批次端點中的網路隔離

您可以使用私人網路保護批次端點通訊。本文說明在受私人網路保護的環境中使用批次端點的需求。

保護批次端點

批次端點會從其部署所在的工作區繼承網路設定。根據預設，在已啟用私人連結的工作區內建立的所有批次端點，都會部署為私人批次端點。只要正確設定工作區，就不需要再進行其他設定。

若要驗證您的工作區設定是否正確，可讓批次端點使用私人網路，請確認下列事項：

您已將 Azure Machine Learning 工作區設定為使用私人網路。如需如何達成此目標的詳細資訊，請參閱建立安全工作區。
若在私人網路中使用 Azure Container Registry，請注意其設定有一些必要條件 (機器翻譯)。

警告

目前不支援已啟用隔離功能的 Azure Container Registry。
請確定已針對儲存體帳戶設定 Blob、檔案、佇列和資料表私人端點，如保護 Azure 儲存體帳戶中所說明。批次部署需具備全部 4 項才能正常運作。

下圖顯示部署在私人工作區中時，批次端點的網路樣貌：

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

警告

批次端點與線上端點相反，設定端點時不支援金鑰 public_network_access 或 egress_public_network_access。您無法在已啟用私人連結的工作區上部署公用批次端點。

Azure Machine Learning 批次部署會在計算叢集上執行。若要保護批次部署作業，這些計算叢集也必須部署在虛擬網路中。

在虛擬網路中建立 Azure Machine Learning 計算叢集。
確定所有相關服務都已在網路中設定私人端點。私人端點不僅用於 Azure Machine Learning 工作區，也會用於其相關聯的資源，例如 Azure 儲存體、Azure Key Vault 或 Azure Container Registry。 Azure Container Registry 是必要服務。使用虛擬網路保護 Azure Machine Learning 工作區的情況下，請注意有一些關於 Azure Container Registry 的必要條件。
如果您的計算執行個體使用公用 IP 位址，即須允許輸入通訊，讓管理服務可以提交作業至計算資源。

提示

可在有或沒有公用 IP 位址的情況下，建立計算叢集和計算執行個體。若建立時使用公用 IP 位址，則會取得使用公用 IP 的負載平衡器，以接受來自 Azure 批次服務和 Azure Machine Learning 服務的輸入存取。若使用防火牆，則須設定使用者定義路由 (UDR)。若建立時未使用公用 IP，則會取得私人連結服務，不使用公用 IP 接受來自 Azure 批次服務和 Azure Machine Learning 服務的輸入存取。
視您的情況而定，可能會需要額外的 NSG。如需詳細資訊，請參閱如何保護定型環境 (機器翻譯)。

使用已部署批次端點時，在網路方面需要考量到以下限制：

將工作區的網路設定從公用變更為私人，或從私人變更為公用，並不會影響現有的批次端點網路設定。批次端點依賴建立時的工作區設定。如果您希望端點反映工作區中的變更，可以重新建立端點。
使用已啟用私人連結的工作區時，可以用 Azure Machine Learning 工作室來建立和管理批次端點，但無法從工作室 UI 叫用批次端點。請改用 Azure Machine Learning CLI v2 建立作業。如需使用方式的詳細資訊，請參閱執行批次端點以啟動批次評分作業。