Een Azure Machine Learning-deductieomgeving beveiligen met virtuele netwerken

  • Artikel

In dit artikel leert u hoe u deductieomgevingen (online-eindpunten) beveiligt met een virtueel netwerk in Azure Machine Learning. Er zijn twee deductieopties die kunnen worden beveiligd met behulp van een VNet:

  • Door Azure Machine Learning beheerde online-eindpunten

    Tip

    Microsoft raadt u aan een door Azure Machine Learning beheerde virtuele netwerken te gebruiken in plaats van de stappen in dit artikel bij het beveiligen van beheerde online-eindpunten. Met een beheerd virtueel netwerk verwerkt Azure Machine Learning de taak van netwerkisolatie voor uw werkruimte en beheerde berekeningen. U kunt ook privé-eindpunten toevoegen voor resources die nodig zijn voor de werkruimte, zoals een Azure Storage-account. Zie Werkruimte-beheerd netwerkisolatie voor meer informatie.

  • Azure Kubernetes Service

Tip

Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks:

Zie Zelfstudie: Een beveiligde werkruimte of zelfstudie maken: Een beveiligde werkruimte maken met behulp van een sjabloon voor een zelfstudie over het maken van een beveiligde werkruimte.

Vereisten

  • Lees het artikel Netwerkbeveiligingsoverzicht voor meer informatie over algemene scenario's voor virtuele netwerken en de algehele architectuur van virtuele netwerken.

  • Een bestaand virtueel netwerk en subnet dat wordt gebruikt om de Azure Machine Learning-werkruimte te beveiligen.

  • Als u resources wilt implementeren in een virtueel netwerk of subnet, moet uw gebruikersaccount machtigingen hebben voor de volgende acties in op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):

    • 'Microsoft.Network/*/read' in de resource van het virtuele netwerk. Deze machtiging is niet nodig voor arm-sjabloonimplementaties (Azure Resource Manager).
    • 'Microsoft.Network/virtualNetworks/join/action' in de resource van het virtuele netwerk.
    • 'Microsoft.Network/virtualNetworks/subnetten/join/action' in de subnetresource.

    Zie de ingebouwde netwerkrollen voor meer informatie over Azure RBAC met netwerken

  • Als u Azure Kubernetes Service (AKS) gebruikt, moet u een bestaand AKS-cluster hebben beveiligd, zoals beschreven in het artikel over deductieomgeving van Secure Azure Kubernetes Service.

Beveiligde beheerde online-eindpunten

Zie het artikel Netwerkisolatie gebruiken met beheerde online-eindpunten voor informatie over het beveiligen van beheerde online-eindpunten .

Online-eindpunten van Azure Kubernetes Service beveiligen

Als u een Azure Kubernetes Service-cluster wilt gebruiken voor beveiligde deductie, gebruikt u de volgende stappen:

  1. Een beveiligde Kubernetes-deductieomgeving maken of configureren.

  2. Azure Machine Learning-extensie implementeren.

  3. Koppel het Kubernetes-cluster aan de werkruimte.

  4. Modelimplementatie met kubernetes online-eindpunt kan worden uitgevoerd met CLI v2, Python SDK v2 en Studio UI.

Uitgaande connectiviteit vanaf het virtuele netwerk beperken

Als u de standaardregels voor uitgaand verkeer niet wilt gebruiken en u wel de uitgaande toegang van uw virtuele netwerk wilt beperken, moet u toegang tot Azure Container Registry toestaan. Zorg er bijvoorbeeld voor dat uw netwerkbeveiligingsgroepen (NSG) een regel bevat die toegang biedt tot de servicetag AzureContainerRegistry.RegionName waarbij {RegionName} de naam is van een Azure-regio.

Volgende stappen

Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks: