Konfigurace privátního koncového bodu pro pracovní prostor Azure Machine Learning pomocí sady SDK a rozhraní příkazového řádku v1

PLATÍ PRO:Rozšíření Azure CLI ml v1Python SDK azureml v1

V tomto dokumentu se dozvíte, jak nakonfigurovat privátní koncový bod pro váš pracovní prostor Azure Machine Learning. Informace o vytvoření virtuální sítě pro Azure Machine Learning najdete v přehledu izolace virtuální sítě a ochrany osobních údajů.

Azure Private Link umožňuje připojení k pracovnímu prostoru pomocí privátního koncového bodu. Privátní koncový bod je sada privátních IP adres ve vaší virtuální síti. Pak můžete omezit přístup k vašemu pracovnímu prostoru tak, aby k nim docházelo jenom přes privátní IP adresy. Privátní koncový bod pomáhá snížit riziko exfiltrace dat. Další informace o privátních koncových bodech najdete v článku o službě Azure Private Link .

Upozorňující

Zabezpečení pracovního prostoru pomocí privátních koncových bodů nezajistí kompletní zabezpečení sama o sobě. Musíte zabezpečit všechny jednotlivé komponenty vašeho řešení. Pokud například pro pracovní prostor používáte privátní koncový bod, ale váš účet úložiště Azure není za virtuální sítí, provoz mezi pracovním prostorem a úložištěm k zabezpečení nepoužívá virtuální síť.

Další informace o zabezpečení prostředků používaných službou Azure Machine Learning najdete v následujících článcích:

• Přehled izolace virtuální sítě a ochrany osobních údajů
• Zabezpečení prostředků pracovního prostoru
• Zabezpečená trénovací prostředí (v1)
• Zabezpečené prostředí pro odvození (v1)
• Použijte studio Azure Machine Learning ve virtuální síti.
• Izolace sítě platformy API

Požadavky

• K vytvoření privátního koncového bodu musíte mít existující virtuální síť.
• Před přidáním privátního koncového bodu zakažte zásady sítě pro privátní koncové body .

Omezení

• Pokud povolíte veřejný přístup k pracovnímu prostoru zabezpečenému pomocí privátního koncového bodu a použijete studio Azure Machine Learning přes veřejný internet, některé funkce, jako je návrhář, nemusí mít přístup k vašim datům. K tomuto problému dochází v případě, že jsou data uložená ve službě zabezpečené za virtuální sítí. Příkladem je účet služby Azure Storage.

• Pokud používáte Mozilla Firefox, může dojít k problémům při pokusu o přístup k privátnímu koncovému bodu pro váš pracovní prostor. Tento problém může souviset s DNS přes HTTPS v Mozilla Firefoxu. Jako alternativní řešení doporučujeme používat Microsoft Edge nebo Google Chrome.

• Použití privátního koncového bodu nemá vliv na řídicí rovinu Azure (operace správy), jako je odstranění pracovního prostoru nebo správa výpočetních prostředků. Například vytvoření, aktualizace nebo odstranění cílového výpočetního objektu. Tyto operace se provádějí přes veřejný internet jako obvykle. Operace roviny dat, jako je použití studio Azure Machine Learning, rozhraní API (včetně publikovaných kanálů) nebo sada SDK používá privátní koncový bod.

• Při vytváření výpočetní instance nebo výpočetního clusteru v pracovním prostoru s privátním koncovým bodem se výpočetní instance i výpočetní cluster musí nacházet ve stejné oblasti Azure jako pracovní prostor.

• Při vytváření nebo připojování clusteru Azure Kubernetes Service k pracovnímu prostoru s privátním koncovým bodem musí být cluster ve stejné oblasti jako pracovní prostor.

• Při použití pracovního prostoru s několika privátními koncovými body musí být jeden z privátních koncových bodů ve stejné virtuální síti jako následující služby závislostí:

  • Účet úložiště Azure, který poskytuje výchozí úložiště pro pracovní prostor
  • Azure Key Vault pro pracovní prostor
  • Azure Container Registry pro pracovní prostor

  Například jedna virtuální síť ("services" VNet) by obsahovala privátní koncový bod pro závislé služby a pracovní prostor. Tato konfigurace umožňuje pracovnímu prostoru komunikovat se službami. Jiná virtuální síť (klienti) může obsahovat pouze privátní koncový bod pro pracovní prostor a slouží pouze ke komunikaci mezi počítači pro vývoj klientů a pracovním prostorem.

Vytvoření pracovního prostoru, který používá privátní koncový bod

Pomocí jedné z následujících metod vytvořte pracovní prostor s privátním koncovým bodem. Každá z těchto metod vyžaduje existující virtuální síť:

Tip

Pokud chcete současně vytvořit pracovní prostor, privátní koncový bod a virtuální síť, přečtěte si téma Použití šablony Azure Resource Manageru k vytvoření pracovního prostoru pro Azure Machine Learning.

Python SDK

Sada Azure Machine Learning Python SDK poskytuje třídu PrivateEndpointConfig , kterou lze použít s pracovním prostorem.create () k vytvoření pracovního prostoru s privátním koncovým bodem. Tato třída vyžaduje existující virtuální síť.

PLATÍ PRO: Python SDK azureml v1

from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig

pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.create(name='myworkspace',
    subscription_id='<my-subscription-id>',
    resource_group='myresourcegroup',
    location='eastus2',
    private_endpoint_config=pe,
    private_endpoint_auto_approval=True,
    show_output=True)

Azure CLI

PLATÍ PRO: Rozšíření Azure CLI ml v1

Pokud pro strojové učení používáte rozšíření Azure CLI 1.0, použijte příkaz az ml workspace create. Následující parametry pro tento příkaz lze použít k vytvoření pracovního prostoru s privátní sítí, ale vyžaduje existující virtuální síť:

• --pe-name: Název vytvořeného privátního koncového bodu.
• --pe-auto-approval: Jestli se mají automaticky schválit připojení privátního koncového bodu k pracovnímu prostoru.
• --pe-resource-group: Skupina prostředků, ve které se má vytvořit privátní koncový bod. Musí být stejná skupina, která obsahuje virtuální síť.
• --pe-vnet-name: Existující virtuální síť, ve které se má vytvořit privátní koncový bod.
• --pe-subnet-name: Název podsítě, ve které se má vytvořit privátní koncový bod. Výchozí hodnota je default.

Tyto parametry jsou kromě dalších požadovaných parametrů pro příkaz create. Například následující příkaz vytvoří nový pracovní prostor v oblasti USA – západ pomocí existující skupiny prostředků a virtuální sítě:

PLATÍ PRO: Rozšíření Azure CLI ml v1

az ml workspace create -r myresourcegroup \
    -l westus \
    -n myworkspace \
    --pe-name myprivateendpoint \
    --pe-auto-approval \
    --pe-resource-group myresourcegroup \
    --pe-vnet-name myvnet \
    --pe-subnet-name mysubnet

Přidání privátního koncového bodu do pracovního prostoru

K přidání privátního koncového bodu do existujícího pracovního prostoru použijte jednu z následujících metod:

Upozorňující

Pokud máte k tomuto pracovnímu prostoru přidružené nějaké existující cílové výpočetní objekty a nejsou za stejnou virtuální sítí, ve které se privátní koncový bod vytvoří, nebudou fungovat.

Python

PLATÍ PRO: Python SDK azureml v1

from azureml.core import Workspace
from azureml.core import PrivateEndPointConfig

pe = PrivateEndPointConfig(name='myprivateendpoint', vnet_name='myvnet', vnet_subnet_name='default')
ws = Workspace.from_config()
ws.add_private_endpoint(private_endpoint_config=pe, private_endpoint_auto_approval=True, show_output=True)

Další informace o třídách a metodách použitých v tomto příkladu naleznete v tématu PrivateEndpointConfig a Workspace.add_private_endpoint.

Azure CLI

PLATÍ PRO: Rozšíření Azure CLI ml v1

Rozšíření Azure CLI 1.0 pro strojové učení poskytuje příkaz az ml workspace private-endpoint add .

PLATÍ PRO: Rozšíření Azure CLI ml v1

az ml workspace private-endpoint add -w myworkspace  --pe-name myprivateendpoint --pe-auto-approval --pe-vnet-name myvnet

Odebrání privátního koncového bodu

Pro pracovní prostor můžete odebrat jeden nebo všechny privátní koncové body. Odebrání privátního koncového bodu odebere pracovní prostor z virtuální sítě, ke které byl koncový bod přidružený. Odebráním privátního koncového bodu může zabránit pracovnímu prostoru v přístupu k prostředkům v dané virtuální síti nebo prostředkům ve virtuální síti přístup k pracovnímu prostoru. Pokud například virtuální síť nepovoluje přístup k veřejnému internetu nebo z veřejného internetu.

Upozorňující

Odebrání privátních koncových bodů pro pracovní prostor nezpřístupní veřejně. Pokud chcete, aby byl pracovní prostor veřejně přístupný, použijte postup v části Povolit veřejný přístup .

Pokud chcete odebrat privátní koncový bod, použijte následující informace:

Python SDK

Pokud chcete odebrat privátní koncový bod, použijte Workspace.delete_private_endpoint_connection. Následující příklad ukazuje, jak odebrat privátní koncový bod:

PLATÍ PRO: Python SDK azureml v1

from azureml.core import Workspace

ws = Workspace.from_config()
# get the connection name
_, _, connection_name = ws.get_details()['privateEndpointConnections'][0]['id'].rpartition('/')
ws.delete_private_endpoint_connection(private_endpoint_connection_name=connection_name)

Azure CLI

PLATÍ PRO: Rozšíření Azure CLI ml v1

Rozšíření Azure CLI 1.0 pro strojové učení poskytuje příkaz az ml workspace private-endpoint delete .

Povolení veřejného přístupu

V některých situacích můžete chtít někomu umožnit připojení k vašemu zabezpečenému pracovnímu prostoru přes veřejný koncový bod místo přes virtuální síť. Nebo můžete chtít odebrat pracovní prostor z virtuální sítě a znovu povolit veřejný přístup.

Důležité

Povolení veřejného přístupu neodebere žádné privátní koncové body, které existují. Veškerá komunikace mezi komponentami za virtuální sítí, ke které se privátní koncové body připojují, jsou stále zabezpečené. Kromě privátního přístupu prostřednictvím privátních koncových bodů umožňuje veřejný přístup pouze k pracovnímu prostoru.

Upozorňující

V případě připojení přes veřejný koncový bod, zatímco pracovní prostor ke komunikaci s dalšími prostředky používá privátní koncový bod:

• Některé funkce studia nebudou mít přístup k vašim datům. K tomuto problému dochází v případě , že jsou data uložená ve službě, která je zabezpečená za virtuální sítí. Příkladem je účet služby Azure Storage.
• Použití Aplikací Jupyter, JupyterLab, RStudio nebo Posit Workbench (dříve RStudio Workbench) ve výpočetní instanci, včetně spuštěných poznámkových bloků, se nepodporuje.

Pokud chcete povolit veřejný přístup, postupujte takto:

Tip

Existují dvě možné vlastnosti, které můžete nakonfigurovat:

• allow_public_access_when_behind_vnet – používá se sadou Python SDK a rozhraním příkazového řádku v2.
• public_network_access – používaná sadou Python SDK a rozhraním příkazového řádku v2 Každá vlastnost přepíše druhou vlastnost. Například nastavení public_network_access přepíše předchozí nastavení na allow_public_access_when_behind_vnet.

Microsoft doporučuje povolit public_network_access nebo zakázat veřejný přístup k pracovnímu prostoru.

Python SDK

Pokud chcete povolit veřejný přístup, použijte Workspace.update a nastavte allow_public_access_when_behind_vnet=True.

PLATÍ PRO: Python SDK azureml v1

from azureml.core import Workspace

ws = Workspace.from_config()
ws.update(allow_public_access_when_behind_vnet=True)

Azure CLI

PLATÍ PRO: Rozšíření Azure CLI ml v1

Rozšíření Azure CLI 1.0 pro strojové učení poskytuje příkaz az ml workspace update . Pokud chcete povolit veřejný přístup k pracovnímu prostoru, přidejte parametr --allow-public-access true.

Bezpečné připojení k pracovnímu prostoru

Pokud se chcete připojit k pracovnímu prostoru zabezpečenému za virtuální sítí, použijte jednu z následujících metod:

• Azure VPN Gateway – Připojí místní sítě k virtuální síti přes privátní připojení. Připojení se provádí přes veřejný internet. Existují dva typy bran VPN, které můžete použít:

  • Point-to-site: Každý klientský počítač používá klienta VPN pro připojení k virtuální síti.
  • Site-to-site: Zařízení VPN připojí virtuální síť k místní síti.

• ExpressRoute – Připojuje místní sítě k cloudu přes privátní připojení. Připojení se provádí pomocí poskytovatele připojení.

• Azure Bastion – V tomto scénáři vytvoříte virtuální počítač Azure (někdy označovaný jako jump box) uvnitř virtuální sítě. Pak se k virtuálnímu počítači připojíte pomocí služby Azure Bastion. Bastion umožňuje připojení k virtuálnímu počítači pomocí relace RDP nebo SSH z místního webového prohlížeče. Pak jako vývojové prostředí použijete jump box. Vzhledem k tomu, že je uvnitř virtuální sítě, má přímý přístup k pracovnímu prostoru. Příklad použití jump boxu najdete v tématu Kurz: Vytvoření zabezpečeného pracovního prostoru.

Důležité

Pokud používáte bránu VPN nebo ExpressRoute, budete muset naplánovat fungování překladu ip adres mezi místními prostředky a prostředky ve virtuální síti. Další informace najdete v tématu Použití vlastního serveru DNS.

Pokud máte problémy s připojením k pracovnímu prostoru, přečtěte si téma Řešení potíží se zabezpečeným připojením k pracovnímu prostoru.

Několik privátních koncových bodů

Azure Machine Learning podporuje více privátních koncových bodů pro pracovní prostor. Několik privátních koncových bodů se často používá, když chcete zachovat různá prostředí oddělená. Tady jsou některé scénáře, které jsou povolené pomocí několika privátních koncových bodů:

• Vývojová prostředí klientů v samostatné virtuální síti

• Cluster Azure Kubernetes Service (AKS) v samostatné virtuální síti.

• Další služby Azure v samostatné virtuální síti Například Azure Synapse a Azure Data Factory můžou používat virtuální síť spravovanou Microsoftem. V obou případech je možné přidat privátní koncový bod pro pracovní prostor do spravované virtuální sítě používané těmito službami. Další informace o používání spravované virtuální sítě s těmito službami najdete v následujících článcích:

  • Privátní koncové body spravované službou Synapse
  • Spravovaná virtuální síť azure Data Factory

  Důležité

  Azure Machine Learning nepodporuje ochranu před exfiltrací dat synapse.

Důležité

Každá virtuální síť, která obsahuje privátní koncový bod pro pracovní prostor, musí mít také přístup k účtu služby Azure Storage, službě Azure Key Vault a službě Azure Container Registry používanému pracovním prostorem. Můžete například vytvořit privátní koncový bod pro služby v každé virtuální síti.

Přidání několika privátních koncových bodů používá stejný postup, jak je popsáno v části Přidání privátního koncového bodu do pracovního prostoru .

Scénář: Izolované klienty

Pokud chcete izolovat vývojové klienty, aby neměli přímý přístup k výpočetním prostředkům používaným službou Azure Machine Learning, postupujte následovně:

Poznámka:

V těchto krocích se předpokládá, že máte existující pracovní prostor, účet služby Azure Storage, Azure Key Vault a Azure Container Registry. Každá z těchto služeb má v existující virtuální síti privátní koncové body.

1. Vytvořte pro klienty jinou virtuální síť. Tato virtuální síť může obsahovat virtuální počítače Azure, které fungují jako klienti, nebo může obsahovat bránu VPN Gateway používanou místními klienty pro připojení k virtuální síti.
2. Přidejte nový privátní koncový bod pro účet služby Azure Storage, Azure Key Vault a Službu Azure Container Registry používanou vaším pracovním prostorem. Tyto privátní koncové body by měly existovat v klientské virtuální síti.
3. Pokud máte jiné úložiště, které používá váš pracovní prostor, přidejte pro toto úložiště nový privátní koncový bod. Privátní koncový bod by měl existovat ve virtuální síti klienta a musí mít povolenou integraci privátní zóny DNS.
4. Přidejte do pracovního prostoru nový privátní koncový bod. Tento privátní koncový bod by měl existovat ve virtuální síti klienta a má povolenou integraci privátní zóny DNS.
5. Pomocí kroků v sadě Use Studio v článku o virtuální síti povolte studiu přístup k účtům úložiště.

Tuto konfiguraci znázorňuje následující diagram. Virtuální síť úloh obsahuje výpočty vytvořené pracovním prostorem pro trénování a nasazení. Klientská virtuální síť obsahuje klienty nebo připojení ExpressRoute nebo VPN klienta. Obě virtuální sítě obsahují privátní koncové body pro pracovní prostor, účet služby Azure Storage, Azure Key Vault a Azure Container Registry.

Scénář: Izolované služby Azure Kubernetes Service

Pokud chcete vytvořit izolovanou službu Azure Kubernetes Service používanou pracovním prostorem, postupujte následovně:

Poznámka:

V těchto krocích se předpokládá, že máte existující pracovní prostor, účet služby Azure Storage, Azure Key Vault a Azure Container Registry. Každá z těchto služeb má v existující virtuální síti privátní koncové body.

1. Vytvořte instanci služby Azure Kubernetes Service. Během vytváření vytvoří AKS virtuální síť, která obsahuje cluster AKS.
2. Přidejte nový privátní koncový bod pro účet služby Azure Storage, Azure Key Vault a Službu Azure Container Registry používanou vaším pracovním prostorem. Tyto privátní koncové body by měly existovat v klientské virtuální síti.
3. Pokud máte jiné úložiště, které používá váš pracovní prostor, přidejte pro toto úložiště nový privátní koncový bod. Privátní koncový bod by měl existovat ve virtuální síti klienta a musí mít povolenou integraci privátní zóny DNS.
4. Přidejte do pracovního prostoru nový privátní koncový bod. Tento privátní koncový bod by měl existovat ve virtuální síti klienta a má povolenou integraci privátní zóny DNS.
5. Připojte cluster AKS k pracovnímu prostoru Azure Machine Learning. Další informace najdete v tématu Vytvoření a připojení clusteru Azure Kubernetes Service.

Další kroky

• Další informace o zabezpečení pracovního prostoru Azure Machine Learning najdete v článku s přehledem izolace virtuální sítě a ochrany osobních údajů.

• Pokud máte ve virtuální síti v úmyslu použít vlastní řešení DNS, podívejte se, jak používat pracovní prostor s vlastním serverem DNS.

• Izolace sítě platformy API