比較 Azure 機器學習 中的網路隔離設定
針對您的工作區,Azure 機器學習 提供兩種類型的輸出網路隔離設定:受管理的網路隔離 和自定義網路隔離。 兩者都提供完整的網路隔離支援,其優點和限制。 本文件涵蓋這兩個網路隔離設定的功能支援和限制,讓您決定最適合您需求的功能。
企業安全性需求
雲端運算可讓您相應增加數據和機器學習功能,但也對安全性和合規性帶來新的挑戰和風險。 您必須確保雲端基礎結構受到保護,以免未經授權的存取、竄改或數據與模型外洩。 您可能也需要遵守適用於產業和網域的法規和標準。
一般企業需求包括:
- 搭配虛擬網路使用網路隔離界限,進行輸入和輸出控制,並具有私人 Azure 資源的私人連線。
- 避免暴露在沒有公用IP解決方案和私人端點的因特網上。
- 使用虛擬網路設備來擁有更好的網路安全性功能,例如防火牆、入侵檢測、弱點管理、Web 篩選。
- Azure 機器學習的網路架構可以與現有的網路架構整合。
什麼是受控和自定義網路隔離設定?
受控網路隔離依賴受控虛擬網路,這是 Azure 機器學習 的完整受控功能。 如果您想要以最少的組態和管理額外負荷使用 Azure 機器學習,受控網路隔離很理想。
自定義網路隔離取決於您建立和管理 Azure 虛擬網絡。 如果您想要對網路設定進行最大控制,則此設定是理想的設定。
使用受控或自定義虛擬網路的時機
使用受控虛擬網路時...
- 您是具有標準網路隔離需求之 Azure 機器學習 的新使用者
- 您是具有標準網路隔離需求的公司
- 您需要對具有 HTTP/S 端點的資源進行內部部署存取
- 您尚未設定許多非 Azure 相依性
- 您需要使用 Azure 機器學習 受控在線端點和無伺服器 Spark 計算
- 您組織中網路管理需求較少
使用自訂虛擬網路時...
- 您是具有大量網路隔離需求的公司
- 您先前已設定許多非 Azure 相依性,且需要存取 Azure 機器學習
- 您有沒有 HTTP/S 端點的內部部署資料庫
- 您需要使用自己的防火牆和虛擬網路記錄,以及監視輸出網路流量
- 您想要使用 Azure Kubernetes Services (AKS) 來推斷工作負載
下表提供受控和自定義虛擬網路優點和限制的比較:
| 自訂虛擬網路 | 受控虛擬網路 | |
|---|---|---|
| 福利 | - 您可以針對現有的設定 量身打造網路功能- 使用 Azure 機器學習 自備非 Azure 資源 - 連線到內部部署資源 |
- 最小化設定和維護額外負荷 - 支援受控在線端點 - 支援無伺服器 Spark - 先取得新功能 |
| 限制 | - 新功能支援可能會延遲 - 受管理的在線端點不支援 - 不支援無伺服器 Spark - 基礎模型 不支援 - 不支援程式代碼 MLFlow 不支援 - 實作複雜度 - 維護額外負荷 |
- Azure 防火牆 和完整功能變數名稱 (FQDN) 規則 的成本影響 - 虛擬網路、防火牆和 NSG 規則的記錄不受支援 - 不支援存取非 HTTP/S 端點資源 |
自定義虛擬網路限制
- 新功能支援可能會延遲:改善網路隔離供應專案的努力著重於受控而不是自定義虛擬網路。 因此,要求新功能會優先於透過自定義虛擬網路進行管理。
- 不支援受控在線端點:受控在線端點不支援自定義虛擬網路。 必須啟用工作區受控虛擬網路,才能保護您的受控在線端點。 您可以使用舊版網路隔離方法來保護受控在線端點。 但是,強烈建議您使用工作區 受管理的網路隔離。 如需詳細資訊,請流覽 受控在線端點。
- 不支援無伺服器 Spark 計算:自定義虛擬網路中不支援無伺服器 Spark 計算。 工作區受控虛擬網路支援無伺服器 Spark,因為 Azure Synapse 只會使用受控虛擬網路設定。 如需詳細資訊,請瀏覽 已設定的無伺服器 Spark。
- 實作複雜度和維護額外負荷:設定自定義虛擬網路時,設定虛擬網路、子網、私人端點等的所有複雜度都落在使用者身上。 網路和計算的維護落在使用者身上。
受控虛擬網路限制
- Azure 防火牆 和 FQDN 規則的成本影響:只有在建立使用者定義的 FQDN 輸出規則時,才會代表使用者布建 Azure 防火牆。 Azure 防火牆 是標準 SKU 防火牆,並會產生新增至帳單的成本。 如需詳細資訊,請流覽 Azure 防火牆 定價。
- 不支援受控虛擬網路的記錄和監視:受控虛擬網路不支援虛擬網路流程、NSG 流程或防火牆記錄。 這項限制是因為受控虛擬網路部署在Microsoft租使用者中,且無法傳送至您的訂用帳戶。
- 不支援存取非 Azure、非 HTTP/S 資源:受控虛擬網路不允許存取非 Azure、非 HTTP/S 資源。