Azure Machine Learning-munkaterület biztonságossá tétele virtuális hálózatokkal

ÉRVÉNYES:Azure CLI ml-bővítmény v2 (aktuális)Python SDK azure-ai-ml v2 (aktuális)

Tipp.

A cikkben ismertetett lépések helyett használhatja az Azure Machine Learning által felügyelt virtuális hálózatokat . Felügyelt virtuális hálózat esetén az Azure Machine Learning kezeli a munkaterület és a felügyelt számítások hálózati elkülönítésének feladatát. Privát végpontokat is hozzáadhat a munkaterülethez szükséges erőforrásokhoz, például az Azure Storage-fiókhoz. További információ: Munkaterület kezelt hálózati elkülönítés.

Ebből a cikkből megtudhatja, hogyan védheti meg az Azure Machine Learning-munkaterületet és annak kapcsolódó erőforrásait egy Azure-beli virtuális hálózaton.

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• A virtuális hálózat áttekintése
• A betanítási környezet védelme
• A következtetési környezet védelme
• Studio-funkciók engedélyezése
• Egyéni DNS használata
• Tűzfal használata
• API-platform hálózati elkülönítése

A biztonságos munkaterületek létrehozásáról szóló oktatóanyagért lásd : Biztonságos munkaterület, Bicep-sablon vagy Terraform-sablon létrehozása.

Ebből a cikkből megtudhatja, hogyan engedélyezheti a következő munkaterület-erőforrásokat egy virtuális hálózaton:

• Azure Machine Learning-munkaterület
• Azure Storage-fiókok
• Azure Key Vault
• Azure Container Registry

Előfeltételek

• Olvassa el a Hálózatbiztonság áttekintési cikket a gyakori virtuális hálózati forgatókönyvek és az általános virtuális hálózati architektúra megismeréséhez.

• Az ajánlott eljárások megismeréséhez olvassa el az Azure Machine Learning vállalati biztonsági ajánlott eljárásait ismertető cikket.

• A számítási erőforrásokhoz használandó meglévő virtuális hálózat és alhálózat.

  Figyelmeztetés

  Ne használja a virtuális hálózat 172.17.0.0/16 IP-címtartományát. Ez a Docker-hídhálózat által használt alapértelmezett alhálózati tartomány, és a virtuális hálózat használatakor hibákhoz vezet. Más tartományok is ütközhetnek attól függően, hogy mit szeretne csatlakozni a virtuális hálózathoz. Ha például a helyszíni hálózatot a virtuális hálózathoz szeretné csatlakoztatni, és a helyszíni hálózat a 172.16.0.0/16 tartományt is használja. Végső soron Önnek kell megterveznie a hálózati infrastruktúrát.

• Ha erőforrásokat szeretne üzembe helyezni egy virtuális hálózaton vagy alhálózaton, a felhasználói fióknak rendelkeznie kell az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) alábbi műveleteihez szükséges engedélyekkel:

  • "Microsoft.Network/*/read" a virtuális hálózati erőforráson. Erre az engedélyre nincs szükség az Azure Resource Manager-sablontelepítésekhez.
  • "Microsoft.Network/virtualNetworks/join/action" a virtuális hálózati erőforráson.
  • "Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet" az alhálózati erőforráson.

  További információ a hálózatkezeléssel rendelkező Azure RBAC-ről: A hálózatkezelés beépített szerepkörei

Azure Container Registry

• Az Azure Container Registrynek prémium verziójúnak kell lennie. A frissítésről további információt az SKU-k módosítása című témakörben talál.

• Ha az Azure Container Registry privát végpontot használ, javasoljuk, hogy ugyanabban a virtuális hálózatban legyen, mint a tárfiók és a betanításhoz vagy következtetéshez használt számítási célok. Azonban egy társhálózatban is lehet.

  Ha szolgáltatásvégpontot használ, annak ugyanabban a virtuális hálózaton és alhálózatban kell lennie, mint a tárfiók és a számítási célok.

• Az Azure Machine Learning-munkaterületnek tartalmaznia kell egy Azure Machine Learning számítási fürtöt.

Korlátozások

Azure Storage-fiók

• Ha az Azure Machine Learning Studiót szeretné használni, és a tárfiók szintén a virtuális hálózaton található, további érvényesítési követelmények is teljesülnek:

  • Ha a tárfiók szolgáltatásvégpontot használ, a munkaterület privát végpontjának és a tárolási szolgáltatásvégpontnak a virtuális hálózat ugyanazon alhálózatán kell lennie.
  • Ha a tárfiók privát végpontot használ, a munkaterület privát végpontjának és a privát tárolóvégpontnak ugyanabban a virtuális hálózaton kell lennie. Ebben az esetben lehetnek más alhálózatban is.

Azure Container Instances

Ha az Azure Machine Learning-munkaterület privát végponttal van konfigurálva, a virtuális hálózaton lévő Azure Container Instancesben való üzembe helyezés nem támogatott. Ehelyett fontolja meg felügyelt online végpontok használatát hálózatelkülönítéssel.

Azure Container Registry

Ha az Azure Machine Learning-munkaterület vagy bármely erőforrás privát végponttal van konfigurálva, szükség lehet egy felhasználó által felügyelt számítási fürt beállítására az AzureML Environment rendszerkép-buildjeihez. Az alapértelmezett forgatókönyv a kiszolgáló nélküli számítás kihasználása, és jelenleg olyan forgatókönyvekhez készült, amelyekben nincsenek hálózati korlátozások az AzureML-munkaterülethez társított erőforrásokra vonatkozóan.

Fontos

A Docker-rendszerképek létrehozásához használt számítási fürtnek hozzá kell férnie a modellek betanítása és üzembe helyezése során használt csomagtárházakhoz. Előfordulhat, hogy olyan hálózati biztonsági szabályokat kell hozzáadnia, amelyek engedélyezik a nyilvános adattárakhoz való hozzáférést, privát Python-csomagokat használnak, vagy olyan egyéni Docker-lemezképeket (SDK v1) használnak, amelyek már tartalmazzák a csomagokat.

Figyelmeztetés

Ha az Azure Container Registry privát végpontot vagy szolgáltatásvégpontot használ a virtuális hálózattal való kommunikációhoz, nem használhat felügyelt identitást egy Azure Machine Learning számítási fürttel.

Azure Monitor

Figyelmeztetés

Az Azure Monitor támogatja az Azure Private Link használatát a virtuális hálózathoz való csatlakozáshoz. Az Azure Monitorban azonban a nyitott Private Link módot kell használnia. További információ: Private Link hozzáférési módok: Csak privát és Megnyitás.

Szükséges nyilvános internet-hozzáférés

Az Azure Machine Learningnek bejövő és kimenő hozzáférést kell biztosítani a nyilvános internethez. Az alábbi táblázatok áttekintést nyújtanak a szükséges hozzáférésről és annak céljáról. A végződő .regionszolgáltatáscímkék esetében cserélje le region a munkaterületet tartalmazó Azure-régióra. Például Storage.westus:

Tipp.

A szükséges lap felsorolja a szükséges bejövő és kimenő konfigurációt. A helyzet lap felsorolja azokat az opcionális bejövő és kimenő konfigurációkat, amelyeket engedélyezni szeretne bizonyos konfigurációkhoz.

Szükséges

Irány	Protokoll > ports	Szolgáltatáscímke	Cél
Kimenő	TCP: 80, 443	AzureActiveDirectory	Hitelesítés Microsoft Entra ID használatával.
Kimenő	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Az Azure Machine Learning-szolgáltatások használata. A python intellisense a jegyzetfüzetekben az 18881-ben használt portot használja. Egy Azure Machine Learning számítási példány létrehozása, frissítése és törlése az 5831-ös portot használja.
Kimenő	BÁRMELY: 443	BatchNodeManagement.region	Kommunikáció az Azure Batch háttérrendszerével az Azure Machine Learning számítási példányaihoz/fürtjeihez.
Kimenő	TCP: 443	AzureResourceManager	Azure-erőforrások létrehozása az Azure Machine Learning, az Azure CLI és az Azure Machine Learning SDK használatával.
Kimenő	TCP: 443	Storage.region	Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál.
Kimenő	TCP: 443	AzureFrontDoor.FrontEnd * Nem szükséges a 21Vianet által üzemeltetett Microsoft Azure-ban.	Az Azure Machine Learning stúdió globális belépési pontja. Képek és környezetek tárolása az AutoML-hez. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál.
Kimenő	TCP: 443	MicrosoftContainerRegistry.region Vegye figyelembe , hogy ez a címke függőségben van a AzureFrontDoor.FirstParty címkén	A Microsoft által biztosított Docker-rendszerképek elérése. Az Azure Machine Learning útválasztó beállítása az Azure Kubernetes Service-hez.

Helyzeti

Irány	Protokoll > ports	Szolgáltatáscímke	Cél
Bejövő	TCP: 44224	AzureMachineLearning	Azure Machine Learning számítási példány/-fürt létrehozása, frissítése és törlése. Kötelező, ha a példány/fürt nyilvános IP-beállítással van konfigurálva.
Kimenő	TCP: 8787	AzureMachineLearning	Az Azure Machine Learning-szolgáltatások használata. Az RStudio használata esetén a 8787-s portra van szükség.
Kimenő	TCP: 445	Storage.region	Az Azure Storage-fiókban tárolt adatok elérése a számítási fürthöz és a számítási példányhoz. A kimenő adatkiszivárgás megelőzéséről további információt az Adatkiszivárgás elleni védelem című témakörben talál. A 445 csak akkor szükséges, ha tűzfal van az Azure ML virtuális hálózata és a tárfiókok privát végpontja között.
Kimenő	TCP: 443	AzureMonitor	A monitorozás és a metrikák naplózására szolgál az App Insightsban és az Azure Monitorban. Csak akkor van szükség, ha nem biztosította az Azure Monitort a munkaterülethez. * Ez a kimenő szolgáltatás a támogatási incidensek adatainak naplózására is használható.
Kimenő	TCP: 443	Keyvault.region	Az Azure Batch szolgáltatás kulcstartójának elérése. Csak akkor van szükség, ha engedélyezte a hbi_workspace jelzőt a munkaterület létrehozásakor.

Tipp.

Ha a szolgáltatáscímkék helyett az IP-címekre van szüksége, használja az alábbi lehetőségek egyikét:

• Töltsön le egy listát az Azure IP-tartományokból és szolgáltatáscímkékből.
• Használja az Azure CLI az network list-service-tags parancsot.
• Használja az Azure PowerShell Get-AzNetworkServiceTag parancsot.

Az IP-címek rendszeresen változhatnak.

Előfordulhat, hogy engedélyeznie kell a Visual Studio Code-ba és nem Microsoft-webhelyekre irányuló kimenő forgalmat a gépi tanulási projekt által igényelt csomagok telepítéséhez. Az alábbi táblázat a gépi tanuláshoz gyakran használt adattárakat sorolja fel:

Gazdagép neve	Cél
anaconda.com *.anaconda.com	Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org	Adattáradatok lekérésére szolgál.
pypi.org	Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet a felhasználói beállítások nem írják felül. Ha az index felülírva van, engedélyeznie *.pythonhosted.orgkell azt is.
cloud.r-project.org	CRAN-csomagok R-fejlesztéshez való telepítésekor használatos.
*.pytorch.org	Néhány példa a PyTorch alapján használja.
*.tensorflow.org	A Tensorflow alapján néhány példa használja.
code.visualstudio.com	A Visual Studio Code asztali verziójának letöltéséhez és telepítéséhez szükséges. Ez a Visual Studio Code Web esetében nem szükséges.
update.code.visualstudio.com *.vo.msecnd.net	A számítási példányra telepített Visual Studio Code-kiszolgáló bitjeinek lekérésére szolgál egy beállítási szkripten keresztül.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	A Visual Studio Code-bővítmények letöltéséhez és telepítéséhez szükséges. Ezek a gazdagépek engedélyezik a Visual Studio Code Azure ML-bővítménye által biztosított számítási példányokhoz való távoli kapcsolatot. További információ: Csatlakozás Azure Machine Learning számítási példányokhoz a Visual Studio Code-ban.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	A számítási példányra telepített websocket-kiszolgáló bitjeinek lekérésére szolgál. A websocket-kiszolgáló kéréseket továbbít a Visual Studio Code-ügyféltől (asztali alkalmazás) a számítási példányon futtatott Visual Studio Code-kiszolgálóhoz.

Feljegyzés

Az Azure Machine Learning VS Code-bővítmény használatakor a távoli számítási példánynak hozzá kell férnie a nyilvános adattárakhoz a bővítmény által igényelt csomagok telepítéséhez. Ha a számítási példány proxyt igényel ezen nyilvános adattárak vagy az Internet eléréséhez, a számítási példány ~/.bashrc fájljában be kell állítania és exportálnia kell a HTTP_PROXY és a HTTPS_PROXY környezeti változót. Ez a folyamat az üzembe helyezéskor automatizálható egy egyéni szkript használatával.

Ha az Azure Kubernetes Service-t (AKS) az Azure Machine Learning szolgáltatással használja, engedélyezze a következő forgalmat az AKS virtuális hálózatra:

• Az AKS-re vonatkozó általános bejövő/kimenő követelmények az Azure Kubernetes Service-ben a kimenő forgalom korlátozása című cikkben leírtak szerint.
• Kimenő mcr.microsoft.com .
• Modell AKS-fürtön való üzembe helyezésekor használja az ML-modellek Üzembe helyezése az Azure Kubernetes Service-ben című cikkben található útmutatást.

A tűzfalmegoldások használatáról további információt a szükséges bemeneti és kimeneti kommunikáció konfigurálása című témakörben talál.

A munkaterület védelme privát végponttal

Az Azure Private Link lehetővé teszi, hogy privát végpont használatával csatlakozzon a munkaterülethez. A privát végpont a virtuális hálózaton belüli privát IP-címek halmaza. Ezután korlátozhatja a munkaterülethez való hozzáférést, hogy csak a magánhálózati IP-címeken történjen. A privát végpontok csökkentik az adatkiszivárgás kockázatát.

A privát végpont munkaterülethez való konfigurálásáról további információt a Privát végpont konfigurálása című témakörben talál.

Figyelmeztetés

A munkaterület privát végpontokkal való biztonságossá tétele önmagában nem biztosítja a végpontok közötti biztonságot. A megoldás egyes összetevőinek védelméhez kövesse a jelen cikk és a VNet sorozat további lépéseit. Ha például privát végpontot használ a munkaterülethez, de az Azure Storage-fiókja nincs a virtuális hálózat mögött, a munkaterület és a tár közötti forgalom nem használja a virtuális hálózatot a biztonság érdekében.

Azure Storage-fiókok védelme

Az Azure Machine Learning olyan tárfiókokat támogat, amelyek privát végpont vagy szolgáltatásvégpont használatára vannak konfigurálva.

Privát végpont

1. Az Azure Portalon válassza ki az Azure Storage-fiókot.

2. A Privát végpontok használata az Azure Storage-hoz című témakör információi alapján adjon hozzá privát végpontokat a következő tárolási erőforrásokhoz:

   • Blob
   • Fájl
   • Üzenetsor – Csak akkor szükséges, ha Batch-végpontokat vagy ParallelRunStep-et szeretne használni egy Azure Machine Learning-folyamatban.
   • Táblázat – Csak akkor szükséges, ha Batch-végpontokat vagy ParallelRunStep-et szeretne használni egy Azure Machine Learning-folyamatban.

   

   Tipp.

   Ha nem az alapértelmezett tárfiókot konfigurálja, válassza ki a hozzáadni kívánt tárfióknak megfelelő cél-alforrástípust.

3. Miután létrehozta a tárerőforrások privát végpontjait, válassza a Tárfiók Hálózatkezelés területén a Tűzfalak és virtuális hálózatok lapot.

4. Válassza a Kijelölt hálózatok lehetőséget, majd az Erőforráspéldányok területen válassza ki Microsoft.MachineLearningServices/Workspace az erőforrástípust. Jelölje ki a munkaterületet példánynévvel. További információ: Megbízható hozzáférés a rendszer által hozzárendelt felügyelt identitás alapján.

   Tipp.

   Másik lehetőségként választhatja az Azure-szolgáltatások engedélyezése lehetőséget a megbízható szolgáltatások listájában, hogy szélesebb körben engedélyezze a hozzáférést a megbízható szolgáltatásoktól. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása.

   

5. A konfiguráció mentéséhez válassza a Mentés lehetőséget.

Tipp.

Privát végpont használata esetén a névtelen hozzáférést is letilthatja. További információ: névtelen hozzáférés letiltása.

Szolgáltatásvégpont

1. Az Azure Portalon válassza ki az Azure Storage-fiókot.

2. A lap bal oldalán található Biztonság + hálózatkezelés szakaszban válassza a Hálózatkezelés lehetőséget, majd válassza a Tűzfalak és virtuális hálózatok lapot.

3. Válassza a Kijelölt hálózatok lehetőséget. A Virtuális hálózatok területen válassza a Meglévő virtuális hálózat hozzáadása hivatkozást, és válassza ki a munkaterület által használt virtuális hálózatot.

   Fontos

   A tárfióknak ugyanabban a virtuális hálózatban és alhálózatban kell lennie, mint a betanításhoz vagy következtetéshez használt számítási példányoknak vagy fürtöknek.

4. Az Erőforráspéldányok területen válassza ki Microsoft.MachineLearningServices/Workspace az erőforrástípust, és válassza ki a munkaterületet példánynévvel. További információ: Megbízható hozzáférés a rendszer által hozzárendelt felügyelt identitás alapján.

   Tipp.

   Másik lehetőségként választhatja az Azure-szolgáltatások engedélyezése lehetőséget a megbízható szolgáltatások listájában, hogy szélesebb körben engedélyezze a hozzáférést a megbízható szolgáltatásoktól. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása.

   

5. A konfiguráció mentéséhez válassza a Mentés lehetőséget.

Tipp.

Szolgáltatásvégpont használata esetén a névtelen hozzáférést is letilthatja. További információ: névtelen hozzáférés letiltása.

Az Azure Key Vault biztonságossá tétele

Az Azure Machine Learning egy társított Key Vault-példány használatával tárolja a következő hitelesítő adatokat:

• A társított tárfiók kapcsolati sztring
• Jelszavak az Azure Container Repository-példányokhoz
• Kapcsolati sztringek az adattárakhoz

Az Azure Key Vault úgy konfigurálható, hogy privát végpontot vagy szolgáltatásvégpontot használjon. Az Azure Machine Learning kísérletezési képességeinek virtuális hálózat mögötti Azure Key Vaulttal való használatához kövesse az alábbi lépéseket:

Tipp.

Azt javasoljuk, hogy a kulcstartó ugyanabban a virtuális hálózatban legyen, mint a munkaterület, de társhálózatban is lehet.

Privát végpont

A privát végpont Azure Key Vaulttal való használatával kapcsolatos információkért lásd : Key Vault integrálása az Azure Private Linkdel.

Szolgáltatásvégpont

1. Nyissa meg a munkaterülethez társított Key Vaultot.

2. A Key Vault lap bal oldali ablaktábláján válassza a Hálózatkezelés lehetőséget.

3. A Tűzfalak és a virtuális hálózatok lapon hajtsa végre a következő műveleteket:

   1. A Hozzáférés engedélyezése a forrásból csoportban válassza a Nyilvános hozzáférés engedélyezése adott virtuális hálózatokról és IP-címekről lehetőséget.
   2. A Virtuális hálózatok területen válassza a Virtuális hálózat hozzáadása, a Meglévő virtuális hálózatok hozzáadása lehetőséget, majd adja hozzá azt a virtuális hálózatot/alhálózatot, ahol a kísérletezési számítás található.
   3. Győződjön meg arról, hogy a tűzfal megkerüléséhez megbízható Microsoft-szolgáltatások engedélyezése jelölőnégyzet be van jelölve, majd válassza az Alkalmaz lehetőséget.

   

További információ: Az Azure Key Vault hálózati beállításainak konfigurálása.

Azure Container Registry (ACR) engedélyezése

Tipp.

Ha a munkaterület létrehozásakor nem használt meglévő Azure Container Registryt, lehet, hogy nem létezik. Alapértelmezés szerint a munkaterület csak akkor hoz létre ACR-példányt, ha szüksége van rá. Az egyik létrehozásának kényszerítéséhez betaníthat vagy üzembe helyezhet egy modellt a munkaterület használatával, mielőtt az ebben a szakaszban leírt lépéseket követené.

Az Azure Container Registry konfigurálható privát végpont használatára. A következő lépésekkel konfigurálhatja a munkaterületet az ACR használatára, amikor az a virtuális hálózaton van:

1. Keresse meg a munkaterületHez tartozó Azure Container Registry nevét az alábbi módszerek egyikével:

   Azure CLI

   A KÖVETKEZŐRE VONATKOZIK: Azure CLI ml-bővítmény v2 (aktuális)

   Ha az Azure CLI-hez készült Machine Learning-bővítményt telepítette, a az ml workspace show parancs segítségével megjelenítheti a munkaterület adatait. A v1-bővítmény nem adja vissza ezeket az információkat.

   az ml workspace show -n yourworkspacename -g resourcegroupname --query 'container_registry'
   

   Ez a parancs egy hasonló "/subscriptions/{GUID}/resourceGroups/{resourcegroupname}/providers/Microsoft.ContainerRegistry/registries/{ACRname}"értéket ad vissza. A sztring utolsó része a munkaterületHez tartozó Azure Container Registry neve.

   Python

   A KÖVETKEZŐKRE VONATKOZIK: Python SDK azure-ai-ml v2 (aktuális)

   Az alábbi kódrészlet bemutatja, hogyan szerezheti be a tárolóregisztrációs adatbázis adatait az Azure Machine Learning SDK használatával:

    # import required libraries
    from azure.ai.ml import MLClient
    from azure.identity import DefaultAzureCredential
   
    subscription_id = "<your subscription ID>"
    resource_group = "<your resource group name>"
    workspace = "<your workspace name>"
   
    ml_client = MLClient(
        DefaultAzureCredential(), subscription_id, resource_group, workspace
    )
   
    # Get workspace info
    ws=ml_client.workspaces.get(name=workspace)
    print(ws.container_registry)
   

   Ez a kód egy hasonló "/subscriptions/{GUID}/resourceGroups/{resourcegroupname}/providers/Microsoft.ContainerRegistry/registries/{ACRname}"értéket ad vissza. A sztring utolsó része a munkaterületHez tartozó Azure Container Registry neve.

   Portál

   A munkaterület áttekintési szakaszában a beállításjegyzék értéke az Azure Container Registryre mutat.

   

2. Korlátozza a virtuális hálózathoz való hozzáférést az Azure Container Registryhez való privát csatlakozás lépéseivel. A virtuális hálózat hozzáadásakor válassza ki az Azure Machine Learning-erőforrások virtuális hálózatát és alhálózatát.

3. A munkaterület ACR-jének konfigurálása a megbízható szolgáltatások általi hozzáférés engedélyezésére.

4. Alapértelmezés szerint az Azure Machine Learning egy kiszolgáló nélküli számítással próbálja létrehozni a rendszerképet. Ez csak akkor működik, ha a munkaterülettől függő erőforrások, például a Tárfiók vagy a Tárolóregisztrációs adatbázis nincsenek hálózati korlátozás alatt (privát végpontok). Ha a munkaterülettől függő erőforrások hálózatkorlátozottak, használjon inkább kép-build-számítást.

5. Rendszerkép-összeállítási számítás beállításához hozzon létre egy Azure Machine Learning cpu-termékváltozat számítási fürtöt ugyanabban a virtuális hálózaton, mint a munkaterülettől függő erőforrások. Ez a fürt ezután beállítható alapértelmezett rendszerkép-összeállítási számításként, és onnantól kezdve a munkaterület összes lemezképének összeállítására szolgál. Az alábbi módszerek egyikével konfigurálhatja a munkaterületet Docker-rendszerképek számítási fürt használatával történő létrehozásához.

   Fontos

   A következő korlátozások érvényesek, ha számítási fürtöt használ a rendszerképek összeállításához:

   • Csak egy cpu-termékváltozat támogatott.
   • Ha nyilvános IP-cím nélkül konfigurált számítási fürtöt használ, meg kell adnia valamilyen módot a fürt számára a nyilvános internet eléréséhez. Internet-hozzáférésre van szükség a Microsoft Container Registryben tárolt képek, a Pypi-on telepített csomagok, a Conda stb. Konfigurálnia kell a felhasználó által definiált útválasztást (UDR), hogy elérhesse a nyilvános IP-címet az internet eléréséhez. Használhatja például a tűzfal nyilvános IP-címét, vagy használhatja a virtuális hálózati NAT-t nyilvános IP-címmel. További információ: A virtuális hálózatok biztonságos betanítása.
   Azure CLI

   A az ml workspace update parancs használatával buildszámítást állíthat be. A parancs ugyanaz a gépi tanuláshoz készült v1 és v2 Azure CLI-bővítmények esetében is. Az alábbi parancsban cserélje le myworkspace a munkaterület nevét, myresourcegroup a munkaterületet tartalmazó erőforráscsoportra és mycomputecluster a számítási fürt nevére:

   az ml workspace update --name myworkspace --resource-group myresourcegroup --image-build-compute mycomputecluster
   

   A kiszolgáló nélküli számításra úgy válthat vissza, hogy ugyanazt a parancsot hajtja végre, és üres helyként hivatkozik a számításra: --image-build-compute ''.

   Python

   Az alábbi kódrészlet bemutatja, hogyan frissítheti a munkaterületet, hogy buildszámítást állítson be az Azure Machine Learning SDK használatával. Cserélje le mycomputecluster a használni kívánt fürt nevére:

   A KÖVETKEZŐKRE VONATKOZIK: Python SDK azure-ai-ml v2 (aktuális)

   # import required libraries
   from azure.ai.ml import MLClient
   from azure.identity import DefaultAzureCredential
   
   subscription_id = "<your subscription ID>"
   resource_group = "<your resource group name>"
   workspace = "<your workspace name>"
   
   ml_client = MLClient(
       DefaultAzureCredential(), subscription_id, resource_group, workspace
   )
   
   # Get workspace info
   ws=ml_client.workspaces.get(name=workspace)
   # Update to use cpu-cluster for image builds
   ws.image_build_compute="cpu-cluster"
   ml_client.workspaces.begin_update(ws)
   
   # To switch back to serverless compute:
   # ws.image_build_compute = ''
   # ml_client.workspaces.begin_update(ws)
   

   További információkért lásd a begin_update metódusreferenciát.

   Portál

   Jelenleg nem lehet beállítani a rendszerkép-buildszámítást az Azure Portalról.

Tipp.

Ha az ACR egy virtuális hálózat mögött található, letilthatja a nyilvános hozzáférést is.

Az Azure Monitor és az Application Insights biztonságossá tétele

Az Azure Monitor és a munkaterület Application Insights-példányának hálózati elkülönítésének engedélyezéséhez kövesse az alábbi lépéseket:

1. Nyissa meg az Application Insights-erőforrást az Azure Portalon. Az Áttekintés lap munkaterület-tulajdonsága lehet vagy nem. Ha nem rendelkezik a tulajdonságával, hajtsa végre a 2. lépést. Ha igen, akkor közvetlenül a 3. lépésre léphet.

   Tipp.

   Az új munkaterületek alapértelmezés szerint létrehoznak egy munkaterület-alapú Application Insights-erőforrást. Ha a munkaterület nemrég lett létrehozva, akkor nem kell elvégeznie a 2. lépést.

2. Frissítse a munkaterület Application Insights-példányát. A frissítés lépéseit a munkaterület-alapú Application Insights-erőforrásokra való migrálás című témakörben találja.

3. Hozzon létre egy Azure Monitor Private Link-hatókört, és adja hozzá az Application Insights-példányt az 1. lépéstől a hatókörhöz. További információt az Azure Monitor privát kapcsolatának konfigurálása című témakörben talál.

Biztonságos csatlakozás a munkaterülethez

A virtuális hálózat mögött biztonságos munkaterülethez való csatlakozáshoz használja az alábbi módszerek egyikét:

• Azure VPN Gateway – Helyszíni hálózatokat csatlakoztat a virtuális hálózathoz privát kapcsolaton keresztül. A kapcsolat a nyilvános interneten keresztül történik. Kétféle VPN-átjárót használhat:

  • Pont–hely: Minden ügyfélszámítógép VPN-ügyféllel csatlakozik a virtuális hálózathoz.
  • Helyek közötti: Egy VPN-eszköz csatlakoztatja a virtuális hálózatot a helyszíni hálózathoz.

• ExpressRoute – Helyszíni hálózatokat csatlakoztat a felhőbe privát kapcsolaton keresztül. A kapcsolat kapcsolatszolgáltatóval jön létre.

• Azure Bastion – Ebben a forgatókönyvben egy Azure-beli virtuális gépet (más néven jump boxot) hoz létre a virtuális hálózaton belül. Ezután az Azure Bastion használatával csatlakozhat a virtuális géphez. A Bastion lehetővé teszi a virtuális géphez való csatlakozást RDP- vagy SSH-munkamenet használatával a helyi webböngészőből. Ezt követően a jump boxot fogja használni fejlesztési környezetként. Mivel a virtuális hálózaton belül van, közvetlenül hozzáférhet a munkaterülethez. A jump box használatára példa: Oktatóanyag: Biztonságos munkaterület létrehozása.

Fontos

VPN-átjáró vagy ExpressRoute használatakor meg kell terveznie a névfeloldás működését a helyszíni erőforrások és a virtuális hálózatban lévők között. További információ: Egyéni DNS-kiszolgáló használata.

Ha problémái vannak a munkaterülethez való csatlakozással, olvassa el a biztonságos munkaterület-kapcsolat hibaelhárításával kapcsolatos témakört.

Munkaterület-diagnosztika

Diagnosztikát futtathat a munkaterületen az Azure Machine Learning Studióból vagy a Python SDK-ból. A diagnosztika futtatása után a rendszer visszaadja az észlelt problémák listáját. Ez a lista a lehetséges megoldásokra mutató hivatkozásokat tartalmaz. További információ: Munkaterület-diagnosztika használata.

Nyilvános hozzáférés a munkaterülethez

Fontos

Bár ez az Azure Machine Learning támogatott konfigurációja, a Microsoft nem javasolja. Ezt a konfigurációt a biztonsági csapattal kell ellenőriznie, mielőtt éles környezetben használnák.

Bizonyos esetekben előfordulhat, hogy engedélyeznie kell a munkaterület elérését a nyilvános hálózatról (anélkül, hogy a virtuális hálózaton keresztül csatlakozik a munkaterülethez való biztonságos kapcsolódás szakaszában részletezett módszerekkel). A nyilvános interneten keresztüli hozzáférés TLS-sel van biztosítva.

A munkaterülethez való nyilvános hálózati hozzáférés engedélyezéséhez kövesse az alábbi lépéseket:

1. Engedélyezze a nyilvános hozzáférést a munkaterülethez a munkaterület privát végpontjának konfigurálása után.
2. Konfigurálja az Azure Storage tűzfalat úgy, hogy lehetővé tegye a nyilvános interneten keresztül csatlakozó ügyfelek IP-címével való kommunikációt. Előfordulhat, hogy módosítania kell az engedélyezett IP-címet, ha az ügyfelek nem rendelkeznek statikus IP-címmel. Ha például az egyik adattudós otthonról dolgozik, és nem tud VPN-kapcsolatot létesíteni a virtuális hálózathoz.

Következő lépések

Ez a cikk egy Azure Machine Learning-munkafolyamat biztonságossá tételéről szóló sorozat része. Tekintse meg a sorozat többi cikkét:

• A virtuális hálózat áttekintése
• A betanítási környezet védelme
• A következtetési környezet védelme
• Studio-funkciók engedélyezése
• Egyéni DNS használata
• Tűzfal használata
• Oktatóanyag: Biztonságos munkaterület létrehozása
• Bicep-sablon
• Terraform-sablon.
• API-platform hálózati elkülönítése