Sanal ağları (VNet) kullanarak Azure Machine Learning çalışma alanı kaynaklarının güvenliğini sağlama
ŞUNLAR IÇIN GEÇERLIDIR:
Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)
ŞUNUN IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v1Python SDK azureml v1
İpucu
Microsoft, bu makaledeki adımlar yerine Azure Machine Learning yönetilen sanal ağlarının kullanılmasını önerir. Yönetilen bir sanal ağ ile Azure Machine Learning, çalışma alanınız ve yönetilen işlemleriniz için ağ yalıtımı işini işler. Ayrıca çalışma alanının ihtiyaç duyduğu kaynaklar için Azure Depolama Hesabı gibi özel uç noktalar da ekleyebilirsiniz. Daha fazla bilgi için bkz. Çalışma alanı yönetilen ağ izolasyonu.
Azure Sanal Ağ s (VNet) kullanarak Azure Machine Learning çalışma alanı kaynaklarının ve işlem ortamlarının güvenliğini sağlayın. Bu makalede, tam bir sanal ağın nasıl yapılandırabileceğinizi göstermek için örnek bir senaryo gerçekleştirilir.
Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:
Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:
- Yönetilen ağları kullanma
- Çalışma alanı kaynaklarının güvenliğini sağlama
- Makine öğrenmesi kayıt defterlerinin güvenliğini sağlama
- Eğitim ortamının güvenliğini sağlama
- Çıkarım ortamının güvenliğini sağlama
- Stüdyo işlevselliğini etkinleştirme
- Özel DNS kullanma
- Güvenlik duvarı kullanma
- API platformu ağ yalıtımı
Güvenli çalışma alanı oluşturma öğreticisi için bkz . Öğretici: Güvenli çalışma alanı oluşturma veya Öğretici: Şablon kullanarak güvenli çalışma alanı oluşturma.
Önkoşullar
Bu makalede, aşağıdaki makalelere aşina olduğunuz varsayılır:
- Azure Sanal Ağlar
- IP ağı
- Özel uç nokta ile Azure Machine Learning çalışma alanı
- Ağ Güvenlik Grupları (NSG)
- Ağ güvenlik duvarları
Örnek senaryo
Bu bölümde, Azure Machine Learning iletişimini özel IP adresleriyle güvenli bir şekilde sağlamak için ortak bir ağ senaryosu nasıl ayarlandığını öğreneceksiniz.
Aşağıdaki tablo, hizmetlerin sanal ağ ile ve sanal ağ olmadan Azure Machine Learning ağının farklı bölümlerine nasıl eriştiklerini karşılaştırır:
| Senaryo | Çalışma alanı | İlişkili kaynaklar | eğitim işlem ortamı | İşlem ortamını çıkarsama |
|---|---|---|---|---|
| Sanal ağ yok | Genel IP | Genel IP | Genel IP | Genel IP |
| Ortak çalışma alanı, sanal ağdaki diğer tüm kaynaklar | Genel IP | Genel IP (hizmet uç noktası) -Veya- Özel IP (özel uç nokta) |
Genel IP | Özel IP |
| Sanal ağdaki güvenli kaynaklar | Özel IP (özel uç nokta) | Genel IP (hizmet uç noktası) -Veya- Özel IP (özel uç nokta) |
Özel IP | Özel IP |
- Çalışma alanı - Çalışma alanınız için özel bir uç nokta oluşturun. Özel uç nokta, çalışma alanını birkaç özel IP adresi aracılığıyla sanal ağa bağlar.
- Genel erişim - güvenli bir çalışma alanı için isteğe bağlı olarak genel erişimi etkinleştirebilirsiniz.
- İlişkili kaynak - Azure depolama, Azure Key Vault gibi çalışma alanı kaynaklarına bağlanmak için hizmet uç noktalarını veya özel uç noktaları kullanın. Azure Container Services için özel uç nokta kullanın.
- Hizmet uç noktaları , sanal ağınızın kimliğini Azure hizmetine sağlar. Sanal ağınızda hizmet uç noktalarını etkinleştirdikten sonra, Azure hizmet kaynaklarının sanal ağınıza güvenliğini sağlamak için bir sanal ağ kuralı ekleyebilirsiniz. Hizmet uç noktaları genel IP adreslerini kullanır.
- Özel uç noktalar, sizi Azure Özel Bağlantı tarafından desteklenen bir hizmete güvenli bir şekilde bağlayan ağ arabirimleridir. Özel uç nokta, sanal ağınızdaki bir özel IP adresini kullanarak hizmeti etkin bir şekilde sanal ağınıza getirir.
- İşlem erişimini eğitme - Genel veya özel IP adresleriyle Azure Machine Learning İşlem Örneği ve Azure Machine Learning İşlem Kümeleri gibi eğitim işlem hedeflerine erişin.
- Çıkarım işlem erişimi - Özel IP adreslerine sahip Azure Kubernetes Services (AKS) işlem kümelerine erişin.
Sonraki bölümlerde, daha önce açıklanan ağ senaryosunun güvenliğini nasıl sağlayabileceğiniz gösterilmektedir. Ağınızın güvenliğini sağlamak için şunları kullanmanız gerekir:
- Çalışma alanının ve ilişkili kaynakların güvenliğini sağlayın.
- Eğitim ortamının güvenliğini sağlama.
- Çıkarım ortamının güvenliğini sağlama.
- İsteğe bağlı olarak: Stüdyo işlevselliğini etkinleştirin.
- Güvenlik duvarı ayarlarını yapılandırın.
- DNS ad çözümlemeyi yapılandırın.
Genel çalışma alanı ve güvenli kaynaklar
Önemli
Bu, Azure Machine Learning için desteklenen bir yapılandırma olsa da, Microsoft bunu önermez. Sanal ağın arkasındaki Azure Depolama Hesabı'ndaki veriler genel çalışma alanında gösterilebilir. Üretimde kullanmadan önce bu yapılandırmayı güvenlik ekibinizle doğrulamanız gerekir.
Tüm ilişkili kaynakları bir sanal ağda güvenli tutarken çalışma alanına genel İnternet üzerinden erişmek istiyorsanız aşağıdaki adımları kullanın:
Azure Sanal Ağ oluşturun. Bu ağ, çalışma alanı tarafından kullanılan kaynakların güvenliğini sağlar.
Genel olarak erişilebilen bir çalışma alanı oluşturmak için aşağıdaki seçeneklerden birini kullanın:
- Sanal ağı kullanmayan bir Azure Machine Learning çalışma alanı oluşturun. Daha fazla bilgi için bkz . Azure Machine Learning çalışma alanlarını yönetme.
VEYA
- Sanal ağınızla çalışma alanınız arasındaki iletişimi etkinleştirmek için Özel Bağlantı etkin bir çalışma alanı oluşturun. Ardından çalışma alanına genel erişimi etkinleştirin.
- Sanal ağı kullanmayan bir Azure Machine Learning çalışma alanı oluşturun. Daha fazla bilgi için bkz . Azure Machine Learning çalışma alanlarını yönetme.
- Sanal ağınızla çalışma alanınız arasındaki iletişimi etkinleştirmek için Özel Bağlantı etkin bir çalışma alanı oluşturun. Ardından çalışma alanına genel erişimi etkinleştirin.
Bir hizmet uç noktası veya özel uç nokta kullanarak aşağıdaki hizmetleri sanal ağa ekleyin. Ayrıca güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin verin:
Hizmet Uç nokta bilgileri Güvenilen bilgilere izin ver Azure Key Vault Hizmet uç noktası
Özel uç noktasıGüvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver Azure Depolama Hesabı Hizmet ve özel uç nokta
Özel uç noktaGüvenilen Azure hizmetlerine erişim izni verme Azure Container Registry Özel uç nokta Güvenilen hizmetlere izin ver Hizmet Uç nokta bilgileri Güvenilen bilgilere izin ver Azure Key Vault Hizmet uç noktası
Özel uç noktasıGüvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver Azure Depolama Hesabı Hizmet ve özel uç nokta
Özel uç noktaGüvenilen Azure hizmetlerine erişim izni verme Azure Container Registry Özel uç nokta Güvenilen hizmetlere izin ver Çalışma alanınızın Azure Depolama Hesapları özelliklerinde, istemci IP adresinizi güvenlik duvarı ayarlarındaki izin verilenler listesine ekleyin. Daha fazla bilgi için bkz . Güvenlik duvarlarını ve sanal ağları yapılandırma.
Çalışma alanının ve ilişkili kaynakların güvenliğini sağlama
Çalışma alanınızın ve ilişkili kaynaklarınızın güvenliğini sağlamak için aşağıdaki adımları kullanın. Bu adımlar, hizmetlerinizin sanal ağda iletişim kurmasını sağlar.
Azure Sanal Ağ oluşturma. Bu ağ çalışma alanının ve diğer kaynakların güvenliğini sağlar. Ardından sanal ağınızla çalışma alanınız arasında iletişimi etkinleştirmek için Özel Bağlantı etkin bir çalışma alanı oluşturun.
Bir hizmet uç noktası veya özel uç nokta kullanarak aşağıdaki hizmetleri sanal ağa ekleyin. Ayrıca güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin verin:
Hizmet Uç nokta bilgileri Güvenilen bilgilere izin ver Azure Key Vault Hizmet uç noktası
Özel uç noktasıGüvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver Azure Depolama Hesabı Hizmet ve özel uç nokta
Özel uç noktaAzure kaynak örneklerinden
erişim verme veya
Güvenilen Azure hizmetlerine erişim vermeAzure Container Registry Özel uç nokta Güvenilen hizmetlere izin ver
Azure Sanal Ağ oluşturma. Bu sanal ağ, çalışma alanının ve diğer kaynakların güvenliğini sağlar. Ardından sanal ağınızla çalışma alanınız arasında iletişimi etkinleştirmek için Özel Bağlantı etkin bir çalışma alanı oluşturun.
Bir hizmet uç noktası veya özel uç nokta kullanarak aşağıdaki hizmetleri sanal ağa ekleyin. Ayrıca güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin verin:
Hizmet Uç nokta bilgileri Güvenilen bilgilere izin ver Azure Key Vault Hizmet uç noktası
Özel uç noktasıGüvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver Azure Depolama Hesabı Hizmet ve özel uç nokta
Özel uç noktaAzure kaynak örneklerinden
erişim verme veya
Güvenilen Azure hizmetlerine erişim vermeAzure Container Registry Özel uç nokta Güvenilen hizmetlere izin ver
Bu adımları tamamlama hakkında ayrıntılı yönergeler için bkz . Azure Machine Learning çalışma alanının güvenliğini sağlama.
Bu adımları tamamlama hakkında ayrıntılı yönergeler için bkz . Azure Machine Learning çalışma alanının güvenliğini sağlama.
Sınırlamalar
Bir sanal ağ içindeki çalışma alanınızın ve ilişkili kaynaklarınızın güvenliğini sağlamak için aşağıdaki sınırlamalar vardır:
Çalışma alanı ve varsayılan depolama hesabı aynı sanal ağda olmalıdır. Ancak, aynı sanal ağ içindeki alt ağlara izin verilir. Örneğin, bir alt ağdaki çalışma alanı ve başka bir alt ağda depolama alanı.
Çalışma alanı için Azure Key Vault ve Azure Container Registry'nin de aynı sanal ağda yer almalarını öneririz. Ancak bu kaynakların her ikisi de eşlenmiş bir sanal ağda olabilir.
Eğitim ortamının güvenliğini sağlama
Bu bölümde, Azure Machine Learning'de eğitim ortamının güvenliğini sağlamayı öğreneceksiniz. Ağ yapılandırmalarının birlikte nasıl çalıştığını anlamak için Azure Machine Learning'in bir eğitim işini nasıl tamamladığını da öğreneceksiniz.
Eğitim ortamının güvenliğini sağlamak için aşağıdaki adımları kullanın:
Eğitim işini çalıştırmak için sanal ağda bir Azure Machine Learning işlem örneği ve bilgisayar kümesi oluşturun.
İşlem kümeniz veya işlem örneğiniz genel IP adresi kullanıyorsa, yönetim hizmetlerinin işlem kaynaklarınıza iş gönderebilmesi için Gelen iletişime izin vermelisiniz.
İpucu
İşlem kümesi ve işlem örneği genel IP adresiyle veya ip adresi olmadan oluşturulabilir. Genel IP adresiyle oluşturulduysa, Azure batch hizmetinden ve Azure Machine Learning hizmetinden gelen erişimi kabul etmek için genel IP'ye sahip bir yük dengeleyici alırsınız. Güvenlik duvarı kullanıyorsanız Kullanıcı Tanımlı Yönlendirmeyi (UDR) yapılandırmanız gerekir. Genel IP olmadan oluşturulduysa, Genel IP olmadan Azure batch hizmetinden ve Azure Machine Learning hizmetinden gelen erişimi kabul etmek için bir özel bağlantı hizmeti alırsınız.
Eğitim işini çalıştırmak için sanal ağda bir Azure Machine Learning işlem örneği ve bilgisayar kümesi oluşturun.
İşlem kümeniz veya işlem örneğiniz genel IP adresi kullanıyorsa, yönetim hizmetlerinin işlem kaynaklarınıza iş gönderebilmesi için Gelen iletişime izin vermelisiniz.
İpucu
İşlem kümesi ve işlem örneği genel IP adresiyle veya ip adresi olmadan oluşturulabilir. Genel IP adresiyle oluşturulduysa, Azure batch hizmetinden ve Azure Machine Learning hizmetinden gelen erişimi kabul etmek için genel IP'ye sahip bir yük dengeleyici alırsınız. Güvenlik duvarı kullanıyorsanız Kullanıcı Tanımlı Yönlendirmeyi (UDR) yapılandırmanız gerekir. Genel IP olmadan oluşturulduysa, Genel IP olmadan Azure batch hizmetinden ve Azure Machine Learning hizmetinden gelen erişimi kabul etmek için bir özel bağlantı hizmeti alırsınız.
Bu adımları tamamlama hakkında ayrıntılı yönergeler için bkz . Eğitim ortamının güvenliğini sağlama.
Bu adımları tamamlama hakkında ayrıntılı yönergeler için bkz . Eğitim ortamının güvenliğini sağlama.
Örnek eğitim işi gönderimi
Bu bölümde Azure Machine Learning'in eğitim işi göndermek için hizmetler arasında nasıl güvenli bir şekilde iletişim kuracaklarını öğreneceksiniz. Bu örnekte, iletişimin güvenliğini sağlamak için tüm yapılandırmalarınızın birlikte nasıl çalıştığı gösterilir.
İstemci, eğitim betiklerini ve eğitim verilerini bir hizmet veya özel uç nokta ile güvenliği sağlanan depolama hesaplarına yükler.
İstemci, özel uç nokta üzerinden Azure Machine Learning çalışma alanına bir eğitim işi gönderir.
Azure Batch hizmeti işi çalışma alanından alır. Ardından, işlem kaynağının genel yük dengeleyicisi aracılığıyla eğitim işini işlem ortamına gönderir.
İşlem kaynağı işi alır ve eğitime başlar. İşlem kaynağı, eğitim dosyalarını indirmek ve çıktıyı karşıya yüklemek üzere depolama hesaplarına erişmek için anahtar kasasında depolanan bilgileri kullanır.
Sınırlamalar
- Azure İşlem Örneği ve Azure İşlem Kümeleri, çalışma alanıyla ve çalışma alanının ilişkili kaynaklarıyla aynı sanal ağda, bölgede ve abonelikte yer almalıdır.
Çıkarım ortamının güvenliğini sağlama
Aşağıdaki ağ trafiğinin güvenliğini sağlamak için yönetilen çevrimiçi uç noktalar için ağ yalıtımını etkinleştirebilirsiniz:
- Gelen puanlama istekleri.
- Çalışma alanı, Azure Container Registry ve Azure Blob Depolama ile giden iletişim.
Daha fazla bilgi için bkz . Yönetilen çevrimiçi uç noktalar için ağ yalıtımını etkinleştirme.
Bu bölümde, ML v1 için Azure CLI uzantısını veya Azure Machine Learning Python SDK v1'i kullanırken çıkarım ortamının güvenliğini sağlamaya yönelik seçenekleri öğreneceksiniz. V1 dağıtımı yaparken, yüksek ölçekli, üretim dağıtımları için Azure Kubernetes Services (AKS) kümelerini kullanmanızı öneririz.
Sanal ağdaki AKS kümeleri için iki seçeneğiniz vardır:
- Sanal ağınıza varsayılan aks kümesini dağıtın veya ekleyin.
- Sanal ağınıza özel bir AKS kümesi ekleyin.
Varsayılan AKS kümelerinin genel IP adresleri olan bir denetim düzlemi vardır. Dağıtım sırasında sanal ağınıza varsayılan bir AKS kümesi ekleyebilir veya oluşturulduktan sonra bir küme ekleyebilirsiniz.
Özel AKS kümeleri , yalnızca özel IP'ler aracılığıyla erişilebilen bir denetim düzlemi içerir. Özel AKS kümeleri, küme oluşturulduktan sonra eklenmelidir.
Varsayılan ve özel kümeleri ekleme hakkında ayrıntılı yönergeler için bkz . Çıkarım ortamının güvenliğini sağlama.
Kullanılan varsayılan AKS kümesi veya özel AKS kümesi ne olursa olsun, AKS kümeniz sanal ağın arkasındaysa, çalışma alanınızın ve ilişkili kaynaklarının (depolama, anahtar kasası ve ACR) AKS kümesiyle aynı sanal ağda özel uç noktaları veya hizmet uç noktaları olmalıdır.
Aşağıdaki ağ diyagramında, sanal ağa bağlı özel aks kümesiyle güvenli bir Azure Machine Learning çalışma alanı gösterilmektedir.
İsteğe bağlı: Genel erişimi etkinleştirme
Özel bir uç nokta kullanarak sanal ağın arkasındaki çalışma alanının güvenliğini sağlayabilir ve yine de genel İnternet üzerinden erişime izin vekleyebilirsiniz. İlk yapılandırma, çalışma alanının ve ilişkili kaynakların güvenliğini sağlamakla aynıdır.
Çalışma alanını özel bir uç noktayla güvenli hale getirdikten sonra, istemcilerin SDK veya Azure Machine Learning stüdyosu kullanarak uzaktan geliştirmesini sağlamak için aşağıdaki adımları kullanın:
- Çalışma alanına genel erişimi etkinleştirin.
- Azure Depolama güvenlik duvarını, genel İnternet üzerinden bağlanan istemcilerin IP adresiyle iletişime izin verecek şekilde yapılandırın.
- Çalışma alanına genel erişimi etkinleştirin.
- Azure Depolama güvenlik duvarını, genel İnternet üzerinden bağlanan istemcilerin IP adresiyle iletişime izin verecek şekilde yapılandırın.
İsteğe bağlı: Stüdyo işlevselliğini etkinleştirme
Depolama alanınız bir sanal ağdaysa, Studio'da tam işlevselliği etkinleştirmek için ek yapılandırma adımlarını kullanmanız gerekir. Varsayılan olarak, aşağıdaki özellikler devre dışı bırakılır:
- Stüdyoda verilerin önizlemesini görüntüleme.
- Tasarımcıda verileri görselleştirme.
- Tasarımcıda model dağıtma.
- AutoML denemesi gönderme.
- Etiketleme projesi başlatma.
Tam stüdyo işlevselliğini etkinleştirmek için bkz. Sanal ağda Azure Machine Learning stüdyosu kullanma.
Sınırlamalar
ML destekli veri etiketleme , sanal ağın arkasındaki varsayılan depolama hesabını desteklemez. Bunun yerine, ML destekli veri etiketleme için varsayılan dışında bir depolama hesabı kullanın.
İpucu
Varsayılan depolama hesabı olmadığı sürece, veri etiketleme tarafından kullanılan hesap sanal ağın arkasında güvenli hale getirilebilir.
Güvenlik duvarı ayarlarını yapılandırma
Azure Machine Learning çalışma alanı kaynaklarınız ile genel İnternet arasındaki trafiği denetlemek için güvenlik duvarınızı yapılandırın. Azure Güvenlik Duvarı önersek de, diğer güvenlik duvarı ürünlerini kullanabilirsiniz.
Güvenlik duvarı ayarları hakkında daha fazla bilgi için bkz . Güvenlik duvarının arkasındaki çalışma alanını kullanma.
Özel DNS
Sanal ağınız için özel bir DNS çözümü kullanmanız gerekiyorsa, çalışma alanınız için konak kayıtları eklemeniz gerekir.
Gerekli etki alanı adları ve IP adresleri hakkında daha fazla bilgi için bkz . Özel DNS sunucusuyla çalışma alanı kullanma.
Microsoft Sentinel
Microsoft Sentinel, Azure Machine Learning ile tümleştirilebilen bir güvenlik çözümüdür. Örneğin, Azure Machine Learning aracılığıyla sağlanan Jupyter not defterlerini kullanma. Daha fazla bilgi için bkz . Güvenlik tehditlerini aramak için Jupyter not defterlerini kullanma.
Genel erişim
Genel uç noktanız varsa Microsoft Sentinel sizin için otomatik olarak bir çalışma alanı oluşturabilir. Bu yapılandırmada, güvenlik operasyonları merkezi (SOC) analistleri ve sistem yöneticileri Sentinel aracılığıyla çalışma alanınızdaki not defterlerine bağlanır.
Bu işlem hakkında bilgi için bkz . Microsoft Sentinel'den Azure Machine Learning çalışma alanı oluşturma
Özel uç nokta
Bir sanal ağda çalışma alanınızın ve ilişkili kaynaklarınızın güvenliğini sağlamak istiyorsanız, önce Azure Machine Learning çalışma alanını oluşturmanız gerekir. Ayrıca çalışma alanınızla aynı sanal ağda bir sanal makine 'atlama kutusu' oluşturmanız ve buna Azure Bastion bağlantısını etkinleştirmeniz gerekir. Genel yapılandırmaya benzer şekilde, SOC analistleri ve yöneticileri Microsoft Sentinel kullanarak bağlanabilir, ancak VM'ye bağlanmak için bazı işlemlerin Azure Bastion kullanılarak gerçekleştirilmesi gerekir.
Bu yapılandırma hakkında daha fazla bilgi için bkz . Microsoft Sentinel'den Azure Machine Learning çalışma alanı oluşturma
Sonraki adımlar
Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın: