일괄 처리 엔드포인트에서 네트워크 격리

  • 아티클

개인 네트워크를 사용하여 일괄 처리 엔드포인트 통신을 보호할 수 있습니다. 이 문서에서는 프라이빗 네트워크로 보호되는 환경에서 일괄 처리 엔드포인트를 사용하기 위한 요구 사항을 설명합니다.

일괄 처리 엔드포인트 보안

Batch 엔드포인트는 배포된 작업 영역의 네트워킹 구성에 내재되어 있습니다. 프라이빗 링크 지원 작업 영역 내부에 만들어진 모든 일괄 처리 엔드포인트는 기본적으로 프라이빗 일괄 처리 엔드포인트로 배포됩니다. 작업 영역이 올바르게 구성되면 추가 구성이 필요하지 않습니다.

일괄 처리 엔드포인트가 프라이빗 네트워킹과 작동하도록 작업 영역이 올바르게 구성되었는지 확인하려면 다음을 확인합니다.

  1. 프라이빗 네트워킹을 위해 Azure Machine Learning 작업 영역을 구성했습니다. 이를 달성하는 방법에 대한 자세한 내용은 보안 작업 영역 만들기를 참조하세요.

  2. 개인 네트워크의 Azure Container Registry에는 해당 구성에 대한 몇 가지 필수 조건이 있습니다.

    Warning

    현재는 격리 기능이 활성화된 Azure Container Registry가 지원되지 않습니다.

  3. 보안 Azure Storage 계정에 설명된 대로 Blob, 파일, 큐 및 테이블 프라이빗 엔드포인트가 스토리지 계정에 대해 구성되어 있어야 합니다. 일괄 배포가 제대로 작동하려면 4가지가 모두 필요합니다.

다음 다이어그램은 프라이빗 작업 영역에 배포될 때 일괄 처리 엔드포인트에 대한 네트워킹이 어떤 모양인지 보여 줍니다.

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

주의

일괄 처리 엔드포인트는 온라인 엔드포인트와 반대로 엔드포인트를 구성할 때 키 public_network_access 또는 egress_public_network_access를 지원하지 않습니다. 프라이빗 링크가 사용하도록 설정된 작업 영역에는 공용 일괄 처리 엔드포인트를 배포할 수 없습니다.

일괄 배포 작업 보호

Azure Machine Learning 일괄 배포는 컴퓨팅 클러스터에서 실행됩니다. 일괄 배포 작업을 보호하려면 이러한 컴퓨팅 클러스터도 가상 네트워크에 배포해야 합니다.

  1. Azure Machine Learning 컴퓨터 클러스터를 가상 네트워크에 만듭니다.

  2. 모든 관련 서비스에 네트워크에 구성된 프라이빗 엔드포인트가 있는지 확인합니다. 프라이빗 엔드포인트는 Azure Machine Learning 작업 영역뿐만 아니라 Azure Storage, Azure Key Vault 또는 Azure Container Registry와 같은 관련 리소스에도 사용됩니다. Azure Container Registry는 필수 서비스입니다. 가상 네트워크에서 Azure Machine Learning 작업 영역을 보호하는 동안 Azure Container Registry에 대한 몇 가지 필수 구성 요소가 있습니다.

  3. 컴퓨팅 인스턴스가 공용 IP 주소를 사용하는 경우 관리 서비스가 컴퓨팅 리소스에 작업을 제출할 수 있도록 인바운드 통신을 허용해야 합니다.

    컴퓨팅 클러스터 및 컴퓨팅 인스턴스는 공용 IP 주소를 사용하거나 사용하지 않고 만들 수 있습니다. 공용 IP 주소를 사용하여 만든 경우 Azure Batch 서비스 및 Azure Machine Learning Services에서 인바운드 액세스를 허용하는 공용 IP가 있는 부하 분산 장치를 얻습니다. 방화벽을 사용하는 경우 UDR(사용자 정의 라우팅)을 구성해야 합니다. 공용 IP 없이 만들어진 경우 공용 IP 없이 Azure Batch 서비스 및 Azure Machine Learning Services에서 인바운드 액세스를 허용하는 프라이빗 링크 서비스를 받습니다.

  4. 사례에 따라 추가 NSG가 필요할 수 있습니다. 자세한 내용은 학습 환경을 보호하는 방법을 참조하세요.

자세한 내용은 가상 네트워크로 Azure Machine Learning 학습 환경 보안 문서를 참조하세요.

제한 사항

네트워킹과 관련하여 배포된 일괄 처리 엔드포인트에서 작업할 때 다음 제한 사항을 고려합니다.

  • 작업 영역의 네트워킹 구성을 공용에서 프라이빗으로 또는 프라이빗에서 공용으로 변경해도 기존 일괄 처리 엔드포인트 네트워킹 구성에는 영향을 미치지 않습니다. 일괄 처리 엔드포인트는 만들기 당시의 작업 영역 구성에 의존합니다. 작업 영역에서 변경한 내용을 엔드포인트에 반영하려는 경우 엔드포인트를 다시 만들 수 있습니다.

  • 프라이빗 링크 사용 작업 영역에서 작업하는 경우 Azure Machine Learning 스튜디오를 사용하여 일괄 처리 엔드포인트를 만들고 관리할 수 있습니다. 하지만 스튜디오의 UI에서는 호출할 수 없습니다. 대신 작업 만들기를 위해 Azure Machine Learning CLI v2를 사용합니다. 사용 방법에 대한 자세한 내용은 일괄 처리 엔드포인트를 실행하여 일괄 처리 채점 작업 시작을 참조하세요.