Sanal ağlarla Azure Machine Learning çıkarım ortamının güvenliğini sağlama
Bu makalede, Azure Machine Learning'de bir sanal ağ ile çıkarım ortamlarının (çevrimiçi uç noktalar) güvenliğini sağlamayı öğreneceksiniz. Sanal ağ kullanılarak güvenlik altına alınabilecek iki çıkarım seçeneği vardır:
Azure Machine Learning yönetilen çevrimiçi uç noktaları
İpucu
Microsoft, yönetilen çevrimiçi uç noktaların güvenliğini sağlarken bu makaledeki adımlar yerine Azure Machine Learning yönetilen sanal ağlarının kullanılmasını önerir. Yönetilen bir sanal ağ ile Azure Machine Learning, çalışma alanınız ve yönetilen işlemleriniz için ağ yalıtımı işini işler. Ayrıca, çalışma alanının ihtiyaç duyduğu kaynaklar için Azure Depolama Hesabı gibi özel uç noktalar da ekleyebilirsiniz. Daha fazla bilgi için bkz. Çalışma alanı yönetilen ağ izolasyonu.
Azure Kubernetes Service
İpucu
Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:
- Sanal ağa genel bakış
- Çalışma alanı kaynaklarının güvenliğini sağlama
- Eğitim ortamının güvenliğini sağlama
- Stüdyo işlevselliğini etkinleştirme
- Özel DNS kullanma
- Güvenlik duvarı kullanma
Güvenli çalışma alanı oluşturma öğreticisi için bkz . Öğretici: Güvenli çalışma alanı oluşturma, Bicep şablonu veya Terraform şablonu.
Önkoşullar
Yaygın sanal ağ senaryolarını ve genel sanal ağ mimarisini anlamak için Ağ güvenliğine genel bakış makalesini okuyun.
Azure Machine Learning çalışma alanının güvenliğini sağlamak için kullanılan mevcut bir sanal ağ ve alt ağ.
Kaynakları bir sanal ağa veya alt ağa dağıtmak için kullanıcı hesabınızın Azure rol tabanlı erişim denetiminde (Azure RBAC) aşağıdaki eylemlere yönelik izinleri olmalıdır:
- Sanal ağ kaynağında "Microsoft.Network/*/read" yazın. Azure Resource Manager (ARM) şablonu dağıtımları için bu izin gerekli değildir.
- Sanal ağ kaynağında "Microsoft.Network/virtualNetworks/join/action".
- Alt ağ kaynağında "Microsoft.Network/virtualNetworks/subnets/join/action".
Ağ ile Azure RBAC hakkında daha fazla bilgi için bkz . Ağ yerleşik rolleri
- Azure Kubernetes Service (AKS) kullanıyorsanız, Azure Kubernetes Service çıkarım ortamının güvenliğini sağlama makalesinde açıklandığı gibi güvenlik altına alınmış mevcut bir AKS kümeniz olmalıdır.
Yönetilen çevrimiçi uç noktaların güvenliğini sağlama
Yönetilen çevrimiçi uç noktaların güvenliğini sağlama hakkında bilgi için Yönetilen çevrimiçi uç noktalarla ağ yalıtımını kullanma makalesine bakın.
Azure Kubernetes Service çevrimiçi uç noktalarının güvenliğini sağlama
Güvenli çıkarım için Azure Kubernetes Service kümesini kullanmak için aşağıdaki adımları kullanın:
Güvenli bir Kubernetes çıkarım ortamı oluşturun veya yapılandırın.
Azure Machine Learning uzantısını dağıtma.
Kubernetes kümesini çalışma alanına ekleyin.
Kubernetes çevrimiçi uç noktası ile model dağıtımı CLI v2, Python SDK v2 ve Studio kullanıcı arabirimi kullanılarak gerçekleştirilebilir.
- CLI v2 - https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 - https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Studio kullanıcı arabirimi - Studio aracılığıyla yönetilen çevrimiçi uç nokta dağıtımındaki adımları izleyin. Uç nokta adını girdikten sonra, İşlem türü olarak Yönetilen yerine Kubernetes'i seçin.
Sanal ağdan giden bağlantıyı sınırlama
Varsayılan giden kurallarını kullanmak istemiyorsanız ve sanal ağınızın giden erişimini sınırlamak istiyorsanız, Azure Container Registry erişimine izin vermelisiniz. Örneğin, Ağ Güvenlik Grupları'nızın (NSG) AzureContainerRegistry.RegionName hizmet etiketine erişim izni veren bir kural içerdiğinden emin olun; burada '{RegionName} bir Azure bölgesinin adıdır.
Sonraki adımlar
Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın: