Isolamento de rede em pontos de extremidade em lote

Você pode proteger a comunicação de pontos de extremidade em lote usando redes privadas. Este artigo explica os requisitos para usar o ponto de extremidade em lote em um ambiente protegido por redes privadas.

Protegendo pontos de extremidade em lote

Os pontos de extremidade em lote herdam a configuração de rede do espaço de trabalho onde são implantados. Todos os pontos de extremidade em lote criados dentro do espaço de trabalho habilitado para link privado são implantados como pontos de extremidade de lote privado por padrão. Quando o espaço de trabalho está configurado corretamente, nenhuma configuração adicional é necessária.

Para verificar se seu espaço de trabalho está configurado corretamente para pontos de extremidade em lote para trabalhar com rede privada, verifique o seguinte:

1. Você configurou seu espaço de trabalho do Azure Machine Learning para rede privada. Para obter mais detalhes sobre como alcançá-lo, leia Criar um espaço de trabalho seguro.

2. Para o Registro de Contêiner do Azure em redes privadas, há alguns pré-requisitos sobre sua configuração.

   Aviso

   Os Registos de Contentores do Azure com a funcionalidade de Quarentena ativada não são suportados de momento.

3. Verifique se os pontos de extremidade privados de blob, arquivo, fila e tabela estão configurados para as contas de armazenamento, conforme explicado em Contas de armazenamento do Azure seguro. As implantações em lote exigem que todos os 4 funcionem corretamente.

O diagrama a seguir mostra como a rede se parece para pontos de extremidade em lote quando implantada em um espaço de trabalho privado:

Atenção

Os pontos de extremidade em lote, ao contrário dos pontos de extremidade online, não suportam as chaves public_network_access ou egress_public_network_access ao configurar o ponto de extremidade. Não é possível implantar pontos de extremidade em lote público em espaços de trabalho habilitados para link privado.

Protegendo trabalhos de implantação em lote

As implantações em lote do Azure Machine Learning são executadas em clusters de computação. Para proteger os trabalhos de implantação em lote, esses clusters de computação também precisam ser implantados em uma rede virtual.

1. Crie um cluster de computadores do Azure Machine Learning na rede virtual.

2. Verifique se todos os serviços relacionados têm pontos de extremidade privados configurados na rede. Os pontos de extremidade privados são usados não apenas para o espaço de trabalho do Azure Machine Learning, mas também para seus recursos associados, como o Armazenamento do Azure, o Cofre da Chave do Azure ou o Registro de Contêiner do Azure. O Registro de Contêiner do Azure é um serviço necessário. Ao proteger o espaço de trabalho do Azure Machine Learning com redes virtuais, observe que há alguns pré-requisitos sobre o Registro de Contêiner do Azure.

3. Se sua instância de computação usa um endereço IP público, você deve Permitir comunicação de entrada para que os serviços de gerenciamento possam enviar trabalhos para seus recursos de computação.

   Gorjeta

   O cluster de computação e a instância de computação podem ser criados com ou sem um endereço IP público. Se criado com um endereço IP público, você obtém um balanceador de carga com um IP público para aceitar o acesso de entrada do serviço em lote do Azure e do serviço Azure Machine Learning. Você precisará configurar o UDR (Roteamento Definido pelo Usuário) se usar um firewall. Se criado sem um IP público, você obtém um serviço de link privado para aceitar o acesso de entrada do serviço em lote do Azure e do serviço Azure Machine Learning sem um IP público.

4. NSG extra pode ser necessário, dependendo do seu caso. Para obter mais informações, consulte Como proteger seu ambiente de treinamento.

Para obter mais informações, consulte o artigo Proteger um ambiente de treinamento do Azure Machine Learning com redes virtuais.

Limitações

Considere as seguintes limitações ao trabalhar em pontos de extremidade em lote implantados em relação à rede:

• Se você alterar a configuração de rede do espaço de trabalho de público para privado ou de privado para público, isso não afetará a configuração de rede de pontos de extremidade em lote existentes. Os pontos de extremidade em lote dependem da configuração do espaço de trabalho no momento da criação. Você pode recriar seus pontos de extremidade se quiser que eles reflitam as alterações feitas no espaço de trabalho.

• Ao trabalhar em um espaço de trabalho habilitado para link privado, os pontos de extremidade em lote podem ser criados e gerenciados usando o estúdio do Azure Machine Learning. No entanto, eles não podem ser invocados a partir da interface do usuário no estúdio. Em vez disso, use a CLI v2 do Azure Machine Learning para a criação de trabalhos. Para obter mais detalhes sobre como usá-lo, consulte Executar ponto de extremidade em lote para iniciar um trabalho de pontuação em lote.

Leitura recomendada

• Proteger os recursos da área de trabalho do Azure Machine Learning com redes virtuais (VNets)