Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
GÄLLER FÖR:
Azure CLI ml extension v2 (current)Python SDK azure-ai-ml v2 (aktuell)
Azure Machine Learning ger stöd för isolering av hanterat virtuellt nätverk (hanterat virtuellt nätverk). Isolering av hanterade virtuella nätverk effektiviserar och automatiserar konfigurationen av nätverksisolering med ett inbyggt Azure Machine Learning-hanterat virtuellt nätverk på arbetsytenivå. Det hanterade virtuella nätverket skyddar dina hanterade Azure Machine Learning-resurser, till exempel beräkningsinstanser, beräkningskluster, serverlös beräkning och hanterade onlineslutpunkter.
Att skydda din arbetsyta med ett hanterat nätverk ger nätverksisolering för utgående åtkomst från arbetsytan och hanterade beräkningar. Ett virtuellt Azure-nätverk som du skapar och hanterar används för att ge nätverksisolering inkommande åtkomst till arbetsytan. Till exempel skapas en privat slutpunkt för arbetsytan i ditt virtuella Azure-nätverk. Klienter som ansluter till det virtuella nätverket kan komma åt arbetsytan via den privata slutpunkten. När jobb körs på hanterade beräkningar begränsar det hanterade nätverket vad beräkningen kan komma åt.
Arkitektur för hanterat virtuellt nätverk
När du aktiverar isolering av hanterade virtuella nätverk skapas ett hanterat virtuellt nätverk för arbetsytan. Hanterade beräkningsresurser som du skapar för arbetsytan använder automatiskt det här hanterade virtuella nätverket. Det hanterade virtuella nätverket kan använda privata slutpunkter för Azure-resurser som används av din arbetsyta, till exempel Azure Storage, Azure Key Vault och Azure Container Registry.
Det finns två olika konfigurationslägen för utgående trafik från det hanterade virtuella nätverket:
Tips
Oavsett vilket utgående läge du använder kan trafik till Azure-resurser konfigureras för att använda en privat slutpunkt. Du kan till exempel tillåta all utgående trafik till Internet, men begränsa kommunikationen med Azure-resurser genom att lägga till regler för utgående trafik för resurserna.
| Utgående läge | beskrivning | Scenarier |
|---|---|---|
| Tillåt utgående internettrafik | Tillåt all utgående internettrafik från det hanterade virtuella nätverket. | Du vill ha obegränsad åtkomst till maskininlärningsresurser på Internet, till exempel Python-paket eller förtränad modeller.1 |
| Tillåt endast godkänd utgående trafik | Utgående trafik tillåts genom att ange tjänsttaggar. | * Du vill minimera risken för dataexfiltrering, men du måste förbereda alla nödvändiga maskininlärningsartefakter i din privata miljö. * Du vill konfigurera utgående åtkomst till en godkänd lista över tjänster, tjänsttaggar eller FQDN. |
| Avaktiverad | Inkommande och utgående trafik är inte begränsad eller så använder du ditt eget virtuella Azure-nätverk för att skydda resurser. | Du vill ha offentlig inkommande och utgående trafik från arbetsytan, eller så hanterar du nätverksisolering med ditt eget virtuella Azure-nätverk. |
- Du kan använda utgående regler med tillåt endast godkänt utgående läge för att uppnå samma resultat som att använda tillåt utgående internet. Skillnaderna är:
- Du måste lägga till regler för varje utgående anslutning som du måste tillåta.
- Om du lägger till FQDN-regler för utgående trafik ökar kostnaderna eftersom den här regeltypen använder Azure Firewall. Mer information finns i Prissättning
- Standardreglerna för tillåt endast godkänd utgående trafik är utformade för att minimera risken för dataexfiltrering. Eventuella regler för utgående trafik som du lägger till kan öka risken.
Det hanterade virtuella nätverket är förkonfigurerat med nödvändiga standardregler. Den är också konfigurerad för privata slutpunktsanslutningar till din arbetsyta, arbetsytans standardlagring, containerregister och nyckelvalv om de är konfigurerade som privata eller om arbetsytans isoleringsläge är inställt på att endast tillåta godkänd utgående trafik. När du har valt isoleringsläge behöver du bara överväga andra utgående krav som du kan behöva lägga till.
Följande diagram visar ett hanterat virtuellt nätverk som har konfigurerats för att tillåta utgående Internet:
Följande diagram visar ett hanterat virtuellt nätverk som konfigurerats för att endast tillåta godkänd utgående trafik:
Anteckning
I den här konfigurationen flaggas det lagringsutrymme, nyckelvalv och containerregister som används av arbetsytan som privat. Eftersom de flaggas som privata används en privat slutpunkt för att kommunicera med dem.
Anteckning
När en hanterad VNet-arbetsyta har konfigurerats för att tillåta utgående Internet kan arbetsytan inte konfigureras om till inaktiverad. När en hanterad VNet-arbetsyta har konfigurerats för att endast tillåta godkänd utgående trafik kan arbetsytan inte konfigureras om för att tillåta utgående Internet.
Azure Machine Learning Studio
Om du vill använda den integrerade notebook-filen eller skapa datauppsättningar i standardlagringskontot från studio behöver klienten åtkomst till standardlagringskontot. Skapa en privat slutpunkt eller tjänstslutpunkt för standardlagringskontot i det virtuella Azure-nätverk som klienterna använder.
En del av Azure Machine Learning-studio körs lokalt i klientens webbläsare och kommunicerar direkt med standardlagringen för arbetsytan. Att skapa en privat slutpunkt eller tjänstslutpunkt (för standardlagringskontot) i klientens virtuella nätverk säkerställer att klienten kan kommunicera med lagringskontot.
Om det Azure-lagringskonto som är associerat med arbetsytan har inaktiverad åtkomst till offentliga nätverk, kontrollera att den privata slutpunkten som skapats i det virtuella klientnätverket har tilldelats rollen Läsare till din hanterade arbetsyteidentitet. Detta gäller både privata slutpunkter för blogg- och fillagring. Rollen krävs inte för den privata slutpunkten som skapats av det hanterade virtuella nätverket.
Mer information om hur du skapar en privat slutpunkt eller tjänstslutpunkt finns i artikeln Anslut privat till ett lagringskonto och tjänstslutpunkter.
Skyddade associerade resurser
Om du lägger till följande tjänster i det virtuella nätverket med hjälp av antingen en tjänstslutpunkt eller en privat slutpunkt (inaktivera offentlig åtkomst) kan du tillåta betrodda Microsoft-tjänster att få åtkomst till dessa tjänster:
| Tjänst | Slutpunktsinformation | Tillåt betrodd information |
|---|---|---|
| Azure Key Vault |
Tjänstslutpunkt Privat slutpunkt |
Tillåt att betrodda Microsoft-tjänster kringgår den här brandväggen |
| Azure Storage-konto |
Tjänst och privat slutpunkt Privat slutpunkt |
Bevilja åtkomst från Azure-resursinstanser eller Bevilja åtkomst till betrodda Azure-tjänster |
| Azure Container Registry | Privat slutpunkt | Tillåt betrodda tjänster |
Förutsättningar
Innan du följer stegen i den här artikeln kontrollerar du att du har följande förutsättningar:
En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar. Prova den kostnadsfria eller betalda versionen av Azure Machine Learning.
Resursprovidern Microsoft.Network måste vara registrerad för din Azure-prenumeration. Den här resursprovidern används av arbetsytan när du skapar privata slutpunkter för det hanterade virtuella nätverket.
Information om hur du registrerar resursprovidrar finns i Lösa fel för registrering av resursprovider.
Den Azure-identitet som du använder när du distribuerar ett hanterat nätverk kräver följande Azure-åtgärder för rollbaserad åtkomstkontroll (Azure RBAC) för att skapa privata slutpunkter:
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/readMicrosoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure CLI och
mltillägget till Azure CLI. Mer information finns i Installera, konfigurera och använda CLI (v2).Tips
Azure Machine Learning hanterad VNet introducerades den 23 maj 2023. Om du har en äldre version av ml-tillägget kan du behöva uppdatera den för exemplen i den här artikeln. Om du vill uppdatera tillägget använder du följande Azure CLI-kommando:
az extension update -n mlCLI-exemplen i den här artikeln förutsätter att du använder Bash-gränssnittet (eller det kompatibla). Till exempel från ett Linux-system eller Windows-undersystem för Linux.
Azure CLI-exemplen i den här artikeln används
wsför att representera namnet på arbetsytan ochrgför att representera namnet på resursgruppen. Ändra dessa värden efter behov när du använder kommandona med din Azure-prenumeration.
En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar. Prova den kostnadsfria eller betalda versionen av Azure Machine Learning.
Resursprovidern Microsoft.Network måste vara registrerad för din Azure-prenumeration. Den här resursprovidern används av arbetsytan när du skapar privata slutpunkter för det hanterade virtuella nätverket.
Information om hur du registrerar resursprovidrar finns i Lösa fel för registrering av resursprovider.
Den Azure-identitet som du använder när du distribuerar ett hanterat nätverk kräver följande Azure-åtgärder för rollbaserad åtkomstkontroll (Azure RBAC) för att skapa privata slutpunkter:
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/readMicrosoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure Machine Learning Python SDK v2. Mer information om SDK finns i Installera Python SDK v2 för Azure Machine Learning.
Tips
Azure Machine Learning hanterad VNet introducerades den 23 maj 2023. Om du har en äldre version av SDK:t installerad kan du behöva uppdatera den för att exemplen i den här artikeln ska fungera. Om du vill uppdatera SDK:et använder du följande kommando:
pip install --upgrade azure-ai-ml azure-identityExemplen i den här artikeln förutsätter att koden börjar med följande Python. Den här koden importerar de klasser som krävs när du skapar en arbetsyta med ett hanterat virtuellt nätverk, anger variabler för din Azure-prenumeration och resursgrupp och skapar :
ml_clientfrom azure.ai.ml import MLClient from azure.ai.ml.entities import ( Workspace, ManagedNetwork, IsolationMode, ServiceTagDestination, PrivateEndpointDestination, FqdnDestination ) from azure.identity import DefaultAzureCredential # Replace with the values for your Azure subscription and resource group. subscription_id = "<SUBSCRIPTION_ID>" resource_group = "<RESOURCE_GROUP>" # get a handle to the subscription ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group)
En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar. Prova den kostnadsfria eller betalda versionen av Azure Machine Learning.
Resursprovidern Microsoft.Network måste vara registrerad för din Azure-prenumeration. Den här resursprovidern används av arbetsytan när du skapar privata slutpunkter för det hanterade virtuella nätverket.
Information om hur du registrerar resursprovidrar finns i Lösa fel för registrering av resursprovider.
Den Azure-identitet som du använder när du distribuerar ett hanterat nätverk kräver följande Azure-åtgärder för rollbaserad åtkomstkontroll (Azure RBAC) för att skapa privata slutpunkter:
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/readMicrosoft.MachineLearningServices/workspaces/privateEndpointConnections/write
För att upprätta privata slutpunktsanslutningar i hanterade virtuella nätverk med Azure Machine Learning måste arbetsytans hanterade identitet, oavsett om den är systemtilldelad eller användartilldelad och användaridentiteten som initierar skapandet av den privata slutpunkten, ha behörighet att godkänna privata slutpunktsanslutningar på målresurserna. Efter den 30 april 2025 beviljas inte behörigheter automatiskt till den hanterade identiteten och måste tilldelas manuellt.
Microsoft rekommenderar att du tilldelar Azure AI Enterprise-nätverksanslutningens godkänningsroll till den hanterade identiteten. Följande lista innehåller de privata slutpunktsmålresurstyperna som omfattas av azure AI Enterprise Network Connection Approver-rollen :
- Azure Application Gateway
- Azure Monitor
- Azure AI-sökning
- Event Hubs
- Azure SQL Database
- Azure Storage
- Azure Machine Learning-arbetsyta
- Azure Machine Learning-register
- Azure AI Foundry
- Azure 密钥保管库
- Azure Cosmos DB
- Azure-databas för MySQL
- Azure-databasen för PostgreSQL
- Azure AI-tjänster
- Azure-cache för Redis
- Containerregister
- API Management
Om du vill skapa en anpassad roll i stället kan du läsa rollen Godkännare för Azure AI Enterprise-nätverksanslutning för att lägga till specifika åtgärder för varje resurstyp.
Om du vill skapa utgående regler för privat slutpunkt för målresurstyper som inte omfattas av rollen Azure AI Enterprise Network Connection Approver rekommenderas en anpassad roll med begränsad omfattning. Rollen bör definieras med de åtgärder som krävs för att godkänna privata slutpunktsanslutningar på målresurstyperna. Exempel på sådana resurstyper är Azure Data Factory, Azure Databricks och Azure Function Apps.
För att skapa utgående regler för privata slutpunkter till arbetsytans standardresurser täcks de nödvändiga behörigheterna automatiskt av rolltilldelningarna som ges vid skapandet av arbetsytan, vilket innebär att inga ytterligare åtgärder behövs.
Konfigurera ett hanterat virtuellt nätverk för att tillåta utgående internet
Tips
Skapandet av det hanterade virtuella nätverket skjuts upp tills en beräkningsresurs skapas eller etableringen startas manuellt. När du tillåter automatiskt skapande kan det ta cirka 30 minuter att skapa den första beräkningsresursen eftersom den även etablerar nätverket. Mer information finns i Etablera nätverket manuellt.
Viktigt!
Om du planerar att skicka serverlösa Spark-jobb måste du starta tillhandahållandet manuellt. Mer information finns i avsnittet konfigurera för serverlösa Spark-jobb .
Om du vill konfigurera ett hanterat virtuellt nätverk som tillåter utgående internetkommunikation kan du använda antingen parametern --managed-network allow_internet_outbound eller en YAML-konfigurationsfil som innehåller följande poster:
managed_network:
isolation_mode: allow_internet_outbound
Du kan också definiera regler för utgående trafik till andra Azure-tjänster som arbetsytan förlitar sig på. Dessa regler definierar privata slutpunkter som gör att en Azure-resurs kan kommunicera säkert med det hanterade virtuella nätverket. Följande regel visar hur du lägger till en privat slutpunkt i en Azure Blob-resurs.
managed_network:
isolation_mode: allow_internet_outbound
outbound_rules:
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
Du kan konfigurera ett hanterat virtuellt nätverk med hjälp av kommandona az ml workspace create eller az ml workspace update :
I följande exempel skapas en ny arbetsyta. Parametern --managed-network allow_internet_outbound konfigurerar ett hanterat virtuellt nätverk för arbetsytan:
az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
Om du vill skapa en arbetsyta med hjälp av en YAML-fil i stället använder du parametern --file och anger YAML-filen som innehåller konfigurationsinställningarna:
az ml workspace create --file workspace.yaml --resource-group rg --name ws
I följande YAML-exempel definieras en arbetsyta med ett hanterat virtuellt nätverk:
name: myworkspace
location: EastUS
managed_network:
isolation_mode: allow_internet_outbound
Om du vill konfigurera ett hanterat virtuellt nätverk som tillåter utgående internetkommunikation använder du ManagedNetwork klassen för att definiera ett nätverk med IsolationMode.ALLOW_INTERNET_OUTBOUND. Du kan sedan använda ManagedNetwork objektet för att skapa en ny arbetsyta eller uppdatera en befintlig. Om du vill definiera utgående regler för Azure-tjänster som arbetsytan förlitar sig på använder du PrivateEndpointDestination klassen för att definiera en ny privat slutpunkt för tjänsten.
I följande exempel skapas en ny arbetsyta med namnet myworkspace, med en regel för utgående trafik med namnet myrule som lägger till en privat slutpunkt för ett Azure Blob Store:
# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
# Workspace configuration
ws = Workspace(
name="myworkspace",
location="eastus",
managed_network=network
)
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
# Add the outbound
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
name=rule_name,
service_resource_id=service_resource_id,
subresource_target=subresource_target,
spark_enabled=spark_enabled)]
# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()
Logga in på Azure Portal och välj Azure Machine Learning från menyn Skapa en resurs.
Ange nödvändig information på fliken Grundläggande .
Från fliken Nätverk, välj Privat med Internet utgående.
Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . Ange följande information från sidofältet För utgående arbetsyta :
- Regelnamn: Ett namn på regeln. Namnet måste vara unikt för den här arbetsytan.
- Måltyp: Privat slutpunkt är det enda alternativet när nätverksisoleringen är privat med utgående Internet. Azure Machine Learning hanterat virtuellt nätverk har inte stöd för att skapa en privat slutpunkt för alla Azure-resurstyper. En lista över resurser som stöds finns i avsnittet Privata slutpunkter .
- Prenumeration: Den prenumeration som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
- Resursgrupp: Resursgruppen som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
- Resurstyp: Typen av Azure-resurs.
- Resursnamn: Namnet på Azure-resursen.
- Underresurs: Underresursen för Azure-resurstypen.
- Spark aktiverat: Välj det här alternativet om du vill aktivera serverlösa Spark-jobb för arbetsytan. Det här alternativet är bara tillgängligt om resurstypen är Azure Storage.
Välj Spara för att spara regeln. Du kan fortsätta att använda Lägg till användardefinierade utgående regler för att lägga till regler.
Fortsätt att skapa arbetsytan som vanligt.
Konfigurera ett hanterat virtuellt nätverk för att endast tillåta godkänd utgående trafik
Tips
Det hanterade virtuella nätverket etableras automatiskt när du skapar en beräkningsresurs. När du tillåter automatiskt skapande kan det ta cirka 30 minuter att skapa den första beräkningsresursen eftersom den även etablerar nätverket. Om du har konfigurerat utgående FQDN-regler lägger den första FQDN-regeln till cirka 10 minuter till förberedelsetiden. Mer information finns i Etablera nätverket manuellt.
Viktigt!
Om du planerar att skicka serverlösa Spark-jobb måste du starta tillhandahållandet manuellt. Mer information finns i avsnittet konfigurera för serverlösa Spark-jobb .
Om du vill konfigurera ett hanterat virtuellt nätverk som endast tillåter godkänd utgående kommunikation kan du använda antingen parametern --managed-network allow_only_approved_outbound eller en YAML-konfigurationsfil som innehåller följande poster:
managed_network:
isolation_mode: allow_only_approved_outbound
Du kan också definiera utgående regler för att definiera godkänd utgående kommunikation. En regel för utgående trafik kan skapas för en typ av service_tag, fqdnoch private_endpoint. Följande regel visar hur du lägger till en privat slutpunkt i en Azure Blob-resurs, en tjänsttagg i Azure Data Factory och ett FQDN till pypi.org:
Viktigt!
- Att lägga till ett utgående för en tjänsttagg eller ett FQDN är endast giltigt när det hanterade virtuella nätverket har konfigurerats till
allow_only_approved_outbound. - Om du lägger till regler för utgående trafik kan Microsoft inte garantera dataexfiltrering.
Varning
FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler läggs avgifter för Azure Firewall till i din fakturering. Mer information finns i Prissättning.
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- name: added-servicetagrule
destination:
port_ranges: 80, 8080
protocol: TCP
service_tag: DataFactory
type: service_tag
- name: add-fqdnrule
destination: 'pypi.org'
type: fqdn
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
Du kan konfigurera ett hanterat virtuellt nätverk med hjälp av kommandona az ml workspace create eller az ml workspace update :
I följande exempel används parametern --managed-network allow_only_approved_outbound för att konfigurera det hanterade virtuella nätverket:
az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
Följande YAML-fil definierar en arbetsyta med ett hanterat virtuellt nätverk:
name: myworkspace
location: EastUS
managed_network:
isolation_mode: allow_only_approved_outbound
Om du vill skapa en arbetsyta med YAML-filen använder du parametern --file :
az ml workspace create --file workspace.yaml --resource-group rg --name ws
Om du vill konfigurera ett hanterat virtuellt nätverk som endast tillåter godkänd utgående kommunikation använder du ManagedNetwork klassen för att definiera ett nätverk med IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Du kan sedan använda ManagedNetwork objektet för att skapa en ny arbetsyta eller uppdatera en befintlig. Om du vill definiera regler för utgående trafik använder du följande klasser:
| Resmål | Klass |
|---|---|
| Azure-tjänst som arbetsytan förlitar sig på | PrivateEndpointDestination |
| Azure-tjänsttagg | ServiceTagDestination |
| Fullständigt domännamn (FQDN) | FqdnDestination |
I följande exempel skapas en ny arbetsyta med namnet myworkspace, med flera regler för utgående trafik:
-
myrule– Lägger till en privat slutpunkt för ett Azure Blob Store. -
datafactory– Lägger till en tjänsttaggregel för att kommunicera med Azure Data Factory.
Viktigt!
- Att lägga till ett utgående för en tjänsttagg eller ett FQDN är endast giltigt när det hanterade virtuella nätverket har konfigurerats till
IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. - Om du lägger till regler för utgående trafik kan Microsoft inte garantera dataexfiltrering.
Varning
FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler läggs avgifter för Azure Firewall till i din fakturering. Mer information finns i Prissättning.
# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
# Workspace configuration
ws = Workspace(
name="myworkspace",
location="eastus",
managed_network=network
)
# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
PrivateEndpointDestination(
name=rule_name,
service_resource_id=service_resource_id,
subresource_target=subresource_target,
spark_enabled=spark_enabled
)
)
# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
ServiceTagDestination(
name=rule_name,
service_tag=service_tag,
protocol=protocol,
port_ranges=port_ranges
)
)
# Example FQDN rule
ws.managed_network.outbound_rules.append(
FqdnDestination(
name="fqdnrule",
destination="pypi.org"
)
)
# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()
Logga in på Azure Portal och välj Azure Machine Learning från menyn Skapa en resurs.
Ange nödvändig information på fliken Grundläggande .
På fliken Nätverk väljer du Privat med godkänd utgående trafik.
Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . Ange följande information från sidofältet För utgående arbetsyta :
- Regelnamn: Ett namn på regeln. Namnet måste vara unikt för den här arbetsytan.
- Måltyp: Privat slutpunkt, tjänsttagg eller FQDN. Tjänsttagg och FQDN är endast tillgängliga när nätverksisoleringen är privat med godkänd utgående trafik.
Om måltypen är privat slutpunkt anger du följande information:
- Prenumeration: Den prenumeration som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
- Resursgrupp: Resursgruppen som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
- Resurstyp: Typen av Azure-resurs.
- Resursnamn: Namnet på Azure-resursen.
- Underresurs: Underresursen för Azure-resurstypen.
- Spark aktiverat: Välj det här alternativet om du vill aktivera serverlösa Spark-jobb för arbetsytan. Det här alternativet är bara tillgängligt om resurstypen är Azure Storage.
Tips
Azure Machine Learning managed VNet stöder inte att skapa en privat slutpunkt för alla Azure-resurstyper. En lista över resurser som stöds finns i avsnittet Privata slutpunkter .
Om måltypen är tjänsttagg anger du följande information:
- Tjänsttagg: Tjänsttaggen som ska läggas till i de godkända reglerna för utgående trafik.
- Protokoll: Protokollet som tillåter tjänsttaggen.
- Portintervall: Portintervallen för att tillåta tjänsttaggen.
Om måltypen är FQDN anger du följande information:
Varning
FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler läggs avgifter för Azure Firewall till i din fakturering. Mer information finns i Prissättning.
- FQDN-mål: Det fullständigt kvalificerade domännamnet som ska läggas till i de godkända reglerna för utgående trafik.
Välj Spara för att spara regeln. Du kan fortsätta att använda Lägg till användardefinierade utgående regler för att lägga till regler.
Fortsätt att skapa arbetsytan som vanligt.
Konfigurera för serverlösa Spark-jobb
Tips
Stegen i det här avsnittet behövs bara om du planerar att skicka serverlösa Spark-jobb. Om du inte ska skicka serverlösa Spark-jobb kan du hoppa över det här avsnittet.
Om du vill aktivera serverlösa Spark-jobb för det hanterade virtuella nätverket måste du utföra följande åtgärder:
- Konfigurera ett hanterat virtuellt nätverk för arbetsytan och lägg till en utgående privat slutpunkt för Azure Storage-kontot.
- När du har konfigurerat det hanterade virtuella nätverket etablerar du det och flaggar det för att tillåta Spark-jobb.
Konfigurera en utgående privat slutpunkt.
Använd en YAML-fil för att definiera konfigurationen av det hanterade virtuella nätverket och lägga till en privat slutpunkt för Azure Storage-kontot. Ange
spark_enabled: trueäven :Tips
Det här exemplet är för ett hanterat virtuellt nätverk som konfigurerats med
isolation_mode: allow_internet_outboundför att tillåta Internettrafik. Om du bara vill tillåta godkänd utgående trafik använder duisolation_mode: allow_only_approved_outbound.name: myworkspace managed_network: isolation_mode: allow_internet_outbound outbound_rules: - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpointDu kan använda en YAML-konfigurationsfil med
az ml workspace updatekommandot genom att ange parametern--fileoch namnet på YAML-filen. Följande kommando uppdaterar till exempel en befintlig arbetsyta med hjälp av en YAML-fil med namnetworkspace_pe.yml:az ml workspace update --file workspace_pe.yml --resource_group rg --name wsAnteckning
När Tillåt endast godkända utgående anslutningar är aktiverat (
isolation_mode: allow_only_approved_outbound) misslyckas installationen av conda-paketberoenden som definierats i Spark-sessionskonfigurationen. Lös problemet genom att ladda upp ett fristående Python-pakethjul utan externa beroenden till ett Azure Storage-konto och skapa en privat slutpunkt till det här lagringskontot. Använd sökvägen till Python-pakethjulet sompy_filesparameter i ditt Spark-jobb. Att ange en FQDN-regel för utgående trafik kringgår inte det här problemet eftersom FQDN-regelspridning inte stöds av Spark.I följande exempel visas hur du skapar ett hanterat virtuellt nätverk för en befintlig Azure Machine Learning-arbetsyta med namnet
myworkspace. Den lägger också till en privat slutpunkt för Azure Storage-kontot och angerspark_enabled=true:Tips
Följande exempel är för ett hanterat virtuellt nätverk som konfigurerats med
IsolationMode.ALLOW_INTERNET_OUTBOUNDför att tillåta Internettrafik. Om du bara vill tillåta godkänd utgående trafik använder duIsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.# Get the existing workspace ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace") ws = ml_client.workspaces.get() # Basic managed VNet configuration ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND) # Example private endpoint outbound to a blob rule_name = "myrule" service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>" subresource_target = "blob" spark_enabled = True # Add the outbound ws.managed_network.outbound_rules = [PrivateEndpointDestination( name=rule_name, service_resource_id=service_resource_id, subresource_target=subresource_target, spark_enabled=spark_enabled)] # Create the workspace ml_client.workspaces.begin_update(ws)Anteckning
- När Tillåt endast godkända utgående anslutningar är aktiverat (
isolation_mode: allow_only_approved_outbound) misslyckas installationen av conda-paketberoenden som definierats i Spark-sessionskonfigurationen. Lös problemet genom att ladda upp ett fristående Python-pakethjul utan externa beroenden till ett Azure Storage-konto och skapa en privat slutpunkt till det här lagringskontot. Använd sökvägen till Python-pakethjulet sompy_filesparameter i Spark-jobbet. - Om arbetsytan skapades med
IsolationMode.ALLOW_INTERNET_OUTBOUNDkan den inte uppdateras senare för att användaIsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Logga in på Azure Portal och välj Arbetsytan Azure Machine Learning.
Välj Nätverk och sedan Lägg till användardefinierade regler för utgående trafik. Lägg till en regel för Azure Storage-kontot och kontrollera att Spark är aktiverat .
Välj Spara för att spara regeln och välj sedan Spara överst i Nätverk för att spara ändringarna i det hanterade virtuella nätverket.
- När Tillåt endast godkända utgående anslutningar är aktiverat (
Etablera det hanterade virtuella nätverket.
Anteckning
Om den offentliga nätverksåtkomsten är aktiverad på arbetsytan måste du inaktivera den innan du etablerar det hanterade virtuella nätverket. Om du inte inaktiverar åtkomst till offentligt nätverk när du etablerar det hanterade virtuella nätverket kanske inte de privata slutpunkterna för arbetsytan skapas automatiskt i det hanterade virtuella nätverket. Annars måste du manuellt konfigurera regeln för utgående privat slutpunkt för arbetsytan efter etableringen.
I följande exempel visas hur du etablerar ett hanterat virtuellt nätverk för serverlösa Spark-jobb med hjälp av parametern
--include-spark.az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-sparkI följande exempel visas hur du etablerar ett hanterat virtuellt nätverk för serverlösa Spark-jobb:
# Connect to a workspace named "myworkspace" ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace") # whether to provision Spark vnet as well include_spark = True provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()Från Azure-portalen kan du bara välja att etablera det hanterade nätverket när arbetsytan skapas. Det gör du genom att välja Etablera hanterat virtuellt nätverk på fliken Utgående åtkomst . Om du vill etablera det hanterade nätverket för serverlösa Spark-jobb för en befintlig arbetsyta måste du använda Azure CLI eller Python SDK.
Etablera ett hanterat virtuellt nätverk manuellt
Det hanterade virtuella nätverket etableras automatiskt när du skapar en beräkningsinstans. När du förlitar dig på automatisk etablering kan det ta cirka 30 minuter att skapa den första beräkningsinstansen eftersom den även etablerar nätverket. Om du har konfigurerat utgående FQDN-regler (bara tillgängligt i läget endast godkända regler) lägger den första FQDN-regeln till cirka 10 minuter till provisioneringstiden. Om du har en stor uppsättning utgående regler som ska etableras i det hanterade nätverket kan det ta längre tid för etableringen att slutföras. Den ökade etableringstiden kan orsaka att skapandet av din första beräkningsinstans tidsbegränsas.
För att minska väntetiden och undvika potentiella timeout-fel rekommenderar vi att du etablerar det hanterade nätverket manuellt. Vänta sedan tills etableringen är klar innan du skapar en beräkningsinstans.
Du kan också använda provision_network_now flaggan för att etablera det hanterade nätverket som en del av skapandet av arbetsytan.
Anteckning
Om du vill skapa en onlinedistribution måste du etablera det hanterade nätverket manuellt eller skapa en beräkningsinstans först som automatiskt etablerar den.
I följande exempel visas hur du etablerar ett hanterat virtuellt nätverk när arbetsytan skapas.
az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now
I följande exempel visas hur du etablerar ett hanterat virtuellt nätverk manuellt.
Tips
Om du planerar att skicka serverlösa Spark-jobb lägger du till parametern --include-spark .
az ml workspace provision-network -g my_resource_group -n my_workspace_name
Kontrollera att etableringen har slutförts genom att använda följande kommando:
az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network
Om du vill etablera det hanterade nätverket när arbetsytan skapas anger du provision_network_now flaggan till True.
provision_network_now: True
I följande exempel visas hur du etablerar ett hanterat virtuellt nätverk:
# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
# whether to provision Spark vnet as well
include_spark = True
provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
Om du vill kontrollera att arbetsytan har etablerats använder du ml_client.workspaces.get() för att hämta information om arbetsytan. Egenskapen managed_network innehåller status för det hanterade nätverket.
ws = ml_client.workspaces.get()
print(ws.managed_network.status)
När du skapar arbetsytan, välj Ordna ett hanterat nätverk proaktivt vid skapandet för att etablera det hanterade nätverket. Avgifter tillkommer från nätverksresurser, till exempel privata slutpunkter, när det virtuella nätverket har etablerats. Det här konfigurationsalternativet är endast tillgängligt när arbetsytan skapas.
Konfigurera bildkonfigurationer
När Azure Container Registry för din arbetsyta finns bakom ett virtuellt nätverk kan det inte användas för att skapa Docker-avbildningar direkt. Konfigurera i stället arbetsytan så att den använder ett beräkningskluster eller en beräkningsinstans för att skapa avbildningar.
Viktigt!
Den beräkningsresurs som används för att skapa Docker-avbildningar måste kunna komma åt paketlagringsplatserna som används för att träna och distribuera dina modeller. Om du använder ett nätverk som konfigurerats för att endast tillåta godkänd utgående trafik kan du behöva lägga till regler som tillåter åtkomst till offentliga lagringsplatser eller använder privata Python-paket.
Om du vill uppdatera en arbetsyta för att använda ett beräkningskluster eller en beräkningsinstans för att skapa Docker-avbildningar använder du az ml workspace update kommandot med parametern --image-build-compute :
az ml workspace update --name ws --resource-group rg --image-build-compute mycompute
I följande exempel visas hur du uppdaterar en arbetsyta för att använda ett beräkningskluster för att skapa avbildningar:
# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"
ml_client = MLClient(
DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name=workspace
)
# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)
Det går inte att ange beräkningsresurserna för avbildningsbygget från Azure-portalen. Använd i stället Azure CLI eller Python SDK.
Hantera regler för utgående trafik
Om du vill visa en lista över regler för utgående trafik för ett hanterat virtuellt nätverk för en arbetsyta använder du följande kommando:
az ml workspace outbound-rule list --workspace-name ws --resource-group rg
Om du vill visa information om en utgående regel för ett hanterat virtuellt nätverk använder du följande kommando:
az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg
Om du vill ta bort en regel för utgående trafik från det hanterade virtuella nätverket använder du följande kommando:
az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg
I följande exempel visas hur du hanterar regler för utgående trafik för en arbetsyta med namnet myworkspace:
# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
# Specify the rule name
rule_name = "<some-rule-name>"
# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)
# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)
# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()
Logga in på Azure Portal och välj den Azure Machine Learning-arbetsyta som du vill aktivera hanterad virtuell nätverksisolering för.
Välj Nätverk. I avsnittet Utgående åtkomst för arbetsyta kan du hantera regler för utgående trafik.
Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . Ange följande information från sidofältet För utgående arbetsyta :
Om du vill aktivera eller inaktivera en regel använder du växlingsknappen i kolumnen Aktiv.
Om du vill ta bort en regel för utgående trafik väljer du Ta bort för regeln.
Lista över obligatoriska regler
Privata slutpunkter:
- När isoleringsläget för det hanterade virtuella nätverket är
Allow internet outboundskapas regler för utgående privat slutpunkt automatiskt som obligatoriska regler från det hanterade virtuella nätverket för arbetsytan och associerade resurser med offentlig nätverksåtkomst inaktiverad (Key Vault, Lagringskonto, Container Registry, Azure Machine Learning-arbetsyta). - När isoleringsläget för det hanterade virtuella nätverket är
Allow only approved outboundskapas regler för utgående privat slutpunkt automatiskt som obligatoriska regler från det hanterade virtuella nätverket för arbetsytan och associerade resurser oavsett åtkomstläge för offentliga nätverk för dessa resurser (Key Vault, Lagringskonto, Container Registry, Azure Machine Learning-arbetsytan). - Dessa regler läggs automatiskt till i det hanterade virtuella nätverket.
För att Azure Machine Learning ska kunna köras normalt finns det en uppsättning tjänsttaggar som krävs i antingen en hanterad eller anpassad konfiguration av virtuella nätverk. Det finns inga alternativ för att ersätta vissa nödvändiga tjänsttaggar. I följande tabell beskrivs varje obligatorisk tjänsttagg och dess syfte i Azure Machine Learning.
| Regel för tjänsttagg | Inkommande eller utgående | Syfte |
|---|---|---|
AzureMachineLearning |
Inkommande | Skapa, uppdatera och ta bort Azure Machine Learning-beräkningsinstans/-kluster. |
AzureMachineLearning |
Utgående | Använda Azure Machine Learning Services. Python intellisense i notebooks använder port 18881. När du skapar, uppdaterar och tar bort en Azure Machine Learning-beräkningsinstans används port 5831. |
AzureActiveDirectory |
Utgående | Autentisering med Microsoft Entra ID. |
BatchNodeManagement.region |
Utgående | Kommunikation med Azure Batch-serverdelen för Azure Machine Learning-beräkningsinstanser/-kluster. |
AzureResourceManager |
Utgående | Skapa Azure-resurser med Azure Machine Learning, Azure CLI och Azure Machine Learning SDK. |
AzureFrontDoor.FirstParty |
Utgående | Åtkomst till Docker-avbildningar som tillhandahålls av Microsoft. |
MicrosoftContainerRegistry |
Utgående | Åtkomst till Docker-avbildningar som tillhandahålls av Microsoft. Installation av Azure Machine Learning-routern för Azure Kubernetes Service. |
AzureMonitor |
Utgående | Används för att logga övervakning och mått till Azure Monitor. Behövs bara om Azure Monitor för arbetsytan inte är skyddad. Denna utgående data används också för att logga information för supportincidenter. |
VirtualNetwork |
Utgående | Krävs när privata slutpunkter finns i det virtuella nätverket eller peer-kopplade virtuella nätverk. |
Anteckning
Att använda tjänsttaggar som den ENDA säkerhetsgränsen är inte tillräckligt. Använd privata slutpunkter när det är möjligt för isolering på klientnivå.
Lista över scenariospecifika regler för utgående trafik
Scenario: Få åtkomst till offentliga maskininlärningspaket
Om du vill tillåta installation av Python-paket för träning och distribution lägger du till utgående FQDN-regler för att tillåta trafik till följande värdnamn:
Varning
FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler läggs avgifter för Azure Firewall till i din fakturering. Mer information finns i Prissättning.
Anteckning
Följande lista innehåller inte alla värdar som krävs för alla Python-resurser på Internet, bara de som används oftast. Om du till exempel behöver åtkomst till en GitHub-lagringsplats eller en annan värd måste du identifiera och lägga till de värdar som krävs för det scenariot.
| Värdnamn | Syfte |
|---|---|
anaconda.com*.anaconda.com |
Används för att installera standardpaket. |
*.anaconda.org |
Används för att hämta lagringsplatsdata. |
pypi.org |
Används för att lista beroenden från standardindexet, om det finns några, och indexet skrivs inte över av användarinställningarna. Om indexet skrivs över måste du också tillåta *.pythonhosted.org. |
pytorch.org*.pytorch.org |
Används av några exempel baserade på PyTorch. |
*.tensorflow.org |
Används av några exempel som baseras på TensorFlow. |
Scenario: Använda Visual Studio Code Desktop eller webben med beräkningsinstans
Om du planerar att använda Visual Studio Code med Azure Machine Learning lägger du till utgående FQDN-regler för att tillåta trafik till följande värdar:
Anteckning
Följande lista är inte en fullständig lista över de värdar som krävs för alla Visual Studio Code-resurser på Internet, endast de vanligaste. Om du till exempel behöver åtkomst till en GitHub-lagringsplats eller en annan värd måste du identifiera och lägga till de värdar som krävs för det scenariot. En fullständig lista över värdnamn finns i Nätverksanslutningar i Visual Studio Code.
| Värdnamn | Syfte |
|---|---|
*.vscode.dev*.vscode-unpkg.net*.vscode-cdn.net*.vscodeexperiments.azureedge.netdefault.exp-tas.com |
Krävs för åtkomst till vscode.dev (Visual Studio Code för webben). |
code.visualstudio.com |
Krävs för att ladda ned och installera skrivbordsversionen av VS Code. Den här värden behövs inte för VS Code Webb. |
update.code.visualstudio.com*.vo.msecnd.net |
Används för att hämta VS Code-serverbitar som installeras på beräkningsinstansen via ett installationsskript. |
marketplace.visualstudio.comvscode.blob.core.windows.net*.gallerycdn.vsassets.io |
Krävs för att ladda ned och installera VS Code-tillägg. Dessa värdar aktiverar fjärranslutningen till beräkningsinstanser. Mer information finns i Hantera Azure Machine Learning-resurser i VS Code. |
vscode.download.prss.microsoft.com |
Används för Visual Studio Code nedladdning CDN |
Scenario: Använda batchslutpunkter eller ParallelRunStep
Om du planerar att använda Azure Machine Learning-batchslutpunkter för distribution eller ParallelRunStep lägger du till regler för utgående privat slutpunkt för att tillåta trafik till följande underresurser för standardlagringskontot:
queuetable
Scenario: Använda promptflöde med Azure OpenAI, innehållssäkerhet och Azure AI Search
- Privat slutpunkt till Azure AI Services
- Privat slutpunkt till Azure AI Search
Scenario: Använda HuggingFace-modeller
Om du planerar att använda HuggingFace-modeller med Azure Machine Learning lägger du till utgående FQDN-regler för att tillåta trafik till följande värdar:
Varning
FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler läggs avgifter för Azure Firewall till i din fakturering. Mer information finns i Prissättning.
docker.io*.docker.io*.docker.comproduction.cloudflare.docker.comcdn.auth0.comcdn-lfs.huggingface.co
Scenario: Aktivera åtkomst från valda IP-adresser
Om du vill aktivera åtkomst från specifika IP-adresser använder du följande åtgärder:
Lägg till en regel för utgående privat slutpunkt för att tillåta trafik till Azure Machine Learning-arbetsytan. Med den här regeln kan beräkningsinstanser som skapats i det hanterade virtuella nätverket komma åt arbetsytan.
Tips
Du kan inte lägga till den här regeln när arbetsytan skapas eftersom arbetsytan inte finns ännu.
Aktivera offentlig nätverksåtkomst till arbetsytan. Mer information finns i Åtkomst till offentligt nätverk aktiverat.
Lägg till dina IP-adresser i brandväggen för Azure Machine Learning. Mer information finns i aktivera åtkomst endast från IP-intervall.
Anteckning
Endast IPv4-adresser stöds.
Mer information finns i Konfigurera privat länk.
Privata slutpunkter
Privata slutpunkter stöds för närvarande för följande Azure-tjänster:
- Azure Machine Learning
- Azure Machine Learning-register
- Azure Storage (alla underresurstyper)
- Azure Container Registry (containerregistertjänst från Azure)
- Azure 密钥保管库
- Azure AI-tjänster
- Azure AI Search (tidigare Cognitive Search)
- Azure SQL Server
- Azure Data Factory
- Azure Cosmos DB (alla underresurstyper)
- Azure Event Hubs
- Azure Redis Cache-tjänsten
- Azure Databricks
- Azure-databas för MariaDB
- Azure Database for PostgreSQL – enskild server
- Flexibel server för Azure Database for PostgreSQL
- Azure-databas för MySQL
- Azure API Management
- Stöder endast klassisk nivå utan VNET-inmatning och Standard V2-nivå med integrering av virtuella nätverk. Mer information om virtuella API Management-nätverk finns i Begrepp för virtuella nätverk
- Application Insights (via PrivateLinkScopes)
När du skapar en privat slutpunkt anger du resurstypen och underresursen som slutpunkten ansluter till. Vissa resurser har flera typer och underresurser. Mer information finns i vad som är en privat slutpunkt.
När du skapar en privat slutpunkt för Azure Machine Learning-beroenderesurser, till exempel Azure Storage, Azure Container Registry och Azure Key Vault, kan resursen finnas i en annan Azure-prenumeration. Resursen måste dock finnas i samma klientorganisation som Azure Machine Learning-arbetsytan.
Privata slutpunkter för arbetsytan skapas inte automatiskt. De skapas bara när den första beräkningen skapas eller när etablering av hanterade virtuella nätverk tvingas. Mer information om hur du tvingar fram etablering av hanterade virtuella nätverk finns i Etablera nätverket manuellt.
Godkännande av privata slutpunkter
För att upprätta privata slutpunktsanslutningar i hanterade virtuella nätverk med Azure Machine Learning måste arbetsytans hanterade identitet, oavsett om den är systemtilldelad eller användartilldelad, ha behörighet att godkänna privata slutpunktsanslutningar på målresurserna. Tidigare utfördes den här tilldelningen via automatiska rolltilldelningar av Azure Machine Learning-tjänsten. Det finns dock säkerhetsproblem med den automatiska rolltilldelningen. För att förbättra säkerheten, från och med den 30 april 2025, är den här rolltilldelningen inte automatisk.
Vi rekommenderar att du tilldelar rollen godkännare för Azure AI Enterprise-nätverksanslutning eller en anpassad roll med nödvändiga behörigheter för privat slutpunktsanslutning på målresurstyperna. Om du vill tillåta Azure Machine Learning-tjänster att godkänna privata slutpunktsanslutningar till Azure-målresurserna beviljar du rollen till Azure Machine Learning-arbetsytans hanterade identitet.
Här är listan över resurstyper för privata slutpunkter som omfattas av azure AI Enterprise Network Connection Approver-rollen:
- Azure Application Gateway
- Azure Monitor
- Azure AI-sökning
- Event Hubs
- Azure SQL Database
- Azure Storage
- Azure Machine Learning-arbetsyta
- Azure Machine Learning-register
- Azure AI Foundry
- Azure 密钥保管库
- Azure Cosmos DB
- Azure-databas för MySQL
- Azure-databasen för PostgreSQL
- Azure AI-tjänster
- Azure-cache för Redis
- Containerregister
- API Management
Om du vill skapa utgående regler för privat slutpunkt för att rikta mot resurstyper som inte täcks av Azure AI Enterprise Network Connection Approver-rollen, rekommenderas en specifikt anpassad roll. Regeln bör definiera de åtgärder som krävs för att godkänna privata slutpunktsanslutningar för målresurstyperna. Exempel på sådana resurstyper är Azure Data Factory, Azure Databricks och Azure Function Apps.
För att skapa utgående regler för privata slutpunkter till arbetsytans standardresurser täcks de nödvändiga behörigheterna automatiskt av rolltilldelningarna som ges vid skapandet av arbetsytan, vilket innebär att inga ytterligare åtgärder behövs.
Välj en Azure Firewall-version för tillåten endast godkänd utgående trafik
En Azure Firewall distribueras om en utgående FQDN-regel skapas i det tillåtna endast godkända utgående läget. Avgifter för Azure Firewall ingår i din fakturering. Som standard skapas en Standard-version av AzureFirewall. Du kan också välja att använda en grundläggande version. Du kan ändra brandväggsversionen som används efter behov. Om du vill ta reda på vilken version som är bäst för dig går du till Välj rätt Azure Firewall-version.
Viktigt!
Brandväggen skapas inte förrän du lägger till en utgående FQDN-regel. Mer information om priser finns i Prissättning för Azure Firewall och visa priser för standardversionen . URL-baserad filtrering stöds endast med Premium SKU Azure Firewall, inte Basic eller Standard SKU Azure Firewall. Det hanterade virtuella nätverket stöder inte Premium SKU Azure Firewall.
När du har valt det tillåtna endast godkända utgående läget visas ett alternativ för att välja Azure Firewall-versionen (SKU). Välj Standard för att använda standardversionen eller Basic för att använda den grundläggande versionen. Spara konfigurationen genom att välja Spara .
Om du vill konfigurera brandväggsversionen från CLI använder du en YAML-fil och anger firewall_sku. I följande exempel visas en YAML-fil som anger brandväggs-SKU:n till basic:
name: test-ws
resource_group: test-rg
location: eastus2
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- category: required
destination: 'contoso.com'
name: contosofqdn
type: fqdn
firewall_sku: basic
tags: {}
Om du vill konfigurera brandväggsversionen från Python SDK anger du firewall_sku objektets ManagedNetwork egenskap. I följande exempel visas hur du ställer in brandväggs-SKU:n på basic:
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND,
firewall_sku='basic')
Prissättning
Funktionen hanterat virtuellt nätverk i Azure Machine Learning är kostnadsfri. Du debiteras dock för följande resurser som används av det hanterade virtuella nätverket:
Azure Private Link – Privata slutpunkter som används för att skydda kommunikationen mellan det hanterade virtuella nätverket och Azure-resurser förlitar sig på Azure Private Link. Mer information om priser finns i Prissättning för Azure Private Link.
Utgående FQDN-regler – FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler läggs avgifter för Azure Firewall till i din fakturering. En standardversion av Azure Firewall används som standard. Information om hur du väljer den grundläggande versionen finns i Välj en Azure Firewall-version.
Viktigt!
Brandväggen skapas inte förrän du lägger till en utgående FQDN-regel. Mer information om priser finns i Prissättning för Azure Firewall och visa priser för standardversionen .
Begränsningar
- När du har aktiverat isolering av hanterade virtuella nätverk på din arbetsyta (tillåt antingen utgående internet eller tillåt endast godkänd utgående trafik) kan du inte inaktivera den.
- Det hanterade virtuella nätverket använder en privat slutpunktsanslutning för att få åtkomst till dina privata resurser. Du kan inte ha en privat slutpunkt och en tjänstslutpunkt samtidigt för dina Azure-resurser, till exempel ett lagringskonto. Vi rekommenderar att du använder privata slutpunkter i alla scenarier.
- Det hanterade virtuella nätverket tas bort när arbetsytan tas bort.
- Kontrollera att det inte finns några omfångslås för Azure Machine Learning-resurser och resursgruppen. Interna åtgärder som rör hanterat virtuellt nätverk kan blockeras.
- Dataexfiltreringsskydd aktiveras automatiskt för det enda godkända utgående läget. Om du lägger till andra regler för utgående trafik, till exempel till FQDN, kan Microsoft inte garantera att du skyddas från dataexfiltrering till dessa utgående mål.
- Det går inte att skapa ett beräkningskluster i en annan region än arbetsytan när du använder ett hanterat virtuellt nätverk.
- Kubernetes och anslutna virtuella datorer stöds inte i ett hanterat virtuellt Azure Machine Learning-nätverk.
- Om du använder utgående FQDN-regler ökar kostnaden för det hanterade virtuella nätverket eftersom FQDN-regler använder Azure Firewall. Mer information finns i Prissättning.
- FQDN-regler för utgående trafik stöder endast portarna 80 och 443.
- Om beräkningsinstansen finns i ett hanterat nätverk och inte har konfigurerats för någon offentlig IP-adress använder du kommandot
az ml compute connect-sshför att ansluta till den med hjälp av SSH. - När du använder hanterat virtuellt nätverk kan du inte distribuera beräkningsresurser i ditt anpassade virtuella nätverk. Beräkningsresurser kan bara skapas i det hanterade virtuella nätverket.
- Om ditt hanterade nätverk har konfigurerats för att endast tillåta godkänd utgående trafik kan du inte använda en FQDN-regel för åtkomst till Azure Storage-konton. Du måste använda en privat slutpunkt i stället.
- Se till att vitlista Microsoft-hanterade privata slutpunkter som skapats för det hanterade virtuella nätverket i din anpassade policy.
Migrering av beräkningsresurser
Om du har en befintlig arbetsyta och vill aktivera hanterade virtuella nätverk för den finns det för närvarande ingen migreringssökväg som stöds för befintliga hanterade beräkningsresurser. Du måste ta bort alla befintliga hanterade beräkningsresurser och återskapa dem när du har aktiverat det hanterade virtuella nätverket. Följande lista innehåller de beräkningsresurser som måste tas bort och återskapas:
- Beräkningskluster
- Beräkningsinstans
- Hanterade onlineslutpunkter