Mengonfigurasi lalu lintas jaringan masuk dan keluar

Azure Pembelajaran Mesin memerlukan akses ke server dan layanan di internet publik. Saat menerapkan isolasi jaringan, Anda perlu memahami akses apa yang diperlukan dan cara mengaktifkannya.

Catatan

Informasi dalam artikel ini berlaku untuk ruang kerja Azure Pembelajaran Mesin yang dikonfigurasi untuk menggunakan Azure Virtual Network. Saat menggunakan jaringan virtual terkelola, konfigurasi masuk dan keluar yang diperlukan untuk ruang kerja diterapkan secara otomatis. Untuk informasi selengkapnya, lihat Azure Pembelajaran Mesin jaringan virtual terkelola.

Istilah dan informasi umum

Istilah dan informasi berikut digunakan di seluruh artikel ini:

• Tag layanan Azure: Tag layanan adalah cara mudah untuk menentukan rentang IP yang digunakan oleh layanan Azure. Misalnya, AzureMachineLearning tag mewakili alamat IP yang digunakan oleh layanan Azure Pembelajaran Mesin.

  Penting

  Tag layanan Azure hanya didukung oleh beberapa layanan Azure. Untuk daftar tag layanan yang didukung dengan grup keamanan jaringan dan Azure Firewall, lihat artikel Tag layanan jaringan virtual.

  Jika Anda menggunakan solusi non-Azure seperti firewall pihak ke-3, unduh daftar Rentang IP Azure dan Tag Layanan. Ekstrak file dan cari tag layanan dalam file. Alamat IP dapat berubah seiring waktu.

• Wilayah: Beberapa tag layanan memungkinkan Anda menentukan wilayah Azure. Ini membatasi akses ke alamat IP layanan di wilayah tertentu, biasanya yang digunakan layanan Anda. Dalam artikel ini, saat Anda melihat <region>, ganti wilayah Azure Anda sebagai gantinya. Misalnya, BatchNodeManagement.<region> jika BatchNodeManagement.uswest ruang kerja Azure Pembelajaran Mesin Anda berada di wilayah AS Barat.

• Azure Batch: Azure Pembelajaran Mesin kluster komputasi dan instans komputasi mengandalkan instans Azure Batch back-end. Layanan back-end ini dihosting dalam langganan Microsoft.

• Port: Port berikut digunakan dalam artikel ini. Jika rentang port tidak tercantum dalam tabel ini, rentang tersebut khusus untuk layanan dan mungkin tidak memiliki informasi yang diterbitkan tentang apa yang digunakan untuk:

  Port	Deskripsi
  80	Lalu lintas web tidak aman (HTTP)
  443	Lalu lintas web aman (HTTPS)
  445	Lalu lintas SMB yang digunakan untuk mengakses berbagi file di penyimpanan Azure File
  8787	Digunakan saat menyambungkan ke RStudio pada instans komputasi
  18881	Digunakan untuk menyambungkan ke server bahasa untuk mengaktifkan IntelliSense untuk notebook pada instans komputasi.

• Protokol: Kecuali disebutkan sebaliknya, semua lalu lintas jaringan yang disebutkan dalam artikel ini menggunakan TCP.

Konfigurasi dasar

Konfigurasi ini membuat asumsi berikut:

• Anda menggunakan gambar docker yang disediakan oleh registri kontainer yang Anda sediakan, dan tidak akan menggunakan gambar yang disediakan oleh Microsoft.
• Anda menggunakan repositori paket Python privat, dan tidak akan mengakses repositori paket publik seperti pypi.org, , *.anaconda.comatau *.anaconda.org.
• Titik akhir privat dapat berkomunikasi langsung satu sama lain dalam VNet. Misalnya, semua layanan memiliki titik akhir privat di VNet yang sama:
  • Ruang kerja Azure Machine Learning
  • Akun Azure Storage (blob, file, tabel, antrean)

Lalu Lintas Masuk

Sumber	Sumber port	Tujuan	Porttujuan	Tujuan
AzureMachineLearning	Mana pun	VirtualNetwork	44224	Masuk ke instans/kluster komputasi. Hanya diperlukan jika instans/kluster dikonfigurasi untuk menggunakan alamat IP publik.

Tip

Grup keamanan jaringan (NSG) dibuat secara default untuk lalu lintas ini. Untuk informasi selengkapnya, lihat Aturan keamanan default.

Lalu lintas keluar

Tag layanan	Port	Tujuan
AzureActiveDirectory	80, 443	Autentikasi menggunakan ID Microsoft Entra.
AzureMachineLearning	443, 8787, 18881 UDP: 5831	Menggunakan Azure Machine Learning service.
BatchNodeManagement.<region>	443	Komunikasi Azure Batch.
AzureResourceManager	443	Pembuatan sumber daya Azure dengan Azure Machine Learning.
Storage.<region>	443	Data akses yang disimpan di Akun Azure Storage untuk kluster komputasi dan instans komputasi. Keluaran ini dapat digunakan untuk menyelundupkan data. Untuk informasi selengkapnya, lihat Perlindungan penyelundupan data.
AzureFrontDoor.FrontEnd * Tidak diperlukan di Microsoft Azure yang dioperasikan oleh 21Vianet.	443	Titik masuk global untuk studio Azure Machine Learning. Simpan gambar dan lingkungan untuk AutoML.
MicrosoftContainerRegistry.<region>	443	Mengakses gambar docker yang disediakan oleh Microsoft.
Frontdoor.FirstParty	443	Mengakses gambar docker yang disediakan oleh Microsoft.
AzureMonitor	443	Digunakan untuk mencatat pemantauan dan metrik ke Azure Monitor. Hanya diperlukan jika Anda belum mengamankan Azure Monitor untuk ruang kerja. * Outbound ini juga digunakan untuk mencatat informasi untuk insiden dukungan.

Penting

Jika instans komputasi atau kluster komputasi dikonfigurasi tanpa IP publik, secara default instans komputasi tidak dapat mengakses internet. Jika masih dapat mengirim lalu lintas keluar ke internet, itu karena akses keluar default Azure dan Anda memiliki NSG yang memungkinkan keluar ke internet. Kami tidak menyarankan penggunaan akses keluar default. Jika Anda memerlukan akses keluar ke internet, sebaiknya gunakan salah satu opsi berikut alih-alih akses keluar default:

• NAT Azure Virtual Network dengan IP publik: Untuk informasi selengkapnya tentang menggunakan Virtual Network Nat, lihat dokumentasi VIRTUAL Network NAT .
• Rute dan firewall yang ditentukan pengguna: Buat rute yang ditentukan pengguna di subnet yang berisi komputasi. Lompatan berikutnya untuk rute harus mereferensikan alamat IP privat firewall, dengan awalan alamat 0.0.0.0/0.

Untuk informasi selengkapnya, lihat artikel Akses keluar default di Azure .

Konfigurasi yang direkomendasikan untuk melatih dan menyebarkan model

Lalu lintas keluar

Tag layanan	Port	Tujuan
MicrosoftContainerRegistry.<region> dan AzureFrontDoor.FirstParty	443	Memungkinkan penggunaan gambar Docker yang disediakan Microsoft untuk pelatihan dan inferensi. Juga menyiapkan router Azure Pembelajaran Mesin untuk Azure Kubernetes Service.

Untuk mengizinkan penginstalan paket Python untuk pelatihan dan penyebaran, izinkan lalu lintas keluar ke nama host berikut:

Catatan

Ini bukan daftar lengkap host yang diperlukan untuk semua sumber daya Python di internet, hanya yang paling umum digunakan. Misalnya, jika Anda memerlukan akses ke repositori GitHub atau host lain, Anda harus mengidentifikasi dan menambahkan host yang diperlukan untuk skenario tersebut.

Nama host	Tujuan
anaconda.com *.anaconda.com	Digunakan untuk menginstal paket default.
*.anaconda.org	Digunakan untuk mendapatkan data repositori.
pypi.org	Digunakan untuk mencantumkan dependensi dari indeks default, jika ada, dan indeks tersebut tidak ditimpa oleh pengaturan pengguna. Jika indeks ditimpa, Anda juga harus mengizinkan *.pythonhosted.org.
pytorch.org *.pytorch.org	Digunakan oleh beberapa contoh berdasarkan PyTorch.
*.tensorflow.org	Digunakan oleh beberapa contoh berdasarkan Tensorflow.

Skenario: Menginstal RStudio pada instans komputasi

Untuk memungkinkan penginstalan RStudio pada instans komputasi, firewall perlu mengizinkan akses keluar ke situs untuk menarik gambar Docker. Tambahkan aturan Aplikasi berikut ke kebijakan Azure Firewall Anda:

• Nama: AllowRStudioInstall
• Jenis sumber: Alamat IP
• Alamat IP Sumber: Rentang alamat IP subnet tempat Anda akan membuat instans komputasi. Contohnya, 172.16.0.0/24.
• Jenis tujuan: FQDN
• Target FQDN: ghcr.io, pkg-containers.githubusercontent.com
• Protokol: Https:443

Untuk mengizinkan penginstalan paket R, izinkan lalu lintas keluar ke cloud.r-project.org. Host ini digunakan untuk menginstal paket CRAN.

Catatan

Jika Anda memerlukan akses ke repositori GitHub atau host lain, Anda harus mengidentifikasi dan menambahkan host yang diperlukan untuk skenario tersebut.

Skenario: Menggunakan kluster komputasi atau instans komputasi dengan IP publik

Penting

Instans komputasi atau kluster komputasi tanpa IP publik tidak memerlukan lalu lintas masuk dari manajemen Azure Batch dan layanan Azure Pembelajaran Mesin. Namun, jika Anda memiliki beberapa komputasi dan beberapa di antaranya menggunakan alamat IP publik, Anda harus mengizinkan lalu lintas ini.

Saat menggunakan instans komputasi atau kluster komputasi Azure Pembelajaran Mesin (dengan alamat IP publik), izinkan lalu lintas masuk dari layanan Azure Pembelajaran Mesin. Instans komputasi atau kluster komputasi tanpa IP publik (pratinjau) tidak memerlukan komunikasi masuk ini. Grup Keamanan Jaringan yang memungkinkan lalu lintas ini dibuat secara dinamis untuk Anda, namun Anda mungkin juga perlu membuat rute yang ditentukan pengguna (UDR) jika Anda memiliki firewall. Saat membuat UDR untuk lalu lintas ini, Anda dapat menggunakan Alamat IP atau tag layanan untuk mengarahkan lalu lintas.

Rute Alamat IP

Untuk Azure Machine Learning service, Anda harus menambahkan alamat IP wilayah utama dan sekunder. Untuk menemukan wilayah sekunder, lihat Replikasi lintas wilayah di Azure. Misalnya, jika Azure Machine Learning service Anda berada di US Timur 2, wilayah sekundernya adalah US Tengah.

Untuk mendapatkan daftar alamat IP layanan Azure Pembelajaran Mesin, unduh Rentang IP Azure dan Tag Layanan dan cari file untuk AzureMachineLearning.<region>, di mana <region> adalah wilayah Azure Anda.

Penting

Alamat IP dapat berubah seiring waktu.

Saat membuat UDR, atur Jenis hop berikutnya ke Internet. Ini berarti komunikasi masuk dari Azure melewati firewall Anda untuk mengakses penyeimbang beban dengan IP publik Instans Komputasi dan Kluster Komputasi. UDR diperlukan karena Instans Komputasi dan Kluster Komputasi akan mendapatkan IP publik acak saat pembuatan, dan Anda tidak dapat mengetahui IP publik sebelum pembuatan untuk mendaftarkannya di firewall Anda guna mengizinkan masuk dari Azure ke IP tertentu untuk Instans Komputasi dan Kluster Komputasi. Gambar berikut menunjukkan contoh UDR berbasis alamat IP di portal Azure:

Rute tag layanan

Buat rute yang ditentukan pengguna untuk AzureMachineLearning tag layanan.

Perintah berikut menunjukkan penambahan rute untuk tag layanan ini:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n AzureMLRoute --address-prefix AzureMachineLearning --next-hop-type Internet

Untuk informasi tentang mengonfigurasi UDR, lihat Merutekan lalu lintas jaringan dengan tabel perutean.

Skenario: Firewall antara titik akhir Azure Pembelajaran Mesin dan Azure Storage

Anda juga harus mengizinkan akses keluar ke Storage.<region> pada port 445.

Skenario: Ruang kerja yang dibuat dengan hbi_workspace bendera diaktifkan

Anda juga harus mengizinkan akses keluar ke Keyvault.<region>. Lalu lintas keluar ini digunakan untuk mengakses instans brankas kunci untuk layanan Azure Batch back-end.

Untuk informasi selengkapnya tentang hbi_workspace bendera, lihat artikel enkripsi data.

Skenario: Menggunakan komputasi Kubernetes

Kluster Kubernetes yang berjalan di belakang server proksi keluar atau firewall membutuhkan konfigurasi jaringan keluar tambahan.

• Untuk Kubernetes dengan koneksi Azure Arc, konfigurasikan persyaratan jaringan Azure Arc yang diperlukan oleh agen Azure Arc.
• Untuk kluster AKS tanpa koneksi Azure Arc, konfigurasikan persyaratan jaringan ekstensi AKS.

Selain persyaratan di atas, URL keluar berikut ini juga diperlukan untuk Azure Pembelajaran Mesin,

Titik Akhir Keluar	Port	Deskripsi	Pelatihan	Inferensi
*.kusto.windows.net *.table.core.windows.net *.queue.core.windows.net	443	Diperlukan untuk mengunggah log sistem ke Kusto.	✓	✓
<your ACR name>.azurecr.io <your ACR name>.<region>.data.azurecr.io	443	Registri kontainer Azure, diperlukan untuk menarik citra docker yang digunakan untuk beban kerja pembelajaran mesin.	✓	✓
<your storage account name>.blob.core.windows.net	443	Penyimpanan blob Azure, diperlukan untuk mengambil skrip proyek pembelajaran mesin, data atau model, dan mengunggah log/output pekerjaan.	✓	✓
<your workspace ID>.workspace.<region>.api.azureml.ms <region>.experiments.azureml.net <region>.api.azureml.ms	443	API Azure Machine Learning service.	✓	✓
pypi.org	443	Indeks paket Python, untuk menginstal paket pip yang digunakan untuk melatih inisialisasi lingkungan kerja.	✓	T/A
archive.ubuntu.com security.ubuntu.com ppa.launchpad.net	80	Diperlukan untuk mengunduh patch keamanan yang diperlukan.	✓	T/A

Catatan

• Ganti <your workspace workspace ID> dengan ID ruang kerja Anda. ID dapat ditemukan di portal Azure - halaman sumber daya Pembelajaran Mesin Anda - Properti - ID Ruang Kerja.
• Ganti <your storage account> dengan nama akun penyimpanan.
• Ganti <your ACR name> dengan nama Azure Container Registry untuk ruang kerja Anda.
• Ganti <region> dengan wilayah ruang kerja Anda.

Persyaratan komunikasi dalam kluster

Untuk menginstal ekstensi Azure Pembelajaran Mesin pada komputasi Kubernetes, semua komponen terkait Azure Pembelajaran Mesin disebarkan di azureml namespace layanan. Komunikasi dalam kluster berikut diperlukan untuk memastikan beban kerja ML berfungsi dengan baik di kluster AKS.

• Komponen di azureml namespace harus dapat berkomunikasi dengan server API Kubernetes.
• Komponen di azureml namespace harus dapat berkomunikasi satu sama lain.
• Komponen di azureml namespace harus dapat berkomunikasi dengan kube-dns dan konnectivity-agent di kube-system namespace.
• Jika kluster digunakan untuk inferensi real time, azureml-fe-xxx POD harus dapat berkomunikasi dengan POD model yang disebarkan pada port 5001 di namespace layanan lain. azureml-fe-xxx PON harus membuka 11001, 12001, 12101, 12201, 20000, 8000, 8001, 9001 port untuk komunikasi internal.
• Jika kluster digunakan untuk inferensi real-time, POD model yang disebarkan harus dapat berkomunikasi dengan amlarc-identity-proxy-xxx POD pada port 9999.

Skenario: Visual Studio Code

Host di bagian ini digunakan untuk memasang paket Visual Studio Code untuk membuat koneksi jarak jauh antara Visual Studio Code dan menghitung instans di ruang kerja Azure Machine Learning Anda.

Catatan

Daftar ini bukan daftar lengkap host yang diperlukan untuk semua sumber daya Visual Studio Code di internet, melainkan yang paling umum digunakan saja. Misalnya, jika Anda memerlukan akses ke repositori GitHub atau host lain, Anda harus mengidentifikasi dan menambahkan host yang diperlukan untuk skenario tersebut. Untuk daftar lengkap nama host, lihat Koneksi jaringan di Visual Studio Code.

Nama host	Tujuan
*.vscode.dev *.vscode-unpkg.net *.vscode-cdn.net *.vscodeexperiments.azureedge.net default.exp-tas.com	Harus mengakses vscode.dev (Visual Studio Code versi Web)
code.visualstudio.com	Harus mengunduh dan menginstal Visual Studio Code versi desktop. Host ini tidak diperlukan untuk Web Visual Studio Code.
update.code.visualstudio.com *.vo.msecnd.net	Digunakan untuk mengambil bit server VS Code yang diinstal pada instans komputasi melalui skrip penyetelan.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Harus mengunduh dan menginstal ekstensi Visual Studio Code. Host ini memungkinkan koneksi jarak jauh ke instans komputasi menggunakan ekstensi Azure Pembelajaran Mesin untuk Visual Studio Code. Untuk informasi selengkapnya, lihat Koneksi ke instans komputasi Azure Pembelajaran Mesin di Visual Studio Code
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	Digunakan untuk mengambil bit server websocket yang diinstal pada instans komputasi. Server websocket digunakan untuk mengirimkan permintaan dari klien Visual Studio Code (aplikasi desktop) ke server Visual Studio Code yang berjalan pada instans komputasi.
vscode.download.prss.microsoft.com	Digunakan untuk mengunduh CDN Visual Studio Code

Skenario: Firewall pihak ketiga atau Azure Firewall tanpa tag layanan

Panduan di bagian ini bersifat umum, karena setiap firewall memiliki terminologinya sendiri dan konfigurasi yang spesifik. Jika memiliki pertanyaan, periksa dokumentasi firewall yang Anda gunakan.

Tip

Jika Anda menggunakan Azure Firewall, dan ingin menggunakan FQDN yang tercantum di bagian ini alih-alih menggunakan tag layanan, gunakan panduan berikut:

• FQDN yang menggunakan port HTTP/S (80 dan 443) harus dikonfigurasi sebagai aturan aplikasi.
• FQDN yang menggunakan port lain harus dikonfigurasi sebagai aturan jaringan.

Untuk informasi selengkapnya, lihat Perbedaan dalam aturan aplikasi vs. aturan jaringan.

Jika tidak dikonfigurasi dengan benar, firewall dapat menyebabkan masalah menggunakan ruang kerja Anda. Ada berbagai nama host yang digunakan oleh ruang kerja Azure Machine Learning. Bagian berikut ini mencantumkan host yang diperlukan untuk Azure Machine Learning.

API Dependensi

Anda juga dapat menggunakan REST API Azure Machine Learning guna mendapatkan daftar host dan port untuk lalu lintas keluar yang harus Anda izinkan. Untuk menggunakan API ini, gunakan langkah-langkah berikut:

1. Dapatkan token autentikasi. Perintah berikut menunjukkan penggunaan Azure CLI untuk mendapatkan token autentikasi dan ID langganan:

   TOKEN=$(az account get-access-token --query accessToken -o tsv)
   SUBSCRIPTION=$(az account show --query id -o tsv)
   

2. Panggil API. Dalam perintah berikut, ganti nilai-nilai berikut:

   • Ganti <region> dengan wilayah Azure ruang kerja Anda. Contohnya, westus2.
   • Ganti <resource-group> dengan grup sumber daya Azure yang berisi ruang kerja Anda.
   • Ganti <workspace-name> dengan nama ruang kerja Anda.

   az rest --method GET \
       --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
       --header Authorization="Bearer $TOKEN"
   

Hasil dari panggilan API adalah dokumen JSON. Cuplikan berikut adalah kutipan dari dokumen ini:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Host Microsoft

Host di tabel berikut dimiliki oleh Microsoft dan menyediakan layanan yang diperlukan agar ruang kerja Anda berfungsi dengan baik. Tabel mencantumkan host untuk publik Azure, Azure Government, dan Microsoft Azure yang dioperasikan oleh 21 WilayahVianet.

Penting

Azure Machine Learning menggunakan Akun Azure Storage dalam langganan anda dan langganan yang dikelola Microsoft. Jika berlaku, istilah-istilah berikut digunakan untuk membedakannya di bagian ini:

• Penyimpanan Anda: Akun Azure Storage di langganan Anda, yang digunakan untuk menyimpan data dan artefak Anda seperti model, data pelatihan, log pelatihan, dan skrip Python.>
• Penyimpanan Microsoft: Azure Machine Learning mengomputasi instans dan mengomputasi kluster bergantung pada Azure Batch, dan harus mengakses penyimpanan yang terletak di langganan Microsoft. Penyimpanan ini hanya digunakan untuk pengelolaan instans komputasi. Tidak ada data Anda yang disimpan di sini.

Host Azure Umum

Azure publik

Diperlukan untuk	Host	Protokol	Port
Microsoft Entra ID	login.microsoftonline.com	TCP	80, 443
Portal Azure	management.azure.com	TCP	443
Manajer Sumber Daya Azure	management.azure.com	TCP	443

Azure Government

Diperlukan untuk	Host	Protokol	Port
Microsoft Entra ID	login.microsoftonline.us	TCP	80, 443
Portal Azure	management.azure.us	TCP	443
Manajer Sumber Daya Azure	management.usgovcloudapi.net	TCP	443

Microsoft Azure dioperasikan oleh 21Vianet

Diperlukan untuk	Host	Protokol	Port
Microsoft Entra ID	login.chinacloudapi.cn	TCP	80, 443
Portal Azure	management.azure.cn	TCP	443
Manajer Sumber Daya Azure	management.chinacloudapi.cn	TCP	443

Host Azure Machine Learning

Penting

Di tabel berikut, ganti <storage> dengan nama penyimpanan akun penyimpanan default ruang kerja Azure Machine Learning Anda. Ganti <region> dengan wilayah ruang kerja Anda.

Azure publik

Diperlukan untuk	Host	Protokol	Port
Studio Azure Machine Learning	ml.azure.com	TCP	443
API	*.azureml.ms	TCP	443
API	*.azureml.net	TCP	443
Manajemen model	*.modelmanagement.azureml.net	TCP	443
Notebook terintegrasi	*.notebooks.azure.net	TCP	443
Notebook terintegrasi	<storage>.file.core.windows.net	TCP	443, 445
Notebook terintegrasi	<storage>.dfs.core.windows.net	TCP	443
Notebook terintegrasi	<storage>.blob.core.windows.net	TCP	443
Notebook terintegrasi	graph.microsoft.com	TCP	443
Notebook terintegrasi	*.aznbcontent.net	TCP	443
AutoML NLP, Vision	automlresources-prod.azureedge.net	TCP	443
AutoML NLP, Vision	aka.ms	TCP	443

Catatan

AutoML NLP, Vision saat ini hanya didukung di wilayah publik Azure.

Azure Government

Diperlukan untuk	Host	Protokol	Port
Studio Azure Machine Learning	ml.azure.us	TCP	443
API	*.ml.azure.us	TCP	443
Manajemen model	*.modelmanagement.azureml.us	TCP	443
Notebook terintegrasi	*.notebooks.usgovcloudapi.net	TCP	443
Notebook terintegrasi	<storage>.file.core.usgovcloudapi.net	TCP	443, 445
Notebook terintegrasi	<storage>.dfs.core.usgovcloudapi.net	TCP	443
Notebook terintegrasi	<storage>.blob.core.usgovcloudapi.net	TCP	443
Notebook terintegrasi	graph.microsoft.us	TCP	443
Notebook terintegrasi	*.aznbcontent.net	TCP	443

Microsoft Azure dioperasikan oleh 21Vianet

Diperlukan untuk	Host	Protokol	Port
Studio Azure Machine Learning	studio.ml.azure.cn	TCP	443
API	*.ml.azure.cn	TCP	443
API	*.azureml.cn	TCP	443
Manajemen model	*.modelmanagement.ml.azure.cn	TCP	443
Notebook terintegrasi	*.notebooks.chinacloudapi.cn	TCP	443
Notebook terintegrasi	<storage>.file.core.chinacloudapi.cn	TCP	443, 445
Notebook terintegrasi	<storage>.dfs.core.chinacloudapi.cn	TCP	443
Notebook terintegrasi	<storage>.blob.core.chinacloudapi.cn	TCP	443
Notebook terintegrasi	graph.chinacloudapi.cn	TCP	443
Notebook terintegrasi	*.aznbcontent.net	TCP	443

Host instans komputasi dan host kluster komputasi Azure Machine Learning

Tip

• Host untukAzure Key Vault hanya diperlukan jika ruang kerja Anda dibuat dengan tanda hbi_workspace diaktifkan.
• Port 8787 dan 18881 untuk instans komputasi hanya diperlukan ketika ruang kerja Azure Machine Anda memiliki titik akhir privat.
• Di tabel berikut, ganti <storage> dengan nama penyimpanan akun penyimpanan default ruang kerja Azure Machine Learning Anda.
• Dalam tabel berikut, ganti <region> dengan wilayah Azure yang berisi ruang kerja Azure Pembelajaran Mesin Anda.
• Komunikasi websocket harus diizinkan ke instans komputasi. Jika Anda memblokir lalu lintas websocket, notebook Jupyter tidak akan berfungsi dengan benar.

Azure publik

Diperlukan untuk	Host	Protokol	Port
Kluster/instans komputasi	graph.windows.net	TCP	443
Hitung intance	*.instances.azureml.net	TCP	443
Hitung intance	*.instances.azureml.ms	TCP	443, 8787, 18881
Hitung intance	<region>.tundra.azureml.ms	UDP	5831
Hitung intance	*.<region>.batch.azure.com	ANY	443
Hitung intance	*.<region>.service.batch.azure.com	ANY	443
Akses penyimpanan Microsoft	*.blob.core.windows.net	TCP	443
Akses penyimpanan Microsoft	*.table.core.windows.net	TCP	443
Akses penyimpanan Microsoft	*.queue.core.windows.net	TCP	443
Akun penyimpanan Anda	<storage>.file.core.windows.net	TCP	443, 445
Akun penyimpanan Anda	<storage>.blob.core.windows.net	TCP	443
Azure Key Vault	*.vault.azure.net	TCP	443

Azure Government

Diperlukan untuk	Host	Protokol	Port
Kluster/instans komputasi	graph.windows.net	TCP	443
Hitung intance	*.instances.azureml.us	TCP	443
Hitung intance	*.instances.azureml.ms	TCP	443, 8787, 18881
Hitung intance	<region>.tundra.azureml.us	UDP	5831
Akses penyimpanan Microsoft	*.blob.core.usgovcloudapi.net	TCP	443
Akses penyimpanan Microsoft	*.table.core.usgovcloudapi.net	TCP	443
Akses penyimpanan Microsoft	*.queue.core.usgovcloudapi.net	TCP	443
Akun penyimpanan Anda	<storage>.file.core.usgovcloudapi.net	TCP	443, 445
Akun penyimpanan Anda	<storage>.blob.core.usgovcloudapi.net	TCP	443
Azure Key Vault	*.vault.usgovcloudapi.net	TCP	443

Microsoft Azure dioperasikan oleh 21Vianet

Diperlukan untuk	Host	Protokol	Port
Kluster/instans komputasi	graph.chinacloudapi.cn	TCP	443
Hitung intance	*.instances.azureml.cn	TCP	443
Hitung intance	*.instances.azureml.ms	TCP	443, 8787, 18881
Hitung intance	<region>.tundra.azureml.cn	UDP	5831
Akses penyimpanan Microsoft	*.blob.core.chinacloudapi.cn	TCP	443
Akses penyimpanan Microsoft	*.table.core.chinacloudapi.cn	TCP	443
Akses penyimpanan Microsoft	*.queue.core.chinacloudapi.cn	TCP	443
Akun penyimpanan Anda	<storage>.file.core.chinacloudapi.cn	TCP	443, 445
Akun penyimpanan Anda	<storage>.blob.core.chinacloudapi.cn	TCP	443
Azure Key Vault	*.vault.azure.cn	TCP	443

Gambar Docker dikelola oleh Azure Pembelajaran Mesin

Diperlukan untuk	Host	Protokol	Port
Microsoft Container Registry	mcr.microsoft.com *.data.mcr.microsoft.com	TCP	443

Tip

• Azure Container Registry diperlukan untuk setiap citra Docker kustom. Hal ini mencakup modifikasi kecil (seperti paket tambahan) untuk membuat citra dasar yang disediakan oleh Microsoft. Ini juga diperlukan oleh proses pengiriman pekerjaan pelatihan internal Azure Pembelajaran Mesin.
• Microsoft Container Registry hanya diperlukan jika Anda berencana untuk menggunakan citra Docker default yang disediakan Microsoft dan mengaktifkan dependensi yang dikelola pengguna.
• Jika Anda berencana menggunakan identitas federasi, lihat artikel Praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif.

Selain itu, gunakan informasi di bagian komputasi dengan IP publik untuk menambahkan alamat IP untuk BatchNodeManagement dan AzureMachineLearning.

Untuk informasi tentang cara membatasi akses ke model yang disebarkan ke Azure Kubernetes Service (AKS), lihat Membatasi lalu lintas egress di Azure Kubernetes Service.

Pemantauan, metrik, dan diagnostik

Jika Anda belum mengamankan Azure Monitor untuk ruang kerja, Anda harus mengizinkan lalu lintas keluar ke host berikut:

Catatan

Informasi yang dicatat ke host ini juga digunakan oleh Dukungan Microsoft untuk dapat mendiagnosis masalah apa pun yang Anda hadapi dengan ruang kerja Anda.

• dc.applicationinsights.azure.com
• dc.applicationinsights.microsoft.com
• dc.services.visualstudio.com
• *.in.applicationinsights.azure.com

Untuk daftar alamat IP untuk host ini, lihat Alamat IP yang digunakan oleh Azure Monitor.

Langkah berikutnya

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:

• Gambaran umum virtual network

• Mengamankan sumber daya ruang kerja
• Mengamankan lingkungan pelatihan
• Mengamankan lingkungan inferensi

• Mengaktifkan fungsionalitas studio
• Menggunakan DNS kustom

Untuk informasi lebih lanjut terkait cara mengonfigurasi Azure Firewall, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Microsoft Azure.