Mengamankan ruang kerja Azure Machine Learning dengan jaringan virtual

BERLAKU UNTUK:Ekstensi ml Azure CLI v2 (saat ini)Python SDK azure-ai-ml v2 (saat ini)

Tip

Anda dapat menggunakan Azure Pembelajaran Mesin jaringan virtual terkelola alih-alih langkah-langkah dalam artikel ini. Dengan jaringan virtual terkelola, Azure Pembelajaran Mesin menangani pekerjaan isolasi jaringan untuk ruang kerja Dan komputasi terkelola Anda. Anda juga dapat menambahkan titik akhir privat untuk sumber daya yang diperlukan oleh ruang kerja, seperti Akun Azure Storage. Untuk informasi selengkapnya, lihat Isolasi jaringan terkelola Ruang Kerja.

Dalam artikel ini, Anda mempelajari cara mengamankan ruang kerja Azure Pembelajaran Mesin dan sumber daya terkait di Azure Virtual Network.

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:

• Gambaran umum virtual network
• Mengamankan lingkungan pelatihan
• Mengamankan lingkungan inferensi
• Mengaktifkan fungsionalitas studio
• Menggunakan DNS kustom
• Menggunakan firewall
• Isolasi jaringan platform API

Untuk tutorial tentang membuat ruang kerja yang aman, lihat Tutorial: Membuat ruang kerja yang aman, templat Bicep, atau templat Terraform.

Dalam artikel ini, Anda akan mempelajari cara mengaktifkan sumber daya ruang kerja berikut ini di jaringan virtual:

• Ruang kerja Azure Machine Learning
• Akun Azure Storage
• Azure Key Vault
• Azure Container Registry

Prasyarat

• Baca artikel Gambaran umum keamanan jaringan untuk memahami skenario jaringan virtual umum dan arsitektur jaringan virtual secara keseluruhan.

• Baca artikel Praktik terbaik Azure Machine Learning untuk keamanan perusahaan guna mempelajari tentang praktik terbaik.

• Jaringan virtual dan subnet yang ada untuk digunakan dengan sumber daya komputasi Anda.

  Peringatan

  Jangan gunakan rentang alamat IP 172.17.0.0/16 untuk VNet Anda. Ini adalah rentang subnet default yang digunakan oleh jaringan jembatan Docker, dan akan mengakibatkan kesalahan jika digunakan untuk VNet Anda. Rentang lain mungkin juga bertentangan tergantung pada apa yang ingin Anda sambungkan ke jaringan virtual. Misalnya, jika Anda berencana untuk menghubungkan jaringan lokal Anda ke VNet, dan jaringan lokal Anda juga menggunakan rentang 172.16.0.0/16. Pada akhirnya, merupakan pilihan Anda untuk merencanakan infrastruktur jaringan Anda.

• Untuk menyebarkan sumber daya ke dalam jaringan virtual atau subnet, akun pengguna Anda harus memiliki izin untuk tindakan berikut di kontrol akses berbasis peran Azure (Azure RBAC):

  • "Microsoft.Network/*/read" pada sumber daya jaringan virtual. Izin ini tidak diperlukan untuk penyebaran templat Azure Resource Manager (ARM).
  • "Microsoft.Network/virtualNetworks/join/action" pada sumber daya jaringan virtual.
  • "Microsoft.Network/virtualNetworks/subnet/join/action" pada sumber daya subnet.

  Untuk informasi selengkapnya tentang Azure RBAC dengan pembuatan jaringan, lihat Peran bawaan jaringan

Azure Container Registry

• Anda harus menggunakan Azure Container Registry versi Premium. Untuk mendapatkan informasi selengkapnya tentang peningkatan versi, lihat Mengubah SKU.

• Jika Azure Container Registry Anda menggunakan titik akhir privat, sebaiknya berada di jaringan virtual yang sama dengan akun penyimpanan dan target komputasi yang digunakan untuk pelatihan atau inferensi. Namun juga dapat berada dalam jaringan virtual yang di-peering.

  Jika menggunakan titik akhir layanan, titik akhir tersebut harus berada di jaringan virtual dan subnet yang sama dengan akun penyimpanan dan target komputasi.

• Ruang kerja Azure Machine Learning Anda harus berisi kluster komputasi Azure Machine Learning.

Batasan

Akun penyimpanan Azure

• Jika Anda berencana menggunakan studio Azure Pembelajaran Mesin dan akun penyimpanan juga berada di jaringan virtual, ada persyaratan validasi tambahan:

  • Jika akun penyimpanan menggunakan titik akhir layanan, titik akhir privat ruang kerja dan titik akhir layanan penyimpanan harus berada di subnet jaringan virtual yang sama.
  • Jika akun penyimpanan menggunakan titik akhir privat, titik akhir privat ruang kerja dan titik akhir privat penyimpanan harus berada di jaringan virtual yang sama. Dalam hal ini, titik akhir tersebut dapat berada di subnet yang berbeda.

Azure Container Instances

Saat ruang kerja Azure Pembelajaran Mesin Anda dikonfigurasi dengan titik akhir privat, penyebaran ke Azure Container Instances di jaringan virtual tidak didukung. Sebagai gantinya, pertimbangkan untuk menggunakan Titik akhir online terkelola dengan isolasi jaringan.

Azure Container Registry

Saat ruang kerja Azure Pembelajaran Mesin atau sumber daya apa pun dikonfigurasi dengan titik akhir privat, mungkin diperlukan untuk menyiapkan kluster komputasi terkelola pengguna untuk build gambar Lingkungan AzureML. Skenario default memanfaatkan komputasi tanpa server dan saat ini ditujukan untuk skenario tanpa batasan jaringan pada sumber daya yang terkait dengan Ruang Kerja AzureML.

Penting

Kluster komputasi yang digunakan untuk membuat citra Docker harus dapat mengakses repositori paket yang digunakan untuk melatih dan menyebarkan model Anda. Anda mungkin perlu menambahkan aturan keamanan jaringan yang memungkinkan akses ke repositori publik, menggunakan paket Python privat, atau menggunakan gambar Docker kustom (SDK v1) yang sudah menyertakan paket.

Peringatan

Jika Azure Container Registry menggunakan titik akhir privat atau titik akhir layanan untuk berkomunikasi dengan jaringan virtual, Anda tidak dapat menggunakan identitas terkelola dengan kluster komputasi Azure Machine Learning.

Azure Monitor

Peringatan

Azure Monitor mendukung penggunaan Azure Private Link untuk tersambung ke VNet. Namun, Anda harus menggunakan mode Private Link yang terbuka di Azure Monitor. Untuk informasi lebih lanjut, lihat Mode akses Private Link: Privat saja vs, Terbuka.

Akses internet publik yang diperlukan

Azure Machine Learning membutuhkan akses masuk dan keluar ke internet publik. Tabel berikut ini memberikan gambaran umum tentang akses yang diperlukan dan tujuan apa yang dilayaninya. Untuk tag layanan yang diakhiri dengan .region, ganti region dengan wilayah Azure yang berisi ruang kerja Anda. Misalnya, Storage.westus:

Tip

Tab yang diperlukan mencantumkan konfigurasi masuk dan keluar yang diperlukan. Tab situasian mencantumkan konfigurasi masuk dan keluar opsional yang diperlukan oleh konfigurasi tertentu yang mungkin ingin Anda aktifkan.

Diperlukan

Arah	Protokol & port	Tag layanan	Tujuan
Keluar	TCP: 80, 443	AzureActiveDirectory	Autentikasi menggunakan Microsoft Entra ID..
Keluar	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Menggunakan Azure Machine Learning service. Python intellisense dalam notebook menggunakan port 18881. Membuat, memperbarui, dan menghapus instans komputasi Azure Pembelajaran Mesin menggunakan port 5831.
Keluar	ANY: 443	BatchNodeManagement.region	Komunikasi dengan back-end Azure Batch untuk Azure Pembelajaran Mesin instans/kluster komputasi.
Keluar	TCP: 443	AzureResourceManager	Pembuatan sumber daya Azure dengan Azure Pembelajaran Mesin, Azure CLI, dan Azure Pembelajaran Mesin SDK.
Keluar	TCP: 443	Storage.region	Data akses yang disimpan di Akun Azure Storage untuk kluster komputasi dan instans komputasi. Untuk informasi tentang mencegah penyelundupan data selama keluar ini, lihat Perlindungan penyelundupan data.
Keluar	TCP: 443	AzureFrontDoor.FrontEnd * Tidak diperlukan di Microsoft Azure yang dioperasikan oleh 21Vianet.	Titik masuk global untuk studio Azure Machine Learning. Simpan gambar dan lingkungan untuk AutoML. Untuk informasi tentang mencegah penyelundupan data selama keluar ini, lihat Perlindungan penyelundupan data.
Keluar	TCP: 443	MicrosoftContainerRegistry.region Perhatikan bahwa tag ini memiliki dependensi pada AzureFrontDoor.FirstParty tag	Mengakses gambar docker yang disediakan oleh Microsoft. Menyiapkan {i>router

Situasional

Arah	Protokol & port	Tag layanan	Tujuan
Masuk	TCP: 44224	AzureMachineLearning	Membuat, memperbarui, dan menghapus instans/kluster komputasi Azure Pembelajaran Mesin. Diperlukan jika instans/kluster dikonfigurasi dengan opsi IP Publik.
Keluar	TCP: 8787	AzureMachineLearning	Menggunakan Azure Machine Learning service. Port 8787 diperlukan jika Anda menggunakan RStudio.
Keluar	TCP: 445	Storage.region	Data akses yang disimpan di Akun Azure Storage untuk kluster komputasi dan instans komputasi. Untuk informasi tentang mencegah penyelundupan data selama keluar ini, lihat Perlindungan penyelundupan data. 445 hanya diperlukan jika Anda memiliki firewall antara jaringan virtual Anda untuk Azure ML dan titik akhir privat untuk akun penyimpanan Anda.
Keluar	TCP: 443	AzureMonitor	Digunakan untuk mencatat pemantauan dan metrik ke App Insights dan Azure Monitor. Hanya diperlukan jika Anda belum mengamankan Azure Monitor untuk ruang kerja. * Outbound ini juga digunakan untuk mencatat informasi untuk insiden dukungan.
Keluar	TCP: 443	Keyvault.region	Akses brankas kunci untuk layanan Azure Batch. Hanya diperlukan jika Anda mengaktifkan bendera hbi_workspace saat membuat ruang kerja.

Tip

Jika Anda memerlukan alamat IP alih-alih tag layanan, gunakan salah satu opsi berikut:

• Unduh daftar dari Rentang IP Azure dan Tag Layanan.
• Gunakan perintah Azure CLI az network list-service-tags.
• Gunakan perintah Azure PowerShell Get-AzNetworkServiceTag.

Alamat IP dapat berubah seiring waktu.

Anda mungkin juga perlu mengizinkan lalu lintas keluar ke Visual Studio Code dan situs non-Microsoft untuk pemasangan paket yang diperlukan oleh proyek pembelajaran mesin Anda. Tabel berikut mencantumkan repositori yang umum digunakan untuk pembelajaran mesin:

Nama host	Tujuan
anaconda.com *.anaconda.com	Digunakan untuk menginstal paket default.
*.anaconda.org	Digunakan untuk mendapatkan data repositori.
pypi.org	Digunakan untuk mencantumkan dependensi dari indeks default, jika ada, dan indeks tersebut tidak ditimpa oleh pengaturan pengguna. Jika indeks ditimpa, Anda juga harus mengizinkan *.pythonhosted.org.
cloud.r-project.org	Digunakan saat menginstal paket CRAN untuk pengembangan R.
*.pytorch.org	Digunakan oleh beberapa contoh berdasarkan PyTorch.
*.tensorflow.org	Digunakan oleh beberapa contoh berdasarkan Tensorflow.
code.visualstudio.com	Diperlukan untuk mengunduh dan menginstal desktop Visual Studio Code. Ini tidak diperlukan untuk Visual Studio Code Web.
update.code.visualstudio.com *.vo.msecnd.net	Digunakan untuk mengambil bit server Visual Studio Code yang diinstal pada instans komputasi melalui skrip penyiapan.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Diperlukan untuk mengunduh dan menginstal ekstensi Visual Studio Code. Host ini memungkinkan koneksi jarak jauh ke Instans Komputasi yang disediakan oleh ekstensi Azure ML untuk Visual Studio Code. Untuk mendapatkan informasi lebih lanjut, lihat Menghubungkan ke instans komputasi Azure Machine Learning dalam Visual Studio Code.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	Digunakan untuk mengambil bit server websocket, yang diinstal pada instans komputasi. Server websocket digunakan untuk mengirimkan permintaan dari klien Visual Studio Code (aplikasi desktop) ke server Visual Studio Code yang berjalan pada instans komputasi.

Catatan

Saat menggunakan ekstensi Azure Pembelajaran Mesin VS Code, instans komputasi jarak jauh akan memerlukan akses ke repositori publik untuk menginstal paket yang diperlukan oleh ekstensi. Jika instans komputasi memerlukan proksi untuk mengakses repositori publik ini atau Internet, Anda harus mengatur dan mengekspor HTTP_PROXY variabel lingkungan dan HTTPS_PROXY dalam ~/.bashrc file instans komputasi. Proses ini dapat diotomatisasi pada waktu provisi dengan menggunakan skrip kustom.

Saat menggunakan Azure Kubernetes Service (AKS) dengan Azure Machine Learning, izinkan lalu lintas berikut ke VNet AKS:

• Persyaratan masuk/keluar umum untuk AKS seperti yang dijelaskan dalam artikel Membatasi lalu lintas keluar di Azure Kubernetes Service .
• Keluar ke mcr.microsoft.com.
• Saat menyebarkan model ke kluster AKS, gunakan panduan di artikel Menyebarkan model ML ke Azure Kubernetes Service.

Untuk informasi tentang menggunakan solusi firewall, lihat Mengonfigurasi komunikasi input dan output yang diperlukan.

Mengamankan ruang kerja dengan titik akhir privat

Dengan Azure Private Link, Anda dapat terhubung ke ruang kerja menggunakan titik akhir privat. Titik akhir privat adalah sekumpulan alamat IP privat dalam jaringan virtual Anda. Anda kemudian dapat membatasi akses ke ruang kerja Anda agar hanya terjadi melalui alamat IP privat. Titik akhir privat membantu mengurangi risiko penyelundupan data.

Untuk informasi selengkapnya tentang mengonfigurasi titik akhir privat untuk ruang kerja Anda, lihat Cara mengonfigurasi titik akhir privat.

Peringatan

Mengamankan ruang kerja dengan titik akhir privat tidak memastikan keamanan menyeluruh dengan sendirinya. Anda harus mengikuti langkah-langkah lainnya dalam artikel ini, dan seri VNet, untuk mengamankan komponen individual solusi Anda. Misalnya, jika Anda menggunakan titik akhir privat untuk ruang kerja, tetapi Akun Azure Storage Anda tidak berada di belakang VNet, lalu lintas antara ruang kerja dan penyimpanan tidak akan menggunakan VNet untuk keamanan.

Akun penyimpanan Azure yang aman

Azure Machine Learning mendukung akun penyimpanan yang dikonfigurasi untuk menggunakan titik akhir privat atau titik akhir layanan.

Titik akhir privat

1. Di portal Microsoft Azure, pilih Akun Azure Storage.

2. Gunakan informasi dalam Menggunakan titik akhir privat untuk Azure Storage untuk menambahkan titik akhir privat untuk sub-sumber daya penyimpanan berikut:

   • Blob
   • File
   • Antrean - Hanya diperlukan jika Anda berencana menggunakan titik akhir Batch atau ParallelRunStep di alur Azure Pembelajaran Mesin.
   • Tabel - Hanya diperlukan jika Anda berencana menggunakan titik akhir Batch atau ParallelRunStep di alur Azure Pembelajaran Mesin.

   

   Tip

   Saat mengonfigurasi akun penyimpanan yang bukan penyimpanan default, pilih jenis Subsumber daya target yang sesuai dengan akun penyimpanan yang ingin Anda tambahkan.

3. Setelah membuat titik akhir privat untuk sumber daya penyimpanan, pilih tab Firewall dan jaringan virtual di bagian Jaringan untuk akun penyimpanan.

4. Pilih Jaringan yang Dipilih, lalu di bawah Instans sumber daya, pilih Microsoft.MachineLearningServices/Workspace sebagai tipe Sumber Daya. Pilih ruang kerja Anda menggunakan nama Instans. Untuk mengetahui informasi selengkapnya, lihat Akses tepercaya berdasarkan identitas terkelola yang ditetapkan sistem.

   Tip

   Atau, Anda dapat memilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini untuk lebih luas memungkinkan akses dari layanan tepercaya. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual.

   

5. Pilih Simpan untuk menyimpan konfigurasi.

Tip

Saat menggunakan titik akhir privat, Anda juga dapat menonaktifkan akses anonim. Untuk informasi selengkapnya, lihat melarang akses anonim.

Titik akhir layanan

1. Di portal Microsoft Azure, pilih Akun Azure Storage.

2. Dari bagian Keamanan + jaringan di sebelah kiri halaman, pilih Jaringan lalu pilih tab Firewall dan jaringan virtual.

3. Pilih Jaringan terpilih. Di bawah Jaringan virtual, pilih tautan Tambahkan jaringan virtual yang ada dan pilih jaringan virtual yang digunakan ruang kerja Anda.

   Penting

   Akun penyimpanan harus berada di jaringan virtual dan subnet yang sama dengan instans komputasi atau kluster yang digunakan untuk pelatihan atau inferensi.

4. Di bawah Instans sumber daya, pilih Microsoft.MachineLearningServices/Workspace sebagai Jenis sumber daya dan pilih ruang kerja Anda menggunakan Nama instans. Untuk mengetahui informasi selengkapnya, lihat Akses tepercaya berdasarkan identitas terkelola yang ditetapkan sistem.

   Tip

   Atau, Anda dapat memilih Izinkan layanan Azure pada daftar layanan tepercaya untuk mengakses akun penyimpanan ini untuk lebih luas memungkinkan akses dari layanan tepercaya. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual.

   

5. Pilih Simpan untuk menyimpan konfigurasi.

Tip

Saat menggunakan titik akhir layanan, Anda juga dapat menonaktifkan akses anonim. Untuk informasi selengkapnya, lihat melarang akses anonim.

Mengamankan Azure Key Vault

Azure Machine Learning menggunakan instans Key Vault terkait untuk menyimpan kredensial berikut:

• String koneksi akun penyimpanan terkait
• Kata sandi ke instans Azure Container Repository
• String koneksi ke penyimpanan data

Brankas kunci Azure dapat dikonfigurasi untuk menggunakan titik akhir privat atau titik akhir layanan. Agar dapat menggunakan kemampuan eksperimen Azure Machine Learning dengan Azure Key Vault di belakang jaringan virtual, gunakan langkah-langkah berikut:

Tip

Kami menyarankan agar brankas kunci berada di VNet yang sama dengan ruang kerja, namun dapat berada di VNet yang di-peering.

Titik akhir privat

Untuk mengetahui informasi tentang menggunakan titik akhir privat dengan Azure Key Vault, lihat Mengintegrasikan Key Vault dengan Azure Private Link.

Titik akhir layanan

1. Buka Key Vault yang dikaitkan dengan ruang kerja.

2. Di halaman Key Vault, pilih Jaringan di panel kiri.

3. Pada tab Firewall dan jaringan virtual, lakukan tindakan berikut:

   1. Di bawah Izinkan akses dari, pilih Izinkan akses publik dari jaringan virtual dan alamat IP tertentu.
   2. Di bagian Jaringan virtual, pilih Tambahkan jaringan virtual, Tambahkan jaringan virtual yang sudah ada, dan tambahkan jaringan virtual/subnet tempat komputasi eksperimen Anda berada.
   3. Verifikasi bahwa Izinkan layanan Microsoft tepercaya untuk melewati firewall ini dicentang, lalu pilih Terapkan.

   

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi pengaturan jaringan Azure Key Vault.

Mengaktifkan Azure Container Registry (ACR)

Tip

Jika Anda tidak menggunakan Azure Container Registry yang sudah ada saat membuat ruang kerja, mungkin ACR tidak ada. Secara default, ruang kerja tidak akan membuat instans ACR hingga diperlukan. Untuk membuat paksa ACR, latih atau sebarkan model menggunakan ruang kerja Anda sebelum menggunakan langkah-langkah di bagian ini.

Azure Container Registry dapat dikonfigurasi untuk menggunakan titik akhir privat. Gunakan langkah-langkah berikut untuk mengonfigurasi ruang kerja Anda untuk menggunakan ACR saat berada di jaringan virtual:

1. Temukan nama Azure Container Registry untuk ruang kerja Anda menggunakan salah satu metode berikut:

   Azure CLI

   BERLAKU UNTUK: Ekstensi ml Azure CLI v2 (saat ini)

   Jika Anda telah menginstal ekstensi Machine Learning untuk Azure CLI v2, Anda dapat menggunakan perintah az ml workspace show untuk menampilkan informasi ruang kerja. Ekstensi v1 tidak mengembalikan informasi ini.

   az ml workspace show -n yourworkspacename -g resourcegroupname --query 'container_registry'
   

   Perintah ini mengembalikan nilai yang mirip dengan "/subscriptions/{GUID}/resourceGroups/{resourcegroupname}/providers/Microsoft.ContainerRegistry/registries/{ACRname}". Bagian terakhir dari string adalah nama Azure Container Registry untuk ruang kerja.

   Python SDK

   BERLAKU UNTUK: Python SDK azure-ai-ml v2 (saat ini)

   Cuplikan kode berikut menunjukkan cara mendapatkan informasi registri kontainer dengan menggunakan SDK Azure Machine Learning:

    # import required libraries
    from azure.ai.ml import MLClient
    from azure.identity import DefaultAzureCredential
   
    subscription_id = "<your subscription ID>"
    resource_group = "<your resource group name>"
    workspace = "<your workspace name>"
   
    ml_client = MLClient(
        DefaultAzureCredential(), subscription_id, resource_group, workspace
    )
   
    # Get workspace info
    ws=ml_client.workspaces.get(name=workspace)
    print(ws.container_registry)
   

   Kode ini menampilkan nilai yang mirip dengan "/subscriptions/{GUID}/resourceGroups/{resourcegroupname}/providers/Microsoft.ContainerRegistry/registries/{ACRname}". Bagian terakhir dari string adalah nama Azure Container Registry untuk ruang kerja.

   Portal

   Dari bagian gambaran umum ruang kerja Anda, nilai Registri tertaut ke Azure Container Registry.

   

2. Batasi akses ke jaringan virtual Anda menggunakan langkah-langkah di Sambungkan secara privat ke Azure Container Registry. Saat menambahkan jaringan virtual, pilih jaringan virtual dan subnet untuk sumber daya Azure Machine Learning Anda.

3. Konfigurasikan ACR untuk ruang kerja agar Mengizinkan akses oleh layanan tepercaya.

4. Secara default, Azure Pembelajaran Mesin akan mencoba menggunakan komputasi tanpa server untuk membangun gambar. Ini hanya berfungsi ketika sumber daya yang bergantung pada ruang kerja seperti Akun Penyimpanan atau Container Registry tidak berada di bawah batasan jaringan apa pun (titik akhir privat). Jika sumber daya yang bergantung pada ruang kerja Anda dibatasi jaringan, gunakan image-build-compute sebagai gantinya.

5. Untuk menyiapkan komputasi build gambar, buat azure Pembelajaran Mesin kluster komputasi SKU CPU di VNet yang sama dengan sumber daya yang bergantung pada ruang kerja Anda. Kluster ini kemudian dapat diatur sebagai komputasi build gambar default dan akan digunakan untuk membangun setiap gambar di ruang kerja Anda sejak saat itu dan seterusnya. Gunakan salah satu metode berikut untuk mengonfigurasi ruang kerja untuk membuat gambar Docker dengan menggunakan kluster komputasi.

   Penting

   Batasan berikut berlaku Saat menggunakan kluster komputasi untuk build gambar:

   • Hanya SKU CPU saja yang didukung.
   • Jika Anda menggunakan kluster komputasi yang dikonfigurasi tanpa alamat IP publik, Anda harus menyediakan beberapa cara bagi kluster untuk mengakses internet publik. Akses internet diperlukan saat mengakses gambar yang disimpan di Microsoft Container Registry, paket yang diinstal pada Pypi, Conda, dll. Anda perlu mengonfigurasi User Defined Routing (UDR) untuk menjangkau IP publik untuk mengakses internet. Misalnya, Anda dapat menggunakan IP publik firewall Anda, atau Anda dapat menggunakan Virtual Network NAT dengan IP publik. Untuk informasi selengkapnya, lihat Cara melatih dengan aman di VNet.
   Azure CLI

   Anda dapat menggunakan perintah az ml workspace update untuk mengatur komputasi build. Perintahnya sama untuk ekstensi v1 dan v2 Azure CLI untuk pembelajaran mesin. Dalam perintah berikut, ganti myworkspace dengan nama ruang kerja Anda, myresourcegroup dengan grup sumber daya yang berisi ruang kerja, dan mycomputecluster dengan nama kluster komputasi:

   az ml workspace update --name myworkspace --resource-group myresourcegroup --image-build-compute mycomputecluster
   

   Anda dapat beralih kembali ke komputasi tanpa server dengan menjalankan perintah yang sama dan merujuk komputasi sebagai ruang kosong: --image-build-compute ''.

   Python SDK

   Cuplikan kode berikut menunjukkan cara memperbarui ruang kerja untuk mengatur komputasi build dengan menggunakan SDK Azure Machine Learning. Ganti mycomputecluster dengan nama kluster untuk menggunakan:

   BERLAKU UNTUK: Python SDK azure-ai-ml v2 (saat ini)

   # import required libraries
   from azure.ai.ml import MLClient
   from azure.identity import DefaultAzureCredential
   
   subscription_id = "<your subscription ID>"
   resource_group = "<your resource group name>"
   workspace = "<your workspace name>"
   
   ml_client = MLClient(
       DefaultAzureCredential(), subscription_id, resource_group, workspace
   )
   
   # Get workspace info
   ws=ml_client.workspaces.get(name=workspace)
   # Update to use cpu-cluster for image builds
   ws.image_build_compute="cpu-cluster"
   ml_client.workspaces.begin_update(ws)
   
   # To switch back to serverless compute:
   # ws.image_build_compute = ''
   # ml_client.workspaces.begin_update(ws)
   

   Untuk informasi selengkapnya, lihat referensi metode begin_update .

   Portal

   Saat ini, tidak ada cara untuk mengatur komputasi build gambar dari portal Azure.

Tip

Apabila ACR berada di belakang VNet, Anda juga dapat menonaktifkan akses publiknya.

Mengamankan Azure Monitor dan Application Insights

Untuk mengaktifkan isolasi jaringan untuk Azure Monitor dan instans Application Insights untuk ruang kerja, gunakan langkah-langkah berikut:

1. Buka sumber daya Application Insights Anda di portal Azure. Tab Gambaran Umum mungkin atau mungkin tidak memiliki properti Ruang Kerja. Jika tidak memiliki properti , lakukan langkah 2. Jika ya, maka Anda dapat melanjutkan langsung ke langkah 3.

   Tip

   Ruang kerja baru membuat sumber daya Application Insights berbasis ruang kerja secara default. Jika ruang kerja Anda baru saja dibuat, maka Anda tidak perlu melakukan langkah 2.

2. Tingkatkan instans Application Insights untuk ruang kerja Anda. Untuk langkah-langkah tentang cara meningkatkan, lihat Migrasi ke sumber daya Application Insights berbasis ruang kerja.

3. Buat Cakupan Azure Monitor Private Link dan tambahkan instans Application Insights dari langkah 1 ke cakupan. Untuk informasi selengkapnya, lihat Mengonfigurasi tautan privat Azure Monitor Anda.

Menyambungkan ke ruang kerja Anda dengan aman

Untuk terhubung ke ruang kerja yang diamankan di belakang VNet, gunakan salah satu metode berikut:

• Gateway VPN Azure - Menyambungkan jaringan lokal ke VNet melalui koneksi privat. Koneksi dibuat melalui internet publik. Ada dua jenis gateway VPN yang mungkin Anda gunakan:

  • Titik-ke-situs: Setiap komputer klien menggunakan klien VPN untuk terhubung ke VNet.
  • Situs-ke-situs: Perangkat VPN menghubungkan VNet ke jaringan lokal Anda.

• ExpressRoute - Menyambungkan jaringan lokal ke cloud melalui koneksi privat. Koneksi dibuat menggunakan penyedia konektivitas.

• Azure Bastion - Dalam skenario ini, Anda membuat Komputer Virtual Azure (terkadang disebut jump box) di dalam VNet. Anda kemudian tersambung ke VM menggunakan Azure Bastion. Bastion memungkinkan Anda untuk tersambung ke VM menggunakan sesi RDP atau SSH dari browser web lokal Anda. Anda kemudian menggunakan jump box sebagai lingkungan pengembangan Anda. Karena berada di dalam VNet, jump box dapat langsung mengakses ruang kerja. Untuk contoh menggunakan jump box, lihat Tutorial: Membuat ruang kerja yang aman.

Penting

Saat menggunakan Gateway VPN atau ExpressRoute, Anda perlu merencanakan bagaimana resolusi nama bekerja antara sumber daya lokal Anda dengan yang berada di VNet. Untuk informasi selengkapnya, lihat Menggunakan server DNS kustom.

Jika Anda mengalami masalah saat menyambungkan ke ruang kerja, lihat Memecahkan masalah konektivitas ruang kerja yang aman.

Diagnostik ruang kerja

Anda dapat menjalankan diagnostik di ruang kerja dari studio Azure Machine Learning atau SDK Python. Setelah diagnostik berjalan, daftar masalah yang terdeteksi dikembalikan. Daftar ini mencakup tautan ke solusi yang memungkinkan. Untuk informasi lebih lanjut, lihat Cara menggunakan diagnostik ruang kerja.

Akses publik ke ruang kerja

Penting

Meskipun ini adalah konfigurasi yang didukung untuk Azure Pembelajaran Mesin, Microsoft tidak merekomendasikannya. Anda harus memverifikasi konfigurasi ini dengan tim keamanan Anda sebelum menggunakannya dalam produksi.

Dalam beberapa kasus, Anda mungkin perlu mengizinkan akses ke ruang kerja dari jaringan publik (tanpa menyambungkan melalui jaringan virtual menggunakan metode yang dirinci bagian Sambungkan dengan Aman ke ruang kerja Anda). Akses melalui internet publik diamankan menggunakan TLS.

Untuk mengaktifkan akses jaringan publik ke ruang kerja, gunakan langkah-langkah berikut:

1. Aktifkan akses publik ke ruang kerja setelah mengonfigurasi titik akhir privat ruang kerja.
2. Konfigurasikan firewall Azure Storage untuk memungkinkan komunikasi dengan alamat IP klien yang terhubung melalui internet publik. Anda mungkin perlu mengubah alamat IP yang diizinkan jika klien tidak memiliki IP statis. Misalnya, jika salah satu Ilmuwan Data Anda bekerja dari rumah dan tidak dapat membuat koneksi VPN ke jaringan virtual.

Langkah berikutnya

Artikel ini adalah bagian dari seri tentang mengamankan alur kerja Azure Machine Learning. Lihat artikel lain dalam seri ini:

• Gambaran umum virtual network
• Mengamankan lingkungan pelatihan
• Mengamankan lingkungan inferensi
• Mengaktifkan fungsionalitas studio
• Menggunakan DNS kustom
• Menggunakan firewall
• Tutorial: Cara membuat ruang kerja yang aman
• Templat Bicep
• Templat terraform.
• Isolasi jaringan platform API