Zarządzana izolacja sieci obszaru roboczego (wersja zapoznawcza)

DOTYCZY:Rozszerzenie uczenia maszynowego platformy Azure w wersji 2 (bieżąca)Zestaw SDK języka Python azure-ai-ml w wersji 2 (bieżąca)

Usługa Azure Machine Learning zapewnia obsługę izolacji zarządzanej sieci wirtualnej . Izolacja zarządzanej sieci wirtualnej usprawnia i automatyzuje konfigurację izolacji sieci za pomocą wbudowanej sieci wirtualnej zarządzanej na poziomie obszaru roboczego usługi Azure Machine Learning.

Ważne

Ta funkcja jest obecnie w publicznej wersji zapoznawczej. Ta wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie zalecamy jej obsługi obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone.

Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Architektura zarządzanej sieci wirtualnej

Po włączeniu izolacji zarządzanej sieci wirtualnej dla obszaru roboczego zostanie utworzona zarządzana sieć wirtualna. Zarządzane zasoby obliczeniowe tworzone dla obszaru roboczego automatycznie używają tej zarządzanej sieci wirtualnej. Zarządzana sieć wirtualna może używać prywatnych punktów końcowych dla zasobów platformy Azure używanych przez obszar roboczy, takich jak Azure Storage, Azure Key Vault i Azure Container Registry.

Istnieją dwa różne tryby konfiguracji dla ruchu wychodzącego z zarządzanej sieci wirtualnej:

Porada

Niezależnie od używanego trybu ruchu wychodzącego można skonfigurować ruch do zasobów platformy Azure w celu korzystania z prywatnego punktu końcowego. Na przykład możesz zezwolić na cały ruch wychodzący do Internetu, ale ograniczyć komunikację z zasobami platformy Azure przez utworzenie prywatnego punktu końcowego dla tego zasobu w zarządzanej sieci wirtualnej

Tryb ruchu wychodzącego	Opis	Scenariusze
Zezwalaj na ruch wychodzący z Internetu	Zezwalaj na cały ruch wychodzący z zarządzanej sieci wirtualnej.	Zalecane, jeśli potrzebujesz dostępu do artefaktów uczenia maszynowego w Internecie, takich jak pakiety języka Python lub wstępnie wytrenowane modele.
Zezwalaj tylko na zatwierdzony ruch wychodzący	Ruch wychodzący jest dozwolony przez określenie tagów usługi.	Zalecane, jeśli chcesz zminimalizować ryzyko eksfiltracji danych, ale musisz przygotować wszystkie wymagane artefakty uczenia maszynowego w prywatnych lokalizacjach.

Zarządzana sieć wirtualna jest wstępnie skonfigurowana z wymaganymi regułami domyślnymi. Jest ona również skonfigurowana pod kątem połączeń prywatnych punktów końcowych z domyślnym magazynem obszaru roboczego, rejestrem kontenerów i magazynem kluczy , jeśli są skonfigurowane jako prywatne. Po wybraniu trybu izolacji należy rozważyć tylko inne wymagania dotyczące ruchu wychodzącego, które mogą być konieczne do dodania.

Na poniższym diagramie przedstawiono zarządzaną sieć wirtualną skonfigurowaną do zezwalania na ruch wychodzący z Internetu:

Na poniższym diagramie przedstawiono zarządzaną sieć wirtualną skonfigurowaną tak, aby zezwalała tylko na zatwierdzony ruch wychodzący:

Uwaga

W tej konfiguracji magazyn, magazyn kluczy i rejestr kontenerów używany przez obszar roboczy są oflagowane jako prywatne. Ponieważ są one oflagowane jako prywatne, prywatny punkt końcowy jest używany do komunikowania się z nimi.

Studio uczenia maszynowego Azure

Jeśli chcesz użyć zintegrowanego notesu lub utworzyć zestawy danych na domyślnym koncie magazynu z poziomu programu Studio, klient musi mieć dostęp do domyślnego konta magazynu. Utwórz prywatny punkt końcowy lub punkt końcowy usługi dla domyślnego konta magazynu w usłudze Azure Virtual Network, którego używają klienci.

Część Azure Machine Learning studio działa lokalnie w przeglądarce internetowej klienta i komunikuje się bezpośrednio z domyślnym magazynem dla obszaru roboczego. Utworzenie prywatnego punktu końcowego lub punktu końcowego usługi dla domyślnego konta magazynu w sieci wirtualnej zapewnia, że klient może komunikować się z kontem magazynu.

Porada

Użycie punktu końcowego usługi w tej konfiguracji może obniżyć koszty.

Aby uzyskać więcej informacji na temat tworzenia prywatnego punktu końcowego lub punktu końcowego usługi, zobacz artykuł Łączenie prywatnie z kontem magazynu i punktami końcowymi usługi .

Obsługiwane scenariusze

Scenariusze	Obsługiwane
Tryb izolacji	• Zezwalaj na ruch wychodzący z Internetu • Zezwalaj tylko na zatwierdzony ruch wychodzący
Compute	• Wystąpienie obliczeniowe • Klaster obliczeniowy • Bezserwerowe • Bezserwerowa platforma Spark • Nowe zarządzane tworzenie punktu końcowego online • Brak opcji publicznego adresu IP wystąpienia obliczeniowego, klastra obliczeniowego i bezserwerowego
Wychodzący	• Prywatny punkt końcowy • Tag usługi •FQDN

Wymagania wstępne

Przed wykonaniem kroków opisanych w tym artykule upewnij się, że masz następujące wymagania wstępne:

Interfejs wiersza polecenia platformy Azure

• Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto. Wypróbuj bezpłatną lub płatną wersję usługi Azure Machine Learning.

• Interfejs wiersza polecenia platformyml Azure i rozszerzenie do interfejsu wiersza polecenia platformy Azure. Aby uzyskać więcej informacji, zobacz Instalowanie, konfigurowanie i używanie interfejsu wiersza polecenia (wersja 2).

  Porada

  Usługa Azure Machine Learning zarządzana sieć wirtualna została wprowadzona 23 maja 2023 r. Jeśli masz starszą wersję rozszerzenia ml, może być konieczne zaktualizowanie go w celu uzyskania przykładów w tym artykule. Aby zaktualizować rozszerzenie, użyj następującego polecenia interfejsu wiersza polecenia platformy Azure:

  az extension update -n ml
  

• Przykłady interfejsu wiersza polecenia w tym artykule zakładają, że używasz powłoki Bash (lub zgodnej). Na przykład z systemu Linux lub Podsystem Windows dla systemu Linux.

• Przykłady interfejsu wiersza polecenia platformy Azure w tym artykule służą ws do reprezentowania nazwy obszaru roboczego i rg reprezentowania nazwy grupy zasobów. Zmień te wartości zgodnie z potrzebami podczas korzystania z poleceń w ramach subskrypcji platformy Azure.

Zestaw SDK dla języka Python

• Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto. Wypróbuj bezpłatną lub płatną wersję usługi Azure Machine Learning.

• Zestaw SDK języka Python usługi Azure Machine Learning w wersji 2. Aby uzyskać więcej informacji na temat zestawu SDK, zobacz Instalowanie zestawu SDK języka Python w wersji 2 dla usługi Azure Machine Learning.

  Porada

  Usługa Azure Machine Learning zarządzana sieć wirtualna została wprowadzona 23 maja 2023 r. Jeśli masz zainstalowaną starszą wersję zestawu SDK, może być konieczne zaktualizowanie go, aby przykłady w tym artykule działały. Aby zaktualizować zestaw SDK, użyj następującego polecenia:

  pip install --upgrade azure-ai-ml azure-identity
  

• W przykładach w tym artykule założono, że kod zaczyna się od następującego języka Python. Ten kod importuje klasy wymagane podczas tworzenia obszaru roboczego z zarządzaną siecią wirtualną, ustawia zmienne dla subskrypcji i grupy zasobów platformy Azure i tworzy element ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Witryna Azure Portal

• Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto. Wypróbuj bezpłatną lub płatną wersję usługi Azure Machine Learning.

Konfigurowanie zarządzanej sieci wirtualnej w celu zezwalania na ruch wychodzący z Internetu

Ważne

Tworzenie zarządzanej sieci wirtualnej jest odroczone do momentu ręcznego utworzenia zasobu obliczeniowego lub ręcznego zainicjowania obsługi administracyjnej. Jeśli chcesz aprowizować zarządzaną sieć wirtualną i prywatne punkty końcowe, użyj az ml workspace provision-network polecenia z poziomu interfejsu wiersza polecenia platformy Azure. Na przykład az ml workspace provision-network --name ws --resource-group rg.

Jeśli planujesz przesyłanie zadań platformy Spark bezserwerowych, musisz ręcznie rozpocząć aprowizowanie. Aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie zadań platformy Spark bezserwerowej .

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować zarządzaną sieć wirtualną, która zezwala na komunikację wychodzącą z Internetu, możesz użyć parametru --managed-network allow_internet_outbound lub pliku konfiguracji YAML zawierającego następujące wpisy:

managed_network:
  isolation_mode: allow_internet_outbound

Możesz również zdefiniować reguły ruchu wychodzącego do innych usług platformy Azure, na których opiera się obszar roboczy. Te reguły definiują prywatne punkty końcowe , które umożliwiają zasobowi platformy Azure bezpieczną komunikację z zarządzaną siecią wirtualną. Poniższa reguła przedstawia dodawanie prywatnego punktu końcowego do zasobu obiektu blob platformy Azure.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Zarządzaną sieć wirtualną można skonfigurować przy użyciu az ml workspace create poleceń lub az ml workspace update :

• Utwórz nowy obszar roboczy:

  Porada

  przed utworzeniem nowego obszaru roboczego należy utworzyć grupę zasobów platformy Azure, aby ją zawierać. Aby uzyskać więcej informacji, zobacz Zarządzanie grupami zasobów platformy Azure.

  Poniższy przykład tworzy nowy obszar roboczy. Parametr --managed-network allow_internet_outbound konfiguruje zarządzaną sieć wirtualną dla obszaru roboczego:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Aby utworzyć obszar roboczy przy użyciu pliku YAML, użyj parametru --file i określ plik YAML zawierający ustawienia konfiguracji:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  Poniższy przykład YAML definiuje obszar roboczy z zarządzaną siecią wirtualną:

  name: myworkspace
  location: EastUS
  managed_network:
  isolation_mode: allow_internet_outbound
  

• Aktualizowanie istniejącego obszaru roboczego:

  Ostrzeżenie

  Przed zaktualizowaniem istniejącego obszaru roboczego w celu korzystania z zarządzanej sieci wirtualnej należy usunąć wszystkie zasoby obliczeniowe dla obszaru roboczego. Obejmuje to wystąpienie obliczeniowe, klaster obliczeniowy i zarządzane punkty końcowe online.

  Poniższy przykład aktualizuje istniejący obszar roboczy. Parametr --managed-network allow_internet_outbound konfiguruje zarządzaną sieć wirtualną dla obszaru roboczego:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Aby zaktualizować istniejący obszar roboczy przy użyciu pliku YAML, użyj parametru --file i określ plik YAML zawierający ustawienia konfiguracji:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  Poniższy przykład YAML definiuje zarządzaną sieć wirtualną dla obszaru roboczego. Przedstawiono również sposób dodawania połączenia prywatnego punktu końcowego do zasobu używanego przez obszar roboczy; w tym przykładzie prywatny punkt końcowy magazynu obiektów blob:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Zestaw SDK dla języka Python

Aby skonfigurować zarządzaną sieć wirtualną, która zezwala na komunikację wychodzącą z Internetu, użyj ManagedNetwork klasy , aby zdefiniować sieć za pomocą IsolationMode.ALLOW_INTERNET_OUTBOUNDpolecenia . Następnie możesz użyć ManagedNetwork obiektu do utworzenia nowego obszaru roboczego lub zaktualizowania istniejącego obszaru roboczego. Aby zdefiniować reguły ruchu wychodzącego do usług platformy Azure, z których korzysta obszar roboczy, użyj PrivateEndpointDestination klasy , aby zdefiniować nowy prywatny punkt końcowy dla usługi.

• Utwórz nowy obszar roboczy:

  Porada

  przed utworzeniem nowego obszaru roboczego należy utworzyć grupę zasobów platformy Azure, aby ją zawierać. Aby uzyskać więcej informacji, zobacz Zarządzanie grupami zasobów platformy Azure.

  Poniższy przykład tworzy nowy obszar roboczy o nazwie z regułą ruchu wychodzącego o myworkspacenazwie myrule , która dodaje prywatny punkt końcowy dla magazynu obiektów blob platformy Azure:

  # Basic managed network configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aktualizowanie istniejącego obszaru roboczego:

  Ostrzeżenie

  Przed zaktualizowaniem istniejącego obszaru roboczego w celu korzystania z zarządzanej sieci wirtualnej należy usunąć wszystkie zasoby obliczeniowe dla obszaru roboczego. Obejmuje to wystąpienie obliczeniowe, klaster obliczeniowy i zarządzane punkty końcowe online.

  W poniższym przykładzie pokazano, jak utworzyć zarządzaną sieć wirtualną dla istniejącego obszaru roboczego usługi Azure Machine Learning o nazwie myworkspace:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed network configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Witryna Azure Portal

• Utwórz nowy obszar roboczy:

  1. Zaloguj się do Azure Portal i wybierz pozycję Azure Machine Learning z menu Utwórz zasób.

  2. Podaj wymagane informacje na karcie Podstawy .

  3. Na karcie Sieć wybierz pozycję Prywatna z internetem wychodzącym.

     

  4. Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika na karcie Sieć . Na pasku bocznym Reguły ruchu wychodzącego obszaru roboczego podaj następujące informacje:

     • Nazwa reguły: nazwa reguły. Nazwa musi być unikatowa dla tego obszaru roboczego.
     • Typ miejsca docelowego: Prywatny punkt końcowy jest jedyną opcją, gdy izolacja sieciowa jest prywatna z wychodzącym internetem. Zarządzana sieć wirtualna usługi Azure Machine Learning nie obsługuje tworzenia prywatnego punktu końcowego dla wszystkich typów zasobów platformy Azure. Aby uzyskać listę obsługiwanych zasobów, zobacz sekcję Prywatne punkty końcowe .
     • Subskrypcja: subskrypcja zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
     • Grupa zasobów: grupa zasobów zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
     • Typ zasobu: typ zasobu platformy Azure.
     • Nazwa zasobu: nazwa zasobu platformy Azure.
     • Zasób podrzędny: zasób podrzędny typu zasobu platformy Azure.
     • Włączono platformę Spark: wybierz tę opcję, jeśli chcesz włączyć bezserwerowe zadania platformy Spark dla obszaru roboczego. Ta opcja jest dostępna tylko wtedy, gdy typ zasobu to Azure Storage.

     

     Wybierz pozycję Zapisz , aby zapisać regułę. Możesz nadal używać opcji Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika , aby dodać reguły.

  5. Kontynuuj tworzenie obszaru roboczego w zwykły sposób.

• Aktualizowanie istniejącego obszaru roboczego:

  Ostrzeżenie

  Przed zaktualizowaniem istniejącego obszaru roboczego w celu korzystania z zarządzanej sieci wirtualnej należy usunąć wszystkie zasoby obliczeniowe dla obszaru roboczego. Obejmuje to wystąpienie obliczeniowe, klaster obliczeniowy i zarządzane punkty końcowe online.

  1. Zaloguj się do Azure Portal i wybierz obszar roboczy usługi Azure Machine Learning, dla którego chcesz włączyć izolację zarządzanej sieci wirtualnej.

  2. Wybierz pozycję Sieć, a następnie wybierz pozycję Prywatna z internetem wychodzącym.

     

     • Aby dodaćregułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika na karcie Sieć . Na pasku bocznym Reguły ruchu wychodzącego obszaru roboczego podaj następujące informacje:

       • Nazwa reguły: nazwa reguły. Nazwa musi być unikatowa dla tego obszaru roboczego.
       • Typ miejsca docelowego: Prywatny punkt końcowy jest jedyną opcją, gdy izolacja sieciowa jest prywatna z wychodzącym internetem. Zarządzana sieć wirtualna usługi Azure Machine Learning nie obsługuje tworzenia prywatnego punktu końcowego dla wszystkich typów zasobów platformy Azure. Aby uzyskać listę obsługiwanych zasobów, zobacz sekcję Prywatne punkty końcowe .
       • Subskrypcja: subskrypcja zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
       • Grupa zasobów: grupa zasobów zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
       • Typ zasobu: typ zasobu platformy Azure.
       • Nazwa zasobu: nazwa zasobu platformy Azure.
       • Zasób podrzędny: zasób podrzędny typu zasobu platformy Azure.
       • Włączono platformę Spark: wybierz tę opcję, jeśli chcesz włączyć bezserwerowe zadania platformy Spark dla obszaru roboczego. Ta opcja jest dostępna tylko wtedy, gdy typ zasobu to Azure Storage.

       

     • Aby usunąć regułę ruchu wychodzącego, wybierz pozycję Usuń dla reguły.

       

  3. Wybierz pozycję Zapisz w górnej części strony, aby zapisać zmiany w sieci zarządzanej.

Konfigurowanie zarządzanej sieci wirtualnej tak, aby zezwalała tylko na ruch wychodzący zatwierdzony

Ważne

Tworzenie zarządzanej sieci wirtualnej jest odroczone do momentu utworzenia zasobu obliczeniowego lub ręcznego uruchomienia aprowizacji. Jeśli chcesz aprowizować zarządzaną sieć wirtualną i prywatne punkty końcowe, użyj az ml workspace provision-network polecenia z poziomu interfejsu wiersza polecenia platformy Azure. Na przykład az ml workspace provision-network --name ws --resource-group rg.

Jeśli planujesz przesyłanie zadań platformy Spark bezserwerowych, musisz ręcznie rozpocząć aprowizowanie. Aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie zadań platformy Spark bezserwerowej .

Interfejs wiersza polecenia platformy Azure

Aby skonfigurować zarządzaną sieć wirtualną, która zezwala tylko na zatwierdzoną komunikację wychodzącą, można użyć parametru --managed-network allow_only_approved_outbound lub pliku konfiguracji YAML zawierającego następujące wpisy:

managed_network:
  isolation_mode: allow_only_approved_outbound

Można również zdefiniować reguły ruchu wychodzącego , aby zdefiniować zatwierdzoną komunikację wychodzącą. Regułę ruchu wychodzącego service_tag można utworzyć dla typu lub fqdn. Można również zdefiniować prywatne punkty końcowe , które umożliwiają zasobowi platformy Azure bezpieczną komunikację z zarządzaną siecią wirtualną. Poniższa reguła demonstruje dodawanie prywatnego punktu końcowego do zasobu obiektu blob platformy Azure, tagu usługi do Azure Data Factory i nazwy FQDN do pypi.org:

Ważne

• Dodanie ruchu wychodzącego dla tagu usługi lub nazwy FQDN jest prawidłowe tylko wtedy, gdy zarządzana sieć wirtualna jest skonfigurowana na wartość allow_only_approved_outbound.
• Jeśli dodasz reguły ruchu wychodzącego, firma Microsoft nie może zagwarantować eksfiltracji danych.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Zarządzaną sieć wirtualną można skonfigurować przy użyciu az ml workspace create poleceń lub az ml workspace update :

• Utwórz nowy obszar roboczy:

  Porada

  Przed utworzeniem nowego obszaru roboczego musisz utworzyć grupę zasobów platformy Azure, aby ją zawierać. Aby uzyskać więcej informacji, zobacz Zarządzanie grupami zasobów platformy Azure.

  W poniższym przykładzie użyto parametru --managed-network allow_only_approved_outbound do skonfigurowania zarządzanej sieci wirtualnej:

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Następujący plik YAML definiuje obszar roboczy z zarządzaną siecią wirtualną:

  name: myworkspace
  location: EastUS
  managed_network:
  isolation_mode: allow_only_approved_outbound
  

  Aby utworzyć obszar roboczy przy użyciu pliku YAML, użyj parametru --file :

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Aktualizowanie istniejącego obszaru roboczego

  Ostrzeżenie

  Przed zaktualizowaniem istniejącego obszaru roboczego w celu korzystania z zarządzanej sieci wirtualnej należy usunąć wszystkie zasoby obliczeniowe dla obszaru roboczego. Obejmuje to wystąpienie obliczeniowe, klaster obliczeniowy i zarządzane punkty końcowe online.

  W poniższym przykładzie użyto parametru --managed-network allow_only_approved_outbound do skonfigurowania zarządzanej sieci wirtualnej dla istniejącego obszaru roboczego:

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Poniższy plik YAML definiuje zarządzaną sieć wirtualną dla obszaru roboczego. Przedstawiono również sposób dodawania zatwierdzonego ruchu wychodzącego do zarządzanej sieci wirtualnej. W tym przykładzie dla tagu usługi jest dodawana reguła ruchu wychodzącego:

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Zestaw SDK dla języka Python

Aby skonfigurować zarządzaną sieć wirtualną, która zezwala na tylko zatwierdzoną komunikację wychodzącą, użyj ManagedNetwork klasy , aby zdefiniować sieć za pomocą polecenia IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Następnie możesz użyć ManagedNetwork obiektu do utworzenia nowego obszaru roboczego lub zaktualizowania istniejącego obszaru roboczego. Aby zdefiniować reguły ruchu wychodzącego, użyj następujących klas:

Element docelowy	Klasa
Usługa platformy Azure, z którą korzysta obszar roboczy	PrivateEndpointDestination
Tag usługi platformy Azure	ServiceTagDestination
w pełni kwalifikowanej nazwy domeny (FQDN),	FqdnDestination

• Utwórz nowy obszar roboczy:

  Porada

  przed utworzeniem nowego obszaru roboczego należy utworzyć grupę zasobów platformy Azure, aby ją zawierać. Aby uzyskać więcej informacji, zobacz Zarządzanie grupami zasobów platformy Azure.

  Poniższy przykład tworzy nowy obszar roboczy o nazwie myworkspace, z kilkoma regułami ruchu wychodzącego:

  • myrule — Dodaje prywatny punkt końcowy dla magazynu obiektów blob platformy Azure.
  • datafactory— Dodaje regułę tagu usługi do komunikowania się z Azure Data Factory.

  Ważne

  • Dodanie ruchu wychodzącego dla tagu usługi jest prawidłowe tylko wtedy, gdy zarządzana sieć wirtualna jest skonfigurowana na wartość IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Jeśli dodasz reguły ruchu wychodzącego, firma Microsoft nie może zagwarantować eksfiltracji danych.

  # Basic managed virtual network configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aktualizowanie istniejącego obszaru roboczego:

  Ostrzeżenie

  Przed zaktualizowaniem istniejącego obszaru roboczego w celu korzystania z zarządzanej sieci wirtualnej należy usunąć wszystkie zasoby obliczeniowe dla obszaru roboczego. Obejmuje to wystąpienie obliczeniowe, klaster obliczeniowy i zarządzane punkty końcowe online.

  W poniższym przykładzie pokazano, jak utworzyć zarządzaną sieć wirtualną dla istniejącego obszaru roboczego usługi Azure Machine Learning o nazwie myworkspace. W przykładzie dodano również kilka reguł ruchu wychodzącego dla zarządzanej sieci wirtualnej:

  • myrule — Dodaje prywatny punkt końcowy dla magazynu obiektów blob platformy Azure.
  • datafactory— Dodaje regułę tagu usługi do komunikowania się z Azure Data Factory.

  Porada

  Dodanie ruchu wychodzącego dla tagu usługi jest prawidłowe tylko wtedy, gdy zarządzana sieć wirtualna jest skonfigurowana na wartość IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed virtual network configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Witryna Azure Portal

• Utwórz nowy obszar roboczy:

  1. Zaloguj się do Azure Portal i wybierz pozycję Azure Machine Learning z menu Utwórz zasób.

  2. Podaj wymagane informacje na karcie Podstawy .

  3. Na karcie Sieć wybierz pozycję Prywatna z zatwierdzonym wyjściem.

     

  4. Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika na karcie Sieć . Na pasku bocznym Reguły ruchu wychodzącego obszaru roboczego podaj następujące informacje:

     • Nazwa reguły: nazwa reguły. Nazwa musi być unikatowa dla tego obszaru roboczego.
     • Typ miejsca docelowego: prywatny punkt końcowy, tag usługi lub nazwa FQDN. Tag usługi i nazwa FQDN są dostępne tylko wtedy, gdy izolacja sieciowa jest prywatna z zatwierdzonym wyjściem.

     Jeśli typem docelowym jest prywatny punkt końcowy, podaj następujące informacje:

     • Subskrypcja: subskrypcja zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
     • Grupa zasobów: grupa zasobów zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
     • Typ zasobu: typ zasobu platformy Azure.
     • Nazwa zasobu: nazwa zasobu platformy Azure.
     • Zasób podrzędny: zasób podrzędny typu zasobu platformy Azure.
     • Włączono platformę Spark: wybierz tę opcję, jeśli chcesz włączyć bezserwerowe zadania platformy Spark dla obszaru roboczego. Ta opcja jest dostępna tylko wtedy, gdy typ zasobu to Azure Storage.

     Porada

     Zarządzana sieć wirtualna usługi Azure Machine Learning nie obsługuje tworzenia prywatnego punktu końcowego dla wszystkich typów zasobów platformy Azure. Aby uzyskać listę obsługiwanych zasobów, zobacz sekcję Prywatne punkty końcowe .

     

     Jeśli typem docelowym jest tag usługi, podaj następujące informacje:

     • Tag usługi: tag usługi, który ma zostać dodany do zatwierdzonych reguł ruchu wychodzącego.
     • Protokół: protokół umożliwiający tag usługi.
     • Zakresy portów: zakresy portów umożliwiające tag usługi.

     

     Jeśli typ docelowy to nazwa FQDN, podaj następujące informacje:

     • Miejsce docelowe nazwy FQDN: w pełni kwalifikowana nazwa domeny do dodania do zatwierdzonych reguł ruchu wychodzącego.

     

     Wybierz pozycję Zapisz , aby zapisać regułę. Możesz nadal używać opcji Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika , aby dodać reguły.

  5. Kontynuuj tworzenie obszaru roboczego w zwykły sposób.

• Aktualizowanie istniejącego obszaru roboczego:

  Ostrzeżenie

  Przed zaktualizowaniem istniejącego obszaru roboczego w celu korzystania z zarządzanej sieci wirtualnej należy usunąć wszystkie zasoby obliczeniowe dla obszaru roboczego. Obejmuje to wystąpienie obliczeniowe, klaster obliczeniowy i zarządzane punkty końcowe online.

  1. Zaloguj się do Azure Portal i wybierz obszar roboczy usługi Azure Machine Learning, dla którego chcesz włączyć izolację zarządzanej sieci wirtualnej.

  2. Wybierz pozycję Sieć, a następnie wybierz pozycję Prywatna z zatwierdzonym wyjściem.

     

     • Aby dodaćregułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika na karcie Sieć . Na pasku bocznym Reguły ruchu wychodzącego obszaru roboczego podaj następujące informacje:

       • Nazwa reguły: nazwa reguły. Nazwa musi być unikatowa dla tego obszaru roboczego.
       • Typ miejsca docelowego: prywatny punkt końcowy, tag usługi lub nazwa FQDN. Tag usługi i nazwa FQDN są dostępne tylko wtedy, gdy izolacja sieciowa jest prywatna z zatwierdzonym wyjściem.

       Jeśli typem docelowym jest prywatny punkt końcowy, podaj następujące informacje:

       • Subskrypcja: subskrypcja zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
       • Grupa zasobów: grupa zasobów zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
       • Typ zasobu: typ zasobu platformy Azure.
       • Nazwa zasobu: nazwa zasobu platformy Azure.
       • Zasób podrzędny: zasób podrzędny typu zasobu platformy Azure.
       • Włączono platformę Spark: wybierz tę opcję, jeśli chcesz włączyć bezserwerowe zadania platformy Spark dla obszaru roboczego. Ta opcja jest dostępna tylko wtedy, gdy typ zasobu to Azure Storage.

       Porada

       Zarządzana sieć wirtualna usługi Azure Machine Learning nie obsługuje tworzenia prywatnego punktu końcowego dla wszystkich typów zasobów platformy Azure. Aby uzyskać listę obsługiwanych zasobów, zobacz sekcję Prywatne punkty końcowe .

       

       Jeśli typem docelowym jest tag usługi, podaj następujące informacje:

       • Tag usługi: tag usługi, który ma zostać dodany do zatwierdzonych reguł ruchu wychodzącego.
       • Protokół: protokół umożliwiający tag usługi.
       • Zakresy portów: zakresy portów umożliwiające tag usługi.

       

       Jeśli typ docelowy to nazwa FQDN, podaj następujące informacje:

       • Miejsce docelowe nazwy FQDN: w pełni kwalifikowana nazwa domeny do dodania do zatwierdzonych reguł ruchu wychodzącego.

       

       Wybierz pozycję Zapisz , aby zapisać regułę. Aby dodać reguły, możesz nadal używać opcji Dodaj reguły ruchu wychodzącego zdefiniowanego przez użytkownika .

     • Aby usunąć regułę ruchu wychodzącego, wybierz pozycję Usuń dla reguły.

       

  3. Wybierz pozycję Zapisz w górnej części strony, aby zapisać zmiany w sieci zarządzanej.

Konfigurowanie pod kątem zadań platformy Spark bezserwerowych

Porada

Kroki opisane w tej sekcji są wymagane tylko w przypadku planowania przesyłania bezserwerowych zadań platformy Spark. Jeśli nie zamierzasz przesyłać bezserwerowych zadań platformy Spark, możesz pominąć tę sekcję.

Aby włączyć bezserwerowe zadania platformy Spark dla zarządzanej sieci wirtualnej, należy wykonać następujące czynności:

• Skonfiguruj zarządzaną sieć wirtualną dla obszaru roboczego i dodaj wychodzący prywatny punkt końcowy dla konta usługi Azure Storage.
• Po skonfigurowaniu zarządzanej sieci wirtualnej aprowizuj ją i oznacz ją flagą, aby zezwolić na zadania platformy Spark.

1. Skonfiguruj wychodzący prywatny punkt końcowy.

   Interfejs wiersza polecenia platformy Azure

   Użyj pliku YAML, aby zdefiniować konfigurację zarządzanej sieci wirtualnej i dodać prywatny punkt końcowy dla konta usługi Azure Storage. Ustaw również wartość spark_enabled: true:

   Uwaga

   Ten przykład dotyczy zarządzanej sieci wirtualnej skonfigurowanej do zezwalania na ruch internetowy. Obecnie bezserwerowa platforma Spark nie obsługuje isolation_mode: allow_only_approved_outbound zezwalania tylko na zatwierdzony ruch wychodzący.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   Możesz użyć pliku konfiguracji YAML z az ml workspace update poleceniem, określając --file parametr i nazwę pliku YAML. Na przykład następujące polecenie aktualizuje istniejący obszar roboczy przy użyciu pliku YAML o nazwie workspace_pe.yml:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Zestaw SDK dla języka Python

   W poniższym przykładzie pokazano, jak utworzyć zarządzaną sieć wirtualną dla istniejącego obszaru roboczego usługi Azure Machine Learning o nazwie myworkspace. Dodaje również prywatny punkt końcowy dla konta usługi Azure Storage i zestawy spark_enabled=true:

   Uwaga

   Poniższy przykład dotyczy zarządzanej sieci wirtualnej skonfigurowanej do zezwalania na ruch internetowy. Obecnie bezserwerowa platforma Spark nie obsługuje IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND zezwalania tylko na zatwierdzony ruch wychodzący.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed network configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Witryna Azure Portal

   1. Zaloguj się do Azure Portal i wybierz obszar roboczy usługi Azure Machine Learning.

   2. Wybierz pozycję Sieć, a następnie wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika. Dodaj regułę dla konta usługi Azure Storage i upewnij się, że wybrano opcję Włączono platformę Spark .

      

   3. Wybierz pozycję Zapisz , aby zapisać regułę, a następnie wybierz pozycję Zapisz w górnej części obszaru Sieć , aby zapisać zmiany w zarządzanej sieci wirtualnej.

2. Aprowizuj zarządzaną sieć wirtualną.

   Uwaga

   Jeśli obszar roboczy jest już skonfigurowany dla publicznego punktu końcowego (na przykład z usługą Azure Virtual Network) i ma włączony dostęp do sieci publicznej, należy ją wyłączyć przed aprowizowaniem zarządzanej sieci wirtualnej. Jeśli nie wyłączysz dostępu do sieci publicznej podczas aprowizacji zarządzanej sieci wirtualnej, prywatne punkty końcowe zarządzanego punktu końcowego mogą nie zostać pomyślnie utworzone.

   Interfejs wiersza polecenia platformy Azure

   W poniższym przykładzie pokazano, jak aprowizować zarządzaną sieć wirtualną dla bezserwerowych zadań spark przy użyciu parametru --include-spark .

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   Zestaw SDK dla języka Python

   W poniższym przykładzie pokazano, jak aprowizować zarządzaną sieć wirtualną dla bezserwerowych zadań platformy Spark:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")
   
   # whether to provision spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Witryna Azure Portal

   Użyj kart interfejsu wiersza polecenia platformy Azure lub zestawu SDK języka Python , aby dowiedzieć się, jak ręcznie aprowizować zarządzaną sieć wirtualną przy użyciu bezserwerowej obsługi platformy Spark.

Zarządzanie regułami ruchu wychodzącego

Interfejs wiersza polecenia platformy Azure

Aby wyświetlić listę zarządzanych reguł ruchu wychodzącego sieci wirtualnej dla obszaru roboczego, użyj następującego polecenia:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Aby wyświetlić szczegóły reguły ruchu wychodzącego zarządzanej sieci wirtualnej, użyj następującego polecenia:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Aby usunąć regułę ruchu wychodzącego z zarządzanej sieci wirtualnej, użyj następującego polecenia:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Zestaw SDK dla języka Python

W poniższym przykładzie pokazano, jak zarządzać regułami ruchu wychodzącego dla obszaru roboczego o nazwie myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Witryna Azure Portal

1. Zaloguj się do Azure Portal i wybierz obszar roboczy usługi Azure Machine Learning, dla którego chcesz włączyć izolację zarządzanej sieci wirtualnej.

2. Wybierz pozycję Sieć. Sekcja Dostęp wychodzący obszaru roboczego umożliwia zarządzanie regułami ruchu wychodzącego.

   

• Aby dodaćregułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika z karty Sieć . Na pasku bocznym Reguły ruchu wychodzącego obszaru roboczego podaj następujące informacje:

• Aby włączyć lub wyłączyć regułę, użyj przełącznika w kolumnie Aktywne .

• Aby usunąć regułę ruchu wychodzącego, wybierz pozycję Usuń dla reguły.

Lista wymaganych reguł

Porada

Te reguły są automatycznie dodawane do zarządzanej sieci wirtualnej.

Prywatne punkty końcowe:

• Gdy tryb izolacji dla sieci zarządzanej to Allow internet outbound, reguły ruchu wychodzącego prywatnego punktu końcowego są automatycznie tworzone jako wymagane reguły z sieci zarządzanej dla obszaru roboczego i skojarzone zasoby z wyłączonym dostępem do sieci publicznej (Key Vault, konto magazynu, usługa Container Registry, obszar roboczy usługi Azure Machine Learning).
• Gdy tryb izolacji dla sieci zarządzanej to Allow only approved outbound, reguły ruchu wychodzącego prywatnego punktu końcowego są automatycznie tworzone jako wymagane reguły z sieci zarządzanej dla obszaru roboczego i skojarzonych zasobów niezależnie od trybu dostępu do sieci publicznej dla tych zasobów (Key Vault, konto magazynu, usługa Container Registry, obszar roboczy usługi Azure Machine Learning).

Reguły tagów usługi dla ruchu wychodzącego:

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor
• MicrosoftContainerRegistry
• AzureMonitor

Reguły tagów usługi dla ruchu przychodzącego:

• AzureMachineLearning

Lista reguł ruchu wychodzącego specyficznego dla scenariusza

Scenariusz: Uzyskiwanie dostępu do publicznych pakietów uczenia maszynowego

Aby umożliwić instalację pakietów języka Python na potrzeby trenowania i wdrażania, dodaj reguły nazw FQDN dla ruchu wychodzącego, aby zezwolić na ruch do następujących nazw hostów:

Uwaga

Nie jest to pełna lista hostów wymaganych dla wszystkich zasobów języka Python w Internecie, tylko najczęściej używanych. Jeśli na przykład potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać hosty wymagane dla tego scenariusza.

Nazwa hosta	Cel
anaconda.com *.anaconda.com	Służy do instalowania pakietów domyślnych.
*.anaconda.org	Służy do pobierania danych repozytorium.
pypi.org	Służy do wyświetlania listy zależności z domyślnego indeksu, jeśli istnieje, a indeks nie jest zastępowany przez ustawienia użytkownika. Jeśli indeks zostanie zastąpiony, należy również zezwolić na *.pythonhosted.org.
pytorch.org *.pytorch.org	Używane przez kilka przykładów na podstawie PyTorch.
*.tensorflow.org	Używane przez niektóre przykłady na podstawie biblioteki Tensorflow.

Scenariusz: używanie Visual Studio Code pulpitu lub sieci Web z wystąpieniem obliczeniowym

Jeśli planujesz używać Visual Studio Code z usługą Azure Machine Learning, dodaj reguły FQDN ruchu wychodzącego, aby zezwolić na ruch do następujących hostów:

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com

Scenariusz: Używanie punktów końcowych wsadowych

Jeśli planujesz używać punktów końcowych usługi Azure Machine Learning wsadowych do wdrożenia, dodaj reguły wychodzących prywatnych punktów końcowych , aby zezwolić na ruch do następujących zasobów podrzędnych dla domyślnego konta magazynu:

• queue
• table

Scenariusz: korzystanie z przepływu monitów za pomocą usługi Azure Open AI, bezpieczeństwa zawartości i wyszukiwania poznawczego

• Prywatny punkt końcowy w usługach Azure AI
• Prywatny punkt końcowy do Azure Cognitive Search

Prywatne punkty końcowe

Prywatne punkty końcowe są obecnie obsługiwane dla następujących usług platformy Azure:

• Azure Machine Learning
• Rejestry usługi Azure Machine Learning
• Azure Storage (wszystkie podtypy zasobów)
• Azure Container Registry
• W usłudze Azure Key Vault
• Usługi platformy Azure AI
• Azure Cognitive Search
• Serwer usługi SQL Azure
• Azure Data Factory
• Azure Cosmos DB (wszystkie podtypy zasobów)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• Azure Database for MariaDB
• Azure Database for PostgreSQL
• Azure Database for MySQL
• Wystąpienie zarządzane Azure SQL

Podczas tworzenia prywatnego punktu końcowego należy podać typ zasobu i podźródło , z którym łączy się punkt końcowy. Niektóre zasoby mają wiele typów i podźródła. Aby uzyskać więcej informacji, zobacz co to jest prywatny punkt końcowy.

Podczas tworzenia prywatnego punktu końcowego dla zasobów zależności usługi Azure Machine Learning, takich jak usługa Azure Storage, Azure Container Registry i usługa Azure Key Vault, zasób może znajdować się w innej subskrypcji platformy Azure. Jednak zasób musi znajdować się w tej samej dzierżawie co obszar roboczy usługi Azure Machine Learning.

Ważne

Podczas konfigurowania prywatnych punktów końcowych dla zarządzanej sieci wirtualnej usługi Azure Machine Learning prywatne punkty końcowe są tworzone tylko podczas tworzenia pierwszego wystąpienia obliczeniowego lub wymuszania aprowizacji sieci zarządzanej. Aby uzyskać więcej informacji na temat wymuszania aprowizacji sieci zarządzanej, zobacz Konfigurowanie zadań platformy Spark bezserwerowych.

Cennik

Funkcja zarządzanej sieci wirtualnej usługi Azure Machine Learning jest bezpłatna. Opłaty są jednak naliczane za następujące zasoby, które są używane przez zarządzaną sieć wirtualną:

• Azure Private Link — prywatne punkty końcowe używane do zabezpieczania komunikacji między zarządzaną siecią wirtualną a zasobami platformy Azure opierają się na Azure Private Link. Aby uzyskać więcej informacji na temat cen, zobacz cennik Azure Private Link.

• Reguły ruchu wychodzącego nazwy FQDN — reguły ruchu wychodzącego nazwy FQDN są implementowane przy użyciu Azure Firewall. Jeśli używasz reguł nazwy FQDN dla ruchu wychodzącego, opłaty za Azure Firewall są uwzględniane w rozliczeniach.

  Ważne

  Zapora nie zostanie utworzona, dopóki nie dodasz reguły FQDN dla ruchu wychodzącego. Jeśli nie używasz reguł FQDN, nie będą naliczane opłaty za Azure Firewall. Aby uzyskać więcej informacji na temat cen, zobacz cennik Azure Firewall.

Ograniczenia

• Po włączeniu izolacji zarządzanej sieci wirtualnej obszaru roboczego nie można go wyłączyć.
• Zarządzana sieć wirtualna używa połączenia prywatnego punktu końcowego do uzyskiwania dostępu do zasobów prywatnych. Nie można jednocześnie mieć prywatnego punktu końcowego i punktu końcowego usługi dla zasobów platformy Azure, takich jak konto magazynu. Zalecamy używanie prywatnych punktów końcowych we wszystkich scenariuszach.
• Sieć zarządzana jest usuwana po usunięciu obszaru roboczego.
• Ochrona przed eksfiltracją danych jest automatycznie włączona dla tylko zatwierdzonego trybu ruchu wychodzącego. Jeśli dodasz inne reguły ruchu wychodzącego, takie jak do nazw FQDN, firma Microsoft nie może zagwarantować ochrony przed eksfiltracją danych do tych miejsc docelowych ruchu wychodzącego.
• Tworzenie klastra obliczeniowego w innym regionie niż obszar roboczy nie jest obsługiwane w przypadku korzystania z zarządzanej sieci wirtualnej.

Migracja zasobów obliczeniowych

Jeśli masz istniejący obszar roboczy i chcesz włączyć zarządzaną sieć wirtualną, obecnie nie ma obsługiwanej ścieżki migracji dla istniejących zarządzanych zasobów obliczeniowych. Należy usunąć wszystkie istniejące zarządzane zasoby obliczeniowe i utworzyć je ponownie po włączeniu zarządzanej sieci wirtualnej. Poniższa lista zawiera zasoby obliczeniowe, które należy usunąć i utworzyć ponownie:

• Klaster obliczeniowy
• Wystąpienie obliczeniowe
• Zarządzane punkty końcowe online

Następne kroki

• Rozwiązywanie problemów z zarządzaną siecią wirtualną
• Konfigurowanie zarządzanych obliczeń w zarządzanej sieci wirtualnej