Isolatie van beheerde virtuele netwerken in werkruimte

VAN TOEPASSING OP:Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (current)

Azure Machine Learning biedt ondersteuning voor isolatie van beheerde virtuele netwerken (beheerd VNet). Beheerde VNet-isolatie stroomlijnt en automatiseert uw netwerkisolatieconfiguratie met een ingebouwd, op werkruimteniveau beheerd VNet van Azure Machine Learning. Het beheerde VNet beveiligt uw beheerde Azure Machine Learning-resources, zoals rekenprocessen, rekenclusters, serverloze compute en beheerde online-eindpunten.

Het beveiligen van uw werkruimte met een beheerd netwerk biedt netwerkisolatie voor uitgaande toegang vanuit de werkruimte en beheerde berekeningen. Een virtueel Azure-netwerk dat u maakt en beheert, wordt gebruikt om binnenkomende toegang tot de werkruimte via netwerkisolatie te bieden. Er wordt bijvoorbeeld een privé-eindpunt voor de werkruimte gemaakt in uw virtuele Azure-netwerk. Clients die verbinding maken met het virtuele netwerk, hebben toegang tot de werkruimte via het privé-eindpunt. Wanneer u taken uitvoert op beheerde berekeningen, beperkt het beheerde netwerk waartoe de berekening toegang heeft.

Architectuur van beheerd virtueel netwerk

Wanneer u isolatie van beheerde virtuele netwerken inschakelt, wordt er een beheerd VNet gemaakt voor de werkruimte. Beheerde rekenresources die u voor de werkruimte maakt, maken automatisch gebruik van dit beheerde VNet. Het beheerde VNet kan privé-eindpunten gebruiken voor Azure-resources die worden gebruikt door uw werkruimte, zoals Azure Storage, Azure Key Vault en Azure Container Registry.

Er zijn twee verschillende configuratiemodi voor uitgaand verkeer van het beheerde VNet:

Tip

Ongeacht de uitgaande modus die u gebruikt, kan verkeer naar Azure-resources worden geconfigureerd voor het gebruik van een privé-eindpunt. U kunt bijvoorbeeld al het uitgaande verkeer naar internet toestaan, maar de communicatie met Azure-resources beperken door uitgaande regels voor de resources toe te voegen.

Uitgaande modus	Beschrijving	Scenario's
Uitgaand internet toestaan	Sta al het uitgaande internetverkeer van het beheerde VNet toe.	U wilt onbeperkte toegang tot machine learning-resources op internet, zoals Python-pakketten of vooraf getrainde modellen.1
Alleen goedgekeurd uitgaand verkeer toestaan	Uitgaand verkeer is toegestaan door servicetags op te geven.	* U wilt het risico op gegevensexfiltratie minimaliseren, maar u moet alle vereiste machine learning-artefacten in uw privéomgeving voorbereiden. * U wilt uitgaande toegang configureren tot een goedgekeurde lijst met services, servicetags of FQDN's.
Uitgeschakeld	Binnenkomend en uitgaand verkeer is niet beperkt of u gebruikt uw eigen virtuele Azure-netwerk om resources te beveiligen.	U wilt openbare inkomende en uitgaande verbindingen vanuit de werkruimte, of u verwerkt netwerkisolatie met uw eigen Azure-VNet.

1: U kunt uitgaande regels gebruiken met alleen goedgekeurde uitgaande modus toestaan om hetzelfde resultaat te bereiken als het gebruik van uitgaand internet toestaan. De verschillen zijn:

• U moet regels toevoegen voor elke uitgaande verbinding die u moet toestaan.
• Door uitgaande FQDN-regels toe te voegen, worden uw kosten verhoogd omdat dit regeltype gebruikmaakt van Azure Firewall. Zie Prijzen voor meer informatie
• De standaardregels voor het toestaan van alleen goedgekeurde uitgaande verbindingen zijn ontworpen om het risico van gegevensexfiltratie te minimaliseren. Uitgaande regels die u toevoegt, kunnen uw risico verhogen.

Het beheerde VNet is vooraf geconfigureerd met de vereiste standaardregels. Het is ook geconfigureerd voor privé-eindpuntverbindingen met uw werkruimte, de standaardopslag, het containerregister en de sleutelkluis van de werkruimte als deze zijn geconfigureerd als privé of de isolatiemodus van de werkruimte is ingesteld om alleen goedgekeurde uitgaande verbindingen toe te staan. Nadat u de isolatiemodus hebt gekozen, hoeft u alleen rekening te houden met andere uitgaande vereisten die u mogelijk moet toevoegen.

In het volgende diagram ziet u een beheerd VNet dat is geconfigureerd om uitgaand internet toe te staan:

In het volgende diagram ziet u een beheerd VNet dat is geconfigureerd om alleen goedgekeurde uitgaande verbindingen toe te staan:

Notitie

In deze configuratie worden de opslag, sleutelkluis en containerregister die door de werkruimte worden gebruikt, gemarkeerd als privé. Omdat ze als privé worden gemarkeerd, wordt er een privé-eindpunt gebruikt om met hen te communiceren.

Notitie

Zodra een beheerde VNet-werkruimte is geconfigureerd om uitgaand internet toe te staan, kan de werkruimte niet opnieuw worden geconfigureerd voor uitgeschakeld. Zodra een beheerde VNet-werkruimte is geconfigureerd om alleen goedgekeurd uitgaand verkeer toe te staan, kan de werkruimte ook niet opnieuw worden geconfigureerd om uitgaand internet toe te staan. Houd hierbij rekening met het selecteren van de isolatiemodus voor beheerd VNet in uw werkruimte.

Azure Machine Learning Studio

Als u het geïntegreerde notebook wilt gebruiken of gegevenssets wilt maken in het standaardopslagaccount vanuit Studio, heeft uw client toegang nodig tot het standaardopslagaccount. Maak een privé-eindpunt of service-eindpunt voor het standaardopslagaccount in het virtuele Azure-netwerk dat de clients gebruiken.

Een deel van Azure Machine Learning-studio wordt lokaal uitgevoerd in de webbrowser van de client en communiceert rechtstreeks met de standaardopslag voor de werkruimte. Het maken van een privé-eindpunt of service-eindpunt (voor het standaardopslagaccount) in het virtuele netwerk van de client zorgt ervoor dat de client kan communiceren met het opslagaccount.

Zie de artikelen Privé verbinden met een opslagaccount en service-eindpunten voor meer informatie over het maken van een privé-eindpunt of service-eindpunt.

Beveiligde gekoppelde resources

Als u de volgende services aan het virtuele netwerk toevoegt met behulp van een service-eindpunt of een privé-eindpunt (het uitschakelen van de openbare toegang), staat u vertrouwde Microsoft-services toegang tot deze services toe:

Service	Eindpuntinformatie	Vertrouwde gegevens toestaan
Azure Key Vault	Privé-eindpunt voor service-eindpunt	Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen
Azure Storage-account	Privé-eindpunt voor service en privé-eindpunt	Toegang verlenen vanuit Azure-resource-exemplaren of toegang verlenen tot vertrouwde Azure-services
Azure Container Registry	Privé-eindpunt	Vertrouwde services toestaan

Vereisten

Voordat u de stappen in dit artikel volgt, moet u ervoor zorgen dat u over de volgende vereisten beschikt:

Azure-CLI

• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint. Probeer de gratis of betaalde versie van Azure Machine Learning.

• De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de werkruimte gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

  Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

• Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• De Azure CLI en de ml extensie voor de Azure CLI. Zie De CLI (v2) installeren, instellen en gebruiken voor meer informatie.

  Tip

  Op 23 mei 2023 is een beheerd VNet van Azure Machine Learning geïntroduceerd. Als u een oudere versie van de ml-extensie hebt, moet u deze mogelijk bijwerken voor de voorbeelden in dit artikel. Gebruik de volgende Azure CLI-opdracht om de extensie bij te werken:

  az extension update -n ml
  

• In de CLI-voorbeelden in dit artikel wordt ervan uitgegaan dat u de Bash-shell (of compatibele) shell gebruikt. Bijvoorbeeld vanuit een Linux-systeem of Windows-subsysteem voor Linux.

• De Azure CLI-voorbeelden in dit artikel gebruiken ws om de naam van de werkruimte weer te geven en rg om de naam van de resourcegroep weer te geven. Wijzig deze waarden indien nodig wanneer u de opdrachten met uw Azure-abonnement gebruikt.

Python SDK

• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint. Probeer de gratis of betaalde versie van Azure Machine Learning.

• De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de werkruimte gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

  Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

• Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• De Azure Machine Learning Python SDK v2. Zie De Python SDK v2 voor Azure Machine Learning installeren voor meer informatie over de SDK.

  Tip

  Op 23 mei 2023 is een beheerd VNet voor Azure Machine Learning geïntroduceerd. Als u een oudere versie van de SDK hebt geïnstalleerd, moet u deze mogelijk bijwerken voor de voorbeelden in dit artikel. Gebruik de volgende opdracht om de SDK bij te werken:

  pip install --upgrade azure-ai-ml azure-identity
  

• In de voorbeelden in dit artikel wordt ervan uitgegaan dat uw code begint met de volgende Python. Met deze code worden de klassen geïmporteerd die vereist zijn bij het maken van een werkruimte met een beheerd VNet, stelt u variabelen in voor uw Azure-abonnement en -resourcegroep en maakt u het ml_clientvolgende:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group)
  

Azure-portal

• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint. Probeer de gratis of betaalde versie van Azure Machine Learning.

• De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de werkruimte gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

  Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

• Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Notitie

Als u UAI-werkruimte gebruikt, moet u ervoor zorgen dat u de rol Goedkeurdiger voor Azure AI Enterprise-netwerkverbindingen toevoegt aan uw identiteit. Zie Door de gebruiker toegewezen beheerde identiteit voor meer informatie.

Een beheerd virtueel netwerk configureren om uitgaand internet toe te staan

Tip

Het maken van het beheerde VNet wordt uitgesteld totdat een rekenresource wordt gemaakt of handmatig wordt ingericht. Wanneer automatisch maken is toegestaan, kan het ongeveer 30 minuten duren voordat de eerste rekenresource wordt gemaakt, omdat het netwerk ook wordt ingericht. Zie Het netwerk handmatig inrichten voor meer informatie.

Belangrijk

Als u van plan bent serverloze Spark-taken in te dienen, moet u handmatig beginnen met inrichten. Zie de sectie Serverloze Spark-taken configureren voor meer informatie.

Azure-CLI

Als u een beheerd VNet wilt configureren dat uitgaande internetcommunicatie toestaat, kunt u de --managed-network allow_internet_outbound parameter of een YAML-configuratiebestand gebruiken dat de volgende vermeldingen bevat:

managed_network:
  isolation_mode: allow_internet_outbound

U kunt ook uitgaande regels definiëren voor andere Azure-services waarop de werkruimte afhankelijk is. Deze regels definiëren privé-eindpunten waarmee een Azure-resource veilig kan communiceren met het beheerde VNet. De volgende regel laat zien hoe u een privé-eindpunt toevoegt aan een Azure Blob-resource.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

U kunt een beheerd VNet configureren met behulp van de az ml workspace create of az ml workspace update opdrachten:

• Een nieuwe werkruimte maken:

  In het volgende voorbeeld wordt een nieuwe werkruimte gemaakt. De --managed-network allow_internet_outbound parameter configureert een beheerd VNet voor de werkruimte:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Als u in plaats daarvan een werkruimte wilt maken met behulp van een YAML-bestand, gebruikt u de --file parameter en geeft u het YAML-bestand op dat de configuratie-instellingen bevat:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  In het volgende YAML-voorbeeld wordt een werkruimte gedefinieerd met een beheerd VNet:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Een bestaande werkruimte bijwerken:

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  In het volgende voorbeeld wordt een bestaande werkruimte bijgewerkt. De --managed-network allow_internet_outbound parameter configureert een beheerd VNet voor de werkruimte:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Als u een bestaande werkruimte wilt bijwerken met behulp van het YAML-bestand, gebruikt u de --file parameter en geeft u het YAML-bestand op dat de configuratie-instellingen bevat:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  In het volgende YAML-voorbeeld wordt een beheerd VNet voor de werkruimte gedefinieerd. Ook wordt gedemonstreerd hoe u een privé-eindpuntverbinding toevoegt aan een resource die door de werkruimte wordt gebruikt; in dit voorbeeld een privé-eindpunt voor een blobarchief:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Als u een beheerd VNet wilt configureren waarmee uitgaande internetcommunicatie mogelijk is, gebruikt u de ManagedNetwork klasse om een netwerk met IsolationMode.ALLOW_INTERNET_OUTBOUNDte definiëren. Vervolgens kunt u het ManagedNetwork object gebruiken om een nieuwe werkruimte te maken of een bestaande werkruimte bij te werken. Als u uitgaande regels wilt definiëren voor Azure-services waarop de werkruimte afhankelijk is, gebruikt u de PrivateEndpointDestination klasse om een nieuw privé-eindpunt voor de service te definiëren.

• Een nieuwe werkruimte maken:

  In het volgende voorbeeld wordt een nieuwe werkruimte met de naam myworkspaceGemaakt, met een uitgaande regel die myrule een privé-eindpunt toevoegt voor een Azure Blob-archief:

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Een bestaande werkruimte bijwerken:

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  In het volgende voorbeeld ziet u hoe u een beheerd VNet maakt voor een bestaande Azure Machine Learning-werkruimte met de naam myworkspace:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure-portal

• Een nieuwe werkruimte maken:

  1. Meld u aan bij Azure Portal en kies Azure Machine Learning in het menu Een resource maken.

  2. Geef de vereiste informatie op op het tabblad Basisinformatie .

  3. Selecteer Privé met uitgaand internet op het tabblad Netwerken.

     

  4. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels van de werkruimte de volgende informatie op:

     • Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze werkruimte.
     • Doeltype: Privé-eindpunt is de enige optie wanneer de netwerkisolatie privé is met uitgaand internet. Door Azure Machine Learning beheerd VNet biedt geen ondersteuning voor het maken van een privé-eindpunt voor alle Azure-resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.
     • Abonnement: het abonnement met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcegroep: de resourcegroep met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcetype: het type Azure-resource.
     • Resourcenaam: de naam van de Azure-resource.
     • Subresource: de subresource van het Azure-resourcetype.
     • Spark ingeschakeld: selecteer deze optie als u serverloze Spark-taken voor de werkruimte wilt inschakelen. Deze optie is alleen beschikbaar als het resourcetype Azure Storage is.

     

     Als u de regel wilt opslaan, selecteert u Opslaan. U kunt door de gebruiker gedefinieerde uitgaande regels blijven gebruiken om regels toe te voegen.

  5. Ga door met het maken van de werkruimte als normaal.

• Een bestaande werkruimte bijwerken:

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  1. Meld u aan bij Azure Portal en selecteer de Azure Machine Learning-werkruimte waarvoor u beheerde VNet-isolatie wilt inschakelen.

  2. Selecteer Netwerken, beheerde uitgaande toegang voor werkruimte en sta internet uitgaand toe.

     

     • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen. Geef in de zijbalk voor uitgaande regels voor werkruimte dezelfde informatie op als die wordt gebruikt bij het maken van een werkruimte in de sectie Een nieuwe werkruimte maken.

       

     • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

       

  3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde VNet.

Een beheerd virtueel netwerk configureren om alleen goedgekeurde uitgaande verbindingen toe te staan

Tip

Het beheerde VNet wordt automatisch ingericht wanneer u een rekenresource maakt. Wanneer automatisch maken is toegestaan, kan het ongeveer 30 minuten duren voordat de eerste rekenresource wordt gemaakt, omdat het netwerk ook wordt ingericht. Als u uitgaande FQDN-regels hebt geconfigureerd, wordt de eerste FQDN-regel ongeveer 10 minuten toegevoegd aan de inrichtingstijd. Zie Het netwerk handmatig inrichten voor meer informatie.

Belangrijk

Als u van plan bent serverloze Spark-taken in te dienen, moet u handmatig beginnen met inrichten. Zie de sectie Serverloze Spark-taken configureren voor meer informatie.

Azure-CLI

Als u een beheerd VNet wilt configureren dat alleen goedgekeurde uitgaande communicatie toestaat, kunt u de --managed-network allow_only_approved_outbound parameter of een YAML-configuratiebestand gebruiken dat de volgende vermeldingen bevat:

managed_network:
  isolation_mode: allow_only_approved_outbound

U kunt ook uitgaande regels definiëren om goedgekeurde uitgaande communicatie te definiëren. Er kan een uitgaande regel worden gemaakt voor een type service_tag, fqdnen private_endpoint. De volgende regel laat zien hoe u een privé-eindpunt toevoegt aan een Azure Blob-resource, een servicetag aan Azure Data Factory en een FQDN aan pypi.org:

Belangrijk

• Het toevoegen van een uitgaande servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor allow_only_approved_outbound.
• Als u uitgaande regels toevoegt, kan Microsoft geen gegevensexfiltratie garanderen.

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

U kunt een beheerd VNet configureren met behulp van de az ml workspace create of az ml workspace update opdrachten:

• Een nieuwe werkruimte maken:

  In het volgende voorbeeld wordt de --managed-network allow_only_approved_outbound parameter gebruikt om het beheerde VNet te configureren:

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Het volgende YAML-bestand definieert een werkruimte met een beheerd VNet:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Als u een werkruimte wilt maken met behulp van het YAML-bestand, gebruikt u de --file parameter:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Een bestaande werkruimte bijwerken

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  In het volgende voorbeeld wordt de --managed-network allow_only_approved_outbound parameter gebruikt om het beheerde VNet voor een bestaande werkruimte te configureren:

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Het volgende YAML-bestand definieert een beheerd VNet voor de werkruimte. Ook wordt gedemonstreerd hoe u een goedgekeurd uitgaand netwerk toevoegt aan het beheerde VNet. In dit voorbeeld wordt een uitgaande regel toegevoegd voor zowel een servicetag:

  Waarschuwing

  Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Zie Prijzen voor meer informatie.

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Als u een beheerd VNet wilt configureren waarmee alleen goedgekeurde uitgaande communicatie is toegestaan, gebruikt u de ManagedNetwork klasse om een netwerk met IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUNDte definiëren. Vervolgens kunt u het ManagedNetwork object gebruiken om een nieuwe werkruimte te maken of een bestaande werkruimte bij te werken. Gebruik de volgende klassen om uitgaande regels te definiëren:

Bestemming	Klas
Azure-service waarvoor de werkruimte afhankelijk is	PrivateEndpointDestination
Azure-servicetag	ServiceTagDestination
FQDN (Fully Qualified Domain Name)	FqdnDestination

• Een nieuwe werkruimte maken:

  In het volgende voorbeeld wordt een nieuwe werkruimte gemaakt met de naam myworkspace, met verschillende uitgaande regels:

  • myrule - Voegt een privé-eindpunt toe voor een Azure Blob-archief.
  • datafactory - Voegt een servicetagregel toe om te communiceren met Azure Data Factory.

  Belangrijk

  • Het toevoegen van een uitgaande servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Als u uitgaande regels toevoegt, kan Microsoft geen gegevensexfiltratie garanderen.

  Waarschuwing

  Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Een bestaande werkruimte bijwerken:

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  In het volgende voorbeeld ziet u hoe u een beheerd VNet maakt voor een bestaande Azure Machine Learning-werkruimte met de naam myworkspace. In het voorbeeld worden ook verschillende uitgaande regels toegevoegd voor het beheerde VNet:

  • myrule - Voegt een privé-eindpunt toe voor een Azure Blob-archief.
  • datafactory - Voegt een servicetagregel toe om te communiceren met Azure Data Factory.

  Tip

  Het toevoegen van een uitgaande servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Waarschuwing

  Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure-portal

• Een nieuwe werkruimte maken:

  1. Meld u aan bij Azure Portal en kies Azure Machine Learning in het menu Een resource maken.

  2. Geef de vereiste informatie op op het tabblad Basisinformatie .

  3. Selecteer Privé met goedgekeurd uitgaand verkeer op het tabblad Netwerken.

     

  4. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels van de werkruimte de volgende informatie op:

     • Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze werkruimte.
     • Doeltype: privé-eindpunt, servicetag of FQDN. Servicetag en FQDN zijn alleen beschikbaar wanneer de netwerkisolatie privé is met goedgekeurd uitgaand verkeer.

     Als het doeltype privé-eindpunt is, geeft u de volgende informatie op:

     • Abonnement: het abonnement met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcegroep: de resourcegroep met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcetype: het type Azure-resource.
     • Resourcenaam: de naam van de Azure-resource.
     • Subresource: de subresource van het Azure-resourcetype.
     • Spark ingeschakeld: selecteer deze optie als u serverloze Spark-taken voor de werkruimte wilt inschakelen. Deze optie is alleen beschikbaar als het resourcetype Azure Storage is.

     Tip

     Door Azure Machine Learning beheerd VNet biedt geen ondersteuning voor het maken van een privé-eindpunt voor alle Azure-resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.

     

     Als het doeltype servicetag is, geeft u de volgende informatie op:

     • Servicetag: de servicetag die moet worden toegevoegd aan de goedgekeurde uitgaande regels.
     • Protocol: het protocol dat de servicetag toestaat.
     • Poortbereiken: de poortbereiken waarmee de servicetag kan worden toegestaan.

     

     Als het doeltype FQDN is, geeft u de volgende informatie op:

     Waarschuwing

     Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

     • FQDN-bestemming: de volledig gekwalificeerde domeinnaam die moet worden toegevoegd aan de goedgekeurde uitgaande regels.

     

     Als u de regel wilt opslaan, selecteert u Opslaan. U kunt door de gebruiker gedefinieerde uitgaande regels blijven gebruiken om regels toe te voegen.

  5. Ga door met het maken van de werkruimte als normaal.

• Een bestaande werkruimte bijwerken:

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  1. Meld u aan bij Azure Portal en selecteer de Azure Machine Learning-werkruimte waarvoor u beheerde VNet-isolatie wilt inschakelen.

  2. Selecteer Netwerken, beheerde uitgaande toegang voor werkruimte en selecteer vervolgens Privé met Goedgekeurd uitgaand verkeer.

     

     • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels van de werkruimte dezelfde informatie op als bij het maken van een werkruimte in de vorige sectie Een nieuwe werkruimte maken.

     • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

       

  3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde VNet.

Configureren voor serverloze Spark-taken

Tip

De stappen in deze sectie zijn alleen nodig als u van plan bent serverloze Spark-taken in te dienen. Als u geen serverloze Spark-taken verzendt, kunt u deze sectie overslaan.

Als u de serverloze Spark-taken voor het beheerde VNet wilt inschakelen, moet u de volgende acties uitvoeren:

• Configureer een beheerd VNet voor de werkruimte en voeg een uitgaand privé-eindpunt toe voor het Azure Storage-account.
• Nadat u het beheerde VNet hebt geconfigureerd, richt u het in en markeert u het om Spark-taken toe te staan.

1. Configureer een uitgaand privé-eindpunt.

   Azure-CLI

   Gebruik een YAML-bestand om de beheerde VNet-configuratie te definiëren en een privé-eindpunt toe te voegen voor het Azure Storage-account. Stel ook het volgende in spark_enabled: true:

   Tip

   Dit voorbeeld is bedoeld voor een beheerd VNet dat is geconfigureerd om isolation_mode: allow_internet_outbound internetverkeer toe te staan. Als u alleen goedgekeurd uitgaand verkeer wilt toestaan, gebruikt u isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   U kunt een YAML-configuratiebestand gebruiken met de az ml workspace update opdracht door de --file parameter en de naam van het YAML-bestand op te geven. Met de volgende opdracht wordt bijvoorbeeld een bestaande werkruimte bijgewerkt met behulp van een YAML-bestand met de naam workspace_pe.yml:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Notitie

   Als Alleen goedgekeurd uitgaand verkeer toestaan is ingeschakeld (isolation_mode: allow_only_approved_outbound), kunnen conda-pakketafhankelijkheden die zijn gedefinieerd in de Spark-sessieconfiguratie niet worden geïnstalleerd. Als u dit probleem wilt oplossen, uploadt u een zelfstandig Python-pakketwiel zonder externe afhankelijkheden naar een Azure-opslagaccount en maakt u een privé-eindpunt naar dit opslagaccount. Gebruik het pad naar het Python-pakketwiel als py_files parameter in uw Spark-taak. Als u een uitgaande FQDN-regel instelt, wordt dit probleem niet overgeslagen omdat het doorgeven van FQDN-regels niet wordt ondersteund door Spark.

   Python SDK

   In het volgende voorbeeld ziet u hoe u een beheerd VNet maakt voor een bestaande Azure Machine Learning-werkruimte met de naam myworkspace. Er wordt ook een privé-eindpunt toegevoegd voor het Azure Storage-account en wordt ingesteld spark_enabled=true:

   Tip

   Het volgende voorbeeld is voor een beheerd VNet dat is geconfigureerd om IsolationMode.ALLOW_INTERNET_OUTBOUND internetverkeer toe te staan. Als u alleen goedgekeurd uitgaand verkeer wilt toestaan, gebruikt u IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Notitie

   • Als Alleen goedgekeurd uitgaand verkeer toestaan is ingeschakeld (isolation_mode: allow_only_approved_outbound), kunnen conda-pakketafhankelijkheden die zijn gedefinieerd in de Spark-sessieconfiguratie niet worden geïnstalleerd. Als u dit probleem wilt oplossen, uploadt u een zelfstandig Python-pakketwiel zonder externe afhankelijkheden naar een Azure-opslagaccount en maakt u een privé-eindpunt naar dit opslagaccount. Gebruik het pad naar het Python-pakketwiel als py_files parameter in de Spark-taak.
   • Als de werkruimte is gemaakt met IsolationMode.ALLOW_INTERNET_OUTBOUND, kan deze later niet meer worden bijgewerkt voor gebruik IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   Azure-portal

   1. Meld u aan bij Azure Portal en selecteer de Azure Machine Learning-werkruimte.

   2. Selecteer Netwerken en selecteer vervolgens Door de gebruiker gedefinieerde uitgaande regels toevoegen. Voeg een regel toe voor het Azure Storage-account en zorg ervoor dat Spark is ingeschakeld .

      

   3. Selecteer Opslaan om de regel op te slaan en selecteer Vervolgens Opslaan bovenaan Netwerken om de wijzigingen in het virtuele netwerk met beheer op te slaan.

2. Richt het beheerde VNet in.

   Notitie

   Als uw werkruimte al is geconfigureerd voor een openbaar eindpunt (bijvoorbeeld met een virtueel Azure-netwerk) en openbare netwerktoegang heeft ingeschakeld, moet u deze uitschakelen voordat u het beheerde VNet inricht. Als u geen openbare netwerktoegang uitschakelt bij het inrichten van het beheerde VNet, worden de privé-eindpunten voor het beheerde eindpunt mogelijk niet gemaakt.

   Azure-CLI

   In het volgende voorbeeld ziet u hoe u een beheerd VNet inricht voor serverloze Spark-taken met behulp van de --include-spark parameter.

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   Python SDK

   In het volgende voorbeeld ziet u hoe u een beheerd VNet inricht voor serverloze Spark-taken:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Azure-portal

   Gebruik de tabbladen Azure CLI of Python SDK om te leren hoe u het beheerde VNet handmatig inricht met serverloze Spark-ondersteuning.

Handmatig een beheerd VNet inrichten

Het beheerde VNet wordt automatisch ingericht wanneer u een rekenproces maakt. Wanneer u afhankelijk bent van automatische inrichting, kan het ongeveer 30 minuten duren voordat het eerste rekenproces wordt gemaakt, omdat het netwerk ook wordt ingericht. Als u uitgaande FQDN-regels hebt geconfigureerd (alleen beschikbaar met alleen goedgekeurde modus toestaan), voegt de eerste FQDN-regel ongeveer 10 minuten toe aan de inrichtingstijd. Als u een grote set uitgaande regels hebt die moeten worden ingericht in het beheerde netwerk, kan het langer duren voordat het inrichten is voltooid. De toegenomen inrichtingstijd kan ertoe leiden dat er een time-out optreedt voor uw eerste rekenproces.

Als u de wachttijd wilt verminderen en mogelijke time-outfouten wilt voorkomen, raden we u aan het beheerde netwerk handmatig in te richten. Wacht vervolgens totdat het inrichten is voltooid voordat u een rekenproces maakt.

Notitie

Als u een onlineimplementatie wilt maken, moet u het beheerde netwerk handmatig inrichten of eerst een rekenproces maken dat het automatisch inricht.

Azure-CLI

In het volgende voorbeeld ziet u hoe u een beheerd VNet inricht.

Tip

Als u serverloze Spark-taken wilt verzenden, voegt u de --include-spark parameter toe.

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Gebruik de volgende opdracht om te controleren of het inrichten is voltooid:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Python SDK

In het volgende voorbeeld ziet u hoe u een beheerd VNet inricht:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Als u wilt controleren of de werkruimte is ingericht, gebruikt ml_client.workspaces.get() u deze om de werkruimtegegevens op te halen. De managed_network eigenschap bevat de status van het beheerde netwerk.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Azure-portal

Gebruik de tabbladen Azure CLI of Python SDK om te leren hoe u het beheerde VNet handmatig inricht met serverloze Spark-ondersteuning.

Builds van installatiekopieën configureren

Wanneer Azure Container Registry voor uw werkruimte zich achter een virtueel netwerk bevindt, kan deze niet rechtstreeks worden gebruikt om Docker-installatiekopieën te bouwen. Configureer in plaats daarvan uw werkruimte om een rekencluster of rekenproces te gebruiken om installatiekopieën te bouwen.

Belangrijk

De rekenresource die wordt gebruikt om Docker-installatiekopieën te bouwen, moet toegang hebben tot de pakketopslagplaatsen die worden gebruikt voor het trainen en implementeren van uw modellen. Als u een netwerk gebruikt dat is geconfigureerd om alleen goedgekeurd uitgaand verkeer toe te staan, moet u mogelijk regels toevoegen die toegang tot openbare opslagplaatsen toestaan of persoonlijke Python-pakketten gebruiken.

Azure-CLI

Als u een werkruimte wilt bijwerken om een rekencluster of rekenproces te gebruiken om Docker-installatiekopieën te bouwen, gebruikt u de az ml workspace update opdracht met de --image-build-compute parameter:

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Python SDK

In het volgende voorbeeld ziet u hoe u een werkruimte bijwerkt om een rekencluster te gebruiken om installatiekopieën te bouwen:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name=workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Azure-portal

Er is momenteel geen manier om de berekening van de build van de installatiekopieën in te stellen vanuit Azure Portal. Gebruik de tabbladen Azure CLI of Python SDK voor meer informatie over het handmatig configureren van installatiekopieën.

Regels voor uitgaand verkeer beheren

Azure-CLI

Gebruik de volgende opdracht om de uitgaande VNet-regels voor een werkruimte weer te geven:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Gebruik de volgende opdracht om de details van een beheerde uitgaande VNet-regel weer te geven:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Als u een uitgaande regel uit het beheerde VNet wilt verwijderen, gebruikt u de volgende opdracht:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Python SDK

In het volgende voorbeeld ziet u hoe u uitgaande regels beheert voor een werkruimte met de naam myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Azure-portal

1. Meld u aan bij Azure Portal en selecteer de Azure Machine Learning-werkruimte waarvoor u beheerde VNet-isolatie wilt inschakelen.

2. Selecteer Netwerken. Met de sectie Uitgaande toegang voor werkruimte kunt u uitgaande regels beheren.

   

• Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels van de werkruimte de volgende informatie op:

• Als u een regel wilt in- of uitschakelen , gebruikt u de wisselknop in de kolom Actief .

• Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

Lijst met vereiste regels

Tip

Deze regels worden automatisch toegevoegd aan het beheerde VNet.

Privé-eindpunten:

• Wanneer de isolatiemodus voor het beheerde VNet is Allow internet outbound, worden uitgaande regels voor privé-eindpunten automatisch gemaakt als vereiste regels van het beheerde VNet voor de werkruimte en gekoppelde resources waarvoor openbare netwerktoegang is uitgeschakeld (Key Vault, Opslagaccount, Container Registry, Azure Machine Learning-werkruimte).
• Wanneer de isolatiemodus voor het beheerde VNet is Allow only approved outbound, worden uitgaande regels voor privé-eindpunten automatisch gemaakt als vereiste regels van het beheerde VNet voor de werkruimte en gekoppelde resources , ongeacht de openbare netwerktoegangsmodus voor deze resources (Key Vault, Opslagaccount, Container Registry, Azure Machine Learning-werkruimte).

Regels voor uitgaande servicetags:

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Regels voor binnenkomende servicetags:

• AzureMachineLearning

Lijst met scenariospecifieke uitgaande regels

Scenario: Toegang krijgen tot openbare machine learning-pakketten

Als u installatie van Python-pakketten voor training en implementatie wilt toestaan, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hostnamen toe te staan:

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

Notitie

Dit is geen volledige lijst met de hosts die vereist zijn voor alle Python-resources op internet, alleen de meest gebruikte. Als u bijvoorbeeld toegang nodig hebt tot een GitHub-opslagplaats of andere host, moet u de vereiste hosts voor dat scenario identificeren en toevoegen.

Hostnaam	Doel
anaconda.com *.anaconda.com	Wordt gebruikt om standaardpakketten te installeren.
*.anaconda.org	Wordt gebruikt om opslagplaatsgegevens op te halen.
pypi.org	Wordt gebruikt om afhankelijkheden van de standaardindex weer te geven, indien aanwezig, en de index wordt niet overschreven door gebruikersinstellingen. Als de index wordt overschreven, moet u ook toestaan *.pythonhosted.org.
pytorch.org *.pytorch.org	Wordt gebruikt door enkele voorbeelden op basis van PyTorch.
*.tensorflow.org	Wordt gebruikt door enkele voorbeelden op basis van Tensorflow.

Scenario: Visual Studio Code-bureaublad of -web gebruiken met rekenproces

Als u Visual Studio Code wilt gebruiken met Azure Machine Learning, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• vscode.download.prss.microsoft.com

Scenario: Batch-eindpunten of ParallelRunStep gebruiken

Als u azure Machine Learning-batcheindpunten wilt gebruiken voor implementatie of ParallelRunStep, voegt u regels voor uitgaande privé-eindpunten toe om verkeer naar de volgende subbronnen toe te staan voor het standaardopslagaccount:

• queue
• table

Scenario: Promptstroom gebruiken met Azure OpenAI, inhoudsveiligheid en Azure AI Search

• Privé-eindpunt voor Azure AI Services
• Privé-eindpunt naar Azure AI Search

Scenario: HuggingFace-modellen gebruiken

Als u HuggingFace-modellen wilt gebruiken met Azure Machine Learning, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Scenario: Toegang vanuit geselecteerde IP-adressen inschakelen

Als u toegang vanaf specifieke IP-adressen wilt inschakelen, gebruikt u de volgende acties:

1. Voeg een regel voor uitgaand privé-eindpunt toe om verkeer naar de Azure Machine Learning-werkruimte toe te staan. Hierdoor hebben rekeninstanties die zijn gemaakt in het beheerde virtuele netwerk toegang tot de werkruimte.

   Tip

   U kunt deze regel niet toevoegen tijdens het maken van de werkruimte, omdat de werkruimte nog niet bestaat.

2. Openbare netwerktoegang tot de werkruimte inschakelen. Zie openbare netwerktoegang ingeschakeld voor meer informatie.

3. Voeg uw IP-adressen toe aan de firewall voor Azure Machine Learning. Zie Alleen toegang inschakelen vanuit IP-bereiken voor meer informatie.

   Notitie

   Alleen IPv4-adressen ondersteund.

Privé-eindpunten

Privé-eindpunten worden momenteel ondersteund voor de volgende Azure-services:

• Azure Machine Learning
• Azure Machine Learning-registers
• Azure Storage (alle subresourcetypen)
• Azure Container Registry
• Azure Key Vault
• Azure AI-services
• Azure AI Search (voorheen Cognitive Search)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (alle subresourcetypen)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• Azure Database for MariaDB
• Azure Database for PostgreSQL Single Server
• Flexibele azure Database for PostgreSQL-server
• Azure Database for MySQL
• Azure API Management

Wanneer u een privé-eindpunt maakt, geeft u het resourcetype en de subresource op waarmee het eindpunt verbinding maakt. Sommige resources hebben meerdere typen en subresources. Zie wat een privé-eindpunt is voor meer informatie.

Wanneer u een privé-eindpunt maakt voor Azure Machine Learning-afhankelijkheidsresources, zoals Azure Storage, Azure Container Registry en Azure Key Vault, kan de resource zich in een ander Azure-abonnement bevinden. De resource moet zich echter in dezelfde tenant bevinden als de Azure Machine Learning-werkruimte.

Belangrijk

Wanneer u privé-eindpunten configureert voor een door Azure Machine Learning beheerd VNet, worden de privé-eindpunten alleen gemaakt wanneer de eerste berekening wordt gemaakt of wanneer beheerde VNet-inrichting wordt gedwongen. Zie Configureren voor serverloze Spark-taken voor meer informatie over het afdwingen van de beheerde VNet-inrichting.

Prijzen

De door Azure Machine Learning beheerde VNet-functie is gratis. Er worden echter kosten in rekening gebracht voor de volgende resources die worden gebruikt door de beheerd VNet:

• Azure Private Link: privé-eindpunten die worden gebruikt om communicatie tussen de beheerd VNet en Azure-resources te beveiligen, is afhankelijk van Azure Private Link. Zie prijzen voor Azure Private Link voor meer informatie over prijzen.

• Uitgaande FQDN-regels: uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. De Azure Firewall (standaard-SKU) wordt ingericht door Azure Machine Learning.

  Belangrijk

  De firewall wordt pas gemaakt als u een uitgaande FQDN-regel toevoegt. Zie Prijzen van Azure Firewall en bekijk prijzen voor de standaardversie voor meer informatie over prijzen.

Beperkingen

• Azure AI Studio biedt geen ondersteuning voor het gebruik van uw eigen Azure Virtual Network om de hub, het project of de rekenresources te beveiligen. U kunt de functie voor het beheerde netwerk alleen gebruiken om deze resources te beveiligen.
• Zodra u beheerde VNet-isolatie van uw werkruimte hebt ingeschakeld (uitgaand internet toestaan of alleen goedgekeurd uitgaand toestaan), kunt u deze niet uitschakelen.
• Beheerd VNet maakt gebruik van een privé-eindpuntverbinding voor toegang tot uw privébronnen. U kunt geen privé-eindpunt en een service-eindpunt tegelijk hebben voor uw Azure-resources, zoals een opslagaccount. Wij adviseren u om privé-eindpunten in alle scenario's te gebruiken.
• Het beheerde VNet wordt verwijderd wanneer de werkruimte wordt verwijderd.
• Beveiliging tegen gegevensexfiltratie wordt automatisch ingeschakeld voor de enige goedgekeurde uitgaande modus. Als u andere uitgaande regels toevoegt, zoals FQDN's, kan Microsoft niet garanderen dat u bent beveiligd tegen gegevensexfiltratie naar die uitgaande bestemmingen.
• Het maken van een rekencluster in een andere regio dan de werkruimte wordt niet ondersteund wanneer u een beheerd VNet gebruikt.
• Kubernetes en gekoppelde VM's worden niet ondersteund in een door Azure Machine Learning beheerd VNet.
• Door uitgaande FQDN-regels te gebruiken, worden de kosten van het beheerde VNet verhoogd omdat FQDN-regels gebruikmaken van Azure Firewall. Ga voor meer informatie naar Prijzen.
• Uitgaande FQDN-regels ondersteunen alleen poorten 80 en 443.
• Als uw rekenproces zich in een beheerd netwerk bevindt en niet is geconfigureerd voor een openbaar IP-adres, gebruikt u de opdracht az ml compute connect-ssh om er verbinding mee te maken met behulp van SSH.
• Wanneer u beheerd Vnet gebruikt, kunt u geen rekenresources implementeren in uw aangepaste VNet. Rekenresources kunnen alleen worden gemaakt in het beheerde VNet.
• Beheerde netwerkisolatie kan geen privéverbinding tot stand brengen van het beheerde virtuele netwerk met de on-premises resources van een gebruiker. Zie Privé-eindpunten voor de lijst met ondersteunde privéverbindingen.
• Als uw beheerde netwerk is geconfigureerd om alleen goedgekeurde uitgaande verbindingen toe te staan, kunt u geen FQDN-regel gebruiken voor toegang tot Azure Storage-accounts. U moet in plaats daarvan een privé-eindpunt gebruiken.

Migratie van rekenresources

Als u een bestaande werkruimte hebt en beheerde VNet hiervoor wilt inschakelen, is er momenteel geen ondersteund migratiepad voor bestaande beheerde rekenresources. U moet alle bestaande beheerde rekenresources verwijderen en deze opnieuw maken nadat u het beheerde VNet hebt ingeschakeld. De volgende lijst bevat de rekenresources die moeten worden verwijderd en opnieuw moeten worden gemaakt:

• Rekencluster
• Rekenproces
• Beheerde online-eindpunten

Volgende stappen

• Problemen met beheerde VNet oplossen
• Beheerde berekeningen configureren in een beheerd VNet