Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
ŞUNLAR IÇIN GEÇERLIDIR:
Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)
Azure Machine Learning, yönetilen sanal ağ (yönetilen sanal ağ) yalıtımı için destek sağlar. Yönetilen sanal ağ yalıtımı, yerleşik, çalışma alanı düzeyinde Azure Machine Learning yönetilen sanal ağıyla ağ yalıtımı yapılandırmanızı kolaylaştırır ve otomatikleştirir. Yönetilen sanal ağ, işlem örnekleri, işlem kümeleri, sunucusuz işlem ve yönetilen çevrimiçi uç noktalar gibi yönetilen Azure Machine Learning kaynaklarınızın güvenliğini sağlar.
Yönetilen ağ ile çalışma alanınızın güvenliğini sağlamak, çalışma alanından ve yönetilen işlemlerden giden erişim için ağ yalıtımı sağlar. Oluşturduğunuz ve yönettiğiniz bir Azure Sanal Ağ, çalışma alanına gelen ağ yalıtımı erişimi sağlamak için kullanılır. Örneğin, Azure Sanal Ağ çalışma alanı için özel bir uç nokta oluşturulur. Sanal ağa bağlanan tüm istemciler çalışma alanına özel uç nokta üzerinden erişebilir. Yönetilen işlemlerde işler çalıştırılırken yönetilen ağ, işlem tarafından erişilebilen işlemleri kısıtlar.
Yönetilen Sanal Ağ Mimarisi
Yönetilen sanal ağ yalıtımını etkinleştirdiğinizde, çalışma alanı için bir yönetilen sanal ağ oluşturulur. Çalışma alanı için oluşturduğunuz yönetilen işlem kaynakları bu yönetilen sanal ağı otomatik olarak kullanır. Yönetilen sanal ağ, çalışma alanınız tarafından kullanılan Azure kaynakları için Azure Depolama, Azure Key Vault ve Azure Container Registry gibi özel uç noktaları kullanabilir.
Yönetilen sanal ağdan giden trafik için iki farklı yapılandırma modu vardır:
İpucu
Kullandığınız giden modundan bağımsız olarak, Azure kaynaklarına giden trafik özel uç nokta kullanacak şekilde yapılandırılabilir. Örneğin, internet'e giden tüm trafiğe izin verebilirsiniz, ancak kaynaklar için çıkış kuralları ekleyerek Azure kaynaklarıyla olan iletişimi sınırlayabilirsiniz.
| Giden modu | Açıklama | Senaryolar |
|---|---|---|
| İnternet'e gidenlere izin ver | Yönetilen sanal ağdan gelen tüm İnternet giden trafiğine izin verin. | Python paketleri veya önceden eğitilmiş modeller gibi internet üzerindeki makine öğrenmesi kaynaklarına sınırsız erişim istiyorsunuz.1 |
| Yalnızca onaylanan gidene izin ver | Hizmet etiketleri belirtilerek giden trafiğe izin verilir. | * Veri sızdırma riskini en aza indirmek istiyorsunuz, ancak gerekli tüm makine öğrenmesi yapıtlarını özel ortamınızda hazırlamanız gerekiyor. * Onaylı bir hizmet listesine, hizmet etiketlerine veya FQDN'lere giden erişimi yapılandırmak istiyorsunuz. |
| Devre dışı | Gelen ve giden trafik kısıtlanmış değil veya kaynakları korumak için kendi Azure Sanal Ağ kullanıyorsunuz. | Çalışma alanından genel gelen ve gidenleri istiyorsunuz veya ağ yalıtımını kendi Azure sanal ağınızla işliıyorsunuz. |
- İnternete giden trafiğe izin vermek için kullanılan seçeneğe benzer bir sonucu elde etmek amacıyla, yalnızca onaylanan giden moduna izin ver seçeneği ile giden trafik kurallarını kullanabilirsiniz. Farklar şunlardır:
- İzin vermeniz gereken her giden bağlantı için kurallar eklemeniz gerekir.
- Bu kural türü Azure Güvenlik Duvarı kullandığından FQDN giden kuralları eklemek maliyetlerinizi artırır. Daha fazla bilgi için bkz. Fiyatlandırma
- Yalnızca onaylanan gidenlere izin ver için varsayılan kurallar, veri sızdırma riskini en aza indirmek için tasarlanmıştır. Eklediğiniz tüm giden kuralları riskinizi artırabilir.
Yönetilen sanal ağ, gerekli varsayılan kurallarla önceden yapılandırılmıştır. Ayrıca çalışma alanınıza özel uç nokta bağlantıları, çalışma alanının varsayılan depolama alanı, kapsayıcı kayıt defteri ve anahtar kasası özel olarak yapılandırılmışsa veya çalışma alanı yalıtım modu yalnızca onaylanan gidene izin verecek şekilde ayarlanmışsa yapılandırılır. Yalıtım modunu seçtikten sonra, yalnızca eklemeniz gerekebilecek diğer giden gereksinimleri dikkate almanız gerekir.
Aşağıdaki diyagramda İnternet'e giden İnternet'e izin verecek şekilde yapılandırılmış bir yönetilen sanal ağ gösterilmektedir:
Aşağıdaki diyagramda yalnızca onaylanan gidene izin verecek şekilde yapılandırılmış bir yönetilen sanal ağ gösterilmektedir:
Not
Bu yapılandırmada, çalışma alanı tarafından kullanılan depolama, anahtar kasası ve kapsayıcı kayıt defteri özel olarak işaretlenir. Bunlar özel olarak işaretlendiğinden, onlarla iletişim kurmak için özel bir uç nokta kullanılır.
Not
Yönetilen bir sanal ağ çalışma alanı İnternet'e gidene izin verecek şekilde yapılandırıldıktan sonra, çalışma alanı devre dışı olarak yeniden yapılandırılamaz. Benzer şekilde, yönetilen bir sanal ağ çalışma alanı yalnızca onaylanan gidenlere izin verecek şekilde yapılandırıldıktan sonra, çalışma alanı internet'e gidenlere izin verecek şekilde yeniden yapılandırılamaz.
Azure Machine Learning Studio
Tümleşik not defterini kullanmak veya studio'dan varsayılan depolama hesabında veri kümeleri oluşturmak istiyorsanız istemcinizin varsayılan depolama hesabına erişmesi gerekir. İstemcilerin kullandığı Azure Sanal Ağ varsayılan depolama hesabı için özel bir uç nokta veya hizmet uç noktası oluşturun.
Azure Machine Learning stüdyosu bir bölümü istemcinin web tarayıcısında yerel olarak çalışır ve çalışma alanının varsayılan depolama alanıyla doğrudan iletişim kurar. İstemcinin sanal ağında özel uç nokta veya hizmet uç noktası (varsayılan depolama hesabı için) oluşturmak, istemcinin depolama hesabıyla iletişim kurabilmesini sağlar.
Çalışma alanıyla ilişkili Azure depolama hesabında genel ağ erişimi devre dışı bırakılmışsa, istemci sanal ağında oluşturulan özel uç noktaya çalışma alanı yönetilen kimliğiniz için Okuyucu rolü verildiğinden emin olun. Bu, hem blog hem de dosya depolama özel uç noktaları için geçerlidir. Rol, yönetilen sanal ağ tarafından oluşturulan özel uç nokta için gerekli değildir.
Özel uç nokta veya hizmet uç noktası oluşturma hakkında daha fazla bilgi için Depolama hesabına özel olarak bağlanma ve Hizmet Uç Noktaları makalelerine bakın.
Güvenli ilişkili kaynaklar
Bir hizmet uç noktası veya özel uç nokta kullanarak (genel erişimi devre dışı bırakarak) sanal ağa aşağıdaki hizmetleri eklerseniz, güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin verin:
| Hizmet | Uç nokta bilgileri | Güvenilen bilgilere izin ver |
|---|---|---|
| Azure Key Vault |
Hizmet uç noktası Özel uç noktası |
Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver |
| Azure Depolama Hesabı |
Hizmet ve özel uç nokta Özel uç nokta |
Azure kaynak örneklerinden erişim verme veya Güvenilen Azure hizmetlerine erişim verme |
| Azure Container Registry | Özel uç nokta | Güvenilen hizmetlere izin ver |
Önkoşullar
Bu makaledeki adımları takip etmeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:
Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.
Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.
Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/readMicrosoft.MachineLearningServices/workspaces/privateEndpointConnections/write
uzantısı. Daha fazla bilgi için bkz . CLI'yi (v2) yükleme, ayarlama ve kullanma.
İpucu
Azure Machine Learning tarafından yönetilen sanal ağ 23 Mayıs 2023'te kullanıma sunulmuştur. ML uzantısının eski bir sürümüne sahipseniz, bu makaledeki örnekler için bu uzantıyı güncelleştirmeniz gerekebilir. Uzantıyı güncelleştirmek için aşağıdaki Azure CLI komutunu kullanın:
az extension update -n mlBu makaledeki CLI örneklerinde Bash (veya uyumlu) kabuğu kullandığınız varsayılır. Örneğin, bir Linux sisteminden veya Linux için Windows Alt Sistemi.
Bu makaledeki Azure CLI örnekleri, çalışma alanının adını ve
wskaynak grubunun adını temsil etmek için kullanılırrg. Azure aboneliğinizle komutları kullanırken bu değerleri gerektiği gibi değiştirin.
Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.
Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.
Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/readMicrosoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure Machine Learning Python SDK v2. SDK hakkında daha fazla bilgi için bkz . Azure Machine Learning için Python SDK v2'yi yükleme.
İpucu
Azure Machine Learning tarafından yönetilen sanal ağ 23 Mayıs 2023'te kullanıma sunulmuştur. SDK'nın eski bir sürümü yüklüyse, bu makaledeki örneklerin çalışması için bu sürümü güncelleştirmeniz gerekebilir. SDK'yı güncelleştirmek için aşağıdaki komutu kullanın:
pip install --upgrade azure-ai-ml azure-identityBu makaledeki örneklerde kodunuzun aşağıdaki Python ile başladığı varsayılır. Bu kod, yönetilen sanal ağ ile çalışma alanı oluştururken gereken sınıfları içeri aktarır, Azure aboneliğiniz ve kaynak grubunuz için değişkenleri ayarlar ve oluşturur
ml_client:from azure.ai.ml import MLClient from azure.ai.ml.entities import ( Workspace, ManagedNetwork, IsolationMode, ServiceTagDestination, PrivateEndpointDestination, FqdnDestination ) from azure.identity import DefaultAzureCredential # Replace with the values for your Azure subscription and resource group. subscription_id = "<SUBSCRIPTION_ID>" resource_group = "<RESOURCE_GROUP>" # get a handle to the subscription ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group)
Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.
Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.
Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/readMicrosoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure Machine Learning kullanarak yönetilen sanal ağlarda özel uç nokta bağlantıları kurmak için, sistem tarafından atanan veya kullanıcı tarafından atanan çalışma alanı kimliği ve özel uç nokta oluşturma işlemini başlatan kullanıcı kimliği, hedef kaynaklarda Özel Uç Nokta bağlantılarını onaylama izinlerine sahip olmalıdır. 30 Nisan 2025'in ardından yönetilen kimliğe izinler otomatik olarak verilmez ve el ile atanmalıdır.
Microsoft, yönetilen kimliğe Azure AI Kurumsal Ağ Bağlantısı Onaylayıcısı rolünü atamanızı önerir. Aşağıdaki liste , Azure AI Enterprise Network Connection Approver rolü kapsamındaki özel uç nokta hedef kaynak türlerini içerir:
- Azure Application Gateway
- Azure Monitör
- Azure Yapay Zeka Arama
- Event Hubs
- Azure SQL Veritabanı
- Azure Depolama
- Azure Machine Learning çalışma alanı
- Azure Machine Learning kayıt defteri
- Azure Yapay Zeka Atölyesi
- Azure Key Vault
- Azure Cosmos DB veritabanı
- MySQL için Azure Veritabanı
- PostgreSQL için Azure Veritabanı
- Azure AI Hizmetleri
- Redis için Azure Cache
- Konteyner Kayıt Defteri
- API Yönetimi
Bunun yerine özel bir rol oluşturmak isterseniz, her kaynak türü için belirli eylemleri eklemek için bkz. Azure AI Kurumsal Ağ Bağlantısı Onaylayıcısı rolü .
Azure AI Enterprise Network Connection Approver rolü kapsamında olmayan kaynak türlerini hedef almak için özel uç nokta giden kuralları oluşturmak amacıyla özel hedefli bir rol önerilir. Rol, hedef kaynak türlerindeki özel uç nokta bağlantılarını onaylamak için gereken eylemlerle tanımlanmalıdır. Bu tür kaynak türlerine örnek olarak Azure Data Factory, Azure Databricks ve Azure İşlev Uygulamaları verilebilir.
Varsayılan çalışma alanı kaynaklarına Özel Uç Nokta giden kuralları oluşturmak için, gerekli izinler çalışma alanı oluşturma sırasında verilen rol atamaları tarafından otomatik olarak kapsandığından başka bir eylem gerekmez.
İnternet giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma
İpucu
Yönetilen sanal ağın oluşturulması, işlem kaynağı oluşturulana veya sağlama el ile başlatılana kadar ertelenebilir. Otomatik oluşturma işlemine izin verdiğinizde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. Daha fazla bilgi için bkz . Ağı el ile sağlama.
Önemli
Sunucusuz Spark işleri göndermeyi planlıyorsanız, sağlamayı el ile başlatmanız gerekir. Daha fazla bilgi için sunucusuz Spark işleri için yapılandırma bölümüne bakın.
İnternet giden iletişimlerine izin veren bir yönetilen sanal ağ yapılandırmak için, parametresini --managed-network allow_internet_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:
managed_network:
isolation_mode: allow_internet_outbound
Çalışma alanının bağlı olduğu diğer Azure hizmetlerine giden kuralları da tanımlayabilirsiniz. Bu kurallar, bir Azure kaynağının yönetilen sanal ağ ile güvenli bir şekilde iletişim kurmasına olanak sağlayan özel uç noktaları tanımlar. Aşağıdaki kural, Bir Azure Blob kaynağına özel uç nokta eklemeyi gösterir.
managed_network:
isolation_mode: allow_internet_outbound
outbound_rules:
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
Yönetilen bir sanal ağı veya az ml workspace create komutlarını az ml workspace update kullanarak yapılandırabilirsiniz:
Aşağıdaki örnek yeni bir çalışma alanı oluşturur. parametresi, --managed-network allow_internet_outbound çalışma alanı için yönetilen bir sanal ağ yapılandırıyor:
az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
Bunun yerine YAML dosyası kullanarak çalışma alanı oluşturmak için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:
az ml workspace create --file workspace.yaml --resource-group rg --name ws
Aşağıdaki YAML örneği, yönetilen sanal ağa sahip bir çalışma alanını tanımlar:
name: myworkspace
location: EastUS
managed_network:
isolation_mode: allow_internet_outbound
İnternet giden iletişimlerine izin veren bir yönetilen sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOW_INTERNET_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir çalışma alanı oluşturabilir veya var olan bir çalışma alanını güncelleştirebilirsiniz. Çalışma alanının kullandığı Azure hizmetlerine giden kuralları tanımlamak için sınıfını PrivateEndpointDestination kullanarak hizmete yeni bir özel uç nokta tanımlayın.
Aşağıdaki örnek, myworkspaceAzure Blob deposu için özel uç nokta ekleyen adlı myrule bir giden kuralıyla adlı yeni bir çalışma alanı oluşturur:
# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
# Workspace configuration
ws = Workspace(
name="myworkspace",
location="eastus",
managed_network=network
)
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
# Add the outbound
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
name=rule_name,
service_resource_id=service_resource_id,
subresource_target=subresource_target,
spark_enabled=spark_enabled)]
# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()
Azure portalında oturum açın ve Kaynak oluştur menüsünden Azure Machine Learning'i seçin.
Temel Bilgiler sekmesinde gerekli bilgileri sağlayın.
Ağ sekmesinden İnternet Giden ile Özel'i seçin.
Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Çalışma alanı giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:
- Kural adı: Kural için bir ad. Ad bu çalışma alanı için benzersiz olmalıdır.
- Hedef türü: Ağ yalıtımı İnternet giden ile özel olduğunda tek seçenek Özel Uç Noktadır. Azure Machine Learning yönetilen sanal ağı, tüm Azure kaynak türleri için özel uç nokta oluşturmayı desteklemez. Desteklenen kaynakların listesi için Özel uç noktalar bölümüne bakın.
- Abonelik: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren abonelik.
- Kaynak grubu: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren kaynak grubu.
- Kaynak türü: Azure kaynağının türü.
- Kaynak adı: Azure kaynağının adı.
- Alt Kaynak: Azure kaynak türünün alt kaynağı.
- Spark etkin: Çalışma alanı için sunucusuz Spark işlerini etkinleştirmek istiyorsanız bu seçeneği belirleyin. Bu seçenek yalnızca kaynak türü Azure Depolama olduğunda kullanılabilir.
Kuralı kaydetmek için Kaydet'i seçin. Kural eklemek için Kullanıcı tanımlı giden kuralları ekleme'yi kullanmaya devam edebilirsiniz.
Çalışma alanını normal şekilde oluşturmaya devam edin.
Yalnızca onaylı giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma
İpucu
Yönetilen sanal ağ, işlem kaynağı oluşturduğunuzda otomatik olarak sağlanır. Otomatik oluşturma işlemine izin verdiğinizde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız, ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Daha fazla bilgi için bkz . Ağı el ile sağlama.
Önemli
Sunucusuz Spark işleri göndermeyi planlıyorsanız, sağlamayı el ile başlatmanız gerekir. Daha fazla bilgi için sunucusuz Spark işleri için yapılandırma bölümüne bakın.
Yalnızca onaylanan giden iletişimlere izin veren bir yönetilen sanal ağ yapılandırmak için, parametresini --managed-network allow_only_approved_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:
managed_network:
isolation_mode: allow_only_approved_outbound
Ayrıca, onaylanan giden iletişimini tanımlamak için giden kuralları da tanımlayabilirsiniz. , ve service_tagtürü fqdnprivate_endpointiçin bir giden kuralı oluşturulabilir. Aşağıdaki kural bir Azure Blob kaynağına özel uç nokta, Azure Data Factory'ye hizmet etiketi ve öğesine pypi.orgFQDN eklemeyi gösterir:
Önemli
- Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak
allow_only_approved_outboundyapılandırıldığında geçerlidir. - Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.
Uyarı
FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- name: added-servicetagrule
destination:
port_ranges: 80, 8080
protocol: TCP
service_tag: DataFactory
type: service_tag
- name: add-fqdnrule
destination: 'pypi.org'
type: fqdn
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
Yönetilen bir sanal ağı veya az ml workspace create komutlarını az ml workspace update kullanarak yapılandırabilirsiniz:
Aşağıdaki örnek, yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :
az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
Aşağıdaki YAML dosyası, yönetilen sanal ağa sahip bir çalışma alanını tanımlar:
name: myworkspace
location: EastUS
managed_network:
isolation_mode: allow_only_approved_outbound
YAML dosyasını kullanarak çalışma alanı oluşturmak için parametresini --file kullanın:
az ml workspace create --file workspace.yaml --resource-group rg --name ws
Yalnızca onaylı giden iletişimlere izin veren bir yönetilen sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir çalışma alanı oluşturabilir veya var olan bir çalışma alanını güncelleştirebilirsiniz. Giden kuralları tanımlamak için aşağıdaki sınıfları kullanın:
| Hedef | Sınıf |
|---|---|
| Çalışma alanının bağlı olduğu Azure hizmeti | PrivateEndpointDestination |
| Azure hizmet etiketi | ServiceTagDestination |
| Tam etki alanı adı (FQDN) | FqdnDestination |
Aşağıdaki örnek, birkaç giden kuralıyla adlı myworkspaceyeni bir çalışma alanı oluşturur:
-
myrule- Azure Blob deposu için özel uç nokta ekler. -
datafactory- Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.
Önemli
- Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak
IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir. - Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.
Uyarı
FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
# Workspace configuration
ws = Workspace(
name="myworkspace",
location="eastus",
managed_network=network
)
# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
PrivateEndpointDestination(
name=rule_name,
service_resource_id=service_resource_id,
subresource_target=subresource_target,
spark_enabled=spark_enabled
)
)
# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
ServiceTagDestination(
name=rule_name,
service_tag=service_tag,
protocol=protocol,
port_ranges=port_ranges
)
)
# Example FQDN rule
ws.managed_network.outbound_rules.append(
FqdnDestination(
name="fqdnrule",
destination="pypi.org"
)
)
# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()
Azure portalında oturum açın ve Kaynak oluştur menüsünden Azure Machine Learning'i seçin.
Temel Bilgiler sekmesinde gerekli bilgileri sağlayın.
Ağ sekmesinden Onaylı Giden ile Özel'i seçin.
Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Çalışma alanı giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:
- Kural adı: Kural için bir ad. Ad bu çalışma alanı için benzersiz olmalıdır.
- Hedef türü: Özel Uç Nokta, Hizmet Etiketi veya FQDN. Hizmet Etiketi ve FQDN yalnızca ağ yalıtımı onaylanan giden ile özel olduğunda kullanılabilir.
Hedef türü Özel Uç Nokta ise aşağıdaki bilgileri sağlayın:
- Abonelik: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren abonelik.
- Kaynak grubu: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren kaynak grubu.
- Kaynak türü: Azure kaynağının türü.
- Kaynak adı: Azure kaynağının adı.
- Alt Kaynak: Azure kaynak türünün alt kaynağı.
- Spark etkin: Çalışma alanı için sunucusuz Spark işlerini etkinleştirmek istiyorsanız bu seçeneği belirleyin. Bu seçenek yalnızca kaynak türü Azure Depolama olduğunda kullanılabilir.
İpucu
Azure Machine Learning yönetilen sanal ağı, tüm Azure kaynak türleri için özel uç nokta oluşturmayı desteklemez. Desteklenen kaynakların listesi için Özel uç noktalar bölümüne bakın.
Hedef türü Hizmet Etiketi ise aşağıdaki bilgileri sağlayın:
- Hizmet etiketi: Onaylanan giden kurallarına eklenecek hizmet etiketi.
- Protokol: Hizmet etiketine izin veren protokol.
- Bağlantı noktası aralıkları: Hizmet etiketine izin vermek için bağlantı noktası aralıkları.
Hedef türü FQDN ise aşağıdaki bilgileri sağlayın:
Uyarı
FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
- FQDN hedefi: Onaylanan giden kurallarına eklenecek tam etki alanı adı.
Kuralı kaydetmek için Kaydet'i seçin. Kural eklemek için Kullanıcı tanımlı giden kuralları ekleme'yi kullanmaya devam edebilirsiniz.
Çalışma alanını normal şekilde oluşturmaya devam edin.
Sunucusuz Spark işleri için yapılandırma
İpucu
Bu bölümdeki adımlar yalnızca sunucusuz Spark işleri göndermeyi planlıyorsanız gereklidir. Sunucusuz Spark işleri göndermeyecekseniz bu bölümü atlayabilirsiniz.
Yönetilen sanal ağ için sunucusuz Spark işlerini etkinleştirmek için aşağıdaki eylemleri gerçekleştirmeniz gerekir:
- Çalışma alanı için yönetilen bir sanal ağ yapılandırın ve Azure Depolama Hesabı için bir giden özel uç nokta ekleyin.
- Yönetilen sanal ağı yapılandırdıktan sonra sağlayın ve Spark işlerine izin verecek şekilde bayrak ekleyin.
Giden özel uç noktayı yapılandırın.
Yönetilen sanal ağ yapılandırmasını tanımlamak ve Azure Depolama Hesabı için özel bir uç nokta eklemek için bir YAML dosyası kullanın. Ayrıca ayarlayın
spark_enabled: true:İpucu
Bu örnek, İnternet trafiğine izin vermek için kullanılarak
isolation_mode: allow_internet_outboundyapılandırılmış yönetilen bir sanal ağa yöneliktir. Yalnızca onaylanan giden trafiğe izin vermek istiyorsanız kullanınisolation_mode: allow_only_approved_outbound.name: myworkspace managed_network: isolation_mode: allow_internet_outbound outbound_rules: - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpointparametresini ve YAML dosyasının
az ml workspace updateadını belirterek--filekomutuyla YAML yapılandırma dosyasını kullanabilirsiniz. Örneğin, aşağıdaki komut adlıworkspace_pe.ymlbir YAML dosyası kullanarak var olan bir çalışma alanını güncelleştirir:az ml workspace update --file workspace_pe.yml --resource_group rg --name wsNot
Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()
isolation_mode: allow_only_approved_outboundSpark oturum yapılandırmasında tanımlanan conda paketi bağımlılıkları yüklenemiyor. Bu sorunu çözmek için azure depolama hesabına dış bağımlılıkları olmayan bağımsız bir Python paket tekerleği yükleyin ve bu depolama hesabına özel uç nokta oluşturun. Spark işinizde parametre olarakpy_filesPython paket tekerleğinin yolunu kullanın. FQDN giden kuralının ayarlanması bu sorunu atlamaz çünkü FQDN kuralı yayma Spark tarafından desteklenmez.Aşağıdaki örnekte adlı
myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir. Ayrıca Azure Depolama Hesabı için özel bir uç nokta ekler ve ayarlarspark_enabled=true:İpucu
Aşağıdaki örnek, İnternet trafiğine izin vermek için kullanılarak
IsolationMode.ALLOW_INTERNET_OUTBOUNDyapılandırılmış yönetilen bir sanal ağa yöneliktir. Yalnızca onaylanan giden trafiğe izin vermek istiyorsanız kullanınIsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.# Get the existing workspace ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace") ws = ml_client.workspaces.get() # Basic managed VNet configuration ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND) # Example private endpoint outbound to a blob rule_name = "myrule" service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>" subresource_target = "blob" spark_enabled = True # Add the outbound ws.managed_network.outbound_rules = [PrivateEndpointDestination( name=rule_name, service_resource_id=service_resource_id, subresource_target=subresource_target, spark_enabled=spark_enabled)] # Create the workspace ml_client.workspaces.begin_update(ws)Not
-
Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()
isolation_mode: allow_only_approved_outboundSpark oturum yapılandırmasında tanımlanan conda paketi bağımlılıkları yüklenemiyor. Bu sorunu çözmek için azure depolama hesabına dış bağımlılıkları olmayan bağımsız bir Python paket tekerleği yükleyin ve bu depolama hesabına özel uç nokta oluşturun. Spark işinde parametre olarakpy_filesPython paket tekerleğinin yolunu kullanın. - çalışma alanı ile
IsolationMode.ALLOW_INTERNET_OUTBOUNDoluşturulduysa, daha sonra kullanmakIsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDüzere güncelleştirilemez.
Azure portalında oturum açın ve Azure Machine Learning çalışma alanını seçin.
Ağ'ı ve ardından Kullanıcı tanımlı giden kuralları ekle'yi seçin. Azure Depolama Hesabı için bir kural ekleyin ve Spark'ın etkinleştirildiğinden emin olun.
Kuralı kaydetmek için Kaydet'i seçin, ardından yönetilen sanal ağdaki değişiklikleri kaydetmek için Ağın üst kısmından Kaydet'i seçin.
-
Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()
Yönetilen sanal ağı sağlama.
Not
Çalışma alanınızda genel ağ erişimi etkinleştirildiyse, yönetilen sanal ağı sağlamadan önce bunu devre dışı bırakmanız gerekir. Yönetilen sanal ağı sağlarken genel ağ erişimini devre dışı bırakmazsanız, yönetilen sanal ağda çalışma alanının özel uç noktaları otomatik olarak oluşturulmayabilir. Aksi takdirde, sağlamadan sonra çalışma alanı için özel uç nokta giden kuralını el ile yapılandırmanız gerekir.
Aşağıdaki örnek, parametresini kullanarak sunucusuz Spark işleri için yönetilen bir sanal ağı sağlamayı
--include-sparkgösterir.az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-sparkAşağıdaki örnek, sunucusuz Spark işleri için yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:
# Connect to a workspace named "myworkspace" ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace") # whether to provision Spark vnet as well include_spark = True provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()Azure portalından, yönetilen ağı yalnızca çalışma alanı oluşturma sırasında sağlamayı seçebilirsiniz. Bunu yapmak için Giden erişimsekmesinden Yönetilen sanal ağ sağla'yı seçin. Mevcut bir çalışma alanında sunucusuz Spark işleri için yönetilen ağı sağlamak için Azure CLI veya Python SDK'sını kullanmanız gerekir.
Yönetilen sanal ağı el ile sağlama
Yönetilen sanal ağ, bir işlem örneği oluşturduğunuzda otomatik olarak sağlanır. Otomatik sağlamayı kullandığınızda, ağı da sağladığından ilk işlem örneğinin oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız (yalnızca onaylanan moda izin ver ile kullanılabilir), ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Yönetilen ağda sağlanacak çok sayıda giden kuralınız varsa sağlamanın tamamlanması daha uzun sürebilir. Artan sağlama süresi, ilk işlem örneği oluşturma işleminizin zaman aşımına neden olabilir.
Bekleme süresini azaltmak ve olası zaman aşımı hatalarını önlemek için yönetilen ağı el ile sağlamanızı öneririz. Ardından bir işlem örneği oluşturmadan önce sağlama tamamlanana kadar bekleyin.
Alternatif olarak, çalışma alanı oluşturma işleminin provision_network_now bir parçası olarak yönetilen ağı sağlamak için bayrağını kullanabilirsiniz.
Not
Çevrimiçi dağıtım oluşturmak için, yönetilen ağı el ile sağlamalı veya önce otomatik olarak sağlayacak bir işlem örneği oluşturmalısınız.
Aşağıdaki örnek, çalışma alanı oluşturma sırasında yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir.
az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now
Aşağıdaki örnekte, yönetilen bir sanal ağın el ile nasıl sağ öğreneceği gösterilmektedir.
İpucu
Sunucusuz Spark işleri göndermeyi planlıyorsanız parametresini --include-spark ekleyin.
az ml workspace provision-network -g my_resource_group -n my_workspace_name
Sağlamanın tamamlandığını doğrulamak için aşağıdaki komutu kullanın:
az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network
Çalışma alanı oluşturma sırasında yönetilen ağı sağlamak için bayrağını provision_network_now olarak Trueayarlayın.
provision_network_now: True
Aşağıdaki örnek, yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:
# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
# whether to provision Spark vnet as well
include_spark = True
provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
Çalışma alanının sağlandığını doğrulamak için, çalışma alanı bilgilerini almak için kullanın ml_client.workspaces.get() . özelliği yönetilen managed_network ağın durumunu içerir.
ws = ml_client.workspaces.get()
print(ws.managed_network.status)
Çalışma alanı oluşturma sırasında, yönetilen ağı sağlamak için oluşturma sırasında Yönetilen ağı proaktif olarak sağla'yı seçin. Sanal ağ sağlandıktan sonra özel uç noktalar gibi ağ kaynaklarından ücret uygulanır. Bu yapılandırma seçeneği yalnızca çalışma alanı oluşturma sırasında kullanılabilir.
Görüntü derlemelerini yapılandırma
Çalışma alanınız için Azure Container Registry bir sanal ağın arkasında olduğunda docker görüntülerini doğrudan oluşturmak için kullanılamaz. Bunun yerine, görüntü oluşturmak için çalışma alanınızı bir işlem kümesi veya işlem örneği kullanacak şekilde yapılandırın.
Önemli
Docker görüntüleri oluşturmak için kullanılan işlem kaynağının modellerinizi eğitmek ve dağıtmak için kullanılan paket depolarına erişebilmesi gerekir. Yalnızca onaylı gidenlere izin verecek şekilde yapılandırılmış bir ağ kullanıyorsanız, genel depolara erişime izin veren kurallar eklemeniz veya özel Python paketleri kullanmanız gerekebilir.
Bir çalışma alanını Docker görüntüleri oluşturmak üzere işlem kümesi veya işlem örneği kullanacak şekilde güncelleştirmek için parametresiyle az ml workspace update komutunu kullanın--image-build-compute:
az ml workspace update --name ws --resource-group rg --image-build-compute mycompute
Aşağıdaki örnekte, görüntü oluşturmak için işlem kümesi kullanmak üzere bir çalışma alanının nasıl güncelleştirilecekleri gösterilmektedir:
# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"
ml_client = MLClient(
DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name=workspace
)
# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)
Azure portalından görüntü derleme işlemini ayarlamanın bir yolu yoktur. Bunun yerine Azure CLI veya Python SDK'sını kullanın.
Giden kurallarını yönetme
Bir çalışma alanının yönetilen sanal ağ giden kurallarını listelemek için aşağıdaki komutu kullanın:
az ml workspace outbound-rule list --workspace-name ws --resource-group rg
Yönetilen sanal ağ giden kuralının ayrıntılarını görüntülemek için aşağıdaki komutu kullanın:
az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg
Yönetilen sanal ağdan giden kuralı kaldırmak için aşağıdaki komutu kullanın:
az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg
Aşağıdaki örnekte adlı myworkspacebir çalışma alanı için giden kuralların nasıl yönetileceğini gösterilmektedir:
# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
# Specify the rule name
rule_name = "<some-rule-name>"
# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)
# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)
# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()
Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz Azure Machine Learning çalışma alanını seçin.
Ağ'ı seçin. Çalışma Alanı Giden erişimi bölümü, giden kurallarını yönetmenize olanak tanır.
Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin.Çalışma alanı giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:
Bir kuralı etkinleştirmek veya devre dışı bırakmak için Etkin sütunundaki iki durumlu düğmeyi kullanın.
Giden kuralı silmek için kural için sil'i seçin.
Gerekli kuralların listesi
Özel uç noktalar:
- Yönetilen sanal ağın yalıtım modu olduğunda
Allow internet outbound, çalışma alanı için yönetilen sanal ağdan ve genel ağ erişimi devre dışı bırakılmış ilişkili kaynaklardan (Key Vault, Depolama Hesabı, Container Registry, Azure Machine Learning çalışma alanı) gerekli kurallar olarak özel uç nokta giden kuralları otomatik olarak oluşturulur. - Yönetilen sanal ağın yalıtım modu olduğunda
Allow only approved outbound, özel uç nokta giden kuralları, söz konusu kaynaklar için genel ağ erişim modundan bağımsız olarak çalışma alanı ve ilişkili kaynaklar için yönetilen sanal ağdan gerekli kurallar olarak otomatik olarak oluşturulur (Key Vault, Depolama Hesabı, Container Registry, Azure Machine Learning çalışma alanı). - Bu kurallar yönetilen sanal ağa otomatik olarak eklenir.
Azure Machine Learning'in normal çalışması için, yönetilen veya özel bir sanal ağ kurulumunda gerekli olan bir dizi gerekli hizmet etiketi vardır. Bazı gerekli hizmet etiketlerini değiştirmenin alternatifleri yoktur. Aşağıdaki tabloda, Azure Machine Learning içindeki her gerekli hizmet etiketi ve amacı açıklanmaktadır.
| Hizmet etiketi kuralı | Gelen veya Giden | Amaç |
|---|---|---|
AzureMachineLearning |
Gelen | Azure Machine Learning işlem örneğini/kümesini oluşturun, güncelleştirin ve silin. |
AzureMachineLearning |
Giden | Azure Machine Learning hizmetlerini kullanma. Not defterlerindeki Python intellisense, 18881 numaralı bağlantı noktasını kullanır. Azure Machine Learning işlem örneği oluşturma, güncelleştirme ve silme işlemleri 5831 numaralı bağlantı noktasını kullanır. |
AzureActiveDirectory |
Giden | Microsoft Entra ID'yi kullanan kimlik doğrulaması. |
BatchNodeManagement.region |
Giden | Azure Machine Learning işlem örnekleri/kümeleri için Azure Batch arka ucuyla iletişim. |
AzureResourceManager |
Giden | Azure Machine Learning, Azure CLI ve Azure Machine Learning SDK'sı ile Azure kaynakları oluşturma. |
AzureFrontDoor.FirstParty |
Giden | Microsoft tarafından sağlanan docker görüntülerine erişin. |
MicrosoftContainerRegistry |
Giden | Microsoft tarafından sağlanan docker görüntülerine erişin. Azure Kubernetes Service için Azure Machine Learning yönlendiricisinin kurulumu. |
AzureMonitor |
Giden | İzlemeyi ve ölçümleri Azure İzleyici’de günlüğe kaydetmek için kullanılır. Yalnızca çalışma alanı için Azure İzleyici güvenli değilse gereklidir. Bu giden, destek olaylarının bilgilerini günlüğe kaydetmek için de kullanılır. |
VirtualNetwork |
Giden | Sanal ağda veya eşlenmiş sanal ağlarda özel uç noktalar mevcut olduğunda gereklidir. |
Not
YALNIZCA güvenlik sınırı olarak hizmet etiketleri yeterli değildir. Kiracı düzeyinde yalıtım için mümkün olduğunda özel uç noktaları kullanın.
Senaryoya özgü giden kuralların listesi
Senaryo: Genel makine öğrenmesi paketlerine erişme
Eğitim ve dağıtım için Python paketlerinin yüklenmesine izin vermek için, aşağıdaki konak adlarına gelen trafiğe izin vermek için giden FQDN kuralları ekleyin:
Uyarı
FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
Not
Aşağıdaki liste, internet üzerindeki tüm Python kaynakları için gereken tüm konakları içermez, yalnızca en yaygın kullanılanları içerir. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir.
| Konak adı | Amaç |
|---|---|
anaconda.com*.anaconda.com |
Varsayılan paketleri yüklemek için kullanılır. |
*.anaconda.org |
Depo verilerini almak için kullanılır. |
pypi.org |
Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa, dizinine de izin *.pythonhosted.orgvermelisiniz. |
pytorch.org*.pytorch.org |
PyTorch tabanlı bazı örnekler tarafından kullanılır. |
*.tensorflow.org |
TensorFlow tabanlı bazı örnekler tarafından kullanılır. |
Senaryo: İşlem örneğiyle Visual Studio Code masaüstü veya web kullanma
Azure Machine Learning ile Visual Studio Code kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:
Not
Aşağıdaki liste, internet üzerindeki tüm Visual Studio Code kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir. Konak adlarının tam listesi için bkz. Visual Studio Code'da Ağ Bağlantıları.
| Konak adı | Amaç |
|---|---|
*.vscode.dev*.vscode-unpkg.net*.vscode-cdn.net*.vscodeexperiments.azureedge.netdefault.exp-tas.com |
vscode.dev, (Web için Visual Studio Code) erişimi için gereklidir |
code.visualstudio.com |
VS Code masaüstünü indirmek ve yüklemek için gereklidir. Bu konak VS Code Web için gerekli değildir. |
update.code.visualstudio.com*.vo.msecnd.net |
Bir kurulum betiği aracılığıyla işlem örneğine yüklenen VS Code sunucu bitlerini almak için kullanılır. |
marketplace.visualstudio.comvscode.blob.core.windows.net*.gallerycdn.vsassets.io |
VS Code uzantılarını yükleyip kurmak için gereklidir. Bu konaklar, işlem örneklerine uzak bağlantı sağlar. Daha fazla bilgi için bkz . VS Code'da Azure Machine Learning kaynaklarını yönetme. |
vscode.download.prss.microsoft.com |
Visual Studio Code CDN indirme için kullanıldı |
Senaryo: Toplu iş uç noktalarını veya ParallelRunStep'i kullanma
Dağıtım veya ParallelRunStep için Azure Machine Learning toplu uç noktalarını kullanmayı planlıyorsanız, varsayılan depolama hesabı için aşağıdaki alt kaynaklara trafiğe izin vermek için giden özel uç nokta kuralları ekleyin:
queuetable
Senaryo: Azure OpenAI, içerik güvenliği ve Azure AI Search ile istem akışını kullanma
- Azure AI Services'a özel uç nokta
- Azure AI Search'e özel uç nokta
Senaryo: HuggingFace modellerini kullanma
HuggingFace modellerini Azure Machine Learning ile kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:
Uyarı
FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
docker.io*.docker.io*.docker.comproduction.cloudflare.docker.comcdn.auth0.comcdn-lfs.huggingface.co
Senaryo: Seçili IP Adreslerinden erişimi etkinleştirme
Belirli IP adreslerinden erişimi etkinleştirmek istiyorsanız aşağıdaki eylemleri kullanın:
Azure Machine Learning çalışma alanına giden trafiğe izin vermek için bir giden özel uç nokta kuralı ekleyin. Bu kural, yönetilen sanal ağda oluşturulan işlem örneklerinin çalışma alanına erişmesine olanak tanır.
İpucu
Çalışma alanı henüz mevcut olmadığından, çalışma alanı oluşturma sırasında bu kuralı ekleyemezsiniz.
Çalışma alanına genel ağ erişimini etkinleştirin. Daha fazla bilgi için bkz . Genel ağ erişimi etkin.
IP adreslerinizi Azure Machine Learning güvenlik duvarına ekleyin. Daha fazla bilgi için bkz . Yalnızca IP aralıklarından erişimi etkinleştirme.
Not
Şu anda yalnızca IPv4 adresleri desteklenmektedir.
Daha fazla bilgi için bkz . Özel bağlantı yapılandırma.
Özel uç noktalar
Özel uç noktalar şu anda aşağıdaki Azure hizmetleri için desteklenmektedir:
- Azure Machine Learning
- Azure Machine Learning kayıt defterleri
- Azure Depolama (tüm alt kaynak türleri)
- Azure Container Registry (Azure Konteyner Kayıt Defteri)
- Azure Key Vault
- Azure Yapay Zeka Hizmetleri
- Azure AI Search (eski adıyla Bilişsel Arama)
- Azure SQL Server
- Azure Data Factory
- Azure Cosmos DB (tüm alt kaynak türleri)
- Azure Event Hubs
- Azure Redis Önbellek
- Azure Databricks
- MariaDB için Azure Veritabanı
- PostgreSQL için Azure Veritabanı Tek Sunucu
- esnek sunucu PostgreSQL için Azure Veritabanı
- MySQL için Azure Veritabanı
- Azure API Management
- Yalnızca VNET eklemesi olmadan Klasik seviyeyi ve sanal ağ bütünleşmesi ile Standart V2 seviyesini destekleme. API Management sanal ağları hakkında daha fazla bilgi için bkz. Sanal Ağ Kavramları
- Application Insights ( PrivateLinkScopes aracılığıyla)
Özel uç nokta oluşturduğunuzda, uç noktanın bağlanacağı kaynak türünü ve alt kaynağı sağlarsınız. Bazı kaynakların birden çok türü ve alt kaynağı vardır. Daha fazla bilgi için bkz . Özel uç nokta nedir?
Azure Depolama, Azure Container Registry ve Azure Key Vault gibi Azure Machine Learning bağımlılık kaynakları için özel bir uç nokta oluşturduğunuzda, kaynak farklı bir Azure aboneliğinde olabilir. Ancak kaynağın Azure Machine Learning çalışma alanıyla aynı kiracıda olması gerekir.
Çalışma alanı için özel uç noktalar otomatik olarak oluşturulmaz. Bunlar yalnızca ilk işlem oluşturulduğunda veya yönetilen sanal ağ sağlanması zorlandığında oluşturulur. Yönetilen sanal ağ sağlanmasını zorlamak hakkında daha fazla bilgi için bkz. Ağı el ile sağlama.
Özel uç noktaların onayı
Azure Machine Learning kullanarak yönetilen sanal ağlarda Özel Uç Nokta bağlantıları kurmak için, sistem tarafından atanan veya kullanıcı tarafından atanan çalışma alanı yönetilen kimliğinin hedef kaynaklarda Özel Uç Nokta bağlantılarını onaylama izinlerine sahip olması gerekir. Daha önce bu atama, Azure Machine Learning hizmeti tarafından otomatik rol atamaları aracılığıyla yapılıyordu. Ancak, otomatik rol ataması ile ilgili güvenlik endişeleri vardır. Güvenliği geliştirmek için, 30 Nisan 2025'den itibaren bu rol ataması otomatik değildir.
Hedef kaynak türlerine Azure AI Kurumsal Ağ Bağlantısı Onaylayıcısı rolünü veya gerekli Özel Uç Nokta bağlantı izinlerine sahip özel bir rol atamanızı öneririz. Azure Machine Learning hizmetlerinin hedef Azure kaynaklarına Özel Uç Nokta bağlantılarını onaylamasına izin vermek için bu rolü Azure Machine Learning çalışma alanının yönetilen kimliğine verin.
Azure AI Enterprise Network Connection Approver rolü kapsamındaki özel uç nokta hedef kaynak türlerinin listesi aşağıdadır:
- Azure Application Gateway
- Azure Monitör
- Azure Yapay Zeka Arama
- Event Hubs
- Azure SQL Veritabanı
- Azure Depolama
- Azure Machine Learning çalışma alanı
- Azure Machine Learning kayıt defteri
- Azure Yapay Zeka Atölyesi
- Azure Key Vault
- Azure Cosmos DB veritabanı
- MySQL için Azure Veritabanı
- PostgreSQL için Azure Veritabanı
- Azure AI Hizmetleri
- Redis için Azure Cache
- Konteyner Kayıt Defteri
- API Yönetimi
Azure AI Enterprise Network Connection Approver rolü kapsamında olmayan kaynak türlerini hedefleyen Özel Uç Nokta giden kuralları oluşturmak için daraltılmış özel bir rol önerilir. Kural, hedef kaynak türlerinde özel uç nokta bağlantılarını onaylamak için gereken eylemleri tanımlamalıdır. Bu tür kaynak türlerine örnek olarak Azure Data Factory, Azure Databricks ve Azure İşlev Uygulamaları verilebilir.
Varsayılan çalışma alanı kaynaklarına Özel Uç Nokta giden kuralları oluşturmak için, gerekli izinler çalışma alanı oluşturma sırasında verilen rol atamaları tarafından otomatik olarak kapsandığından başka bir eylem gerekmez.
Onaylı çıkışa yalnızca izin verilen bir Azure Güvenlik Duvarı sürümü seçin.
Yalnızca onaylanan giden modundayken bir FQDN giden kuralı oluşturulursa bir Azure Güvenlik Duvarı dağıtılır. Azure Güvenlik Duvarı ücretleri faturanıza dahil edilir. Varsayılan olarak, AzureFirewall'ın Standart sürümü oluşturulur. İsteğe bağlı olarak, Temel sürümü kullanmayı seçebilirsiniz. Kullanılan güvenlik duvarı sürümünü gerektiği gibi değiştirebilirsiniz. Hangi sürümün sizin için en uygun olduğunu öğrenmek için Doğru Azure Güvenlik Duvarı sürümünü seçme adresini ziyaret edin.
Önemli
Giden FQDN kuralı ekleyene kadar güvenlik duvarı oluşturulmaz. Fiyatlandırma hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı fiyatlandırma ve standart sürümün fiyatlarını görüntüleme. URL tabanlı filtreleme yalnızca Premium SKU Azure Güvenlik Duvarı ile desteklenir; Temel veya Standart SKU Azure Güvenlik Duvarı ile desteklenmez. Yönetilen sanal ağ Premium SKU Azure Güvenlik Duvarı'nı desteklemez.
Yalnızca onaylanan giden moduna izin ver'i seçtikten sonra, Azure Güvenlik Duvarı sürümünü (SKU) seçme seçeneği görüntülenir. Standart sürümü kullanmak için Standart'ı veya temel sürümü kullanmak için Temel'i seçin. Yapılandırmanızı kaydetmek için Kaydet'i seçin.
CLI'dan güvenlik duvarı sürümünü yapılandırmak için bir YAML dosyası kullanın ve belirtin firewall_sku. Aşağıdaki örnekte, güvenlik duvarı SKU'su olarak ayarlayan bir YAML dosyası gösterilmektedir basic:
name: test-ws
resource_group: test-rg
location: eastus2
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- category: required
destination: 'contoso.com'
name: contosofqdn
type: fqdn
firewall_sku: basic
tags: {}
Python SDK'sından güvenlik duvarı sürümünü yapılandırmak için nesnesinin firewall_skuManagedNetwork özelliğini ayarlayın. Aşağıdaki örnekte güvenlik duvarı SKU'sunun basicnasıl olarak ayarlanacağı gösterilmektedir:
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND,
firewall_sku='basic')
Fiyatlandırma
Azure Machine Learning yönetilen sanal ağ özelliği ücretsizdir. Ancak, yönetilen sanal ağ tarafından kullanılan aşağıdaki kaynaklar için ücretlendirilirsiniz:
Azure Özel Bağlantı - Yönetilen sanal ağ ile Azure kaynakları arasındaki iletişimin güvenliğini sağlamak için kullanılan özel uç noktalar Azure Özel Bağlantı dayanır. Fiyatlandırma hakkında daha fazla bilgi için bkz. fiyatlandırma Azure Özel Bağlantı.
FQDN giden kuralları - FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Varsayılan olarak standart bir Azure Güvenlik Duvarı sürümü kullanılır. Temel sürümü seçme hakkında bilgi için bkz. Azure Güvenlik Duvarı sürümü seçme.
Önemli
Giden FQDN kuralı ekleyene kadar güvenlik duvarı oluşturulmaz. Fiyatlandırma hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı fiyatlandırma ve standart sürümün fiyatlarını görüntüleme.
Sınırlamalar
- Çalışma alanınızın yönetilen sanal ağ yalıtımını etkinleştirdikten sonra (İnternet'e gidene izin verin veya yalnızca onaylanan gidenlere izin verin), devre dışı bırakamazsınız.
- Yönetilen sanal ağ, özel kaynaklarınıza erişmek için özel uç nokta bağlantısını kullanır. Depolama hesabı gibi Azure kaynaklarınız için aynı anda hem özel uç noktanız hem hizmet uç noktanız olamaz. Tüm senaryolarda özel uç noktaları kullanmanızı öneririz.
- Yönetilen sanal ağ, çalışma alanı silindiğinde silinir.
- Azure Machine Learning kaynaklarında ve kaynak grubunda kapsam kilidi olmadığından emin olun. Yönetilen sanal ağ ile ilgili iç işlemler engellenebilir.
- Veri sızdırma koruması, onaylanan tek giden mod için otomatik olarak etkinleştirilir. FQDN'ler gibi başka giden kuralları eklerseniz, Microsoft bu giden hedeflere veri sızdırmaya karşı koruma altında olduğunuzu garantileyemez.
- Yönetilen bir sanal ağ kullanılırken çalışma alanından farklı bir bölgede işlem kümesi oluşturma desteklenmez.
- Kubernetes ve bağlı VM'ler, Azure Machine Learning tarafından yönetilen bir sanal ağda desteklenmez.
- FQDN giden kurallarının kullanılması yönetilen sanal ağın maliyetini artırır çünkü FQDN kuralları Azure Güvenlik Duvarı kullanır. Daha fazla bilgi için bkz. Fiyatlandırma.
- FQDN giden kuralları yalnızca 80 ve 443 bağlantı noktalarını destekler.
- İşlem örneğiniz yönetilen bir ağdaysa ve genel IP olmadan yapılandırılmışsa, SSH kullanarak bağlanmak için
az ml compute connect-sshkomutunu kullanın. - Yönetilen sanal ağı kullanırken işlem kaynaklarını özel sanal ağınıza dağıtamazsınız. İşlem kaynakları yalnızca yönetilen sanal ağ içinde oluşturulabilir.
- Yönetilen ağınız yalnızca onaylanan gidenlere izin verecek şekilde yapılandırılmışsa, Azure Depolama Hesaplarına erişmek için FQDN kuralı kullanamazsınız. Bunun yerine özel bir uç nokta kullanmanız gerekir.
- Özel ilkenizde yönetilen sanal ağ için oluşturulan Microsoft tarafından yönetilen özel uç noktaların izin verilenler listesine ekli olduğundan emin olun.
İşlem kaynaklarının geçişi
Mevcut bir çalışma alanınız varsa ve bunun için yönetilen sanal ağı etkinleştirmek istiyorsanız, şu anda mevcut yönetilen işlem kaynakları için desteklenen bir geçiş yolu yoktur. Yönetilen sanal ağı etkinleştirdikten sonra mevcut tüm yönetilen işlem kaynaklarını silmeniz ve yeniden oluşturmanız gerekir. Aşağıdaki liste, silinmesi ve yeniden oluşturulması gereken işlem kaynaklarını içerir:
- İşlem kümesi
- İşlem örneği
- Yönetilen çevrimiçi uç noktalar