Alur lalu lintas jaringan saat menggunakan ruang kerja yang aman
Saat Anda menempatkan ruang kerja Azure Pembelajaran Mesin dan sumber daya terkait di jaringan virtual Azure, azure virtual network mengubah lalu lintas jaringan antar sumber daya. Tanpa jaringan virtual, lalu lintas jaringan mengalir melalui internet publik atau dalam pusat data Azure. Setelah memperkenalkan jaringan virtual, Anda mungkin juga ingin memperkuat keamanan jaringan. Misalnya, Anda mungkin ingin memblokir komunikasi masuk dan keluar antara jaringan virtual dan internet publik. Namun, Azure Machine Learning membutuhkan akses ke beberapa sumber daya di internet publik. Misalnya, menggunakan Azure Resource Manager untuk penyebaran dan operasi manajemen.
Artikel ini mencantumkan lalu lintas yang diperlukan ke dan dari internet publik. Ini juga menjelaskan bagaimana lalu lintas jaringan mengalir antara lingkungan pengembangan klien Anda dan ruang kerja Azure Machine Learning yang aman dalam skenario berikut:
Menggunakan studio Azure Machine Learning untuk bekerja dengan:
- Ruang kerja Anda
- AutoML
- Perancang
- Himpunan data dan penyimpanan data
Azure Pembelajaran Mesin studio adalah UI berbasis web yang berjalan sebagian di browser web Anda. Ini melakukan panggilan ke layanan Azure untuk melakukan tugas seperti melatih model, menggunakan perancang, atau melihat himpunan data. Beberapa panggilan ini menggunakan alur komunikasi yang berbeda daripada jika Anda menggunakan Azure Pembelajaran Mesin SDK, Azure CLI, REST API, atau Visual Studio Code.
Menggunakan studio Azure Pembelajaran Mesin, Azure Pembelajaran Mesin SDK, Azure CLI, atau REST API untuk bekerja dengan:
- Menghitung instans dan kluster
- Azure Kubernetes Service (AKS)
- Gambar Docker yang dikelola azure Pembelajaran Mesin
Jika skenario atau tugas tidak tercantum di sini, skenario atau tugas harus berfungsi sama dengan atau tanpa ruang kerja yang aman.
Asumsi
Artikel ini mengasumsikan konfigurasi berikut:
- Ruang kerja Azure Pembelajaran Mesin menggunakan titik akhir privat untuk berkomunikasi dengan jaringan virtual.
- Akun penyimpanan Azure, brankas kunci, dan registri kontainer yang digunakan ruang kerja juga menggunakan titik akhir privat untuk berkomunikasi dengan jaringan virtual.
- Stasiun kerja klien menggunakan gateway VPN atau Azure ExpressRoute untuk mengakses jaringan virtual.
Persyaratan masuk dan keluar
| Skenario | Masuk diperlukan | Keluar diperlukan | Konfigurasi tambahan |
|---|---|---|---|
| Mengakses ruang kerja dari studio | Tidak berlaku |
|
Anda mungkin perlu menggunakan server DNS kustom. Untuk informasi selengkapnya, lihat Menggunakan ruang kerja Anda dengan server DNS kustom. |
| Menggunakan AutoML, perancang, himpunan data, dan datastore dari studio | Tidak berlaku | Tidak berlaku |
|
| Menggunakan instans komputasi dan kluster komputasi |
|
|
Jika Anda menggunakan firewall, buat rute yang ditentukan pengguna. Untuk informasi selengkapnya, lihat Mengonfigurasi lalu lintas masuk dan keluar. |
| Menggunakan Azure Kubernetes Service | Tidak berlaku | Untuk informasi tentang konfigurasi keluar untuk AKS, lihat Lingkungan inferensi Azure Kubernetes Service yang aman. | |
| Menggunakan gambar Docker yang dikelola azure Pembelajaran Mesin | Tidak berlaku | Registri Artefak Microsoft | Jika registri kontainer untuk ruang kerja Anda berada di belakang jaringan virtual, konfigurasikan ruang kerja untuk menggunakan kluster komputasi untuk membangun gambar. Untuk informasi selengkapnya, lihat Mengamankan ruang kerja Azure Pembelajaran Mesin dengan jaringan virtual. |
Tujuan akun penyimpanan
Azure Machine Learning menggunakan beberapa akun penyimpanan. Setiap penyimpanan data yang berbeda dan memiliki tujuan yang berbeda:
Penyimpanan Anda: Akun penyimpanan di langganan Azure Anda menyimpan data dan artefak Anda, seperti model, data pelatihan, log pelatihan, dan skrip Python. Misalnya, akun penyimpanan default untuk ruang kerja berada di dalam langganan Anda. Instans komputasi Azure Pembelajaran Mesin dan file akses kluster komputasi dan data blob dalam penyimpanan ini melalui port 445 (SMB) dan 443 (HTTPS).
Saat Anda menggunakan instans komputasi atau kluster komputasi, akun penyimpanan Anda dipasang sebagai berbagi file melalui protokol SMB. Instans komputasi dan kluster menggunakan berbagi file ini untuk menyimpan item seperti data, model, notebook Jupyter, dan himpunan data. Instans komputasi dan kluster menggunakan titik akhir privat saat mengakses akun penyimpanan.
Penyimpanan Microsoft: Azure Pembelajaran Mesin instans komputasi dan kluster komputasi mengandalkan Azure Batch. Mereka mengakses penyimpanan yang terletak di langganan Microsoft. Penyimpanan ini hanya digunakan untuk manajemen instans atau kluster komputasi. Tidak ada data Anda yang disimpan di sini. Instans komputasi dan kluster komputasi mengakses data blob, tabel, dan antrean dalam penyimpanan ini, dengan menggunakan port 443 (HTTPS).
Pembelajaran Mesin juga menyimpan metadata dalam instans Azure Cosmos DB. Secara default, instans ini dihosting dalam langganan Microsoft, dan Microsoft mengelolanya. Anda dapat menggunakan instans Azure Cosmos DB secara opsional di langganan Azure Anda. Untuk informasi selengkapnya, lihat Enkripsi data dengan Azure Machine Learning.
Skenario: Mengakses ruang kerja dari studio
Catatan
Informasi di bagian ini khusus untuk menggunakan ruang kerja dari studio Azure Pembelajaran Mesin. Jika Anda menggunakan Azure Pembelajaran Mesin SDK, REST API, Azure CLI, atau Visual Studio Code, informasi di bagian ini tidak berlaku untuk Anda.
Saat Anda mengakses ruang kerja dari studio, arus lalu lintas jaringan adalah sebagai berikut:
- Untuk mengautentikasi ke sumber daya, konfigurasi menggunakan ID Microsoft Entra.
- Untuk operasi manajemen dan penyebaran, konfigurasi menggunakan Azure Resource Manager.
- Untuk tugas yang khusus untuk Azure Pembelajaran Mesin, konfigurasi menggunakan layanan Azure Pembelajaran Mesin.
- Untuk akses ke studio Azure Pembelajaran Mesin, konfigurasi menggunakan Azure Front Door.
- Untuk sebagian besar operasi penyimpanan, lalu lintas mengalir melalui titik akhir privat penyimpanan default untuk ruang kerja Anda. Bagian Gunakan AutoML, perancang, himpunan data, dan datastore dari bagian studio artikel ini membahas pengecualian.
- Anda juga perlu mengonfigurasi solusi DNS yang memungkinkan Anda menyelesaikan nama sumber daya dalam jaringan virtual. Untuk informasi selengkapnya, lihat Menggunakan ruang kerja Anda dengan server DNS kustom.
Skenario: Menggunakan AutoML, perancang, himpunan data, dan datastore dari studio
Fitur-fitur berikut dari studio Azure Machine Learning menggunakan profil data:
- Himpunan data: Jelajahi himpunan data dari studio.
- Perancang: Visualisasikan data output modul.
- AutoML: Menampilkan pratinjau atau profil data dan memilih kolom target.
- Pelabelan: Gunakan label untuk menyiapkan data untuk proyek pembelajaran mesin.
Pembuatan profil data bergantung pada kemampuan azure Pembelajaran Mesin layanan terkelola untuk mengakses akun penyimpanan Azure default untuk ruang kerja Anda. Layanan terkelola tidak ada di jaringan virtual Anda, sehingga tidak dapat langsung mengakses akun penyimpanan di jaringan virtual. Sebagai gantinya, ruang kerja menggunakan prinsip layanan untuk mengakses penyimpanan.
Tip
Anda dapat menyediakan perwakilan layanan saat membuat ruang kerja. Jika tidak, satu dibuat untuk Anda dan memiliki nama yang sama dengan ruang kerja Anda.
Untuk mengizinkan akses ke akun penyimpanan, konfigurasikan akun penyimpanan untuk mengizinkan instans sumber daya untuk ruang kerja Anda atau pilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini. Pengaturan ini memungkinkan layanan terkelola mengakses penyimpanan melalui jaringan pusat data Azure.
Selanjutnya, tambahkan prinsip layanan untuk ruang kerja ke peran Reader ke titik akhir privat akun penyimpanan. Azure menggunakan peran ini untuk memverifikasi informasi subnet ruang kerja dan penyimpanan. Jika sama, Azure mengizinkan akses. Akhirnya, perwakilan layanan juga membutuhkan akses kontributor data Blob ke akun penyimpanan.
Untuk informasi selengkapnya, lihat bagian "Mengamankan akun penyimpanan Azure" di Mengamankan ruang kerja Azure Pembelajaran Mesin dengan jaringan virtual.
Skenario: Menggunakan instans komputasi dan kluster komputasi
Instans komputasi dan kluster komputasi Azure Pembelajaran Mesin adalah layanan terkelola yang dihosting Microsoft. Kluster komputasi dan instans dibangun di atas layanan Azure Batch. Meskipun ada di lingkungan yang dikelola Microsoft, mereka juga disuntikkan ke jaringan virtual Anda.
Saat Anda membuat instans komputasi atau kluster komputasi, sumber daya berikut juga dibuat di jaringan virtual Anda:
Grup keamanan jaringan dengan aturan keluar yang diperlukan. Aturan ini memungkinkan akses masuk dari Azure Pembelajaran Mesin (TCP pada port 44224) dan Azure Batch (TCP pada port 29876-29877).
Penting
Jika Anda menggunakan firewall untuk memblokir akses internet ke jaringan virtual, Anda harus mengonfigurasi firewall untuk mengizinkan lalu lintas ini. Misalnya, dengan Azure Firewall, Anda dapat membuat rute yang ditentukan pengguna. Untuk informasi selengkapnya, lihat Mengonfigurasi lalu lintas masuk dan keluar.
Load balancer dengan alamat IP publik.
Juga memungkinkan akses keluar ke tag layanan berikut. Untuk setiap tag, ganti region dengan wilayah Azure instans atau kluster komputasi Anda:
Storage.region: Akses keluar ini digunakan untuk menyambungkan ke akun penyimpanan Azure di dalam jaringan virtual terkelola Azure Batch.Keyvault.region: Akses keluar ini digunakan untuk menyambungkan ke akun Azure Key Vault di dalam jaringan virtual terkelola Azure Batch.
Akses data dari instans komputasi atau kluster Anda melewati titik akhir privat akun penyimpanan untuk jaringan virtual Anda.
Jika Anda menggunakan Visual Studio Code pada instans komputasi, Anda harus mengizinkan lalu lintas keluar lainnya. Untuk informasi selengkapnya, lihat Mengonfigurasi lalu lintas masuk dan keluar.
Skenario: Menggunakan titik akhir online
Anda mengonfigurasi keamanan untuk komunikasi masuk dan keluar secara terpisah untuk titik akhir online terkelola.
Komunikasi masuk
Anda dapat membantu mengamankan komunikasi masuk dengan URL penilaian titik akhir online dengan menggunakan public_network_access bendera di titik akhir. Mengatur bendera untuk disabled memastikan bahwa titik akhir online hanya menerima lalu lintas dari jaringan virtual klien melalui titik akhir privat ruang kerja Azure Pembelajaran Mesin.
Bendera public_network_access ruang kerja Azure Pembelajaran Mesin juga mengatur visibilitas titik akhir online. Jika bendera ini adalah disabled, titik akhir penilaian hanya dapat diakses dari jaringan virtual yang berisi titik akhir privat untuk ruang kerja. Jika bendera ini adalah enabled, titik akhir penilaian dapat diakses dari jaringan virtual dan jaringan publik.
Komunikasi keluar
Anda dapat membantu mengamankan komunikasi keluar dari penyebaran di tingkat ruang kerja dengan menggunakan isolasi jaringan virtual terkelola untuk ruang kerja Azure Pembelajaran Mesin Anda. Menggunakan pengaturan ini menyebabkan Azure Pembelajaran Mesin membuat jaringan virtual terkelola untuk ruang kerja. Setiap penyebaran di jaringan virtual terkelola ruang kerja dapat menggunakan titik akhir privat jaringan virtual untuk komunikasi keluar.
Metode isolasi jaringan warisan untuk mengamankan komunikasi keluar bekerja dengan menonaktifkan bendera penyebaran egress_public_network_access . Kami sangat menyarankan agar Anda membantu mengamankan komunikasi keluar untuk penyebaran dengan menggunakan jaringan virtual yang dikelola ruang kerja sebagai gantinya. Tidak seperti pendekatan warisan, egress_public_network_access bendera untuk penyebaran tidak lagi berlaku saat Anda menggunakan jaringan virtual terkelola ruang kerja dengan penyebaran Anda. Sebagai gantinya, aturan yang Anda tetapkan untuk komunikasi keluar kontrol jaringan virtual terkelola ruang kerja.
Skenarion: Menggunakan Azure Kubernetes Service
Untuk informasi tentang konfigurasi keluar yang diperlukan untuk Azure Kubernetes Service, lihat Mengamankan lingkungan inferensi azure Pembelajaran Mesin dengan jaringan virtual.
Catatan
Load balancer Azure Kubernetes Service tidak sama dengan load balancer yang dibuat Azure Pembelajaran Mesin. Jika Anda ingin menghosting model Anda sebagai aplikasi aman yang hanya tersedia di jaringan virtual, gunakan load balancer internal yang dibuat azure Pembelajaran Mesin. Jika Anda ingin mengizinkan akses publik, gunakan load balancer publik yang dibuat azure Pembelajaran Mesin.
Jika model Anda memerlukan konektivitas masuk atau keluar tambahan, seperti ke sumber data eksternal, gunakan grup keamanan jaringan atau firewall Anda untuk memungkinkan lalu lintas.
Skenario: Menggunakan gambar Docker yang dikelola azure Pembelajaran Mesin
Azure Pembelajaran Mesin menyediakan gambar Docker yang dapat Anda gunakan untuk melatih model atau melakukan inferensi. Gambar-gambar ini dihosting di Registri Artefak Microsoft.
Jika Anda menyediakan gambar Docker Anda sendiri, seperti pada registri kontainer yang Anda sediakan, Anda tidak memerlukan komunikasi keluar dengan Artifact Registry.
Tip
Jika registri kontainer Anda diamankan di jaringan virtual, Azure Pembelajaran Mesin tidak dapat menggunakannya untuk membangun gambar Docker. Sebagai gantinya, Anda harus menunjuk gugus komputasi Azure Machine Learning untuk membangun gambar. Untuk informasi selengkapnya, lihat Mengamankan ruang kerja Azure Pembelajaran Mesin dengan jaringan virtual.
Langkah berikutnya
Sekarang setelah Anda mempelajari bagaimana lalu lintas jaringan mengalir dalam konfigurasi yang aman, pelajari selengkapnya tentang mengamankan Azure Pembelajaran Mesin di jaringan virtual dengan membaca artikel gambaran umum tentang isolasi dan privasi jaringan virtual.
Untuk informasi praktik terbaik, lihat artikelpraktik terbaik Azure Machine Learning untuk keamanan perusahaan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk