Azure Machine Learning çalışma alanı için özel uç noktayı yapılandırma

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)

Bu belgede, Azure Machine Learning çalışma alanınız için özel uç nokta yapılandırmayı öğreneceksiniz. Azure Machine Learning için sanal ağ oluşturma hakkında bilgi için bkz . Sanal ağ yalıtımına ve gizliliğine genel bakış.

Azure Özel Bağlantı'yı kullanarak çalışma alanınızla Azure Sanal Ağı arasındaki bağlantıları kısıtlayabilirsiniz. Özel uç nokta oluşturarak bir çalışma alanını yalnızca bir sanal ağdan gelen bağlantıları kabul etmek üzere kısıtlarsınız. Özel uç nokta, sanal ağınızdaki özel IP adresleri kümesidir. Daha sonra çalışma alanınıza erişimi yalnızca özel IP adresleri üzerinden gerçekleşecek şekilde sınırlayabilirsiniz. Özel uç nokta, veri sızdırma riskini azaltmaya yardımcı olur. Özel uç noktalar hakkında daha fazla bilgi edinmek için Azure Özel Bağlantı makalesine bakın.

Uyarı

Çalışma alanının özel uç noktalarla güvenliğini sağlamak, tek başına uçtan uca güvenlik sağlamaz. Çözümünüzün tek tek tüm bileşenlerinin güvenliğini sağlamalısınız. Örneğin, çalışma alanı için özel bir uç nokta kullanıyorsanız ancak Azure Depolama Hesabınız sanal ağın arkasında değilse, çalışma alanı ile depolama arasındaki trafik güvenlik için sanal ağı kullanmaz.

Azure Machine Learning tarafından kullanılan kaynakların güvenliğini sağlama hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• Sanal ağ yalıtımına ve gizliliğine genel bakış.
• Çalışma alanı kaynaklarının güvenliğini sağlama.
• Eğitim ortamlarının güvenliğini sağlama.
• Çıkarım ortamının güvenliğini sağlayın.
• Azure Machine Learning Stüdyosu'yu bir sanal ağda kullanma.
• API platformu ağ yalıtımı.

Önkoşullar

• içinde özel uç nokta oluşturmak için mevcut bir sanal ağınız olmalıdır.

  Uyarı

  Sanal ağınız için 172.17.0.0/16 IP adresi aralığını kullanmayın. Bu aralık, Docker köprüsü ağı tarafından kullanılan varsayılan alt ağ aralığıdır ve sanal ağınız için kullanıldığında hatalara neden olur. Sanal ağa bağlanmak istediğiniz şeye bağlı olarak diğer aralıklar da çakışabilir. Örneğin, şirket içi ağınızı sanal ağa bağlamayı planlıyorsanız ve şirket içi ağınız da 172.16.0.0/16 aralığını kullanıyorsa. Sonuç olarak, ağ altyapınızı planlamak size bağlı.

• Özel uç noktayı eklemeden önce özel uç noktalar için ağ ilkelerini devre dışı bırakın.

Sınırlamalar

• Özel uç nokta ile güvenliği sağlanan bir çalışma alanı için genel erişimi etkinleştirir ve genel İnternet üzerinden Azure Machine Learning stüdyosu kullanırsanız tasarımcı gibi bazı özellikler verilerinize erişemeyebilir. Bu sorun, veriler sanal ağın arkasında güvenliği sağlanan bir hizmette depolandığında oluşur. Örneğin Azure Depolama Hesabı.

• Mozilla Firefox kullanıyorsanız çalışma alanınızın özel uç noktasına erişmeye çalışırken sorunlarla karşılaşabilirsiniz. Bu sorun Mozilla Firefox'ta HTTPS üzerinden DNS ile ilgili olabilir. Microsoft Edge veya Google Chrome kullanın.

• Özel uç nokta kullanmak, çalışma alanını silme veya işlem kaynaklarını yönetme gibi Azure denetim düzlemini (yönetim işlemlerini) etkilemez. Örneğin, işlem hedefi oluşturma, güncelleştirme veya silme. Bu işlemler genel İnternet üzerinden normal şekilde gerçekleştirilir. Azure Machine Learning stüdyosu, API'ler (yayımlanan işlem hatları dahil) veya SDK gibi veri düzlemi işlemleri özel uç noktayı kullanır.

• Özel uç nokta içeren bir çalışma alanında işlem örneği veya işlem kümesi oluşturduğunuzda, işlem örneği ve işlem kümesi çalışma alanıyla aynı Azure bölgesinde olmalıdır.

• İşlem kaynakları oluşturduktan sonra Azure Machine Learning çalışma alanı için Özel Bağlantı'yı etkinleştirir veya devre dışı bırakırsanız, bu mevcut işlemler yeni Özel Bağlantı yapılandırmasını yansıtacak şekilde otomatik olarak güncelleştirmiyor. Düzgün bağlantı sağlamak ve hizmet kesintilerini önlemek için, çalışma alanının özel bağlantı ayarında herhangi bir değişiklik yaptıktan sonra işlem kaynaklarını yeniden oluşturmanız gerekir.

• Azure Kubernetes Service kümesini özel uç nokta içeren bir çalışma alanına eklediğinizde, kümenin çalışma alanıyla aynı bölgede olması gerekir.

• Birden çok özel uç nokta içeren bir çalışma alanı kullandığınızda, özel uç noktalardan birinin aşağıdaki bağımlılık hizmetleriyle aynı sanal ağda olması gerekir:

  • Çalışma alanı için varsayılan depolamayı sağlayan Azure Depolama Hesabı
  • Çalışma alanı için Azure Key Vault
  • Çalışma alanı için Azure Container Registry.

  Örneğin, bir sanal ağ (services) bağımlılık hizmetleri ve çalışma alanı için özel bir uç nokta içerir. Bu yapılandırma, çalışma alanının hizmetlerle iletişim kurmasını sağlar. Başka bir sanal ağ (clients) yalnızca çalışma alanı için özel bir uç nokta içerir ve yalnızca istemci geliştirme makineleriyle çalışma alanı arasındaki iletişim için kullanılır.

Özel uç nokta kullanan bir çalışma alanı oluşturma

Özel uç nokta içeren bir çalışma alanı oluşturmak için aşağıdaki yöntemlerden birini kullanın. Bu yöntemlerin her biri mevcut bir sanal ağ gerektirir:

İpucu

Aynı anda çalışma alanı, özel uç nokta ve sanal ağ oluşturmak için bkz. Azure Machine Learning için çalışma alanı oluşturmak üzere Azure Resource Manager şablonu kullanma.

Azure CLI

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)

Makine öğrenmesi için Azure CLI uzantısı 2.0 CLI kullandığınızda, çalışma alanını yapılandırmak için bir YAML belgesi kullanırsınız. Aşağıdaki örnekte YAML yapılandırması kullanarak yeni bir çalışma alanı oluşturma gösterilmektedir:

İpucu

Özel bir bağlantı kullandığınızda, çalışma alanınız görüntü oluşturma için Azure Container Registry hesaplama görevlerini kullanamaz. Bunun yerine, çalışma alanı varsayılan olarak görüntü oluşturmak için sunucusuz bir işlem kümesi kullanır. Bu seçenek yalnızca depolama hesabı ve kapsayıcı kayıt defteri gibi çalışma alanına bağımlı kaynaklar herhangi bir ağ kısıtlaması (özel uç nokta) altında olmadığında çalışır. Çalışma alanı bağımlılıklarınız ağ kısıtlamaları altındaysa, görüntü oluşturma için kullanılacak bir işlem kümesi belirtmek için özelliğini kullanın image_build_compute . image_build_compute Bu yapılandırmadaki özelliği, Docker görüntü ortamı oluşturma için kullanılacak bir CPU işlem kümesi adı belirtir. Ayrıca özelliğini kullanarak public_network_access özel bağlantı çalışma alanının İnternet üzerinden erişilebilir olup olmayacağını belirtebilirsiniz.

Bu örnekte, görüntü oluşturmadan önce image_build_compute tarafından referans gösterilen hesaplamayı oluşturmalısınız.

$schema: https://azuremlschemas.azureedge.net/latest/workspace.schema.json
name: mlw-privatelink-prod
location: eastus
display_name: Private Link endpoint workspace-example
description: When using private link, you must set the image_build_compute property to a cluster name to use for Docker image environment building. You can also specify whether the workspace should be accessible over the internet.
image_build_compute: cpu-compute
public_network_access: Disabled
tags:
  purpose: demonstration

az ml workspace create \
    -g <resource-group-name> \
    --file privatelink.yml

Çalışma alanını oluşturduktan sonra Azure ağ CLI komutlarını kullanarak çalışma alanı için özel bir bağlantı uç noktası oluşturun.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Çalışma alanının özel DNS bölgesi girdilerini oluşturmak için aşağıdaki komutları kullanın:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Portal

Azure Machine Learning portalındaki Ağ sekmesi özel uç nokta yapılandırmanıza olanak tanır. Ancak, mevcut bir sanal ağ gerektirir. Daha fazla bilgi için bkz . Portalda çalışma alanları oluşturma.

Çalışma alanına özel uç nokta ekleme

Mevcut çalışma alanına özel uç nokta eklemek için aşağıdaki yöntemlerden birini kullanın:

Uyarı

Bu çalışma alanıyla ilişkilendirilmiş mevcut işlem hedefleriniz varsa ve bunlar özel uç noktayı oluşturduğunuz sanal ağın arkasında değilse çalışmayı durdurur.

Azure CLI

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)

Makine öğrenmesi için Azure CLI uzantısı 2.0 CLI kullandığınızda, çalışma alanı için özel bağlantı uç noktası oluşturmak için Azure ağ CLI komutlarını kullanın.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Çalışma alanının özel DNS bölgesi girdilerini oluşturmak için aşağıdaki komutları kullanın:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Portal

Portaldaki Azure Machine Learning çalışma alanından Ayarlar, Ağ, Özel uç nokta bağlantıları'nı ve ardından + Özel uç nokta'yı seçin. Alanları kullanarak yeni bir özel uç nokta oluşturun.

• Bölge'yi seçerken sanal ağınızla aynı bölgeyi seçin.
• Sanal ağı seçerken, bağlanmak istediğiniz sanal ağı seçin.
• Alt ağı seçerken, sanal ağda özel uç nokta IP adreslerinin atandığı alt ağı seçin.

Diğer alanları varsayılan değerde bırakabilir veya ortamınız için gerektiğinde değiştirebilirsiniz. Son olarak Oluştur'u seçerek özel uç noktayı oluşturun.

Özel uç noktayı kaldırma

Çalışma alanı için bir veya tüm özel uç noktaları kaldırabilirsiniz. Özel uç noktayı kaldırdığınızda, çalışma alanını uç noktanın ilişkilendirildiği sanal ağdan kaldırırsınız. Özel uç noktanın kaldırılması, çalışma alanının bu sanal ağdaki kaynaklara veya sanal ağdaki kaynakların çalışma alanına erişmesini engelleyebilir. Örneğin, sanal ağ genel İnternet'e veya genel İnternet'ten erişime izin vermiyorsa.

Uyarı

Bir çalışma alanının özel uç noktalarının kaldırılması, çalışma alanının genel olarak erişilebilir olmasını sağlamaz. Çalışma alanının genel olarak erişilebilir olmasını sağlamak için Genel erişimi etkinleştirme bölümündeki adımları kullanın.

Özel uç noktayı kaldırmak için aşağıdaki bilgileri kullanın:

Azure CLI

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)

Makine öğrenmesi için Azure CLI uzantısı 2.0 CLI'yı kullandığınızda, özel uç noktayı kaldırmak için aşağıdaki komutu kullanın:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Portal

1. Azure portaldan Azure Machine Learning çalışma alanınızı seçin.
2. Sayfanın sol tarafından Ağ'ı ve ardından Özel uç nokta bağlantıları sekmesini seçin.
3. Kaldırılacak uç noktayı ve ardından Kaldır'ı seçin.

Genel erişimi etkinleştirme

Bazı durumlarda, birinin sanal ağ yerine genel bir uç nokta üzerinden güvenli çalışma alanınıza bağlanmasına izin vermek isteyebilirsiniz. Veya çalışma alanını sanal ağdan kaldırıp genel erişimi yeniden etkinleştirmek isteyebilirsiniz.

Önemli

Genel erişimin etkinleştirilmesi, var olan özel uç noktaları kaldırmaz. Özel uç noktaların bağlandığı sanal ağın arkasındaki bileşenler arasındaki tüm iletişimler hâlâ güvenlidir. Herhangi bir özel uç nokta üzerinden özel erişime ek olarak yalnızca çalışma alanına genel erişim sağlar.

Uyarı

Genel uç nokta üzerinden bağlanırken çalışma alanı, diğer kaynaklarla iletişim için özel bir uç nokta kullandığında:

• Studio'nun bazı özellikleri verilerinize erişemez. Bu sorun , veriler sanal ağın arkasında güvenliği sağlanan bir hizmette depolandığında oluşur. Örneğin Azure Depolama Hesabı. Bu sorunu çözmek için istemci cihazınızın IP adresini Azure Depolama Hesabının güvenlik duvarına ekleyin.
• Bir işlem örneğinde Jupyter, JupyterLab, RStudio veya Posit Workbench (eski adıyla RStudio Workbench) kullanarak not defterlerini çalıştırmak desteklenmez.

Genel erişimi etkinleştirmek için aşağıdaki adımları kullanın:

İpucu

İki özellik yapılandırabilirsiniz:

• allow_public_access_when_behind_vnet - Python SDK v1 tarafından kullanılır (31 Mart 2025'de kullanım dışıdır; destek 30 Haziran 2026'da sona erer - SDK v2'ye geçiş)
• public_network_access - CLI ve Python SDK v2 tarafından kullanılır Her özellik diğerini geçersiz kılar. Örneğin, public_network_access ayarını yapmak, önceki tüm ayarları allow_public_access_when_behind_vnet olarak geçersiz kılar.

Çalışma alanına genel erişimi etkinleştirmek veya devre dışı bırakmak için kullanın public_network_access .

Azure CLI

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)

Makine öğrenmesi için Azure CLI uzantısı 2.0 CLI'yı kullandığınızda, çalışma alanı için etkinleştirmek üzere komutunu kullanın:

az ml workspace update \
    --set public_network_access=Enabled \
    -n <workspace-name> \
    -g <resource-group-name>

YaML dosyası kullanarak genel ağ erişimini de etkinleştirebilirsiniz. Daha fazla bilgi için çalışma alanı için YAML referansına bakın.

Portal

1. Azure portaldan Azure Machine Learning çalışma alanınızı seçin.
2. Sayfanın sol tarafından Ağ'ı ve ardından Genel erişim sekmesini seçin.
3. Tüm ağlardan Etkin'i ve ardından Kaydet'i seçin.

Yalnızca İnternet IP aralıklarından genel erişimi etkinleştirme

Belirli genel İnternet IP adresi aralıklarından çalışma alanınıza ve uç noktanıza erişime izin vermek için IP ağ kuralları oluşturun. Her Azure Machine Learning çalışma alanı en fazla 200 kuralı destekler. Bu kurallar belirli İnternet tabanlı hizmetlere ve şirket içi ağlara erişim verir ve genel İnternet trafiğini engeller.

Önemli

• Seçili IP adresiyle bir Azure Machine Learning çalışma alanında işlem örneği oluşturmadan önce, çalışma alanı tarafından yönetilen bir sanal ağ kullanarak çalışma alanınızda ağ yalıtımının yapılandırıldığından veya kendi sanal ağınızdaki çalışma alanınıza özel uç nokta eklediğinizden emin olun.
• Yönetilen bir sanal ağı veya çalışma alanı için özel uç noktayı etkinleştirmeden yalnızca seçili IP'yi yapılandırmak, işlem örneği sağlanırken hatalara neden olabilir.

Uyarı

• Belirli genel İnternet IP adresi aralıklarından uç noktanıza erişime izin vermek istiyorsanız uç noktanızın genel ağ erişim bayrağını etkinleştirin.
• Yalnızca IPv4 adreslerini kullanabilirsiniz.
• Bu özelliği Azure Machine Learning yönetilen sanal ağıyla kullanmak için bkz . Azure Machine Learning yönetilen sanal ağı.

Azure CLI

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)

IP adresinden az ml workspace update veya adres aralığından --network-acls genel erişimi yönetmek için parametresiyle Azure CLI komutunu kullanın:

İpucu

Çalışma alanı özellikleri, seçili IP adreslerinin yapılandırmalarını altında network_aclsdepolar:

properties:
  # ...
  network_acls:
    description: "The network ACLs for this workspace, enforced when public_network_access is set to Enabled."

• IP ağ kurallarını listeleme: az ml workspace show --resource-group "myresourcegroup" --name "myWS" --query network_acls
• Bir veya daha fazla IP adresi (virgülle ayrılmış) için kurallar ekleyin: az ml workspace update --resource-group "myresourcegroup" --name "myWS" --public-network-access Enabled --network-acls "16.17.18.19,16.17.18.0/24"
• Tüm ağlara izin vermek için sıfırla: az ml workspace update --resource-group "myresourcegroup" --name "myWS" --public-network-access Enabled --network-acls none

Portal

1. Azure portaldan Azure Machine Learning çalışma alanınızı seçin.
2. Sayfanın sol tarafından Ağ'ı ve ardından Genel erişim sekmesini seçin.
3. Seçili IP adreslerinden Etkin'i seçin, adres aralıkları girin ve kaydet'i seçin.

Gelen erişime izin verilen IP adreslerini tanımlamak için Azure Machine Learning Python SDK'sından Workspace sınıfını da kullanabilirsiniz:

from azure.ai.ml.entities import DefaultActionType, IPRule, NetworkAcls

ws = ml_client.workspaces.get("<workspace-name>")
ws.public_network_access = "Enabled"
ws.network_acls = NetworkAcls(
    default_action=DefaultActionType.DENY,
    ip_rules=[IPRule(value="<ip-address-or-cidr>")],
)
updated_ws = ml_client.workspaces.begin_update(workspace=ws).result()

IP ağ kuralları için kısıtlamalar

IP adresi aralıkları için aşağıdaki kısıtlamalar geçerlidir:

• IP ağ kuralları yalnızca genel İnternet IP adreslerini destekler.

  10, 172.16 ile 172.31 ve 192.168 arasında başlayan özel adresler gibi IP kurallarında ayrılmış IP adresi aralıklarına izin verilmez.

• İzin verilen internet adresi aralıklarını, 16.17.18.0/24 biçiminde CIDR gösterimini kullanarak veya 16.17.18.19 gibi tek tek IP adresleri olarak sağlamanız gerekir.

• Depolama güvenlik duvarı kurallarının yapılandırılması için yalnızca IPv4 adresleri desteklenir.

• Bu özelliği etkinleştirdiğinizde Curl gibi herhangi bir istemci aracını kullanarak genel uç noktaları test edebilirsiniz, ancak portaldaki Uç Nokta Test aracı desteklenmez.

• Yalnızca çalışma alanını oluşturduktan sonra çalışma alanının IP adreslerini ayarlayabilirsiniz.

• Çalışma alanı yönetilen sanal ağı çalışma alanında etkinleştirilmediyse ve seçili IP çalışma alanından etkinleştirildiğinde yönetilen çevrimiçi uç nokta dağıtımları başarısız olur. Çalışma alanında uçtan uca ağ yalıtımı olmadan işlem kümeleri, işlem örnekleri ve sunucusuz işlem gibi işlem hedeflerinin eğitilmesi, seçili IP'lerin çalışma alanında etkinleştirilmesiyle uyumsuzdur ve birlikte çalışmaz. Daha önce bahsedilen hesaplamalarda, ağ yalıtılmış eğitim için hesaplama ağından çalışma alanına, seçilen IP'lerden etkinleştirilen özel bir uç nokta gerekir.

Çalışma alanınıza güvenli bir şekilde bağlanma

Sanal ağın arkasında güvenliği sağlanan bir çalışma alanına bağlanmak için aşağıdaki yöntemlerden birini kullanın:

• Azure VPN ağ geçidi - Şirket içi ağları özel bir bağlantı üzerinden sanal ağa bağlar. Bağlantı genel İnternet üzerinden yapılır. Kullanabileceğiniz iki tür VPN ağ geçidi vardır:

  • Noktadan siteye: Her istemci bilgisayar sanal ağa bağlanmak için bir VPN istemcisi kullanır.
  • Site-to-site: VPN cihazı sanal ağı yerel ağınıza bağlar.

• ExpressRoute - Şirket içi ağları özel bir bağlantı üzerinden buluta bağlar. Bağlantı, bir bağlantı sağlayıcısı kullanılarak yapılır.

• Azure Bastion - Bu senaryoda sanal ağ içinde bir Azure Sanal Makinesi (bazen atlama kutusu olarak adlandırılır) oluşturursunuz. Ardından Azure Bastion kullanarak VM'ye bağlanırsınız. Bastion, yerel web tarayıcınızdan RDP veya SSH oturumu kullanarak VM'ye bağlanmanızı sağlar. Ardından atlama kutusunu geliştirme ortamınız olarak kullanırsınız. Sanal ağın içinde olduğundan çalışma alanına doğrudan erişebilir. Atlama kutusu kullanma örneği için bkz Öğretici: Güvenli çalışma alanı oluşturma.

Önemli

VPN ağ geçidi veya ExpressRoute kullanırken, şirket içi kaynaklarınız ve sanal ağ içindekiler arasında ad çözümlemesinin nasıl çalıştığını planlamanız gerekir. Daha fazla bilgi için bkz . Özel DNS sunucusu kullanma.

Çalışma alanına bağlanırken sorun yaşıyorsanız Güvenli çalışma alanı bağlantısı sorunlarını giderme bölümüne bakın.

Birden çok özel uç nokta

Azure Machine Learning, bir çalışma alanı için birden çok özel uç noktayı destekler. Farklı ortamları ayrı tutmak istediğinizde birden çok özel uç nokta kullanın. Aşağıdaki senaryolar birden çok özel uç nokta kullanılarak etkinleştirilir:

• Ayrı bir sanal ağda istemci geliştirme ortamları.

• Ayrı bir sanal ağda bir Azure Kubernetes Service (AKS) kümesi.

• Ayrı bir sanal ağda yer alan diğer Azure hizmetleri. Örneğin Azure Synapse ve Azure Data Factory, Microsoft tarafından yönetilen bir sanal ağ kullanabilir. Her iki durumda da, söz konusu hizmetler tarafından kullanılan yönetilen sanal ağa çalışma alanı için özel bir uç nokta ekleyebilirsiniz. Bu hizmetlerle yönetilen sanal ağ kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

  • Synapse tarafından yönetilen özel uç noktalar
  • Azure Data Factory tarafından yönetilen sanal ağ.

  Önemli

  Synapse'in veri sızdırma koruması Azure Machine Learning ile desteklenmez.

Önemli

Çalışma alanı için özel uç nokta içeren her sanal ağın çalışma alanı tarafından kullanılan Azure Depolama Hesabına, Azure Key Vault'a ve Azure Container Registry'ye de erişebilmesi gerekir. Örneğin, her sanal ağdaki hizmetler için özel bir uç nokta oluşturabilirsiniz.

Birden çok özel uç nokta eklemek için Çalışma alanına özel uç nokta ekleme bölümünde açıklanan adımların aynısını kullanın.

Senaryo: Yalıtılmış istemciler

Geliştirme istemcilerini Azure Machine Learning tarafından kullanılan işlem kaynaklarına doğrudan erişimleri olmayacak şekilde yalıtmak için aşağıdaki adımları kullanın:

Not

Bu adımlarda mevcut bir çalışma alanınız, Azure Depolama Hesabınız, Azure Key Vault ve Azure Container Registry'niz olduğu varsayılır. Bu hizmetlerin her birinin mevcut bir sanal ağda özel uç noktası vardır.

1. İstemciler için başka bir sanal ağ oluşturun. Bu sanal ağ, istemcileriniz gibi davranan Azure Sanal Makineler veya şirket içi istemciler tarafından sanal ağa bağlanmak için kullanılan bir VPN Gateway içerebilir.
2. Çalışma alanınız tarafından kullanılan Azure Depolama Hesabı, Azure Key Vault ve Azure Container Registry için yeni bir özel uç nokta ekleyin. Bu özel uç noktalar istemci sanal ağında bulunmalıdır.
3. Çalışma alanınızın kullandığı başka bir depolama alanınız varsa bu depolama alanı için yeni bir özel uç nokta ekleyin. Özel uç nokta istemci sanal ağında bulunmalı ve özel DNS bölgesi tümleştirmesi etkinleştirilmelidir.
4. Çalışma alanınıza yeni bir özel uç nokta ekleyin. Bu özel uç nokta istemci sanal ağında bulunmalı ve özel DNS bölgesi tümleştirmesi etkinleştirilmelidir.
5. Azure Machine Learning Studio'un depolama hesaplarına erişebilmesi için, sanal ağda stüdyo'ya bakın.

Aşağıdaki diyagramda bu yapılandırma gösterilmektedir. İş yükü sanal ağı, eğitim ve dağıtım için çalışma alanı tarafından oluşturulan işlem kaynaklarını içerir. İstemci sanal ağı istemciler veya istemci ExpressRoute/VPN bağlantıları içerir. Her iki sanal ağ da çalışma alanı, Azure Depolama Hesabı, Azure Key Vault ve Azure Container Registry için özel uç noktalar içerir.

Senaryo: Yalıtılmış Azure Kubernetes Service

Çalışma alanı tarafından kullanılan yalıtılmış bir Azure Kubernetes Service oluşturmak istiyorsanız aşağıdaki adımları kullanın:

Not

Bu adımlarda mevcut bir çalışma alanınız, Azure Depolama Hesabınız, Azure Key Vault ve Azure Container Registry'niz olduğu varsayılır. Bu hizmetlerin her birinin mevcut bir sanal ağda özel uç noktası vardır.

1. Azure Kubernetes Service örneği oluşturun. Oluşturma sırasında AKS, AKS kümesini içeren bir sanal ağ oluşturur.
2. Çalışma alanınız tarafından kullanılan Azure Depolama Hesabı, Azure Key Vault ve Azure Container Registry için yeni bir özel uç nokta ekleyin. Bu özel uç noktalar istemci sanal ağında bulunmalıdır.
3. Çalışma alanınızın kullandığı başka depolama alanınız varsa bu depolama için yeni bir özel uç nokta ekleyin. Özel uç nokta istemci sanal ağında bulunmalı ve özel DNS bölgesi tümleştirmesi etkinleştirilmelidir.
4. Çalışma alanınıza yeni bir özel uç nokta ekleyin. Bu özel uç nokta istemci sanal ağında bulunmalı ve özel DNS bölgesi tümleştirmesi etkinleştirilmelidir.
5. AKS kümesini Azure Machine Learning çalışma alanına ekleyin. Daha fazla bilgi için Azure Kubernetes Service kümesi oluşturma ve ekleme kısmına bakın.

Senaryo: Seçili IP adreslerinden erişimi olan yönetilen çevrimiçi uç noktalar

Seçili IP adreslerinden gelen erişimin etkinleştirilmesi, yönetilen çevrimiçi uç noktalarınızdaki giriş ayarından etkilenir. Aşağıdaki tabloda, çalışma alanınız ve yönetilen çevrimiçi uç nokta ağ yapılandırmalarınız için olası yapılandırmalar ve her ikisini de nasıl etkilediği gösterilmektedir. Daha fazla bilgi için bkz Yönetilen çevrimiçi uç noktalarla ağ yalıtımı.

Çalışma alanı genel ağ erişimi	Yönetilen çevrimiçi uç nokta genel ağ erişimi	Çalışma alanı seçili IP'lere saygı gösterir mi?	Çevrimiçi uç nokta seçili IP'lere saygı gösterir mi?
Devre Dışı	Devre Dışı	Hayır (tüm genel trafik reddedildi)	Hayır
Devre Dışı	Etkin	Hayır (tüm genel trafik reddedildi)	Desteklenmez
Seçili IP'lerden etkinleştirildi	Devre Dışı	Evet	Hayır
Seçili IP'lerden etkinleştirildi	Etkin	Evet	Evet

Not

Çalışma alanı genel ağ erişim yapılandırmasını seçili IP'lerden devre dışı olarak değiştirirseniz, yönetilen çevrimiçi uç noktalar seçili IP'lere saygı duymaya devam eder. Seçili IP'lerin çevrimiçi uç noktalarınıza uygulanmasını istemiyorsanız, Azure portalında çalışma alanı için Devre Dışı'nı seçmeden önce adresleri kaldırın. Python SDK'sı ve Azure CLI bu değişikliği sonrasında veya öncesinde destekler.

Senaryo: Seçili IP adreslerinden erişimi olan toplu iş uç noktaları

Batch uç noktaları seçili IP yapılandırmasını desteklemez. Ortak ağ erişim bayrakları yoktur. Azure Machine Learning çalışma alanını devre dışı bırakır ve özel bağlantıyı etkinleştirirseniz toplu iş uç noktası özeldir. Çalışma alanının genel ağ erişimini devre dışı durumdan etkin duruma değiştirirseniz, toplu iş uç noktaları özel kalır ve genel olmaz. Daha fazla bilgi için Toplu iş uç noktalarının güvenliğini sağlama başlığına bakın.

İlgili içerik

• Sanal ağ yalıtımına ve gizliliğine genel bakış

• Çalışma alanını özel DNS sunucusuyla kullanma

• API platformu ağ yalıtımı