Mengamankan lingkungan inferensi Azure Machine Learning dengan jaringan virtual
Dalam artikel ini, Anda mempelajari cara mengamankan lingkungan inferensi (titik akhir online) dengan jaringan virtual di Azure Machine Learning. Ada dua opsi inferensi yang dapat diamankan menggunakan VNet:
Titik akhir online terkelola Azure Machine Learning
Tip
Microsoft merekomendasikan penggunaan jaringan virtual terkelola Azure Pembelajaran Mesin alih-alih langkah-langkah dalam artikel ini saat mengamankan titik akhir online terkelola. Dengan jaringan virtual terkelola, Azure Pembelajaran Mesin menangani pekerjaan isolasi jaringan untuk ruang kerja Dan komputasi terkelola Anda. Anda juga dapat menambahkan titik akhir privat untuk sumber daya yang diperlukan oleh ruang kerja, seperti Akun Azure Storage. Untuk informasi selengkapnya, lihat Isolasi jaringan terkelola Ruang Kerja.
Azure Kubernetes Service
Tip
Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:
- Gambaran umum virtual network
- Mengamankan sumber daya ruang kerja
- Mengamankan lingkungan pelatihan
- Mengaktifkan fungsionalitas studio
- Menggunakan DNS kustom
- Menggunakan firewall
Untuk tutorial tentang membuat ruang kerja yang aman, lihat Tutorial: Membuat ruang kerja yang aman, templat Bicep, atau templat Terraform.
Prasyarat
Baca artikel Gambaran umum keamanan jaringan untuk memahami skenario jaringan virtual umum dan arsitektur jaringan virtual secara keseluruhan.
Jaringan virtual dan subnet yang ada yang digunakan untuk mengamankan ruang kerja Azure Pembelajaran Mesin.
Untuk menyebarkan sumber daya ke dalam jaringan virtual atau subnet, akun pengguna Anda harus memiliki izin untuk tindakan berikut di kontrol akses berbasis peran Azure (Azure RBAC):
- "Microsoft.Network/*/read" pada sumber daya jaringan virtual. Izin ini tidak diperlukan untuk penyebaran templat Azure Resource Manager (ARM).
- "Microsoft.Network/virtualNetworks/join/action" pada sumber daya jaringan virtual.
- "Microsoft.Network/virtualNetworks/subnet/join/action" pada sumber daya subnet.
Untuk informasi selengkapnya tentang Azure RBAC dengan pembuatan jaringan, lihat Peran bawaan jaringan
- Jika menggunakan Azure Kubernetes Service (AKS), Anda harus mengamankan kluster AKS yang ada seperti yang dijelaskan dalam artikel Lingkungan inferensi Azure Kubernetes Service aman.
Titik akhir online terkelola yang aman
Untuk informasi tentang mengamankan titik akhir online terkelola, lihat artikel Menggunakan isolasi jaringan dengan titik akhir online terkelola .
Mengamankan titik akhir online Azure Kubernetes Service
Untuk menggunakan kluster Azure Kubernetes Service untuk inferensi yang aman, gunakan langkah-langkah berikut:
Membuat atau mengonfigurasi lingkungan inferensi Kubernetes yang aman.
Sebarkan ekstensi Azure Pembelajaran Mesin.
Penyebaran model dengan titik akhir online Kubernetes dapat dilakukan menggunakan CLI v2, Python SDK v2 dan Studio UI.
- CLI v2 - https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 - https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Studio UI - Ikuti langkah-langkah dalam penyebaran titik akhir online terkelola melalui Studio. Setelah Anda memasukkan Nama titik akhir, pilih Kubernetes sebagai jenis komputasi, bukan Terkelola.
Membatasi konektivitas keluar dari jaringan virtual
Jika Anda tidak ingin menggunakan aturan keluar default dan Anda ingin membatasi akses keluar jaringan virtual Anda, Anda harus mengizinkan akses ke Azure Container Registry. Misalnya, pastikan Kelompok Keamanan Jaringan (NSG) Anda berisi aturan yang mengizinkan akses ke tag layanan AzureContainerRegistry.RegionName di mana '{RegionName} adalah nama wilayah Azure.
Langkah berikutnya
Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini: