Изоляция управляемой рабочей области виртуальная сеть

ОБЛАСТЬ ПРИМЕНЕНИЯ:Расширение машинного обучения Azure CLI версии 2 (current)Python SDK azure-ai-ml версии 2 (current)

Машинное обучение Azure обеспечивает поддержку изоляции управляемой виртуальной сети (управляемой виртуальной сети). Изоляция управляемой виртуальной сети упрощает и автоматизирует конфигурацию сетевой изоляции с помощью встроенной Машинное обучение Azure управляемой виртуальной сети на уровне рабочей области. Управляемая виртуальная сеть защищает управляемые Машинное обучение Azure ресурсы, такие как вычислительные экземпляры, вычислительные кластеры, бессерверные вычислительные ресурсы и управляемые сетевые конечные точки.

Защита рабочей области с помощью управляемой сети обеспечивает сетевую изоляцию для исходящего доступа из рабочей области и управляемых вычислений. Azure виртуальная сеть, которую вы создаете и управляете, используется для предоставления входящего доступа к рабочей области сетевой изоляции. Например, частная конечная точка рабочей области создается в виртуальная сеть Azure. Все клиенты, подключающиеся к виртуальной сети, могут получить доступ к рабочей области через частную конечную точку. При выполнении заданий в управляемых вычислениях управляемая сеть ограничивает доступ к ресурсам вычислений.

Архитектура управляемых виртуальная сеть

При включении изоляции управляемой виртуальной сети для рабочей области создается управляемая виртуальная сеть. Управляемые вычислительные ресурсы, создаваемые для рабочей области, автоматически используют эту управляемую виртуальную сеть. Управляемая виртуальная сеть может использовать частные конечные точки для ресурсов Azure, используемых рабочей областью, например служба хранилища Azure, Azure Key Vault и Реестр контейнеров Azure.

Существует два разных режима конфигурации для исходящего трафика из управляемой виртуальной сети:

Совет

Независимо от используемого исходящего режима трафик к ресурсам Azure можно настроить для использования частной конечной точки. Например, можно разрешить весь исходящий трафик в Интернет, но ограничить обмен данными с ресурсами Azure, добавив правила исходящего трафика для ресурсов.

Исходящий режим	Description	Сценарии
Разрешить исходящий интернет	Разрешить весь исходящий трафик через Интернет из управляемой виртуальной сети.	Требуется неограниченный доступ к ресурсам машинного обучения в Интернете, например пакетам Python или предварительно обученным моделям.1
Разрешить только утвержденный исходящий трафик	Исходящий трафик разрешен путем указания тегов службы.	* Вы хотите свести к минимуму риск кражи данных, но необходимо подготовить все необходимые артефакты машинного обучения в частной среде. * Необходимо настроить исходящий доступ к утвержденному списку служб, тегов служб или полных доменных имен.
Выключено	Входящий и исходящий трафик не ограничены или вы используете собственные виртуальная сеть Azure для защиты ресурсов.	Вы хотите, чтобы общедоступный входящий и исходящий трафик из рабочей области обрабатывал сетевую изоляцию с помощью собственной виртуальной сети Azure.

1. Вы можете использовать правила исходящего трафика, разрешая только утвержденный исходящий режим, чтобы добиться того же результата, что и разрешить исходящий интернет. Различия описаны ниже.

• Необходимо добавить правила для каждого исходящего подключения, который необходимо разрешить.
• Добавление правил исходящего трафика полного доменного имени увеличивает затраты, так как этот тип правила использует Брандмауэр Azure. Дополнительные сведения см. на странице Цены
• Правила по умолчанию разрешают только утвержденный исходящий трафик , чтобы свести к минимуму риск кражи данных. Любые правила исходящего трафика, которые вы добавляете, могут увеличить риск.

Управляемая виртуальная сеть предварительно настроена с обязательными правилами по умолчанию. Он также настроен для подключений частной конечной точки к рабочей области, хранилища по умолчанию рабочей области, реестра контейнеров и хранилища ключей, если они настроены в качестве закрытого или режима изоляции рабочей области, чтобы разрешить только утвержденный исходящий трафик. После выбора режима изоляции необходимо учитывать только другие требования к исходящему трафику, которые вам может потребоваться добавить.

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения исходящего трафика через Интернет:

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения только утвержденного исходящего трафика:

Примечание.

В этой конфигурации хранилище, хранилище ключей и реестр контейнеров, используемые рабочей областью, помечены как частные. Так как они помечены как частные, частная конечная точка используется для взаимодействия с ними.

Примечание.

После настройки управляемой рабочей области виртуальной сети для разрешения исходящего трафика в Интернет рабочая область не может быть перенастроена на отключенную. Аналогичным образом, когда управляемая рабочая область виртуальной сети настроена, чтобы разрешить только утвержденный исходящий трафик, рабочая область не может быть перенастроена, чтобы разрешить исходящий трафик через Интернет. Помните об этом при выборе режима изоляции для управляемой виртуальной сети в рабочей области.

Студия машинного обучения Azure

Если вы хотите использовать интегрированную записную книжку или создать наборы данных в учетной записи хранения по умолчанию из студии, клиент должен получить доступ к учетной записи хранения по умолчанию. Создайте частную конечную точку или конечную точку службы для учетной записи хранения по умолчанию в Виртуальная сеть Azure, которую используют клиенты.

Часть Студия машинного обучения Azure выполняется локально в веб-браузере клиента и напрямую взаимодействует с хранилищем по умолчанию для рабочей области. Создание частной конечной точки или конечной точки службы (для учетной записи хранения по умолчанию) в виртуальной сети клиента гарантирует, что клиент может взаимодействовать с учетной записью хранения.

Дополнительные сведения о создании частной конечной точки или конечной точки службы см . в статьях "Подключение к учетной записи хранения" и "Конечные точки службы".

Защищенные связанные ресурсы

При добавлении следующих служб в виртуальную сеть с помощью конечной точки службы или частной конечной точки (отключение общедоступного доступа) разрешить доверенным службы Майкрософт доступ к этим службам:

Service	Сведения о конечных точках	Разрешить доверенные сведения
Azure Key Vault	Конечная точка службы Частная конечная точка	Разрешить доверенным службам Майкрософт обходить этот брандмауэр
Учетная запись хранения Azure	Конечная точка службы и частная конечная точка Частная конечная точка	Предоставление доступа из экземпляров ресурсов Azure или Предоставление доступа к доверенным службам Azure
Реестр контейнеров Azure;	Частная конечная точка	Разрешить доверенные службы

Необходимые компоненты

Перед выполнением действий, описанных в этой статье, убедитесь, что выполнены следующие необходимые условия:

Azure CLI

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу. Попробуйте бесплатную или платную версию Машинного обучения Azure.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Этот поставщик ресурсов используется рабочей областью при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в статье Устранение ошибок регистрации поставщика ресурсов.

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий управления доступом на основе ролей Azure (Azure RBAC) для создания частных конечных точек:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI и расширение ml для Azure CLI. Дополнительные сведения см. в разделе Установка, настройка и использование CLI (версия 2).

  Совет

  Машинное обучение Azure управляемой виртуальной сети была представлена 23 мая 2023 года. Если у вас есть более ранняя версия расширения ml, может потребоваться обновить его для примеров, приведенных в этой статье. Чтобы обновить расширение, используйте следующую команду Azure CLI:

  az extension update -n ml
  

• В примерах интерфейса командной строки в этой статье предполагается, что вы используете оболочку Bash (или совместимая). Например, из системы Linux или подсистемы Windows для Linux.

• Примеры Azure CLI в этой статье используются ws для представления имени рабочей области и rg представления имени группы ресурсов. Измените эти значения по мере необходимости при использовании команд с подпиской Azure.

Пакет SDK для Python

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу. Попробуйте бесплатную или платную версию Машинного обучения Azure.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Этот поставщик ресурсов используется рабочей областью при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в статье Устранение ошибок регистрации поставщика ресурсов.

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий управления доступом на основе ролей Azure (Azure RBAC) для создания частных конечных точек:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Пакет SDK для Python версии 2 Машинное обучение Azure. Дополнительные сведения о пакете SDK см. в статье "Установка пакета SDK для Python версии 2 для Машинное обучение Azure".

  Совет

  Виртуальная сеть, управляемая машинным обучением Azure, появилась 23 мая 2023 г. Если у вас установлена более ранняя версия пакета SDK, возможно, потребуется обновить его для работы в примерах, приведенных в этой статье. Чтобы обновить пакет SDK, используйте следующую команду:

  pip install --upgrade azure-ai-ml azure-identity
  

• В примерах этой статьи предполагается, что код начинается со следующего Python. Этот код импортирует классы, необходимые при создании рабочей области с управляемой виртуальной сетью, задает переменные для подписки Azure и группы ресурсов и создает ml_clientследующие элементы:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group)
  

Портал Azure

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу. Попробуйте бесплатную или платную версию Машинного обучения Azure.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Этот поставщик ресурсов используется рабочей областью при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в статье Устранение ошибок регистрации поставщика ресурсов.

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий управления доступом на основе ролей Azure (Azure RBAC) для создания частных конечных точек:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Примечание.

Если вы используете рабочую область UAI, обязательно добавьте роль утверждающего сетевого подключения Azure AI Enterprise в удостоверение. Дополнительные сведения см. в статье об управляемом удостоверении, назначаемом пользователем.

Настройка управляемой виртуальной сети для разрешения исходящего трафика в Интернет

Совет

Создание управляемой виртуальной сети откладывается до создания вычислительного ресурса или подготовки вручную. При предоставлении автоматического создания может потребоваться около 30 минут , чтобы создать первый вычислительный ресурс, так как он также подготавливает сеть. Дополнительные сведения см. в разделе "Подготовка сети" вручную.

Внимание

Если вы планируете отправлять бессерверные задания Spark, необходимо вручную начать подготовку. Дополнительные сведения см. в разделе "Настройка бессерверных заданий Spark".

Azure CLI

Чтобы настроить управляемую виртуальную сеть, которая разрешает исходящие подключения к Интернету, можно использовать --managed-network allow_internet_outbound параметр или файл конфигурации YAML, содержащий следующие записи:

managed_network:
  isolation_mode: allow_internet_outbound

Вы также можете определить правила исходящего трафика для других служб Azure, на которые используется рабочая область. Эти правила определяют частные конечные точки, позволяющие ресурсу Azure безопасно взаимодействовать с управляемой виртуальной сетью. В следующем правиле демонстрируется добавление частной конечной точки в ресурс BLOB-объектов Azure.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Вы можете настроить управляемую виртуальную сеть с помощью команд az ml workspace create или az ml workspace update команд:

• Создайте новую рабочую область:

  В следующем примере создается новая рабочая область. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для рабочей области:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Чтобы создать рабочую область с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  В следующем примере YAML определяется рабочая область с управляемой виртуальной сетью:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Обновите существующую рабочую область:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  В следующем примере обновляется существующая рабочая область. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для рабочей области:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Чтобы обновить существующую рабочую область с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  В следующем примере YAML определяется управляемая виртуальная сеть для рабочей области. В нем также показано, как добавить подключение частной конечной точки к ресурсу, используемому рабочей областью; в этом примере частная конечная точка для хранилища BLOB-объектов:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Пакет SDK для Python

Чтобы настроить управляемую виртуальную сеть, которая разрешает исходящие подключения через Интернет, используйте ManagedNetwork класс для определения сети с IsolationMode.ALLOW_INTERNET_OUTBOUND. Затем можно использовать ManagedNetwork объект для создания новой рабочей области или обновления существующей. Чтобы определить правила исходящего трафика для служб Azure, на которые используется рабочая область, используйте PrivateEndpointDestination класс для определения новой частной конечной точки для службы.

• Создайте новую рабочую область:

  В следующем примере создается новая рабочая область с myworkspaceименем myrule исходящего правила, которое добавляет частную конечную точку для хранилища BLOB-объектов Azure:

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Обновите существующую рабочую область:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  В следующем примере показано, как создать управляемую виртуальную сеть для существующей рабочей области Машинное обучение Azure с именемmyworkspace:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Портал Azure

• Создайте новую рабочую область:

  1. Войдите в портал Azure и выберите Машинное обучение Azure в меню "Создать ресурс".

  2. Укажите необходимые сведения на вкладке "Основные сведения".

  3. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом.

     

  4. Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика рабочей области укажите следующие сведения:

     • Имя правила: имя правила. Имя должно быть уникальным для этой рабочей области.
     • Тип назначения: частная конечная точка является единственным вариантом, если сетевая изоляция является частной с исходящим интернетом. Машинное обучение Azure управляемая виртуальная сеть не поддерживает создание частной конечной точки для всех типов ресурсов Azure. Список поддерживаемых ресурсов см. в разделе "Частные конечные точки".
     • Подписка: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Группа ресурсов: группа ресурсов, содержащая ресурс Azure, для которой требуется добавить частную конечную точку.
     • Тип ресурса: тип ресурса Azure.
     • Имя ресурса: имя ресурса Azure.
     • Вложенный ресурс: подресурс типа ресурса Azure.
     • Включение Spark. Выберите этот параметр, если вы хотите включить бессерверные задания Spark для рабочей области. Этот параметр доступен только в том случае, если тип ресурса служба хранилища Azure.

     

     Выберите Сохранить, чтобы сохранить правило. Вы можете продолжать добавлять правила исходящего трафика, определяемые пользователем.

  5. Продолжайте создавать рабочую область как обычную.

• Обновите существующую рабочую область:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  1. Войдите в портал Azure и выберите рабочую область Машинное обучение Azure, для которой требуется включить изоляцию управляемой виртуальной сети.

  2. Выберите "Сеть", управляемый исходящим доступом рабочей области, а затем "Разрешить исходящий интернет".

     

     • Чтобы добавить правило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика". На боковой панели правил исходящего трафика рабочей области укажите те же сведения, что и при создании рабочей области в разделе "Создание новой рабочей области".

       

     • Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

       

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы сохранить изменения в управляемой виртуальной сети.

Настройка управляемой виртуальной сети для разрешения только одобренного исходящего трафика

Совет

Управляемая виртуальная сеть автоматически подготавливается при создании вычислительного ресурса. При предоставлении автоматического создания может потребоваться около 30 минут , чтобы создать первый вычислительный ресурс, так как он также подготавливает сеть. Если вы настроили правила исходящего трафика полного доменного имени, первое полное доменное имя добавляет около 10 минут к времени подготовки. Дополнительные сведения см. в разделе "Подготовка сети" вручную.

Внимание

Если вы планируете отправлять бессерверные задания Spark, необходимо вручную начать подготовку. Дополнительные сведения см. в разделе "Настройка бессерверных заданий Spark".

Azure CLI

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденные исходящие подключения, можно использовать --managed-network allow_only_approved_outbound параметр или файл конфигурации YAML, содержащий следующие записи:

managed_network:
  isolation_mode: allow_only_approved_outbound

Вы также можете определить правила исходящего трафика для определения утвержденного исходящего трафика. Правило исходящего трафика можно создать для типа service_tag, fqdnа также private_endpoint. В следующем правиле демонстрируется добавление частной конечной точки в ресурс BLOB-объектов Azure, тег службы для Фабрика данных Azure и полное доменное имяpypi.org:

Внимание

• Добавление исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена allow_only_approved_outbound.
• Если вы добавляете правила исходящего трафика, корпорация Майкрософт не может гарантировать кражу данных.

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Вы можете настроить управляемую виртуальную сеть с помощью команд az ml workspace create или az ml workspace update команд:

• Создайте новую рабочую область:

  В следующем примере используется --managed-network allow_only_approved_outbound параметр для настройки управляемой виртуальной сети:

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Следующий ФАЙЛ YAML определяет рабочую область с управляемой виртуальной сетью:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Чтобы создать рабочую область с помощью YAML-файла, используйте --file параметр:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Обновление существующей рабочей области

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  В следующем примере используется --managed-network allow_only_approved_outbound параметр для настройки управляемой виртуальной сети для существующей рабочей области:

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Следующий ФАЙЛ YAML определяет управляемую виртуальную сеть для рабочей области. В нем также показано, как добавить утвержденный исходящий трафик в управляемую виртуальную сеть. В этом примере для тега службы добавляется правило исходящего трафика:

  Предупреждение

  Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure добавляется в выставление счетов. Дополнительные сведения см. в разделе "Цены".

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Пакет SDK для Python

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденные исходящие подключения, используйте ManagedNetwork класс для определения сети с IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Затем можно использовать ManagedNetwork объект для создания новой рабочей области или обновления существующей. Чтобы определить правила исходящего трафика, используйте следующие классы:

Назначение	Класс
Служба Azure, на которую используется рабочая область	PrivateEndpointDestination
Тег службы Azure	ServiceTagDestination
Полное доменное имя (полное доменное имя)	FqdnDestination

• Создайте новую рабочую область:

  В следующем примере создается новая рабочая область с myworkspaceнесколькими правилами исходящего трафика:

  • myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
  • datafactory— добавляет правило тега службы для взаимодействия с Фабрика данных Azure.

  Внимание

  • Добавление исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Если вы добавляете правила исходящего трафика, корпорация Майкрософт не может гарантировать кражу данных.

  Предупреждение

  Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Обновите существующую рабочую область:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  В следующем примере показано, как создать управляемую виртуальную сеть для существующей рабочей области Машинное обучение Azure с именемmyworkspace. В примере также добавляется несколько правил исходящего трафика для управляемой виртуальной сети:

  • myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
  • datafactory— добавляет правило тега службы для взаимодействия с Фабрика данных Azure.

  Совет

  Добавление исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Предупреждение

  Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Портал Azure

• Создайте новую рабочую область:

  1. Войдите в портал Azure и выберите Машинное обучение Azure в меню "Создать ресурс".

  2. Укажите необходимые сведения на вкладке "Основные сведения".

  3. На вкладке "Сеть" выберите "Приватный" с утвержденным исходящим трафиком.

     

  4. Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика рабочей области укажите следующие сведения:

     • Имя правила: имя правила. Имя должно быть уникальным для этой рабочей области.
     • Тип назначения: частная конечная точка, тег службы или полное доменное имя. Тег службы и полное доменное имя доступны только в том случае, если сетевая изоляция является частной с утвержденным исходящим трафиком.

     Если тип назначения является частной конечной точкой, укажите следующие сведения:

     • Подписка: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Группа ресурсов: группа ресурсов, содержащая ресурс Azure, для которой требуется добавить частную конечную точку.
     • Тип ресурса: тип ресурса Azure.
     • Имя ресурса: имя ресурса Azure.
     • Вложенный ресурс: подресурс типа ресурса Azure.
     • Включение Spark. Выберите этот параметр, если вы хотите включить бессерверные задания Spark для рабочей области. Этот параметр доступен только в том случае, если тип ресурса служба хранилища Azure.

     Совет

     Машинное обучение Azure управляемая виртуальная сеть не поддерживает создание частной конечной точки для всех типов ресурсов Azure. Список поддерживаемых ресурсов см. в разделе "Частные конечные точки".

     

     Если тип назначения является тегом службы, укажите следующие сведения:

     • Тег службы: тег службы, добавляемый в утвержденные правила исходящего трафика.
     • Протокол: протокол, позволяющий тегу службы.
     • Диапазоны портов: диапазоны портов, позволяющие тегу службы.

     

     Если тип назначения — полное доменное имя, укажите следующие сведения:

     Предупреждение

     Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

     • Назначение полного доменного имени: полное доменное имя для добавления в утвержденные правила исходящего трафика.

     

     Выберите Сохранить, чтобы сохранить правило. Вы можете продолжать добавлять правила исходящего трафика, определяемые пользователем.

  5. Продолжайте создавать рабочую область как обычную.

• Обновите существующую рабочую область:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  1. Войдите в портал Azure и выберите рабочую область Машинное обучение Azure, для которой требуется включить изоляцию управляемой виртуальной сети.

  2. Выберите "Сеть", управляемый исходящим доступом рабочей области, а затем выберите "Закрытый" с утвержденным исходящим трафиком.

     

     • Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика рабочей области укажите те же сведения, что и при создании рабочей области в предыдущем разделе "Создание новой рабочей области".

     • Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

       

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы сохранить изменения в управляемой виртуальной сети.

Настройка для бессерверных заданий Spark

Совет

Действия, описанные в этом разделе, необходимы только в том случае, если планируется отправлять бессерверные задания Spark. Если вы не собираетесь отправлять бессерверные задания Spark, можно пропустить этот раздел.

Чтобы включить бессерверные задания Spark для управляемой виртуальной сети, необходимо выполнить следующие действия:

• Настройте управляемую виртуальную сеть для рабочей области и добавьте исходящую частную конечную точку для учетной записи служба хранилища Azure.
• После настройки управляемой виртуальной сети подготовьте ее и пометьте ее, чтобы разрешить задания Spark.

1. Настройте исходящую частную конечную точку.

   Azure CLI

   Используйте YAML-файл для определения конфигурации управляемой виртуальной сети и добавления частной конечной точки для учетной записи служба хранилища Azure. Также задано:spark_enabled: true

   Совет

   В этом примере используется управляемая виртуальная сеть, настроенная с помощью isolation_mode: allow_internet_outbound разрешения интернет-трафика. Если вы хотите разрешить только утвержденный исходящий трафик, используйте isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   Файл конфигурации YAML можно использовать с az ml workspace update командой, указав --file параметр и имя YAML-файла. Например, следующая команда обновляет существующую рабочую область с помощью файла YAML с именем workspace_pe.yml:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Примечание.

   Если включена функция "Разрешить только утвержденный исходящий трафик ",isolation_mode: allow_only_approved_outbound зависимости пакета conda, определенные в конфигурации сеанса Spark, не будут установлены. Чтобы устранить эту проблему, отправьте автономное колесо пакета Python без внешних зависимостей в учетную запись хранения Azure и создайте частную конечную точку в эту учетную запись хранения. Используйте путь к колесу пакета Python в качестве py_files параметра в задании Spark. Установка правила исходящего трафика полного доменного имени не обойдет эту проблему, так как распространение правила FQDN не поддерживается Spark.

   Пакет SDK для Python

   В следующем примере показано, как создать управляемую виртуальную сеть для существующей рабочей области Машинное обучение Azure с именемmyworkspace. Он также добавляет частную конечную точку для учетной записи служба хранилища Azure и задаетspark_enabled=true:

   Совет

   В следующем примере используется управляемая виртуальная сеть, настроенная для IsolationMode.ALLOW_INTERNET_OUTBOUND разрешения интернет-трафика. Если вы хотите разрешить только утвержденный исходящий трафик, используйте IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Примечание.

   • Если включена функция "Разрешить только утвержденный исходящий трафик ",isolation_mode: allow_only_approved_outbound зависимости пакета conda, определенные в конфигурации сеанса Spark, не будут установлены. Чтобы устранить эту проблему, отправьте автономное колесо пакета Python без внешних зависимостей в учетную запись хранения Azure и создайте частную конечную точку в эту учетную запись хранения. Используйте путь к колесу пакета Python в качестве py_files параметра в задании Spark.
   • Если рабочая область была создана с IsolationMode.ALLOW_INTERNET_OUTBOUNDпомощью, ее нельзя обновить позже для использования IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   Портал Azure

   1. Войдите в портал Azure и выберите рабочую область Машинное обучение Azure.

   2. Выберите "Сеть", а затем выберите "Добавить определяемые пользователем правила исходящего трафика". Добавьте правило для учетной записи служба хранилища Azure и убедитесь, что включена функция Spark.

      

   3. Нажмите кнопку "Сохранить", чтобы сохранить правило, а затем нажмите кнопку "Сохранить" в верхней части сети, чтобы сохранить изменения в виртуальной сети.

2. Подготовка управляемой виртуальной сети.

   Примечание.

   Если рабочая область уже настроена для общедоступной конечной точки (например, с виртуальная сеть Azure) и включена общедоступная сеть, ее необходимо отключить перед подготовкой управляемой виртуальной сети. Если при подготовке управляемой виртуальной сети не отключить доступ к общедоступной сети, то частные конечные точки для управляемой конечной точки могут быть не созданы успешно.

   Azure CLI

   В следующем примере показано, как подготовить управляемую виртуальную сеть для бессерверных заданий Spark с помощью --include-spark параметра.

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   Пакет SDK для Python

   В следующем примере показано, как подготовить управляемую виртуальную сеть для бессерверных заданий Spark:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Портал Azure

   Используйте вкладки Azure CLI или пакета SDK Для Python, чтобы узнать, как вручную подготовить управляемую виртуальную сеть с поддержкой Бессерверного Spark.

Подготовка управляемой виртуальной сети вручную

Управляемая виртуальная сеть автоматически подготавливается при создании вычислительного экземпляра. При использовании автоматической подготовки может потребоваться около 30 минут , чтобы создать первый вычислительный экземпляр, так как он также подготавливает сеть. Если вы настроили правила исходящего трафика полного доменного имени (доступно только с разрешенным только утвержденным режимом), первое полное доменное имя добавляет около 10 минут к времени подготовки. Если у вас есть большой набор правил исходящего трафика, подготовленных в управляемой сети, может потребоваться больше времени для завершения подготовки. Увеличение времени подготовки может привести к истечении времени ожидания создания первого вычислительного экземпляра.

Чтобы сократить время ожидания и избежать потенциальных ошибок времени ожидания, рекомендуется вручную подготовить управляемую сеть. Дождитесь завершения подготовки перед созданием вычислительного экземпляра.

Примечание.

Чтобы создать сетевое развертывание, необходимо вручную подготовить управляемую сеть или сначала создать вычислительный экземпляр, который будет автоматически подготавливать его.

Azure CLI

В следующем примере показано, как подготовить управляемую виртуальную сеть.

Совет

Если вы планируете отправлять бессерверные задания Spark, добавьте --include-spark этот параметр.

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Чтобы убедиться, что подготовка завершена, используйте следующую команду:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Пакет SDK для Python

В следующем примере показано, как подготовить управляемую виртуальную сеть:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Чтобы убедиться, что рабочая область подготовлена, используйте ml_client.workspaces.get() для получения сведений о рабочей области. Свойство managed_network содержит состояние управляемой сети.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Портал Azure

Используйте вкладки Azure CLI или пакета SDK Для Python, чтобы узнать, как вручную подготовить управляемую виртуальную сеть с поддержкой Бессерверного Spark.

Настройка сборок образов

Если Реестр контейнеров Azure для рабочей области находится за виртуальной сетью, ее нельзя использовать для непосредственного создания образов Docker. Вместо этого настройте рабочую область для использования вычислительного кластера или вычислительного экземпляра для создания образов.

Внимание

Вычислительный ресурс, используемый для создания образов Docker, должен иметь доступ к репозиториям пакетов, которые используются для обучения и развертывания моделей. Если вы используете сеть, настроенную для разрешения только утвержденного исходящего трафика, может потребоваться добавить правила, которые разрешают доступ к общедоступным репозиториям или используют частные пакеты Python.

Azure CLI

Чтобы обновить рабочую область для использования вычислительного кластера или вычислительного экземпляра для создания образов Docker, используйте az ml workspace update команду с параметром --image-build-compute :

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Пакет SDK для Python

В следующем примере показано, как обновить рабочую область для создания образов с помощью вычислительного кластера:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name=workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Портал Azure

В настоящее время невозможно задать вычисление сборки образа на портале Azure. Используйте вкладки Azure CLI или пакета SDK для Python, чтобы узнать, как вручную настроить сборки образов.

Управление правилами исходящего трафика

Azure CLI

Чтобы получить список правил исходящего трафика управляемой виртуальной сети для рабочей области, используйте следующую команду:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Чтобы просмотреть сведения о правиле исходящего трафика управляемой виртуальной сети, используйте следующую команду:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Чтобы удалить правило исходящего трафика из управляемой виртуальной сети, выполните следующую команду:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Пакет SDK для Python

В следующем примере показано, как управлять правилами исходящего трафика для рабочей области с именем myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Портал Azure

1. Войдите в портал Azure и выберите рабочую область Машинное обучение Azure, для которой требуется включить изоляцию управляемой виртуальной сети.

2. Выберите Сети. Раздел "Исходящий доступ к рабочей области" позволяет управлять правилами исходящего трафика.

   

• Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика рабочей области укажите следующие сведения:

• Чтобы включить или отключить правило, используйте переключатель в столбце "Активный".

• Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

Список обязательных правил

Совет

Эти правила автоматически добавляются в управляемую виртуальную сеть.

Частные конечные точки:

• Если режим изоляции для управляемой виртуальной сети являетсяAllow internet outbound, правила исходящего трафика частной конечной точки автоматически создаются в соответствии с обязательными правилами управляемой виртуальной сети для рабочей области и связанными ресурсами с отключенным доступом к общедоступной сети (Key Vault, учетная запись хранения, реестр контейнеров, Машинное обучение Azure рабочая область).
• Если режим изоляции для управляемой виртуальной сети имеет Allow only approved outboundзначение, правила исходящего трафика частной конечной точки автоматически создаются в соответствии с обязательными правилами управляемой виртуальной сети для рабочей области и связанных ресурсов независимо от режима доступа к общедоступной сети для этих ресурсов (Key Vault, учетной записи хранения, реестра контейнеров, Машинное обучение Azure рабочей области).

Правила тега исходящей службы:

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Правила тега службы для входящего трафика :

• AzureMachineLearning

Список определенных правил исходящего трафика сценария

Сценарий. Доступ к пакетам общедоступного машинного обучения

Чтобы разрешить установку пакетов Python для обучения и развертывания, добавьте правила для исходящего полного доменного имени, чтобы разрешить трафик следующим именам узлов:

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

Примечание.

Это не полный список узлов, необходимых для всех ресурсов Python в Интернете, а только наиболее часто используемые узлы. Например, если необходим доступ к репозиторию GitHub или другому узлу, необходимо определить и добавить необходимые узлы для этого сценария.

Имя узла	Целевые назначения
anaconda.com *.anaconda.com	Используется для установки пакетов по умолчанию.
*.anaconda.org	Используется для получения данных репозитория.
pypi.org	Используется для вывода списка зависимостей из индекса по умолчанию, если таковые имеются, а индекс не перезаписывается параметрами пользователя. Если индекс перезаписан, необходимо также разрешить *.pythonhosted.org.
pytorch.org *.pytorch.org	Используется в некоторых примерах на основе PyTorch.
*.tensorflow.org	Используется в некоторых примерах на основе Tensorflow.

Сценарий. Использование классического или веб-приложения Visual Studio Code с вычислительным экземпляром

Если вы планируете использовать Visual Studio Code с Машинное обучение Azure, добавьте правила полного доменного имени исходящего трафика для разрешения трафика на следующие узлы:

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• vscode.download.prss.microsoft.com

Сценарий. Использование конечных точек пакетной службы или ParallelRunStep

Если вы планируете использовать Машинное обучение Azure пакетные конечные точки для развертывания или ParallelRunStep, добавьте правила для исходящей частной конечной точки, чтобы разрешить трафик следующим вложенным ресурсам для учетной записи хранения по умолчанию:

• queue
• table

Сценарий. Использование потока запросов с помощью Azure OpenAI, безопасности содержимого и поиска ИИ Azure

• Частная конечная точка в службах ИИ Azure
• Частная конечная точка в поиске ИИ Azure

Сценарий. Использование моделей HuggingFace

Если вы планируете использовать модели HuggingFace с Машинное обучение Azure, добавьте правила полного доменного имени исходящего трафика, чтобы разрешить трафик на следующие узлы:

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Сценарий. Включение доступа из выбранных IP-адресов

Если вы хотите включить доступ из определенных IP-адресов, используйте следующие действия:

1. Добавьте правило для исходящей частной конечной точки, чтобы разрешить трафик в рабочую область Машинное обучение Azure. Это позволяет вычислительным экземплярам, созданным в управляемой виртуальной сети, получить доступ к рабочей области.

   Совет

   Это правило нельзя добавить во время создания рабочей области, так как рабочая область еще не существует.

2. Включите доступ к рабочей области общедоступной сети. Дополнительные сведения см. в разделе "Доступ к общедоступной сети".

3. Добавьте IP-адреса в брандмауэр для Машинное обучение Azure. Дополнительные сведения см. в разделе "Включение доступа только из диапазонов IP-адресов".

   Примечание.

   Поддерживаются только IPv4-адреса.

Частные конечные точки

Частные конечные точки в настоящее время поддерживаются для следующих служб Azure:

• Машинное обучение Azure
• реестры Машинное обучение Azure
• служба хранилища Azure (все подтипы ресурсов)
• Реестр контейнеров Azure
• Azure Key Vault
• Службы ИИ Azure
• Поиск ИИ Azure (прежнее название — Когнитивный поиск)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (все вложенные типы ресурсов)
• Центры событий Azure
• Кэш Redis для Azure
• Azure Databricks
• База данных Azure для MariaDB
• База данных Azure для PostgreSQL — Отдельный сервер
• Гибкий сервер Базы данных Azure для PostgreSQL
• База данных Azure для MySQL
• Управление API Azure

При создании частной конечной точки укажите тип ресурса и подресурс , к которому подключается конечная точка. Некоторые ресурсы имеют несколько типов и подресурсов. Дополнительные сведения см . в разделе о частной конечной точке.

При создании частной конечной точки для ресурсов зависимостей Машинное обучение Azure, таких как служба хранилища Azure, Реестр контейнеров Azure и Azure Key Vault, ресурс может находиться в другой подписке Azure. Однако ресурс должен находиться в том же клиенте, что и рабочая область Машинное обучение Azure.

Внимание

При настройке частных конечных точек для управляемой виртуальной сети Машинное обучение Azure частные конечные точки создаются только при создании первого вычисления или при принудительной подготовке управляемой виртуальной сети. Дополнительные сведения о принудительной подготовке управляемой виртуальной сети см. в разделе "Настройка бессерверных заданий Spark".

Цены

Функция управляемой виртуальной сети машинного обучения Azure предоставляется бесплатно. Однако плата взимается за следующие ресурсы, используемые управляемой виртуальной сетью:

• Приватный канал Azure. Частные конечные точки, используемые для защиты обмена данными между управляемой виртуальной сетью и ресурсами Azure, зависят от приватного канала Azure. Дополнительные сведения о ценах см. в Приватный канал Azure ценах.

• Правила для исходящего трафика FQDN. Правила для исходящего трафика FQDN реализованы с помощью брандмауэра Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Подготовка брандмауэра Azure (стандартный номер SKU) выполняется системой машинного обучения Azure.

  Внимание

  Брандмауэр не создается, пока не будет добавлено правило полного доменного имени исходящего трафика. Дополнительные сведения о ценах см. в Брандмауэр Azure ценах и просмотре цен на стандартную версию.

Ограничения

• Azure AI Studio не поддерживает использование собственных виртуальная сеть Azure для защиты концентратора, проекта или вычислительных ресурсов. Эту функцию можно использовать только для защиты этих ресурсов.
• После включения изоляции управляемой виртуальной сети рабочей области (разрешить исходящий интернет или разрешить только утвержденный исходящий трафик) его нельзя отключить.
• Управляемая виртуальная сеть использует подключение к частной конечной точке для доступа к частным ресурсам. Для ресурсов Azure, таких как учетная запись хранения, невозможно одновременно иметь частную конечную точку и конечную точку службы. Для всех сценариев мы рекомендуем использовать частные конечные точки.
• При удалении рабочей области управляемая виртуальная сеть удаляется.
• Защита от кражи данных автоматически включена для режима только одобренного исходящего трафика. При добавлении других правил исходящего трафика, таких как FQDN, Майкрософт не может гарантировать защиту от кражи данных и их передачи в эти исходящие точки назначения.
• При использовании управляемой виртуальной сети создание вычислительного кластера в регионе, отличном от региона рабочей области, не поддерживается.
• В управляемой виртуальной сети машинного обучения Azure Kubernetes и подключенные виртуальные машины не поддерживаются.
• Применение правил исходящего трафика FQDN приводит к увеличению затрат на управляемую виртуальную сеть, так как в правилах FQDN используется брандмауэр Azure. Дополнительные сведения см. на странице цен.
• В правилах исходящего трафика FQDN поддерживаются только порты 80 и 443.
• Если вычислительный экземпляр находится в управляемой сети и не настроен для общедоступных IP-адресов, используйте команду az ml compute connect-ssh для подключения к ней с помощью SSH.
• При использовании управляемой виртуальной сети невозможно развертывать вычислительные ресурсы в пользовательской виртуальной сети. Вычислительные ресурсы можно создавать только в управляемой виртуальной сети.
• Управляемая сетевая изоляция не может установить частное подключение из управляемой виртуальной сети к локальным ресурсам пользователя. Список поддерживаемых частных подключений см. в разделе "Частные конечные точки".
• Если управляемая сеть настроена для разрешения только утвержденного исходящего трафика, для доступа к учетным записям служба хранилища Azure нельзя использовать правило FQDN. Вместо этого следует использовать частную конечную точку.

Миграция вычислительных ресурсов

Если у вас есть рабочая область и требуется включить для нее управляемую виртуальную сеть, в настоящее время нет поддерживаемого пути миграции для существующих управляемых вычислительных ресурсов. Необходимо удалить все существующие управляемые вычислительные ресурсы и повторно создать их после включения управляемой виртуальной сети. В следующем списке содержатся вычислительные ресурсы, которые необходимо удалить и воссоздать.

• Вычислительный кластер
• Вычислительная операция
• Управляемые сетевые конечные точки

Следующие шаги

• Устранение неполадок с управляемой виртуальной сетью
• Настройка управляемых вычислений в управляемой виртуальной сети