Gelen ve giden ağ trafiğini yapılandırma

Azure Machine Learning, genel İnternet üzerindeki sunuculara ve hizmetlere erişim gerektirir. Ağ yalıtımı uygularken, hangi erişimin gerekli olduğunu ve nasıl etkinleştirileceği hakkında bilgi sahibi olmanız gerekir.

Not

Bu makaledeki bilgiler, Azure Sanal Ağ kullanmak üzere yapılandırılmış Azure Machine Learning çalışma alanı için geçerlidir. Yönetilen sanal ağ kullanılırken, çalışma alanı için gerekli gelen ve giden yapılandırma otomatik olarak uygulanır. Daha fazla bilgi için bkz . Azure Machine Learning yönetilen sanal ağı.

Ortak terimler ve bilgiler

Bu makale boyunca aşağıdaki terimler ve bilgiler kullanılır:

• Azure hizmet etiketleri: Hizmet etiketi, Azure hizmeti tarafından kullanılan IP aralıklarını belirtmenin kolay bir yoludur. Örneğin, etiket Azure AzureMachineLearning Machine Learning hizmeti tarafından kullanılan IP adreslerini temsil eder.

  Önemli

  Azure hizmet etiketleri yalnızca bazı Azure hizmetleri tarafından desteklenir. Ağ güvenlik grupları ve Azure Güvenlik Duvarı ile desteklenen hizmet etiketlerinin listesi için Sanal ağ hizmet etiketleri makalesine bakın.

  Üçüncü taraf güvenlik duvarı gibi Azure dışı bir çözüm kullanıyorsanız Azure IP Aralıkları ve Hizmet Etiketleri listesini indirin. Dosyayı ayıklayın ve dosya içinde hizmet etiketini arayın. IP adresleri düzenli aralıklarla değişebilir.

• Bölge: Bazı hizmet etiketleri bir Azure bölgesi belirtmenize olanak sağlar. Bu, genellikle hizmetinizin içinde olduğu belirli bir bölgedeki hizmet IP adreslerine erişimi sınırlar. Bu makalede, "<region>" ifadesini gördüğünüzde, bunun yerine Azure bölgenizi yerleştirin. Örneğin, Azure Machine Learning çalışma alanınız ABD Batı bölgesindeyse BatchNodeManagement.<region>BatchNodeManagement.uswest olur.

• Azure Batch: Azure Machine Learning işlem kümeleri ve işlem örnekleri bir arka uç Azure Batch örneğine dayanır. Bu arka uç hizmeti bir Microsoft aboneliğinde barındırılır.

• Bağlantı noktaları: Bu makalede aşağıdaki bağlantı noktaları kullanılır. Bir bağlantı noktası aralığı bu tabloda listelenmiyorsa hizmete özgü bir değerdir ve ne için kullanıldığına ilişkin yayımlanmış hiçbir bilgi olmayabilir:

  Bağlantı noktası	Açıklama
  80	Güvenli olmayan web trafiği (HTTP)
  443	Güvenli web trafiği (HTTPS)
  445	Azure Dosya depolamadaki dosya paylaşımlarına erişmek için kullanılan SMB trafiği
  8787	Hesaplama örneğinde RStudio'ya bağlanırken kullanılır
  18881	Not defterleri için IntelliSense'i hesaplama örneğinde etkinleştirmek amacıyla dil sunucusuna bağlanılır.

• Protokol: Aksi belirtilmedikçe, bu makalede belirtilen tüm ağ trafiği TCP kullanır.

Temel yapılandırma

Bu yapılandırma aşağıdaki varsayımları yapar:

• Sağladığınız bir kapsayıcı kayıt defteri tarafından sağlanan docker görüntülerini kullanıyorsunuz ve Microsoft tarafından sağlanan görüntüleri kullanmıyorsunuz.
• Özel bir Python paket deposu kullanıyorsunuz ve , pypi.orgveya *.anaconda.comgibi *.anaconda.orggenel paket depolarına erişmiyorsunuz.
• Özel uç noktalar sanal ağ içinde birbirleriyle doğrudan iletişim kurabilir. Örneğin, tüm hizmetlerin aynı sanal ağda özel bir uç noktası vardır:
  • Azure Machine Learning çalışma alanı
  • Azure Depolama Hesabı (blob, dosya, tablo, kuyruk)

Gelen trafik

Kaynak	Kaynak limanlar	Hedef	Hedefportlar	Amaç
AzureMachineLearning	Herhangi bir	VirtualNetwork	44224	Hesaplama örneğine/kümesine gelen. Yalnızca örnek/küme genel IP adresi kullanacak şekilde yapılandırılmışsa gereklidir.

İpucu

Bu trafik için varsayılan olarak bir ağ güvenlik grubu (NSG) oluşturulur. Daha fazla bilgi için bkz . Varsayılan güvenlik kuralları.

Giden trafik

Hizmet etiketleri	Portlar	Amaç
AzureActiveDirectory	80, 443	Microsoft Entra ID'yi kullanan kimlik doğrulaması.
AzureMachineLearning	443, 8787, 18881 UDP: 5831	Azure Machine Learning hizmetlerini kullanma.
BatchNodeManagement.<region>	443	Azure Batch İletişimi
AzureResourceManager	443	Azure Machine Learning ile Azure kaynakları oluşturma.
Storage.<region>	443	İşlem kümesi ve işlem örneği için Azure Depolama Hesabında depolanan verilere erişin. Bu giden trafik, verileri sızdırmak için kullanılabilir. Daha fazla bilgi için bkz. Veri sızdırma koruması.
AzureFrontDoor.FrontEnd * 21Vianet tarafından sağlanan Microsoft Azure'da gerekli değildir.	443	Azure Machine Learning stüdyosu için genel giriş noktası. AutoML için görüntüleri ve ortamları depolayın.
MicrosoftContainerRegistry	443	Microsoft tarafından sağlanan docker görüntülerine erişin.
Frontdoor.FirstParty	443	Microsoft tarafından sağlanan docker görüntülerine erişin.
AzureMonitor	443	İzlemeyi ve ölçümleri Azure Monitor'da günlüğe kaydetmek için kullanılır. Yalnızca çalışma alanı için güvenli bir Azure İzleyici kullanmıyorsanız gereklidir. * Bu giden bağlantı, destek olayları için bilgileri loglamak amacıyla da kullanılır.
VirtualNetwork	443	Sanal ağda veya eşlenmiş sanal ağlarda özel uç noktalar mevcut olduğunda gereklidir.

Önemli

Bir işlem örneği veya işlem kümesi genel IP olmadan yapılandırılmışsa, varsayılan olarak İnternet'e erişemez. Eğer hala giden trafiği İnternet'e gönderebiliyorsa, bunun nedeni Azure'ın varsayılan giden erişimi ve İnternet'e giden trafiğe izin veren bir NSG'nizin olmasıdır. Varsayılan giden erişimi kullanmanızı önermiyoruz. İnternet'e giden erişime ihtiyacınız varsa, varsayılan giden erişim yerine aşağıdaki seçeneklerden birini kullanmanızı öneririz:

• Genel IP ile Azure Sanal Ağ NAT: Sanal Ağ Nat kullanma hakkında daha fazla bilgi için Sanal Ağ NAT belgelerine bakın.
• Kullanıcı tanımlı yol ve güvenlik duvarı: İşlemi içeren alt ağda kullanıcı tanımlı bir yol oluşturun. Yol için Sonraki atlama güvenlik duvarının özel IP adresine başvurmalıdır ve adres ön eki 0.0.0.0/0 olmalıdır.

Daha fazla bilgi için Azure'da Varsayılan Giden Erişim makalesine bakın.

Modelleri eğitip dağıtmak için önerilen yapılandırma

Giden trafik

Hizmet etiketleri	Portlar	Amaç
MicrosoftContainerRegistry ve AzureFrontDoor.FirstParty	443	Microsoft'un eğitim ve çıkarım için sağladığı Docker görüntülerinin kullanılmasına izin verir. Ayrıca Azure Kubernetes Service için Azure Machine Learning yönlendiricisini ayarlar.

Eğitim ve dağıtım için Python paketlerinin yüklenmesine izin vermek için aşağıdaki konak adlarına giden trafiğe izin verin:

Not

Aşağıdaki liste, internet üzerindeki tüm Python kaynakları için gereken tüm konakları içermez, yalnızca en yaygın kullanılanları içerir. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı	Amaç
anaconda.com *.anaconda.com	Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org	Depo verilerini almak için kullanılır.
pypi.org	Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa, *.pythonhosted.org izin vermelisiniz.
pytorch.org *.pytorch.org	Bazı PyTorch tabanlı örnekler tarafından kullanılır.
*.tensorflow.org	TensorFlow tabanlı bazı örnekler tarafından kullanılır.

Senaryo: İşlem örneğine RStudio yükleme

RStudio'nun bir işlem örneğine yüklenmesine izin vermek için güvenlik duvarının Docker görüntüsünü çekecek sitelere giden erişime izin vermesi gerekir. Azure Güvenlik Duvarı ilkenize aşağıdaki Uygulama kuralını ekleyin:

• Ad: AllowRStudioInstall
• Kaynak Türü: IP Adresi
• Kaynak IP Adresleri: İşlem örneğini oluşturduğunuz alt ağın IP adresi aralığı. Örneğin, 172.16.0.0/24.
• Hedef Türü: FQDN
• Hedef FQDN: ghcr.io, pkg-containers.githubusercontent.com
• Protokol: Https:443

R paketlerinin yüklenmesine izin vermek için gidencloud.r-project.org izin verin. Bu sunucu, CRAN paketlerinin kurulumu için kullanılır.

Not

GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu senaryo için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Senaryo: genel IP ile işlem kümesi veya işlem örneği kullanma

Önemli

Genel IP'ye sahip olmayan bir işlem örneği veya işlem kümesi, Azure Batch yönetimi ve Azure Machine Learning hizmetlerinden gelen trafiğe ihtiyaç duymaz. Ancak, birden çok işlem varsa ve bunlardan bazıları genel IP adresi kullanıyorsa, bu trafiğe izin vermeniz gerekir.

Azure Machine Learning işlem örneğini veya işlem kümesini (genel IP adresiyle) kullanırken, Azure Machine Learning hizmetinden gelen trafiğe izin verin. Genel IP'ye sahip olmayan bir işlem örneği veya işlem kümesi bu gelen iletişimi gerektirmez. Bu trafiğe izin veren bir Ağ Güvenlik Grubu sizin için dinamik olarak oluşturulur, ancak güvenlik duvarınız varsa kullanıcı tanımlı yollar (UDR) da oluşturmanız gerekebilir. Bu trafik için UDR oluştururken, trafiği yönlendirmek için IP Adreslerini veya hizmet etiketlerini kullanabilirsiniz.

IP Adresi yolları

Azure Machine Learning hizmeti için hem birincilhem de ikincil bölgelerin IP adresini eklemeniz gerekir. İkincil bölgeyi bulmak için bkz. Azure'da bölgeler arası çoğaltma. Örneğin, Azure Machine Learning hizmetiniz Doğu ABD 2'deyse ikincil bölge Orta ABD'dir.

Azure Machine Learning hizmetinin IP adreslerinin listesini almak için Azure IP Aralıkları ve Hizmet Etiketleri'niAzureMachineLearning.<region>ve dosyasında arama yapın. Burada <region> Azure bölgenizdir.

Önemli

IP adresleri zaman içinde değişebilir.

UDR'yi oluştururken Sonraki atlama türünü İnternet olarak ayarlayın. Bu, Azure'dan gelen iletişimin güvenlik duvarınızı atlayarak İşlem Örneği ve İşlem Kümesi genel IP'lerine sahip yük dengeleyicilere erişmesini sağlar. UDR gerekli çünkü İşlem Örneği ve İşlem Kümesi oluşturulduklarında rastgele genel IP'ler alır ve oluşturulmadan önce bu IP'leri tanıyamazsınız, dolayısıyla bu IP'leri güvenlik duvarınıza kaydederek Azure'dan İşlem Örneği ve İşlem Kümesi için belirli IP'lere gelen inbound trafiğine izin veremezsiniz. Aşağıdaki görüntüde Azure portalında ip adresi tabanlı UDR örneği gösterilmektedir:

Hizmet etiketi rotaları

Hizmet etiketi için AzureMachineLearning kullanıcı tanımlı yollar oluşturun.

Aşağıdaki komut, bu hizmet etiketi için yol eklemeyi gösterir:

az network route-table route create -g MyResourceGroup --route-table-name MyRouteTable -n AzureMLRoute --address-prefix AzureMachineLearning --next-hop-type Internet

UDR'yi yapılandırma hakkında bilgi için Ağ trafiğini bir yönlendirme tablosu ile yönlendirme başlığına bakın.

Senaryo: Azure Machine Learning ile Azure Depolama uç noktaları arasında güvenlik duvarı

Ayrıca giden erişime Storage.<region>445 numaralı bağlantı noktasında izin vermelisiniz.

Senaryo: hbi_workspace bayrağı etkinleştirilmiş olarak oluşturulan çalışma alanı

Ayrıca çıkış erişimine izin vermelisiniz Keyvault.<region>. Bu giden trafik, Azure Batch hizmetinin arka ucundaki anahtar kasası örneğine erişim için kullanılır.

Bayrak hakkında hbi_workspace daha fazla bilgi için veri şifreleme makalesine bakın.

Senaryo: Kubernetes işlem kullanma

Giden ara sunucunun veya güvenlik duvarının arkasında çalışan Kubernetes Kümesi için ek çıkış ağ yapılandırması gerekir.

• Azure Arc bağlantısı olan Kubernetes için Azure Arc aracıları için gereken Azure Arc ağ gereksinimlerini yapılandırın.
• Azure Arc bağlantısı olmayan AKS kümesi için AKS uzantısı ağ gereksinimlerini yapılandırın.

Yukarıdaki gereksinimlerin yanı sıra Azure Machine Learning için aşağıdaki giden URL'ler de gereklidir.

Giden Uç Nokta	Bağlantı noktası	Açıklama	Eğitim	Çıkarım
*.kusto.windows.net *.table.core.windows.net *.queue.core.windows.net	443	Sistem günlüklerini Kusto'ya yüklemek için gereklidir.	✓	✓
<your ACR name>.azurecr.io <your ACR name>.<region>.data.azurecr.io	443	Azure Container Registry, makine öğrenmesi iş yükleri için kullanılan docker görüntülerini çekmek için gereklidir.	✓	✓
<your storage account name>.blob.core.windows.net	443	Makine öğrenmesi proje betiklerini, verilerini veya modellerini getirmek ve iş günlüklerini/çıktılarını yüklemek için gereken Azure blob depolama.	✓	✓
<your workspace ID>.workspace.<region>.api.azureml.ms <region>.experiments.azureml.net <region>.api.azureml.ms	443	Azure Machine Learning hizmet API'si.	✓	✓
pypi.org	443	Python paket dizini, eğitim iş ortamı başlatma için kullanılan pip paketlerini yüklemek için.	✓	Yok
archive.ubuntu.com security.ubuntu.com ppa.launchpad.net	80	Gerekli güvenlik düzeltme eklerini indirmek için gereklidir.	✓	Yok

Not

• <your workspace workspace ID> ile çalışma alanı kimliğinizi değiştirin. Kimlik, Azure portalında , Machine Learning kaynak sayfanızda - Özellikler - Çalışma Alanı Kimliği'nde bulunabilir.
• "<your storage account>'yi depolama hesabı adıyla değiştirin."
• Çalışma alanınız için <your ACR name> öğesini Azure Container Registry adıyla değiştirin.
• <region> değerini çalışma alanınızın bölgesiyle değiştirin.

Küme içi iletişim gereksinimleri

Kubernetes işlemlerinde Azure Machine Learning uzantısını yüklemek için Azure Machine Learning ile ilgili tüm bileşenler bir azureml ad alanına dağıtılır. ML iş yüklerinin AKS kümesinde düzgün çalıştığından emin olmak için aşağıdaki küme içi iletişim gereklidir.

• Ad alanı bileşenleri azureml Kubernetes API sunucusuyla iletişim kurabilmelidir.
• Ad alanı bileşenleri azureml birbiriyle iletişim kurabilmelidir.
• azureml ad alanındaki bileşenler, kube-dns ve konnectivity-agent ile kube-system ad alanında iletişim kurabilmelidir.
• Küme gerçek zamanlı çıkarım için kullanılıyorsa, azureml-fe-xxx POD'lar diğer ad alanındaki 5001 numaralı bağlantı noktasında bulunan model POD'leriyle iletişim kurabilmelidir. azureml-fe-xxx İÇ iletişim için POD'ler 11001, 12001, 12101, 12201, 20000, 8000, 8001, 9001 bağlantı noktalarını açmalıdır.
• Küme gerçek zamanlı çıkarım için kullanılıyorsa, dağıtılan model POD'lerinin amlarc-identity-proxy-xxx 9999 portu üzerindeki POD'lerle iletişim kurabilmesi gerekir.

Senaryo: Visual Studio Code

Visual Studio Code, uzaktan bağlantı kurabilmek için belirli ana bilgisayarlar ve bağlantı noktalarına dayanır.

Ana bilgisayarlar

Bu bölümdeki konaklar, Visual Studio Code ile Azure Machine Learning çalışma alanınızdaki işlem örnekleri arasında uzak bağlantı kurmak için Visual Studio Code paketlerini yüklemek için kullanılır.

Not

Bu, internet üzerindeki tüm Visual Studio Code kaynakları için gerekli konakların tam listesi değildir, yalnızca en yaygın kullanılanlar. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir. Konak adlarının tam listesi için bkz. Visual Studio Code'da Ağ Bağlantıları.

Konak adı	Amaç
*.vscode.dev *.vscode-unpkg.net *.vscode-cdn.net *.vscodeexperiments.azureedge.net default.exp-tas.com	vscode.dev, (Web için Visual Studio Code) erişimi için gereklidir
code.visualstudio.com	VS Code masaüstünü indirmek ve yüklemek için gereklidir. Bu konak VS Code Web için gerekli değildir.
update.code.visualstudio.com *.vo.msecnd.net	Kurulum betiği aracılığıyla hesaplama örneğine yüklenen VS Code sunucu bileşenlerini almak için kullanılır.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	VS Code uzantılarını yükleyip kurmak için gereklidir. Bu sunucular, VS Code için Azure Machine Learning uzantısını kullanarak hesaplama örneklerine uzaktan bağlantı sağlar. Daha fazla bilgi için bkz. Visual Studio Code'da Azure Machine Learning işlem örneğine bağlanma
https://github.com/microsoft/vscode-tools-for-ai/tree/master/azureml_remote_websocket_server/*	Hesaplama örneğine yüklü olan web soketi sunucu bileşenlerini almak için kullanılır. Websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) gelen istekleri işlem örneğinde çalışan Visual Studio Code sunucusuna iletmek için kullanılır. azureml_websocket_server yalnızca Etkileşimli bir işe bağlanırken gereklidir, bkz . İşlerinizle etkileşim kurma (hata ayıklama ve izleme)
vscode.download.prss.microsoft.com	Visual Studio Code indirme CDN olarak kullanılır

Portlar

8704 ile 8710 arasında bağlantı noktalarına ağ trafiğine izin vermelisiniz. VS Code sunucusu, bu aralıktaki ilk uygun bağlantı noktasını dinamik olarak seçer.

Senaryo: Hizmet etiketleri olmadan üçüncü taraf güvenlik duvarı veya Azure Güvenlik Duvarı

Her güvenlik duvarının kendi terminolojisi ve belirli yapılandırmaları olduğundan bu bölümdeki yönergeler geneldir. Sorularınız varsa, kullandığınız güvenlik duvarının belgelerine bakın.

İpucu

Azure Güvenlik Duvarı kullanıyorsanız ve hizmet etiketlerini kullanmak yerine bu bölümde listelenen FQDN'leri kullanmak istiyorsanız aşağıdaki kılavuzu kullanın:

• HTTP/S bağlantı noktalarını (80 ve 443) kullanan FQDN'ler uygulama kuralları olarak yapılandırılmalıdır.
• Diğer bağlantı noktalarını kullanan FQDN'ler ağ kuralları olarak yapılandırılmalıdır.

Daha fazla bilgi için bkz . Uygulama kuralları ile ağ kuralları arasındaki farklar.

Doğru yapılandırılmamışsa, güvenlik duvarı çalışma alanınızı kullanırken sorunlara neden olabilir. Her ikisi de Azure Machine Learning çalışma alanı tarafından kullanılan çeşitli konak adları vardır. Aşağıdaki bölümlerde Azure Machine Learning için gereken barındırıcılar listelenmektedir.

Bağımlılıklar API'si

Giden trafiğe izin vermeniz gereken konakların ve bağlantı noktalarının listesini almak için Azure Machine Learning REST API'sini de kullanabilirsiniz. Bu API'yi kullanmak için aşağıdaki adımları kullanın:

1. Kimlik doğrulama belirteci al. Aşağıdaki komut, kimlik doğrulama belirteci ve abonelik kimliği almak için Azure CLI'yi kullanmayı gösterir:

   TOKEN=$(az account get-access-token --query accessToken -o tsv)
   SUBSCRIPTION=$(az account show --query id -o tsv)
   

2. API'yi çağırın. Aşağıdaki komutta aşağıdaki değerleri değiştirin:

   • değerini, çalışma alanınızın içinde olduğu Azure bölgesiyle değiştirin <region> . Örneğin, westus2.
   • değerini, çalışma alanınızı içeren kaynak grubuyla değiştirin <resource-group> .
   • <workspace-name> öğesini çalışma alanınızın adıyla değiştirin.

   az rest --method GET \
       --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \
       --header Authorization="Bearer $TOKEN"
   

API çağrısının sonucu bir JSON belgesidir. Aşağıdaki kod parçacığı bu belgenin bir alıntısıdır:

{
  "value": [
    {
      "properties": {
        "category": "Azure Active Directory",
        "endpoints": [
          {
            "domainName": "login.microsoftonline.com",
            "endpointDetails": [
              {
                "port": 80
              },
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
    {
      "properties": {
        "category": "Azure portal",
        "endpoints": [
          {
            "domainName": "management.azure.com",
            "endpointDetails": [
              {
                "port": 443
              }
            ]
          }
        ]
      }
    },
...

Microsoft ev sahipliği yapıyor

Aşağıdaki tablolardaki konaklar Microsoft'a aittir ve çalışma alanınızın düzgün çalışması için gereken hizmetleri sağlar. Tablo listesi, 21Vianet bölgeleri tarafından sağlanan Azure genel, Azure Kamu ve Microsoft Azure için konakları listeler.

Önemli

Azure Machine Learning, aboneliğinizde ve Microsoft tarafından yönetilen aboneliklerde Azure Depolama Hesaplarını kullanır. Uygun olduğunda, bu bölümde bunlar arasında ayrım yapmak için aşağıdaki terimler kullanılır:

• Depolama alanınız: Model, eğitim verileri, eğitim günlükleri ve Python betikleri gibi verilerinizi ve yapıtlarınızı depolamak için kullanılan aboneliğinizdeki Azure Depolama Hesapları.>
• Microsoft depolama: Azure Machine Learning işlem örneği ve işlem kümeleri Azure Batch'i kullanıyor ve bir Microsoft aboneliğinde bulunan depolama alanına erişmesi gerekiyor. Bu depolama yalnızca işlem örneklerinin yönetimi için kullanılır. Verilerinizin hiçbiri burada depolanmaz.

Azure genel sunucuları

Azure Genel

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Microsoft Entra Kimlik	login.microsoftonline.com	TCP	80, 443
Azure portalı	management.azure.com	TCP	443
Azure Resource Manager	management.azure.com	TCP	443

Azure Devlet

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Microsoft Entra Kimlik	login.microsoftonline.us	TCP	80, 443
Azure portalı	management.azure.us	TCP	443
Azure Resource Manager	management.usgovcloudapi.net	TCP	443

21Vianet tarafından sağlanan Microsoft Azure

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Microsoft Entra Kimlik	login.chinacloudapi.cn	TCP	80, 443
Azure portalı	management.azure.cn	TCP	443
Azure Resource Manager	management.chinacloudapi.cn	TCP	443

Azure Machine Learning barındırma hizmetleri

Önemli

Aşağıdaki tabloda, <storage> öğesini Azure Machine Learning çalışma alanınız için varsayılan depolama hesabının adıyla değiştirin. <region> değerini çalışma alanınızın bölgesiyle değiştirin.

Azure Genel

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Azure Machine Learning Studio	ml.azure.com	TCP	443
API (Uygulama Programlama Arayüzü)	*.azureml.ms	TCP	443
API (Uygulama Programlama Arayüzü)	*.azureml.net	TCP	443
Model yönetimi	*.modelmanagement.azureml.net	TCP	443
Tümleşik dizüstü bilgisayar	*.notebooks.azure.net	TCP	443
Tümleşik dizüstü bilgisayar	<storage>.file.core.windows.net	TCP	443, 445
Tümleşik dizüstü bilgisayar	<storage>.dfs.core.windows.net	TCP	443
Tümleşik dizüstü bilgisayar	<storage>.blob.core.windows.net	TCP	443
Tümleşik dizüstü bilgisayar	graph.microsoft.com	TCP	443
Tümleşik dizüstü bilgisayar	*.aznbcontent.net	TCP	443
AutoML NLP, Görüntü İşleme	automlresources-prod.azureedge.net	TCP	443
AutoML NLP, Görüntü İşleme	aka.ms	TCP	443

Not

AutoML NLP, Görüntü İşleme şu anda yalnızca Azure genel bölgelerinde desteklenmektedir.

Azure Devlet

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Azure Machine Learning Studio	ml.azure.us	TCP	443
API (Uygulama Programlama Arayüzü)	*.ml.azure.us	TCP	443
Model yönetimi	*.modelmanagement.azureml.us	TCP	443
Tümleşik dizüstü bilgisayar	*.notebooks.usgovcloudapi.net	TCP	443
Tümleşik dizüstü bilgisayar	<storage>.file.core.usgovcloudapi.net	TCP	443, 445
Tümleşik dizüstü bilgisayar	<storage>.dfs.core.usgovcloudapi.net	TCP	443
Tümleşik dizüstü bilgisayar	<storage>.blob.core.usgovcloudapi.net	TCP	443
Tümleşik dizüstü bilgisayar	graph.microsoft.us	TCP	443
Tümleşik dizüstü bilgisayar	*.aznbcontent.net	TCP	443

21Vianet tarafından sağlanan Microsoft Azure

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Azure Machine Learning Studio	studio.ml.azure.cn	TCP	443
API (Uygulama Programlama Arayüzü)	*.ml.azure.cn	TCP	443
API (Uygulama Programlama Arayüzü)	*.azureml.cn	TCP	443
Model yönetimi	*.modelmanagement.ml.azure.cn	TCP	443
Tümleşik dizüstü bilgisayar	*.notebooks.chinacloudapi.cn	TCP	443
Tümleşik dizüstü bilgisayar	<storage>.file.core.chinacloudapi.cn	TCP	443, 445
Tümleşik dizüstü bilgisayar	<storage>.dfs.core.chinacloudapi.cn	TCP	443
Tümleşik dizüstü bilgisayar	<storage>.blob.core.chinacloudapi.cn	TCP	443
Tümleşik dizüstü bilgisayar	graph.chinacloudapi.cn	TCP	443
Tümleşik dizüstü bilgisayar	*.aznbcontent.net	TCP	443

Azure Machine Learning işlem örneği ve işlem kümesi sunucuları

İpucu

• Azure Key Vault konağı yalnızca çalışma alanınız hbi_workspace bayrağı etkin olarak oluşturulduysa gereklidir.
• İşlem örneği için 8787 ve 18881 bağlantı noktaları yalnızca Azure Machine çalışma alanınızda özel bir uç nokta olduğunda gereklidir.
• Aşağıdaki tabloda, <storage> öğesini Azure Machine Learning çalışma alanınız için varsayılan depolama hesabının adıyla değiştirin.
• Aşağıdaki tabloda, <region> öğesini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin.
• İşlem örneğine WebSocket iletişimine izin verilmelidir. Websocket trafiğini engellerseniz Jupyter not defterleri düzgün çalışmaz.

Azure Genel

Için gerekli	Hosts	Protokol	Bağlantı noktaları
İşlem kümesi/örneği	graph.windows.net	TCP	443
Hesaplama örneği	*.instances.azureml.net	TCP	443
Hesaplama örneği	*.instances.azureml.ms	TCP	443, 8787, 18881
Hesaplama örneği	<region>.tundra.azureml.ms	Kullanıcı Datagram Protokolü (UDP)	5831
Hesaplama örneği	*.<region>.batch.azure.com	HERHANGİ BİRİ	443
Hesaplama örneği	*.<region>.service.batch.azure.com	HERHANGİ BİRİ	443
Microsoft depolama erişimi	*.blob.core.windows.net	TCP	443
Microsoft depolama erişimi	*.table.core.windows.net	TCP	443
Microsoft depolama erişimi	*.queue.core.windows.net	TCP	443
Depolama hesabınız	<storage>.file.core.windows.net	TCP	443, 445
Depolama hesabınız	<storage>.blob.core.windows.net	TCP	443
Azure Key Vault	*.vault.azure.net	TCP	443

Azure Devlet

Için gerekli	Hosts	Protokol	Bağlantı noktaları
İşlem kümesi/örneği	graph.windows.net	TCP	443
Hesaplama örneği	*.instances.azureml.us	TCP	443
Hesaplama örneği	*.instances.azureml.ms	TCP	443, 8787, 18881
Hesaplama örneği	<region>.tundra.azureml.us	Kullanıcı Datagram Protokolü (UDP)	5831
Microsoft depolama erişimi	*.blob.core.usgovcloudapi.net	TCP	443
Microsoft depolama erişimi	*.table.core.usgovcloudapi.net	TCP	443
Microsoft depolama erişimi	*.queue.core.usgovcloudapi.net	TCP	443
Depolama hesabınız	<storage>.file.core.usgovcloudapi.net	TCP	443, 445
Depolama hesabınız	<storage>.blob.core.usgovcloudapi.net	TCP	443
Azure Key Vault	*.vault.usgovcloudapi.net	TCP	443

21Vianet tarafından sağlanan Microsoft Azure

Için gerekli	Hosts	Protokol	Bağlantı noktaları
İşlem kümesi/örneği	graph.chinacloudapi.cn	TCP	443
Hesaplama örneği	*.instances.azureml.cn	TCP	443
Hesaplama örneği	*.instances.azureml.ms	TCP	443, 8787, 18881
Hesaplama örneği	<region>.tundra.azureml.cn	Kullanıcı Datagram Protokolü (UDP)	5831
Microsoft depolama erişimi	*.blob.core.chinacloudapi.cn	TCP	443
Microsoft depolama erişimi	*.table.core.chinacloudapi.cn	TCP	443
Microsoft depolama erişimi	*.queue.core.chinacloudapi.cn	TCP	443
Depolama hesabınız	<storage>.file.core.chinacloudapi.cn	TCP	443, 445
Depolama hesabınız	<storage>.blob.core.chinacloudapi.cn	TCP	443
Azure Key Vault	*.vault.azure.cn	TCP	443

Azure Machine Learning tarafından tutulan Docker görüntüleri

Için gerekli	Hosts	Protokol	Bağlantı noktaları
Microsoft Konteyner Kayıt Defteri	mcr.microsoft.com*.data.mcr.microsoft.com	TCP	443

İpucu

• Herhangi bir özel Docker görüntüsü için Azure Container Registry gereklidir. Bu, Microsoft tarafından sağlanan temel görüntülerde küçük değişiklikler (ek paketler gibi) içerir. Ayrıca Azure Machine Learning'in iç eğitim işi gönderme işlemi için de gereklidir. Ayrıca, senaryo ne olursa olsun Microsoft Container Registry her zaman gereklidir.
• Federasyon kimliği kullanmayı planlıyorsanız, Active Directory Federasyon Hizmetleri (AD FS) güvenliğini sağlamak için en iyi yöntemler makalesini izleyin.

Ayrıca, genel IP ile işlem bölümündeki bilgileri kullanarak BatchNodeManagement ve AzureMachineLearning için IP adresleri ekleyin.

AKS'ye dağıtılan modellere erişimi kısıtlama hakkında bilgi için bkz . Azure Kubernetes Service'te çıkış trafiğini kısıtlama.

İzleme, ölçümler ve tanılama

Çalışma alanı için Azure İzleyici'nin güvenliğini sağlamadıysanız, aşağıdaki konaklara giden trafiğe izin vermelisiniz:

Not

Bu konaklara kaydedilen bilgiler, çalışma alanınızda karşılaştığınız sorunları tanılamak için Microsoft Desteği tarafından da kullanılır.

• dc.applicationinsights.azure.com
• dc.applicationinsights.microsoft.com
• dc.services.visualstudio.com
• *.in.applicationinsights.azure.com

Bu ana bilgisayarların IP adreslerinin listesini görmek için Azure İzleyici tarafından kullanılan IP adresleri sayfasına bakın.

Sonraki adımlar

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

• Sanal ağa genel bakış

• Çalışma alanı kaynaklarının güvenliğini sağlama
• Eğitim ortamının güvenliğini sağlama
• Çıkarım ortamının güvenliğini sağlama

• Stüdyo işlevselliğini etkinleştirme
• Özel DNS kullanma

Azure Güvenlik Duvarı yapılandırma hakkında daha fazla bilgi için bkz. Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.