Konfigurowanie przychodzącego i wychodzącego ruchu sieciowego

Usługa Azure Machine Learning wymaga dostępu do serwerów i usług w publicznym Internecie. Podczas implementowania izolacji sieciowej musisz zrozumieć, jaki jest wymagany dostęp i jak go włączyć.

Uwaga

Informacje przedstawione w tym artykule dotyczą obszaru roboczego usługi Azure Machine Learning skonfigurowanego przy użyciu prywatnego punktu końcowego.

Typowe terminy i informacje

W tym artykule są używane następujące terminy i informacje:

• Tagi usług platformy Azure: tag usługi to prosty sposób określania zakresów adresów IP używanych przez usługę platformy Azure. Na przykład AzureMachineLearning tag reprezentuje adresy IP używane przez usługę Azure Machine Learning.

  Ważne

  Tagi usług platformy Azure są obsługiwane tylko przez niektóre usługi platformy Azure. Aby uzyskać listę tagów usług obsługiwanych przez sieciowe grupy zabezpieczeń i Azure Firewall, zobacz artykuł Tagi usługi dla sieci wirtualnej.

  Jeśli używasz rozwiązania spoza platformy Azure, takiego jak zapora innej firmy, pobierz listę zakresów adresów IP platformy Azure i tagów usług. Wyodrębnij plik i wyszukaj tag usługi w pliku. Adresy IP mogą się okresowo zmieniać.

• Region: niektóre tagi usługi umożliwiają określenie regionu świadczenia usługi Azure. Ogranicza to dostęp do adresów IP usługi w określonym regionie, zwykle w tym, w którym znajduje się Twoja usługa. W tym artykule po wyświetleniu komunikatu <region>zastąp region platformy Azure. Na przykład BatchNodeManagement.<region> jeśli BatchNodeManagement.uswest obszar roboczy usługi Azure Machine Learning znajduje się w regionie Zachodnie stany USA.

• Azure Batch: klastry obliczeniowe i wystąpienia obliczeniowe usługi Azure Machine Learning opierają się na wystąpieniu Azure Batch zaplecza. Ta usługa zaplecza jest hostowana w subskrypcji firmy Microsoft.

• Porty: następujące porty są używane w tym artykule. Jeśli zakres portów nie znajduje się na liście w tej tabeli, jest specyficzny dla usługi i może nie zawierać żadnych opublikowanych informacji o tym, co jest używane w następujących celach:

  Port	Opis
  80	Niezabezpieczony ruch internetowy (HTTP)
  443	Zabezpieczony ruch internetowy (HTTPS)
  445	Ruch SMB używany do uzyskiwania dostępu do udziałów plików w usłudze Azure File Storage
  8787	Używany podczas nawiązywania połączenia z programem RStudio w wystąpieniu obliczeniowym
  18881	Służy do nawiązywania połączenia z serwerem językowym w celu włączenia funkcji IntelliSense dla notesów w wystąpieniu obliczeniowym.

• Protokół: o ile nie określono inaczej, cały ruch sieciowy wymieniony w tym artykule używa protokołu TCP.

Konfiguracja podstawowa

Ta konfiguracja przyjmuje następujące założenia:

• Używasz obrazów platformy Docker dostarczanych przez udostępniony rejestr kontenerów i nie będziesz używać obrazów udostępnianych przez firmę Microsoft.
• Używasz prywatnego repozytorium pakietów języka Python i nie będziesz uzyskiwać dostępu do repozytoriów pakietów publicznych, takich jak pypi.org, *.anaconda.comlub *.anaconda.org.
• Prywatne punkty końcowe mogą komunikować się bezpośrednio ze sobą w sieci wirtualnej. Na przykład wszystkie usługi mają prywatny punkt końcowy w tej samej sieci wirtualnej:
  • Obszar roboczy usługi Azure Machine Learning
  • Konto usługi Azure Storage (obiekt blob, plik, tabela, kolejka)

Ruch przychodzący

Źródło	Źródło ports	Element docelowy	Porty docelowe	Przeznaczenie
AzureMachineLearning	Dowolne	VirtualNetwork	44224	Ruch przychodzący do wystąpienia obliczeniowego/klastra. Wymagane tylko wtedy, gdy wystąpienie/klaster jest skonfigurowane do używania publicznego adresu IP.

Porada

Sieciowa grupa zabezpieczeń jest tworzona domyślnie dla tego ruchu. Aby uzyskać więcej informacji, zobacz Domyślne reguły zabezpieczeń.

Ruch wychodzący

Tagi usługi	Porty	Przeznaczenie
AzureActiveDirectory	80, 443	Uwierzytelnianie przy użyciu Azure AD.
AzureMachineLearning	443, 8787, 18881 UDP: 5831	Korzystanie z usług Azure Machine Learning.
BatchNodeManagement.<region>	443	Komunikacja Azure Batch.
AzureResourceManager	443	Tworzenie zasobów platformy Azure za pomocą usługi Azure Machine Learning.
Storage.<region>	443	Uzyskiwanie dostępu do danych przechowywanych na koncie usługi Azure Storage dla klastra obliczeniowego i wystąpienia obliczeniowego. Tego ruchu wychodzącego można użyć do eksfiltracji danych. Aby uzyskać więcej informacji, zobacz Ochrona przed eksfiltracją danych.
AzureFrontDoor.FrontEnd * Nie są potrzebne na platformie Azure w Chinach.	443	Globalny punkt wejścia dla Azure Machine Learning studio. Przechowywanie obrazów i środowisk dla rozwiązania AutoML.
MicrosoftContainerRegistry.<region>	443	Uzyskaj dostęp do obrazów platformy Docker udostępnianych przez firmę Microsoft.
Frontdoor.FirstParty	443	Uzyskaj dostęp do obrazów platformy Docker udostępnianych przez firmę Microsoft.
AzureMonitor	443	Służy do rejestrowania monitorowania i metryk w usłudze Azure Monitor. Wymagane tylko wtedy, gdy usługa Azure Monitor nie jest zabezpieczona dla obszaru roboczego. * Ten ruch wychodzący służy również do rejestrowania informacji o zdarzeniach pomocy technicznej.

Ważne

Jeśli wystąpienie obliczeniowe lub klaster obliczeniowy nie jest skonfigurowany pod kątem publicznego adresu IP, domyślnie nie może uzyskać dostępu do Internetu. Jeśli nadal może wysyłać ruch wychodzący do Internetu, wynika to z domyślnego dostępu wychodzącego platformy Azure i masz sieciową grupę zabezpieczeń, która zezwala na ruch wychodzący do Internetu. Nie reocmmend przy użyciu domyślnego dostępu wychodzącego. Jeśli potrzebujesz dostępu wychodzącego do Internetu, zalecamy użycie jednej z następujących opcji zamiast domyślnego dostępu wychodzącego:

• Usługa Azure Virtual Network NAT z publicznym adresem IP: aby uzyskać więcej informacji na temat korzystania z translatora adresów sieciowych Virtual Network, zobacz dokumentację translatora adresów sieciowych Virtual Network.
• Trasa zdefiniowana przez użytkownika i zapora: utwórz trasę zdefiniowaną przez użytkownika w podsieci zawierającej obliczenia. Następny przeskok dla trasy powinien odwoływać się do prywatnego adresu IP zapory z prefiksem adresu 0.0.0.0/0.

Aby uzyskać więcej informacji, zobacz artykuł Default outbound access in Azure (Domyślny dostęp wychodzący na platformie Azure ).

Zalecana konfiguracja do trenowania i wdrażania modeli

Ruch wychodzący

Tagi usługi	Porty	Przeznaczenie
MicrosoftContainerRegistry.<region> i AzureFrontDoor.FirstParty	443	Umożliwia korzystanie z obrazów platformy Docker zapewnianych przez firmę Microsoft na potrzeby trenowania i wnioskowania. Konfiguruje również router usługi Azure Machine Learning dla Azure Kubernetes Service.

Aby umożliwić instalację pakietów języka Python na potrzeby trenowania i wdrażania, zezwól na ruch wychodzący do następujących nazw hostów:

Uwaga

Nie jest to pełna lista hostów wymaganych dla wszystkich zasobów języka Python w Internecie, tylko najczęściej używanych. Jeśli na przykład potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać hosty wymagane dla tego scenariusza.

Nazwa hosta	Cel
anaconda.com *.anaconda.com	Służy do instalowania pakietów domyślnych.
*.anaconda.org	Służy do pobierania danych repozytorium.
pypi.org	Służy do wyświetlania listy zależności z domyślnego indeksu, jeśli istnieje, a indeks nie jest zastępowany przez ustawienia użytkownika. Jeśli indeks zostanie zastąpiony, należy również zezwolić na *.pythonhosted.org.
*pytorch.org	Używane przez kilka przykładów na podstawie biblioteki PyTorch.
*.tensorflow.org	Używane przez kilka przykładów na podstawie biblioteki Tensorflow.

Scenariusz: instalowanie programu RStudio w wystąpieniu obliczeniowym

Aby umożliwić instalację programu RStudio w wystąpieniu obliczeniowym, zapora musi zezwalać na dostęp wychodzący do witryn, z których jest ściągany obraz platformy Docker. Dodaj następującą regułę aplikacji do zasad Azure Firewall:

• Nazwa: AllowRStudioInstall
• Typ źródła: adres IP
• Źródłowe adresy IP: zakres adresów IP podsieci, w której zostanie utworzone wystąpienie obliczeniowe. Na przykład 172.16.0.0/24.
• Typ docelowy: FQDN
• Docelowa nazwa FQDN: ghcr.io, pkg-containers.githubusercontent.com
• Protokół: Https:443

Aby zezwolić na instalację pakietów języka R, zezwól na ruch wychodzący do usługi cloud.r-project.org. Ten host jest używany do instalowania pakietów CRAN.

Uwaga

Jeśli potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać wymagane hosty dla tego scenariusza.

Scenariusz: używanie klastra obliczeniowego lub wystąpienia obliczeniowego z publicznym adresem IP

Ważne

Wystąpienie obliczeniowe lub klaster obliczeniowy bez publicznego adresu IP nie wymaga ruchu przychodzącego z Azure Batch zarządzania i usług Azure Machine Learning. Jeśli jednak masz wiele obliczeń, a niektóre z nich używają publicznego adresu IP, musisz zezwolić na ten ruch.

W przypadku korzystania z wystąpienia obliczeniowego usługi Azure Machine Learning lub klastra obliczeniowego (z publicznym adresem IP) zezwalaj na ruch przychodzący z usługi Azure Machine Learning. Wystąpienie obliczeniowe lub klaster obliczeniowy bez publicznego adresu IP (wersja zapoznawcza) nie wymaga tej komunikacji przychodzącej. Sieciowa grupa zabezpieczeń zezwalająca na ten ruch jest tworzona dynamicznie, jednak może być konieczne również utworzenie tras zdefiniowanych przez użytkownika (UDR), jeśli masz zaporę. Podczas tworzenia trasy zdefiniowanej przez użytkownika dla tego ruchu można użyć adresów IP lub tagów usługi do kierowania ruchu.

Trasy adresów IP

W przypadku usługi Azure Machine Learning należy dodać adres IP regionów podstawowych i pomocniczych . Aby znaleźć region pomocniczy, zobacz replikację między regionami na platformie Azure. Jeśli na przykład usługa Azure Machine Learning service znajduje się w regionie Wschodnie stany USA 2, region pomocniczy to Środkowe stany USA.

Aby uzyskać listę adresów IP usługi Azure Machine Learning, pobierz zakresy adresów IP platformy Azure i tagi usług i wyszukaj plik AzureMachineLearning.<region>, gdzie <region> to region świadczenia usługi Azure.

Ważne

Adresy IP mogą ulec zmianie w czasie.

Podczas tworzenia trasy zdefiniowanej przez użytkownika ustaw typ Następnego przeskoku na Internet. Oznacza to, że komunikacja przychodząca z platformy Azure pomija zaporę w celu uzyskania dostępu do modułów równoważenia obciążenia przy użyciu publicznych adresów IP wystąpień obliczeniowych i klastra obliczeniowego. Trasa zdefiniowana przez użytkownika jest wymagana, ponieważ wystąpienie obliczeniowe i klaster obliczeniowy otrzymają losowe publiczne adresy IP podczas tworzenia i nie można znać publicznych adresów IP przed utworzeniem, aby zarejestrować je w zaporze, aby zezwolić na ruch przychodzący z platformy Azure do określonych adresów IP dla wystąpienia obliczeniowego i klastra obliczeniowego. Na poniższej ilustracji przedstawiono przykładowy adres IP oparty na trasach zdefiniowanych przez użytkownika w Azure Portal:

Trasy tagów usługi

Utwórz trasy zdefiniowane przez użytkownika dla tagu AzureMachineLearning usługi.

Następujące polecenie demonstruje dodawanie trasy dla tego tagu usługi:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n AzureMLRoute --address-prefix AzureMachineLearning --next-hop-type Internet

Aby uzyskać informacje na temat konfigurowania trasy zdefiniowanej przez użytkownika, zobacz Route network traffic with a routing table (Kierowanie ruchem sieciowym przy użyciu tabeli routingu).

Scenariusz: Zapora między punktami końcowymi usługi Azure Machine Learning i Azure Storage

Należy również zezwolić na dostęp wychodzący do Storage.<region>portu 445.

Scenariusz: obszar roboczy utworzony z włączoną flagą hbi_workspace

Należy również zezwolić na dostęp wychodzący do usługi Keyvault.<region>. Ten ruch wychodzący służy do uzyskiwania dostępu do wystąpienia magazynu kluczy dla usługi Azure Batch zaplecza.

Aby uzyskać więcej informacji na temat flagi hbi_workspace , zobacz artykuł dotyczący szyfrowania danych .

Scenariusz: korzystanie z obliczeń platformy Kubernetes

Klaster Kubernetes działający za serwerem proxy ruchu wychodzącego lub zapora wymaga dodatkowej konfiguracji sieci ruchu wychodzącego.

• W przypadku platformy Kubernetes z połączeniem usługi Azure Arc skonfiguruj wymagania sieciowe usługi Azure Arc wymagane przez agentów usługi Azure Arc.
• W przypadku klastra usługi AKS bez połączenia z usługą Azure Arc skonfiguruj wymagania dotyczące sieci rozszerzenia AKS.

Oprócz powyższych wymagań następujące adresy URL ruchu wychodzącego są również wymagane dla usługi Azure Machine Learning.

Wychodzący punkt końcowy	Port	Opis	Szkolenie	Wnioskowanie
*.kusto.windows.net *.table.core.windows.net *.queue.core.windows.net	443	Wymagane do przekazania dzienników systemowych do usługi Kusto.	✓	✓
<your ACR name>.azurecr.io <your ACR name>.<region>.data.azurecr.io	443	Rejestr kontenerów platformy Azure wymagany do ściągnięcia obrazów platformy Docker używanych na potrzeby obciążeń uczenia maszynowego.	✓	✓
<your storage account name>.blob.core.windows.net	443	Usługa Azure Blob Storage, wymagana do pobierania skryptów projektu uczenia maszynowego, danych lub modeli oraz przekazywania dzienników/danych wyjściowych zadań.	✓	✓
<your workspace ID>.workspace.<region>.api.azureml.ms <region>.experiments.azureml.net <region>.api.azureml.ms	443	Interfejs API usługi Azure Machine Learning.	✓	✓
pypi.org	443	Indeks pakietów języka Python służący do instalowania pakietów pip używanych do inicjowania środowiska zadań szkoleniowych.	✓	Nie dotyczy
archive.ubuntu.com security.ubuntu.com ppa.launchpad.net	80	Wymagane do pobrania niezbędnych poprawek zabezpieczeń.	✓	Nie dotyczy

Uwaga

• Zastąp <your workspace workspace ID> element identyfikatorem obszaru roboczego. Identyfikator można znaleźć w Azure Portal — strona zasobu usługi Machine Learning — właściwości — identyfikator obszaru roboczego.
• Zastąp ciąg <your storage account> nazwą konta magazynu.
• Zastąp <your ACR name> ciąg nazwą Azure Container Registry obszaru roboczego.
• Zastąp element <region> regionem obszaru roboczego.

Wymagania dotyczące komunikacji w klastrze

Aby zainstalować rozszerzenie usługi Azure Machine Learning na platformie Obliczeniowej Kubernetes, wszystkie składniki powiązane z usługą azureml Azure Machine Learning są wdrażane w przestrzeni nazw. W celu zapewnienia, że obciążenia uczenia maszynowego działają dobrze w klastrze usługi AKS, jest wymagana następująca komunikacja w klastrze klastra.

• Składniki w azureml przestrzeni nazw powinny być w stanie komunikować się z serwerem interfejsu API Kubernetes.
• Składniki w azureml przestrzeni nazw powinny mieć możliwość komunikowania się ze sobą.
• Składniki w azureml przestrzeni nazw powinny mieć możliwość komunikowania się z przestrzenią kube-dns nazw i konnectivity-agent z kube-system nimi.
• Jeśli klaster jest używany do wnioskowania w czasie rzeczywistym, azureml-fe-xxx identyfikatory POD powinny mieć możliwość komunikowania się z wdrożonym identyfikatorami POD modelu na porcie 5001 w innej przestrzeni nazw. azureml-fe-xxx Identyfikatory POD powinny zostać otwarte 11001, 12001, 12101, 12201, 20000, 8000, 8001, 9001 portów komunikacji wewnętrznej.
• Jeśli klaster jest używany do wnioskowania w czasie rzeczywistym, wdrożone identyfikatory POD modelu powinny mieć możliwość komunikowania się z amlarc-identity-proxy-xxx identyfikatorami POD na porcie 9999.

Scenariusz: Visual Studio Code

Hosty w tej sekcji służą do instalowania pakietów Visual Studio Code w celu nawiązania połączenia zdalnego między Visual Studio Code a wystąpieniami obliczeniowymi w obszarze roboczym usługi Azure Machine Learning.

Uwaga

Nie jest to pełna lista hostów wymaganych dla wszystkich zasobów Visual Studio Code w Internecie, tylko najczęściej używanych. Jeśli na przykład potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać hosty wymagane dla tego scenariusza.

Nazwa hosta	Cel
*.vscode.dev *.vscode-unpkg.net *.vscode-cdn.net *.vscodeexperiments.azureedge.net default.exp-tas.com	Wymagane do uzyskania dostępu do vscode.dev (Visual Studio Code dla sieci Web)
code.visualstudio.com	Wymagane do pobrania i zainstalowania programu komputerowego VS Code. Ten host nie jest wymagany dla sieci Web programu VS Code.
update.code.visualstudio.com *.vo.msecnd.net	Służy do pobierania bitów serwera programu VS Code zainstalowanych w wystąpieniu obliczeniowym za pomocą skryptu instalacji.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Wymagane do pobrania i zainstalowania rozszerzenia programu VS Code. Te hosty umożliwiają zdalne połączenie z wystąpieniami obliczeniowymi przy użyciu rozszerzenia usługi Azure Machine Learning dla programu VS Code. Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z wystąpieniem obliczeniowym usługi Azure Machine Learning w Visual Studio Code
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	Służy do pobierania bitów serwera websocket zainstalowanych w wystąpieniu obliczeniowym. Serwer websocket służy do przesyłania żądań z klienta Visual Studio Code (aplikacji klasycznej) do serwera Visual Studio Code uruchomionego w wystąpieniu obliczeniowym.

Scenariusz: zapora innej firmy

Wskazówki zawarte w tej sekcji są ogólne, ponieważ każda zapora ma własną terminologię i określone konfiguracje. Jeśli masz pytania, zapoznaj się z dokumentacją używanej zapory.

Jeśli nie skonfigurowano poprawnie, zapora może powodować problemy z używaniem obszaru roboczego. Istnieją różne nazwy hostów, które są używane zarówno przez obszar roboczy usługi Azure Machine Learning. W poniższych sekcjach wymieniono hosty wymagane dla usługi Azure Machine Learning.

Interfejs API zależności

Możesz również użyć interfejsu API REST usługi Azure Machine Learning, aby uzyskać listę hostów i portów, do których należy zezwolić na ruch wychodzący . Aby użyć tego interfejsu API, wykonaj następujące kroki:

1. Uzyskiwanie tokenu uwierzytelniania. Następujące polecenie pokazuje użycie interfejsu wiersza polecenia platformy Azure do uzyskania tokenu uwierzytelniania i identyfikatora subskrypcji:

   TOKEN=$(az account get-access-token --query accessToken -o tsv)
   SUBSCRIPTION=$(az account show --query id -o tsv)
   

2. Wywoływanie interfejsu API. W poniższym poleceniu zastąp następujące wartości:

   • Zastąp <region> element regionem świadczenia usługi Azure, w którym znajduje się obszar roboczy. Na przykład westus2.
   • Zastąp element <resource-group> grupą zasobów zawierającą obszar roboczy.
   • Zastąp <workspace-name> ciąg nazwą obszaru roboczego.

   az rest --method GET \
       --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
       --header Authorization="Bearer $TOKEN"
   

Wynikiem wywołania interfejsu API jest dokument JSON. Poniższy fragment kodu to fragment tego dokumentu:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Hosty firmy Microsoft

Hosty w poniższych tabelach są własnością firmy Microsoft i zapewniają usługi wymagane do prawidłowego funkcjonowania obszaru roboczego. Tabele zawierają listę hostów dla publicznych, Azure Government platformy Azure i regionów Azure China 21Vianet.

Ważne

Usługa Azure Machine Learning korzysta z kont usługi Azure Storage w ramach subskrypcji i subskrypcji zarządzanych przez firmę Microsoft. W stosownych przypadkach następujące terminy są używane do rozróżniania ich w tej sekcji:

• Magazyn: konta usługi Azure Storage w subskrypcji, które są używane do przechowywania danych i artefaktów, takich jak modele, dane szkoleniowe, dzienniki szkoleniowe i skrypty języka Python.>
• Microsoft Storage: wystąpienie obliczeniowe i klastry obliczeniowe usługi Azure Machine Learning opierają się na Azure Batch i muszą uzyskiwać dostęp do magazynu znajdującego się w subskrypcji firmy Microsoft. Ten magazyn jest używany tylko do zarządzania wystąpieniami obliczeniowymi. Żadne z Twoich danych nie jest tutaj przechowywane.

Ogólne hosty platformy Azure

Azure — publiczna

Wymagane przez	Hosts	Protokół	Porty
Azure Active Directory	login.microsoftonline.com	TCP	80, 443
Azure Portal	management.azure.com	TCP	443
Azure Resource Manager	management.azure.com	TCP	443

Azure Government

Wymagane przez	Hosts	Protokół	Porty
Azure Active Directory	login.microsoftonline.us	TCP	80, 443
Azure Portal	management.azure.us	TCP	443
Azure Resource Manager	management.usgovcloudapi.net	TCP	443

Azure w Chinach — 21Vianet

Wymagane przez	Hosts	Protokół	Porty
Azure Active Directory	login.chinacloudapi.cn	TCP	80, 443
Azure Portal	management.azure.cn	TCP	443
Azure Resource Manager	management.chinacloudapi.cn	TCP	443

Hosty usługi Azure Machine Learning

Ważne

W poniższej tabeli zastąp <storage> ciąg nazwą domyślnego konta magazynu dla obszaru roboczego usługi Azure Machine Learning. Zastąp element <region> regionem obszaru roboczego.

Azure — publiczna

Wymagane przez	Hosts	Protokół	Porty
Studio uczenia maszynowego Azure	ml.azure.com	TCP	443
interfejs API	*.azureml.ms	TCP	443
interfejs API	*.azureml.net	TCP	443
Zarządzanie modelem	*.modelmanagement.azureml.net	TCP	443
Notes zintegrowany	*.notebooks.azure.net	TCP	443
Notes zintegrowany	<storage>.file.core.windows.net	TCP	443, 445
Notes zintegrowany	<storage>.dfs.core.windows.net	TCP	443
Notes zintegrowany	<storage>.blob.core.windows.net	TCP	443
Notes zintegrowany	graph.microsoft.com	TCP	443
Notes zintegrowany	*.aznbcontent.net	TCP	443
AutoML NLP, Vision	automlresources-prod.azureedge.net	TCP	443
AutoML NLP, Vision	aka.ms	TCP	443

Uwaga

AutoML NLP, vision są obecnie obsługiwane tylko w regionach publicznych platformy Azure.

Azure Government

Wymagane przez	Hosts	Protokół	Porty
Studio uczenia maszynowego Azure	ml.azure.us	TCP	443
interfejs API	*.ml.azure.us	TCP	443
Zarządzanie modelem	*.modelmanagement.azureml.us	TCP	443
Notes zintegrowany	*.notebooks.usgovcloudapi.net	TCP	443
Notes zintegrowany	<storage>.file.core.usgovcloudapi.net	TCP	443, 445
Notes zintegrowany	<storage>.dfs.core.usgovcloudapi.net	TCP	443
Notes zintegrowany	<storage>.blob.core.usgovcloudapi.net	TCP	443
Notes zintegrowany	graph.microsoft.us	TCP	443
Notes zintegrowany	*.aznbcontent.net	TCP	443

Azure w Chinach — 21Vianet

Wymagane przez	Hosts	Protokół	Porty
Studio uczenia maszynowego Azure	studio.ml.azure.cn	TCP	443
interfejs API	*.ml.azure.cn	TCP	443
interfejs API	*.azureml.cn	TCP	443
Zarządzanie modelem	*.modelmanagement.ml.azure.cn	TCP	443
Notes zintegrowany	*.notebooks.chinacloudapi.cn	TCP	443
Notes zintegrowany	<storage>.file.core.chinacloudapi.cn	TCP	443, 445
Notes zintegrowany	<storage>.dfs.core.chinacloudapi.cn	TCP	443
Notes zintegrowany	<storage>.blob.core.chinacloudapi.cn	TCP	443
Notes zintegrowany	graph.chinacloudapi.cn	TCP	443
Notes zintegrowany	*.aznbcontent.net	TCP	443

Wystąpienie obliczeniowe usługi Azure Machine Learning i hosty klastra obliczeniowego

Porada

• Host usługi Azure Key Vault jest wymagany tylko wtedy, gdy obszar roboczy został utworzony z włączoną flagą hbi_workspace.
• Porty 8787 i 18881 dla wystąpienia obliczeniowego są potrzebne tylko wtedy, gdy obszar roboczy usługi Azure Machine ma prywatny punkt końcowy.
• W poniższej tabeli zastąp <storage> ciąg nazwą domyślnego konta magazynu dla obszaru roboczego usługi Azure Machine Learning.
• W poniższej tabeli zastąp element <region> regionem świadczenia usługi Azure zawierającym obszar roboczy usługi Azure Machine Learning.
• Komunikacja protokołu Websocket musi być dozwolona dla wystąpienia obliczeniowego. Jeśli zablokujesz ruch protokołu WebSocket, notesy Jupyter nie będą działać poprawnie.

Azure — publiczna

Wymagane przez	Hosts	Protokół	Porty
Klaster/wystąpienie obliczeniowe	graph.windows.net	TCP	443
Wystąpienie obliczeniowe	*.instances.azureml.net	TCP	443
Wystąpienie obliczeniowe	*.instances.azureml.ms	TCP	443, 8787, 18881
Wystąpienie obliczeniowe	<region>.tundra.azureml.ms	UDP	5831
Wystąpienie obliczeniowe	*.batch.azure.com	WSZELKIE	443
Wystąpienie obliczeniowe	*.service.batch.com	WSZELKIE	443
Dostęp do magazynu firmy Microsoft	*.blob.core.windows.net	TCP	443
Dostęp do magazynu firmy Microsoft	*.table.core.windows.net	TCP	443
Dostęp do magazynu firmy Microsoft	*.queue.core.windows.net	TCP	443
Twoje konto magazynu	<storage>.file.core.windows.net	TCP	443, 445
Twoje konto magazynu	<storage>.blob.core.windows.net	TCP	443
Azure Key Vault	*.vault.azure.net	TCP	443

Azure Government

Wymagane przez	Hosts	Protokół	Porty
Klaster/wystąpienie obliczeniowe	graph.windows.net	TCP	443
Wystąpienie obliczeniowe	*.instances.azureml.us	TCP	443
Wystąpienie obliczeniowe	*.instances.azureml.ms	TCP	443, 8787, 18881
Wystąpienie obliczeniowe	<region>.tundra.azureml.us	UDP	5831
Dostęp do magazynu firmy Microsoft	*.blob.core.usgovcloudapi.net	TCP	443
Dostęp do magazynu firmy Microsoft	*.table.core.usgovcloudapi.net	TCP	443
Dostęp do magazynu firmy Microsoft	*.queue.core.usgovcloudapi.net	TCP	443
Twoje konto magazynu	<storage>.file.core.usgovcloudapi.net	TCP	443, 445
Twoje konto magazynu	<storage>.blob.core.usgovcloudapi.net	TCP	443
Azure Key Vault	*.vault.usgovcloudapi.net	TCP	443

Azure w Chinach — 21Vianet

Wymagane przez	Hosts	Protokół	Porty
Klaster/wystąpienie obliczeniowe	graph.chinacloudapi.cn	TCP	443
Wystąpienie obliczeniowe	*.instances.azureml.cn	TCP	443
Wystąpienie obliczeniowe	*.instances.azureml.ms	TCP	443, 8787, 18881
Wystąpienie obliczeniowe	<region>.tundra.azureml.cn	UDP	5831
Dostęp do magazynu firmy Microsoft	*.blob.core.chinacloudapi.cn	TCP	443
Dostęp do magazynu firmy Microsoft	*.table.core.chinacloudapi.cn	TCP	443
Dostęp do magazynu firmy Microsoft	*.queue.core.chinacloudapi.cn	TCP	443
Twoje konto magazynu	<storage>.file.core.chinacloudapi.cn	TCP	443, 445
Twoje konto magazynu	<storage>.blob.core.chinacloudapi.cn	TCP	443
Azure Key Vault	*.vault.azure.cn	TCP	443

Obrazy platformy Docker obsługiwane przez usługę Azure Machine Learning

Wymagane przez	Hosts	Protokół	Porty
Microsoft Container Registry	mcr.microsoft.com*.data.mcr.microsoft.com	TCP	443

Porada

• Azure Container Registry jest wymagany dla dowolnego niestandardowego obrazu platformy Docker. Obejmuje to niewielkie modyfikacje (takie jak dodatkowe pakiety) do obrazów bazowych udostępnianych przez firmę Microsoft. Jest to również wymagane przez wewnętrzny proces przesyłania zadań szkoleniowych usługi Azure Machine Learning.
• Usługa Microsoft Container Registry jest wymagana tylko wtedy, gdy planujesz korzystanie z domyślnych obrazów platformy Docker dostarczonych przez firmę Microsoft i włączania zależności zarządzanych przez użytkownika.
• Jeśli planujesz korzystanie z tożsamości federacyjnej, postępuj zgodnie z artykułem Najlepsze rozwiązania dotyczące zabezpieczania Active Directory Federation Services.

Ponadto użyj informacji w sekcji obliczenia z publicznym adresem IP , aby dodać adresy IP dla i BatchNodeManagementAzureMachineLearning.

Aby uzyskać informacje na temat ograniczania dostępu do modeli wdrożonych w usłudze AKS, zobacz Ograniczanie ruchu wychodzącego w Azure Kubernetes Service.

Monitorowanie, metryki i diagnostyka

Jeśli usługa Azure Monitor nie jest zabezpieczona dla obszaru roboczego, musisz zezwolić na ruch wychodzący do następujących hostów:

Uwaga

Informacje rejestrowane na tych hostach są również używane przez pomoc techniczna firmy Microsoft, aby móc zdiagnozować wszelkie problemy napotkane w obszarze roboczym.

• dc.applicationinsights.azure.com
• dc.applicationinsights.microsoft.com
• dc.services.visualstudio.com
• *.in.applicationinsights.azure.com

Aby uzyskać listę adresów IP dla tych hostów, zobacz Adresy IP używane przez usługę Azure Monitor.

Następne kroki

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii:

• Omówienie sieci wirtualnej
• Zabezpieczanie zasobów obszaru roboczego
• Zabezpieczanie środowiska szkoleniowego
• Zabezpieczanie środowiska wnioskowania
• Włączanie funkcji programu Studio
• Używanie niestandardowego systemu DNS

Aby uzyskać więcej informacji na temat konfigurowania Azure Firewall, zobacz Samouczek: wdrażanie i konfigurowanie Azure Firewall przy użyciu Azure Portal.