Skydda en Azure Machine Learning-slutsatsdragningsmiljö med virtuella nätverk

I den här artikeln får du lära dig hur du skyddar slutsatsdragningsmiljöer (onlineslutpunkter) med ett virtuellt nätverk i Azure Machine Learning. Det finns två slutsatsdragningsalternativ som kan skyddas med hjälp av ett virtuellt nätverk:

  • Azure Machine Learning-hanterade onlineslutpunkter
  • Azure Kubernetes Service

Tips

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:

En självstudiekurs om hur du skapar en säker arbetsyta finns i Självstudie: Skapa en säker arbetsyta eller Självstudie: Skapa en säker arbetsyta med hjälp av en mall.

Förutsättningar

  • Läs artikeln Översikt över nätverkssäkerhet för att förstå vanliga scenarier för virtuella nätverk och övergripande arkitektur för virtuella nätverk.

  • Ett befintligt virtuellt nätverk och undernät som används för att skydda Azure Machine Learning-arbetsytan.

  • Om du vill distribuera resurser till ett virtuellt nätverk eller undernät måste ditt användarkonto ha behörighet till följande åtgärder i rollbaserad åtkomstkontroll i Azure (Azure RBAC):

    • "Microsoft.Network/virtualNetworks/join/action" på den virtuella nätverksresursen.
    • "Microsoft.Network/virtualNetworks/subnet/join/action" på undernätsresursen.

    Mer information om Azure RBAC och nätverk finns i Inbyggda nätverksroller.

  • Om du använder Azure Kubernetes Service (AKS) måste du ha ett befintligt AKS-kluster skyddat enligt beskrivningen i artikeln Skydda Azure Kubernetes Service slutsatsdragningsmiljö.

Skydda hanterade onlineslutpunkter

Information om hur du skyddar hanterade onlineslutpunkter finns i artikeln Använda nätverksisolering med hanterade onlineslutpunkter (förhandsversion).

Skydda Azure Kubernetes Service

Använd följande steg för att konfigurera och ansluta ett Azure Kubernetes Service kluster för säker slutsatsdragning:

  1. Skapa eller konfigurera en säker Kubernetes-slutsatsdragningsmiljö.
  2. Koppla Kubernetes-klustret till arbetsytan.

Därefter kan du använda klustret för slutsatsdragningsdistributioner till onlineslutpunkter. Mer information finns i Distribuera en onlineslutpunkt.

Begränsa utgående anslutningar från det virtuella nätverket

Om du inte vill använda standardreglerna för utgående trafik och vill begränsa utgående åtkomst för ditt virtuella nätverk måste du tillåta åtkomst till Azure Container Registry. Kontrollera till exempel att nätverkssäkerhetsgrupper (NSG) innehåller en regel som tillåter åtkomst till tjänsttaggen AzureContainerRegistry.RegionName där {RegionName} är namnet på en Azure-region.

Nästa steg

Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien: