Udostępnij za pośrednictwem


Zmiana izolacji sieci za pomocą nowej platformy interfejsu API w usłudze Azure Resource Manager

W tym artykule dowiesz się więcej o zmianach izolacji sieci za pomocą nowej platformy interfejsu API w wersji 2 w usłudze Azure Resource Manager (ARM) i jej wpływu na izolację sieci.

Co to jest nowa platforma interfejsu API w usłudze Azure Resource Manager (ARM)

Istnieją dwa typy operacji używanych przez interfejsy API w wersji 1 i 2, usługę Azure Resource Manager (ARM) i obszar roboczy usługi Azure Machine Learning.

W przypadku interfejsu API w wersji 1 większość operacji używa obszaru roboczego. W przypadku wersji 2 większość operacji przeniesiono do korzystania z publicznej usługi ARM.

Wersja interfejsu API Publiczna usługa ARM Wewnątrz sieci wirtualnej obszaru roboczego
v1 Operacje tworzenia, aktualizowania i usuwania obszaru roboczego i obliczeń (CRUD). Inne operacje, takie jak eksperymenty.
v2 Większość operacji, takich jak obszar roboczy, obliczenia, magazyn danych, zestaw danych, zadanie, środowisko, kod, składnik, punkty końcowe. Pozostałe operacje.

Interfejs API w wersji 2 zapewnia spójny interfejs API w jednym miejscu. Możesz łatwiej użyć kontroli dostępu opartej na rolach platformy Azure i usługi Azure Policy dla zasobów przy użyciu interfejsu API w wersji 2, ponieważ jest on oparty na usłudze Azure Resource Manager.

Interfejs wiersza polecenia usługi Azure Machine Learning w wersji 2 używa naszej nowej platformy interfejsu API w wersji 2. Nowe funkcje, takie jak zarządzane punkty końcowe online, są dostępne tylko przy użyciu platformy interfejsu API w wersji 2.

Co to są zmiany izolacji sieci za pomocą wersji 2

Jak wspomniano w poprzedniej sekcji, istnieją dwa typy operacji; z usługą ARM i obszarem roboczym. W przypadku starszego interfejsu API w wersji 1 większość operacji używała obszaru roboczego. Za pomocą interfejsu API w wersji 1 dodawanie prywatnego punktu końcowego do obszaru roboczego zapewniało izolację sieci dla wszystkich elementów, z wyjątkiem operacji CRUD w obszarze roboczym lub zasobach obliczeniowych.

W przypadku nowego interfejsu API w wersji 2 większość operacji korzysta z usługi ARM. Dlatego włączenie prywatnego punktu końcowego w obszarze roboczym nie zapewnia tego samego poziomu izolacji sieci. Operacje korzystające z usługi ARM komunikują się za pośrednictwem sieci publicznych i obejmują wszelkie metadane (takie jak identyfikatory zasobów) lub parametry używane przez operację. Na przykład parametry.

Ważne

W przypadku większości osób korzystanie z publicznej komunikacji usługi ARM jest ok:

  • Publiczna komunikacja arm jest standardem dla operacji zarządzania za pomocą usług platformy Azure. Na przykład utworzenie konta usługi Azure Storage lub usługi Azure Virtual Network używa usługi ARM.
  • Operacje usługi Azure Machine Learning nie uwidaczniają danych na koncie magazynu (lub innym magazynie w sieci wirtualnej) w sieciach publicznych. Na przykład zadanie szkoleniowe uruchamiane w klastrze obliczeniowym w sieci wirtualnej i korzystające z danych z konta magazynu w sieci wirtualnej bezpiecznie uzyskuje dostęp do danych bezpośrednio przy użyciu sieci wirtualnej.
  • Cała komunikacja z publiczną usługą ARM jest szyfrowana przy użyciu protokołu TLS 1.2.

Jeśli potrzebujesz czasu na ocenę nowego interfejsu API w wersji 2 przed wdrożeniem go w rozwiązaniach dla przedsiębiorstw lub zasady firmy, które uniemożliwiają wysyłanie komunikacji za pośrednictwem sieci publicznych, możesz włączyć parametr v1_legacy_mode . Po włączeniu ten parametr wyłącza interfejs API w wersji 2 dla obszaru roboczego.

Ostrzeżenie

Włączenie v1_legacy_mode może uniemożliwić korzystanie z funkcji udostępnianych przez interfejs API w wersji 2. Na przykład niektóre funkcje usługi Azure Machine Learning Studio mogą być niedostępne.

Scenariusze i wymagane akcje

Ostrzeżenie

Parametr v1_legacy_mode jest teraz dostępny, ale funkcja blokowania interfejsu API w wersji 2 zostanie wymuszona od 15 maja 2022 r.

  • Jeśli nie planujesz korzystania z prywatnego punktu końcowego z obszarem roboczym, nie musisz włączać parametru.

  • Jeśli jesteś w porządku z operacjami komunikującymi się z publiczną usługą ARM, nie musisz włączać parametru.

  • Musisz włączyć parametr tylko wtedy, gdy używasz prywatnego punktu końcowego z obszarem roboczym i nie chcesz zezwalać na operacje z usługą ARM za pośrednictwem sieci publicznych.

Po zaimplementowaniu parametru zostanie on zastosowany wstecznie do istniejących obszarów roboczych przy użyciu następującej logiki:

  • Jeśli masz istniejący obszar roboczy z prywatnym punktem końcowym, flaga będzie mieć wartość true.

  • Jeśli masz istniejący obszar roboczy bez prywatnego punktu końcowego (publiczny obszar roboczy), flaga będzie mieć wartość false.

Po zaimplementowaniu parametru wartość domyślna flagi zależy od bazowej wersji interfejsu API REST używanej podczas tworzenia obszaru roboczego (z prywatnym punktem końcowym):

  • Jeśli wersja interfejsu API jest starsza niż 2022-05-01, flaga ma wartość true domyślnie.
  • Jeśli wersja interfejsu API jest 2022-05-01 lub nowsza, flaga jest domyślnie fałsz .

Ważne

Jeśli chcesz użyć interfejsu API w wersji 2 z obszarem roboczym, musisz ustawić parametr v1_legacy_mode na wartość false.

Jak zaktualizować parametr v1_legacy_mode

Ostrzeżenie

Parametr v1_legacy_mode jest teraz dostępny, ale funkcja blokowania interfejsu API w wersji 2 zostanie wymuszona od 15 maja 2022 r.

Aby zaktualizować v1_legacy_mode, wykonaj następujące czynności:

Ważne

Jeśli chcesz wyłączyć interfejs API w wersji 2, użyj zestawu SDK języka Python usługi Azure Machine Learning w wersji 1.

Aby wyłączyć v1_legacy_mode, użyj pozycji Workspace.update i ustaw wartość v1_legacy_mode=false.

from azureml.core import Workspace

ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)

Ważne

Należy pamiętać, że zmiana parametru v1_legacy_mode z wartości true na false może potrwać około 30 minut do godziny lub więcej, aby została odzwierciedlona w obszarze roboczym. W związku z tym, jeśli ustawisz parametr na false , ale zostanie wyświetlony błąd, że parametr ma wartość true w kolejnej operacji, spróbuj po kilku minutach.

Następne kroki