Sumber daya ruang kerja Azure Machine Learning yang aman menggunakan jaringan virtual (VNets)
BERLAKU UNTUK:
Ekstensi ml Azure CLI v1Python SDK azureml v1
Tip
Microsoft merekomendasikan penggunaan Azure Pembelajaran Mesin jaringan virtual terkelola alih-alih langkah-langkah dalam artikel ini. Dengan jaringan virtual terkelola, Azure Pembelajaran Mesin menangani pekerjaan isolasi jaringan untuk ruang kerja Dan komputasi terkelola Anda. Anda juga dapat menambahkan titik akhir privat untuk sumber daya yang diperlukan oleh ruang kerja, seperti Akun Azure Storage. Untuk informasi selengkapnya, lihat Isolasi jaringan terkelola Ruang Kerja.
Mengamankan sumber daya ruang kerja Azure Pembelajaran Mesin dan lingkungan komputasi menggunakan Azure Virtual Networks (VNet). Artikel ini menggunakan contoh skenario untuk menunjukkan cara mengonfigurasi jaringan virtual lengkap.
Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:
Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:
Untuk tutorial mengenai pembuatan ruang kerja yang aman, lihat Tutorial: Membuat ruang kerja yang aman atau Tutorial: Membuat ruang kerja yang aman menggunakan templat.
Prasyarat
Artikel ini mengasumsikan bahwa Anda memiliki keakraban dengan artikel berikut:
- Jaringan Virtual Azure
- Jaringan IP
- Ruang kerja Azure Machine Learning dengan titik akhir privat
- Kelompok Keamanan Jaringan (NSG)
- Firewall jaringan
Contoh skenario
Di bagian ini, Anda mempelajari bagaimana skenario jaringan umum diatur untuk mengamankan komunikasi Azure Machine Learning dengan alamat IP privat.
Tabel berikut membandingkan cara layanan mengakses bagian berbeda dari jaringan Azure Machine Learning dengan dan tanpa VNet:
| Skenario | Workspace | Sumber daya terkait | Melatih lingkungan komputasi | Melakukan inferensi lingkungan komputasi |
|---|---|---|---|---|
| Tidak ada jaringan virtual | IP Publik | IP Publik | IP Publik | IP Publik |
| Ruang kerja publik, semua sumber daya lain dalam jaringan virtual | IP Publik | IP Publik (titik akhir layanan) - atau - IP privat (titik akhir privat) |
IP Publik | IP Privat |
| Amankan sumber daya di jaringan virtual | IP privat (titik akhir privat) | IP Publik (titik akhir layanan) - atau - IP privat (titik akhir privat) |
IP Privat | IP Privat |
- Ruang kerja - Buat titik akhir privat untuk ruang kerja Anda. Titik akhir privat menghubungkan ruang kerja ke vnet melalui beberapa alamat IP privat.
- Akses publik - Anda dapat secara opsional mengaktifkan akses publik untuk ruang kerja yang aman.
- Sumber daya terkait - Gunakan titik akhir layanan atau titik akhir privat untuk terhubung ke sumber daya ruang kerja seperti penyimpanan Azure, Azure Key Vault. Untuk Azure Container Services, gunakan titik akhir privat.
- Titik akhir layanan memberikan identitas jaringan virtual Anda ke layanan Azure. Setelah mengaktifkan titik akhir layanan di jaringan virtual, Anda dapat menambahkan aturan jaringan virtual untuk mengamankan sumber daya layanan Azure ke jaringan virtual Anda. Titik akhir layanan menggunakan alamat IP publik.
- Titik akhir privat adalah antarmuka jaringan yang menghubungkan Anda dengan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, secara efektif membawa layanan ke VNet Anda.
- Melatih akses komputasi - Mengakses target komputasi pelatihan seperti Instans Komputasi Azure Machine Learning dan Kluster Komputasi Azure Machine Learning dengan menggunakan alamat IP publik.
- Melakukan inferensi akses komputasi - Mengakses kluster komputasi Azure Kubernetes Services (AKS) dengan alamat IP privat.
Bagian berikutnya menunjukkan kepada Anda cara mengamankan skenario jaringan yang dijelaskan sebelumnya. Untuk mengamankan jaringan Anda, Anda harus:
- Mengamankan ruang kerja dan sumber daya terkait.
- Mengamankan lingkungan pelatihan.
- Mengamankan lingkungan inferensi.
- Opsional: mengaktifkan fungsi studio.
- Mengonfigurasi pengaturan firewall.
- Mengonfigurasi resolusi nama DNS.
Ruang kerja publik dan sumber daya yang aman
Penting
Meskipun ini adalah konfigurasi yang didukung untuk Azure Pembelajaran Mesin, Microsoft tidak merekomendasikannya. Data di Akun Azure Storage di belakang jaringan virtual dapat diekspos di ruang kerja publik. Anda harus memverifikasi konfigurasi ini dengan tim keamanan Anda sebelum menggunakannya dalam produksi.
Jika Anda ingin mengakses ruang kerja melalui internet publik sambil menjaga semua sumber daya terkait tetap aman dalam jaringan virtual, gunakan langkah-langkah berikut:
Membuat Azure Virtual Network. Jaringan ini mengamankan sumber daya yang digunakan oleh ruang kerja.
Gunakan salah satu opsi berikut untuk membuat ruang kerja yang dapat diakses publik:
- Membuat ruang kerja Azure Machine Learning yang tidak menggunakan Azure Virtual Network. Untuk informasi lebih lanjut, lihat Mengelola ruang kerja Azure Machine Learning.
ATAU
- Buat ruang kerja dengan Private Link untuk mengaktifkan komunikasi antara VNet dan ruang kerja Anda. Lalu aktifkan akses publik ke ruang kerja.
- Membuat ruang kerja Azure Machine Learning yang tidak menggunakan Azure Virtual Network. Untuk informasi lebih lanjut, lihat Mengelola ruang kerja Azure Machine Learning.
- Buat ruang kerja dengan Private Link untuk mengaktifkan komunikasi antara VNet dan ruang kerja Anda. Lalu aktifkan akses publik ke ruang kerja.
Tambahkan layanan berikut ke jaringan virtual dengan menggunakan baiktitik akhir layanan atau titik akhir privat. Izinkan juga layanan Microsoft tepercaya untuk mengakses layanan ini:
Layanan Informasi titik akhir Mengizinkan informasi tepercaya Azure Key Vault Titik akhir layanan
Titik akhir privatIzinkan layanan Microsoft tepercaya untuk melewati firewall ini Akun Azure Storage Titik akhir layanan dan privat
Titik akhir privatBerikan akses ke layanan Azure tepercaya Azure Container Registry Titik akhir privat Izinkan layanan tepercaya Layanan Informasi titik akhir Mengizinkan informasi tepercaya Azure Key Vault Titik akhir layanan
Titik akhir privatIzinkan layanan Microsoft tepercaya untuk melewati firewall ini Akun Azure Storage Titik akhir layanan dan privat
Titik akhir privatBerikan akses ke layanan Azure tepercaya Azure Container Registry Titik akhir privat Izinkan layanan tepercaya Di properti Akun Azure Storage untuk ruang kerja Anda, tambahkan alamat IP klien ke daftar yang diizinkan dalam pengaturan firewall. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall dan jaringan virtual.
Mengamankan ruang kerja dan sumber daya terkait
Gunakan langkah-langkah berikut untuk mengamankan ruang kerja Anda dan sumber daya terkait. Langkah-langkah ini memungkinkan layanan Anda untuk berkomunikasi di jaringan virtual.
Membuat Azure Virtual Networks. Jaringan ini mengamankan ruang kerja dan sumber daya lainnya. Kemudian, buat Ruang kerja dengan dukungan Private Link untuk mengaktifkan komunikasi antara VNet dan ruang kerja Anda.
Tambahkan layanan berikut ke jaringan virtual dengan menggunakan baiktitik akhir layanan atau titik akhir privat. Izinkan juga layanan Microsoft tepercaya untuk mengakses layanan ini:
Layanan Informasi titik akhir Mengizinkan informasi tepercaya Azure Key Vault Titik akhir layanan
Titik akhir privatIzinkan layanan Microsoft tepercaya untuk melewati firewall ini Akun Azure Storage Titik akhir layanan dan privat
Titik akhir privatMemberikan akses dari instans sumber daya
atau
Memberikan akses ke layanan Azure yang terpercayaAzure Container Registry Titik akhir privat Izinkan layanan tepercaya
Membuat Azure Virtual Networks. Jaringan virtual ini mengamankan ruang kerja dan sumber daya lainnya. Kemudian, buat Ruang kerja dengan dukungan Private Link untuk mengaktifkan komunikasi antara VNet dan ruang kerja Anda.
Tambahkan layanan berikut ke jaringan virtual dengan menggunakan baiktitik akhir layanan atau titik akhir privat. Izinkan juga layanan Microsoft tepercaya untuk mengakses layanan ini:
Layanan Informasi titik akhir Mengizinkan informasi tepercaya Azure Key Vault Titik akhir layanan
Titik akhir privatIzinkan layanan Microsoft tepercaya untuk melewati firewall ini Akun Azure Storage Titik akhir layanan dan privat
Titik akhir privatMemberikan akses dari instans sumber daya
atau
Memberikan akses ke layanan Azure yang terpercayaAzure Container Registry Titik akhir privat Izinkan layanan tepercaya
Untuk petunjuk terperinci tentang cara menyelesaikan langkah-langkah ini, lihat Mengamankan ruang kerja Azure Machine Learning.
Untuk petunjuk terperinci tentang cara menyelesaikan langkah-langkah ini, lihat Mengamankan ruang kerja Azure Machine Learning.
Batasan
Mengamankan ruang kerja Anda dan sumber daya terkait dalam jaringan virtual memiliki batasan berikut:
Ruang kerja dan akun penyimpanan default harus berada di VNet yang sama. Namun, subnet dalam VNet yang sama diperbolehkan. Misalnya, ruang kerja dalam satu subnet dan penyimpanan di subnet lain.
Sebaiknya Azure Key Vault dan Azure Container Registry untuk ruang kerja juga berada di VNet yang sama. Namun kedua sumber daya ini juga dapat berada di VNet yang di-peering.
Mengamankan lingkungan pelatihan
Di bagian ini, Anda mempelajari cara mengamankan lingkungan pelatihan di Azure Machine Learning. Anda juga mempelajari cara Azure Machine Learning menyelesaikan pekerjaan pelatihan untuk memahami cara konfigurasi jaringan bekerja sama.
Untuk mengamankan lingkungan pelatihan, gunakan langkah-langkah berikut:
Buat instans komputasi dan kluster komputer di jaringan virtual Azure Machine Learning untuk menjalankan tugas pelatihan.
Jika kluster komputasi atau instans komputasi Anda tidak menggunakan alamat IP publik, Anda harus Mengizinkan komunikasi masuk agar layanan manajemen dapat mengirimkan pekerjaan ke sumber daya komputasi Anda.
Tip
Kluster komputasi dan instans komputasi dapat dibuat dengan atau tanpa alamat IP publik. Jika dibuat dengan alamat IP publik, Anda mendapatkan penyeimbang beban dengan IP publik untuk menerima akses masuk dari layanan batch Azure dan Azure Machine Learning service. Anda perlu mengonfigurasi Perutean yang Ditentukan Pengguna (UDR) jika menggunakan firewall. Jika dibuat tanpa IP publik, Anda mendapatkan layanan link privat untuk menerima akses masuk dari layanan batch Azure dan Azure Machine Learning service tanpa IP publik.
Buat instans komputasi dan kluster komputer di jaringan virtual Azure Machine Learning untuk menjalankan tugas pelatihan.
Jika kluster komputasi atau instans komputasi Anda tidak menggunakan alamat IP publik, Anda harus Mengizinkan komunikasi masuk agar layanan manajemen dapat mengirimkan pekerjaan ke sumber daya komputasi Anda.
Tip
Kluster komputasi dan instans komputasi dapat dibuat dengan atau tanpa alamat IP publik. Jika dibuat dengan alamat IP publik, Anda mendapatkan penyeimbang beban dengan IP publik untuk menerima akses masuk dari layanan batch Azure dan Azure Machine Learning service. Anda perlu mengonfigurasi Perutean yang Ditentukan Pengguna (UDR) jika menggunakan firewall. Jika dibuat tanpa IP publik, Anda mendapatkan layanan link privat untuk menerima akses masuk dari layanan batch Azure dan Azure Machine Learning service tanpa IP publik.
Untuk petunjuk terperinci tentang cara menyelesaikan langkah-langkah ini, lihat Mengamankan lingkungan pelatihan.
Untuk petunjuk terperinci tentang cara menyelesaikan langkah-langkah ini, lihat Mengamankan lingkungan pelatihan.
Pengiriman contoh pekerjaan pelatihan
Di bagian ini, Anda mempelajari cara Azure Machine Learning berkomunikasi dengan aman antar layanan untuk mengirimkan pekerjaan pelatihan. Contoh ini menunjukkan kepada Anda bagaimana semua konfigurasi Anda bekerja sama untuk mengamankan komunikasi.
Klien mengunggah skrip pelatihan dan data pelatihan ke akun penyimpanan yang diamankan dengan layanan atau titik akhir privat.
Klien mengirimkan pekerjaan pelatihan ke ruang kerja Azure Machine Learning melalui titik akhir privat.
Layanan Azure Batch menerima pekerjaan dari ruang kerja. Kemudian mengirimkan pekerjaan pelatihan ke lingkungan komputasi melalui penyeimbang beban publik untuk sumber daya komputasi.
Sumber daya komputasi menerima pekerjaan dan memulai pelatihan. Sumber daya komputasi menggunakan informasi yang disimpan di brankas kunci untuk mengakses akun penyimpanan untuk mengunduh file pelatihan dan mengunggah output.
Batasan
- Azure Compute Instance dan Azure Compute Clusters harus berada di VNet, wilayah, dan langganan yang sama dengan ruang kerja dan sumber daya terkait.
Amankan lingkungan inferensi
Anda dapat mengaktifkan isolasi jaringan untuk titik akhir online terkelola untuk mengamankan lalu lintas jaringan berikut:
- Permintaan penilaian masuk.
- Komunikasi keluar dengan ruang kerja, Azure Container Registry, dan Azure Blob Storage.
Untuk informasi selengkapnya, lihat Mengaktifkan isolasi jaringan untuk titik akhir online terkelola.
Di bagian ini, Anda mempelajari opsi yang tersedia untuk mengamankan lingkungan inferensi saat menggunakan ekstensi Azure CLI untuk ML v1 atau Azure Pembelajaran Mesin Python SDK v1. Saat melakukan penyebaran v1, kami sarankan Anda menggunakan kluster Azure Kubernetes Services (AKS) untuk penyebaran produksi skala tinggi.
Anda memiliki dua opsi untuk kluster AKS di jaringan virtual:
- Terapkan atau lampirkan kluster AKS default ke VNet Anda.
- Lampirkan kluster AKS privat ke VNet Anda.
Kluster AKS default memiliki sarana kontrol dengan alamat IP publik. Anda dapat menambahkan kluster AKS default ke VNet Anda selama penyebaran atau melampirkan kluster setelah dibuat.
Kluster AKS privat memiliki sarana kontrol, yang hanya dapat diakses melalui IP privat. Kluster AKS privat harus dilampirkan setelah kluster dibuat.
Untuk petunjuk terperinci tentang cara menambahkan kluster default dan privat, lihat Mengamankan lingkungan inferensi.
Terlepas dari kluster AKS default atau kluster AKS privat yang digunakan, jika kluster AKS Anda berada di belakang VNet, ruang kerja Anda dan sumber daya terkaitnya (penyimpanan, brankas kunci, dan ACR) harus memiliki titik akhir privat atau titik akhir layanan di VNet yang sama dengan kluster AKS.
Diagram jaringan berikut menunjukkan ruang kerja Azure Machine Learning yang aman dengan kluster AKS privat yang dilampirkan ke jaringan virtual.
Opsional: Aktifkan akses publik
Anda dapat mengamankan ruang kerja di balik VNet menggunakan titik akhir privat dan tetap mengizinkan akses melalui internet publik. Konfigurasi awal sama dengan mengamankan ruang kerja dan sumber daya terkait.
Setelah mengamankan ruang kerja dengan titik akhir privat, gunakan langkah-langkah berikut untuk memungkinkan klien mengembangkan dari jarak jauh menggunakan SDK atau studio Azure Machine Learning:
- Aktifkan akses publik ke ruang kerja.
- Konfigurasikan firewall Azure Storage untuk memungkinkan komunikasi dengan alamat IP klien yang terhubung melalui internet publik.
- Aktifkan akses publik ke ruang kerja.
- Konfigurasikan firewall Azure Storage untuk memungkinkan komunikasi dengan alamat IP klien yang terhubung melalui internet publik.
Opsional: mengaktifkan fungsionalitas studio
Jika penyimpanan Anda dalam VNet, Anda harus melakukan langkah-langkah konfigurasi tambahan untuk mengaktifkan fungsionalitas lengkap di studio. Secara default, fitur berikut dinonaktifkan:
- Melihat pratinjau data di studio.
- Memvisualisasikan data dalam desainer.
- Menyebarkan model di desainer.
- Mengirim eksperimen AutoML.
- Memulai proyek pelabelan.
Untuk mengaktifkan fungsionalitas studio lengkap, lihat Menggunakan studio Azure Machine Learning di jaringan virtual.
Batasan
Pelabelan data terbantu ML tidak mendukung akun penyimpanan default di balik jaringan virtual. Sebagai gantinya, gunakan akun penyimpanan selain default untuk pelabelan data terbantu ML.
Tip
Selama bukan akun penyimpanan default, akun yang digunakan oleh pelabelan data dapat diamankan di belakang jaringan virtual.
Mengonfigurasi pengaturan firewall
Konfigurasikan firewall Anda untuk mengontrol lalu lintas antara sumber daya ruang kerja Azure Machine Learning dan internet publik. Meski kami menyarankan Azure Firewall, Anda dapat menggunakan produk firewall lainnya.
Untuk informasi lebih lanjut tentang pengaturan firewall, lihat Menggunakan ruang kerja di balik Firewall.
DNS Kustom
Jika Anda perlu menggunakan solusi DNS kustom untuk jaringan virtual Anda, Anda harus menambahkan catatan host untuk ruang kerja Anda.
Untuk informasi lebih lanjut tentang nama domain dan alamat IP yang diperlukan, lihat cara menggunakan ruang kerja dengan server DNS khusus.
Microsoft Sentinel
Microsoft Sentinel adalah solusi keamanan yang dapat berintegrasi dengan Azure Machine Learning. Misalnya, dengan menggunakan buku catatan Jupyter yang disediakan melalui Azure Machine Learning. Untuk informasi selengkapnya, lihat Menggunakan notebook Jupyter untuk mencari ancaman keamanan.
Akses publik
Microsoft Azure Sentinel dapat secara otomatis membuat ruang kerja untuk Anda jika Anda BAIK-baik saja dengan titik akhir publik. Dalam konfigurasi ini, analis pusat operasi keamanan (SOC) dan administrator sistem tersambung ke buku catatan di ruang kerja Anda melalui Sentinel.
Untuk informasi tentang proses ini, lihat Membuat ruang kerja Azure Pembelajaran Mesin dari Microsoft Azure Sentinel
Titik akhir privat
Jika Anda ingin mengamankan ruang kerja dan sumber daya terkait di VNet, Anda harus membuat ruang kerja Azure Machine Learning terlebih dahulu. Anda juga harus membuat 'jump box' mesin virtual di VNet yang sama dengan ruang kerja Anda, dan mengaktifkan konektivitas Azure Bastion ke sana. Mirip dengan konfigurasi publik, analis dan administrator SOC dapat tersambung menggunakan Microsoft Sentinel, tetapi beberapa operasi harus dilakukan dengan menggunakan Azure Bastion agar tersambung ke mesin virtual.
Untuk informasi selengkapnya tentang konfigurasi ini, lihat Membuat ruang kerja Azure Pembelajaran Mesin dari Microsoft Azure Sentinel
Langkah berikutnya
Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini: