Azure Resource Manager 上の新しい API プラットフォームでのネットワーク分離の変更
この記事では、Azure Resource Manager (ARM) 上の新しい v2 API プラットフォームでのネットワーク分離の変更について、およびネットワーク分離へのその影響について説明します。
Azure Resource Manager (ARM) 上の新しい API プラットフォームとは
v1 と v2 の API の操作では、Azure Resource Manager (ARM) と Azure Machine Learning ワークスペースの 2 種類が使用されます。
v1 API では、ほとんどの操作でワークスペースが使用されました。 v2 では、ほとんどの操作でパブリック ARM が使用されるようになりました。
| API バージョン | パブリック ARM | ワークスペース仮想ネットワーク内 |
|---|---|---|
| v1 | ワークスペースとコンピューティングの作成、更新、削除 (CRUD) 操作。 | 実験などのその他の操作。 |
| v2 | ワークスペース、コンピューティング、データストア、データセット、ジョブ、環境、コード、コンポーネント、エンドポイントなどのほとんどの操作。 | 残りの操作。 |
v2 API では、一貫性のある API が 1 か所で提供されます。 v2 API は Azure Resource Manager に基づいているため、v2 API では、リソースに対して Azure ロールベースのアクセス制御と Azure Policy をより簡単に使用できます。
Azure Machine Learning CLI v2 では、新しい v2 API プラットフォームが使用されます。 マネージド オンライン エンドポイントなどの新しい機能は、v2 API プラットフォームでのみ使用できます。
V2 でのネットワーク分離の変更とは
前のセクションで説明したように、操作では ARM とワークスペースの 2 種類が使用されます。 レガシ v1 API では、ほとんどの操作でワークスペースが使用されました。 v1 API では、ワークスペースにプライベート エンドポイントを追加すると、ワークスペースまたはコンピューティング リソースに対する CRUD 操作を除くすべてに対してネットワーク分離が提供されました。
新しい v2 API では、ほとんどの操作で ARM が使用されます。 そのため、ワークスペースでプライベート エンドポイントを有効にしても、同じレベルのネットワーク分離は提供されません。 ARM を使用する操作は、パブリック ネットワーク経由で通信し、操作で使用されるメタデータ (リソース ID など) やパラメーターを組み込みます。 たとえば、パラメーター。
重要
ほとんどの場合、パブリック ARM 通信を使用しても問題ありません。
- パブリック ARM 通信は、Azure サービスの管理操作の標準です。 たとえば、Azure Storage アカウントまたは Azure Virtual Network を作成するには、ARM を使用します。
- Azure Machine Learning の操作では、パブリック ネットワーク上のストレージ アカウント (または VNet 内の他のストレージ) のデータは公開されません。 たとえば、VNet 内のコンピューティング クラスターで実行され、VNet 内のストレージ アカウントのデータを使用するトレーニング ジョブは、VNet を使用してデータに直接安全にアクセスします。
- パブリック ARM とのすべての通信は、TLS 1.2 を使用して暗号化されます。
新しい v2 API をエンタープライズ ソリューションに導入する前に評価する時間が必要な場合、またはパブリック ネットワーク経由での送信通信を禁止する企業ポリシーがある場合、v1_legacy_mode パラメーターを有効にできます。 このパラメーターを有効にすると、ワークスペースに対して v2 API が無効になります。
警告
v1_legacy_mode を有効にすると、v2 API によって提供される機能を使用できなくなる場合があります。 たとえば、Azure Machine Learning スタジオの一部の機能は使用できない場合があります。
シナリオと必要なアクション
警告
v1_legacy_mode パラメーターは現在使用できますが、v2 API のブロック機能は 2022 年 5 月 15 日の週から適用されます。
ワークスペースでプライベート エンドポイントを使用する予定がない場合は、このパラメーターを有効にする必要はありません。
パブリック ARM と通信する操作で問題がない場合は、このパラメーターを有効にする必要はありません。
ワークスペースでプライベート エンドポイントを使用し、"かつ" パブリック ネットワーク経由での ARM の操作を許可しない場合に限り、このパラメーターを有効にする必要があります。
このパラメーターを実装すると、このパラメーターは、次のロジックを使用して既存のワークスペースに遡及的に適用されます。
プライベート エンドポイントを含む既存のワークスペースがある場合、このフラグは true になります。
プライベート エンドポイントなしの既存のワークスペース (パブリック ワークスペース) がある場合、このフラグは false になります。
このパラメーターが実装された後、このフラグの既定値は、(プライベート エンドポイントを含む) ワークスペースを作成するときに使用される基の REST API のバージョンによって決まります。
- API のバージョンが
2022-05-01よりも古い場合、フラグは既定で true になります。 - API のバージョンが
2022-05-01またはそれよりも新しい場合、フラグは既定で false になります。
重要
ワークスペースで v2 API を使用する場合、v1_legacy_mode パラメーターは false に設定する必要があります。
v1_legacy_mode パラメーターを更新する方法
警告
v1_legacy_mode パラメーターは現在使用できますが、v2 API のブロック機能は 2022 年 5 月 15 日の週から適用されます。
v1_legacy_mode を更新するには、次の手順を使用します。
重要
v2 API を無効にする場合は、Azure Machine Learning Python SDK v1 を使用します。
v1_legacy_mode を無効にするには、Workspace.update を使用し、v1_legacy_mode=false を設定します。
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
重要
v1_legacy_mode パラメーターを true から false に変更した場合、それがワークスペースに反映されるまでには、約 30 分から 1 時間以上かかります。 そのため、パラメーターを false に設定したにもかかわらず、その後の操作でパラメーターが true であるというエラーが発生した場合は、数分待ってから試してください。