Sanal ağlarla Azure Machine Learning eğitim ortamının güvenliğini sağlama (SDKv1)

ŞUNUN IÇIN GEÇERLIDIR: Python SDK azureml v1

Bu makalede, Python SDK v1 kullanarak Azure Machine Learning'de bir sanal ağ ile eğitim ortamlarının güvenliğini sağlamayı öğreneceksiniz.

Azure Machine Learning işlem örneği ve işlem kümesi, sanal ağdaki modelleri güvenli bir şekilde eğitmek için kullanılabilir. Ortamınızı planlarken, işlem örneğini/kümesini genel IP adresiyle veya genel IP adresi olmadan yapılandırabilirsiniz. İkisi arasındaki genel farklar şunlardır:

• Genel IP yok: Aynı ağ kaynağı gereksinimlerine sahip olmadığından maliyetleri azaltır. İnternet'ten gelen trafik gereksinimini kaldırarak güvenliği artırır. Ancak, gerekli kaynaklara (Microsoft Entra ID, Azure Resource Manager vb.) giden erişimi etkinleştirmek için gereken ek yapılandırma değişiklikleri vardır.
• Genel IP: Varsayılan olarak çalışır, ancak ek Azure ağ kaynakları nedeniyle maliyeti daha yüksektir. Azure Machine Learning hizmetinden genel İnternet üzerinden gelen iletişim gerektirir.

Aşağıdaki tabloda bu yapılandırmalar arasındaki farklar yer alır:

Yapılandırma	Genel IP ile	Genel IP olmadan
Gelen trafik	AzureMachineLearning hizmet etiketi.	Hiçbiri
Giden trafik	Varsayılan olarak, kısıtlama olmadan genel İnternet'e erişebilir. Ağ Güvenlik Grubu veya güvenlik duvarı kullanarak erişimlerini kısıtlayabilirsiniz.	Varsayılan olarak, İnternet'e erişemez. Giden trafiği yine de İnternet'e gönderebiliyorsa, bunun nedeni Azure'ın varsayılan giden erişimidir ve İnternet'e giden trafiğe izin veren bir NSG'niz vardır. Varsayılan giden erişimi kullanmanızı önermiyoruz. İnternet'e giden erişime ihtiyacınız varsa, giden trafiği İnternet'te gerekli kaynaklara yönlendirmeniz gerekiyorsa bunun yerine bir Sanal Ağ NAT ağ geçidi veya Güvenlik Duvarı kullanmanızı öneririz.
Azure ağ kaynakları	Genel IP adresi, yük dengeleyici, ağ arabirimi	Hiçbiri

Sanal ağdaki modelleri eğitmek için Azure Databricks veya HDInsight da kullanabilirsiniz.

İpucu

Bu makaledeki adımlar yerine Azure Machine Learning tarafından yönetilen sanal ağları kullanabilirsiniz. Yönetilen bir sanal ağ ile Azure Machine Learning, çalışma alanınız ve yönetilen işlemleriniz için ağ yalıtımı işini işler. Ayrıca, çalışma alanının ihtiyaç duyduğu kaynaklar için Azure Depolama Hesabı gibi özel uç noktalar da ekleyebilirsiniz. Daha fazla bilgi için bkz. Çalışma alanı yönetilen ağ izolasyonu.

Not

Azure Machine Learning studio ve Python SDK v2 kullanma hakkında bilgi için bkz . Güvenli eğitim ortamı (v2).

Güvenli çalışma alanı oluşturma öğreticisi için bkz . Öğretici: Azure portalında güvenli çalışma alanı oluşturma veya Öğretici: Şablon kullanarak güvenli çalışma alanı oluşturma.

Bu makalede, bir sanal ağda aşağıdaki eğitim işlem kaynaklarının güvenliğini sağlamayı öğreneceksiniz:

• Azure Machine Learning işlem kümesi
• Azure Machine Learning işlem örneği
• Azure Databricks
• Sanal Makine
• HDInsight kümesi

Önemli

Bu makaledeki "önizleme" olarak işaretlenmiş öğeler şu anda genel önizleme aşamasındadır. Önizleme sürümü bir hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

Önkoşullar

• Yaygın sanal ağ senaryolarını ve genel sanal ağ mimarisini anlamak için Ağ güvenliğine genel bakış makalesini okuyun.

• İşlem kaynaklarınız ile kullanılacak mevcut bir sanal ağ ve alt ağ. Bu sanal ağ, Azure Machine Learning çalışma alanınızla aynı abonelikte olmalıdır.

  • Çalışma alanınız ve eğitim işleriniz tarafından kullanılan depolama hesaplarını işlem örnekleriniz ve kümeleriniz için kullanmayı planladığınız Azure bölgesine yerleştirmenizi öneririz. Bunlar aynı Azure bölgesinde değilse, veri aktarımı maliyetlerine ve ağ gecikme süresinin artmasına neden olabilirsiniz.
  • WebSocket iletişiminin sanal ağınızda *.instances.azureml.net ve *.instances.azureml.ms izni olduğundan emin olun. WebSocketler Jupyter tarafından işlem örneklerinde kullanılır.

• Sanal ağda var olan bir alt ağ. Bu alt ağ, işlem örnekleri ve kümeleri oluşturulurken kullanılır.

  • Alt ağın diğer Azure hizmetlerine temsilci olarak atanmadığından emin olun.
  • Alt ağın yeterli boş IP adresi içerdiğinden emin olun. Her işlem örneği bir IP adresi gerektirir. İşlem kümesindeki her düğüm bir IP adresi gerektirir.

• Kendi DNS sunucunuz varsa, işlem örneklerinin ve kümelerinin tam etki alanı adlarını (FQDN) çözümlemek için DNS iletmeyi kullanmanızı öneririz. Daha fazla bilgi için bkz . Azure Machine Learning ile özel DNS kullanma.

• Kaynakları bir sanal ağa veya alt ağa dağıtmak için kullanıcı hesabınızın Azure rol tabanlı erişim denetiminde (Azure RBAC) aşağıdaki eylemlere yönelik izinleri olmalıdır:

  • Sanal ağ kaynağında "Microsoft.Network/*/read" yazın. Azure Resource Manager (ARM) şablonu dağıtımları için bu izin gerekli değildir.
  • Sanal ağ kaynağında "Microsoft.Network/virtualNetworks/join/action".
  • Alt ağ kaynağında "Microsoft.Network/virtualNetworks/subnets/join/action".

  Ağ ile Azure RBAC hakkında daha fazla bilgi için bkz . Ağ yerleşik rolleri

Sınırlamalar

Azure Machine Learning işlem kümesi/örneği

• İşlem kümeleri çalışma alanınızdan farklı bir bölgede ve sanal ağda oluşturulabilir. Ancak bu işlev yalnızca SDK v2, CLI v2 veya studio kullanılarak kullanılabilir. Daha fazla bilgi için bkz . Güvenli eğitim ortamlarının v2 sürümü.

• Sanal ağda işlem kümesi/örnek dağıtımı Azure Lighthouse ile desteklenmez.

• Eğitim sırasında işlem örneklerinizle varsayılan depolama hesabı arasındaki özel ağ iletişimleri için 445 numaralı bağlantı noktasının açık olması gerekir. Örneğin, işlemleriniz bir sanal ağdayken depolama hesabı başka bir sanal ağdaysa, depolama hesabı sanal ağında 445 numaralı bağlantı noktasını engellemeyin.

Azure Databricks

• Sanal ağ, Azure Machine Learning çalışma alanıyla aynı abonelikte ve bölgede olmalıdır.
• Çalışma alanı için Azure Depolama Hesapları da bir sanal ağda güvenlik altına alınmışsa, bunların Azure Databricks kümesiyle aynı sanal ağda olması gerekir.
• Azure Databricks tarafından kullanılan databricks-private ve databricks-public alt ağlarına ek olarak, sanal ağ için oluşturulan varsayılan alt ağ da gereklidir.
• Azure Databricks, sanal ağ ile iletişim kurmak için özel uç nokta kullanmaz.

Azure Databricks'i sanal ağda kullanma hakkında daha fazla bilgi için bkz. Azure Sanal Ağ Azure Databricks'i dağıtma.

Azure HDInsight veya sanal makine

• Azure Machine Learning yalnızca Ubuntu çalıştıran sanal makineleri destekler.

Genel IP olmayan işlem örneği/kümesi

Önemli

Önizlemeye katılmadan genel IP için yapılandırılmış işlem örneklerini veya işlem kümelerini kullandıysanız, 20 Ocak 2023'te (özellik genel kullanıma sunulduğunda) sonra bunları silmeniz ve yeniden oluşturmanız gerekir.

Daha önce genel IP yok önizlemesini kullanıyorsanız, genel kullanılabilirlik gereksinimleri değiştiğinden gelen ve giden trafiğe izin veren trafiği de değiştirmeniz gerekebilir:

• Giden gereksinimleri - Yalnızca işlem örneklerinin ve kümelerinin yönetimi için kullanılan iki ek giden. Bu hizmet etiketlerinin hedefi Microsoft'a aittir:
  • AzureMachineLearning 5831 numaralı UDP bağlantı noktasında hizmet etiketi.
  • BatchNodeManagement 443 numaralı TCP bağlantı noktasında hizmet etiketi.

Aşağıdaki yapılandırmalar, Önkoşullar bölümünde listelenenlere ek olarak ve genel IP olmadan yapılandırılmış bir işlem örneği/kümesi oluşturmaya özeldir:

• İşlem kaynağının sanal ağdan Azure Machine Learning hizmetleriyle iletişim kurması için bir çalışma alanı özel uç noktası kullanmanız gerekir. Daha fazla bilgi için bkz . Azure Machine Learning çalışma alanı için özel uç nokta yapılandırma.

• Sanal ağınızda aşağıdaki hizmet etiketlerine veya tam etki alanı adlarına (FQDN) giden trafiğe izin verin:

  Hizmet etiketi	Protokol	Bağlantı noktası	Notlar
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Azure Machine Learning hizmetiyle iletişim.
  BatchNodeManagement.<region>	HERHANGİ BİRİ	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Azure Batch ile iletişim. İşlem örneği ve işlem kümesi, Azure Batch hizmeti kullanılarak uygulanır.
  Storage.<region>	TCP	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Bu hizmet etiketi, Azure Batch tarafından kullanılan Azure Depolama hesabıyla iletişim kurmak için kullanılır.

  Önemli

  giden erişimi Storage.<region> , çalışma alanınızdan verileri dışarı çıkarmak için kullanılabilir. Servis Uç Noktası İlkesi kullanarak bu güvenlik açığını azaltabilirsiniz. Daha fazla bilgi için Azure Machine Learning veri sızdırma önleme makalesine bakın.

  FQDN	Protokol	Bağlantı noktası	Notlar
  <region>.tundra.azureml.ms	UDP	5831	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin.
  graph.windows.net	TCP	443	Microsoft Graph API ile iletişim.
  *.instances.azureml.ms	TCP	443/8787/18881	Azure Machine Learning ile iletişim.
  *.<region>.batch.azure.com	HERHANGİ BİRİ	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Azure Batch ile iletişim.
  *.<region>.service.batch.azure.com	HERHANGİ BİRİ	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Azure Batch ile iletişim.
  *.blob.core.windows.net	TCP	443	Azure Blob depolama ile iletişim.
  *.queue.core.windows.net	TCP	443	Azure Kuyruk depolama ile iletişim.
  *.table.core.windows.net	TCP	443	Azure Tablo depolama ile iletişim.

• Giden trafiğe izin vermek için bir güvenlik duvarı ve giden kuralları ya da nat ağ geçidi ve ağ hizmeti grupları oluşturun. İşlemin genel IP adresi olmadığından, bu yapılandırma olmadan genel internet üzerindeki kaynaklarla iletişim kuramaz. Örneğin, Microsoft Entra Id veya Azure Resource Manager ile iletişim kuramaz. Python paketlerinin genel kaynaklardan yüklenmesi de bu yapılandırmayı gerektirebilir.

  Azure Machine Learning tarafından kullanılan giden trafik hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

  • Gelen ve giden ağ trafiğini yapılandırma.
  • Azure'ın giden bağlantı yöntemleri.

Genel IP adresi olmayan bir işlem örneği veya kümesi oluşturmak için aşağıdaki bilgileri kullanın:

Genel IP olmadan bir işlem örneği veya işlem kümesi oluşturmak için Azure Machine Learning stüdyosu kullanıcı arabirimini kullanarak kaynağı oluşturun:

1. Azure Machine Learning stüdyosu oturum açın ve aboneliğinizi ve çalışma alanınızı seçin.

2. Sol gezinti çubuğundan İşlem sayfasını seçin.

3. İşlem örneğinin veya işlem kümesinin gezinti çubuğundan + Yeni'yi seçin.

4. İhtiyacınız olan VM boyutunu ve yapılandırmasını yapılandırın, ardından İleri'yi seçin.

5. Gelişmiş Ayarlar'dan Sanal ağı, sanal ağınızı ve alt ağınızı etkinleştir'i seçin ve son olarak sanal ağ/alt ağ bölümünde Genel IP Yok seçeneğini belirleyin.

   

İpucu

Ml v2 için Azure Machine Learning SDK v2 veya Azure CLI uzantısını da kullanabilirsiniz. Genel IP adresi olmayan bir işlem örneği veya kümesi oluşturma hakkında bilgi için Azure Machine Learning eğitim ortamının güvenliğini sağlama makalesinin v2 sürümüne bakın.

Genel IP ile işlem örneği/kümesi

Aşağıdaki yapılandırmalar, Önkoşullar bölümünde listelenenlere ek olarak genel IP'ye sahip işlem örnekleri/kümeleri oluşturmaya özeldir:

• Bir sanal ağa birden çok işlem örneği/kümesi koyarsanız, bir veya daha fazla kaynağınız için kota artışı istemeniz gerekebilir. Machine Learning işlem örneği veya kümesi, sanal ağı içeren kaynak grubundaki ağ kaynaklarını otomatik olarak ayırır. Hizmet, her işlem örneği veya kümesi için aşağıdaki kaynakları ayırır:

  • Otomatik olarak bir ağ güvenlik grubu (NSG) oluşturulur. Bu NSG, hizmet etiketinden 44224 numaralı bağlantı noktasında gelen TCP trafiğine AzureMachineLearning izin verir.

    Önemli

    İşlem örneği ve işlem kümesi, gerekli kurallarla otomatik olarak bir NSG oluşturur.

    Alt ağ düzeyinde başka bir NSG'niz varsa, NSG alt ağ düzeyindeki kurallar otomatik olarak oluşturulan NSG'deki kurallarla çakışmamalıdır.

    NSG'lerin ağ trafiğinizi nasıl filtrelediğini öğrenmek için bkz . Ağ güvenlik gruplarının ağ trafiğini filtreleme.

  • Bir yük dengeleyici

  İşlem kümeleri için bu kaynaklar, kümenin ölçeği her 0 düğüme indirildiğinde silinir ve ölçek artırılırken oluşturulur.

  Bir işlem örneği için bu kaynaklar, örnek silinene kadar tutulur. Örneğin durdurulması kaynakları kaldırmaz.

  Önemli

  Bu kaynaklar, aboneliğin kaynak kotalarıyla sınırlıdır. Sanal ağ kaynak grubu kilitliyse işlem kümesi/örneği silinemez. İşlem kümesi/örneği silinene kadar yük dengeleyici silinemez. Ayrıca lütfen ağ güvenlik gruplarının oluşturulmasını engelleyen Azure İlkesi atama olmadığından emin olun.

• Sanal ağınızda hizmet etiketinden 44224 numaralı bağlantı noktasında gelen TCP trafiğine AzureMachineLearning izin verin.

  Önemli

  İşlem örneği/kümesine, oluşturulduğunda dinamik olarak bir IP adresi atanır. Adres oluşturma işleminden önce bilinmediğinden ve oluşturma işleminin bir parçası olarak gelen erişim gerektiğinden, adresi güvenlik duvarınızda statik olarak atayamazsınız. Bunun yerine, sanal ağ ile bir güvenlik duvarı kullanıyorsanız, bu gelen trafiğe izin vermek için kullanıcı tanımlı bir yol oluşturmanız gerekir.

• Sanal ağınızda aşağıdaki hizmet etiketlerine giden trafiğe izin verin:

  Hizmet etiketi	Protokol	Bağlantı noktası	Notlar
  AzureMachineLearning	TCP UDP	443/8787/18881 5831	Azure Machine Learning hizmetiyle iletişim.
  BatchNodeManagement.<region>	HERHANGİ BİRİ	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Azure Batch ile iletişim. İşlem örneği ve işlem kümesi, Azure Batch hizmeti kullanılarak uygulanır.
  Storage.<region>	TCP	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Bu hizmet etiketi, Azure Batch tarafından kullanılan Azure Depolama hesabıyla iletişim kurmak için kullanılır.

  Önemli

  giden erişimi Storage.<region> , çalışma alanınızdan verileri dışarı çıkarmak için kullanılabilir. Servis Uç Noktası İlkesi kullanarak bu güvenlik açığını azaltabilirsiniz. Daha fazla bilgi için Azure Machine Learning veri sızdırma önleme makalesine bakın.

  FQDN	Protokol	Bağlantı noktası	Notlar
  <region>.tundra.azureml.ms	UDP	5831	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin.
  graph.windows.net	TCP	443	Microsoft Graph API ile iletişim.
  *.instances.azureml.ms	TCP	443/8787/18881	Azure Machine Learning ile iletişim.
  *.<region>.batch.azure.com	HERHANGİ BİRİ	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Azure Batch ile iletişim.
  *.<region>.service.batch.azure.com	HERHANGİ BİRİ	443	<region> değerini Azure Machine Learning çalışma alanınızı içeren Azure bölgesiyle değiştirin. Azure Batch ile iletişim.
  *.blob.core.windows.net	TCP	443	Azure Blob depolama ile iletişim.
  *.queue.core.windows.net	TCP	443	Azure Kuyruk depolama ile iletişim.
  *.table.core.windows.net	TCP	443	Azure Tablo depolama ile iletişim.

İşlem örneği

ŞUNUN IÇIN GEÇERLIDIR: Python SDK azureml v1

import datetime
import time

from azureml.core.compute import ComputeTarget, ComputeInstance
from azureml.core.compute_target import ComputeTargetException

# Choose a name for your instance
# Compute instance name should be unique across the azure region
compute_name = "ci{}".format(ws._workspace_id)[:10]

# Verify that instance does not exist already
try:
    instance = ComputeInstance(workspace=ws, name=compute_name)
    print('Found existing instance, use it.')
except ComputeTargetException:
    compute_config = ComputeInstance.provisioning_configuration(
        vm_size='STANDARD_D3_V2',
        ssh_public_access=False,
        vnet_resourcegroup_name='vnet_resourcegroup_name',
        vnet_name='vnet_name',
        subnet_name='subnet_name',
        # admin_user_ssh_public_key='<my-sshkey>'
    )
    instance = ComputeInstance.create(ws, compute_name, compute_config)
    instance.wait_for_completion(show_output=True)

İşlem kümesi

ŞUNUN IÇIN GEÇERLIDIR: Python SDK azureml v1

from azureml.core.compute import ComputeTarget, AmlCompute
from azureml.core.compute_target import ComputeTargetException

# The Azure virtual network name, subnet, and resource group
vnet_name = 'mynetwork'
subnet_name = 'default'
vnet_resourcegroup_name = 'mygroup'

# Choose a name for your CPU cluster
cpu_cluster_name = "cpucluster"

# Verify that cluster does not exist already
try:
    cpu_cluster = ComputeTarget(workspace=ws, name=cpu_cluster_name)
    print("Found existing cpucluster")
except ComputeTargetException:
    print("Creating new cpucluster")

    # Specify the configuration for the new cluster
    compute_config = AmlCompute.provisioning_configuration(vm_size="STANDARD_D2_V2",
                                                           min_nodes=0,
                                                           max_nodes=4,
                                                           location="westus2",
                                                           vnet_resourcegroup_name=vnet_resourcegroup_name,
                                                           vnet_name=vnet_name,
                                                           subnet_name=subnet_name)

    # Create the cluster with the specified name and configuration
    cpu_cluster = ComputeTarget.create(ws, cpu_cluster_name, compute_config)

    # Wait for the cluster to be completed, show the output log
    cpu_cluster.wait_for_completion(show_output=True)

Oluşturma işlemi tamamlandığında modelinizi eğitirsiniz. Daha fazla bilgi için bkz . Eğitim için işlem hedefi seçme ve kullanma.

Azure Databricks

• Sanal ağ, Azure Machine Learning çalışma alanıyla aynı abonelikte ve bölgede olmalıdır.
• Çalışma alanı için Azure Depolama Hesapları da bir sanal ağda güvenlik altına alınmışsa, bunların Azure Databricks kümesiyle aynı sanal ağda olması gerekir.
• Azure Databricks tarafından kullanılan databricks-private ve databricks-public alt ağlarına ek olarak, sanal ağ için oluşturulan varsayılan alt ağ da gereklidir.
• Azure Databricks, sanal ağ ile iletişim kurmak için özel uç nokta kullanmaz.

Azure Databricks'i sanal ağ ile kullanma hakkında belirli bilgiler için bkz. Azure Sanal Ağ Azure Databricks'i dağıtma.

Modelleri eğitmek için gerekli genel İnternet erişimi

Önemli

Bu makalenin önceki bölümlerinde işlem kaynakları oluşturmak için gereken yapılandırmalar açıklanmış olsa da, bu bölümdeki yapılandırma bilgileri modelleri eğitmek için bu kaynakları kullanmak için gereklidir.

Azure Machine Learning, genel İnternet'e hem gelen hem de giden erişimi gerektirir. Aşağıdaki tablolarda, gerekli erişime ve hangi amaca hizmet yaptığına ilişkin bir genel bakış sağlanır. ile biten .regionhizmet etiketleri için değerini, çalışma alanınızı içeren Azure bölgesiyle değiştirin region . Örneğin, Storage.westus:

İpucu

Gerekli sekmede gerekli gelen ve giden yapılandırma listelenir. Durum sekmesinde, etkinleştirmek isteyebileceğiniz belirli yapılandırmalar için gereken isteğe bağlı gelen ve giden yapılandırmalar listelenir.

Required

Yön	Protokol & ports	Hizmet etiketi	Purpose
Giden	TCP: 80, 443	AzureActiveDirectory	Microsoft Entra ID'yi kullanan kimlik doğrulaması.
Giden	TCP: 443, 18881 UDP: 5831	AzureMachineLearning	Azure Machine Learning hizmetlerini kullanma. Not defterlerindeki Python intellisense, 18881 numaralı bağlantı noktasını kullanır. Azure Machine Learning işlem örneği oluşturma, güncelleştirme ve silme işlemleri 5831 numaralı bağlantı noktasını kullanır.
Giden	ANY: 443	BatchNodeManagement.region	Azure Machine Learning işlem örnekleri/kümeleri için Azure Batch arka ucuyla iletişim.
Giden	TCP: 443	AzureResourceManager	Azure Machine Learning, Azure CLI ve Azure Machine Learning SDK'sı ile Azure kaynakları oluşturma.
Giden	TCP: 443	Storage.region	İşlem kümesi ve işlem örneği için Azure Depolama Hesabında depolanan verilere erişin. Bu giden üzerinden veri sızdırmayı önleme hakkında bilgi için bkz . Veri sızdırma koruması.
Giden	TCP: 443	AzureFrontDoor.FrontEnd * 21Vianet tarafından sağlanan Microsoft Azure'da gerekli değildir.	Azure Machine Learning stüdyosu için genel giriş noktası. AutoML için görüntüleri ve ortamları depolayın. Bu giden üzerinden veri sızdırmayı önleme hakkında bilgi için bkz . Veri sızdırma koruması.
Giden	TCP: 443	MicrosoftContainerRegistry.region Bu etiketin etikete AzureFrontDoor.FirstParty bağımlılığı olduğunu unutmayın	Microsoft tarafından sağlanan docker görüntülerine erişin. Azure Kubernetes Service için Azure Machine Learning yönlendiricisinin kurulumu.

Durumsal

Yön	Protokol & ports	Hizmet etiketi	Purpose
Gelen	TCP: 44224	AzureMachineLearning	Azure Machine Learning işlem örneğini/kümesini oluşturun, güncelleştirin ve silin. Örnek/küme genel IP seçeneğiyle yapılandırıldıysa gereklidir.
Giden	TCP: 8787	AzureMachineLearning	Azure Machine Learning hizmetlerini kullanma. RStudio kullanıyorsanız 8787 numaralı bağlantı noktası gereklidir.
Giden	TCP: 445	Storage.region	İşlem kümesi ve işlem örneği için Azure Depolama Hesabında depolanan verilere erişin. Bu giden üzerinden veri sızdırmayı önleme hakkında bilgi için bkz . Veri sızdırma koruması. 445 yalnızca Azure ML için sanal ağınız ile depolama hesaplarınız için özel uç nokta arasında bir güvenlik duvarınız varsa gereklidir.
Giden	TCP: 443	AzureMonitor	İzleme ve ölçümleri App Insights ve Azure İzleyici'de günlüğe kaydetmek için kullanılır. Yalnızca çalışma alanı için Azure İzleyici'nin güvenliğini sağlamadıysanız gereklidir. * Bu giden, destek olaylarının bilgilerini günlüğe kaydetmek için de kullanılır.
Giden	TCP: 443	Keyvault.region	Azure Batch hizmetinin anahtar kasasına erişin. Yalnızca çalışma alanını oluştururken hbi_workspace bayrağını etkinleştirdiyseniz gereklidir.

İpucu

Hizmet etiketleri yerine IP adreslerine ihtiyacınız varsa aşağıdaki seçeneklerden birini kullanın:

• Azure IP Aralıkları ve Hizmet Etiketleri'nden bir liste indirin.
• Azure CLI az network list-service-tags komutunu kullanın.
• Azure PowerShell Get-AzNetworkServiceTag komutunu kullanın.

IP adresleri düzenli aralıklarla değişebilir.

Makine öğrenmesi projenizin gerektirdiği paketlerin yüklenmesi için Visual Studio Code'a ve Microsoft dışı sitelere giden trafiğe de izin vermeniz gerekebilir. Aşağıdaki tabloda makine öğrenmesi için yaygın olarak kullanılan depolar listelenir:

Konak adı	Amaç
anaconda.com *.anaconda.com	Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org	Depo verilerini almak için kullanılır.
pypi.org	Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa, dizinine de izin *.pythonhosted.orgvermelisiniz.
cloud.r-project.org	R geliştirmesi için CRAN paketleri yüklenirken kullanılır.
*.pytorch.org	PyTorch tabanlı bazı örnekler tarafından kullanılır.
*.tensorflow.org	Tensorflow tabanlı bazı örnekler tarafından kullanılır.
code.visualstudio.com	Visual Studio Code masaüstünü indirmek ve yüklemek için gereklidir. Bu, Visual Studio Code Web için gerekli değildir.
update.code.visualstudio.com *.vo.msecnd.net	Bir kurulum betiği aracılığıyla işlem örneğine yüklenen Visual Studio Code sunucu bitlerini almak için kullanılır.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Visual Studio Code uzantılarını indirmek ve yüklemek için gereklidir. Bu konaklar, Visual Studio Code için Azure ML uzantısı tarafından sağlanan İşlem Örneklerine uzak bağlantıyı etkinleştirir. Daha fazla bilgi için bkz. Visual Studio Code'da Azure Machine Learning işlem örneğine bağlanma.
raw.githubusercontent.com/microsoft/vscode-tools-for-ai/master/azureml_remote_websocket_server/*	İşlem örneğine yüklenen websocket sunucu bitlerini almak için kullanılır. Websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) gelen istekleri işlem örneğinde çalışan Visual Studio Code sunucusuna iletmek için kullanılır.

Not

Azure Machine Learning VS Code uzantısını kullanırken uzak işlem örneği, uzantının gerektirdiği paketleri yüklemek için genel depolara erişim gerektirir. İşlem örneği, bu genel depolara veya internete erişmek için bir proxy gerektiriyorsa, işlem örneğinin ~/.bashrc dosyasında HTTP_PROXY ve HTTPS_PROXY ortam değişkenlerini ayarlamanız ve dışarı aktarmanız gerekir. Bu işlem, bir özel betik kullanılarak hazırlama sırasında otomatikleştirilebilir.

Azure Machine Learning ile Azure Kubernetes Service (AKS) kullanırken AKS sanal asına şu trafiğe izin verin:

• Azure Kubernetes Service'te çıkış trafiğini kısıtlama makalesinde açıklandığı gibi AKS için genel gelen/giden gereksinimleri.
• mcr.microsoft.com giden .
• Aks kümesine model dağıtırken ML modellerini Azure Kubernetes Service'e dağıtma makalesindeki yönergeleri kullanın.

Güvenlik duvarı çözümü kullanma hakkında bilgi için bkz . Azure Machine Learning ile güvenlik duvarı kullanma.

Sonraki adımlar

Bu makale, Azure Machine Learning iş akışının güvenliğini sağlama serisinin bir parçasıdır. Bu serideki diğer makalelere bakın:

• Sanal ağa genel bakış (v1)
• Çalışma alanı kaynaklarının güvenliğini sağlama
• Güvenli çıkarım ortamı (v1)
• Stüdyo işlevselliğini etkinleştirme
• Özel DNS kullanma
• Güvenlik duvarı kullanma