使用虛擬網路保護 Azure Machine Learning 推斷環境

在本文中，您將了解如何在 Azure Machine Learning 中使用虛擬網路來保護推斷環境 (線上端點)。 可以使用 VNet 保護兩個推斷選項：

• Azure Machine Learning 受控線上端點

  提示

  保護受控線上端點時，Microsoft 建議使用 Azure Machine Learning 受控虛擬網路，而不是本文中的步驟。 Azure Machine Learning 可利用受控虛擬網路，處理工作區和受控計算的網路隔離作業。 您也可以為工作區所需的資源 (例如 Azure 儲存體帳戶) 新增私人端點。 如需詳細資訊，請參閱工作區受控網路隔離 (部分機器翻譯)。

• Azure Kubernetes Service

提示

本文是關於保護 Azure Machine Learning 工作流程系列文章的一部分。 請參閱本系列的其他文章：

• 虛擬網路概觀
• 保護工作區資源
• 保護定型環境
• 啟用工作室功能
• 使用自訂 DNS
• 使用防火牆

如需了解如何建立安全工作區的教學課程，請參閱教學課程：建立安全工作區 (英文)、Bicep 範本 (英文) 或 Terraform 範本 (英文)。

必要條件

• 請參閱網路安全性概觀，以了解常見的虛擬網路情節和整體虛擬網路架構。

• 用於保護 Azure Machine Learning 工作區的現有虛擬網路和子網路。

• 若要將資源部署到虛擬網路或子網路，在 Azure 角色型存取控制 (Azure RBAC) 中，您的使用者帳戶必須具有下列動作的權限：

  • 虛擬網路資源上的 "Microsoft.Network/*/read"。 Azure Resource Manager (ARM) 範本部署不需要此權限。
  • 虛擬網路資源上的 "Microsoft.Network/virtualNetworks/join/action"。
  • 子網路資源上的 "Microsoft.Network/virtualNetworks/subnets/join/action"。

  如需 Azure RBAC 搭配網路的詳細資訊，請參閱網路內建角色

• 如果使用 Azure Kubernetes Service (AKS)，則必須依照安全 Azure Kubernetes Service 推斷環境文章中的描述，確保現有 AKS 叢集的安全。

保護受控線上端點

如需保護受控線上端點的詳細資訊，請參閱使用網路隔離搭配受控線上端點一文 (部分機器翻譯)。

保護 Azure Kubernetes Service 線上端點

若要使用 Azure Kubernetes Service 叢集進行安全推斷，請使用下列步驟：

1. 建立或設定安全的 Kubernetes 推斷環境。

2. 部署 Azure Machine Learning 延伸模組。

3. 將 Kubernetes 叢集連結至工作區。

4. 使用 Kubernetes 線上端點的模型部署可以使用 CLI v2、Python SDK v2 和工作室 UI 來完成。

   • CLI v2 - https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
   • Python SDK V2 - https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
   • 工作室 UI - 請透過工作室執行受控線上端點部署中的步驟。 輸入端點名稱之後，請選取 [Kubernetes] 作為計算類型，而不是 [受控]。

限制來自虛擬網路的輸出連線能力

如果您不要使用預設輸出規則，但想要限制虛擬網路的輸出存取，則必須允許存取 Azure Container Registry。 例如，請確定網路安全性群組 (NSG) 包含規則來允許存取 AzureContainerRegistry.RegionName 服務標籤，其中 {RegionName} 是 Azure 區域的名稱。

下一步

本文是關於保護 Azure Machine Learning 工作流程系列文章的一部分。 請參閱本系列的其他文章：

• 虛擬網路概觀
• 保護工作區資源
• 保護定型環境
• 啟用工作室功能
• 使用自訂 DNS
• 使用防火牆