Azure Machine Learning kayıt defterleriyle ağ yalıtımı

Bu makalede, Azure Sanal Ağ ve özel uç noktaları kullanarak Azure Machine Learning kayıt defterinin güvenliğini sağlamayı öğreneceksiniz.

Azure'da özel uç noktalar, Azure hizmetlerine bir sanal ağ (VNet) içindeki özel IP adresi üzerinden erişilmesini sağlayarak ağ yalıtımı sağlar. Sanal ağ, Azure kaynakları arasındaki bağlantıların güvenliğini sağlar ve hassas verilerin genel İnternet'e açıklanmasını önler.

Özel uç noktalarla ağ yalıtımı kullanmak, ağ trafiğinin genel İnternet üzerinden geçmesini engeller ve Azure Machine Learning kayıt defteri hizmetini Sanal ağınıza getirir. Özel uç noktalar kullanıldığında tüm ağ trafiği Azure Özel Bağlantı üzerinden gerçekleşir.

Önkoşullar

• Azure Machine Learning kayıt defteri. Kayıt defterleri oluşturmak ve yönetmek için kayıt defterlerini oluşturma ve yönetme makalesindeki adımları kullanın.
• Aşağıdaki makaleler hakkında bilgi:
  • Azure Sanal Ağlar
  • IP ağı
  • Özel uç nokta ile Azure Machine Learning çalışma alanı
  • Ağ Güvenlik Grupları (NSG)
  • Ağ güvenlik duvarları

Azure Machine Learning kayıt defterinin güvenliğini sağlama

Not

Kolaylık olması için çalışma alanına, ilişkili kaynaklara ve bunların parçası oldukları sanal ağa güvenli çalışma alanı yapılandırması olarak değineceğiz. Mevcut yapılandırmanın bir parçası olarak Azure Machine Learning kayıt defterlerinin nasıl ekleneceğini keşfedeceğiz.

Aşağıdaki diyagramda temel bir ağ yapılandırması ve Azure Machine Learning kayıt defterinin nasıl uyum gösterdiği gösterilmektedir. Azure Machine Learning çalışma alanını zaten kullanıyorsanız ve tüm kaynakların sanal ağın parçası olduğu güvenli bir çalışma alanı yapılandırmanız varsa, var olan sanal ağdan Azure Machine Learning kayıt defterine ve ilişkili kaynaklara (depolama ve ACR) özel bir uç nokta oluşturabilirsiniz.

Güvenli bir çalışma alanı yapılandırmanız yoksa Azure portalında güvenli çalışma alanı oluşturma veya Şablonla güvenli çalışma alanı oluşturma makalelerini kullanarak bunu oluşturabilirsiniz.

Sınırlamalar

Ağ yalıtımına sahip bir Azure Machine Learning kayıt defteri kullanıyorsanız model varlıklarını Azure Machine Learning stüdyosu görüntüleyebilirsiniz. Diğer varlık türlerini görüntüleyemezsiniz. Studio kullanarak Azure Machine Learning kayıt defterinde veya altındaki varlıklarda herhangi bir işlem gerçekleştiremezsiniz. Lütfen bunun yerine Azure Machine Learning CLI veya SDK'sını kullanın.

Senaryo: Çalışma alanı yapılandırması güvenli ve Azure Machine Learning kayıt defteri genel

Bu bölümde, güvenli bir çalışma alanı yapılandırmanız varsa ancak genel kayıt defteri kullanıyorsanız senaryolar ve gerekli ağ yapılandırması açıklanmaktadır.

Yerel dosyalardan kayıt defterinde varlık oluşturma

Kayıt defterinde varlık oluşturmak için kullanılan kimliğe (örneğin, bir Veri Bilimci Microsoft Entra kullanıcı kimliği) Azure ROL TABANLı erişim denetiminde AzureML Kayıt Defteri Kullanıcısı, sahibi veya katkıda bulunan rolü atanmalıdır. Daha fazla bilgi için Azure Machine Learning erişimini yönetme makalesine bakın.

Varlıkları çalışma alanından kayıt defterine paylaşma

Not

Azure Machine Learning çalışma alanından Azure Machine Learning kayıt defterine bileşen paylaşımı şu anda desteklenmiyor.

Veri sızdırma koruması nedeniyle, varlığı içeren depolama hesabında genel erişim devre dışı bırakılmışsa, bir varlığı güvenli çalışma alanından genel kayıt defterine paylaşmak mümkün değildir. Çalışma alanından kayıt defterine varlık paylaşımını etkinleştirmek için:

• Çalışma alanına bağlı depolama hesabının Ağ bölümüne gidin (varlıkların kayıt defterine paylaşımına izin vermek istediğiniz yerden)
• Seçili sanal ağlardan ve IP adreslerinden Genel ağ erişiminiEtkin olarak ayarlayın
• Aşağı kaydırın ve Kaynak örnekleri bölümüne gidin. Kaynak türünü Microsoft.MachineLearningServices/registries olarak seçin ve çalışma alanından paylaşımı etkinleştirmek istediğiniz Örnek adını Azure Machine Learning kayıt defteri kaynağının adı olarak ayarlayın.
• Ağ yapılandırmanıza göre ayarların geri kalanını denetlediğinden emin olun.

Çalışma alanında kayıt defterindeki varlıkları kullanma

Örnek işlemler:

• Kayıt defterinden varlık kullanan bir iş gönderin.
• İşlem hattında kayıt defterinden bir bileşen kullanın.
• Bir bileşende kayıt defterinden bir ortam kullanın.

Varlıkların kayıt defterinden güvenli bir çalışma alanına kullanılması, kayıt defterine giden erişimin yapılandırılmasını gerektirir.

Kayıt defterinden çalışma alanına model dağıtma

Modeli kayıt defterinden güvenli bir yönetilen çevrimiçi uç noktaya dağıtmak için dağıtımın ayarlanmış olması egress_public_network_access=disabled gerekir. Azure Machine Learning, uç nokta dağıtımı sırasında kayıt defterinde gerekli özel uç noktaları oluşturur. Daha fazla bilgi için bkz . Güvenli yönetilen çevrimiçi uç noktalar oluşturma.

Herhangi bir Azure Machine Learning kayıt defterine erişmek için giden ağ yapılandırması

Hizmet etiketi	Protokol ve bağlantı noktaları	Purpose
AzureMachineLearning	TCP: 443, 877, 18881 UDP: 5831	Azure Machine Learning hizmetlerini kullanma.
Storage.<region>	TCP: 443	İşlem kümeleri ve işlem örnekleri için Azure Depolama Hesabında depolanan verilere erişin. Bu giden kuralı, verileri sızdırmak için kullanılabilir. Daha fazla bilgi için bkz. Veri sızdırma koruması.
MicrosoftContainerRegistry.<region>	TCP: 443	Microsoft tarafından sağlanan Docker görüntülerine erişin.
AzureContainerRegistry.<region>	TCP: 443	Ortamlar için Docker görüntülerine erişin.

Senaryo: Çalışma alanı yapılandırması güvenlidir ve Azure Machine Learning kayıt defteri özel uç noktaları kullanarak sanal ağlara bağlanır

Bu bölümde, özel uç nokta kullanılarak sanal ağa bağlanan Azure Machine Learning kayıt defterleriyle güvenli bir çalışma alanı yapılandırmanız varsa senaryolar ve gerekli ağ yapılandırması açıklanmaktadır.

Azure Machine Learning kayıt defterinde ilişkili depolama/ACR hizmet örnekleri vardır. Bu hizmet örnekleri, yapılandırmanın güvenliğini sağlamak için özel uç noktalar kullanılarak sanal ağa da bağlanabilir. Daha fazla bilgi için Özel uç nokta oluşturma bölümüne bakın.

Kayıt defteriniz tarafından kullanılan Azure Depolama Hesabını ve Azure Container Registry'yi bulma

Azure Machine Learning kayıt defteriniz tarafından kullanılan depolama hesabı ve ACR, Azure aboneliğinizdeki yönetilen bir kaynak grubu altında oluşturulur. Yönetilen kaynak grubunun adı, desenini azureml-rg-<name-of-your-registry>_<GUID>izler. GUID, rastgele oluşturulan bir dizedir. Örneğin, kayıt defterinizin adı "contosoreg" ise, yönetilen kaynak grubunun adı olacaktır azureml-rg-contosoreg_<GUID>.

Azure portalında, araması yaparak azureml_rg-<name-of-your-registry>bu kaynak grubunu bulabilirsiniz. Kayıt defterinizin tüm depolama ve ACR kaynakları bu kaynak grubu altında kullanılabilir.

Yerel dosyalardan kayıt defterinde varlık oluşturma

Not

Ortam varlığı oluşturmak, ilişkili ACR'nin genel erişimi devre dışı bırakıldığı özel bir kayıt defterinde desteklenmez. Geçici bir çözüm olarak, Azure Machine Learning çalışma alanında bir ortam oluşturabilir ve bunu Azure Machine Learning kayıt defteriyle paylaşabilirsiniz.

İstemcilerin, kayıt defterinin özel bir uç noktayla bağlandığı sanal ağa bağlanması gerekir.

Kayıt defterinize güvenli bir şekilde bağlanma

Sanal ağın arkasında güvenliği sağlanan bir kayıt defterine bağlanmak için aşağıdaki yöntemlerden birini kullanın:

• Azure VPN ağ geçidi - Şirket içi ağları özel bağlantı üzerinden sanal ağa Bağlan. Bağlan, genel İnternet üzerinden yapılır. Kullanabileceğiniz iki tür VPN ağ geçidi vardır:

  • Noktadan siteye: Her istemci bilgisayar sanal ağa bağlanmak için bir VPN istemcisi kullanır.

  • Siteden siteye: VPN cihazı sanal ağı şirket içi ağınıza bağlar.

• ExpressRoute - Şirket içi ağları özel bağlantı üzerinden buluta Bağlan. Bağlan, bir bağlantı sağlayıcısı kullanılarak yapılır.

• Azure Bastion - Bu senaryoda sanal ağ içinde bir Azure Sanal Makinesi (bazen atlama kutusu olarak adlandırılır) oluşturursunuz. Ardından Azure Bastion kullanarak VM'ye bağlanırsınız. Bastion, yerel web tarayıcınızdan RDP veya SSH oturumu kullanarak VM'ye bağlanmanızı sağlar. Ardından atlama kutusunu geliştirme ortamınız olarak kullanırsınız. Sanal ağın içinde olduğundan kayıt defterine doğrudan erişebilir.

Varlıkları çalışma alanından kayıt defterine paylaşma

Not

Azure Machine Learning çalışma alanından Azure Machine Learning kayıt defterine bileşen paylaşımı şu anda desteklenmiyor.

Veri sızdırma koruması nedeniyle, varlığı içeren depolama hesabında genel erişim devre dışı bırakılmışsa, bir varlığı güvenli çalışma alanından özel bir kayıt defterine paylaşmak mümkün değildir. Çalışma alanından kayıt defterine varlık paylaşımını etkinleştirmek için:

• Çalışma alanına bağlı depolama hesabının Ağ bölümüne gidin (varlıkların kayıt defterine paylaşımına izin vermek istediğiniz yerden)
• Seçili sanal ağlardan ve IP adreslerinden Genel ağ erişiminiEtkin olarak ayarlayın
• Aşağı kaydırın ve Kaynak örnekleri bölümüne gidin. Kaynak türünü Microsoft.MachineLearningServices/registries olarak seçin ve çalışma alanından paylaşımı etkinleştirmek istediğiniz Örnek adını Azure Machine Learning kayıt defteri kaynağının adı olarak ayarlayın.
• Ağ yapılandırmanıza göre ayarların geri kalanını denetlediğinden emin olun.

Çalışma alanında kayıt defterindeki varlıkları kullanma

Örnek işlemler:

• Kayıt defterinden varlık kullanan bir iş gönderin.
• İşlem hattında kayıt defterinden bir bileşen kullanın.
• Bir bileşende kayıt defterinden bir ortam kullanın.

Çalışma alanının sanal ağından kayıt defteri, depolama ve ACR için özel bir uç nokta oluşturun. Birden çok kayıt defterine bağlanmaya çalışıyorsanız, her kayıt defteri ve ilişkili depolama ve ACL'ler için özel uç nokta oluşturun. Daha fazla bilgi için Özel uç nokta oluşturma bölümüne bakın.

Kayıt defterinden çalışma alanına model dağıtma

Modeli kayıt defterinden güvenli bir yönetilen çevrimiçi uç noktaya dağıtmak için dağıtımın ayarlanmış olması egress_public_network_access=disabled gerekir. Azure Machine Learning, uç nokta dağıtımı sırasında kayıt defterinde gerekli özel uç noktaları oluşturur. Daha fazla bilgi için bkz . Güvenli yönetilen çevrimiçi uç noktalar oluşturma.

Özel uç nokta oluşturma

Var olan bir kayıt defterine özel uç nokta ekleme veya özel uç noktası olan yeni bir kayıt defteri oluşturma yönergelerini görüntülemek için sekmeleri kullanın:

Mevcut kayıt defteri

1. Azure portalında Özel uç nokta için arama yapın ve Özel bağlantı merkezine gitmek için Özel uç noktalar girişini seçin.

2. Özel bağlantı merkezi genel bakış sayfasında + Oluştur'u seçin.

3. İstenen bilgileri sağlayın. Bölge alanı için Azure Sanal Ağ ile aynı bölgeyi seçin. İleri'yi seçin.

4. Kaynak sekmesinde Kaynak türü'nü seçerken öğesini seçinMicrosoft.MachineLearningServices/registries. Kaynak alanını Azure Machine Learning kayıt defteri adınız olarak ayarlayın ve İleri'yi seçin.

5. Sanal ağ sekmesinden Azure Machine Learning kaynaklarınız için sanal ağı ve alt ağı seçin. Devam etmek için İleri'yi seçin.

6. ÖZEL DNS tümleştirme gereksinimleriniz yoksa DNS sekmesinde varsayılan değerleri bırakın. Devam etmek için İleri'yi seçin.

7. Gözden Geçir + Oluştur sekmesinde Oluştur'u seçerek özel uç noktayı oluşturun.

8. Genel ağ erişimini devre dışı olarak ayarlamak istiyorsanız aşağıdaki komutu kullanın. Depolamanın ve ACR'nin genel ağ erişiminin de devre dışı bırakıldığını onaylayın.

   az ml registry update --set publicNetworkAccess=Disabled --name <name-of-registry>
   

Yeni kayıt defteri

1. Azure portalında yeni bir kayıt defteri oluştururken, Ağ sekmesinde Genel erişimi devre dışı bırak ve özel uç noktaları kullan'ı seçin.
2. Özel uç nokta'nın altında Ekle'yi seçin ve gerekli bilgileri sağlayın.
3. Azure Machine Learning kaynaklarınız için Sanal Ağ ve Alt Ağı seçin.
4. Diğer seçenekleri belirleyin ve ardından Tamam'ı seçin.
5. Kayıt defteri oluşturma işlemini tamamlayın. Oluşturma işlemi tamamlandıktan sonra, yeni kayıt defteri sanal ağ ile iletişim kurmak için özel bir uç nokta kullanacak şekilde yapılandırılır.

Kayıt defteriniz tarafından kullanılan Azure Depolama Hesabını ve Azure Container Registry'yi bulma

Azure Machine Learning kayıt defteriniz tarafından kullanılan depolama hesabı ve ACR, Azure aboneliğinizdeki yönetilen bir kaynak grubu altında oluşturulur. Yönetilen kaynak grubunun adı, desenini azureml-rg-<name-of-your-registry>_<GUID>izler. GUID, rastgele oluşturulan bir dizedir. Örneğin, kayıt defterinizin adı "contosoreg" ise, yönetilen kaynak grubunun adı olacaktır azureml-rg-contosoreg_<GUID>.

Azure portalında, araması yaparak azureml_rg-<name-of-your-registry>bu kaynak grubunu bulabilirsiniz. Kayıt defterinizin tüm depolama ve ACR kaynakları bu kaynak grubu altında kullanılabilir.

Azure Depolama Hesabı için özel uç nokta oluşturma

Kayıt defteriniz tarafından kullanılan depolama hesabı için özel bir uç nokta oluşturmak için aşağıdaki adımları kullanın:

1. Azure portalında Özel uç nokta için arama yapın ve Özel bağlantı merkezine gitmek için Özel uç noktalar girişini seçin.
2. Özel bağlantı merkezi genel bakış sayfasında + Oluştur'u seçin.
3. İstenen bilgileri sağlayın. Bölge alanı için Azure Sanal Ağ ile aynı bölgeyi seçin. İleri'yi seçin.
4. Kaynak sekmesinde Kaynak türü'nü seçerken öğesini seçinMicrosoft.Storage/storageAccounts. Kaynak alanını depolama hesabı adı olarak ayarlayın. Alt kaynağı Blob olarak ayarlayın ve İleri'yi seçin.
5. Sanal ağ sekmesinden Azure Machine Learning kaynaklarınız için sanal ağı ve alt ağı seçin. Devam etmek için İleri'yi seçin.
6. ÖZEL DNS tümleştirme gereksinimleriniz yoksa DNS sekmesinde varsayılan değerleri bırakın. Devam etmek için İleri'yi seçin.
7. Gözden Geçir + Oluştur sekmesinde Oluştur'u seçerek özel uç noktayı oluşturun.

Veri sızdırma koruması

Azure Machine Learning kayıt defteri oluşturan bir kullanıcı için kayıt defteri, yönetilen depolama hesabı ve yönetilen ACR için özel bir uç nokta kullanmanızı öneririz.

Sistem kayıt defteri için diğer adı kullanarak /services/Azure/MachineLearning Depolama hesabı için bir Hizmet Uç Noktası İlkesi oluşturmanızı öneririz. Daha fazla bilgi için bkz . Veri sızdırma önlemeyi yapılandırma.

Kayıt defterinin tam etki alanı adını bulma

Aşağıdaki örneklerde, kayıt defterinizin tam etki alanı adını (FQDN) almak için bulma URL'sinin nasıl kullanılacağı gösterilmektedir. Bulma URL'sini çağırırken, istek üst bilgisinde bir Azure erişim belirteci sağlamanız gerekir. Aşağıdaki örneklerde erişim belirteci alma ve bulma URL'sini çağırma gösterilmektedir:

İpucu

Bulma URL'sinin biçimi, https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discoveryburada <region> kayıt defterinizin bulunduğu bölgedir ve <registry_name> kayıt defterinizin adıdır. URL'yi çağırmak için bir GET isteği oluşturun:

   GET https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery 

• Azure PowerShell

$region = "<region>"
$registryName = "<registry_name>"
$accessToken = (az account get-access-token | ConvertFrom-Json).accessToken 
(Invoke-RestMethod -Method Get `
                   -Uri "https://$region.api.azureml.ms/registrymanagement/v1.0/registries/$registryName/discovery" `
                   -Headers @{ Authorization="Bearer $accessToken" }).registryFqdns

• REST API

Not

Azure REST API'lerini kullanma hakkında daha fazla bilgi için bkz . Azure REST API başvurusu.

1. Azure erişim belirtecini alın. Belirteç almak için aşağıdaki Azure CLI komutunu kullanabilirsiniz:

   az account get-access-token --query accessToken
   

2. Bulma URL'sine GET isteğinde bulunmak için Postman veya Curl gibi bir REST istemcisi kullanın. Yetkilendirme için önceki adımda alınan erişim belirtecini kullanın. Aşağıdaki örnekte değerini kayıt defterinizin bulunduğu bölgeyle ve <registry_name> kayıt defterinizin adıyla değiştirin<region>. değerini önceki adımda alınan erişim belirteci ile değiştirin <token> :

   curl -X GET "https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery" -H "Authorization: Bearer <token>" -H "Content-Type: application/json"
   

Sonraki adımlar

Kayıt defterleriyle çalışma alanlarında modelleri, bileşenleri ve ortamları paylaşmayı öğrenin.