Konfigurowanie przychodzącego i wychodzącego ruchu sieciowego

  • Artykuł

Usługa Azure Machine Edukacja wymaga dostępu do serwerów i usług w publicznym Internecie. Podczas implementowania izolacji sieciowej należy zrozumieć, jaki jest wymagany dostęp i jak go włączyć.

Uwaga

Informacje przedstawione w tym artykule dotyczą obszaru roboczego usługi Azure Machine Edukacja skonfigurowanego do korzystania z usługi Azure Virtual Network. W przypadku korzystania z zarządzanej sieci wirtualnej wymagana konfiguracja ruchu przychodzącego i wychodzącego dla obszaru roboczego jest stosowana automatycznie. Aby uzyskać więcej informacji, zobacz Azure Machine Edukacja zarządzana sieć wirtualna.

Typowe terminy i informacje

W tym artykule są używane następujące terminy i informacje:

  • Tagi usługi platformy Azure: tag usługi to prosty sposób określania zakresów adresów IP używanych przez usługę platformy Azure. Na przykład AzureMachineLearning tag reprezentuje adresy IP używane przez usługę Azure Machine Edukacja.

    Ważne

    Tagi usług platformy Azure są obsługiwane tylko przez niektóre usługi platformy Azure. Aby uzyskać listę tagów usług obsługiwanych przez sieciowe grupy zabezpieczeń i usługę Azure Firewall, zobacz artykuł Tagi usługi sieci wirtualnej.

    Jeśli używasz rozwiązania spoza platformy Azure, takiego jak zapora innej firmy, pobierz listę zakresów adresów IP platformy Azure i tagów usługi. Wyodrębnij plik i wyszukaj tag usługi w pliku. Adresy IP mogą się okresowo zmieniać.

  • Region: niektóre tagi usługi umożliwiają określenie regionu świadczenia usługi. Ogranicza to dostęp do adresów IP usługi w określonym regionie, zazwyczaj tego, w którym znajduje się Twoja usługa. W tym artykule, gdy zobaczysz , <region>w zamian zastąp region platformy Azure. Na przykład BatchNodeManagement.<region> jeśli BatchNodeManagement.uswest obszar roboczy usługi Azure Machine Edukacja znajduje się w regionie Zachodnie stany USA.

  • Azure Batch: usługa Azure Machine Edukacja klastrów obliczeniowych i wystąpień obliczeniowych polega na wystąpieniu usługi Azure Batch zaplecza. Ta usługa zaplecza jest hostowana w ramach subskrypcji firmy Microsoft.

  • Porty: następujące porty są używane w tym artykule. Jeśli zakres portów nie jest wymieniony w tej tabeli, jest on specyficzny dla usługi i może nie zawierać żadnych opublikowanych informacji na temat tego, co jest używane w następujących przypadkach:

    Port opis
    80 Niezabezpieczony ruch internetowy (HTTP)
    443 Zabezpieczony ruch internetowy (HTTPS)
    445 Ruch SMB używany do uzyskiwania dostępu do udziałów plików w usłudze Azure File Storage
    8787 Używany podczas nawiązywania połączenia z programem RStudio w wystąpieniu obliczeniowym
    18881 Służy do nawiązywania połączenia z serwerem językowym w celu włączenia funkcji IntelliSense dla notesów w wystąpieniu obliczeniowym.

  • Protokół: o ile nie określono inaczej, cały ruch sieciowy wymieniony w tym artykule używa protokołu TCP.

Konfiguracja podstawowa

Ta konfiguracja przyjmuje następujące założenia:

  • Używasz obrazów platformy Docker udostępnianych przez udostępniony rejestr kontenerów i nie będziesz używać obrazów udostępnianych przez firmę Microsoft.
  • Używasz prywatnego repozytorium pakietów języka Python i nie będziesz uzyskiwać dostępu do repozytoriów pakietów publicznych, takich jak pypi.org, *.anaconda.comlub *.anaconda.org.
  • Prywatne punkty końcowe mogą komunikować się bezpośrednio ze sobą w sieci wirtualnej. Na przykład wszystkie usługi mają prywatny punkt końcowy w tej samej sieci wirtualnej:
    • Obszar roboczy usługi Azure Machine Learning
    • Konto usługi Azure Storage (obiekt blob, plik, tabela, kolejka)

Ruch przychodzący

Źródło Źródło
ports		 Element docelowy Porty docelowe Purpose
AzureMachineLearning Dowolne VirtualNetwork 44224 Ruch przychodzący do wystąpienia obliczeniowego/klastra. Wymagane tylko wtedy, gdy wystąpienie/klaster jest skonfigurowane do używania publicznego adresu IP.

Napiwek

Sieciowa grupa zabezpieczeń jest tworzona domyślnie dla tego ruchu. Aby uzyskać więcej informacji, zobacz Domyślne reguły zabezpieczeń.

Ruch wychodzący

Znacznik(i) usługi Porty Purpose
AzureActiveDirectory 80, 443 Uwierzytelnianie za pomocą usługi Microsoft Entra ID.
AzureMachineLearning 443, 8787, 18881
UDP: 5831		 Korzystanie z usług Azure Machine Learning.
BatchNodeManagement.<region> 443 Komunikacja w usłudze Azure Batch.
AzureResourceManager 443 Tworzenie zasobów platformy Azure za pomocą usługi Azure Machine Learning.
Storage.<region> 443 Uzyskiwanie dostępu do danych przechowywanych na koncie usługi Microsoft Azure Storage dla klastra obliczeniowego i wystąpienia obliczeniowego. To wyjście może być wykorzystane do eksfiltracji danych. Aby uzyskać więcej informacji, zobacz Ochrona eksfiltracji danych.
AzureFrontDoor.FrontEnd
* Nie jest wymagane na platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.		 443 Globalny punkt wejścia dla usługiAzure Machine Learning studio. Przechowywanie obrazów i środowisk dla rozwiązania AutoML.
MicrosoftContainerRegistry.<region> 443 Uzyskiwanie dostępu do obrazów platformy Docker dostarczonych przez firmę Microsoft.
Frontdoor.FirstParty 443 Uzyskiwanie dostępu do obrazów platformy Docker dostarczonych przez firmę Microsoft.
AzureMonitor 443 Służy do rejestrowania monitorowania i metryk w usłudze Azure Monitor. Wymagane tylko wtedy, gdy usługa Azure Monitor nie jest zabezpieczona dla obszaru roboczego.
* Ten ruch wychodzący jest również używany do rejestrowania informacji dotyczących zdarzeń pomocy technicznej.

Ważne

Jeśli wystąpienie obliczeniowe lub klaster obliczeniowy jest skonfigurowany dla żadnego publicznego adresu IP, domyślnie nie może uzyskać dostępu do Internetu. Jeśli nadal może wysyłać ruch wychodzący do Internetu, wynika to z domyślnego dostępu wychodzącego platformy Azure i masz sieciową grupę zabezpieczeń, która zezwala na ruch wychodzący do Internetu. Nie zalecamy używania domyślnego dostępu wychodzącego. Jeśli potrzebujesz dostępu wychodzącego do Internetu, zalecamy użycie jednej z następujących opcji zamiast domyślnego dostępu wychodzącego:

  • Translator adresów sieci wirtualnych platformy Azure z publicznym adresem IP: aby uzyskać więcej informacji na temat korzystania z translatora adresów sieci wirtualnych, zobacz dokumentację translatora adresów sieci wirtualnych.
  • Trasa zdefiniowana przez użytkownika i zapora: utwórz trasę zdefiniowaną przez użytkownika w podsieci zawierającej obliczenia. Następny przeskok dla trasy powinien odwoływać się do prywatnego adresu IP zapory z prefiksem adresu 0.0.0.0/0.

Aby uzyskać więcej informacji, zobacz artykuł Domyślny dostęp wychodzący na platformie Azure .

Ruch wychodzący

Znacznik(i) usługi Porty Purpose
MicrosoftContainerRegistry.<region> i AzureFrontDoor.FirstParty 443 Umożliwia korzystanie z obrazów platformy Docker zapewnianych przez firmę Microsoft na potrzeby trenowania i wnioskowania. Konfiguruje również router usługi Azure Machine Edukacja dla usługi Azure Kubernetes Service.

Aby umożliwić instalację pakietów języka Python na potrzeby trenowania i wdrażania, zezwól na ruch wychodzący do następujących nazw hostów:

Uwaga

Nie jest to pełna lista hostów wymaganych dla wszystkich zasobów języka Python w Internecie, tylko najczęściej używanych. Jeśli na przykład potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać hosty wymagane dla tego scenariusza.

Nazwa hosta Przeznaczenie
anaconda.com
*.anaconda.com		 Służy do instalowania pakietów domyślnych.
*.anaconda.org Służy do pobierania danych repozytorium.
pypi.org Służy do wyświetlania listy zależności z domyślnego indeksu, jeśli istnieje, a indeks nie jest zastępowany przez ustawienia użytkownika. Jeśli indeks jest zastępowany, należy również zezwolić na *.pythonhosted.orgwartość .
pytorch.org
*.pytorch.org		 Używane przez niektóre przykłady na podstawie PyTorch.
*.tensorflow.org Używane przez niektóre przykłady na podstawie biblioteki Tensorflow.

Scenariusz: Instalowanie programu RStudio w wystąpieniu obliczeniowym

Aby umożliwić instalację programu RStudio w wystąpieniu obliczeniowym, zapora musi zezwalać na dostęp wychodzący do witryn, z których jest ściągany obraz platformy Docker. Dodaj następującą regułę aplikacji do zasad usługi Azure Firewall:

  • Nazwa: AllowRStudioInstall
  • Typ źródła: adres IP
  • Źródłowe adresy IP: zakres adresów IP podsieci, w której utworzysz wystąpienie obliczeniowe. Na przykład 172.16.0.0/24.
  • Typ docelowy: FQDN
  • Docelowa nazwa FQDN: ghcr.io, pkg-containers.githubusercontent.com
  • Protokół: Https:443

Aby zezwolić na instalację pakietów języka R, zezwól na ruch wychodzący do cloud.r-project.orgusługi . Ten host jest używany do instalowania pakietów CRAN.

Uwaga

Jeśli potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać wymagane hosty dla tego scenariusza.

Scenariusz: używanie klastra obliczeniowego lub wystąpienia obliczeniowego z publicznym adresem IP

Ważne

Wystąpienie obliczeniowe lub klaster obliczeniowy bez publicznego adresu IP nie wymaga ruchu przychodzącego z zarządzania usługami Azure Batch i Azure Machine Edukacja. Jeśli jednak masz wiele obliczeń i niektóre z nich używają publicznego adresu IP, musisz zezwolić na ten ruch.

W przypadku korzystania z usługi Azure Machine Edukacja wystąpienia obliczeniowego lub klastra obliczeniowego (z publicznym adresem IP) zezwalaj na ruch przychodzący z usługi Azure Machine Edukacja. Wystąpienie obliczeniowe lub klaster obliczeniowy bez publicznego adresu IP (wersja zapoznawcza) nie wymaga tej komunikacji przychodzącej. Sieciowa grupa zabezpieczeń zezwalająca na ten ruch jest tworzona dynamicznie, jednak może być konieczne również utworzenie tras zdefiniowanych przez użytkownika (UDR), jeśli masz zaporę. Podczas tworzenia trasy zdefiniowanej przez użytkownika dla tego ruchu można użyć adresów IP lub tagów usługi do kierowania ruchu.

W przypadku usługi Azure Machine Edukacja należy dodać adres IP regionów podstawowych i pomocniczych. Aby znaleźć region pomocniczy, zobacz replikację między regionami na platformie Azure. Jeśli na przykład usługa Azure Machine Edukacja znajduje się w regionie Wschodnie stany USA 2, region pomocniczy to Środkowe stany USA.

Aby uzyskać listę adresów IP usługi Azure Machine Edukacja, pobierz zakresy adresów IP platformy Azure i tagi usług i wyszukaj plik AzureMachineLearning.<region>, gdzie <region> jest regionem świadczenia usługi Azure.

Ważne

Adresy IP mogą ulec zmianie w czasie.

Podczas tworzenia trasy zdefiniowanej przez użytkownika ustaw typ Następnego przeskoku na Internet. Oznacza to, że komunikacja przychodząca z platformy Azure pomija zaporę w celu uzyskania dostępu do modułów równoważenia obciążenia za pomocą publicznych adresów IP wystąpień obliczeniowych i klastra obliczeniowego. Trasa zdefiniowana przez użytkownika jest wymagana, ponieważ wystąpienie obliczeniowe i klaster obliczeniowy otrzymają losowe publiczne adresy IP podczas tworzenia i nie znasz publicznych adresów IP przed utworzeniem, aby zarejestrować je w zaporze, aby zezwolić na ruch przychodzący z platformy Azure do określonych adresów IP dla wystąpień obliczeniowych i klastra obliczeniowego. Na poniższej ilustracji przedstawiono przykładowy adres IP oparty na trasach zdefiniowanych przez użytkownika w witrynie Azure Portal:

Image of a user-defined route configuration

Aby uzyskać informacje na temat konfigurowania trasy zdefiniowanej przez użytkownika, zobacz Routing ruchu sieciowego przy użyciu tabeli routingu.

Scenariusz: Zapora między usługą Azure Machine Edukacja i punktami końcowymi usługi Azure Storage

Należy również zezwolić na dostęp wychodzący do Storage.<region> portu 445.

Scenariusz: obszar roboczy utworzony z włączoną flagą hbi_workspace

Należy również zezwolić na dostęp wychodzący do usługi Keyvault.<region>. Ten ruch wychodzący służy do uzyskiwania dostępu do wystąpienia magazynu kluczy dla usługi Azure Batch zaplecza.

Aby uzyskać więcej informacji na temat flagi hbi_workspace , zobacz artykuł dotyczący szyfrowania danych.

Scenariusz: Korzystanie z obliczeń platformy Kubernetes

Klaster Kubernetes uruchomiony za serwerem proxy ruchu wychodzącego lub zapora wymaga dodatkowej konfiguracji sieci wychodzącej.

Oprócz powyższych wymagań następujące adresy URL ruchu wychodzącego są również wymagane dla usługi Azure Machine Edukacja,

Wychodzący punkt końcowy Port opis Szkolenie Wnioskowanie
*.kusto.windows.net
*.table.core.windows.net
*.queue.core.windows.net		 443 Wymagane do przekazania dzienników systemowych do usługi Kusto.
<your ACR name>.azurecr.io
<your ACR name>.<region>.data.azurecr.io		 443 Rejestr kontenerów platformy Azure wymagany do ściągania obrazów platformy Docker używanych na potrzeby obciążeń uczenia maszynowego.
<your storage account name>.blob.core.windows.net 443 Usługa Azure Blob Storage, wymagana do pobierania skryptów projektu uczenia maszynowego, danych lub modeli oraz przekazywania dzienników/danych wyjściowych zadań.
<your workspace ID>.workspace.<region>.api.azureml.ms
<region>.experiments.azureml.net
<region>.api.azureml.ms		 443 Interfejs API usługi azure Machine Edukacja.
pypi.org 443 Indeks pakietu języka Python w celu zainstalowania pakietów pip używanych do inicjowania środowiska zadań szkoleniowych. Nie dotyczy
archive.ubuntu.com
security.ubuntu.com
ppa.launchpad.net		 80 Wymagane do pobrania niezbędnych poprawek zabezpieczeń. Brak

Uwaga

  • Zastąp <your workspace workspace ID> element identyfikatorem obszaru roboczego. Identyfikator można znaleźć w witrynie Azure Portal — strona zasobu Edukacja maszyny — właściwości — identyfikator obszaru roboczego.
  • Zastąp <your storage account> ciąg nazwą konta magazynu.
  • Zastąp <your ACR name> ciąg nazwą usługi Azure Container Registry dla obszaru roboczego.
  • Zastąp <region> element regionem obszaru roboczego.

Wymagania dotyczące komunikacji w klastrze

Aby zainstalować rozszerzenie usługi Azure Machine Edukacja na obliczeniach platformy Kubernetes, wszystkie powiązane składniki usługi Azure Machine Edukacja są wdrażane w azureml przestrzeni nazw. Aby zapewnić, że obciążenia uczenia maszynowego działają dobrze w klastrze usługi AKS, potrzebne są następujące komunikaty w klastrze klastra.

  • Składniki w azureml przestrzeni nazw powinny mieć możliwość komunikowania się z serwerem interfejsu API Kubernetes.
  • Składniki w azureml przestrzeni nazw powinny mieć możliwość komunikowania się ze sobą.
  • Składniki w azureml przestrzeni nazw powinny mieć możliwość komunikowania się z przestrzenią kube-dns nazw i konnectivity-agent .kube-system
  • Jeśli klaster jest używany do wnioskowania w czasie rzeczywistym, azureml-fe-xxx identyfikatory POD powinny mieć możliwość komunikowania się z wdrożonym modelem POD na porcie 5001 w innej przestrzeni nazw. azureml-fe-xxx Identyfikatory POD powinny być otwarte 11001, 12001, 12101, 12201, 20000, 8000, 8001, 9001 portów do komunikacji wewnętrznej.
  • Jeśli klaster jest używany do wnioskowania w czasie rzeczywistym, wdrożone identyfikatory POD modelu powinny mieć możliwość komunikowania się z amlarc-identity-proxy-xxx identyfikatorami POD na porcie 9999.

Scenariusz: Visual Studio Code

Hosty w tej sekcji służą do instalowania pakietów programu Visual Studio Code w celu nawiązania połączenia zdalnego między programem Visual Studio Code i wystąpieniami obliczeniowymi w obszarze roboczym usługi Azure Machine Edukacja.

Uwaga

Nie jest to pełna lista hostów wymaganych dla wszystkich zasobów programu Visual Studio Code w Internecie, tylko najczęściej używanych. Jeśli na przykład potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać hosty wymagane dla tego scenariusza. Aby uzyskać pełną listę nazw hostów, zobacz Network Połączenie ions in Visual Studio Code (Sieci Połączenie ions w programie Visual Studio Code).

Nazwa hosta Przeznaczenie
*.vscode.dev
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com		 Wymagane do uzyskania dostępu do vscode.dev (Visual Studio Code dla sieci Web)
code.visualstudio.com Wymagane do pobrania i zainstalowania programu komputerowego VS Code. Ten host nie jest wymagany dla sieci Web programu VS Code.
update.code.visualstudio.com
*.vo.msecnd.net		 Służy do pobierania bitów serwera programu VS Code zainstalowanych w wystąpieniu obliczeniowym za pomocą skryptu instalacji.
marketplace.visualstudio.com
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io		 Wymagane do pobrania i zainstalowania rozszerzenia programu VS Code. Te hosty umożliwiają zdalne połączenie z wystąpieniami obliczeniowymi przy użyciu rozszerzenia azure Machine Edukacja dla programu VS Code. Aby uzyskać więcej informacji, zobacz Połączenie do wystąpienia obliczeniowego usługi Azure Machine Edukacja w programie Visual Studio Code
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* Służy do pobierania bitów serwera websocket zainstalowanych w wystąpieniu obliczeniowym. Serwer websocket służy do przesyłania żądań z klienta programu Visual Studio Code (aplikacji klasycznej) do serwera programu Visual Studio Code uruchomionego w wystąpieniu obliczeniowym.
vscode.download.prss.microsoft.com Używany do pobierania usługi CDN w programie Visual Studio Code

Scenariusz: Zapora innej firmy lub usługa Azure Firewall bez tagów usługi

Wskazówki zawarte w tej sekcji są ogólne, ponieważ każda zapora ma własną terminologię i konkretne konfiguracje. Jeśli masz pytania, zapoznaj się z dokumentacją używanej zapory.

Napiwek

Jeśli używasz usługi Azure Firewall i chcesz użyć nazw FQDN wymienionych w tej sekcji zamiast używania tagów usługi, skorzystaj z następujących wskazówek:

  • Nazwy FQDN korzystające z portów HTTP/S (80 i 443) powinny być skonfigurowane jako reguły aplikacji.
  • Nazwy FQDN korzystające z innych portów powinny być skonfigurowane jako reguły sieci.

Aby uzyskać więcej informacji, zobacz Różnice w regułach aplikacji a regułami sieci.

Jeśli nie skonfigurowano poprawnie, zapora może powodować problemy z używaniem obszaru roboczego. Istnieją różne nazwy hostów używane przez obszar roboczy usługi Azure Machine Edukacja. W poniższych sekcjach wymieniono hosty wymagane dla usługi Azure Machine Edukacja.

Interfejs API zależności

Możesz również użyć interfejsu API REST usługi Azure Machine Edukacja, aby uzyskać listę hostów i portów, do których należy zezwolić na ruch wychodzący. Aby użyć tego interfejsu API, wykonaj następujące czynności:

  1. Uzyskiwanie tokenu uwierzytelniania. Następujące polecenie demonstruje użycie interfejsu wiersza polecenia platformy Azure w celu uzyskania tokenu uwierzytelniania i identyfikatora subskrypcji:

    TOKEN=$(az account get-access-token --query accessToken -o tsv)
SUBSCRIPTION=$(az account show --query id -o tsv)

  2. Wywoływanie interfejsu API. W poniższym poleceniu zastąp następujące wartości:

    • Zastąp element <region> regionem platformy Azure, w którym znajduje się obszar roboczy. Na przykład westus2.
    • Zastąp element <resource-group> grupą zasobów zawierającą obszar roboczy.
    • Zastąp <workspace-name> ciąg nazwą obszaru roboczego.
    az rest --method GET \
    --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
    --header Authorization="Bearer $TOKEN"

Wynikiem wywołania interfejsu API jest dokument JSON. Poniższy fragment kodu jest fragmentem tego dokumentu:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Hosty firmy Microsoft

Hosty w poniższych tabelach należą do firmy Microsoft i zapewniają usługi wymagane do prawidłowego funkcjonowania obszaru roboczego. Tabele zawierają listę hostów dla publicznej platformy Azure, platformy Azure dla instytucji rządowych i platformy Microsoft Azure obsługiwanych przez regiony 21Vianet.

Ważne

Usługa Azure Machine Edukacja używa kont usługi Azure Storage w ramach subskrypcji i subskrypcji zarządzanych przez firmę Microsoft. W stosownych przypadkach następujące terminy są używane do rozróżnienia między nimi w tej sekcji:

  • Magazyn: konta usługi Azure Storage w ramach subskrypcji, które są używane do przechowywania danych i artefaktów, takich jak modele, dane szkoleniowe, dzienniki szkoleniowe i skrypty języka Python.>
  • Magazyn firmy Microsoft: usługa Azure Machine Edukacja wystąpienia obliczeniowego i klastry obliczeniowe korzystają z usługi Azure Batch i musi uzyskiwać dostęp do magazynu znajdującego się w subskrypcji firmy Microsoft. Ten magazyn jest używany tylko do zarządzania wystąpieniami obliczeniowymi. Żadne z Twoich danych nie jest tutaj przechowywane.

Ogólne hosty platformy Azure

Wymagane dla Hostów Protokół Porty
Tożsamość Microsoft Entra login.microsoftonline.com TCP 80, 443
Azure Portal management.azure.com TCP 443
Menedżer zasobów Azure management.azure.com TCP 443

Hosty usługi Azure Machine Edukacja

Ważne

W poniższej tabeli zastąp <storage> ciąg nazwą domyślnego konta magazynu dla obszaru roboczego usługi Azure Machine Edukacja. Zastąp <region> element regionem obszaru roboczego.

Wymagane dla Hostów Protokół Porty
Azure Machine Learning Studio ml.azure.com TCP 443
Interfejs API *.azureml.ms TCP 443
Interfejs API *.azureml.net TCP 443
Zarządzanie modelem *.modelmanagement.azureml.net TCP 443
Notes zintegrowany *.notebooks.azure.net TCP 443
Notes zintegrowany <storage>.file.core.windows.net TCP 443, 445
Notes zintegrowany <storage>.dfs.core.windows.net TCP 443
Notes zintegrowany <storage>.blob.core.windows.net TCP 443
Notes zintegrowany graph.microsoft.com TCP 443
Notes zintegrowany *.aznbcontent.net TCP 443
AutoML NLP, Vision automlresources-prod.azureedge.net TCP 443
AutoML NLP, Vision aka.ms TCP 443

Uwaga

AutoML NLP, vision są obecnie obsługiwane tylko w regionach publicznych platformy Azure.

Usługa Azure Machine Edukacja wystąpienia obliczeniowego i hosty klastra obliczeniowego

Napiwek

  • Host usługi Azure Key Vault jest wymagany tylko wtedy, gdy obszar roboczy został utworzony z włączoną flagą hbi_workspace .
  • Porty 8787 i 18881 dla wystąpienia obliczeniowego są potrzebne tylko wtedy, gdy obszar roboczy usługi Azure Machine ma prywatny punkt końcowy.
  • W poniższej tabeli zastąp <storage> ciąg nazwą domyślnego konta magazynu dla obszaru roboczego usługi Azure Machine Edukacja.
  • W poniższej tabeli zastąp element <region> regionem świadczenia usługi Azure zawierającym obszar roboczy usługi Azure Machine Edukacja.
  • Komunikacja protokołu Websocket musi być dozwolona dla wystąpienia obliczeniowego. Jeśli zablokujesz ruch protokołu websocket, notesy Jupyter nie będą działać poprawnie.
Wymagane dla Hostów Protokół Porty
Klaster obliczeniowy/wystąpienie graph.windows.net TCP 443
Wystąpienie obliczeniowe *.instances.azureml.net TCP 443
Wystąpienie obliczeniowe *.instances.azureml.ms TCP 443, 8787, 18881
Wystąpienie obliczeniowe <region>.tundra.azureml.ms UDP 5831
Wystąpienie obliczeniowe *.<region>.batch.azure.com DOWOLNE 443
Wystąpienie obliczeniowe *.<region>.service.batch.azure.com DOWOLNE 443
Dostęp do magazynu firmy Microsoft *.blob.core.windows.net TCP 443
Dostęp do magazynu firmy Microsoft *.table.core.windows.net TCP 443
Dostęp do magazynu firmy Microsoft *.queue.core.windows.net TCP 443
Konto magazynu <storage>.file.core.windows.net TCP 443, 445
Konto magazynu <storage>.blob.core.windows.net TCP 443
Azure Key Vault *.vault.azure.net TCP 443

Obrazy platformy Docker obsługiwane przez usługę Azure Machine Edukacja

Wymagane dla Hostów Protokół Porty
Microsoft Container Registry
mcr.microsoft.com*.data.mcr.microsoft.com		 TCP 443

Napiwek

  • Usługa Azure Container Registry jest wymagana dla dowolnego niestandardowego obrazu platformy Docker. Obejmuje to niewielkie modyfikacje (takie jak dodatkowe pakiety) do obrazów bazowych udostępnianych przez firmę Microsoft. Jest on również wymagany przez wewnętrzny proces przesyłania zadań szkoleniowych usługi Azure Machine Edukacja.
  • Usługa Microsoft Container Registry jest wymagana tylko w przypadku planowania korzystania z domyślnych obrazów platformy Docker udostępnianych przez firmę Microsoft i włączania zależności zarządzanych przez użytkownika.
  • Jeśli planujesz korzystanie z tożsamości federacyjnej, postępuj zgodnie z artykułem Najlepsze rozwiązania dotyczące zabezpieczania usług Active Directory Federation Services .

Ponadto użyj informacji w sekcji obliczenia z publicznym adresem IP, aby dodać adresy IP dla i AzureMachineLearningBatchNodeManagement .

Aby uzyskać informacje na temat ograniczania dostępu do modeli wdrożonych w usłudze AKS, zobacz Ograniczanie ruchu wychodzącego w usłudze Azure Kubernetes Service.

Monitorowanie, metryki i diagnostyka

Jeśli usługa Azure Monitor nie jest zabezpieczona dla obszaru roboczego, musisz zezwolić na ruch wychodzący do następujących hostów:

Jeśli usługa Azure Monitor nie jest zabezpieczona dla obszaru roboczego, musisz zezwolić na ruch wychodzący do następujących hostów:

Uwaga

Informacje rejestrowane na tych hostach są również używane przez pomoc techniczna firmy Microsoft, aby móc zdiagnozować wszelkie problemy napotkane w obszarze roboczym.

  • dc.applicationinsights.azure.com
  • dc.applicationinsights.microsoft.com
  • dc.services.visualstudio.com
  • *.in.applicationinsights.azure.com

Aby uzyskać listę adresów IP dla tych hostów, zobacz Adresy IP używane przez usługę Azure Monitor.

Następne kroki

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Edukacja. Zobacz inne artykuły z tej serii:

Aby uzyskać więcej informacji na temat konfigurowania usługi Azure Firewall, zobacz Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu witryny Azure Portal.