Proteggere un ambiente di training di Azure Machine Learning con reti virtuali (SDKv1)

SI APPLICA A:Python SDK azureml v1

Questo articolo illustra come proteggere gli ambienti di training con una rete virtuale in Azure Machine Learning usando Python SDK v1.

È possibile usare l'istanza di calcolo e il cluster di calcolo di Azure Machine Learning per eseguire il training sicuro dei modelli in una rete virtuale. Quando si pianifica l'ambiente, è possibile configurare l'istanza di calcolo o il cluster con o senza un indirizzo IP pubblico. Le differenze generali tra i due sono:

• Nessun indirizzo IP pubblico: riduce i costi perché non ha gli stessi requisiti di risorse di rete. Migliora la sicurezza rimuovendo il requisito per il traffico in ingresso da Internet. Tuttavia, sono necessarie modifiche di configurazione aggiuntive per abilitare l'accesso in uscita alle risorse necessarie (ID Microsoft Entra, Azure Resource Manager e così via).
• IP pubblico: funziona per impostazione predefinita, ma costa di più a causa di risorse di rete di Azure aggiuntive. Richiede la comunicazione in ingresso dal servizio Azure Machine Learning tramite la rete Internet pubblica.

La tabella seguente contiene le differenze tra queste configurazioni:

Impostazione	Con ip pubblico	Senza ip pubblico
Traffico in ingresso	AzureMachineLearning tag del servizio.	None
Traffico in uscita	Per impostazione predefinita, è possibile accedere a Internet pubblico senza restrizioni. È possibile limitare gli accessi usando un gruppo di sicurezza di rete o un firewall.	Per impostazione predefinita, non può accedere a Internet. Se può comunque inviare traffico in uscita a Internet, è dovuto all'accesso in uscita predefinito di Azure e si dispone di un gruppo di sicurezza di rete che consente l'uscita verso Internet. Non è consigliabile usare l'accesso in uscita predefinito. Se è necessario l'accesso in uscita a Internet, è consigliabile usare un gateway NAT Rete virtuale o un firewall se è necessario instradare il traffico in uscita alle risorse necessarie su Internet.
Risorse di rete di Azure	Indirizzo IP pubblico, servizio di bilanciamento del carico, interfaccia di rete	None

È anche possibile usare Azure Databricks o HDInsight per eseguire il training dei modelli in una rete virtuale.

Suggerimento

Microsoft consiglia di usare reti virtuali gestite di Azure Machine Learning anziché i passaggi descritti in questo articolo. Con una rete virtuale gestita, Azure Machine Learning gestisce il processo di isolamento della rete per l'area di lavoro e i calcoli gestiti. È anche possibile aggiungere endpoint privati per le risorse necessarie per l'area di lavoro, ad esempio l'account di Archiviazione di Azure. Per altre informazioni, vedere Isolamento network gestito dell'area di lavoro.

Nota

Per informazioni sull'uso di Azure Machine Learning Studio e Python SDK v2, vedere Proteggere l'ambiente di training (v2).

Per un'esercitazione sulla creazione di un'area di lavoro sicura, vedere Esercitazione: Creare un'area di lavoro sicura in portale di Azure o Esercitazione: Creare un'area di lavoro sicura usando un modello.

Questo articolo illustra come proteggere le risorse di calcolo di training seguenti in una rete virtuale:

• Cluster di calcolo di Azure Machine Learning
• Istanza di calcolo di Azure Machine Learning
• Azure Databricks
• Macchina virtuale
• Cluster HDInsight

Importante

Gli elementi in questo articolo contrassegnati come "anteprima", attualmente sono in anteprima pubblica. La versione di anteprima viene messa a disposizione senza contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.

Prerequisiti

• Leggere l'articolo Panoramica della sicurezza di rete per comprendere gli scenari di rete virtuale comuni e l'architettura complessiva della rete virtuale.

• Una rete virtuale e una subnet esistenti da usare con le risorse di calcolo. Questa rete virtuale deve trovarsi nella stessa sottoscrizione dell'area di lavoro di Azure Machine Learning.

  • È consigliabile inserire gli account di archiviazione usati dall'area di lavoro e i processi di training nella stessa area di Azure che si prevede di usare per le istanze di calcolo e i cluster. Se non si trovano nella stessa area di Azure, è possibile che si verifichino costi di trasferimento dei dati e una maggiore latenza di rete.
  • Assicurarsi che la comunicazione WebSocket sia consentita per *.instances.azureml.net e *.instances.azureml.ms nella rete virtuale. I WebSocket vengono usati da Jupyter nelle istanze di calcolo.

• Una subnet esistente nella rete virtuale. Questa subnet viene usata durante la creazione di istanze di calcolo e cluster.

  • Assicurarsi che la subnet non sia delegata ad altri servizi di Azure.
  • Assicurarsi che la subnet contenga indirizzi IP liberi sufficienti. Ogni istanza di calcolo richiede un indirizzo IP. Ogni nodo all'interno di un cluster di calcolo richiede un indirizzo IP.

• Se si dispone del proprio server DNS, è consigliabile usare l'inoltro DNS per risolvere i nomi di dominio completi (FQDN) delle istanze di calcolo e dei cluster. Per altre informazioni, vedere Usare un DNS personalizzato con Azure Machine Learning.

• Per distribuire le risorse in una rete virtuale o in una subnet, l'account utente deve disporre delle autorizzazioni per le azioni seguenti nel controllo degli accessi in base al ruolo di Azure:

  • "Microsoft.Network/*/read" nella risorsa di rete virtuale. Questa autorizzazione non è necessaria per le distribuzioni di modelli di Azure Resource Manager (ARM).
  • "Microsoft.Network/virtualNetworks/join/action" nella risorsa di rete virtuale.
  • "Microsoft.Network/virtualNetworks/subnets/join/action" nella risorsa subnet.

  Per altre informazioni sul controllo degli accessi in base al ruolo di Azure con la rete, vedere Ruoli predefiniti della rete

Limiti

Cluster/istanza di calcolo di Azure Machine Learning

• I cluster di calcolo possono essere creati in un'area e in una rete virtuale diversa rispetto all'area di lavoro. Tuttavia, questa funzionalità è disponibile solo usando SDK v2, CLI v2 o Studio. Per altre informazioni, vedere la versione v2 degli ambienti di training sicuri.

• La distribuzione di cluster/istanze di calcolo nella rete virtuale non è supportata con Azure Lighthouse.

• La porta 445 deve essere aperta per le comunicazioni di rete privata tra le istanze di calcolo e l'account di archiviazione predefinito durante il training. Ad esempio, se i calcoli si trovano in una rete virtuale e l'account di archiviazione si trova in un altro, non bloccare la porta 445 nella rete virtuale dell'account di archiviazione.

Azure Databricks

• La rete virtuale deve trovarsi nella stessa sottoscrizione e area dell'area di lavoro di Azure Machine Learning.
• Se anche gli account di archiviazione di Azure per l'area di lavoro sono protetti in una rete virtuale, devono trovarsi nella stessa rete virtuale del cluster di Azure Databricks.
• Oltre alle subnet databricks-private e databricks-public usate da Azure Databricks, è necessaria anche la subnet predefinita creata per la rete virtuale.
• Azure Databricks non usa un endpoint privato per comunicare con la rete virtuale.

Per altre informazioni sull'uso di Azure Databricks in una rete virtuale, vedere Distribuire Azure Databricks in Azure Rete virtuale.

Azure HDInsight o macchina virtuale

• Azure Machine Learning supporta solo macchine virtuali che eseguono Ubuntu.

Istanza di calcolo/cluster senza ip pubblico

Importante

Se si usano istanze di calcolo o cluster di calcolo configurati per nessun indirizzo IP pubblico senza acconsentire esplicitamente all'anteprima, sarà necessario eliminarli e ricrearli dopo il 20 gennaio 2023 (quando la funzionalità è disponibile a livello generale).

Se in precedenza si usava l'anteprima di nessun indirizzo IP pubblico, potrebbe essere necessario modificare anche il traffico consentito in ingresso e in uscita, perché i requisiti sono stati modificati per la disponibilità generale:

• Requisiti in uscita: due in uscita aggiuntivi, che vengono usati solo per la gestione di istanze di calcolo e cluster. La destinazione di questi tag di servizio è di proprietà di Microsoft:
  • AzureMachineLearning tag di servizio sulla porta UDP 5831.
  • BatchNodeManagement tag di servizio sulla porta TCP 443.

Le configurazioni seguenti sono aggiunte a quelle elencate nella sezione Prerequisiti e sono specifiche per la creazione di istanze di calcolo/cluster configurati per nessun indirizzo IP pubblico:

• È necessario usare un endpoint privato dell'area di lavoro per la risorsa di calcolo per comunicare con i servizi di Azure Machine Learning dalla rete virtuale. Per altre informazioni, vedere Configurare un endpoint privato per l'area di lavoro di Azure Machine Learning.

• Nella rete virtuale consentire il traffico in uscita ai tag di servizio seguenti o ai nomi di dominio completi (FQDN):

  Tag di servizio	Protocollo	Port	Note
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Comunicazione con il servizio Azure Machine Learning.
  BatchNodeManagement.<region>	QUALSIASI	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Comunicazione con Azure Batch. L'istanza di calcolo e il cluster di elaborazione vengono implementati usando il servizio Azure Batch.
  Storage.<region>	TCP	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Questo tag del servizio viene usato per comunicare con l'account di archiviazione di Azure usato da Azure Batch.

  Importante

  L'accesso in uscita a Storage.<region> potrebbe essere usato per esfiltrare i dati dall'area di lavoro. Usando un criterio endpoint di servizio, è possibile attenuare questa vulnerabilità. Per altre informazioni, vedere l'articolo Prevenzione dell'esfiltrazione dei dati di Azure Machine Learning.

  FQDN	Protocollo	Port	Note
  <region>.tundra.azureml.ms	UDP	5831	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning.
  graph.windows.net	TCP	443	Comunicazione con l'API Microsoft Graph.
  *.instances.azureml.ms	TCP	443/8787/18881	Comunicazione con Azure Machine Learning.
  *.<region>.batch.azure.com	QUALSIASI	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Comunicazione con Azure Batch.
  *.<region>.service.batch.azure.com	QUALSIASI	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Comunicazione con Azure Batch.
  *.blob.core.windows.net	TCP	443	Comunicazione con archiviazione BLOB di Azure.
  *.queue.core.windows.net	TCP	443	Comunicazione con archiviazione code di Azure.
  *.table.core.windows.net	TCP	443	Comunicazione con archiviazione tabelle di Azure.

• Creare un firewall e regole in uscita o un gateway NAT e gruppi di servizi di rete per consentire il traffico in uscita. Poiché l'ambiente di calcolo non ha un indirizzo IP pubblico, non può comunicare con le risorse su Internet pubblico senza questa configurazione. Ad esempio, non sarebbe in grado di comunicare con Microsoft Entra ID o Azure Resource Manager. Anche l'installazione di pacchetti Python da origini pubbliche richiederebbe questa configurazione.

  Per altre informazioni sul traffico in uscita usato da Azure Machine Learning, vedere gli articoli seguenti:

  • Configurare il traffico di rete in ingresso e in uscita.
  • Metodi di connettività in uscita di Azure.

Usare le informazioni seguenti per creare un'istanza di calcolo o un cluster senza indirizzo IP pubblico:

Per creare un'istanza di calcolo o un cluster di calcolo senza ip pubblico, usare l'interfaccia utente studio di Azure Machine Learning per creare la risorsa:

1. Accedere al studio di Azure Machine Learning e quindi selezionare la sottoscrizione e l'area di lavoro.

2. Selezionare la pagina Calcolo sulla barra di spostamento a sinistra.

3. Selezionare + Nuovo dalla barra di spostamento dell'istanza di calcolo o del cluster di calcolo.

4. Configurare le dimensioni e la configurazione della macchina virtuale necessarie, quindi selezionare Avanti.

5. Nell'Impostazioni Avanzate selezionare Abilita rete virtuale, rete virtuale e subnet e infine selezionare l'opzione Nessun indirizzo IP pubblico nella sezione Rete virtuale/subnet.

   

Suggerimento

È anche possibile usare l'estensione Azure Machine Learning SDK v2 o l'interfaccia della riga di comando di Azure per ML v2. Per informazioni sulla creazione di un'istanza di calcolo o di un cluster senza ip pubblico, vedere l'articolo Sulla versione 2 di Proteggere un ambiente di training di Azure Machine Learning.

Istanza di calcolo/cluster con indirizzo IP pubblico

Le configurazioni seguenti sono aggiunte a quelle elencate nella sezione Prerequisiti e sono specifiche per la creazione di istanze di calcolo/cluster con un indirizzo IP pubblico:

• Se si inserisce più istanze di calcolo/cluster in una rete virtuale, potrebbe essere necessario richiedere un aumento della quota per una o più risorse. L'istanza di calcolo o il cluster di Machine Learning alloca automaticamente le risorse di rete nel gruppo di risorse che contiene la rete virtuale. Per ogni istanza o cluster, il servizio alloca le risorse seguenti:

  • Viene creato automaticamente un gruppo di sicurezza di rete. Questo gruppo di sicurezza di rete consente il traffico TCP in ingresso sulla porta 44224 dal tag del AzureMachineLearning servizio.

    Importante

    L'istanza di calcolo e il cluster di calcolo creano automaticamente un gruppo di sicurezza di rete con le regole necessarie.

    Se si dispone di un altro gruppo di sicurezza di rete a livello di subnet, le regole nel gruppo di sicurezza di rete a livello di subnet non devono essere in conflitto con le regole nel gruppo di sicurezza di rete creato automaticamente.

    Per informazioni su come i gruppi di sicurezza di rete filtrano il traffico di rete, vedere Come i gruppi di sicurezza di rete filtrano il traffico di rete.

  • Un bilanciamento del carico

  Per i cluster di calcolo, queste risorse vengono eliminate ogni volta che il cluster si riduce a 0 nodi e viene creato quando si aumenta il numero di istanze.

  Per un'istanza di calcolo, queste risorse vengono mantenute fino a quando l'istanza non viene eliminata. L'arresto dell'istanza non rimuove le risorse.

  Importante

  Queste risorse sono limitate in base alle quote delle risorse della sottoscrizione. Se il gruppo di risorse di rete virtuale è bloccato, l'eliminazione del cluster o dell'istanza di calcolo avrà esito negativo. Il servizio di bilanciamento del carico non può essere eliminato finché non viene eliminato il cluster o l'istanza di calcolo. Assicurarsi inoltre che non vi sia alcuna assegnazione Criteri di Azure che impedisce la creazione di gruppi di sicurezza di rete.

• Nella rete virtuale consentire il traffico TCP in ingresso sulla porta 44224 dal tag del AzureMachineLearning servizio.

  Importante

  All'istanza di calcolo o al cluster viene assegnato dinamicamente un indirizzo IP al momento della creazione. Poiché l'indirizzo non è noto prima della creazione e l'accesso in ingresso è necessario come parte del processo di creazione, non è possibile assegnarlo in modo statico nel firewall. Se invece si usa un firewall con la rete virtuale, è necessario creare una route definita dall'utente per consentire il traffico in ingresso.

• Nella rete virtuale consentire il traffico in uscita ai seguenti tag del servizio:

  Tag di servizio	Protocollo	Port	Note
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Comunicazione con il servizio Azure Machine Learning.
  BatchNodeManagement.<region>	QUALSIASI	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Comunicazione con Azure Batch. L'istanza di calcolo e il cluster di elaborazione vengono implementati usando il servizio Azure Batch.
  Storage.<region>	TCP	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Questo tag del servizio viene usato per comunicare con l'account di archiviazione di Azure usato da Azure Batch.

  Importante

  L'accesso in uscita a Storage.<region> potrebbe essere usato per esfiltrare i dati dall'area di lavoro. Usando un criterio endpoint di servizio, è possibile attenuare questa vulnerabilità. Per altre informazioni, vedere l'articolo Prevenzione dell'esfiltrazione dei dati di Azure Machine Learning.

  FQDN	Protocollo	Port	Note
  <region>.tundra.azureml.ms	UDP	5831	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning.
  graph.windows.net	TCP	443	Comunicazione con l'API Microsoft Graph.
  *.instances.azureml.ms	TCP	443/8787/18881	Comunicazione con Azure Machine Learning.
  *.<region>.batch.azure.com	QUALSIASI	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Comunicazione con Azure Batch.
  *.<region>.service.batch.azure.com	QUALSIASI	443	Sostituire <region> con l'area di Azure che contiene l'area di lavoro di Azure Machine Learning. Comunicazione con Azure Batch.
  *.blob.core.windows.net	TCP	443	Comunicazione con archiviazione BLOB di Azure.
  *.queue.core.windows.net	TCP	443	Comunicazione con archiviazione code di Azure.
  *.table.core.windows.net	TCP	443	Comunicazione con archiviazione tabelle di Azure.

Istanza di calcolo

SI APPLICA A:Python SDK azureml v1

import datetime
import time

from azureml.core.compute import ComputeTarget, ComputeInstance
from azureml.core.compute_target import ComputeTargetException

# Choose a name for your instance
# Compute instance name should be unique across the azure region
compute_name = "ci{}".format(ws._workspace_id)[:10]

# Verify that instance does not exist already
try:
    instance = ComputeInstance(workspace=ws, name=compute_name)
    print('Found existing instance, use it.')
except ComputeTargetException:
    compute_config = ComputeInstance.provisioning_configuration(
        vm_size='STANDARD_D3_V2',
        ssh_public_access=False,
        vnet_resourcegroup_name='vnet_resourcegroup_name',
        vnet_name='vnet_name',
        subnet_name='subnet_name',
        # admin_user_ssh_public_key='<my-sshkey>'
    )
    instance = ComputeInstance.create(ws, compute_name, compute_config)
    instance.wait_for_completion(show_output=True)

Cluster di calcolo

SI APPLICA A:Python SDK azureml v1

from azureml.core.compute import ComputeTarget, AmlCompute
from azureml.core.compute_target import ComputeTargetException

# The Azure virtual network name, subnet, and resource group
vnet_name = 'mynetwork'
subnet_name = 'default'
vnet_resourcegroup_name = 'mygroup'

# Choose a name for your CPU cluster
cpu_cluster_name = "cpucluster"

# Verify that cluster does not exist already
try:
    cpu_cluster = ComputeTarget(workspace=ws, name=cpu_cluster_name)
    print("Found existing cpucluster")
except ComputeTargetException:
    print("Creating new cpucluster")

    # Specify the configuration for the new cluster
    compute_config = AmlCompute.provisioning_configuration(vm_size="STANDARD_D2_V2",
                                                           min_nodes=0,
                                                           max_nodes=4,
                                                           location="westus2",
                                                           vnet_resourcegroup_name=vnet_resourcegroup_name,
                                                           vnet_name=vnet_name,
                                                           subnet_name=subnet_name)

    # Create the cluster with the specified name and configuration
    cpu_cluster = ComputeTarget.create(ws, cpu_cluster_name, compute_config)

    # Wait for the cluster to be completed, show the output log
    cpu_cluster.wait_for_completion(show_output=True)

Al termine del processo di creazione, eseguire il training del modello. Per altre informazioni, vedere Configurare le destinazioni di calcolo per il training del modello.

Azure Databricks

• La rete virtuale deve trovarsi nella stessa sottoscrizione e area dell'area di lavoro di Azure Machine Learning.
• Se anche gli account di archiviazione di Azure per l'area di lavoro sono protetti in una rete virtuale, devono trovarsi nella stessa rete virtuale del cluster di Azure Databricks.
• Oltre alle subnet databricks-private e databricks-public usate da Azure Databricks, è necessaria anche la subnet predefinita creata per la rete virtuale.
• Azure Databricks non usa un endpoint privato per comunicare con la rete virtuale.

Per informazioni specifiche sull'uso di Azure Databricks con una rete virtuale, vedere Distribuire Azure Databricks nella rete virtuale di Azure.

Accesso a Internet pubblico necessario per eseguire il training dei modelli

Importante

Mentre le sezioni precedenti di questo articolo descrivono le configurazioni necessarie per creare risorse di calcolo, le informazioni di configurazione in questa sezione sono necessarie per usare queste risorse per eseguire il training dei modelli.

Azure Machine Learning richiede l'accesso in ingresso e in uscita alla rete Internet pubblica. Le tabelle seguenti forniscono una panoramica dell'accesso necessario e dello scopo che serve. Per i tag di servizio che terminano in .region, sostituire region con l'area di Azure che contiene l'area di lavoro. Ad esempio, Storage.westus:

Suggerimento

La scheda obbligatoria elenca la configurazione in ingresso e in uscita richiesta. La scheda situazione elenca le configurazioni in ingresso e in uscita facoltative richieste da configurazioni specifiche che è possibile abilitare.

Obbligatorio

Direzione	Protocollo & ports	Tag di servizio	Scopo
In uscita	TCP: 80, 443	AzureActiveDirectory	Autenticazione usando Microsoft Entra ID.
In uscita	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Uso dei servizi Azure Machine Learning. Python intellisense nei notebook usa la porta 18881. La creazione, l'aggiornamento e l'eliminazione di un'istanza di calcolo di Azure Machine Learning usano la porta 5831.
In uscita	ANY: 443	BatchNodeManagement.region	Comunicazione con il back-end di Azure Batch per istanze/cluster di calcolo di Azure Machine Learning.
In uscita	TCP: 443	AzureResourceManager	Creazione di risorse di Azure con Azure Machine Learning, l'interfaccia della riga di comando di Azure e Azure Machine Learning SDK.
In uscita	TCP: 443	Storage.region	Accedere ai dati archiviati nell'account di archiviazione di Azure per il cluster di calcolo e l'istanza di calcolo. Per informazioni sulla prevenzione dell'esfiltrazione dei dati in uscita, vedere Protezione dell'esfiltrazione dei dati.
In uscita	TCP: 443	AzureFrontDoor.FrontEnd * Non necessario in Microsoft Azure gestito da 21Vianet.	Punto di ingresso globale per studio di Azure Machine Learning. Archiviare immagini e ambienti per AutoML. Per informazioni sulla prevenzione dell'esfiltrazione dei dati in uscita, vedere Protezione dell'esfiltrazione dei dati.
In uscita	TCP: 443	MicrosoftContainerRegistry.region Si noti che questo tag ha una dipendenza dal AzureFrontDoor.FirstParty tag	Accedere alle immagini Docker fornite da Microsoft. Configurazione del router di Azure Machine Learning per servizio Azure Kubernetes.

Situazionale

Direzione	Protocollo & ports	Tag di servizio	Scopo
In entrata	TCP: 44224	AzureMachineLearning	Creare, aggiornare ed eliminare l'istanza o il cluster di calcolo di Azure Machine Learning. Obbligatorio se l'istanza o il cluster è configurato con un'opzione IP pubblico.
In uscita	TCP: 8787	AzureMachineLearning	Uso dei servizi Azure Machine Learning. La porta 8787 è necessaria se si usa RStudio.
In uscita	TCP: 445	Storage.region	Accedere ai dati archiviati nell'account di archiviazione di Azure per il cluster di calcolo e l'istanza di calcolo. Per informazioni sulla prevenzione dell'esfiltrazione dei dati in uscita, vedere Protezione dell'esfiltrazione dei dati. 445 è necessario solo se è disponibile un firewall tra la rete virtuale per Azure ML e un endpoint privato per gli account di archiviazione.
In uscita	TCP: 443	AzureMonitor	Usato per registrare il monitoraggio e le metriche in App Insights e Monitoraggio di Azure. È necessario solo se Monitoraggio di Azure non è stato protetto per l'area di lavoro. * Questo valore in uscita viene usato anche per registrare le informazioni per gli eventi imprevisti di supporto.
In uscita	TCP: 443	Keyvault.region	Accedere all'insieme di credenziali delle chiavi per il servizio Azure Batch. È necessario solo se è stato abilitato il flag hbi_workspace durante la creazione dell'area di lavoro.

Suggerimento

Se sono necessari gli indirizzi IP anziché i tag di servizio, usare una delle opzioni seguenti:

• Scaricare un elenco da intervalli IP e tag di servizio di Azure.
• Usare il comando az network list-service-tags dell'interfaccia della riga di comando di Azure.
• Usare il comando Get-AzNetworkServiceTag di Azure PowerShell.

Gli indirizzi IP possono cambiare periodicamente.

Potrebbe anche essere necessario consentire il traffico in uscita verso Visual Studio Code e siti non Microsoft per l'installazione di pacchetti richiesti dal progetto di Machine Learning. La tabella seguente elenca i repository di uso comune per Machine Learning:

Nome host	Scopo
anaconda.com *.anaconda.com	Usato per installare i pacchetti predefiniti.
*.anaconda.org	Usato per ottenere i dati del repository.
pypi.org	Usato per elencare le dipendenze dall'indice predefinito, se presenti, e l'indice non viene sovrascritto dalle impostazioni utente. Se l'indice viene sovrascritto, è necessario anche consentire *.pythonhosted.org.
cloud.r-project.org	Usato durante l'installazione di pacchetti CRAN per lo sviluppo di R.
*.pytorch.org	Usato da alcuni esempi basati su PyTorch.
*.tensorflow.org	Usato da alcuni esempi basati su Tensorflow.
code.visualstudio.com	Obbligatorio per scaricare e installare Visual Studio Code desktop. Questa operazione non è necessaria per il Web di Visual Studio Code.
update.code.visualstudio.com *.vo.msecnd.net	Usato per recuperare i bit del server di Visual Studio Code installati nell'istanza di calcolo tramite uno script di installazione.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Obbligatorio per scaricare e installare le estensioni di Visual Studio Code. Questi host abilitano la connessione remota alle istanze di calcolo fornite dall'estensione Azure ML per Visual Studio Code. Per altre informazioni, vedere Connettersi a un'istanza di ambiente di calcolo di Azure Machine Learning in Visual Studio Code.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	Usato per recuperare i bit del server Websocket, installati nell'istanza di calcolo. Il server WebSocket viene usato per trasmettere le richieste dal client Visual Studio Code (applicazione desktop) al server Visual Studio Code in esecuzione nell'istanza di calcolo.

Nota

Quando si usa l'estensione VS Code di Azure Machine Learning, l'istanza di calcolo remota richiederà l'accesso ai repository pubblici per installare i pacchetti richiesti dall'estensione. Se l'istanza di calcolo richiede un proxy per accedere a questi repository pubblici o a Internet, sarà necessario impostare ed esportare le HTTP_PROXY variabili di ambiente e HTTPS_PROXY nel ~/.bashrc file dell'istanza di calcolo. Questo processo può essere automatizzato in fase di provisioning usando uno script personalizzato.

Quando si usa servizio Azure Kubernetes (AKS) con Azure Machine Learning, consentire il traffico seguente alla rete virtuale del servizio Azure Kubernetes:

• Requisiti generali in ingresso/in uscita per il servizio Azure Kubernetes, come descritto nell'articolo Limitare il traffico in uscita in servizio Azure Kubernetes.
• In uscita verso mcr.microsoft.com.
• Quando si distribuisce un modello in un cluster del servizio Azure Kubernetes, usare le linee guida nell'articolo Distribuire modelli di Machine Learning per servizio Azure Kubernetes.

Per informazioni sull'uso di una soluzione firewall, vedere Usare un firewall con Azure Machine Learning.

Passaggi successivi

Questo articolo fa parte di una serie sulla protezione di un flusso di lavoro di Azure Machine Learning. Vedere gli altri articoli di questa serie:

• Panoramica della rete virtuale (v1)
• Proteggere le risorse dell'area di lavoro
• Ambiente di inferenza sicura (v1)
• Abilitare la funzionalità di Studio
• Usare DNS personalizzato
• Usare un firewall