Tok síťového provozu při použití zabezpečeného pracovního prostoru

Když umístíte pracovní prostor Azure Machine Learning a přidružené prostředky do virtuální sítě Azure, změní se síťový provoz mezi prostředky. Bez virtuální sítě proudí síťový provoz přes veřejný internet nebo v datacentru Azure. Po zavedení virtuální sítě můžete také chtít posílit zabezpečení sítě. Můžete například chtít blokovat příchozí a odchozí komunikaci mezi virtuální sítí a veřejným internetem. Azure Machine Learning ale vyžaduje přístup k některým prostředkům na veřejném internetu. Například používá Azure Resource Manager pro operace nasazení a správy.

Tento článek obsahuje seznam požadovaných přenosů do a z veřejného internetu. Vysvětluje také tok síťového provozu mezi vývojovým prostředím klienta a zabezpečeným pracovním prostorem Služby Azure Machine Learning v následujících scénářích:

• Použití studio Azure Machine Learning pro práci s:

  • Váš pracovní prostor
  • AutoML
  • Návrhář
  • Datové sady a úložiště dat

  studio Azure Machine Learning je webové uživatelské rozhraní, které běží částečně ve webovém prohlížeči. Volá služby Azure k provádění úloh, jako je trénování modelu, použití návrháře nebo zobrazení datových sad. Některá z těchto volání používají jiný komunikační tok, než když používáte sadu Azure Machine Learning SDK, Azure CLI, rozhraní REST API nebo Visual Studio Code.

• Pomocí studio Azure Machine Learning, sady Azure Machine Learning SDK, Azure CLI nebo rozhraní REST API pro práci s:

  • Výpočetní instance a clustery
  • Azure Kubernetes Service (AKS)
  • Image Dockeru spravované službou Azure Machine Learning

Pokud tady není uvedený scénář nebo úkol, měl by fungovat stejně s zabezpečeným pracovním prostorem nebo bez něj.

Předpoklady

Tento článek předpokládá následující konfiguraci:

• Pracovní prostor Azure Machine Learning používá ke komunikaci s virtuální sítí privátní koncový bod.
• Účet úložiště Azure, trezor klíčů a registr kontejnerů, které pracovní prostor používá ke komunikaci s virtuální sítí, používá také privátní koncový bod.
• Klientské pracovní stanice používají bránu VPN nebo Azure ExpressRoute pro přístup k virtuální síti.

Příchozí a odchozí požadavky

Scénář	Požadovaný příchozí provoz	Požadovaný odchozí provoz	Další konfigurace
Přístup k pracovnímu prostoru ze studia	Nelze použít	Microsoft Entra ID Azure Front Door Azure Machine Learning	Možná budete muset použít vlastní server DNS. Další informace najdete v tématu Použití pracovního prostoru s vlastním serverem DNS.
Použití AutoML, návrháře, datové sady a úložiště dat ze studia	Nelze použít	Nelze použít	Konfigurace instančního objektu pracovního prostoru Povolit přístup z důvěryhodných služeb Azure Další informace najdete v tématu Zabezpečení pracovního prostoru Azure Machine Learning s virtuálními sítěmi.
Použití výpočetní instance a výpočetního clusteru	Azure Machine Learning na portu 44224 Azure Batch na portech 29876–29877	Microsoft Entra ID Azure Resource Manager Azure Machine Learning Azure Storage Azure Key Vault	Pokud používáte bránu firewall, vytvořte trasy definované uživatelem. Další informace najdete v tématu Konfigurace příchozího a odchozího síťového provozu.
Použití služby Azure Kubernetes Service	Nelze použít	Informace o odchozí konfiguraci pro AKS najdete v tématu Zabezpečené prostředí odvozování služby Azure Kubernetes Service.
Použití imagí Dockeru, které spravuje Azure Machine Learning	Nelze použít	Registr artefaktů Microsoft	Pokud je registr kontejneru pro váš pracovní prostor za virtuální sítí, nakonfigurujte pracovní prostor tak, aby k vytváření imagí používal výpočetní cluster. Další informace najdete v tématu Zabezpečení pracovního prostoru Azure Machine Learning s virtuálními sítěmi.

Účel účtů úložiště

Azure Machine Learning používá více účtů úložiště. Každá ukládá různá data a má jiný účel:

• Úložiště: Účty úložiště ve vašem předplatném Azure ukládají vaše data a artefakty, jako jsou modely, trénovací data, trénovací protokoly a skripty Pythonu. Například výchozí účet úložiště pro váš pracovní prostor je ve vašem předplatném. Výpočetní instance služby Azure Machine Learning a výpočetní cluster mají přístup k souborům a datům objektů blob v tomto úložišti přes porty 445 (SMB) a 443 (HTTPS).

  Pokud používáte výpočetní instanci nebo výpočetní cluster, váš účet úložiště se připojí jako sdílená složka přes protokol SMB. Výpočetní instance a cluster používají tuto sdílenou složku k ukládání položek, jako jsou data, modely, poznámkové bloky Jupyter a datové sady. Výpočetní instance a cluster používají privátní koncový bod při přístupu k účtu úložiště.

• Microsoft Storage: Výpočetní instance a výpočetní cluster služby Azure Machine Learning závisí na službě Azure Batch. Přistupují k úložišti umístěnému v předplatném Microsoftu. Toto úložiště se používá jenom pro správu výpočetní instance nebo clusteru. Žádná z vašich dat tady není uložená. Výpočetní instance a výpočetní cluster přistupují k datům objektů blob, tabulek a front v tomto úložišti pomocí portu 443 (HTTPS).

Machine Learning také ukládá metadata v instanci služby Azure Cosmos DB. Ve výchozím nastavení je tato instance hostovaná v předplatném Microsoftu a Microsoft ji spravuje. Volitelně můžete ve svém předplatném Azure použít instanci služby Azure Cosmos DB. Další informace najdete v tématu Šifrování dat pomocí služby Azure Machine Learning.

Scénář: Přístup k pracovnímu prostoru ze studia

Poznámka:

Informace v této části jsou specifické pro použití pracovního prostoru z studio Azure Machine Learning. Pokud používáte sadu Azure Machine Learning SDK, rozhraní REST API, Azure CLI nebo Visual Studio Code, informace v této části se na vás nevztahují.

Při přístupu k pracovnímu prostoru ze studia jsou toky síťového provozu následující:

• K ověření prostředků používá konfigurace ID Microsoft Entra.
• Pro operace správy a nasazení používá konfigurace Azure Resource Manager.
• Pro úlohy specifické pro Azure Machine Learning používá konfigurace službu Azure Machine Learning.
• Pro přístup k studio Azure Machine Learning tato konfigurace používá Službu Azure Front Door.
• U většiny operací úložiště provoz prochází privátním koncovým bodem výchozího úložiště pro váš pracovní prostor. Výjimky popisuje použití AutoML, návrháře, datové sady a úložiště dat z části Studio tohoto článku.
• Musíte také nakonfigurovat řešení DNS, které umožňuje přeložit názvy prostředků ve virtuální síti. Další informace najdete v tématu Použití pracovního prostoru s vlastním serverem DNS.

Scénář: Použití AutoML, návrháře, datové sady a úložiště dat ze studia

Profilaci dat používají následující funkce studio Azure Machine Learning:

• Datová sada: Prozkoumejte datovou sadu ze studia.
• Návrhář: Vizualizace výstupních dat modulu
• AutoML: Umožňuje zobrazit náhled dat nebo profil a zvolit cílový sloupec.
• Popisky: Použití popisků k přípravě dat pro projekt strojového učení

Profilace dat závisí na schopnosti spravované služby Azure Machine Learning přistupovat k výchozímu účtu úložiště Azure pro váš pracovní prostor. Spravovaná služba ve vaší virtuální síti neexistuje, takže nemá přímý přístup k účtu úložiště ve virtuální síti. Místo toho pracovní prostor používá instanční objekt pro přístup k úložišti.

Tip

Instanční objekt můžete poskytnout při vytváření pracovního prostoru. Pokud ne, je pro vás vytvořený a má stejný název jako váš pracovní prostor.

Pokud chcete povolit přístup k účtu úložiště, nakonfigurujte účet úložiště tak, aby umožňoval instanci prostředku pro váš pracovní prostor, nebo v seznamu důvěryhodných služeb vyberte Povolit službám Azure přístup k tomuto účtu úložiště. Toto nastavení umožňuje spravované službě přistupovat k úložišti prostřednictvím sítě datacentra Azure.

Dále přidejte instanční objekt pro pracovní prostor do role Čtenář do privátního koncového bodu účtu úložiště. Azure tuto roli používá k ověření informací o pracovním prostoru a podsíti úložiště. Pokud jsou stejné, Azure povolí přístup. Instanční objekt také vyžaduje přístup přispěvatele dat objektů blob k účtu úložiště.

Další informace najdete v části Zabezpečené účty úložiště Azure v pracovním prostoru Azure Machine Learning s virtuálními sítěmi.

Scénář: Použití výpočetní instance a výpočetního clusteru

Výpočetní instance a výpočetní cluster služby Azure Machine Learning jsou spravované služby, které hostuje Microsoft. Jsou postavené na službě Azure Batch. I když existují v prostředí spravovaném Microsoftem, vloží se také do vaší virtuální sítě.

Při vytváření výpočetní instance nebo výpočetního clusteru se ve vaší virtuální síti vytvoří také následující prostředky:

• Skupina zabezpečení sítě s požadovanými odchozími pravidly. Tato pravidla umožňují příchozí přístup ze služby Azure Machine Learning (TCP na portu 44224) a Azure Batch (TCP na portech 29876–29877).

  Důležité

  Pokud k blokování přístupu k internetu do virtuální sítě používáte bránu firewall, musíte bránu firewall nakonfigurovat tak, aby umožňovala tento provoz. Pomocí služby Azure Firewall můžete například vytvářet trasy definované uživatelem. Další informace najdete v tématu Konfigurace příchozího a odchozího síťového provozu.

• Nástroj pro vyrovnávání zatížení s veřejnou IP adresou.

Povolte také odchozí přístup k následujícím značek služeb. Pro každou značku nahraďte region oblastí Azure výpočetní instance nebo clusteru:

• Storage.region: Tento odchozí přístup slouží k připojení k účtu úložiště Azure v rámci spravované virtuální sítě Azure Batch.
• Keyvault.region: Tento odchozí přístup slouží k připojení k účtu služby Azure Key Vault v rámci spravované virtuální sítě Azure Batch.

Přístup k datům z výpočetní instance nebo clusteru prochází privátním koncovým bodem účtu úložiště pro vaši virtuální síť.

Pokud ve výpočetní instanci používáte Visual Studio Code, musíte povolit jiný odchozí provoz. Další informace najdete v tématu Konfigurace příchozího a odchozího síťového provozu.

Scénář: Použití online koncových bodů

Zabezpečení příchozí a odchozí komunikace konfigurujete samostatně pro spravované online koncové body.

Příchozí komunikace

Můžete pomoct zabezpečit příchozí komunikaci s bodovací adresou URL online koncového bodu pomocí public_network_access příznaku na koncovém bodu. Nastavením příznaku disabled zajistíte, že online koncový bod přijímá provoz pouze z virtuální sítě klienta prostřednictvím privátního koncového bodu pracovního prostoru služby Azure Machine Learning.

Příznak public_network_access pracovního prostoru Azure Machine Learning také řídí viditelnost online koncového bodu. Pokud je disabledtento příznak , koncové body bodování jsou přístupné pouze z virtuálních sítí, které obsahují privátní koncový bod pro pracovní prostor. Pokud je enabledpříznakem tento příznak, může být bodovací koncový bod přístupný z virtuální sítě a veřejných sítí.

Odchozí komunikace

Můžete pomoct zabezpečit odchozí komunikaci z nasazení na úrovni pracovního prostoru pomocí izolace spravované virtuální sítě pro váš pracovní prostor Azure Machine Learning. Použití tohoto nastavení způsobí, že Azure Machine Learning vytvoří spravovanou virtuální síť pro pracovní prostor. Všechna nasazení ve spravované virtuální síti pracovního prostoru můžou pro odchozí komunikaci používat privátní koncové body virtuální sítě.

Starší metoda izolace sítě pro zabezpečení odchozí komunikace fungovala zakázáním příznaku egress_public_network_access nasazení. Důrazně doporučujeme, abyste místo toho pomohli zabezpečit odchozí komunikaci pro nasazení pomocí virtuální sítě spravované pracovním prostorem. Na rozdíl od starší verze přístupu egress_public_network_access se příznak pro nasazení už nepoužije při použití virtuální sítě spravované pracovním prostorem s nasazením. Místo toho pravidla, která jste nastavili pro komunikaci odchozí komunikace spravované virtuální sítě pracovního prostoru.

Scénář: Použití služby Azure Kubernetes Service

Informace o požadované odchozí konfiguraci pro službu Azure Kubernetes Service najdete v tématu Zabezpečení prostředí odvozování ve službě Azure Machine Learning s virtuálními sítěmi.

Poznámka:

Nástroj pro vyrovnávání zatížení služby Azure Kubernetes Service není stejný jako nástroj pro vyrovnávání zatížení, který azure Machine Learning vytvoří. Pokud chcete model hostovat jako zabezpečenou aplikaci, která je dostupná jenom ve virtuální síti, použijte interní nástroj pro vyrovnávání zatížení, který Azure Machine Learning vytvoří. Pokud chcete povolit veřejný přístup, použijte veřejný nástroj pro vyrovnávání zatížení, který azure Machine Learning vytvoří.

Pokud váš model vyžaduje další příchozí nebo odchozí připojení, například k externímu zdroji dat, použijte skupinu zabezpečení sítě nebo bránu firewall k povolení provozu.

Scénář: Použití imagí Dockeru, které spravuje Azure Machine Learning

Azure Machine Learning poskytuje image Dockeru, které můžete použít k trénování modelů nebo provádění odvozování. Tyto image jsou hostované na Registr artefaktů Microsoft.

Pokud zadáte vlastní image Dockeru, jako je registr kontejneru, který zadáte, nebudete potřebovat odchozí komunikaci se službou Artifact Registry.

Tip

Pokud je registr kontejneru ve virtuální síti zabezpečený, Azure Machine Learning ho nemůže použít k vytváření imagí Dockeru. Místo toho musíte určit výpočetní cluster Služby Azure Machine Learning pro vytváření imagí. Další informace najdete v tématu Zabezpečení pracovního prostoru Azure Machine Learning s virtuálními sítěmi.

Další kroky

Teď, když jste se dozvěděli, jak síťový provoz prochází zabezpečenou konfigurací, přečtěte si další informace o zabezpečení služby Azure Machine Learning ve virtuální síti v článku s přehledem izolace virtuální sítě a ochrany osobních údajů.

Informace o osvědčených postupech najdete v článku o osvědčených postupech služby Azure Machine Learning pro podnikové zabezpečení .