Zabezpieczanie zasobów obszaru roboczego usługi Azure Machine Learning przy użyciu sieci wirtualnych

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure w wersji 2 (current)Zestaw PYTHON SDK azure-ai-ml v2 (bieżąca)

Napiwek

Firma Microsoft zaleca korzystanie z usługi Azure Machine Edukacja zarządzanych sieci wirtualnych zamiast kroków opisanych w tym artykule. W przypadku zarządzanej sieci wirtualnej usługa Azure Machine Edukacja obsługuje zadanie izolacji sieci dla obszaru roboczego i zarządzanych zasobów obliczeniowych. Możesz również dodać prywatne punkty końcowe dla zasobów wymaganych przez obszar roboczy, na przykład konto usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Obszar roboczy zarządzana izolacja sieci.

Zabezpieczanie zasobów obszaru roboczego i środowisk obliczeniowych usługi Azure Machine Edukacja przy użyciu sieci wirtualnych platformy Azure. W tym artykule użyto przykładowego scenariusza pokazującego, jak skonfigurować pełną sieć wirtualną.

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Edukacja. Zobacz inne artykuły z tej serii:

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Edukacja. Zobacz inne artykuły z tej serii:

• Korzystanie z sieci zarządzanych
• Zabezpieczanie zasobów obszaru roboczego
• Zabezpieczanie rejestrów uczenia maszynowego
• Zabezpieczanie środowiska szkoleniowego
• Zabezpieczanie środowiska wnioskowania
• Włączanie funkcji programu Studio
• Używanie niestandardowego systemu DNS
• Korzystanie z zapory
• Izolacja sieci platformy interfejsu API

Aby zapoznać się z samouczkiem dotyczącym tworzenia bezpiecznego obszaru roboczego, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego lub Samouczek: tworzenie bezpiecznego obszaru roboczego przy użyciu szablonu.

Wymagania wstępne

W tym artykule założono, że znasz następujące artykuły:

• Azure Virtual Networks
• Sieć IP
• Obszar roboczy usługi Azure Machine Edukacja z prywatnym punktem końcowym
• Sieciowe grupy zabezpieczeń (NSG)
• Zapory sieciowe

Przykładowy scenariusz

W tej sekcji dowiesz się, jak skonfigurowano typowy scenariusz sieciowy w celu zabezpieczenia komunikacji maszyny azure Edukacja z prywatnymi adresami IP.

W poniższej tabeli porównaliśmy, w jaki sposób usługi uzyskują dostęp do różnych części sieci usługi Azure Machine Edukacja z siecią wirtualną i bez nich:

Scenariusz	Workspace	Skojarzone zasoby	Trenowanie środowiska obliczeniowego	Wnioskowanie środowiska obliczeniowego
Bez sieci wirtualnej	Publiczny adres IP	Publiczny adres IP	Publiczny adres IP	Publiczny adres IP
Publiczny obszar roboczy, wszystkie inne zasoby w sieci wirtualnej	Publiczny adres IP	Publiczny adres IP (punkt końcowy usługi) -Lub- Prywatny adres IP (prywatny punkt końcowy)	Publiczny adres IP	Prywatny adres IP
Zabezpieczanie zasobów w sieci wirtualnej	Prywatny adres IP (prywatny punkt końcowy)	Publiczny adres IP (punkt końcowy usługi) -Lub- Prywatny adres IP (prywatny punkt końcowy)	Prywatny adres IP	Prywatny adres IP

• Obszar roboczy — utwórz prywatny punkt końcowy dla obszaru roboczego. Prywatny punkt końcowy łączy obszar roboczy z siecią wirtualną za pośrednictwem kilku prywatnych adresów IP.
  • Dostęp publiczny — opcjonalnie możesz włączyć dostęp publiczny dla zabezpieczonego obszaru roboczego.
• Skojarzony zasób — użyj punktów końcowych usługi lub prywatnych punktów końcowych, aby połączyć się z zasobami obszaru roboczego, takimi jak Azure Storage, Azure Key Vault. W przypadku usług Azure Container Services użyj prywatnego punktu końcowego.
  • Punkty końcowe usługi zapewniają tożsamość sieci wirtualnej w usłudze platformy Azure. Po włączeniu punktów końcowych usługi w sieci wirtualnej możesz dodać regułę sieci wirtualnej, aby zabezpieczyć zasoby usługi platformy Azure do sieci wirtualnej. Punkty końcowe usługi używają publicznych adresów IP.
  • Prywatne punkty końcowe to interfejsy sieciowe, które bezpiecznie łączą Cię z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej.
• Trenowanie dostępu do zasobów obliczeniowych — uzyskiwanie dostępu do celów obliczeniowych trenowania, takich jak wystąpienie obliczeniowe usługi Azure Machine Edukacja i klastry obliczeniowe platformy Azure Edukacja z publicznymi lub prywatnymi adresami IP.
• Dostęp do obliczeń wnioskowania — uzyskiwanie dostępu do klastrów obliczeniowych usługi Azure Kubernetes Services (AKS) przy użyciu prywatnych adresów IP.

W następnych sekcjach pokazano, jak zabezpieczyć opisany wcześniej scenariusz sieciowy. Aby zabezpieczyć sieć, musisz:

1. Zabezpieczanie obszaru roboczego i skojarzonych zasobów.
2. Zabezpieczanie środowiska szkoleniowego.
3. Zabezpieczanie środowiska wnioskowania.
4. Opcjonalnie: włącz funkcję studio.
5. Skonfiguruj ustawienia zapory.
6. Konfigurowanie rozpoznawania nazw DNS.

Publiczny obszar roboczy i zabezpieczone zasoby

Ważne

Chociaż jest to obsługiwana konfiguracja usługi Azure Machine Edukacja, firma Microsoft jej nie zaleca. Dane na koncie usługi Azure Storage za siecią wirtualną można uwidocznić w publicznym obszarze roboczym. Przed użyciem jej w środowisku produkcyjnym należy zweryfikować tę konfigurację z zespołem ds. zabezpieczeń.

Jeśli chcesz uzyskać dostęp do obszaru roboczego za pośrednictwem publicznego Internetu przy zachowaniu wszystkich skojarzonych zasobów zabezpieczonych w sieci wirtualnej, wykonaj następujące czynności:

1. Tworzenie sieci wirtualnej platformy Azure. Ta sieć zabezpiecza zasoby używane przez obszar roboczy.

2. Użyj jednej z następujących opcji, aby utworzyć publicznie dostępny obszar roboczy:

   • Utwórz obszar roboczy usługi Azure Machine Edukacja, który nie korzysta z sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Zarządzanie obszarami roboczymi usługi Azure Machine Edukacja.

   LUB

   • Utwórz obszar roboczy z obsługą usługi Private Link, aby umożliwić komunikację między siecią wirtualną a obszarem roboczym. Następnie włącz publiczny dostęp do obszaru roboczego.

3. Dodaj następujące usługi do sieci wirtualnej przy użyciu punktu końcowegousługi lub prywatnego punktu końcowego. Zezwalaj również zaufanym usługi firmy Microsoft na dostęp do tych usług:

   Usługa	Informacje o punkcie końcowym	Zezwalaj na zaufane informacje
   Azure Key Vault	Prywatny punkt końcowy usługi	Zezwalaj zaufanym usługi firmy Microsoft na obejście tej zapory
   Konto magazynu platformy Azure	Prywatny punkt końcowy usługi i prywatny punkt końcowy	Udzielanie dostępu do zaufanych usług platformy Azure
   Azure Container Registry	Prywatny punkt końcowy	Zezwalaj na zaufane usługi

4. We właściwościach kont usługi Azure Storage dla obszaru roboczego dodaj adres IP klienta do listy dozwolonych w ustawieniach zapory. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych.

Zabezpieczanie obszaru roboczego i skojarzonych zasobów

Wykonaj poniższe kroki, aby zabezpieczyć obszar roboczy i skojarzone zasoby. Te kroki umożliwiają usługom komunikowanie się w sieci wirtualnej.

1. Tworzenie sieci wirtualnych platformy Azure. Ta sieć zabezpiecza obszar roboczy i inne zasoby. Następnie utwórz obszar roboczy z obsługą usługi Private Link, aby umożliwić komunikację między siecią wirtualną a obszarem roboczym.

2. Dodaj następujące usługi do sieci wirtualnej przy użyciu punktu końcowegousługi lub prywatnego punktu końcowego. Zezwalaj również zaufanym usługi firmy Microsoft na dostęp do tych usług:

   Usługa	Informacje o punkcie końcowym	Zezwalaj na zaufane informacje
   Azure Key Vault	Prywatny punkt końcowy usługi	Zezwalaj zaufanym usługi firmy Microsoft na obejście tej zapory
   Konto magazynu platformy Azure	Prywatny punkt końcowy usługi i prywatny punkt końcowy	Udzielanie dostępu z wystąpień zasobów platformy Azure lub udzielanie dostępu do zaufanych usług platformy Azure
   Azure Container Registry	Prywatny punkt końcowy	Zezwalaj na zaufane usługi

Aby uzyskać szczegółowe instrukcje dotyczące wykonywania tych kroków, zobacz Zabezpieczanie komputera platformy Azure Edukacja obszaru roboczego.

Ograniczenia

Zabezpieczanie obszaru roboczego i skojarzonych zasobów w sieci wirtualnej ma następujące ograniczenia:

• Obszar roboczy i domyślne konto magazynu muszą znajdować się w tej samej sieci wirtualnej. Jednak podsieci w tej samej sieci wirtualnej są dozwolone. Na przykład obszar roboczy w jednej podsieci i magazynie w innej.

  Zalecamy, aby usługi Azure Key Vault i Azure Container Registry dla obszaru roboczego również znajdują się w tej samej sieci wirtualnej. Jednak oba te zasoby mogą również znajdować się w równorzędnej sieci wirtualnej.

Zabezpieczanie środowiska szkoleniowego

W tej sekcji dowiesz się, jak zabezpieczyć środowisko szkoleniowe w usłudze Azure Machine Edukacja. Dowiesz się również, jak usługa Azure Machine Edukacja wykonuje zadanie szkoleniowe, aby zrozumieć, jak konfiguracje sieci współpracują ze sobą.

Aby zabezpieczyć środowisko szkoleniowe, wykonaj następujące czynności:

1. Utwórz wystąpienie obliczeniowe i klaster komputerów usługi Azure Machine Edukacja w sieci wirtualnej, aby uruchomić zadanie trenowania.

2. Jeśli klaster obliczeniowy lub wystąpienie obliczeniowe używa publicznego adresu IP, musisz zezwolić na komunikację przychodzącą, aby usługi zarządzania mogły przesyłać zadania do zasobów obliczeniowych.

   Napiwek

   Klaster obliczeniowy i wystąpienie obliczeniowe można utworzyć z publicznym adresem IP lub bez tego adresu. Jeśli utworzono przy użyciu publicznego adresu IP, otrzymasz moduł równoważenia obciążenia z publicznym adresem IP umożliwiającym akceptowanie dostępu przychodzącego z usługi Azure Batch i usługi Azure Machine Edukacja. Jeśli używasz zapory, musisz skonfigurować routing zdefiniowany przez użytkownika (UDR). Jeśli utworzono bez publicznego adresu IP, uzyskasz usługę łącza prywatnego, aby zaakceptować dostęp przychodzący z usługi Azure Batch i usługi Azure Machine Edukacja bez publicznego adresu IP.

Aby uzyskać szczegółowe instrukcje dotyczące wykonywania tych kroków, zobacz Zabezpieczanie środowiska szkoleniowego.

Przykładowe przesyłanie zadania szkoleniowego

W tej sekcji dowiesz się, jak usługa Azure Machine Edukacja bezpiecznie komunikuje się między usługami w celu przesłania zadania szkoleniowego. W tym przykładzie pokazano, jak wszystkie konfiguracje współpracują ze sobą w celu zabezpieczenia komunikacji.

1. Klient przekazuje skrypty szkoleniowe i dane szkoleniowe do kont magazynu zabezpieczonych za pomocą usługi lub prywatnego punktu końcowego.

2. Klient przesyła zadanie szkoleniowe do obszaru roboczego usługi Azure Machine Edukacja za pośrednictwem prywatnego punktu końcowego.

3. Usługa Azure Batch odbiera zadanie z obszaru roboczego. Następnie przesyła zadanie szkoleniowe do środowiska obliczeniowego za pośrednictwem publicznego modułu równoważenia obciążenia dla zasobu obliczeniowego.

4. Zasób obliczeniowy odbiera zadanie i rozpoczyna trenowanie. Zasób obliczeniowy używa informacji przechowywanych w magazynie kluczy w celu uzyskania dostępu do kont magazynu w celu pobrania plików szkoleniowych i przekazania danych wyjściowych.

Ograniczenia

• Wystąpienie usługi Azure Compute i klastry usługi Azure Compute muszą znajdować się w tej samej sieci wirtualnej, subskrypcji i tym samym regionie co obszar roboczy i skojarzone z nim zasoby.

Zabezpieczanie środowiska wnioskowania

Można włączyć izolację sieci dla zarządzanych punktów końcowych online w celu zabezpieczenia następującego ruchu sieciowego:

• Przychodzące żądania oceniania.
• Komunikacja wychodząca z obszarem roboczym, usługą Azure Container Registry i usługą Azure Blob Storage.

Aby uzyskać więcej informacji, zobacz Włączanie izolacji sieciowej dla zarządzanych punktów końcowych online.

Opcjonalnie: Włączanie dostępu publicznego

Obszar roboczy za siecią wirtualną można zabezpieczyć przy użyciu prywatnego punktu końcowego i nadal zezwalać na dostęp za pośrednictwem publicznego Internetu. Początkowa konfiguracja jest taka sama jak zabezpieczanie obszaru roboczego i skojarzonych zasobów.

Po zabezpieczeniu obszaru roboczego przy użyciu prywatnego punktu końcowego wykonaj następujące kroki, aby umożliwić klientom zdalne programowanie przy użyciu zestawu SDK lub programu Azure Machine Edukacja Studio:

1. Włącz publiczny dostęp do obszaru roboczego.
2. Skonfiguruj zaporę usługi Azure Storage, aby zezwolić na komunikację z adresem IP klientów łączących się za pośrednictwem publicznego Internetu.

Opcjonalne: włączanie funkcji programu Studio

Jeśli magazyn znajduje się w sieci wirtualnej, należy wykonać dodatkowe kroki konfiguracji, aby włączyć pełną funkcjonalność w programie Studio. Domyślnie następujące funkcje są wyłączone:

• Podgląd danych w programie Studio.
• Wizualizacja danych w projektancie.
• Wdrażanie modelu w projektancie.
• Przesyłanie eksperymentu AutoML.
• Rozpoczynanie projektu etykietowania.

Aby włączyć pełną funkcjonalność programu Studio, zobacz Korzystanie z usługi Azure Machine Edukacja Studio w sieci wirtualnej.

Ograniczenia

Etykietowanie danych wspomaganych przez uczenie maszynowe nie obsługuje domyślnego konta magazynu za siecią wirtualną. Zamiast tego użyj konta magazynu innego niż domyślne w przypadku etykietowania danych wspomaganych przez uczenie maszynowe.

Napiwek

Jeśli nie jest to domyślne konto magazynu, konto używane przez etykietowanie danych może być zabezpieczone za siecią wirtualną.

Konfigurowanie ustawień zapory

Skonfiguruj zaporę do kontrolowania ruchu między zasobami obszaru roboczego usługi Azure Machine Edukacja a publicznym Internetem. Zalecamy usługę Azure Firewall, ale możesz użyć innych produktów zapory.

Aby uzyskać więcej informacji na temat ustawień zapory, zobacz Używanie obszaru roboczego za zaporą.

Niestandardowe DNS

Jeśli musisz użyć niestandardowego rozwiązania DNS dla sieci wirtualnej, musisz dodać rekordy hostów dla obszaru roboczego.

Aby uzyskać więcej informacji na temat wymaganych nazw domen i adresów IP, zobacz , jak używać obszaru roboczego z niestandardowym serwerem DNS.

Microsoft Sentinel

Microsoft Sentinel to rozwiązanie zabezpieczeń, które można zintegrować z usługą Azure Machine Edukacja. Na przykład przy użyciu notesów Jupyter udostępnianych za pośrednictwem usługi Azure Machine Edukacja. Aby uzyskać więcej informacji, zobacz Używanie notesów Jupyter do polowania na zagrożenia bezpieczeństwa.

Dostęp publiczny

Usługa Microsoft Sentinel może automatycznie utworzyć obszar roboczy, jeśli jesteś w porządku z publicznym punktem końcowym. W tej konfiguracji analitycy centrum operacji zabezpieczeń (SOC) i administratorzy systemu łączą się z notesami w obszarze roboczym za pośrednictwem usługi Sentinel.

Aby uzyskać informacje na temat tego procesu, zobacz Tworzenie obszaru roboczego usługi Azure Machine Edukacja z usługi Microsoft Sentinel

Prywatny punkt końcowy

Jeśli chcesz zabezpieczyć obszar roboczy i skojarzone zasoby w sieci wirtualnej, musisz najpierw utworzyć obszar roboczy usługi Azure Machine Edukacja. Musisz również utworzyć maszynę wirtualną "jump box" w tej samej sieci wirtualnej co obszar roboczy i włączyć łączność z usługą Azure Bastion. Podobnie jak w przypadku konfiguracji publicznej, analitycy SOC i administratorzy mogą łączyć się przy użyciu usługi Microsoft Sentinel, ale niektóre operacje muszą być wykonywane przy użyciu usługi Azure Bastion w celu nawiązania połączenia z maszyną wirtualną.

Aby uzyskać więcej informacji na temat tej konfiguracji, zobacz Tworzenie obszaru roboczego usługi Azure Machine Edukacja z usługi Microsoft Sentinel

Następne kroki

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Edukacja. Zobacz inne artykuły z tej serii:

• Zabezpieczanie zasobów obszaru roboczego
• Zabezpieczanie rejestrów uczenia maszynowego
• Zabezpieczanie środowiska szkoleniowego
• Zabezpieczanie środowiska wnioskowania
• Włączanie funkcji programu Studio
• Używanie niestandardowego systemu DNS
• Korzystanie z zapory
• Izolacja sieci platformy interfejsu API