Gelen ve giden ağ trafiğini yapılandırma

Bu makalede, bir sanal ağda (VNet) Azure Machine Learning çalışma alanının güvenliğini sağlarken ağ iletişim gereksinimleri hakkında bilgi edinin. Azure Machine Learning çalışma alanınıza ve genel İnternet'e erişimi denetlemek için Azure Güvenlik Duvarı yapılandırmayı da içerir. Azure Machine Learning'in güvenliğini sağlama hakkında daha fazla bilgi edinmek için bkz. Azure Machine Learning için kurumsal güvenlik.

Not

Bu makaledeki bilgiler, özel uç nokta ile yapılandırılmış Azure Machine Learning çalışma alanı için geçerlidir.

İpucu

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

İyi bilinen bağlantı noktaları

Aşağıda, bu makalede listelenen hizmetler tarafından kullanılan iyi bilinen bağlantı noktaları verilmiştır. Bu makalede bir bağlantı noktası aralığı kullanılıyorsa ve bu bölümde listelenmiyorsa, hizmete özgüdür ve ne için kullanıldığına ilişkin bilgi yayımlamamış olabilir:

Bağlantı noktası Description
80 Güvenli olmayan web trafiği (HTTP)
443 Güvenli web trafiği (HTTPS)
445 Azure Dosya Depolama'da dosya paylaşımlarına erişmek için kullanılan SMB trafiği
8787 İşlem örneğinde RStudio'ya bağlanırken kullanılır

Gerekli genel İnternet erişimi

Azure Machine Learning, genel İnternet'e hem gelen hem de giden erişimi gerektirir. Aşağıdaki tablolarda, hangi erişimin gerekli olduğu ve ne için olduğu hakkında genel bir bakış sağlanır. Tüm öğelerin protokolüTCP'dir. ile biten .regionhizmet etiketleri için değerini çalışma alanınızı içeren Azure bölgesiyle değiştirin region . Örneğin, Storage.westus:

Yön Bağlantı noktaları Hizmet etiketi Amaç
Gelen 29876-29877 BatchNodeManagement Azure Machine Learning işlem örneğini ve işlem kümesini oluşturun, güncelleştirin ve silin. Genel IP Yok seçeneğini kullanıyorsanız bu gerekli değildir.
Gelen 44224 AzureMachineÖğring Azure Machine Learning işlem örneğini oluşturma, güncelleştirme ve silme. Genel IP Yok seçeneğini kullanıyorsanız bu gerekli değildir.
Giden 80, 443 AzureActiveDirectory Azure AD kullanarak kimlik doğrulaması.
Giden 443, 8787, 18881 AzureMachineÖğring Azure Machine Learning hizmetlerini kullanma.
Giden 443 AzureResourceManager Azure Machine Learning ile Azure kaynakları oluşturma.
Giden 443, 445 (*) Storage.region İşlem kümesi ve işlem örneği için Azure Depolama Hesabında depolanan verilere erişin. Bu giden, verileri çıkarmak için kullanılabilir. Daha fazla bilgi için bkz. Veri sızdırma koruması.
(*) 445 yalnızca Azure ML için sanal ağınız ile depolama hesaplarınız için özel uç nokta arasında bir güvenlik duvarınız varsa gereklidir.
Giden 443 AzureFrontDoor.FrontEnd
* Azure Çin'de gerekli değildir.
Azure Machine Learning stüdyosu için genel giriş noktası. AutoML için görüntüleri ve ortamları depolayın.
Giden 443 MicrosoftContainerRegistry.region
Bu etiketin AzureFrontDoor.FirstParty etiketine bağımlılığı olduğunuunutmayın
Microsoft tarafından sağlanan docker görüntülerine erişin. Azure Kubernetes Service için Azure Machine Learning yönlendiricisinin kurulumu.
Giden 443 AzureMonitor İzlemeyi ve ölçümleri App Insights ve Azure İzleyici'ye günlüğe kaydetmek için kullanılır.
Giden 443 Keyvault.region Azure Batch hizmetinin anahtar kasasına erişin. Yalnızca çalışma alanınız hbi_workspace bayrağı etkin olarak oluşturulduysa gereklidir.

İpucu

Hizmet etiketleri yerine IP adreslerine ihtiyacınız varsa, aşağıdaki seçeneklerden birini kullanın:

IP adresleri düzenli aralıklarla değişebilir.

Önemli

Genel IP adresi olmadan yapılandırılmış bir işlem kümesi kullanırken aşağıdaki trafiğe izin vermelisiniz:

  • VirtualNetwork kaynağından ve herhangi bir bağlantı noktası kaynağından VirtualNetwork hedefine ve 29876, 29877 hedef bağlantı noktasına gelen.
  • AzureLoadBalancer kaynağından ve herhangi bir bağlantı noktası kaynağından hedef VirtualNetwork'e ve bağlantı noktası 44224 hedefine gelen.

Makine öğrenmesi projenizin gerektirdiği paketlerin yüklenmesi için Visual Studio Code ve Microsoft dışı sitelere giden trafiğe de izin vermeniz gerekebilir. Aşağıdaki tabloda makine öğrenmesi için yaygın olarak kullanılan depolar listelenir:

Konak adı Amaç

anaconda.com *.anaconda.com
Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org Depo verilerini almak için kullanılır.
pypi.org Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa *.pythonhosted.org'a da izin vermelisiniz.
cloud.r-project.org R geliştirmesi için CRAN paketlerini yüklerken kullanılır.
*pytorch.org PyTorch tabanlı bazı örnekler tarafından kullanılır.
*.tensorflow.org Tensorflow'u temel alan bazı örnekler tarafından kullanılır.
code.visualstudio.com VS Code masaüstünü indirmek ve yüklemek için gereklidir. Bu, VS Code Web için gerekli değildir.

update.code.visualstudio.com *.vo.msecnd.net
İşlem örneğine bir kurulum betiği aracılığıyla yüklenen VS Code sunucu bitlerini almak için kullanılır.

marketplace.visualstudio.com
vscode.blob.core.windows.net *.gallerycdn.vsassets.io
VS Code uzantılarını indirmek ve yüklemek için gereklidir. Bunlar, VS Code için Azure ML uzantısı tarafından sağlanan İşlem Örneklerine uzak bağlantıyı etkinleştirir. Daha fazla bilgi için bkz. Visual Studio Code'de Azure Machine Learning işlem örneğine bağlanma.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* İşlem örneğine yüklenen websocket sunucu bitlerini almak için kullanılır. websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) istekleri işlem örneğinde çalışan Visual Studio Code sunucuya iletmek için kullanılır.

Azure Machine Learning ile Azure Kubernetes Service (AKS) kullanırken AKS sanal asına şu trafiğe izin verin:

Azure Güvenlik Duvarı

Önemli

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynakları için güvenlik sağlar. Azure Depolama Hesapları gibi bazı Azure Hizmetlerinin, söz konusu hizmet örneği için genel uç nokta için geçerli olan kendi güvenlik duvarı ayarları vardır. Bu belgedeki bilgiler Azure Güvenlik Duvarı özgüdür.

Hizmet örneği güvenlik duvarı ayarları hakkında bilgi için bkz. Sanal ağda studio kullanma.

  • Azure Machine Learning işlem kümesine ve işlem örneğine gelen trafik için güvenlik duvarını atlamak için kullanıcı tanımlı yolları (UDR) kullanın.

  • Giden trafik için ve uygulama kuralları oluşturun.

Bu kural koleksiyonları, Bazı Azure Güvenlik Duvarı kavramları nedir? başlığında daha ayrıntılı olarak açıklanmıştır.

Gelen yapılandırma

Azure Machine Learning işlem örneğini (genel IP ile) veya işlem kümesini kullanırken, Azure Batch yönetimi ve Azure Machine Learning hizmetlerinden gelen trafiğe izin verin. Genel IP 'ye (önizleme) sahip olmayan işlem örneği bu gelen iletişimi gerektirmez. Bu trafiğe izin veren bir Ağ Güvenlik Grubu sizin için dinamik olarak oluşturulur, ancak güvenlik duvarınız varsa kullanıcı tanımlı yollar (UDR) da oluşturmanız gerekebilir. Bu trafik için bir UDR oluştururken, trafiği yönlendirmek için IP Adreslerini veya hizmet etiketlerini kullanabilirsiniz.

Önemli

Hizmet etiketlerini kullanıcı tanımlı yollarla kullanmak artık GA'dır. Daha fazla bilgi için bkz. yönlendirme Sanal Ağ.

İpucu

Genel IP'ye (önizleme özelliği) sahip olmayan bir işlem örneğinin bu gelen trafik için UDR'ye ihtiyacı olmasa da, bir işlem kümesi veya genel IP'ye sahip bir işlem örneği kullanıyorsanız bu UDR'lere ihtiyacınız olacaktır.

Azure Machine Learning hizmeti için hem birincil hem de ikincil bölgelerin IP adresini eklemeniz gerekir. İkincil bölgeyi bulmak için bkz. Azure'da bölgeler arası çoğaltma. Örneğin, Azure Machine Learning hizmetiniz Doğu ABD 2'deyse ikincil bölge Orta ABD'dir.

Batch hizmetinin ve Azure Machine Learning hizmetinin IP adreslerinin listesini almak için BatchNodeManagement.<region>Azure IP Aralıkları ve Hizmet Etiketleri'ni indirin ve dosyasında ve AzureMachineLearning.<region>araması yapın. Burada <region> Azure bölgenizdir.

Önemli

IP adresleri zaman içinde değişebilir.

UDR'yi oluştururken Sonraki atlama türünüİnternet olarak ayarlayın. Bu, Azure'dan gelen iletişimin güvenlik duvarınızı atlayarak İşlem Örneği ve İşlem Kümesi genel IP'lerine sahip yük dengeleyicilere erişmesini sağlar. İşlem Örneği ve İşlem Kümesi oluşturma sırasında rastgele genel IP'ler alacağından ve Azure'dan İşlem Örneği ve İşlem Kümesi için belirli IP'lere gelenlere izin vermek üzere güvenlik duvarınıza kaydetmek üzere oluşturmadan önce genel IP'leri tanıyamadığınız için UDR gereklidir. Aşağıdaki görüntüde Azure portal ip adresi tabanlı UDR örneği gösterilmektedir:

Kullanıcı tanımlı yol yapılandırmasının görüntüsü

UDR'yi yapılandırma hakkında bilgi için bkz . Ağ trafiğini yönlendirme tablosuyla yönlendirme.

Giden yapılandırma

  1. Aşağıdaki hizmet etiketlerine gelen ve bu etiketlerden gelen trafiğe izin veren Ağ kuralları ekleyin:

    Hizmet etiketi Protokol Bağlantı noktası
    AzureActiveDirectory TCP 80, 443
    AzureMachineÖğring TCP 443, 8787, 18881
    AzureResourceManager TCP 443
    Storage.region TCP 443
    AzureFrontDoor.FrontEnd
    * Azure Çin'de gerekli değildir.
    TCP 443
    AzureContainerRegistry.region TCP 443
    MicrosoftContainerRegistry.region
    Bu etiketin AzureFrontDoor.FirstParty etiketine bağımlılığı olduğunuunutmayın
    TCP 443
    AzureKeyVault.region TCP 443

    İpucu

    • AzureContainerRegistry.region yalnızca özel Docker görüntüleri için gereklidir. Microsoft tarafından sağlanan temel görüntülerde küçük değişiklikler (ek paketler gibi) dahil.
    • MicrosoftContainerRegistry.region yalnızca Microsoft tarafından sağlanan varsayılan Docker görüntülerini kullanmayı ve kullanıcı tarafından yönetilen bağımlılıkları etkinleştirmeyi planlıyorsanız gereklidir.
    • AzureKeyVault.region yalnızca çalışma alanınız hbi_workspace bayrağı etkin olarak oluşturulduysa gereklidir.
    • öğesini içeren regiongirişler için değerini kullandığınız Azure bölgesiyle değiştirin. Örneğin, AzureContainerRegistry.westus.
  2. Aşağıdaki konaklar için Uygulama kuralları ekleyin:

    Not

    Bu, iletişim kurmanız gerekebilecek tüm konaklar için gerekli olan konakların tam listesi değildir, yalnızca en sık kullanılanlar. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu senaryo için gerekli konakları tanımlamanız ve eklemeniz gerekir.

    Konak adı Amaç

    anaconda.com *.anaconda.com
    Varsayılan paketleri yüklemek için kullanılır.
    *.anaconda.org Depo verilerini almak için kullanılır.
    pypi.org Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa *.pythonhosted.org'a da izin vermelisiniz.
    cloud.r-project.org R geliştirmesi için CRAN paketlerini yüklerken kullanılır.
    *pytorch.org PyTorch tabanlı bazı örnekler tarafından kullanılır.
    *.tensorflow.org Tensorflow'u temel alan bazı örnekler tarafından kullanılır.
    *vscode.dev
    *vscode-unpkg.net
    *vscode-cdn.net
    *vscodeexperiments.azureedge.net
    default.exp-tas.com
    vscode.dev erişmek için gereklidir (Web için Visual Studio Code)
    code.visualstudio.com VS Code masaüstünü indirmek ve yüklemek için gereklidir. Bu, VS Code Web için gerekli değildir.

    update.code.visualstudio.com *.vo.msecnd.net
    İşlem örneğine bir kurulum betiği aracılığıyla yüklenen VS Code sunucu bitlerini almak için kullanılır.

    marketplace.visualstudio.com
    vscode.blob.core.windows.net *.gallerycdn.vsassets.io
    VS Code uzantılarını indirmek ve yüklemek için gereklidir. Bunlar, VS Code için Azure ML uzantısı tarafından sağlanan İşlem Örneklerine uzak bağlantıyı etkinleştirir. Daha fazla bilgi için bkz. Visual Studio Code'de Azure Machine Learning işlem örneğine bağlanma.
    raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* İşlem örneğine yüklenen websocket sunucu bitlerini almak için kullanılır. websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) istekleri işlem örneğinde çalışan Visual Studio Code sunucuya iletmek için kullanılır.
    dc.applicationinsights.azure.com Microsoft desteğiyle çalışırken ölçüm ve tanılama bilgilerini toplamak için kullanılır.
    dc.applicationinsights.microsoft.com Microsoft desteğiyle çalışırken ölçüm ve tanılama bilgilerini toplamak için kullanılır.
    dc.services.visualstudio.com Microsoft desteğiyle çalışırken ölçüm ve tanılama bilgilerini toplamak için kullanılır.

    Protokol:Bağlantı Noktası için http, https kullan'ı seçin.

    Uygulama kurallarını yapılandırma hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı dağıtma ve yapılandırma.

  3. Azure Kubernetes Service'e (AKS) dağıtılan modellerde giden trafiği kısıtlamak için Azure Kubernetes Service'de çıkış trafiğini kısıtlama ve ML modellerini Azure Kubernetes Service dağıtma makalelerine bakın.

Kubernetes İşlem

Giden ara sunucunun veya güvenlik duvarının arkasında çalışan Kubernetes Kümesi için ek çıkış ağ yapılandırması gerekir.

Yukarıdaki gereksinimlerin yanı sıra Azure Machine Learning için aşağıdaki giden URL'ler de gereklidir.

Giden Uç Nokta Bağlantı noktası Description Eğitim Kesmesi
*.kusto.windows.net
*.table.core.windows.net
*.queue.core.windows.net
https:443 Sistem günlüklerini Kusto'ya yüklemek için gereklidir.
<ACR adınız.azurecr.io>
<ACR adınız>.< bölge adı.data.azurecr.io>
https:443 Azure container registry, makine öğrenmesi iş yükleri için kullanılan docker görüntülerini çekmek için gereklidir.
<depolama hesabınızın adı.blob.core.windows.net> https:443 Makine öğrenmesi proje betiklerini, verilerini veya modellerini getirmek ve iş günlüklerini/çıkışlarını karşıya yüklemek için gereken Azure blob depolama.
<AzureML çalışma alanı kimliğiniz.workspace>.< region.api.azureml.ms>
<region.experiments.azureml.net>
<region.api.azureml.ms>
https:443 Azure Machine Learning hizmeti API'si.
pypi.org https:443 Python paket dizini, eğitim iş ortamı başlatma için kullanılan pip paketlerini yüklemek için. Yok
archive.ubuntu.com
security.ubuntu.com
ppa.launchpad.net
http:80 Gerekli güvenlik düzeltme eklerini indirmek için gereklidir. Yok

Not

<region> Azure Bölgesi'nin en düşük tam yazım denetimidir; örneğin eastus, southeastasia.

<your AML workspace ID>Azure portal - Machine Learning kaynak sayfanız - Özellikler - Çalışma Alanı Kimliği sayfasında bulunabilir.

Diğer güvenlik duvarları

Her güvenlik duvarının kendi terminolojisi ve belirli yapılandırmaları olduğundan bu bölümdeki yönergeler geneldir. Sorularınız varsa, kullandığınız güvenlik duvarının belgelerine bakın.

Doğru yapılandırılmamışsa, güvenlik duvarı çalışma alanınızı kullanırken sorunlara neden olabilir. Her ikisi de Azure Machine Learning çalışma alanı tarafından kullanılan çeşitli konak adları vardır. Aşağıdaki bölümlerde Azure Machine Learning için gereken konaklar listelenir.

Bağımlılıklar API'si

Giden trafiğe izin vermek zorunda olduğunuz konakların ve bağlantı noktalarının listesini almak için Azure Machine Learning REST API'sini de kullanabilirsiniz. Bu API'yi kullanmak için aşağıdaki adımları kullanın:

  1. Kimlik doğrulama belirteci alma. Aşağıdaki komut, kimlik doğrulama belirteci ve abonelik kimliği almak için Azure CLI'yi kullanmayı gösterir:

    TOKEN=$(az account get-access-token --query accessToken -o tsv)
    SUBSCRIPTION=$(az account show --query id -o tsv)
    
  2. API'yi çağırın. Aşağıdaki komutta aşağıdaki değerleri değiştirin:

    • değerini çalışma alanınızın içinde olduğu Azure bölgesiyle değiştirin <region> . Örneğin, westus2.
    • değerini, çalışma alanınızı içeren kaynak grubuyla değiştirin <resource-group> .
    • değerini çalışma alanınızın adıyla değiştirin <workspace-name> .
    az rest --method GET \
        --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
        --header Authorization="Bearer $TOKEN"
    

API çağrısının sonucu bir JSON belgesidir. Aşağıdaki kod parçacığı bu belgenin bir alıntısıdır:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Microsoft konakları

Aşağıdaki tablolardaki konaklar Microsoft'a aittir ve çalışma alanınızın düzgün çalışması için gereken hizmetleri sağlar. Tablolar, Azure genel, Azure Kamu ve Azure China 21Vianet bölgelerinin konaklarını listeler.

Önemli

Azure Machine Learning, aboneliğinizde ve Microsoft tarafından yönetilen aboneliklerde Azure Depolama Hesaplarını kullanır. Uygun olduğunda, bu bölümde bunlar arasında ayrım yapmak için aşağıdaki terimler kullanılır:

  • Depolama alanınız: Model, eğitim verileri, eğitim günlükleri ve Python betikleri gibi verilerinizi ve yapıtlarınızı depolamak için kullanılan aboneliğinizdeki Azure Depolama Hesapları.>
  • Microsoft depolama: Azure Machine Learning işlem örneği ve işlem kümeleri Azure Batch kullanır ve bir Microsoft aboneliğinde bulunan depolama alanına erişmesi gerekir. Bu depolama yalnızca işlem örneklerinin yönetimi için kullanılır. Verilerinizin hiçbiri burada depolanmaz.

Genel Azure konakları

Şunun için gerekli: Hosts Protokol Bağlantı noktaları
Azure Active Directory login.microsoftonline.com TCP 80, 443
Azure portal management.azure.com TCP 443
Azure Resource Manager management.azure.com TCP 443

Azure Machine Learning konakları

Önemli

Aşağıdaki tabloda değerini Azure Machine Learning çalışma alanınız için varsayılan depolama hesabının adıyla değiştirin <storage> .

Şunun için gerekli: Hosts Protokol Bağlantı noktaları
Azure Machine Learning Studio ml.azure.com TCP 443
API *.azureml.ms TCP 443
API *.azureml.net TCP 443
Model yönetimi *.modelmanagement.azureml.net TCP 443
Tümleşik not defteri *.notebooks.azure.net TCP 443
Tümleşik not defteri <storage.file.core.windows.net> TCP 443, 445
Tümleşik not defteri <storage.dfs.core.windows.net> TCP 443
Tümleşik not defteri <storage.blob.core.windows.net> TCP 443
Tümleşik not defteri graph.microsoft.com TCP 443
Tümleşik not defteri *.aznbcontent.net TCP 443
AutoML NLP, Görüntü İşleme automlresources-prod.azureedge.net TCP 443
AutoML NLP, Görüntü İşleme aka.ms TCP 443

Not

AutoML NLP, Görüntü İşleme şu anda yalnızca Azure genel bölgelerinde desteklenmektedir.

Azure Machine Learning işlem örneği ve işlem kümesi konakları

İpucu

  • Azure Key Vault konağı yalnızca çalışma alanınız hbi_workspace bayrağı etkin olarak oluşturulduysa gereklidir.
  • İşlem örneği için 8787 ve 18881 bağlantı noktaları yalnızca Azure Machine çalışma alanınızda özel bir uç nokta olduğunda gereklidir.
  • Aşağıdaki tabloda değerini Azure Machine Learning çalışma alanınız için varsayılan depolama hesabının adıyla değiştirin <storage> .
  • İşlem örneğine websocket iletişimine izin verilmelidir. Websocket trafiğini engellerseniz Jupyter not defterleri düzgün çalışmaz.
Şunun için gerekli: Hosts Protokol Bağlantı noktaları
İşlem kümesi/örneği graph.windows.net TCP 443
İşlem örneği *.instances.azureml.net TCP 443
İşlem örneği *.instances.azureml.ms TCP 443, 8787, 18881
Microsoft depolama erişimi *.blob.core.windows.net TCP 443
Microsoft depolama erişimi *.table.core.windows.net TCP 443
Microsoft depolama erişimi *.queue.core.windows.net TCP 443
Depolama hesabınız <storage.file.core.windows.net> TCP 443, 445
Depolama hesabınız <storage.blob.core.windows.net> TCP 443
Azure Key Vault *.vault.azure.net TCP 443

Azure Machine Learning tarafından bakımı yapılan Docker görüntüleri

Şunun için gerekli: Hosts Protokol Bağlantı noktaları
Microsoft Container Registry
mcr.microsoft.com*.data.mcr.microsoft.com
TCP 443
Azure Machine Learning önceden oluşturulmuş görüntüleri viennaglobal.azurecr.io TCP 443

İpucu

  • Herhangi bir özel Docker görüntüsü için Azure Container Registry gereklidir. Bu, Microsoft tarafından sağlanan temel görüntülerde yapılan küçük değişiklikleri (ek paketler gibi) içerir.
  • Microsoft Container Registry yalnızca Microsoft tarafından sağlanan varsayılan Docker görüntülerini kullanmayı ve kullanıcı tarafından yönetilen bağımlılıkları etkinleştirmeyi planlıyorsanız gereklidir.
  • Federasyon kimliği kullanmayı planlıyorsanız Active Directory Federasyon Hizmetleri (AD FS) güvenliğini sağlamak için en iyi yöntemler makalesini izleyin.

Ayrıca, ve AzureMachineLearningiçin IP adresleri eklemek için BatchNodeManagementgelen yapılandırma bölümündeki bilgileri kullanın.

AKS'ye dağıtılan modellere erişimi kısıtlama hakkında bilgi için bkz. Azure Kubernetes Service'de çıkış trafiğini kısıtlama.

İzleme, ölçümler ve tanılama

Ölçümlerin ve diğer izleme bilgilerinin Azure İzleyici ve Application Insights'a günlüğe kaydedilmesini desteklemek için aşağıdaki konaklara giden trafiğe izin verin:

Not

Bu konaklarda günlüğe kaydedilen bilgiler, çalışma alanınızla karşılaştığınız sorunları tanılayabilmek için Microsoft Desteği tarafından da kullanılır.

  • dc.applicationinsights.azure.com
  • dc.applicationinsights.microsoft.com
  • dc.services.visualstudio.com
  • *.in.applicationinsights.azure.com

Bu konakların IP adreslerinin listesi için bkz. Azure İzleyici tarafından kullanılan IP adresleri.

Python konakları

Bu bölümdeki konaklar Python paketlerini yüklemek için kullanılır ve geliştirme, eğitim ve dağıtım sırasında gereklidir.

Not

Bu, internet üzerindeki tüm Python kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu senaryo için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı Amaç

anaconda.com *.anaconda.com
Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org Depo verilerini almak için kullanılır.
pypi.org Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa *.pythonhosted.org'a da izin vermelisiniz.
*pytorch.org PyTorch tabanlı bazı örnekler tarafından kullanılır.
*.tensorflow.org Tensorflow'u temel alan bazı örnekler tarafından kullanılır.

R konakları

Bu bölümdeki konaklar R paketlerini yüklemek için kullanılır ve geliştirme, eğitim ve dağıtım sırasında gereklidir.

Not

Bu, internet üzerindeki tüm R kaynakları için gerekli olan konakların tam listesi değildir, yalnızca en yaygın kullanılanların listesidir. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu senaryo için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı Amaç
cloud.r-project.org CRAN paketlerini yüklerken kullanılır.

Visual Studio Code konakları

Bu bölümdeki konaklar, Azure Machine Learning çalışma alanınızdaki Visual Studio Code ve işlem örnekleri arasında uzak bağlantı kurmak için Visual Studio Code paketleri yüklemek için kullanılır.

Not

Bu, internet üzerindeki tüm Visual Studio Code kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlar. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu senaryo için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı Amaç
*vscode.dev
*vscode-unpkg.net
*vscode-cdn.net
*vscodeexperiments.azureedge.net
default.exp-tas.com
vscode.dev erişmek için gereklidir (Web için Visual Studio Code)
code.visualstudio.com VS Code masaüstünü indirmek ve yüklemek için gereklidir. Bu, VS Code Web için gerekli değildir.

update.code.visualstudio.com *.vo.msecnd.net
Bir kurulum betiği aracılığıyla işlem örneğine yüklenen VS Code sunucu bitlerini almak için kullanılır.

marketplace.visualstudio.com
vscode.blob.core.windows.net *.gallerycdn.vsassets.io
VS Code uzantılarını indirmek ve yüklemek için gereklidir. Bunlar, VS Code için Azure ML uzantısı tarafından sağlanan İşlem Örneklerine uzak bağlantıyı etkinleştirir. Daha fazla bilgi için bkz. Visual Studio Code'da Azure Machine Learning işlem örneğine bağlanma.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/* İşlem örneğinde yüklü olan websocket sunucu bitlerini almak için kullanılır. websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) istekleri işlem örneğinde çalışan Visual Studio Code sunucuya iletmek için kullanılır.

Sonraki adımlar

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

Azure Güvenlik Duvarı yapılandırma hakkında daha fazla bilgi için bkz. Öğretici: Azure portal kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.