Share via

Zabezpieczanie obszaru roboczego usługi Azure Machine Edukacja za pomocą sieci wirtualnych (wersja 1)

  • Artykuł

DOTYCZY: Rozszerzenie interfejsu wiersza polecenia platformy Azure ml w wersji 1zestawu SDK języka Python azureml v1

Z tego artykułu dowiesz się, jak zabezpieczyć obszar roboczy usługi Azure Machine Edukacja i skojarzone z nim zasoby w usłudze Azure Virtual Network.

Napiwek

Firma Microsoft zaleca korzystanie z usługi Azure Machine Edukacja zarządzanych sieci wirtualnych zamiast kroków opisanych w tym artykule. W przypadku zarządzanej sieci wirtualnej usługa Azure Machine Edukacja obsługuje zadanie izolacji sieci dla obszaru roboczego i zarządzanych zasobów obliczeniowych. Możesz również dodać prywatne punkty końcowe dla zasobów wymaganych przez obszar roboczy, na przykład konto usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Obszar roboczy zarządzana izolacja sieci.

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Edukacja. Zobacz inne artykuły z tej serii:

Aby zapoznać się z samouczkiem dotyczącym tworzenia bezpiecznego obszaru roboczego, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego lub Samouczek: tworzenie bezpiecznego obszaru roboczego przy użyciu szablonu.

Z tego artykułu dowiesz się, jak włączyć następujące zasoby obszarów roboczych w sieci wirtualnej:

  • Obszar roboczy usługi Azure Machine Learning
  • Konta usługi Azure Storage
  • Magazyny danych i zestawy danych usługi Azure Machine Edukacja
  • Azure Key Vault
  • Azure Container Registry

Wymagania wstępne

  • Przeczytaj artykuł Omówienie zabezpieczeń sieci, aby poznać typowe scenariusze sieci wirtualnej i ogólną architekturę sieci wirtualnej.

  • Przeczytaj artykuł Azure Machine Edukacja best practices for enterprise security (Najlepsze rozwiązania dotyczące zabezpieczeń przedsiębiorstwa), aby dowiedzieć się więcej o najlepszych rozwiązaniach.

  • Istniejąca sieć wirtualna i podsieć do użycia z zasobami obliczeniowymi.

    Ostrzeżenie

    Nie używaj zakresu adresów IP 172.17.0.0/16 dla sieci wirtualnej. Jest to domyślny zakres podsieci używany przez sieć mostka platformy Docker i spowoduje błędy w przypadku użycia dla sieci wirtualnej. Inne zakresy mogą również powodować konflikt w zależności od tego, co chcesz połączyć z siecią wirtualną. Jeśli na przykład planujesz połączenie sieci lokalnej z siecią wirtualną i sieć lokalna również używa zakresu 172.16.0.0/16. Ostatecznie należy zaplanować infrastrukturę sieci.

  • Aby wdrożyć zasoby w sieci wirtualnej lub podsieci, konto użytkownika musi mieć uprawnienia do następujących akcji w kontroli dostępu opartej na rolach platformy Azure (Azure RBAC):

    • "Microsoft.Network/*/read" w zasobie sieci wirtualnej. To uprawnienie nie jest wymagane w przypadku wdrożeń szablonów usługi Azure Resource Manager (ARM).
    • "Microsoft.Network/virtualNetworks/join/action" w zasobie sieci wirtualnej.
    • "Microsoft.Network/virtualNetworks/subnets/join/action" w zasobie podsieci.

    Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach platformy Azure z siecią, zobacz Wbudowane role sieciowe

Azure Container Registry

  • Usługa Azure Container Registry musi mieć wersję Premium. Aby uzyskać więcej informacji na temat uaktualniania, zobacz Zmienianie jednostek SKU.

  • Jeśli usługa Azure Container Registry używa prywatnego punktu końcowego, musi znajdować się w tej samej sieci wirtualnej co konto magazynu i docelowe obiekty obliczeniowe używane do trenowania lub wnioskowania. Jeśli używa punktu końcowego usługi, musi znajdować się w tej samej sieci wirtualnej i podsieci co konto magazynu i cele obliczeniowe.

  • Obszar roboczy usługi Azure Machine Edukacja musi zawierać klaster obliczeniowy usługi Azure Machine Edukacja.

Ograniczenia

Konto magazynu platformy Azure

  • Jeśli planujesz używać usługi Azure Machine Learning Studio, a konto magazynu znajduje się również w sieci wirtualnej, istnieją dodatkowe wymagania dotyczące walidacji:

    • Jeśli konto magazynu używa punktu końcowego usługi, prywatny punkt końcowy obszaru roboczego i punkt końcowy usługi magazynu muszą znajdować się w tej samej podsieci sieci wirtualnej.
    • Jeśli konto magazynu używa prywatnego punktu końcowego, prywatny punkt końcowy obszaru roboczego i punkt końcowy usługi magazynu muszą znajdować się w tej samej sieci wirtualnej. W takim przypadku mogą znajdować się w różnych podsieciach.

Azure Container Instances

Gdy obszar roboczy usługi Azure Machine Learning jest skonfigurowany przy użyciu prywatnego punktu końcowego, wdrażanie w usłudze Azure Container Instances w sieci wirtualnej jest nieobsługiwane. Zamiast tego rozważ użycie zarządzanego punktu końcowego online z izolacją sieci.

Azure Container Registry

Gdy usługa ACR znajduje się za siecią wirtualną, usługa Azure Machine Edukacja nie może jej używać do bezpośredniego kompilowania obrazów platformy Docker. Zamiast tego klaster obliczeniowy służy do kompilowania obrazów.

Ważne

Klaster obliczeniowy używany do tworzenia obrazów platformy Docker musi mieć dostęp do repozytoriów pakietów używanych do trenowania i wdrażania modeli. Może być konieczne dodanie reguł zabezpieczeń sieci umożliwiających dostęp do publicznych repozytoriów, używanie prywatnych pakietów języka Python lub używanie niestandardowych obrazów platformy Docker, które już zawierają pakiety.

Ostrzeżenie

Jeśli usługa Azure Container Registry używa prywatnego punktu końcowego lub punktu końcowego usługi do komunikowania się z siecią wirtualną, nie można użyć tożsamości zarządzanej z klastrem obliczeniowym usługi Azure Machine Edukacja.

Azure Monitor

Ostrzeżenie

Usługa Azure Monitor obsługuje nawiązywanie połączenia z siecią wirtualną przy użyciu usługi Azure Private Link. Należy jednak użyć trybu otwierania usługi Private Link w usłudze Azure Monitor. Aby uzyskać więcej informacji, zobacz Tryby dostępu usługi Private Link: Tylko prywatne a Otwórz.

Wymagany publiczny dostęp do Internetu

Usługa Azure Machine Learning wymaga dostępu do publicznego Internetu zarówno dla ruchu przychodzącego, jak i wychodzącego. Poniższe tabele zawierają omówienie wymaganego dostępu i celu, jaki służy. W przypadku tagów usługi kończących się na elemencie .regionzastąp region element regionem świadczenia usługi zawierającym obszar roboczy. Na przykład : Storage.westus

Napiwek

Wymagana karta zawiera wymaganą konfigurację ruchu przychodzącego i wychodzącego. Karta sytuacyjna zawiera opcjonalne konfiguracje ruchu przychodzącego i wychodzącego wymagane przez określone konfiguracje, które można włączyć.

Kierunek Protokół i
ports		 Tag usługi Purpose
Wychodzący TCP: 80, 443 AzureActiveDirectory Uwierzytelnianie za pomocą usługi Microsoft Entra ID.
Wychodzący TCP: 443, 18881
UDP: 5831		 AzureMachineLearning Korzystanie z usług Azure Machine Learning.
Funkcja IntelliSense języka Python w notesach używa portu 18881.
Tworzenie, aktualizowanie i usuwanie wystąpienia obliczeniowego usługi Azure Machine Edukacja używa portu 5831.
Wychodzący DOWOLNY: 443 BatchNodeManagement.region Komunikacja z zapleczem usługi Azure Batch dla usługi Azure Machine Edukacja wystąpieniami obliczeniowymi/klastrami.
Wychodzący TCP: 443 AzureResourceManager Tworzenie zasobów platformy Azure przy użyciu usługi Azure Machine Edukacja, interfejsu wiersza polecenia platformy Azure i zestawu AZURE Machine Edukacja SDK.
Wychodzący TCP: 443 Storage.region Uzyskiwanie dostępu do danych przechowywanych na koncie usługi Microsoft Azure Storage dla klastra obliczeniowego i wystąpienia obliczeniowego. Aby uzyskać informacje na temat zapobiegania eksfiltracji danych za pośrednictwem tego ruchu wychodzącego, zobacz Ochrona eksfiltracji danych.
Wychodzący TCP: 443 AzureFrontDoor.FrontEnd
* Nie jest wymagane na platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.		 Globalny punkt wejścia dla usługiAzure Machine Learning studio. Przechowywanie obrazów i środowisk dla rozwiązania AutoML. Aby uzyskać informacje na temat zapobiegania eksfiltracji danych za pośrednictwem tego ruchu wychodzącego, zobacz Ochrona eksfiltracji danych.
Wychodzący TCP: 443 MicrosoftContainerRegistry.region
Pamiętaj, że ten tag ma zależność od tagu AzureFrontDoor.FirstParty		 Uzyskiwanie dostępu do obrazów platformy Docker dostarczonych przez firmę Microsoft. Konfiguracja routera usługi Azure Machine Edukacja dla usługi Azure Kubernetes Service.

Napiwek

Jeśli potrzebujesz adresów IP zamiast tagów usługi, użyj jednej z następujących opcji:

Adresy IP mogą się okresowo zmieniać.

Może być również konieczne zezwolenie na ruch wychodzący do programu Visual Studio Code i witryn innych niż Microsoft na potrzeby instalacji pakietów wymaganych przez projekt uczenia maszynowego. W poniższej tabeli wymieniono często używane repozytoria na potrzeby uczenia maszynowego:

Nazwa hosta Purpose
anaconda.com
*.anaconda.com		 Służy do instalowania pakietów domyślnych.
*.anaconda.org Służy do pobierania danych repozytorium.
pypi.org Służy do wyświetlania listy zależności z domyślnego indeksu, jeśli istnieje, a indeks nie jest zastępowany przez ustawienia użytkownika. Jeśli indeks jest zastępowany, należy również zezwolić na *.pythonhosted.orgwartość .
cloud.r-project.org Używany podczas instalowania pakietów CRAN na potrzeby programowania w języku R.
*.pytorch.org Używane przez niektóre przykłady na podstawie PyTorch.
*.tensorflow.org Używane przez niektóre przykłady na podstawie biblioteki Tensorflow.
code.visualstudio.com Wymagane do pobrania i zainstalowania programu Visual Studio Code desktop. Nie jest to wymagane dla sieci Web programu Visual Studio Code.
update.code.visualstudio.com
*.vo.msecnd.net		 Służy do pobierania bitów serwera programu Visual Studio Code zainstalowanych w wystąpieniu obliczeniowym za pomocą skryptu instalacji.
marketplace.visualstudio.com
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io		 Wymagane do pobrania i zainstalowania rozszerzeń programu Visual Studio Code. Te hosty umożliwiają zdalne połączenie z wystąpieniami obliczeniowymi udostępnianymi przez rozszerzenie usługi Azure ML dla programu Visual Studio Code. Aby uzyskać więcej informacji, zobacz Połączenie z wystąpieniem obliczeniowym usługi Azure Machine Learning w programie Visual Studio Code.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* Służy do pobierania bitów serwera websocket, które są instalowane w wystąpieniu obliczeniowym. Serwer websocket służy do przesyłania żądań od klienta programu Visual Studio Code (aplikacji klasycznej) do serwera programu Visual Studio Code uruchomionego w wystąpieniu obliczeniowym.

Uwaga

W przypadku korzystania z rozszerzenia usługi Azure Machine Edukacja VS Code zdalne wystąpienie obliczeniowe będzie wymagać dostępu do repozytoriów publicznych w celu zainstalowania pakietów wymaganych przez rozszerzenie. Jeśli wystąpienie obliczeniowe wymaga serwera proxy dostępu do tych publicznych repozytoriów lub Internetu, należy ustawić i wyeksportować HTTP_PROXY zmienne środowiskowe i HTTPS_PROXY w ~/.bashrc pliku wystąpienia obliczeniowego. Ten proces można zautomatyzować w czasie aprowizacji przy użyciu skryptu niestandardowego.

W przypadku korzystania z usługi Azure Kubernetes Service (AKS) z usługą Azure Machine Edukacja zezwól na następujący ruch do sieci wirtualnej usługi AKS:

Aby uzyskać informacje na temat korzystania z rozwiązania zapory, zobacz Use a firewall with Azure Machine Edukacja (Używanie zapory z usługą Azure Machine Edukacja).

Zabezpieczanie obszaru roboczego przy użyciu prywatnego punktu końcowego

Usługa Azure Private Link umożliwia nawiązanie połączenia z obszarem roboczym przy użyciu prywatnego punktu końcowego. Prywatny punkt końcowy jest zestawem prywatnych adresów IP w sieci wirtualnej. Następnie możesz ograniczyć dostęp do obszaru roboczego tylko w przypadku prywatnych adresów IP. Prywatny punkt końcowy pomaga zmniejszyć ryzyko eksfiltracji danych.

Aby uzyskać więcej informacji na temat konfigurowania prywatnego punktu końcowego dla obszaru roboczego, zobacz Jak skonfigurować prywatny punkt końcowy.

Ostrzeżenie

Zabezpieczanie obszaru roboczego przy użyciu prywatnych punktów końcowych nie zapewnia samodzielnie kompleksowego zabezpieczeń. Aby zabezpieczyć poszczególne składniki rozwiązania, należy wykonać kroki opisane w dalszej części tego artykułu i serii sieci wirtualnej. Jeśli na przykład używasz prywatnego punktu końcowego dla obszaru roboczego, ale twoje konto usługi Azure Storage nie znajduje się za siecią wirtualną, ruch między obszarem roboczym a magazynem nie używa sieci wirtualnej do zabezpieczeń.

Zabezpieczanie kont usługi Azure Storage

Usługa Azure Machine Learning obsługuje konta magazynu skonfigurowane do używania prywatnego punktu końcowego lub punktu końcowego usługi.

  1. W witrynie Azure Portal wybierz konto usługi Azure Storage.

  2. Skorzystaj z informacji w temacie Używanie prywatnych punktów końcowych dla usługi Azure Storage , aby dodać prywatne punkty końcowe dla następujących zasobów magazynu:

    • Obiekt blob
    • Plik
    • Kolejka — wymagane tylko wtedy, gdy planujesz użyć elementu ParallelRunStep w potoku usługi Azure Machine Edukacja.
    • Tabela — wymagane tylko wtedy, gdy planujesz użyć elementu ParallelRunStep w potoku usługi Azure Machine Edukacja.

    Screenshot showing private endpoint configuration page with blob and file options

    Napiwek

    Podczas konfigurowania konta magazynu, które nie jest domyślnym magazynem, wybierz typ docelowy podźródła odpowiadający kontu magazynu, które chcesz dodać.

  3. Po utworzeniu prywatnych punktów końcowych dla zasobów magazynu wybierz kartę Zapory i sieci wirtualne w obszarze Sieć dla konta magazynu.

  4. Wybierz pozycję Wybrane sieci, a następnie w obszarze Wystąpienia zasobów wybierz typ Microsoft.MachineLearningServices/Workspacezasobu. Wybierz obszar roboczy przy użyciu nazwy wystąpienia. Aby uzyskać więcej informacji, zobacz Zaufany dostęp oparty na tożsamości zarządzanej przypisanej przez system.

    Napiwek

    Alternatywnie możesz wybrać opcję Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu, aby szerzej zezwolić na dostęp z zaufanych usług. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.

    The networking area on the Azure Storage page in the Azure portal when using private endpoint

  5. Wybierz Zapisz, aby zapisać konfigurację.

Napiwek

W przypadku korzystania z prywatnego punktu końcowego można również wyłączyć dostęp anonimowy. Aby uzyskać więcej informacji, zobacz nie zezwalaj na dostęp anonimowy.

Zabezpieczanie usługi Azure Key Vault

Usługa Azure Machine Edukacja używa skojarzonego wystąpienia usługi Key Vault do przechowywania następujących poświadczeń:

  • Skojarzone konto magazynu parametry połączenia
  • Hasła do wystąpień repozytorium kontenerów platformy Azure
  • ciągi Połączenie ion do magazynów danych

Magazyn kluczy platformy Azure można skonfigurować do używania prywatnego punktu końcowego lub punktu końcowego usługi. Aby użyć funkcji eksperymentowania usługi Azure Machine Edukacja z usługą Azure Key Vault za siecią wirtualną, wykonaj następujące kroki:

Napiwek

Niezależnie od tego, czy używasz prywatnego punktu końcowego, czy punktu końcowego usługi, magazyn kluczy musi znajdować się w tej samej sieci co prywatny punkt końcowy obszaru roboczego.

Aby uzyskać informacje na temat korzystania z prywatnego punktu końcowego z usługą Azure Key Vault, zobacz Integrowanie usługi Key Vault z usługą Azure Private Link.

Włączanie usługi Azure Container Registry (ACR)

Napiwek

Jeśli nie użyto istniejącej usługi Azure Container Registry podczas tworzenia obszaru roboczego, być może nie istnieje. Domyślnie obszar roboczy nie utworzy wystąpienia usługi ACR, dopóki go nie będzie potrzebny. Aby wymusić utworzenie jednego z nich, wytrenuj lub wdróż model przy użyciu obszaru roboczego przed wykonaniem kroków opisanych w tej sekcji.

Usługę Azure Container Registry można skonfigurować do korzystania z prywatnego punktu końcowego. Wykonaj następujące kroki, aby skonfigurować obszar roboczy do używania usługi ACR, gdy znajduje się on w sieci wirtualnej:

  1. Znajdź nazwę usługi Azure Container Registry dla obszaru roboczego przy użyciu jednej z następujących metod:

    DOTYCZY ROZSZERZENIA ML interfejsu wiersza polecenia platformy Azure w wersji 1

    Jeśli zainstalowano rozszerzenie Machine Edukacja w wersji 1 dla interfejsu wiersza polecenia platformy Azure, możesz użyć az ml workspace show polecenia , aby wyświetlić informacje o obszarze roboczym.

    az ml workspace show -w yourworkspacename -g resourcegroupname --query 'containerRegistry'

    To polecenie zwraca wartość podobną do "/subscriptions/{GUID}/resourceGroups/{resourcegroupname}/providers/Microsoft.ContainerRegistry/registries/{ACRname}". Ostatnią częścią ciągu jest nazwa usługi Azure Container Registry dla obszaru roboczego.

  2. Ogranicz dostęp do sieci wirtualnej, wykonując kroki opisane w Połączenie prywatnie do usługi Azure Container Registry. Podczas dodawania sieci wirtualnej wybierz sieć wirtualną i podsieć dla zasobów usługi Azure Machine Edukacja.

  3. Skonfiguruj usługę ACR dla obszaru roboczego, aby zezwolić na dostęp przez zaufane usługi.

  4. Utwórz klaster obliczeniowy usługi Azure Machine Edukacja. Ten klaster służy do kompilowania obrazów platformy Docker, gdy usługa ACR znajduje się za siecią wirtualną. Aby uzyskać więcej informacji, zobacz Tworzenie klastra obliczeniowego.

  5. Użyj jednej z poniższych metod, aby skonfigurować obszar roboczy do kompilowania obrazów platformy Docker przy użyciu klastra obliczeniowego.

    Ważne

    W przypadku korzystania z klastra obliczeniowego na potrzeby kompilacji obrazu obowiązują następujące ograniczenia:

    • Obsługiwana jest tylko jednostka SKU procesora CPU.
    • Jeśli używasz klastra obliczeniowego skonfigurowanego pod kątem braku publicznego adresu IP, musisz zapewnić klasterowi sposób uzyskiwania dostępu do publicznego Internetu. Dostęp do Internetu jest wymagany podczas uzyskiwania dostępu do obrazów przechowywanych w usłudze Microsoft Container Registry, pakietów zainstalowanych na platformie Pypi, Conda itp. Należy skonfigurować routing zdefiniowany przez użytkownika (UDR), aby uzyskać dostęp do publicznego adresu IP w celu uzyskania dostępu do Internetu. Możesz na przykład użyć publicznego adresu IP zapory lub użyć translatora adresów sieci wirtualnych z publicznym adresem IP. Aby uzyskać więcej informacji, zobacz Jak bezpiecznie trenować w sieci wirtualnej.

    Możesz użyć az ml workspace update polecenia , aby ustawić obliczenia kompilacji. Polecenie jest takie samo w przypadku rozszerzeń interfejsu wiersza polecenia platformy Azure w wersji 1 i 2 na potrzeby uczenia maszynowego. W poniższym poleceniu zastąp myworkspace ciąg nazwą obszaru roboczego grupą zasobów zawierającą myresourcegroup obszar roboczy i mycomputecluster nazwą klastra obliczeniowego:

    az ml workspace update --name myworkspace --resource-group myresourcegroup --image-build-compute mycomputecluster

Napiwek

Gdy usługa ACR znajduje się za siecią wirtualną, możesz również wyłączyć dostęp publiczny do niej.

Magazyny danych i zestawy danych

W poniższej tabeli wymieniono usługi, dla których należy pominąć walidację:

Usługa Pomiń wymaganą walidację?
Azure Blob Storage Tak
Udział plików platformy Azure Tak
Azure Data Lake Store Gen1 Nie.
Azure Data Lake Store Gen2 Nie.
Azure SQL Database Tak
PostgreSQL Tak

Uwaga

Domyślnie usługi Azure Data Lake Store Gen1 i Azure Data Lake Store Gen2 pomijają walidację, więc nie musisz nic robić.

Poniższy przykładowy kod tworzy nowy magazyn danych obiektów blob platformy Azure i ustawia element skip_validation=True.

blob_datastore = Datastore.register_azure_blob_container(workspace=ws,  

                                                         datastore_name=blob_datastore_name,  

                                                         container_name=container_name,  

                                                         account_name=account_name, 

                                                         account_key=account_key, 

                                                         skip_validation=True ) // Set skip_validation to true

Korzystanie z zestawów danych

Składnia pomijania walidacji zestawu danych jest podobna dla następujących typów zestawów danych:

  • Rozdzielany plik
  • JSON
  • Parquet
  • SQL
  • Plik

Poniższy kod tworzy nowy zestaw danych JSON i ustawia wartość validate=False.

json_ds = Dataset.Tabular.from_json_lines_files(path=datastore_paths, 

validate=False)

Zabezpieczanie usługi Azure Monitor i Szczegółowe informacje aplikacji

Aby włączyć izolację sieci dla usługi Azure Monitor i wystąpienia aplikacji Szczegółowe informacje dla obszaru roboczego, wykonaj następujące kroki:

  1. Otwórz zasób Szczegółowe informacje aplikacji w witrynie Azure Portal. Karta Przegląd może lub nie ma właściwości Obszar roboczy. Jeśli nie ma właściwości, wykonaj krok 2. Jeśli tak, możesz przejść bezpośrednio do kroku 3.

    Napiwek

    Nowe obszary robocze domyślnie tworzą zasób Szczegółowe informacje aplikacji opartej na obszarze roboczym. Jeśli obszar roboczy został niedawno utworzony, nie trzeba wykonać kroku 2.

  2. Uaktualnij wystąpienie Szczegółowe informacje aplikacji dla obszaru roboczego. Aby uzyskać instrukcje dotyczące uaktualniania, zobacz Migrowanie do zasobów Szczegółowe informacje aplikacji opartych na obszarze roboczym.

  3. Utwórz zakres usługi Azure Monitor Private Link i dodaj wystąpienie aplikacji Szczegółowe informacje z kroku 1 do zakresu. Aby uzyskać instrukcje dotyczące tego sposobu, zobacz Konfigurowanie łącza prywatnego usługi Azure Monitor.

Bezpieczne nawiązywanie połączenia z obszarem roboczym

Aby nawiązać połączenie z obszarem roboczym zabezpieczonym za siecią wirtualną, użyj jednej z następujących metod:

  • Brama sieci VPN platformy Azure — Połączenie sieci lokalnych do sieci wirtualnej za pośrednictwem połączenia prywatnego. Połączenie ion odbywa się za pośrednictwem publicznego Internetu. Istnieją dwa typy bram sieci VPN, których można użyć:

    • Punkt-lokacja: każdy komputer kliencki używa klienta sieci VPN do nawiązywania połączenia z siecią wirtualną.
    • Lokacja-lokacja: urządzenie sieci VPN łączy sieć wirtualną z siecią lokalną.

  • ExpressRoute — Połączenie sieci lokalne do chmury za pośrednictwem połączenia prywatnego. Połączenie ion jest używany przez dostawcę łączności.

  • Azure Bastion — w tym scenariuszu tworzysz maszynę wirtualną platformy Azure (czasami nazywaną serwerem przesiadkowym) w sieci wirtualnej. Następnie połączysz się z maszyną wirtualną przy użyciu usługi Azure Bastion. Usługa Bastion umożliwia nawiązywanie połączenia z maszyną wirtualną przy użyciu sesji protokołu RDP lub SSH z lokalnej przeglądarki internetowej. Następnie użyjesz pola przesiadkowego jako środowiska programistycznego. Ponieważ znajduje się ona wewnątrz sieci wirtualnej, może ona uzyskiwać bezpośredni dostęp do obszaru roboczego. Aby zapoznać się z przykładem użycia serwera przesiadkowego, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego.

Ważne

W przypadku korzystania z bramy sieci VPN lub usługi ExpressRoute należy zaplanować sposób działania rozpoznawania nazw między zasobami lokalnymi a tymi w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Używanie niestandardowego serwera DNS.

Jeśli masz problemy z nawiązywaniem połączenia z obszarem roboczym, zobacz Rozwiązywanie problemów z bezpieczną łącznością z obszarem roboczym.

Diagnostyka obszaru roboczego

Diagnostykę obszaru roboczego można uruchomić z poziomu usługi Azure Machine Edukacja Studio lub zestawu PYTHON SDK. Po uruchomieniu diagnostyki zostanie zwrócona lista wykrytych problemów. Ta lista zawiera linki do możliwych rozwiązań. Aby uzyskać więcej informacji, zobacz Jak używać diagnostyki obszaru roboczego.

Następne kroki

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Edukacja. Zobacz inne artykuły z tej serii: