Porovnání konfigurací izolace sítě ve službě Azure Machine Learning
Pro vaše pracovní prostory nabízí Azure Machine Learning dva typy konfigurací izolace odchozí sítě: spravovaná izolace sítě a vlastní izolaci sítě. Obě nabízejí plnou podporu izolace sítě s jejími výhodami a omezeními. Tento dokument popisuje podporu funkcí a omezení obou konfigurací izolace sítě, abyste se mohli rozhodnout, co je pro vaše potřeby nejvhodnější.
Podnikové potřeby zabezpečení
Cloud computing umožňuje vertikálně navýšit kapacitu vašich dat a možností strojového učení, ale zároveň představuje nové výzvy a rizika pro zabezpečení a dodržování předpisů. Potřebujete zajistit, aby vaše cloudová infrastruktura byla chráněná před neoprávněným přístupem, manipulací nebo únikem dat a modelů. Možná budete také muset dodržovat předpisy a standardy, které se vztahují na vaše odvětví a doménu.
Mezi typické podnikové požadavky patří:
- Pomocí hranice izolace sítě s virtuální sítí můžete mít příchozí a odchozí řízení a privátní připojení k privátním prostředkům Azure.
- Vyhněte se vystavení internetu bez veřejných IP řešení a privátních koncových bodů.
- Pomocí zařízení virtuální sítě můžete mít lepší možnosti zabezpečení sítě, jako jsou brány firewall, detekce neoprávněných vniknutí, správa ohrožení zabezpečení, filtrování webu.
- Síťovou architekturu pro Azure Machine Learning je možné integrovat se stávající architekturou sítě.
Co jsou konfigurace spravované a vlastní izolace sítě?
Izolace spravované sítě závisí na spravovaných virtuálních sítích, což je plně spravovaná funkce služby Azure Machine Learning. Izolace spravované sítě je ideální, pokud chcete používat Azure Machine Learning s minimálními nároky na konfiguraci a správu.
Vlastní izolace sítě závisí na vytváření a správě virtuální sítě Azure. Tato konfigurace je ideální, pokud hledáte maximální kontrolu nad konfigurací sítě.
Kdy použít spravované nebo vlastní virtuální sítě
Použít spravovanou virtuální síť, když...
- Jste novým uživatelem služby Azure Machine Learning se standardními požadavky na izolaci sítě.
- Jste společnost se standardními požadavky na izolaci sítě.
- Potřebujete místní přístup k prostředkům pomocí koncových bodů HTTP/S.
- Ještě nemáte nastavených mnoho závislostí mimo Azure.
- Potřebujete používat online koncové body spravované službou Azure Machine Learning a výpočetní prostředí Spark bez serveru.
- Pro sítě ve vaší organizaci máte méně požadavků na správu.
Použít vlastní virtuální síť, když...
- Jste společnost s náročnými požadavky na izolaci sítě.
- Máte mnoho závislostí mimo Azure, které jste dříve nastavili a potřebujete přístup ke službě Azure Machine Learning.
- Máte místní databáze bez koncových bodů HTTP/S.
- Vyžadujete použití vlastní brány firewall a protokolování virtuální sítě a monitorování odchozího síťového provozu.
- Chcete použít Azure Kubernetes Services (AKS) pro odvozování úloh.
Následující tabulka obsahuje porovnání výhod a omezení spravovaných a vlastních virtuálních sítí:
| Vlastní virtuální síť | Spravovaná virtuální síť | |
|---|---|---|
| Benefity | – Sítě můžete přizpůsobit stávajícímu nastavení – Používání vlastních prostředků mimo Azure pomocí služby Azure Machine Learning – Připojení k místním prostředkům |
– Minimalizace režijních nákladů na nastavení a údržbu – Podporuje spravované online koncové body – Podporuje bezserverový spark – získá nové funkce jako první. |
| Omezení | – Podpora nových funkcí může být zpožděná – Spravované online koncové body NEJSOU podporovány – Bezserverové sparkY NEPODPOROVANÉ - Základní modely NEJSOU podporovány - Nepodporované žádné rozhraní MLFlow kódu – Složitost implementace – Režie na údržbu |
– Náklady na pravidla služby Azure Firewall a plně kvalifikovaného názvu domény – Protokolování virtuální sítě, brány firewall a pravidel NSG NENÍ podporováno – Přístup k prostředkům koncových bodů jiného typu než HTTP/S se nepodporuje. |
Omezení vlastních virtuálních sítí
- Podpora nových funkcí může být zpožděná: Úsilí o zlepšení našich nabídek izolace sítě se zaměřuje na správu místo vlastní virtuální sítě. Proto jsou nové požadavky na funkce upřednostňovány při správě přes vlastní virtuální síť.
- Spravované online koncové body se nepodporují: Spravované online koncové body nepodporují vlastní virtuální síť. Aby bylo možné zabezpečit vaše spravované online koncové body, musí být povolená virtuální síť spravovaná pracovním prostorem. Spravované online koncové body můžete zabezpečit pomocí starší metody izolace sítě. Důrazně ale doporučujeme používat pracovní prostor spravovaná izolace sítě. Další informace najdete v tématu Spravované online koncové body.
- Výpočetní prostředí Spark bez serveru se nepodporuje: Výpočetní prostředí Spark bez serveru se ve vlastní virtuální síti nepodporuje. Spravovaná virtuální síť pracovního prostoru podporuje bezserverovou spark, protože Azure Synapse používá jenom nastavení spravované virtuální sítě. Další informace najdete v tématu Nakonfigurovaný bezserverový Spark.
- Složitost implementace a režijní náklady na údržbu: Při nastavení vlastní virtuální sítě se na uživatele spoléhá veškerá složitost nastavení virtuální sítě, podsítě, privátních koncových bodů a dalších možností. Údržba sítě a výpočetních prostředků spadá na uživatele.
Omezení spravované virtuální sítě
- Náklady na azure firewall a pravidla plně kvalifikovaného názvu domény: Služba Azure Firewall se zřizuje jménem uživatele pouze v případech, kdy se vytvoří pravidlo odchozího plně kvalifikovaného názvu domény definované uživatelem. Azure Firewall je standardní brána firewall skladové položky a účtuje náklady, které se přidají do fakturace. Další informace najdete na stránce s cenami služby Azure Firewall.
- Protokolování a monitorování spravované virtuální sítě NENÍ podporováno: Spravovaná virtuální síť nepodporuje tok virtuální sítě, tok NSG ani protokoly brány firewall. Toto omezení je způsobeno tím, že spravovaná virtuální síť je nasazená v tenantovi Microsoftu a nedá se odeslat do vašeho předplatného.
- Přístup k prostředkům mimo Azure, jiné než HTTP/S se nepodporuje: Spravovaná virtuální síť neumožňuje přístup k prostředkům mimo Azure, které nejsou http/S.