Sdílet prostřednictvím


Izolace spravované virtuální sítě pracovního prostoru

PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)

Azure Machine Learning poskytuje podporu izolace spravované virtuální sítě (spravované virtuální sítě). Izolace spravované virtuální sítě zjednodušuje a automatizuje konfiguraci izolace sítě pomocí integrované virtuální sítě spravované službou Azure Machine Learning na úrovni pracovního prostoru. Spravovaná virtuální síť zabezpečuje spravované prostředky služby Azure Machine Learning, jako jsou výpočetní instance, výpočetní clustery, bezserverové výpočetní prostředky a spravované online koncové body.

Zabezpečení pracovního prostoru pomocí spravované sítě poskytuje izolaci sítě pro odchozí přístup z pracovního prostoru a spravovaných výpočetních prostředků. Virtuální síť Azure, kterou vytvoříte a spravujete, se používá k zajištění příchozího přístupu izolace sítě k pracovnímu prostoru. Například privátní koncový bod pro pracovní prostor se vytvoří ve vaší virtuální síti Azure. Každý klient, který se připojuje k virtuální síti, má přístup k pracovnímu prostoru prostřednictvím privátního koncového bodu. Při spouštění úloh na spravovaných výpočetních prostředcích omezuje spravovaná síť přístup k výpočetním prostředkům.

Architektura spravované virtuální sítě

Když povolíte izolaci spravované virtuální sítě, vytvoří se pro tento pracovní prostor spravovaná virtuální síť. Spravované výpočetní prostředky, které vytvoříte pro pracovní prostor, automaticky používají tuto spravovanou virtuální síť. Spravovaná virtuální síť může používat privátní koncové body pro prostředky Azure, které používají váš pracovní prostor, jako je Azure Storage, Azure Key Vault a Azure Container Registry.

Pro odchozí provoz ze spravované virtuální sítě existují dva různé režimy konfigurace:

Tip

Bez ohledu na režim odchozích přenosů, který používáte, je možné nakonfigurovat provoz do prostředků Azure tak, aby používal privátní koncový bod. Můžete například povolit veškerý odchozí provoz na internet, ale omezit komunikaci s prostředky Azure přidáním odchozích pravidel pro prostředky.

Režim odchozích přenosů Popis Scénáře
Povolit odchozí připojení k internetu Povolte veškerý odchozí provoz z internetu ze spravované virtuální sítě. Chcete neomezený přístup k prostředkům strojového učení na internetu, jako jsou balíčky Pythonu nebo předem natrénované modely.1
Povolit pouze schválené odchozí přenosy Odchozí provoz je povolený zadáním značek služeb. * Chcete minimalizovat riziko exfiltrace dat, ale musíte připravit všechny požadované artefakty strojového učení ve vašem privátním prostředí.
* Chcete nakonfigurovat odchozí přístup ke schválenému seznamu služeb, značek služeb nebo plně kvalifikovaných názvů domén.
Zakázáno Příchozí a odchozí provoz není omezený nebo k ochraně prostředků používáte vlastní virtuální síť Azure. Chcete veřejný příchozí a odchozí provoz z pracovního prostoru nebo zpracováváte izolaci sítě s vlastní virtuální sítí Azure.

1: Pravidla odchozích přenosů můžete použít s povoleným režimem odchozích přenosů , abyste dosáhli stejného výsledku jako použití možnosti povolit odchozí připojení k internetu. Rozdíly jsou:

  • Musíte přidat pravidla pro každé odchozí připojení, které potřebujete povolit.
  • Přidání odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady , protože tento typ pravidla používá Službu Azure Firewall. Další informace najdete na stránce s cenami
  • Výchozí pravidla pro povolení pouze schválených odchozích přenosů jsou navržená tak, aby minimalizovala riziko exfiltrace dat. Všechna pravidla odchozích přenosů, která přidáte, můžou zvýšit riziko.

Spravovaná virtuální síť je předem nakonfigurovaná s požadovanými výchozími pravidly. Je také nakonfigurovaná pro připojení privátních koncových bodů k vašemu pracovnímu prostoru, výchozímu úložišti pracovního prostoru, registru kontejneru a trezoru klíčů, pokud jsou nakonfigurované jako soukromé nebo je režim izolace pracovního prostoru nastavený tak, aby umožňoval pouze schválené odchozí přenosy. Po výběru režimu izolace je potřeba vzít v úvahu jenom další odchozí požadavky, které možná budete muset přidat.

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala odchozí provoz internetu:

Diagram izolace spravované virtuální sítě nakonfigurované pro odchozí provoz internetu

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy:

Poznámka:

V této konfiguraci se úložiště, trezor klíčů a registr kontejnerů používaný pracovním prostorem označí jako privátní. Vzhledem k tomu, že jsou označené jako soukromé, privátní koncový bod se používá ke komunikaci s nimi.

Diagram izolace spravované virtuální sítě nakonfigurované pro povolení pouze schválených odchozích přenosů

Poznámka:

Jakmile je spravovaný pracovní prostor virtuální sítě nakonfigurovaný tak, aby umožňoval odchozí provoz internetu, nejde pracovní prostor překonfigurovat tak, aby byl zakázaný. Podobně platí, že jakmile je spravovaný pracovní prostor virtuální sítě nakonfigurovaný tak, aby umožňoval pouze schválené odchozí přenosy, nedá se pracovní prostor překonfigurovat tak, aby umožňoval odchozí provoz internetu. Mějte na paměti při výběru režimu izolace pro spravovanou virtuální síť ve vašem pracovním prostoru.

Studio Azure Machine Learning

Pokud chcete použít integrovaný poznámkový blok nebo vytvořit datové sady ve výchozím účtu úložiště ze studia, potřebuje váš klient přístup k výchozímu účtu úložiště. Vytvořte privátní koncový bod nebo koncový bod služby pro výchozí účet úložiště ve virtuální síti Azure, kterou klienti používají.

Část studio Azure Machine Learning běží místně ve webovém prohlížeči klienta a komunikuje přímo s výchozím úložištěm pracovního prostoru. Vytvoření privátního koncového bodu nebo koncového bodu služby (pro výchozí účet úložiště) ve virtuální síti klienta zajišťuje, aby klient mohl komunikovat s účtem úložiště.

Pokud má přidružený účet úložiště Azure zakázaný přístup k veřejné síti, ujistěte se, že privátní koncový bod vytvořený v klientské virtuální síti má roli Čtenář spravované identitě pracovního prostoru. To platí pro privátní koncové body blogu i úložiště souborů. Tato role není nutná pro privátní koncový bod vytvořený spravovanou virtuální sítí.

Další informace o vytvoření privátního koncového bodu nebo koncového bodu služby najdete v článcích o privátním připojení k účtu úložiště a koncovým bodům služby.

Zabezpečené přidružené prostředky

Pokud do virtuální sítě přidáte následující služby pomocí koncového bodu služby nebo privátního koncového bodu (zakázáním veřejného přístupu), povolte důvěryhodným služby Microsoft přístup k těmto službám:

Služba Informace o koncovém bodu Povolit důvěryhodné informace
Azure Key Vault Privátní koncový bod koncového bodu
služby
Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall
Účet služby Azure Storage Privátní koncový bod služby a privátního koncového bodu
Udělení přístupu z instancí
prostředků Azure nebo
udělení přístupu k důvěryhodným službám Azure
Azure Container Registry Privátní koncový bod Povolit důvěryhodné služby

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

  • Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet. Vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Learning.

  • Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků je používán pracovním prostorem při vytváření privátních koncových bodů pro spravovanou virtuální síť.

    Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

  • Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
  • Azure CLI a ml rozšíření azure CLI. Další informace najdete v tématu Instalace, nastavení a použití rozhraní příkazového řádku (v2).

    Tip

    Spravovaná virtuální síť Azure Machine Learning byla představena 23. května 2023. Pokud máte starší verzi rozšíření ml, možná ji budete muset aktualizovat pro příklady v tomto článku. Pokud chcete rozšíření aktualizovat, použijte následující příkaz Azure CLI:

    az extension update -n ml
    
  • Příklady rozhraní příkazového řádku v tomto článku předpokládají, že používáte prostředí Bash (nebo kompatibilní). Například ze systému Linux nebo Subsystém Windows pro Linux.

  • Příklady Azure CLI v tomto článku slouží ws k reprezentaci názvu pracovního prostoru a rg k reprezentaci názvu skupiny prostředků. Tyto hodnoty podle potřeby změňte při použití příkazů s předplatným Azure.

Poznámka:

Pokud používáte pracovní prostor UAI, nezapomeňte do své identity přidat roli schvalovatele připojení k síti Azure AI Enterprise. Další informace najdete v tématu Spravovaná identita přiřazená uživatelem.

Konfigurace spravované virtuální sítě pro povolení odchozích přenosů z internetu

Tip

Vytvoření spravované virtuální sítě se odloží až do ručního spuštění výpočetního prostředku nebo jeho zřízení. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Další informace najdete v tématu Ruční zřízení sítě.

Důležité

Pokud plánujete odesílat bezserverové úlohy Sparku, musíte ručně spustit zřizování. Další informace najdete v části Konfigurace pro bezserverové úlohy Sparku.

Ke konfiguraci spravované virtuální sítě, která umožňuje odchozí komunikaci na internetu, můžete použít --managed-network allow_internet_outbound parametr nebo konfigurační soubor YAML, který obsahuje následující položky:

managed_network:
  isolation_mode: allow_internet_outbound

Můžete také definovat pravidla odchozích přenosů do jiných služeb Azure, na které pracovní prostor spoléhá. Tato pravidla definují privátní koncové body , které umožňují prostředku Azure bezpečně komunikovat se spravovanou virtuální sítí. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Spravovanou virtuální síť můžete nakonfigurovat pomocí az ml workspace create příkazů nebo az ml workspace update příkazů:

  • Vytvořte nový pracovní prostor:

    Následující příklad vytvoří nový pracovní prostor. Parametr --managed-network allow_internet_outbound nakonfiguruje spravovanou virtuální síť pro pracovní prostor:

    az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
    

    Pokud chcete místo toho vytvořit pracovní prostor pomocí souboru YAML, použijte --file parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:

    az ml workspace create --file workspace.yaml --resource-group rg --name ws
    

    Následující příklad YAML definuje pracovní prostor se spravovanou virtuální sítí:

    name: myworkspace
    location: EastUS
    managed_network:
      isolation_mode: allow_internet_outbound
    
  • Aktualizace existujícího pracovního prostoru:

    Upozorňující

    Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

    Následující příklad aktualizuje existující pracovní prostor. Parametr --managed-network allow_internet_outbound nakonfiguruje spravovanou virtuální síť pro pracovní prostor:

    az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
    

    Pokud chcete aktualizovat existující pracovní prostor pomocí souboru YAML, použijte --file parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:

    az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
    

    Následující příklad YAML definuje spravovanou virtuální síť pro pracovní prostor. Ukazuje také, jak přidat připojení privátního koncového bodu k prostředku používanému pracovním prostorem; v tomto příkladu privátní koncový bod úložiště objektů blob:

    name: myworkspace
    managed_network:
      isolation_mode: allow_internet_outbound
      outbound_rules:
      - name: added-perule
        destination:
          service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
          spark_enabled: true
          subresource_target: blob
        type: private_endpoint
    

Konfigurace spravované virtuální sítě pro povolení pouze schválených odchozích přenosů

Tip

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Pokud jste nakonfigurovali odchozí pravidla plně kvalifikovaného názvu domény, první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Další informace najdete v tématu Ruční zřízení sítě.

Důležité

Pokud plánujete odesílat bezserverové úlohy Sparku, musíte ručně spustit zřizování. Další informace najdete v části Konfigurace pro bezserverové úlohy Sparku.

Ke konfiguraci spravované virtuální sítě, která umožňuje pouze schválenou odchozí komunikaci, můžete použít --managed-network allow_only_approved_outbound parametr nebo konfigurační soubor YAML, který obsahuje následující položky:

managed_network:
  isolation_mode: allow_only_approved_outbound

Můžete také definovat pravidla odchozích přenosů, která definují schválenou odchozí komunikaci. Odchozí pravidlo lze vytvořit pro typ , service_tagfqdna private_endpoint. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob, značky služby do Azure Data Factory a plně kvalifikovaného názvu domény pro pypi.org:

Důležité

  • Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na allow_only_approved_outbound.
  • Pokud přidáte pravidla odchozích přenosů, Microsoft nemůže zaručit exfiltraci dat.

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Spravovanou virtuální síť můžete nakonfigurovat pomocí az ml workspace create příkazů nebo az ml workspace update příkazů:

  • Vytvořte nový pracovní prostor:

    Následující příklad používá --managed-network allow_only_approved_outbound parametr ke konfiguraci spravované virtuální sítě:

    az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
    

    Následující soubor YAML definuje pracovní prostor se spravovanou virtuální sítí:

    name: myworkspace
    location: EastUS
    managed_network:
      isolation_mode: allow_only_approved_outbound
    

    Pokud chcete vytvořit pracovní prostor pomocí souboru YAML, použijte parametr --file :

    az ml workspace create --file workspace.yaml --resource-group rg --name ws
    
  • Aktualizace existujícího pracovního prostoru

    Upozorňující

    Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

    Následující příklad používá --managed-network allow_only_approved_outbound parametr ke konfiguraci spravované virtuální sítě pro existující pracovní prostor:

    az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
    

    Následující soubor YAML definuje spravovanou virtuální síť pro pracovní prostor. Ukazuje také, jak přidat schválený odchozí provoz do spravované virtuální sítě. V tomto příkladu se přidá odchozí pravidlo pro obě značky služby:

    Upozorňující

    Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete v tématu Ceny.

    name: myworkspace_dep
    managed_network:
      isolation_mode: allow_only_approved_outbound
      outbound_rules:
      - name: added-servicetagrule
        destination:
          port_ranges: 80, 8080
          protocol: TCP
          service_tag: DataFactory
        type: service_tag
      - name: add-fqdnrule
        destination: 'pypi.org'
        type: fqdn
      - name: added-perule
        destination:
          service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
          spark_enabled: true
          subresource_target: blob
        type: private_endpoint
    

Konfigurace pro bezserverové úlohy Sparku

Tip

Kroky v této části jsou potřeba jenom v případě, že plánujete odesílat bezserverové úlohy Sparku. Pokud neodesíláte bezserverové úlohy Sparku, můžete tuto část přeskočit.

Pokud chcete povolit bezserverové úlohy Sparku pro spravovanou virtuální síť, musíte provést následující akce:

  • Nakonfigurujte spravovanou virtuální síť pro pracovní prostor a přidejte odchozí privátní koncový bod pro účet úložiště Azure.
  • Jakmile nakonfigurujete spravovanou virtuální síť, zřiďte ji a označte ji příznakem pro povolení úloh Sparku.
  1. Nakonfigurujte odchozí privátní koncový bod.

    Pomocí souboru YAML definujte konfiguraci spravované virtuální sítě a přidejte privátní koncový bod pro účet služby Azure Storage. spark_enabled: trueSada také:

    Tip

    Tento příklad je určený pro spravovanou virtuální síť nakonfigurovanou tak isolation_mode: allow_internet_outbound , aby umožňovala internetový provoz. Pokud chcete povolit pouze schválený odchozí provoz, použijte isolation_mode: allow_only_approved_outbound.

    name: myworkspace
    managed_network:
      isolation_mode: allow_internet_outbound
      outbound_rules:
      - name: added-perule
        destination:
          service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
          spark_enabled: true
          subresource_target: blob
        type: private_endpoint
    

    Konfigurační soubor YAML můžete použít s az ml workspace update příkazem zadáním --file parametru a názvu souboru YAML. Například následující příkaz aktualizuje existující pracovní prostor pomocí souboru YAML s názvem workspace_pe.yml:

    az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
    

    Poznámka:

    Pokud je povolená možnost Povolit pouze schválené odchozí přenosy (isolation_mode: allow_only_approved_outbound), nepodaří se nainstalovat závislosti balíčku Conda definované v konfiguraci relace Sparku. Pokud chcete tento problém vyřešit, nahrajte do účtu úložiště Azure samostatné kolo balíčku Python bez externích závislostí a vytvořte do tohoto účtu úložiště privátní koncový bod. Jako parametr v úloze Sparku použijte cestu ke kolu py_files balíčku Pythonu. Nastavení odchozího pravidla plně kvalifikovaného názvu domény nebude tento problém obejít, protože Spark nepodporuje šíření pravidel plně kvalifikovaného názvu domény.

  2. Zřiďte spravovanou virtuální síť.

    Poznámka:

    Pokud má váš pracovní prostor povolený přístup k veřejné síti, musíte ho před zřízením spravované virtuální sítě zakázat. Pokud při zřizování spravované virtuální sítě nezakážete přístup k veřejné síti, nemusí se privátní koncové body pro pracovní prostor vytvářet automaticky ve spravované virtuální síti. Jinak byste po zřízení museli ručně nakonfigurovat odchozí pravidlo privátního koncového bodu pro pracovní prostor.

    Následující příklad ukazuje, jak pomocí parametru zřídit spravovanou virtuální síť pro bezserverové úlohy Sparku --include-spark .

    az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
    

Ruční zřízení spravované virtuální sítě

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetní instance. Když spoléháte na automatické zřizování, může vytvoření první výpočetní instance trvat přibližně 30 minut , protože síť zřizuje. Pokud jste nakonfigurovali pravidla odchozích přenosů plně kvalifikovaného názvu domény (k dispozici pouze v povoleném režimu), první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Pokud máte ve spravované síti zřízenou velkou sadu odchozích pravidel, může trvat déle, než se zřizování dokončí. Vyšší doba zřizování může způsobit vypršení časového limitu prvního vytvoření výpočetní instance.

Pokud chcete zkrátit dobu čekání a vyhnout se potenciálním chybám časového limitu, doporučujeme spravovanou síť zřídit ručně. Pak počkejte, až se zřizování dokončí, než vytvoříte výpočetní instanci.

Případně můžete pomocí příznaku provision_network_now zřídit spravovanou síť jako součást vytváření pracovního prostoru. Tento příznak je ve verzi Preview.

Poznámka:

Pokud chcete vytvořit online nasazení, musíte spravovanou síť zřídit ručně nebo nejprve vytvořit výpočetní instanci, která ji automaticky zřídí.

Následující příklad ukazuje, jak zřídit spravovanou virtuální síť během vytváření pracovního prostoru. Příznak --provision-network-now je ve verzi Preview.

az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now

Následující příklad ukazuje, jak ručně zřídit spravovanou virtuální síť.

Tip

Pokud plánujete odesílat úlohy Sparku bez serveru, přidejte parametr --include-spark .

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Pokud chcete ověřit, že se zřizování dokončilo, použijte následující příkaz:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Konfigurace sestavení imagí

Pokud je azure Container Registry pro váš pracovní prostor za virtuální sítí, nedá se použít k přímému sestavování imagí Dockeru. Místo toho nakonfigurujte pracovní prostor tak, aby k vytváření imagí používal výpočetní cluster nebo výpočetní instanci.

Důležité

Výpočetní prostředek používaný k sestavení imagí Dockeru musí mít přístup k úložištím balíčků, která se používají k trénování a nasazování vašich modelů. Pokud používáte síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy, možná budete muset přidat pravidla, která umožňují přístup k veřejným úložišťm nebo používat privátní balíčky Pythonu.

Pokud chcete aktualizovat pracovní prostor tak, aby k sestavení imagí Dockeru používal výpočetní cluster nebo výpočetní instanci, použijte az ml workspace update příkaz s parametrem --image-build-compute :

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Správa odchozích pravidel

Pokud chcete zobrazit seznam pravidel odchozích přenosů spravované virtuální sítě pro pracovní prostor, použijte následující příkaz:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Pokud chcete zobrazit podrobnosti pravidla odchozích přenosů spravované virtuální sítě, použijte následující příkaz:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Pokud chcete ze spravované virtuální sítě odebrat odchozí pravidlo, použijte následující příkaz:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Seznam požadovaných pravidel

Privátní koncové body:

  • Pokud je Allow internet outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro pracovní prostor a přidružené prostředky s zakázaným přístupem k veřejné síti (Key Vault, účet úložiště, Container Registry, pracovní prostor Azure Machine Learning).
  • Pokud je Allow only approved outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro pracovní prostor a přidružené prostředky bez ohledu na režim přístupu k veřejné síti pro tyto prostředky (Key Vault, účet úložiště, container Registry, pracovní prostor Azure Machine Learning).
  • Tato pravidla se automaticky přidají do spravované virtuální sítě.

Aby služba Azure Machine Learning fungovala normálně, existuje sada požadovaných značek služeb, které se vyžadují v nastavení spravované nebo vlastní virtuální sítě. Neexistují žádné alternativy k nahrazení určitých požadovaných značek služeb. Níže je tabulka každé požadované značky služby a jejího účelu ve službě Azure Machine Learning.

Pravidlo značky služby Příchozí nebo odchozí Účel
AzureMachineLearning Příchozí Vytvoření, aktualizace a odstranění výpočetní instance nebo clusteru služby Azure Machine Learning
AzureMachineLearning Odchozí Použití služeb Azure Machine Learning. Python IntelliSense v poznámkových blocích používá port 18881. Vytvoření, aktualizace a odstranění výpočetní instance služby Azure Machine Learning používá port 5831.
AzureActiveDirectory Odchozí Ověřování pomocí Microsoft Entra ID.
BatchNodeManagement.region Odchozí Komunikace s back-endem služby Azure Batch pro výpočetní instance a clustery služby Azure Machine Learning
AzureResourceManager Odchozí Vytváření prostředků Azure pomocí azure Machine Learning, Azure CLI a sady Azure Machine Learning SDK
AzureFrontDoor.FirstParty Odchozí Získejte přístup k imagím Dockeru od Microsoftu.
MicrosoftContainerRegistry Odchozí Získejte přístup k imagím Dockeru od Microsoftu. Nastavení směrovače Azure Machine Learning pro službu Azure Kubernetes Service
AzureMonitor Odchozí Používá se k protokolování monitorování a metrik do služby Azure Monitor. Potřeba je pouze v případě, že jste pro pracovní prostor nezabezpečili Azure Monitor. Tento odchozí provoz se také používá k protokolování informací pro incidenty podpory.
VirtualNetwork Odchozí Vyžaduje se, když jsou ve virtuální síti nebo v partnerských virtuálních sítích přítomny privátní koncové body.

Poznámka:

Značky služeb, protože hranice zabezpečení POUZE nestačí. Pro izolaci na úrovni tenanta používejte privátní koncové body, pokud je to možné.

Seznam pravidel konkrétních odchozích přenosů scénáře

Scénář: Přístup k veřejným balíčkům strojového učení

Pokud chcete povolit instalaci balíčků Pythonu pro trénování a nasazení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolují provoz do následujících názvů hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

Poznámka:

Nejedná se o úplný seznam hostitelů požadovaných pro všechny prostředky Pythonu na internetu, pouze nejčastěji používané. Pokud například potřebujete přístup k úložišti GitHub nebo jinému hostiteli, musíte v takovém případě identifikovat a přidat požadované hostitele.

Název hostitele Účel
anaconda.com
*.anaconda.com
Slouží k instalaci výchozích balíčků.
*.anaconda.org Slouží k získání dat úložiště.
pypi.org Používá se k výpisu závislostí z výchozího indexu( pokud existuje) a index se nepřepíše uživatelským nastavením. Pokud je index přepsán, musíte také povolit *.pythonhosted.org.
pytorch.org
*.pytorch.org
Používá se v některých příkladech založených na PyTorchu.
*.tensorflow.org Používá se v některých příkladech založených na Tensorflow.

Scénář: Použití desktopové nebo webové aplikace Visual Studio Code s výpočetní instancí

Pokud plánujete používat Visual Studio Code se službou Azure Machine Learning, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • vscode.download.prss.microsoft.com

Scénář: Použití dávkových koncových bodů nebo ParallelRunStep

Pokud plánujete používat koncové body batch služby Azure Machine Learning pro nasazení nebo ParallelRunStep, přidejte odchozí pravidla privátních koncových bodů , která povolí provoz do následujících dílčích prostředků pro výchozí účet úložiště:

  • queue
  • table
  • Privátní koncový bod do služeb Azure AI
  • Privátní koncový bod do služby Azure AI Search

Scénář: Použití modelů HuggingFace

Pokud plánujete používat modely HuggingFace se službou Azure Machine Learning, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cdn.auth0.com
  • cdn-lfs.huggingface.co

Scénář: Povolení přístupu z vybraných IP adres

Pokud chcete povolit přístup z konkrétních IP adres, použijte následující akce:

  1. Přidejte pravidlo odchozího privátního koncového bodu , které povolí provoz do pracovního prostoru Azure Machine Learning. Toto pravidlo umožňuje výpočetním instancím vytvořeným ve spravované virtuální síti přístup k pracovnímu prostoru.

    Tip

    Toto pravidlo nemůžete přidat během vytváření pracovního prostoru, protože tento pracovní prostor ještě neexistuje.

  2. Povolte přístup k pracovnímu prostoru přes veřejnou síť. Další informace najdete v tématu s povoleným přístupem k veřejné síti.

  3. Přidejte ip adresy do brány firewall pro Azure Machine Learning. Další informace najdete v tématu Povolení přístupu pouze z rozsahů IP adres.

    Poznámka:

    V tuto chvíli jsou podporovány pouze adresy IPv4.

Další informace najdete v tématu Konfigurace privátního propojení.

Privátní koncové body

Privátní koncové body se v současné době podporují pro následující služby Azure:

  • Azure Machine Learning
  • Registry služby Azure Machine Learning
  • Azure Storage (všechny podtypy prostředků)
  • Azure Container Registry
  • Azure Key Vault
  • Služby Azure AI
  • Azure AI Search (dříve Cognitive Search)
  • Azure SQL Server
  • Azure Data Factory
  • Azure Cosmos DB (všechny podtypy prostředků)
  • Azure Event Hubs
  • Azure Redis Cache
  • Azure Databricks
  • Azure Database for MariaDB
  • Jednoúčelový server Azure Database for PostgreSQL
  • Flexibilní server Azure Database for PostgreSQL
  • Azure Database for MySQL
  • Azure API Management

Při vytváření privátního koncového bodu zadáte typ prostředku a podsourc , ke kterému se koncový bod připojí. Některé prostředky mají více typů a podsourců. Další informace najdete v privátním koncovém bodu.

Když vytvoříte privátní koncový bod pro prostředky závislostí služby Azure Machine Learning, jako jsou Azure Storage, Azure Container Registry a Azure Key Vault, může být prostředek v jiném předplatném Azure. Prostředek však musí být ve stejném tenantovi jako pracovní prostor Azure Machine Learning.

Důležité

Při konfiguraci privátních koncových bodů pro virtuální síť spravovanou službou Azure Machine Learning se privátní koncové body vytvoří pouze při vytvoření prvního výpočetního objektu nebo při vynucení zřizování spravované virtuální sítě. Další informace o vynucení zřizování spravované virtuální sítě najdete v tématu Konfigurace pro úlohy Spark bez serveru.

Vyberte verzi služby Azure Firewall pro povolené pouze schválené odchozí přenosy (Preview).

Azure Firewall se nasadí v případě, že se vytvoří odchozí pravidlo plně kvalifikovaného názvu domény v povoleném režimu jenom pro odchozí komunikaci . Poplatky za Azure Firewall jsou součástí fakturace. Ve výchozím nastavení se vytvoří standardní verze AzureFirewallu. Volitelně můžete vybrat použití základní verze. Podle potřeby můžete změnit verzi brány firewall. Pokud chcete zjistit, která verze je pro vás nejvhodnější, přejděte na výběr správné verze služby Azure Firewall.

Důležité

Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Další informace o cenách najdete v tématu Ceny služby Azure Firewall a ceny standardní verze.

Na následujících kartách se dozvíte, jak vybrat verzi brány firewall pro spravovanou virtuální síť.

Ke konfiguraci verze brány firewall z rozhraní příkazového řádku použijte soubor YAML a zadejte firewall_sku. Následující příklad ukazuje soubor YAML, který nastaví skladovou položku brány firewall na basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Ceny

Funkce spravované virtuální sítě azure Machine Learning je bezplatná. Poplatky se vám ale účtují za následující prostředky, které používá spravovaná virtuální síť:

  • Azure Private Link – Privátní koncové body používané k zabezpečení komunikace mezi spravovanou virtuální sítí a prostředky Azure závisí na službě Azure Private Link. Další informace o cenách najdete v tématu Ceny služby Azure Private Link.

  • Pravidla odchozích přenosů plně kvalifikovaného názvu domény – pravidla odchozích přenosů plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Ve výchozím nastavení se používá standardní verze služby Azure Firewall. Informace o výběru základní verze najdete v tématu Výběr verze služby Azure Firewall.

    Důležité

    Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Další informace o cenách najdete v tématu Ceny služby Azure Firewall a ceny standardní verze.

Omezení

  • Jakmile povolíte izolaci spravované virtuální sítě vašeho pracovního prostoru (povolíte odchozí provoz přes internet nebo povolíte jenom schválené odchozí přenosy), nemůžete ji zakázat.
  • Spravovaná virtuální síť používá pro přístup k vašim privátním prostředkům připojení privátního koncového bodu. Privátní koncový bod a koncový bod služby nemůžete mít současně pro prostředky Azure, jako je účet úložiště. Doporučujeme ve všech scénářích. používat privátní koncové body.
  • Spravovaná virtuální síť se odstraní při odstranění pracovního prostoru. Při odstraňování prostředků Azure Machine Learning ve vašem předplatném Azure zakažte všechny zámky nebo zámky prostředků, které brání odstranění prostředků, které jste vytvořili, nebo byly vytvořeny Microsoftem pro spravovanou virtuální síť.
  • Ochrana před exfiltrací dat je automaticky povolená pro jediný schválený odchozí režim. Pokud do plně kvalifikovaných názvů domén přidáte další pravidla odchozích přenosů, Microsoft nezaručuje, že jste chráněni před exfiltrací dat do těchto odchozích cílů.
  • Vytvoření výpočetního clusteru v jiné oblasti než pracovní prostor se při použití spravované virtuální sítě nepodporuje.
  • Kubernetes a připojené virtuální počítače se nepodporují ve spravované virtuální síti Azure Machine Learning.
  • Použití odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady na spravovanou virtuální síť, protože pravidla plně kvalifikovaného názvu domény používají službu Azure Firewall. Další informace najdete na stránce s cenami.
  • Odchozí pravidla plně kvalifikovaného názvu domény podporují jenom porty 80 a 443.
  • Pokud je vaše výpočetní instance ve spravované síti a je nakonfigurovaná pro žádnou veřejnou IP adresu, připojte se k ní pomocí protokolu SSH pomocí příkazu az ml compute connect-ssh.
  • Při použití spravované virtuální sítě nemůžete nasadit výpočetní prostředky ve vlastní virtuální síti. Výpočetní prostředky je možné vytvořit pouze ve spravované virtuální síti.
  • Izolace spravované sítě nemůže navázat privátní připojení ze spravované virtuální sítě k místním prostředkům uživatele. Seznam podporovaných privátních připojení najdete v tématu Privátní koncové body.
  • Pokud je vaše spravovaná síť nakonfigurovaná tak, aby povolovala pouze schválené odchozí přenosy, nemůžete pro přístup k účtům Azure Storage použít pravidlo plně kvalifikovaného názvu domény. Místo toho musíte použít privátní koncový bod.
  • Ujistěte se, že chcete povolit privátní koncové body spravované Microsoftem vytvořené pro spravovanou virtuální síť ve vašich vlastních zásadách.

Migrace výpočetních prostředků

Pokud máte existující pracovní prostor a chcete pro ni povolit spravovanou virtuální síť, aktuálně neexistuje žádná podporovaná cesta migrace pro stávající spravované výpočetní prostředky. Po povolení spravované virtuální sítě budete muset odstranit všechny existující spravované výpočetní prostředky a znovu je vytvořit. Následující seznam obsahuje výpočetní prostředky, které je potřeba odstranit a znovu vytvořit:

  • Výpočtový cluster
  • Výpočetní instance
  • Spravované online koncové body

Další kroky