Konfigurowanie prywatnego punktu końcowego dla obszaru roboczego usługi Azure Machine Learning

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (bieżąca)

Z tego dokumentu dowiesz się, jak skonfigurować prywatny punkt końcowy dla obszaru roboczego usługi Azure Machine Edukacja. Aby uzyskać informacje na temat tworzenia sieci wirtualnej dla usługi Azure Machine Edukacja, zobacz Omówienie izolacji i prywatności sieci wirtualnej.

Usługa Azure Private Link umożliwia łączenie się z obszarem roboczym przy użyciu prywatnego punktu końcowego. Prywatny punkt końcowy jest zestawem prywatnych adresów IP w sieci wirtualnej. Następnie możesz ograniczyć dostęp do obszaru roboczego tylko w przypadku prywatnych adresów IP. Prywatny punkt końcowy pomaga zmniejszyć ryzyko eksfiltracji danych. Aby dowiedzieć się więcej na temat prywatnych punktów końcowych, zobacz artykuł Dotyczący usługi Azure Private Link .

Ostrzeżenie

Zabezpieczanie obszaru roboczego przy użyciu prywatnych punktów końcowych nie zapewnia samodzielnie kompleksowego zabezpieczeń. Należy zabezpieczyć wszystkie poszczególne składniki rozwiązania. Jeśli na przykład używasz prywatnego punktu końcowego dla obszaru roboczego, ale twoje konto usługi Azure Storage nie znajduje się za siecią wirtualną, ruch między obszarem roboczym a magazynem nie używa sieci wirtualnej do zabezpieczeń.

Aby uzyskać więcej informacji na temat zabezpieczania zasobów używanych przez usługę Azure Machine Edukacja, zobacz następujące artykuły:

• Omówienie izolacji i prywatności sieci wirtualnej.
• Zabezpieczanie zasobów obszaru roboczego.
• Zabezpieczanie środowisk szkoleniowych.
• Zabezpieczanie środowiska wnioskowania.
• Użyj usługi Azure Machine Edukacja Studio w sieci wirtualnej.
• Izolacja sieci platformy interfejsu API.

Wymagania wstępne

• Aby utworzyć prywatny punkt końcowy, musisz mieć istniejącą sieć wirtualną.

  Ostrzeżenie

  Nie używaj zakresu adresów IP 172.17.0.0/16 dla sieci wirtualnej. Jest to domyślny zakres podsieci używany przez sieć mostka platformy Docker i spowoduje błędy w przypadku użycia dla sieci wirtualnej. Inne zakresy mogą również powodować konflikt w zależności od tego, co chcesz połączyć z siecią wirtualną. Jeśli na przykład planujesz połączenie sieci lokalnej z siecią wirtualną i sieć lokalna również używa zakresu 172.16.0.0/16. Ostatecznie należy zaplanować infrastrukturę sieci.

• Wyłącz zasady sieci dla prywatnych punktów końcowych przed dodaniem prywatnego punktu końcowego.

Ograniczenia

• Jeśli włączysz dostęp publiczny dla obszaru roboczego zabezpieczonego prywatnym punktem końcowym i użyjesz programu Azure Machine Edukacja Studio za pośrednictwem publicznego Internetu, niektóre funkcje, takie jak projektant, mogą nie uzyskać dostępu do danych. Ten problem występuje, gdy dane są przechowywane w usłudze znajdującej się za siecią wirtualną. Przykład: konto usługi Microsoft Azure Storage.

• Jeśli używasz przeglądarki Mozilla Firefox, możesz napotkać problemy podczas próby uzyskania dostępu do prywatnego punktu końcowego dla obszaru roboczego. Ten problem może być związany z systemem DNS za pośrednictwem protokołu HTTPS w Mozilla Firefox. Zalecamy używanie przeglądarki Microsoft Edge lub Google Chrome.

• Korzystanie z prywatnego punktu końcowego nie ma wpływu na płaszczyznę sterowania platformy Azure (operacje zarządzania), takie jak usuwanie obszaru roboczego lub zarządzanie zasobami obliczeniowymi. Na przykład tworzenie, aktualizowanie lub usuwanie docelowego obiektu obliczeniowego. Te operacje są wykonywane za pośrednictwem publicznego Internetu w normalny sposób. Operacje płaszczyzny danych, takie jak korzystanie z usługi Azure Machine Edukacja Studio, interfejsów API (w tym opublikowanych potoków) lub zestawu SDK używają prywatnego punktu końcowego.

• Podczas tworzenia wystąpienia obliczeniowego lub klastra obliczeniowego w obszarze roboczym z prywatnym punktem końcowym wystąpienie obliczeniowe i klaster obliczeniowy muszą znajdować się w tym samym regionie świadczenia platformy Azure co obszar roboczy.

• Podczas dołączania klastra usługi Azure Kubernetes Service do obszaru roboczego z prywatnym punktem końcowym klaster musi znajdować się w tym samym regionie co obszar roboczy.

• W przypadku korzystania z obszaru roboczego z wieloma prywatnymi punktami końcowymi jeden z prywatnych punktów końcowych musi znajdować się w tej samej sieci wirtualnej co następujące usługi zależności:

  • Konto usługi Azure Storage, które udostępnia domyślny magazyn dla obszaru roboczego
  • Usługa Azure Key Vault dla obszaru roboczego
  • Usługa Azure Container Registry dla obszaru roboczego.

  Na przykład jedna sieć wirtualna ("usługi") będzie zawierać prywatny punkt końcowy dla usług zależności i obszaru roboczego. Ta konfiguracja umożliwia obszarowi roboczemu komunikowanie się z usługami. Inna sieć wirtualna ("klienci") może zawierać tylko prywatny punkt końcowy dla obszaru roboczego i być używana tylko do komunikacji między maszynami deweloperzymi klienta a obszarem roboczym.

Tworzenie obszaru roboczego korzystającego z prywatnego punktu końcowego

Użyj jednej z poniższych metod, aby utworzyć obszar roboczy z prywatnym punktem końcowym. Każda z tych metod wymaga istniejącej sieci wirtualnej:

Napiwek

Jeśli chcesz jednocześnie utworzyć obszar roboczy, prywatny punkt końcowy i sieć wirtualną, zobacz Tworzenie obszaru roboczego dla usługi Azure Machine Edukacja przy użyciu szablonu usługi Azure Resource Manager.

Interfejs wiersza polecenia platformy Azure

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (bieżąca)

W przypadku korzystania z interfejsu wiersza polecenia platformy Azure w wersji 2.0 na potrzeby uczenia maszynowego dokument YAML służy do konfigurowania obszaru roboczego. W poniższym przykładzie pokazano tworzenie nowego obszaru roboczego przy użyciu konfiguracji YAML:

Napiwek

W przypadku korzystania z łącza prywatnego obszar roboczy nie może używać zadań usługi Azure Container Registry do tworzenia obrazów. Właściwość image_build_compute w tej konfiguracji określa nazwę klastra obliczeniowego procesora CPU do użycia na potrzeby tworzenia środowiska obrazów platformy Docker. Można również określić, czy obszar roboczy łącza prywatnego powinien być dostępny za pośrednictwem Internetu przy użyciu public_network_access właściwości .

W tym przykładzie przed utworzeniem obrazów należy utworzyć obliczenia, do których się odwołuje image_build_compute .

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-privatelink-prod
location: eastus
display_name: Private Link endpoint workspace-example
description: When using private link, you must set the image_build_compute property to a cluster name to use for Docker image environment building. You can also specify whether the workspace should be accessible over the internet.
image_build_compute: cpu-compute
public_network_access: Disabled
tags:
  purpose: demonstration

az ml workspace create \
    -g <resource-group-name> \
    --file privatelink.yml

Po utworzeniu obszaru roboczego użyj poleceń interfejsu wiersza polecenia sieci platformy Azure, aby utworzyć prywatny punkt końcowy linku dla obszaru roboczego.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Aby utworzyć wpisy prywatnej strefy DNS dla obszaru roboczego, użyj następujących poleceń:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Portal

Karta Sieć w witrynie Azure Machine Edukacja Portal umożliwia skonfigurowanie prywatnego punktu końcowego. Jednak wymaga istniejącej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Tworzenie obszarów roboczych w portalu.

Dodawanie prywatnego punktu końcowego do obszaru roboczego

Użyj jednej z następujących metod, aby dodać prywatny punkt końcowy do istniejącego obszaru roboczego:

Ostrzeżenie

Jeśli masz jakiekolwiek obiekty docelowe obliczeniowe skojarzone z tym obszarem roboczym i nie znajdują się one za tą samą siecią wirtualną, w której został utworzony prywatny punkt końcowy, nie będą działać.

Interfejs wiersza polecenia platformy Azure

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (bieżąca)

W przypadku korzystania z interfejsu wiersza polecenia interfejsu wiersza polecenia platformy Azure w wersji 2.0 na potrzeby uczenia maszynowego użyj poleceń interfejsu wiersza polecenia sieci platformy Azure, aby utworzyć punkt końcowy łącza prywatnego dla obszaru roboczego.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Aby utworzyć wpisy prywatnej strefy DNS dla obszaru roboczego, użyj następujących poleceń:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Portal

W obszarze roboczym usługi Azure Machine Edukacja w portalu wybierz pozycję Połączenia prywatnego punktu końcowego, a następnie wybierz pozycję + Prywatny punkt końcowy. Użyj pól, aby utworzyć nowy prywatny punkt końcowy.

• Po wybraniu pozycji Region wybierz ten sam region co sieć wirtualna.
• Podczas wybierania typu zasobu użyj pozycji Microsoft.Machine Edukacja Services/workspaces.
• Ustaw wartość Zasób na nazwę obszaru roboczego.

Na koniec wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Usuwanie prywatnego punktu końcowego

Możesz usunąć jeden lub wszystkie prywatne punkty końcowe dla obszaru roboczego. Usunięcie prywatnego punktu końcowego usuwa obszar roboczy z sieci wirtualnej, z którą skojarzono punkt końcowy. Usunięcie prywatnego punktu końcowego może uniemożliwić obszarowi roboczemu dostęp do zasobów w tej sieci wirtualnej lub zasoby w sieci wirtualnej z dostępem do obszaru roboczego. Jeśli na przykład sieć wirtualna nie zezwala na dostęp do publicznego Internetu lub z internetu.

Ostrzeżenie

Usunięcie prywatnych punktów końcowych dla obszaru roboczego nie spowoduje publicznego udostępnienia. Aby obszar roboczy był publicznie dostępny, wykonaj kroki opisane w sekcji Włączanie dostępu publicznego.

Aby usunąć prywatny punkt końcowy, skorzystaj z następujących informacji:

Interfejs wiersza polecenia platformy Azure

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (bieżąca)

W przypadku korzystania z interfejsu wiersza polecenia platformy Azure w wersji 2.0 interfejsu wiersza polecenia na potrzeby uczenia maszynowego użyj następującego polecenia, aby usunąć prywatny punkt końcowy:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Portal

1. W witrynie Azure Portal wybierz swój obszar roboczy usługi Azure Machine Learning.
2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Połączenia z prywatnym punktem końcowym.
3. Wybierz punkt końcowy do usunięcia, a następnie wybierz pozycję Usuń.

Włączanie dostępu publicznego

W niektórych sytuacjach możesz zezwolić komuś na łączenie się z zabezpieczonym obszarem roboczym za pośrednictwem publicznego punktu końcowego zamiast za pośrednictwem sieci wirtualnej. Możesz też usunąć obszar roboczy z sieci wirtualnej i ponownie włączyć dostęp publiczny.

Ważne

Włączenie dostępu publicznego nie powoduje usunięcia żadnych prywatnych punktów końcowych, które istnieją. Cała komunikacja między składnikami sieci wirtualnej, z którymi łączą się prywatne punkty końcowe, są nadal zabezpieczone. Umożliwia ona dostęp publiczny tylko do obszaru roboczego, oprócz dostępu prywatnego za pośrednictwem jakichkolwiek prywatnych punktów końcowych.

Ostrzeżenie

Podczas nawiązywania połączenia za pośrednictwem publicznego punktu końcowego obszar roboczy używa prywatnego punktu końcowego do komunikowania się z innymi zasobami:

• Niektóre funkcje programu Studio nie będą mieć dostępu do danych. Ten problem występuje, gdy dane są przechowywane w usłudze zabezpieczonej za siecią wirtualną. Przykład: konto usługi Microsoft Azure Storage. Aby rozwiązać ten problem, dodaj adres IP urządzenia klienckiego do zapory konta usługi Azure Storage.
• Korzystanie z aplikacji Jupyter, JupyterLab, RStudio lub Posit Workbench (dawniej RStudio Workbench) w wystąpieniu obliczeniowym, w tym uruchamiania notesów, nie jest obsługiwane.

Aby włączyć dostęp publiczny, wykonaj następujące kroki:

Napiwek

Istnieją dwie możliwe właściwości, które można skonfigurować:

• allow_public_access_when_behind_vnet — używane przez zestaw SDK języka Python w wersji 1
• public_network_access — używane przez interfejs wiersza polecenia i zestaw PYTHON SDK w wersji 2 Każda właściwość zastępuje drugą. Na przykład ustawienie public_network_access spowoduje zastąpienie dowolnego poprzedniego ustawienia wartością allow_public_access_when_behind_vnet.

Firma Microsoft zaleca używanie public_network_access polecenia w celu włączenia lub wyłączenia publicznego dostępu do obszaru roboczego.

Interfejs wiersza polecenia platformy Azure

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (bieżąca)

W przypadku korzystania z interfejsu wiersza polecenia platformy Azure w wersji 2.0 interfejsu wiersza polecenia na potrzeby uczenia maszynowego użyj az ml update polecenia , aby włączyć public_network_access obszar roboczy:

az ml workspace update \
    --set public_network_access=Enabled \
    -n <workspace-name> \
    -g <resource-group-name>

Możesz również włączyć dostęp do sieci publicznej przy użyciu pliku YAML. Aby uzyskać więcej informacji, zobacz dokumentację YAML obszaru roboczego.

Portal

1. W witrynie Azure Portal wybierz swój obszar roboczy usługi Azure Machine Learning.
2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Dostęp publiczny.
3. Wybierz pozycję Włączone ze wszystkich sieci, a następnie wybierz pozycję Zapisz.

Włączanie dostępu publicznego tylko z zakresów internetowych adresów IP (wersja zapoznawcza)

Za pomocą reguł sieci IP można zezwolić na dostęp do obszaru roboczego i punktu końcowego z określonych zakresów publicznych adresów IP, tworząc reguły sieci IP. Każdy obszar roboczy usługi Azure Machine Edukacja obsługuje maksymalnie 200 reguł. Te reguły zapewniają dostęp do określonych usług internetowych i sieci lokalnych oraz blokują ogólny ruch internetowy.

Ostrzeżenie

• Włącz flagę dostępu do sieci publicznej punktu końcowego, jeśli chcesz zezwolić na dostęp do punktu końcowego z określonych zakresów publicznych adresów IP internetowych.
• Po włączeniu tej funkcji ma to wpływ na wszystkie istniejące publiczne punkty końcowe skojarzone z obszarem roboczym. Może to ograniczyć dostęp do nowych lub istniejących punktów końcowych. Jeśli uzyskujesz dostęp do jakichkolwiek punktów końcowych z niedozwolonego adresu IP, zostanie wyświetlony błąd 403.
• Aby użyć tej funkcji z zarządzaną siecią wirtualną usługi Azure Machine Edukacja, zobacz Azure Machine Edukacja zarządzana sieć wirtualna.

Interfejs wiersza polecenia platformy Azure

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (bieżąca)

Interfejs wiersza polecenia platformy Azure nie obsługuje tego.

Portal

1. W witrynie Azure Portal wybierz swój obszar roboczy usługi Azure Machine Learning.
2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Dostęp publiczny.
3. Wybierz pozycję Włączone z wybranych adresów IP, zakresy adresów wejściowych, a następnie wybierz pozycję Zapisz.

Ograniczenia dotyczące reguł sieci ip

Następujące ograniczenia dotyczą zakresów adresów IP:

• Reguły sieci IP są dozwolone tylko dla publicznych internetowych adresów IP.

  Zastrzeżone zakresy adresów IP nie są dozwolone w regułach adresów IP, takich jak adresy prywatne rozpoczynające się od 10, 172.16 do 172.31 i 192.168.

• Należy podać dozwolone zakresy adresów internetowych przy użyciu notacji CIDR w postaci 16.17.18.0/24 lub jako pojedyncze adresy IP, takie jak 16.17.18.19.

• Tylko adresy IPv4 są obsługiwane w przypadku konfiguracji reguł zapory magazynu.

• Po włączeniu tej funkcji można przetestować publiczne punkty końcowe przy użyciu dowolnego narzędzia klienckiego, takiego jak Postman lub inne, ale narzędzie Do testowania punktu końcowego w portalu nie jest obsługiwane.

Bezpieczne nawiązywanie połączenia z obszarem roboczym

Aby nawiązać połączenie z obszarem roboczym zabezpieczonym za siecią wirtualną, użyj jednej z następujących metod:

• Brama sieci VPN platformy Azure — Połączenie sieci lokalnych do sieci wirtualnej za pośrednictwem połączenia prywatnego. Połączenie ion odbywa się za pośrednictwem publicznego Internetu. Istnieją dwa typy bram sieci VPN, których można użyć:

  • Punkt-lokacja: każdy komputer kliencki używa klienta sieci VPN do nawiązywania połączenia z siecią wirtualną.
  • Lokacja-lokacja: urządzenie sieci VPN łączy sieć wirtualną z siecią lokalną.

• ExpressRoute — Połączenie sieci lokalne do chmury za pośrednictwem połączenia prywatnego. Połączenie ion jest używany przez dostawcę łączności.

• Azure Bastion — w tym scenariuszu tworzysz maszynę wirtualną platformy Azure (czasami nazywaną serwerem przesiadkowym) w sieci wirtualnej. Następnie połączysz się z maszyną wirtualną przy użyciu usługi Azure Bastion. Usługa Bastion umożliwia nawiązywanie połączenia z maszyną wirtualną przy użyciu sesji protokołu RDP lub SSH z lokalnej przeglądarki internetowej. Następnie użyjesz pola przesiadkowego jako środowiska programistycznego. Ponieważ znajduje się ona wewnątrz sieci wirtualnej, może ona uzyskiwać bezpośredni dostęp do obszaru roboczego. Aby zapoznać się z przykładem użycia serwera przesiadkowego, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego.

Ważne

W przypadku korzystania z bramy sieci VPN lub usługi ExpressRoute należy zaplanować sposób działania rozpoznawania nazw między zasobami lokalnymi a tymi w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Używanie niestandardowego serwera DNS.

Jeśli masz problemy z nawiązywaniem połączenia z obszarem roboczym, zobacz Rozwiązywanie problemów z bezpieczną łącznością z obszarem roboczym.

Wiele prywatnych punktów końcowych

Usługa Azure Machine Edukacja obsługuje wiele prywatnych punktów końcowych dla obszaru roboczego. Wiele prywatnych punktów końcowych jest często używanych, gdy chcesz zachować oddzielne środowiska. Poniżej przedstawiono niektóre scenariusze, które są włączone przy użyciu wielu prywatnych punktów końcowych:

• Środowiska programistyczne klienta w oddzielnej sieci wirtualnej.

• Klaster usługi Azure Kubernetes Service (AKS) w oddzielnej sieci wirtualnej.

• Inne usługi platformy Azure w oddzielnej sieci wirtualnej. Na przykład usługi Azure Synapse i Azure Data Factory mogą używać sieci wirtualnej zarządzanej przez firmę Microsoft. W obu przypadkach prywatny punkt końcowy obszaru roboczego można dodać do zarządzanej sieci wirtualnej używanej przez te usługi. Aby uzyskać więcej informacji na temat korzystania z zarządzanej sieci wirtualnej z tymi usługami, zobacz następujące artykuły:

  • Zarządzane prywatne punkty końcowe usługi Synapse
  • Zarządzana sieć wirtualna usługi Azure Data Factory.

  Ważne

  Ochrona eksfiltracji danych usługi Synapse nie jest obsługiwana w usłudze Azure Machine Edukacja.

Ważne

Każda sieć wirtualna zawierająca prywatny punkt końcowy dla obszaru roboczego musi również mieć dostęp do konta usługi Azure Storage, usługi Azure Key Vault i usługi Azure Container Registry używanego przez obszar roboczy. Można na przykład utworzyć prywatny punkt końcowy dla usług w każdej sieci wirtualnej.

Dodanie wielu prywatnych punktów końcowych używa tych samych kroków, co opisano w sekcji Dodawanie prywatnego punktu końcowego do obszaru roboczego .

Scenariusz: izolowani klienci

Jeśli chcesz odizolować klientów programistycznych, aby nie mieli bezpośredniego dostępu do zasobów obliczeniowych używanych przez usługę Azure Machine Edukacja, wykonaj następujące kroki:

Uwaga

W tych krokach założono, że masz istniejący obszar roboczy, konto usługi Azure Storage, usługę Azure Key Vault i usługę Azure Container Registry. Każda z tych usług ma prywatne punkty końcowe w istniejącej sieci wirtualnej.

1. Utwórz inną sieć wirtualną dla klientów. Ta sieć wirtualna może zawierać maszyny wirtualne platformy Azure, które działają jako klienci, lub może zawierać bramę sieci VPN używaną przez klientów lokalnych do łączenia się z siecią wirtualną.
2. Dodaj nowy prywatny punkt końcowy dla konta usługi Azure Storage, usługi Azure Key Vault i usługi Azure Container Registry używanego przez obszar roboczy. Te prywatne punkty końcowe powinny istnieć w sieci wirtualnej klienta.
3. Jeśli masz inny magazyn używany przez obszar roboczy, dodaj nowy prywatny punkt końcowy dla tego magazynu. Prywatny punkt końcowy powinien istnieć w sieci wirtualnej klienta i mieć włączoną integrację prywatnej strefy DNS.
4. Dodaj nowy prywatny punkt końcowy do obszaru roboczego. Ten prywatny punkt końcowy powinien istnieć w sieci wirtualnej klienta i mieć włączoną integrację prywatnej strefy DNS.
5. Wykonaj kroki opisane w artykule Use studio in a virtual network (Używanie programu Studio w sieci wirtualnej), aby umożliwić programowi Studio dostęp do kont magazynu.

Na poniższym diagramie przedstawiono tę konfigurację. Sieć wirtualna obciążenia zawiera obliczenia utworzone przez obszar roboczy na potrzeby trenowania i wdrażania. Sieć wirtualna klienta zawiera klientów lub połączenia usługi ExpressRoute/VPN klienta. Obie sieci wirtualne zawierają prywatne punkty końcowe dla obszaru roboczego, konta usługi Azure Storage, usługi Azure Key Vault i usługi Azure Container Registry.

Scenariusz: izolowana usługa Azure Kubernetes Service

Jeśli chcesz utworzyć izolowana usługę Azure Kubernetes Service używaną przez obszar roboczy, wykonaj następujące kroki:

Uwaga

W tych krokach założono, że masz istniejący obszar roboczy, konto usługi Azure Storage, usługę Azure Key Vault i usługę Azure Container Registry. Każda z tych usług ma prywatne punkty końcowe w istniejącej sieci wirtualnej.

1. Utwórz wystąpienie usługi Azure Kubernetes Service. Podczas tworzenia usługa AKS tworzy sieć wirtualną zawierającą klaster usługi AKS.
2. Dodaj nowy prywatny punkt końcowy dla konta usługi Azure Storage, usługi Azure Key Vault i usługi Azure Container Registry używanego przez obszar roboczy. Te prywatne punkty końcowe powinny istnieć w sieci wirtualnej klienta.
3. Jeśli masz inny magazyn używany przez obszar roboczy, dodaj nowy prywatny punkt końcowy dla tego magazynu. Prywatny punkt końcowy powinien istnieć w sieci wirtualnej klienta i mieć włączoną integrację prywatnej strefy DNS.
4. Dodaj nowy prywatny punkt końcowy do obszaru roboczego. Ten prywatny punkt końcowy powinien istnieć w sieci wirtualnej klienta i mieć włączoną integrację prywatnej strefy DNS.
5. Dołącz klaster usługi AKS do obszaru roboczego usługi Azure Machine Edukacja. Aby uzyskać więcej informacji, zobacz Tworzenie i dołączanie klastra usługi Azure Kubernetes Service.

Następne kroki

• Aby uzyskać więcej informacji na temat zabezpieczania obszaru roboczego usługi Azure Machine Edukacja, zobacz artykuł Omówienie izolacji i prywatności sieci wirtualnej.

• Jeśli planujesz używać niestandardowego rozwiązania DNS w sieci wirtualnej, zobacz , jak używać obszaru roboczego z niestandardowym serwerem DNS.

• Izolacja sieci platformy interfejsu API