értékeket:

• rg: Az az erőforráscsoport, amelyben a számítás létrejön.
• ws: Az Azure Machine Learning-munkaterület neve.
• yourvnet: Az Azure-beli virtuális hálózat.
• yoursubnet: A számításhoz használni kívánt alhálózat.
• AmlCompute vagy ComputeInstance: A AmlCompute meghatározása létrehoz egy számítási fürtöt. ComputeInstancelétrehoz egy számítási példányt.

# create a compute cluster with no public IP
az ml compute create --name cpu-cluster --resource-group rg --workspace-name ws --vnet-name yourvnet --subnet yoursubnet --type AmlCompute --set enable_node_public_ip=False

# create a compute instance with no public IP
az ml compute create --name myci --resource-group rg --workspace-name ws --vnet-name yourvnet --subnet yoursubnet --type ComputeInstance --set enable_node_public_ip=False

Python

Fontos

Az alábbi kódrészlet feltételezi, hogy ml_client egy olyan Azure Machine Learning-munkaterületre mutat, amely egy privát végpontot használ a virtuális hálózatban való részvételhez. A használatról ml_clienttovábbi információt az Azure Machine Learning egy nap alatt című oktatóanyagában talál.

from azure.ai.ml.entities import AmlCompute, NetworkSettings

network_settings = NetworkSettings(vnet_name="<vnet-name>", subnet="<subnet-name>")
compute = AmlCompute(
    name=cpu_compute_target,
    size="STANDARD_D2_V2",
    min_instances=0,
    max_instances=4,
    enable_node_public_ip=False,
    network_settings=network_settings
)
ml_client.begin_create_or_update(entity=compute)

Feljegyzés

Ha a NetworkSettings osztályon belül konfigurálja az alhálózatot , annak vagy az alhálózat nevének kell lennie egy új virtuális hálózat létrehozásakor vagy egy meglévőre való hivatkozáskor, vagy egy meglévő virtuális hálózat alhálózatának teljes erőforrás-azonosítójának. Ne adjon meg vnet_name , ha az alhálózat azonosítója meg van adva. Az alhálózat azonosítója hivatkozhat egy másik erőforráscsoportban lévő virtuális hálózatra/alhálózatra.

Stúdió

1. Jelentkezzen be az Azure Machine Learning Studióba, majd válassza ki az előfizetését és a munkaterületét.

2. Válassza ki a Számítási lapot a bal oldali panelen.

3. Válassza az + Új lehetőséget a számítási példány vagy számítási fürt navigációs sávjáról.

4. Konfigurálja a szükséges virtuális gép méretét és konfigurációját, majd válassza a Tovább gombot.

5. A Biztonság területen válassza a Virtuális hálózat engedélyezése, a virtuális hálózat és az alhálózat engedélyezése lehetőséget, végül pedig a Nem nyilvános IP-címet a virtuális hálózat/alhálózat szakaszban.

   

Az alábbi információk segítségével konfigurálhat kiszolgáló nélküli számítási csomópontokat nyilvános IP-cím nélkül egy adott munkaterület virtuális hálózatában:

Fontos

Ha nem használ nyilvános IP-cím nélküli számítást, és a munkaterület IP-engedélyezési listát használ, hozzá kell adnia egy kimenő privát végpontot a munkaterülethez. A kiszolgáló nélküli számításnak kommunikálnia kell a munkaterülettel, de ha nem nyilvános IP-címre van konfigurálva, az Azure Default Outbound-t használja az internet-hozzáféréshez. A kimenő forgalom nyilvános IP-címe dinamikus, és nem vehető fel az IP-engedélyezési listára. A munkaterületre irányuló kimenő privát végpont létrehozása lehetővé teszi, hogy a munkaterület kiszolgáló nélküli számításából érkező forgalom megkerülje az IP-engedélyezési listát.

Azure CLI

Munkaterület létrehozása:

az ml workspace create -n <workspace-name> -g <resource-group-name> --file serverlesscomputevnetsettings.yml

name: testserverlesswithnpip
location: eastus
public_network_access: Disabled
serverless_compute:
  custom_subnet: /subscriptions/<sub id>/resourceGroups/<resource group>/providers/Microsoft.Network/virtualNetworks/<vnet name>/subnets/<subnet name>
  no_public_ip: true

Munkaterület frissítése:

az ml workspace update -n <workspace-name> -g <resource-group-name> --file serverlesscomputevnetsettings.yml

serverless_compute:
  custom_subnet: /subscriptions/<sub id>/resourceGroups/<resource group>/providers/Microsoft.Network/virtualNetworks/<vnet name>/subnets/<subnet name>
  no_public_ip: true

Python

Fontos

Az alábbi kódrészlet feltételezi, hogy ml_client egy olyan Azure Machine Learning-munkaterületre mutat, amely egy privát végpontot használ a virtuális hálózatban való részvételhez. A használatról ml_clienttovábbi információt az Azure Machine Learning egy nap alatt című oktatóanyagában talál.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import ServerlessComputeSettings, Workspace
from azure.identity import DefaultAzureCredential

subscription_id = <sub id>
resource_group = <resource group>
workspace_name = <workspace name>
ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group
)

workspace = Workspace(
    name=workspace_name,
    serverless_compute=ServerlessComputeSettings(
        custom_subnet=<subnet id>,
        no_public_ip=true,
    )
)

workspace = ml_client.workspaces.begin_update(workspace)

Stúdió

Az Azure CLI vagy a Python SDK használatával konfigurálhat kiszolgáló nélküli számítási csomópontokat nyilvános IP-cím nélkül a virtuális hálózaton

Számítási példány/fürt vagy kiszolgáló nélküli számítás nyilvános IP-címmel

Fontos

Ezek az információk csak Azure-beli virtuális hálózat használatakor érvényesek. Felügyelt virtuális hálózat használata esetén a számítási erőforrások nem helyezhetők üzembe az Azure-beli virtuális hálózaton. A felügyelt virtuális hálózatok használatáról szóló információkat lásd a felügyelt hálózattal kapcsolatos felügyelt számítás alatt.

Az előfeltételek szakaszban felsorolt konfigurációk mellett az alábbi konfigurációk is kifejezetten nyilvános IP-címekkel rendelkező számítási példányok/fürtök létrehozására vonatkoznak. A kiszolgáló nélküli számításra is vonatkoznak:

• Ha több számítási példányt/fürtöt helyez el egy virtuális hálózatban, előfordulhat, hogy egy vagy több erőforrásra kvótanövelést kell kérnie. A Machine Learning számítási példány vagy -fürt automatikusan lefoglalja a hálózati erőforrásokat a virtuális hálózatot tartalmazó erőforráscsoportban. A szolgáltatás minden számítási egységhez vagy fürthöz a következő erőforrásokat foglalja le.

  • A rendszer automatikusan létrehoz egy hálózati biztonsági csoportot (NSG). Ez az NSG engedélyezi a bejövő TCP-forgalmat a 44224-s porton a AzureMachineLearning szolgáltatáscímkéről.

    Fontos

    A számítási példány és a számítási klaszter automatikusan létrehoz egy hálózati biztonsági csoportot (NSG) a szükséges szabályokkal.

    Ha egy másik NSG-vel rendelkezik az alhálózat szintjén, az alhálózati szintű NSG szabályainak nem szabad ütközniük az automatikusan létrehozott NSG szabályaival.

    Ha meg szeretné tudni, hogyan szűrik a hálózati biztonsági csoportok a forgalmat, nézze meg a Hogyan szűrik a hálózati biztonsági csoportok a hálózati forgalmat című részt.

  • Egy terheléselosztó

  A számítási fürtök esetében ezek az erőforrások minden alkalommal törlődnek, amikor a fürt 0 csomópontra skáláz, és felskálázáskor jön létre.

  A számítási példányok esetében ezeket az erőforrásokat a rendszer a példány törléséig megőrzi. A példány leállítása nem távolítja el az erőforrásokat.

  Fontos

  Ezekre az erőforrásokra az előfizetésben meghatározott erőforráskvóták vonatkoznak. Ha a virtuális hálózati erőforráscsoport zárolva van, a számítási fürt/példány törlése sikertelen lesz. A terheléselosztó csak a számítási fürt/példány törléséig törölhető. Győződjön meg arról is, hogy nincs olyan Azure Policy-hozzárendelés, amely tiltaná a hálózati biztonsági csoportok létrehozását.

• A virtuális hálózatban engedélyezze a bejövő TCP-forgalmat a 44224-es porton a AzureMachineLearning szolgáltatási címkéről.

  Fontos

  A számítási példányhoz/fürthöz dinamikusan rendelnek hozzá egy IP-címet, amikor létrehozzák. Mivel a cím nem ismert a létrehozás előtt, és a létrehozási folyamat részeként bejövő hozzáférésre van szükség, statikusan nem rendelheti hozzá a tűzfalhoz. Ehelyett, ha tűzfalat használ a virtuális hálózattal, létre kell hoznia egy felhasználó által megadott útvonalat a bejövő forgalom engedélyezéséhez.

• Az ön virtuális hálózatában engedélyezze a következő szolgáltatáscímkékhez tartozó kimenő forgalmat:

  Szolgáltatáscímke	Protokoll	Kikötő	Jegyzetek
  AzureMachineLearning	TCP Felhasználói Datagram Protokoll (UDP)	443/8787/18881 5831	Kommunikáció az Azure Machine Learning szolgáltatással.
  BatchNodeManagement.<region>	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal. A számítási példány és a számítási fürt az Azure Batch szolgáltatás segítségével valósul meg.
  Storage.<region>	TCP	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Ez a szolgáltatáscímke az Azure Batch által használt Azure Storage fiókkal való kommunikációra szolgál.

  Fontos

  A kimenő hozzáférést Storage.<region> potenciálisan fel lehet használni arra, hogy adatokat eltávolítsanak a munkaterületéről. Szolgáltatásvégpont-szabályzat használatával enyhítheti ezt a biztonsági rést. További információkért tekintse meg az Azure Machine Learning adatkiszivárgás megelőzéséről szóló cikket.

  FQDN	Protokoll	Kikötő	Jegyzetek
  <region>.tundra.azureml.ms	Felhasználói Datagram Protokoll (UDP)	5831	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza.
  graph.windows.net	TCP	443	Kommunikáció a Microsoft Graph API-val.
  *.instances.azureml.ms	TCP	443/8787/18881	Kommunikáció az Azure Machine Learning szolgáltatással.
  *.<region>.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.<region>.service.batch.azure.com	BÁRMELY	443	Helyettesítse a <region> címet azzal az Azure régióval, amely az Azure Machine Learning munkaterületet tartalmazza. Kommunikáció az Azure Batch-szal.
  *.blob.core.windows.net	TCP	443	Kommunikáció az Azure Blob tárolóval.
  *.queue.core.windows.net	TCP	443	Kommunikáció az Azure Queue tárolóval.
  *.table.core.windows.net	TCP	443	Kommunikáció az Azure Table tárolóval.

A következő információk segítségével hozzon létre egy számítási példányt vagy fürtöt nyilvános IP-címmel a virtuális hálózaton:

Azure CLI

A parancsban az ml compute create cserélje le a következő értékeket:

• rg: Az az erőforráscsoport, amelyben a számítás létrejön.
• ws: Az Azure Machine Learning-munkaterület neve.
• yourvnet: Az Azure-beli virtuális hálózat.
• yoursubnet: A számításhoz használni kívánt alhálózat.
• AmlCompute vagy ComputeInstance: A AmlCompute meghatározása létrehoz egy számítási fürtöt. ComputeInstancelétrehoz egy számítási példányt.

# create a compute cluster with a public IP
az ml compute create --name cpu-cluster --resource-group rg --workspace-name ws --vnet-name yourvnet --subnet yoursubnet --type AmlCompute

# create a compute instance with a public IP
az ml compute create --name myci --resource-group rg --workspace-name ws --vnet-name yourvnet --subnet yoursubnet --type ComputeInstance

Python

Fontos

Az alábbi kódrészlet feltételezi, hogy ml_client egy olyan Azure Machine Learning-munkaterületre mutat, amely egy privát végpontot használ a virtuális hálózatban való részvételhez. A használatról ml_clienttovábbi információt az Azure Machine Learning egy nap alatt című oktatóanyagában talál.

from azure.ai.ml.entities import AmlCompute, NetworkSettings

network_settings = NetworkSettings(vnet_name="<vnet-name>", subnet="<subnet-name>")
compute = AmlCompute(
    name=cpu_compute_target,
    size="STANDARD_D2_V2",
    min_instances=0,
    max_instances=4,
    network_settings=network_settings
)
ml_client.begin_create_or_update(entity=compute)

Feljegyzés

Ha a NetworkSettings osztályon belül konfigurálja az alhálózatot , annak vagy az alhálózat nevének kell lennie egy új virtuális hálózat létrehozásakor vagy egy meglévőre való hivatkozáskor, vagy egy meglévő virtuális hálózat alhálózatának teljes erőforrás-azonosítójának. Ne adjon meg vnet_name , ha az alhálózat azonosítója meg van adva. Az alhálózat azonosítója hivatkozhat egy másik erőforráscsoportban lévő virtuális hálózatra/alhálózatra.

Stúdió

1. Jelentkezzen be az Azure Machine Learning Studióba, majd válassza ki az előfizetését és a munkaterületét.

2. Válassza ki a Számítási lapot a bal oldali panelen.

3. Válassza az + Új lehetőséget a számítási példány vagy számítási fürt navigációs sávjáról.

4. Konfigurálja a szükséges virtuális gép méretét és konfigurációját, majd válassza a Tovább gombot.

5. A Biztonság területen válassza a Virtuális hálózat engedélyezése lehetőséget, majd válassza ki a virtuális hálózatot és az alhálózatot.

   

Az alábbi információk segítségével konfigurálhat kiszolgáló nélküli számítási csomópontokat nyilvános IP-címmel egy adott munkaterület virtuális hálózatában:

Azure CLI

Munkaterület létrehozása:

az ml workspace create -n <workspace-name> -g <resource-group-name> --file serverlesscomputevnetsettings.yml

name: testserverlesswithvnet
location: eastus
serverless_compute:
  custom_subnet: /subscriptions/<sub id>/resourceGroups/<resource group>/providers/Microsoft.Network/virtualNetworks/<vnet name>/subnets/<subnet name>
  no_public_ip: false

Munkaterület frissítése:

az ml workspace update -n <workspace-name> -g <resource-group-name> --file serverlesscomputevnetsettings.yml

serverless_compute:
  custom_subnet: /subscriptions/<sub id>/resourceGroups/<resource group>/providers/Microsoft.Network/virtualNetworks/<vnet name>/subnets/<subnet name>
  no_public_ip: false

Python

Fontos

Az alábbi kódrészlet feltételezi, hogy ml_client egy olyan Azure Machine Learning-munkaterületre mutat, amely egy privát végpontot használ a virtuális hálózatban való részvételhez. A használatról ml_clienttovábbi információt az Azure Machine Learning egy nap alatt című oktatóanyagában talál.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import ServerlessComputeSettings, Workspace
from azure.identity import DefaultAzureCredential

subscription_id = <sub id>
resource_group = <resource group>
workspace_name = <workspace name>
ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group
)

workspace = Workspace(
    name=workspace_name,
    serverless_compute=ServerlessComputeSettings(
        custom_subnet=<subnet id>,
        no_public_ip=false,
    )
)

workspace = ml_client.workspaces.begin_update(workspace)

Stúdió

Az Azure CLI vagy a Python SDK használatával konfigurálhat kiszolgáló nélküli számítási csomópontokat nyilvános IP-címmel a virtuális hálózaton.

Azure Databricks

• A virtuális hálózatnak ugyanabban az előfizetésben és régióban kell lennie, mint az Azure Machine Learning-munkaterületnek.
• Ha az Azure Storage-fiókok, amelyek a munkaterülethez tartoznak, is védelem alatt állnak egy virtuális hálózatban, akkor ugyanabban a virtuális hálózatban kell lenniük, mint az Azure Databricks-fürt.
• Az Azure Databricks által használt databricks-private és databricks-public alhálózatok mellett a virtuális hálózathoz létrehozott alapértelmezett alhálózatra is szükség van.
• Az Azure Databricks nem használ privát végpontot a virtuális hálózattal való kommunikációhoz.

Az Azure Databricks virtuális hálózattal való használatáról további információt az Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton című témakörben talál.

Virtuális gép vagy HDInsight-fürt

Ebben a szakaszban megtudhatja, hogyan használhatja a virtuális gépét vagy az Azure HDInsight-fürtöt egy virtuális hálózatban, együttműködve a munkaterületével.

A virtuális gép vagy a HDInsight-fürt létrehozása

Fontos

Az Azure Machine Learning csak az Ubuntu rendszerű virtuális gépeket támogatja.

Kérjük, hozzon létre egy VM-et vagy HDInsight-fürtöt az Azure portál vagy az Azure CLI használatával, majd helyezze a fürtöt egy Azure virtuális hálózatba. További információért tekintse át az alábbi cikkeket:

• Azure-beli virtuális hálózatok létrehozása és kezelése Linux rendszerű virtuális gépekhez

• A HDInsight kiterjesztése Azure-beli virtuális hálózat használatával

Hálózati portok konfigurálása

Engedélyezze az Azure Machine Learning számára, hogy kommunikáljon a virtuális gép vagy a fürt SSH-portjával, és konfiguráljon egy forrásbeállítást a hálózati biztonsági csoporthoz. Az SSH-port általában a 22-s port. A forrásból érkező forgalom engedélyezéséhez hajtsa végre a következő műveleteket:

1. A Forrás legördülő listában válassza a Szolgáltatáscímkét.

2. A Forrásszolgáltatás címke legördülő listájában válassza az AzureMachineLearning lehetőséget.

   

3. A Forrásporttartományok legördülő listában válassza a *lehetőséget.

4. A Cél legördülő listában válassza a Bármelyik lehetőséget.

5. A Célporttartományok legördülő listában válassza a 22 lehetőséget.

6. A Protokoll alatt válassza az Any (Bármelyik) opciót.

7. A Művelet alatt válassza az Engedélyezés lehetőséget.

Tartsa meg a hálózati biztonsági csoport alapértelmezett kimenő szabályait. További információkért tekintse meg a biztonsági csoportok alapértelmezett biztonsági szabályait.

Ha nem szeretné használni az alapértelmezett kimenő szabályokat, és korlátozni szeretné a virtuális hálózat kimenő hozzáférését, tekintse meg a szükséges nyilvános internet-hozzáférési szakaszt.

A virtuális gép vagy a HDInsight-fürt csatlakoztatása

Csatolja a virtuális gépet vagy a HDInsight-fürtöt az Azure Machine Learning-munkaterülethez. További információ: Számítási erőforrások kezelése modellbetanításhoz és üzembe helyezéshez a studióban.

Szükséges a nyilvános internet-hozzáférés a modellek betanításához.

Fontos

Bár a jelen cikk korábbi szakaszai a számítási erőforrások létrehozásához szükséges konfigurációkat ismertetik, az ebben a szakaszban szereplő konfigurációs információk szükségesek ahhoz, hogy ezeket az erőforrásokat a modellek betanítására használják.

Az Azure Machine Learningnek bejövő és kimenő hozzáférést kell biztosítani a nyilvános internethez. Az alábbi táblázatok áttekintést nyújtanak a szükséges hozzáférésről és annak céljáról. A végződő .regionszolgáltatáscímkék esetében cserélje le region a munkaterületet tartalmazó Azure-régióra. Például Storage.westus:

Tipp.

A szükséges lap felsorolja a szükséges bejövő és kimenő konfigurációt. A helyzet lap felsorolja azokat az opcionális bejövő és kimenő konfigurációkat, amelyeket engedélyezni szeretne bizonyos konfigurációkhoz.

Szükséges

Irány	Protokoll > portok	Szolgáltatáscímke	Cél
Kimenő	TCP: 80, 443	AzureActiveDirectory	Hitelesítés Microsoft Entra ID használatával.
Kimenő	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Az Azure Machine Learning-szolgáltatások használata. A Python IntelliSense a jegyzetfüzetekben a 18881-es portot használja. Egy Azure Machine Learning számítási példány létrehozása, frissítése és törlése az 5831-ös portot használja.
Kimenő	ANY: 443	BatchNodeManagement.region	Az Azure Machine Learning számítási példányaihoz vagy fürtjeihez történő kapcsolattartás az Azure Batch háttérrendszerével.
Kimenő	TCP: 443	AzureResourceManager	Azure-erőforrások létrehozása az Azure Machine Learning, az Azure CLI és az Azure Machine Learning SDK használatával.
Kimenő	TCP: 443	Storage.region	Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál.
Kimenő	TCP: 443	AzureFrontDoor.FrontEnd * Nem szükséges a 21Vianet által üzemeltetett Microsoft Azure-ban.	Az Azure Machine Learning stúdió globális belépési pontja. Képek és környezetek tárolása az AutoML-hez. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál.
Kimenő	TCP: 443	MicrosoftContainerRegistry.region Vegye figyelembe , hogy ez a címke függőségben van a AzureFrontDoor.FirstParty címkén	A Microsoft által biztosított Docker-rendszerképek elérése. Az Azure Machine Learning útválasztó beállítása az Azure Kubernetes Service esetén.

Helyzeti

Irány	Protokoll > portok	Szolgáltatáscímke	Cél
Bejövő	TCP: 44224	AzureMachineLearning	Azure Machine Learning számítási példány/-fürt létrehozása, frissítése és törlése. Kötelező, ha a példányt/fürtöt nyilvános IP opcióval konfigurálták.
Kimenő	TCP: 8787	AzureMachineLearning	Az Azure Machine Learning-szolgáltatások használata. Az RStudio használata esetén a 8787-s portra van szükség.
Kimenő	TCP: 445	Storage.region	Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál. A 445 csak akkor szükséges, ha tűzfal van az Azure ML virtuális hálózata és a tárfiókok privát végpontja között.
Kimenő	TCP: 443	AzureMonitor	A monitorozás és a metrikák naplózására szolgál az App Insightsban és az Azure Monitorban. Csak akkor van szükség, ha nem biztosította az Azure Monitort a munkaterülethez. * Ez a kimenő szolgáltatás a támogatási incidensek adatainak naplózására is használható.
Kimenő	TCP: 443	Keyvault.region	Az Azure Batch szolgáltatás kulcstartójának elérése. Csak akkor van szükség, ha engedélyezte a hbi_workspace jelzőt a munkaterület létrehozásakor.

Tipp.

Ha a szolgáltatáscímkék helyett az IP-címekre van szüksége, használja az alábbi lehetőségek egyikét:

• Töltsön le egy listát az Azure IP-tartományokból és szolgáltatáscímkékből.
• Használja az Azure CLI az network list-service-tags parancsot.
• Használja az Azure PowerShell Get-AzNetworkServiceTag parancsot.

Az IP-címek rendszeresen változhatnak.

Előfordulhat, hogy engedélyeznie kell a Visual Studio Code-ba és nem Microsoft-webhelyekre irányuló kimenő forgalmat a gépi tanulási projekt által igényelt csomagok telepítéséhez. Az alábbi táblázat a gépi tanuláshoz gyakran használt adattárakat sorolja fel:

Hosztnév	Cél
anaconda.com *.anaconda.com	Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org	Adattáradatok lekérésére szolgál.
pypi.org	Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet a felhasználói beállítások nem írják felül. Ha az index felülírva van, engedélyeznie *.pythonhosted.orgkell azt is.
cloud.r-project.org	CRAN-csomagok R-fejlesztéshez való telepítésekor használatos.
*.pytorch.org	Néhány példa a PyTorch alapján használja.
*.tensorflow.org	A TensorFlow-on alapuló néhány példa használja.
code.visualstudio.com	A Visual Studio Code asztali verziójának letöltéséhez és telepítéséhez szükséges. Ez a Visual Studio Code Web esetében nem szükséges.
update.code.visualstudio.com *.vo.msecnd.net	A számítási példányra telepített Visual Studio Code-kiszolgáló bitjeinek lekérésére szolgál egy beállítási szkripten keresztül.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	A Visual Studio Code-bővítmények letöltéséhez és telepítéséhez szükséges. Ezek a gazdagépek lehetővé teszik a Visual Studio Code Azure ML-bővítménye által biztosított számítási példányokhoz történő távoli kapcsolódást. További információ: Csatlakozás Azure Machine Learning számítási példányokhoz a Visual Studio Code-ban.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	A websocket-kiszolgáló adatainak lekérésére használják, amelyeket a számítási példányra telepítenek. A websocket-kiszolgáló kéréseket továbbít a Visual Studio Code-ügyféltől (asztali alkalmazás) a számítási példányon futtatott Visual Studio Code-kiszolgálóhoz.

Feljegyzés

Az Azure Machine Learning VS Code-bővítmény használatakor a távoli számítási példánynak hozzá kell férnie a nyilvános adattárakhoz a bővítmény által igényelt csomagok telepítéséhez. Ha a számítási példány proxyt igényel ezen nyilvános adattárak vagy az Internet eléréséhez, a számítási példány HTTP_PROXY fájljában be kell állítania és exportálnia kell a HTTPS_PROXY és a ~/.bashrc környezeti változót. Ez a folyamat az üzembe helyezéskor automatizálható egy egyéni szkript használatával.

Ha az Azure Kubernetes Service-t (AKS) az Azure Machine Learning szolgáltatással használja, engedélyezze a következő forgalmat az AKS virtuális hálózatra:

• Az AKS-re vonatkozó általános bejövő/kimenő követelmények az Azure Kubernetes Service-ben a kimenő forgalom korlátozása című cikkben leírtak szerint.
• Kimenő a mcr.microsoft.com felé.
• Modell AKS-fürtön való üzembe helyezésekor használja az ML-modellek Üzembe helyezése az Azure Kubernetes Service-ben című cikkben található útmutatást.

A tűzfalmegoldások használatáról további információt a Tűzfal használata az Azure Machine Learningdel című témakörben talál.

Következő lépések

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• A virtuális hálózat áttekintése
• A munkaterület erőforrásainak védelme
• A következtetési környezet védelme
• Studio-funkciók engedélyezése
• Egyéni DNS használata
• Tűzfal használata