使用 SDK 和 CLI v1 來設定 Azure Machine Learning 工作區的私人端點
適用於:Azure CLI ml 延伸模組 v1Python SDK azureml v1
在此文件中,您將了解如何為您的 Azure Machine Learning 工作區設定私人端點。 如需建立 Azure Machine Learning 的虛擬網路的相關資訊,請參閱虛擬網路隔離和隱私權概觀。
Azure Private Link 可讓您使用私人端點連接到工作區。 私人端點是虛擬網路內的一組私人 IP 位址。 然後,您可以將對工作區的存取權限制為只透過私人 IP 位址進行。 私人端點有助於降低資料外流的風險。 若要深入了解私人端點,請參閱 Azure Private Link 一文。
警告
使用私人端點保護工作區本身無法確保端對端安全性。 您必須保護解決方案的所有個別元件。 例如,如果您使用私人端點做為工作區,但您的 Azure 儲存體帳戶不在 VNet 後方,則工作區和儲存體之間的流量不會使用 VNet 來獲得安全性。
如需保護 Azure Machine Learning 所使用資源的詳細資訊,請參閱下列文章:
必要條件
- 您必須擁有現有的虛擬網路,才能在其中建立私人端點。
- 在新增私人端點之前,請先停用私人端點的網路原則。
限制
如果您針對使用私人端點保護的工作區啟用公用存取,並透過公用網際網路使用 Azure Machine Learning 工作室,則某些功能 (例如設計工具) 可能會無法存取您的資料。 當資料儲存在 VNet 後方保護的服務時,就會發生此問題。 例如,Azure 儲存體帳戶。
如果您使用 Mozilla Firefox,在嘗試存取工作區的私人端點時可能會遇到問題。 此問題可能與 Mozilla Firefox 中透過 HTTPS 的 DNS 有關。 建議您使用 Microsoft Edge 或 Google Chrome 作為因應措施。
使用私人端點並不會影響 Azure 控制平面 (管理作業),例如刪除工作區或管理計算資源。 例如,建立、更新或刪除計算目標。 這些作業會正常地透過公用網際網路執行。 資料平面作業 (例如使用 Azure Machine Learning 工作室)、API (包括已發佈的管線),或 SDK 都會使用私人端點。
在具有私人端點的工作區中建立計算執行個體或計算叢集時,計算執行個體和計算叢集必須位於與工作區相同的 Azure 區域中。
將 Azure Kubernetes Service 叢集建立或連結至具有私人端點的工作區時,該叢集必須位於與工作區相同的區域中。
使用具有多個私人端點的工作區時,其中一個私人端點必須與下列相依性服務位於相同的 VNet 中:
- 為工作區提供預設儲存體的 Azure 儲存體帳戶
- 工作區的 Azure Key Vault
- 工作區的 Azure Container Registry。
例如,一個 VNet (「服務」VNet) 會包含用於相依性服務和工作區的私人端點。 此設定可讓工作區與服務通訊。 另一個 VNet (「用戶端」) 可能只包含用於工作區的私人端點,而且只能用於用戶端開發電腦和工作區之間的通訊。
建立使用私人端點的工作區
使用下列其中一個方法來建立具有私人端點的工作區。 這兩種方法都需要現有的虛擬網路:
提示
如果您想要同時建立工作區、私人端點和虛擬網路,請參閱使用 Azure Resource Manager 範本來建立 Azure Machine Learning 的工作區。
Azure Machine Learning Python SDK 提供可搭配 Workspace.create() 使用的 PrivateEndpointConfig 類別,以建立具有私人端點的工作區。 此類別需要現有的虛擬網路。
from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig
pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.create(name='myworkspace',
subscription_id='<my-subscription-id>',
resource_group='myresourcegroup',
location='eastus2',
private_endpoint_config=pe,
private_endpoint_auto_approval=True,
show_output=True)
將私人端點新增至工作區
使用下列其中一個方法,將私人端點新增至現有的工作區:
警告
如果您有與此工作區相關聯的任何現有計算目標,而且它們不在與建立私人端點所在相同的虛擬網路中,它們將無法運作。
from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig
pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.from_config()
ws.add_private_endpoint(private_endpoint_config=pe, private_endpoint_auto_approval=True, show_output=True)
如需此範例中所使用之類別和方法的詳細資訊,請參閱 PrivateEndpointConfig 和 Workspace.add_private_endpoint。
移除私人端點
您可以移除工作區的一個或所有私人端點。 移除私人端點會從與端點相關聯的 VNet 中移除工作區。 移除私人端點可能會讓工作區無法存取該 VNet 中的資源,或 VNet 中的資源無法存取工作區。 例如,如果 VNet 不允許存取公用網際網路或從公用網際網路存取。
若要移除私人端點,請使用下列資訊:
若要移除私人端點,請使用 Workspace.delete_private_endpoint_connection。 下列範例示範如何移除私人端點:
from azureml.core import Workspace
ws = Workspace.from_config()
# get the connection name
_, _, connection_name = ws.get_details()['privateEndpointConnections'][0]['id'].rpartition('/')
ws.delete_private_endpoint_connection(private_endpoint_connection_name=connection_name)
啟用公用存取
在某些情況下,您可能想要允許某人透過公用端點 (而不是透過 VNet) 連接到您的安全工作區。 或者,您可能想要從 VNet 中移除工作區,然後重新啟用公用存取。
重要
啟用公用存取並不會移除任何存在的私人端點。 私人端點連接到的 VNet 背後元件之間的所有通訊,仍會受到保護。 除了透過任何私人端點的私人存取之外,它也可讓您僅啟用對工作區的公用存取。
警告
當工作區使用私人端點來與其他資源進行通訊時,透過公用端點進行連線:
- 工作室的某些功能將無法存取您的資料。 當資料儲存在 VNet 後方保護的服務時,就會發生此問題。 例如,Azure 儲存體帳戶。
- 不支援在計算執行個體上 (包括執行中的筆記本) 使用 Jupyter、JupyterLab、RStudio 或 Posit Workbench (先前稱為 RStudio Workbench)。
若要啟用公用存取,請使用下列步驟:
提示
您可以設定兩個可能的屬性:
allow_public_access_when_behind_vnet
- 由 Python SDK 和 CLI v2 使用public_network_access
- 由 Python SDK 和 CLI v2 使用。每個屬性都會覆寫另一個屬性。 例如,設定public_network_access
會覆寫任何先前設定為allow_public_access_when_behind_vnet
。
Microsoft 建議使用 public_network_access
來啟用或停用工作區的公用存取。
若要啟用公用存取,請使用 Workspace.update 並設定 allow_public_access_when_behind_vnet=True
。
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(allow_public_access_when_behind_vnet=True)
安全地連線到您的工作區
若要連線到在 VNet 後方保護的工作區,請使用下列其中一種方法:
Azure VPN 閘道 - 透過私人連線將內部部署網路連線到 VNet。 連線是透過公用網際網路所建立。 您可能會使用兩種類型的 VPN 閘道:
ExpressRoute - 透過私人連線將內部部署網路連線到雲端。 連線是透過連線提供者所建立。
Azure Bastion - 在此案例中,您會在 VNet 內建立 Azure 虛擬機器 (有時稱為跳板機)。 然後,您可以使用 Azure Bastion 連線到 VM。 Bastion 可讓您從本機網頁瀏覽器使用 RDP 或 SSH 工作階段連線到 VM。 然後,您可以使用跳板機作為開發環境。 由於其位於 VNet 內,因此可以直接存取工作區。 如需使用 Jumpbox 的範例,請參閱教學課程:建立安全的工作區。
重要
使用 VPN 閘道或 ExpressRoute 時,您將需要規劃在內部部署資源之間與 VNet 中名稱解析的運作方式。 如需詳細資訊,請參閱使用自訂 DNS 伺服器。
如果您在連線到工作區時遇到問題,請參閱為安全工作區連線疑難排解。
多個私人端點
Azure Machine Learning 對工作區支援多個私人端點。 當您想要讓不同環境保持分開時,通常會使用多個私人端點。 以下是使用多個私人端點啟用的一些案例:
不同 VNet 中的用戶端開發環境。
不同 VNet 中的 Azure Kubernetes Service (AKS) 叢集。
不同 VNet 中的其他 Azure 服務。 例如,Azure Synapse 和 Azure Data Factory 可以使用 Microsoft 受控虛擬網路。 無論是哪一種情況,都可以將工作區的私人端點新增至這些服務所使用的受控 VNet。 如需使用受控虛擬網路搭配這些服務的詳細資訊,請參閱下列文章:
重要
Synapse 的資料外流保護未使用 Azure Machine Learning 支援。
重要
包含私人端點做為工作區的每個 VNet 也必須能夠存取工作區所使用的 Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry。 例如,您可能會每個 VNet 中的服務建立私人端點。
新增多個私人端點會使用的步驟,與將私人端點新增至工作區一節中所述的步驟相同。
案例:隔離式用戶端
如果您想要隔離開發用戶端,使其無法直接存取 Azure Machine Learning 所使用的計算資源,請使用下列步驟:
注意
這些步驟假設您有現有的工作區、Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry。 這些服務的每一項在現有 VNet 中都有私人端點。
- 為用戶端建立另一個 VNet。 此 VNet 可能包含作為用戶端的 Azure 虛擬機器,也可能包含內部部署用戶端用來連線到 VNet 的 VPN 閘道。
- 為您的工作區所使用的 Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry 新增私人端點。 這些私人端點應該存在於用戶端 VNet 中。
- 如果您有工作區使用的另一個儲存體,請為該儲存體新增私人端點。 私人端點應該存在於用戶端 VNet 中,並啟用私人 DNS 區域整合。
- 將新的私人端點新增至您的工作區。 此私人端點應該存在於用戶端 VNet 中,並啟用私人 DNS 區域整合。
- 使用在虛擬網路中使用工作室文章中的步驟,讓工作室存取儲存體帳戶。
下圖說明此設定。 工作負載 VNet 包含工作區針對定型與部署所建立的計算。 用戶端 VNet 包含用戶端或用戶端 ExpressRoute/VPN 連線。 這兩個 VNet 都包含工作區的私人端點、Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry。
案例:隔離式 Azure Kubernetes Service
如果您想要建立工作區使用的隔離式 Azure Kubernetes Service,請使用下列步驟:
注意
這些步驟假設您有現有的工作區、Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry。 這些服務的每一項在現有 VNet 中都有私人端點。
- 建立 Azure Kubernetes Service 執行個體。 在建立期間,AKS 會建立包含 AKS 叢集的 VNet。
- 為您的工作區所使用的 Azure 儲存體帳戶、Azure Key Vault 和 Azure Container Registry 新增私人端點。 這些私人端點應該存在於用戶端 VNet 中。
- 如果您有工作區使用的其他儲存體,請為該儲存體新增私人端點。 私人端點應該存在於用戶端 VNet 中,並啟用私人 DNS 區域整合。
- 將新的私人端點新增至您的工作區。 此私人端點應該存在於用戶端 VNet 中,並啟用私人 DNS 區域整合。
- 將 AKS 叢集連結至 Azure Machine Learning 工作區。 如需詳細資訊,請參閱建立和連結 Azure Kubernetes Service 叢集。
下一步
如需保護 Azure Machine Learning 工作區安全的詳細資訊,請參閱虛擬網路隔離和隱私權概觀文章。
如果您打算在虛擬網路中使用自訂 DNS 解決方案,請參閱如何使用工作區搭配自訂 DNS 伺服器。