Izolace spravované virtuální sítě pracovního prostoru
PLATÍ PRO:Rozšíření Azure CLI ml v2 (aktuální)Python SDK azure-ai-ml v2 (aktuální)
Azure Machine Learning poskytuje podporu izolace spravované virtuální sítě (spravované virtuální sítě). Izolace spravované virtuální sítě zjednodušuje a automatizuje konfiguraci izolace sítě pomocí integrované virtuální sítě spravované službou Azure Machine Learning na úrovni pracovního prostoru. Spravovaná virtuální síť zabezpečuje spravované prostředky služby Azure Machine Learning, jako jsou výpočetní instance, výpočetní clustery, bezserverové výpočetní prostředky a spravované online koncové body.
Zabezpečení pracovního prostoru pomocí spravované sítě poskytuje izolaci sítě pro odchozí přístup z pracovního prostoru a spravovaných výpočetních prostředků. Virtuální síť Azure, kterou vytvoříte a spravujete, se používá k zajištění příchozího přístupu izolace sítě k pracovnímu prostoru. Například privátní koncový bod pro pracovní prostor se vytvoří ve vaší virtuální síti Azure. Každý klient, který se připojuje k virtuální síti, má přístup k pracovnímu prostoru prostřednictvím privátního koncového bodu. Při spouštění úloh na spravovaných výpočetních prostředcích omezuje spravovaná síť přístup k výpočetním prostředkům.
Architektura spravované virtuální sítě
Když povolíte izolaci spravované virtuální sítě, vytvoří se pro tento pracovní prostor spravovaná virtuální síť. Spravované výpočetní prostředky, které vytvoříte pro pracovní prostor, automaticky používají tuto spravovanou virtuální síť. Spravovaná virtuální síť může používat privátní koncové body pro prostředky Azure, které používají váš pracovní prostor, jako je Azure Storage, Azure Key Vault a Azure Container Registry.
Pro odchozí provoz ze spravované virtuální sítě existují dva různé režimy konfigurace:
Tip
Bez ohledu na režim odchozích přenosů, který používáte, je možné nakonfigurovat provoz do prostředků Azure tak, aby používal privátní koncový bod. Můžete například povolit veškerý odchozí provoz na internet, ale omezit komunikaci s prostředky Azure přidáním odchozích pravidel pro prostředky.
Režim odchozích přenosů | Popis | Scénáře |
---|---|---|
Povolit odchozí připojení k internetu | Povolte veškerý odchozí provoz z internetu ze spravované virtuální sítě. | Chcete neomezený přístup k prostředkům strojového učení na internetu, jako jsou balíčky Pythonu nebo předem natrénované modely.1 |
Povolit pouze schválené odchozí přenosy | Odchozí provoz je povolený zadáním značek služeb. | * Chcete minimalizovat riziko exfiltrace dat, ale musíte připravit všechny požadované artefakty strojového učení ve vašem privátním prostředí. * Chcete nakonfigurovat odchozí přístup ke schválenému seznamu služeb, značek služeb nebo plně kvalifikovaných názvů domén. |
Zakázáno | Příchozí a odchozí provoz není omezený nebo k ochraně prostředků používáte vlastní virtuální síť Azure. | Chcete veřejný příchozí a odchozí provoz z pracovního prostoru nebo zpracováváte izolaci sítě s vlastní virtuální sítí Azure. |
1: Pravidla odchozích přenosů můžete použít s povoleným režimem odchozích přenosů , abyste dosáhli stejného výsledku jako použití možnosti povolit odchozí připojení k internetu. Rozdíly jsou:
- Musíte přidat pravidla pro každé odchozí připojení, které potřebujete povolit.
- Přidání odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady , protože tento typ pravidla používá Službu Azure Firewall. Další informace najdete na stránce s cenami
- Výchozí pravidla pro povolení pouze schválených odchozích přenosů jsou navržená tak, aby minimalizovala riziko exfiltrace dat. Všechna pravidla odchozích přenosů, která přidáte, můžou zvýšit riziko.
Spravovaná virtuální síť je předem nakonfigurovaná s požadovanými výchozími pravidly. Je také nakonfigurovaná pro připojení privátních koncových bodů k vašemu pracovnímu prostoru, výchozímu úložišti pracovního prostoru, registru kontejneru a trezoru klíčů, pokud jsou nakonfigurované jako soukromé nebo je režim izolace pracovního prostoru nastavený tak, aby umožňoval pouze schválené odchozí přenosy. Po výběru režimu izolace je potřeba vzít v úvahu jenom další odchozí požadavky, které možná budete muset přidat.
Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala odchozí provoz internetu:
Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy:
Poznámka:
V této konfiguraci se úložiště, trezor klíčů a registr kontejnerů používaný pracovním prostorem označí jako privátní. Vzhledem k tomu, že jsou označené jako soukromé, privátní koncový bod se používá ke komunikaci s nimi.
Poznámka:
Jakmile je spravovaný pracovní prostor virtuální sítě nakonfigurovaný tak, aby umožňoval odchozí provoz internetu, nejde pracovní prostor překonfigurovat tak, aby byl zakázaný. Podobně platí, že jakmile je spravovaný pracovní prostor virtuální sítě nakonfigurovaný tak, aby umožňoval pouze schválené odchozí přenosy, nedá se pracovní prostor překonfigurovat tak, aby umožňoval odchozí provoz internetu. Mějte na paměti při výběru režimu izolace pro spravovanou virtuální síť ve vašem pracovním prostoru.
Studio Azure Machine Learning
Pokud chcete použít integrovaný poznámkový blok nebo vytvořit datové sady ve výchozím účtu úložiště ze studia, potřebuje váš klient přístup k výchozímu účtu úložiště. Vytvořte privátní koncový bod nebo koncový bod služby pro výchozí účet úložiště ve virtuální síti Azure, kterou klienti používají.
Část studio Azure Machine Learning běží místně ve webovém prohlížeči klienta a komunikuje přímo s výchozím úložištěm pracovního prostoru. Vytvoření privátního koncového bodu nebo koncového bodu služby (pro výchozí účet úložiště) ve virtuální síti klienta zajišťuje, aby klient mohl komunikovat s účtem úložiště.
Pokud má přidružený účet úložiště Azure zakázaný přístup k veřejné síti, ujistěte se, že privátní koncový bod vytvořený v klientské virtuální síti má roli Čtenář spravované identitě pracovního prostoru. To platí pro privátní koncové body blogu i úložiště souborů. Tato role není nutná pro privátní koncový bod vytvořený spravovanou virtuální sítí.
Další informace o vytvoření privátního koncového bodu nebo koncového bodu služby najdete v článcích o privátním připojení k účtu úložiště a koncovým bodům služby.
Zabezpečené přidružené prostředky
Pokud do virtuální sítě přidáte následující služby pomocí koncového bodu služby nebo privátního koncového bodu (zakázáním veřejného přístupu), povolte důvěryhodným služby Microsoft přístup k těmto službám:
Služba | Informace o koncovém bodu | Povolit důvěryhodné informace |
---|---|---|
Azure Key Vault | Privátní koncový bod koncového bodu služby |
Povolit důvěryhodným služby Microsoft obejít tuto bránu firewall |
Účet služby Azure Storage | Privátní koncový bod služby a privátního koncového bodu |
Udělení přístupu z instancí prostředků Azure nebo udělení přístupu k důvěryhodným službám Azure |
Azure Container Registry | Privátní koncový bod | Povolit důvěryhodné služby |
Požadavky
Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:
Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet. Vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Learning.
Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků je používán pracovním prostorem při vytváření privátních koncových bodů pro spravovanou virtuální síť.
Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.
Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure CLI a
ml
rozšíření azure CLI. Další informace najdete v tématu Instalace, nastavení a použití rozhraní příkazového řádku (v2).Tip
Spravovaná virtuální síť Azure Machine Learning byla představena 23. května 2023. Pokud máte starší verzi rozšíření ml, možná ji budete muset aktualizovat pro příklady v tomto článku. Pokud chcete rozšíření aktualizovat, použijte následující příkaz Azure CLI:
az extension update -n ml
Příklady rozhraní příkazového řádku v tomto článku předpokládají, že používáte prostředí Bash (nebo kompatibilní). Například ze systému Linux nebo Subsystém Windows pro Linux.
Příklady Azure CLI v tomto článku slouží
ws
k reprezentaci názvu pracovního prostoru arg
k reprezentaci názvu skupiny prostředků. Tyto hodnoty podle potřeby změňte při použití příkazů s předplatným Azure.
Poznámka:
Pokud používáte pracovní prostor UAI, nezapomeňte do své identity přidat roli schvalovatele připojení k síti Azure AI Enterprise. Další informace najdete v tématu Spravovaná identita přiřazená uživatelem.
Konfigurace spravované virtuální sítě pro povolení odchozích přenosů z internetu
Tip
Vytvoření spravované virtuální sítě se odloží až do ručního spuštění výpočetního prostředku nebo jeho zřízení. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Další informace najdete v tématu Ruční zřízení sítě.
Důležité
Pokud plánujete odesílat bezserverové úlohy Sparku, musíte ručně spustit zřizování. Další informace najdete v části Konfigurace pro bezserverové úlohy Sparku.
Ke konfiguraci spravované virtuální sítě, která umožňuje odchozí komunikaci na internetu, můžete použít --managed-network allow_internet_outbound
parametr nebo konfigurační soubor YAML, který obsahuje následující položky:
managed_network:
isolation_mode: allow_internet_outbound
Můžete také definovat pravidla odchozích přenosů do jiných služeb Azure, na které pracovní prostor spoléhá. Tato pravidla definují privátní koncové body , které umožňují prostředku Azure bezpečně komunikovat se spravovanou virtuální sítí. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob.
managed_network:
isolation_mode: allow_internet_outbound
outbound_rules:
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
Spravovanou virtuální síť můžete nakonfigurovat pomocí az ml workspace create
příkazů nebo az ml workspace update
příkazů:
Vytvořte nový pracovní prostor:
Následující příklad vytvoří nový pracovní prostor. Parametr
--managed-network allow_internet_outbound
nakonfiguruje spravovanou virtuální síť pro pracovní prostor:az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
Pokud chcete místo toho vytvořit pracovní prostor pomocí souboru YAML, použijte
--file
parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:az ml workspace create --file workspace.yaml --resource-group rg --name ws
Následující příklad YAML definuje pracovní prostor se spravovanou virtuální sítí:
name: myworkspace location: EastUS managed_network: isolation_mode: allow_internet_outbound
Aktualizace existujícího pracovního prostoru:
Upozorňující
Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.
Následující příklad aktualizuje existující pracovní prostor. Parametr
--managed-network allow_internet_outbound
nakonfiguruje spravovanou virtuální síť pro pracovní prostor:az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
Pokud chcete aktualizovat existující pracovní prostor pomocí souboru YAML, použijte
--file
parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
Následující příklad YAML definuje spravovanou virtuální síť pro pracovní prostor. Ukazuje také, jak přidat připojení privátního koncového bodu k prostředku používanému pracovním prostorem; v tomto příkladu privátní koncový bod úložiště objektů blob:
name: myworkspace managed_network: isolation_mode: allow_internet_outbound outbound_rules: - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpoint
Konfigurace spravované virtuální sítě pro povolení pouze schválených odchozích přenosů
Tip
Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Pokud jste nakonfigurovali odchozí pravidla plně kvalifikovaného názvu domény, první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Další informace najdete v tématu Ruční zřízení sítě.
Důležité
Pokud plánujete odesílat bezserverové úlohy Sparku, musíte ručně spustit zřizování. Další informace najdete v části Konfigurace pro bezserverové úlohy Sparku.
Ke konfiguraci spravované virtuální sítě, která umožňuje pouze schválenou odchozí komunikaci, můžete použít --managed-network allow_only_approved_outbound
parametr nebo konfigurační soubor YAML, který obsahuje následující položky:
managed_network:
isolation_mode: allow_only_approved_outbound
Můžete také definovat pravidla odchozích přenosů, která definují schválenou odchozí komunikaci. Odchozí pravidlo lze vytvořit pro typ , service_tag
fqdn
a private_endpoint
. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob, značky služby do Azure Data Factory a plně kvalifikovaného názvu domény pro pypi.org
:
Důležité
- Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na
allow_only_approved_outbound
. - Pokud přidáte pravidla odchozích přenosů, Microsoft nemůže zaručit exfiltraci dat.
Upozorňující
Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- name: added-servicetagrule
destination:
port_ranges: 80, 8080
protocol: TCP
service_tag: DataFactory
type: service_tag
- name: add-fqdnrule
destination: 'pypi.org'
type: fqdn
- name: added-perule
destination:
service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
spark_enabled: true
subresource_target: blob
type: private_endpoint
Spravovanou virtuální síť můžete nakonfigurovat pomocí az ml workspace create
příkazů nebo az ml workspace update
příkazů:
Vytvořte nový pracovní prostor:
Následující příklad používá
--managed-network allow_only_approved_outbound
parametr ke konfiguraci spravované virtuální sítě:az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
Následující soubor YAML definuje pracovní prostor se spravovanou virtuální sítí:
name: myworkspace location: EastUS managed_network: isolation_mode: allow_only_approved_outbound
Pokud chcete vytvořit pracovní prostor pomocí souboru YAML, použijte parametr
--file
:az ml workspace create --file workspace.yaml --resource-group rg --name ws
Aktualizace existujícího pracovního prostoru
Upozorňující
Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.
Následující příklad používá
--managed-network allow_only_approved_outbound
parametr ke konfiguraci spravované virtuální sítě pro existující pracovní prostor:az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
Následující soubor YAML definuje spravovanou virtuální síť pro pracovní prostor. Ukazuje také, jak přidat schválený odchozí provoz do spravované virtuální sítě. V tomto příkladu se přidá odchozí pravidlo pro obě značky služby:
Upozorňující
Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete v tématu Ceny.
name: myworkspace_dep managed_network: isolation_mode: allow_only_approved_outbound outbound_rules: - name: added-servicetagrule destination: port_ranges: 80, 8080 protocol: TCP service_tag: DataFactory type: service_tag - name: add-fqdnrule destination: 'pypi.org' type: fqdn - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpoint
Konfigurace pro bezserverové úlohy Sparku
Tip
Kroky v této části jsou potřeba jenom v případě, že plánujete odesílat bezserverové úlohy Sparku. Pokud neodesíláte bezserverové úlohy Sparku, můžete tuto část přeskočit.
Pokud chcete povolit bezserverové úlohy Sparku pro spravovanou virtuální síť, musíte provést následující akce:
- Nakonfigurujte spravovanou virtuální síť pro pracovní prostor a přidejte odchozí privátní koncový bod pro účet úložiště Azure.
- Jakmile nakonfigurujete spravovanou virtuální síť, zřiďte ji a označte ji příznakem pro povolení úloh Sparku.
Nakonfigurujte odchozí privátní koncový bod.
Pomocí souboru YAML definujte konfiguraci spravované virtuální sítě a přidejte privátní koncový bod pro účet služby Azure Storage.
spark_enabled: true
Sada také:Tip
Tento příklad je určený pro spravovanou virtuální síť nakonfigurovanou tak
isolation_mode: allow_internet_outbound
, aby umožňovala internetový provoz. Pokud chcete povolit pouze schválený odchozí provoz, použijteisolation_mode: allow_only_approved_outbound
.name: myworkspace managed_network: isolation_mode: allow_internet_outbound outbound_rules: - name: added-perule destination: service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME> spark_enabled: true subresource_target: blob type: private_endpoint
Konfigurační soubor YAML můžete použít s
az ml workspace update
příkazem zadáním--file
parametru a názvu souboru YAML. Například následující příkaz aktualizuje existující pracovní prostor pomocí souboru YAML s názvemworkspace_pe.yml
:az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
Poznámka:
Pokud je povolená možnost Povolit pouze schválené odchozí přenosy (
isolation_mode: allow_only_approved_outbound
), nepodaří se nainstalovat závislosti balíčku Conda definované v konfiguraci relace Sparku. Pokud chcete tento problém vyřešit, nahrajte do účtu úložiště Azure samostatné kolo balíčku Python bez externích závislostí a vytvořte do tohoto účtu úložiště privátní koncový bod. Jako parametr v úloze Sparku použijte cestu ke kolupy_files
balíčku Pythonu. Nastavení odchozího pravidla plně kvalifikovaného názvu domény nebude tento problém obejít, protože Spark nepodporuje šíření pravidel plně kvalifikovaného názvu domény.Zřiďte spravovanou virtuální síť.
Poznámka:
Pokud má váš pracovní prostor povolený přístup k veřejné síti, musíte ho před zřízením spravované virtuální sítě zakázat. Pokud při zřizování spravované virtuální sítě nezakážete přístup k veřejné síti, nemusí se privátní koncové body pro pracovní prostor vytvářet automaticky ve spravované virtuální síti. Jinak byste po zřízení museli ručně nakonfigurovat odchozí pravidlo privátního koncového bodu pro pracovní prostor.
Následující příklad ukazuje, jak pomocí parametru zřídit spravovanou virtuální síť pro bezserverové úlohy Sparku
--include-spark
.az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
Ruční zřízení spravované virtuální sítě
Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetní instance. Když spoléháte na automatické zřizování, může vytvoření první výpočetní instance trvat přibližně 30 minut , protože síť zřizuje. Pokud jste nakonfigurovali pravidla odchozích přenosů plně kvalifikovaného názvu domény (k dispozici pouze v povoleném režimu), první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Pokud máte ve spravované síti zřízenou velkou sadu odchozích pravidel, může trvat déle, než se zřizování dokončí. Vyšší doba zřizování může způsobit vypršení časového limitu prvního vytvoření výpočetní instance.
Pokud chcete zkrátit dobu čekání a vyhnout se potenciálním chybám časového limitu, doporučujeme spravovanou síť zřídit ručně. Pak počkejte, až se zřizování dokončí, než vytvoříte výpočetní instanci.
Případně můžete pomocí příznaku provision_network_now
zřídit spravovanou síť jako součást vytváření pracovního prostoru. Tento příznak je ve verzi Preview.
Poznámka:
Pokud chcete vytvořit online nasazení, musíte spravovanou síť zřídit ručně nebo nejprve vytvořit výpočetní instanci, která ji automaticky zřídí.
Následující příklad ukazuje, jak zřídit spravovanou virtuální síť během vytváření pracovního prostoru. Příznak --provision-network-now
je ve verzi Preview.
az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now
Následující příklad ukazuje, jak ručně zřídit spravovanou virtuální síť.
Tip
Pokud plánujete odesílat úlohy Sparku bez serveru, přidejte parametr --include-spark
.
az ml workspace provision-network -g my_resource_group -n my_workspace_name
Pokud chcete ověřit, že se zřizování dokončilo, použijte následující příkaz:
az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network
Konfigurace sestavení imagí
Pokud je azure Container Registry pro váš pracovní prostor za virtuální sítí, nedá se použít k přímému sestavování imagí Dockeru. Místo toho nakonfigurujte pracovní prostor tak, aby k vytváření imagí používal výpočetní cluster nebo výpočetní instanci.
Důležité
Výpočetní prostředek používaný k sestavení imagí Dockeru musí mít přístup k úložištím balíčků, která se používají k trénování a nasazování vašich modelů. Pokud používáte síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy, možná budete muset přidat pravidla, která umožňují přístup k veřejným úložišťm nebo používat privátní balíčky Pythonu.
Pokud chcete aktualizovat pracovní prostor tak, aby k sestavení imagí Dockeru používal výpočetní cluster nebo výpočetní instanci, použijte az ml workspace update
příkaz s parametrem --image-build-compute
:
az ml workspace update --name ws --resource-group rg --image-build-compute mycompute
Správa odchozích pravidel
Pokud chcete zobrazit seznam pravidel odchozích přenosů spravované virtuální sítě pro pracovní prostor, použijte následující příkaz:
az ml workspace outbound-rule list --workspace-name ws --resource-group rg
Pokud chcete zobrazit podrobnosti pravidla odchozích přenosů spravované virtuální sítě, použijte následující příkaz:
az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg
Pokud chcete ze spravované virtuální sítě odebrat odchozí pravidlo, použijte následující příkaz:
az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg
Seznam požadovaných pravidel
Privátní koncové body:
- Pokud je
Allow internet outbound
režim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro pracovní prostor a přidružené prostředky s zakázaným přístupem k veřejné síti (Key Vault, účet úložiště, Container Registry, pracovní prostor Azure Machine Learning). - Pokud je
Allow only approved outbound
režim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro pracovní prostor a přidružené prostředky bez ohledu na režim přístupu k veřejné síti pro tyto prostředky (Key Vault, účet úložiště, container Registry, pracovní prostor Azure Machine Learning). - Tato pravidla se automaticky přidají do spravované virtuální sítě.
Aby služba Azure Machine Learning fungovala normálně, existuje sada požadovaných značek služeb, které se vyžadují v nastavení spravované nebo vlastní virtuální sítě. Neexistují žádné alternativy k nahrazení určitých požadovaných značek služeb. Níže je tabulka každé požadované značky služby a jejího účelu ve službě Azure Machine Learning.
Pravidlo značky služby | Příchozí nebo odchozí | Účel |
---|---|---|
AzureMachineLearning |
Příchozí | Vytvoření, aktualizace a odstranění výpočetní instance nebo clusteru služby Azure Machine Learning |
AzureMachineLearning |
Odchozí | Použití služeb Azure Machine Learning. Python IntelliSense v poznámkových blocích používá port 18881. Vytvoření, aktualizace a odstranění výpočetní instance služby Azure Machine Learning používá port 5831. |
AzureActiveDirectory |
Odchozí | Ověřování pomocí Microsoft Entra ID. |
BatchNodeManagement.region |
Odchozí | Komunikace s back-endem služby Azure Batch pro výpočetní instance a clustery služby Azure Machine Learning |
AzureResourceManager |
Odchozí | Vytváření prostředků Azure pomocí azure Machine Learning, Azure CLI a sady Azure Machine Learning SDK |
AzureFrontDoor.FirstParty |
Odchozí | Získejte přístup k imagím Dockeru od Microsoftu. |
MicrosoftContainerRegistry |
Odchozí | Získejte přístup k imagím Dockeru od Microsoftu. Nastavení směrovače Azure Machine Learning pro službu Azure Kubernetes Service |
AzureMonitor |
Odchozí | Používá se k protokolování monitorování a metrik do služby Azure Monitor. Potřeba je pouze v případě, že jste pro pracovní prostor nezabezpečili Azure Monitor. Tento odchozí provoz se také používá k protokolování informací pro incidenty podpory. |
VirtualNetwork |
Odchozí | Vyžaduje se, když jsou ve virtuální síti nebo v partnerských virtuálních sítích přítomny privátní koncové body. |
Poznámka:
Značky služeb, protože hranice zabezpečení POUZE nestačí. Pro izolaci na úrovni tenanta používejte privátní koncové body, pokud je to možné.
Seznam pravidel konkrétních odchozích přenosů scénáře
Scénář: Přístup k veřejným balíčkům strojového učení
Pokud chcete povolit instalaci balíčků Pythonu pro trénování a nasazení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolují provoz do následujících názvů hostitelů:
Upozorňující
Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.
Poznámka:
Nejedná se o úplný seznam hostitelů požadovaných pro všechny prostředky Pythonu na internetu, pouze nejčastěji používané. Pokud například potřebujete přístup k úložišti GitHub nebo jinému hostiteli, musíte v takovém případě identifikovat a přidat požadované hostitele.
Název hostitele | Účel |
---|---|
anaconda.com *.anaconda.com |
Slouží k instalaci výchozích balíčků. |
*.anaconda.org |
Slouží k získání dat úložiště. |
pypi.org |
Používá se k výpisu závislostí z výchozího indexu( pokud existuje) a index se nepřepíše uživatelským nastavením. Pokud je index přepsán, musíte také povolit *.pythonhosted.org . |
pytorch.org *.pytorch.org |
Používá se v některých příkladech založených na PyTorchu. |
*.tensorflow.org |
Používá se v některých příkladech založených na Tensorflow. |
Scénář: Použití desktopové nebo webové aplikace Visual Studio Code s výpočetní instancí
Pokud plánujete používat Visual Studio Code se službou Azure Machine Learning, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:
Upozorňující
Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.
*.vscode.dev
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
raw.githubusercontent.com
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
code.visualstudio.com
update.code.visualstudio.com
*.vo.msecnd.net
marketplace.visualstudio.com
vscode.download.prss.microsoft.com
Scénář: Použití dávkových koncových bodů nebo ParallelRunStep
Pokud plánujete používat koncové body batch služby Azure Machine Learning pro nasazení nebo ParallelRunStep, přidejte odchozí pravidla privátních koncových bodů , která povolí provoz do následujících dílčích prostředků pro výchozí účet úložiště:
queue
table
Scénář: Použití toku výzvy s Azure OpenAI, zabezpečením obsahu a službou Azure AI Search
- Privátní koncový bod do služeb Azure AI
- Privátní koncový bod do služby Azure AI Search
Scénář: Použití modelů HuggingFace
Pokud plánujete používat modely HuggingFace se službou Azure Machine Learning, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:
Upozorňující
Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.
docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
cdn-lfs.huggingface.co
Scénář: Povolení přístupu z vybraných IP adres
Pokud chcete povolit přístup z konkrétních IP adres, použijte následující akce:
Přidejte pravidlo odchozího privátního koncového bodu , které povolí provoz do pracovního prostoru Azure Machine Learning. Toto pravidlo umožňuje výpočetním instancím vytvořeným ve spravované virtuální síti přístup k pracovnímu prostoru.
Tip
Toto pravidlo nemůžete přidat během vytváření pracovního prostoru, protože tento pracovní prostor ještě neexistuje.
Povolte přístup k pracovnímu prostoru přes veřejnou síť. Další informace najdete v tématu s povoleným přístupem k veřejné síti.
Přidejte ip adresy do brány firewall pro Azure Machine Learning. Další informace najdete v tématu Povolení přístupu pouze z rozsahů IP adres.
Poznámka:
V tuto chvíli jsou podporovány pouze adresy IPv4.
Další informace najdete v tématu Konfigurace privátního propojení.
Privátní koncové body
Privátní koncové body se v současné době podporují pro následující služby Azure:
- Azure Machine Learning
- Registry služby Azure Machine Learning
- Azure Storage (všechny podtypy prostředků)
- Azure Container Registry
- Azure Key Vault
- Služby Azure AI
- Azure AI Search (dříve Cognitive Search)
- Azure SQL Server
- Azure Data Factory
- Azure Cosmos DB (všechny podtypy prostředků)
- Azure Event Hubs
- Azure Redis Cache
- Azure Databricks
- Azure Database for MariaDB
- Jednoúčelový server Azure Database for PostgreSQL
- Flexibilní server Azure Database for PostgreSQL
- Azure Database for MySQL
- Azure API Management
Při vytváření privátního koncového bodu zadáte typ prostředku a podsourc , ke kterému se koncový bod připojí. Některé prostředky mají více typů a podsourců. Další informace najdete v privátním koncovém bodu.
Když vytvoříte privátní koncový bod pro prostředky závislostí služby Azure Machine Learning, jako jsou Azure Storage, Azure Container Registry a Azure Key Vault, může být prostředek v jiném předplatném Azure. Prostředek však musí být ve stejném tenantovi jako pracovní prostor Azure Machine Learning.
Důležité
Při konfiguraci privátních koncových bodů pro virtuální síť spravovanou službou Azure Machine Learning se privátní koncové body vytvoří pouze při vytvoření prvního výpočetního objektu nebo při vynucení zřizování spravované virtuální sítě. Další informace o vynucení zřizování spravované virtuální sítě najdete v tématu Konfigurace pro úlohy Spark bez serveru.
Vyberte verzi služby Azure Firewall pro povolené pouze schválené odchozí přenosy (Preview).
Azure Firewall se nasadí v případě, že se vytvoří odchozí pravidlo plně kvalifikovaného názvu domény v povoleném režimu jenom pro odchozí komunikaci . Poplatky za Azure Firewall jsou součástí fakturace. Ve výchozím nastavení se vytvoří standardní verze AzureFirewallu. Volitelně můžete vybrat použití základní verze. Podle potřeby můžete změnit verzi brány firewall. Pokud chcete zjistit, která verze je pro vás nejvhodnější, přejděte na výběr správné verze služby Azure Firewall.
Důležité
Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Další informace o cenách najdete v tématu Ceny služby Azure Firewall a ceny standardní verze.
Na následujících kartách se dozvíte, jak vybrat verzi brány firewall pro spravovanou virtuální síť.
Ke konfiguraci verze brány firewall z rozhraní příkazového řádku použijte soubor YAML a zadejte firewall_sku
. Následující příklad ukazuje soubor YAML, který nastaví skladovou položku brány firewall na basic
:
name: test-ws
resource_group: test-rg
location: eastus2
managed_network:
isolation_mode: allow_only_approved_outbound
outbound_rules:
- category: required
destination: 'contoso.com'
name: contosofqdn
type: fqdn
firewall_sku: basic
tags: {}
Ceny
Funkce spravované virtuální sítě azure Machine Learning je bezplatná. Poplatky se vám ale účtují za následující prostředky, které používá spravovaná virtuální síť:
Azure Private Link – Privátní koncové body používané k zabezpečení komunikace mezi spravovanou virtuální sítí a prostředky Azure závisí na službě Azure Private Link. Další informace o cenách najdete v tématu Ceny služby Azure Private Link.
Pravidla odchozích přenosů plně kvalifikovaného názvu domény – pravidla odchozích přenosů plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Ve výchozím nastavení se používá standardní verze služby Azure Firewall. Informace o výběru základní verze najdete v tématu Výběr verze služby Azure Firewall.
Důležité
Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Další informace o cenách najdete v tématu Ceny služby Azure Firewall a ceny standardní verze.
Omezení
- Jakmile povolíte izolaci spravované virtuální sítě vašeho pracovního prostoru (povolíte odchozí provoz přes internet nebo povolíte jenom schválené odchozí přenosy), nemůžete ji zakázat.
- Spravovaná virtuální síť používá pro přístup k vašim privátním prostředkům připojení privátního koncového bodu. Privátní koncový bod a koncový bod služby nemůžete mít současně pro prostředky Azure, jako je účet úložiště. Doporučujeme ve všech scénářích. používat privátní koncové body.
- Spravovaná virtuální síť se odstraní při odstranění pracovního prostoru. Při odstraňování prostředků Azure Machine Learning ve vašem předplatném Azure zakažte všechny zámky nebo zámky prostředků, které brání odstranění prostředků, které jste vytvořili, nebo byly vytvořeny Microsoftem pro spravovanou virtuální síť.
- Ochrana před exfiltrací dat je automaticky povolená pro jediný schválený odchozí režim. Pokud do plně kvalifikovaných názvů domén přidáte další pravidla odchozích přenosů, Microsoft nezaručuje, že jste chráněni před exfiltrací dat do těchto odchozích cílů.
- Vytvoření výpočetního clusteru v jiné oblasti než pracovní prostor se při použití spravované virtuální sítě nepodporuje.
- Kubernetes a připojené virtuální počítače se nepodporují ve spravované virtuální síti Azure Machine Learning.
- Použití odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady na spravovanou virtuální síť, protože pravidla plně kvalifikovaného názvu domény používají službu Azure Firewall. Další informace najdete na stránce s cenami.
- Odchozí pravidla plně kvalifikovaného názvu domény podporují jenom porty 80 a 443.
- Pokud je vaše výpočetní instance ve spravované síti a je nakonfigurovaná pro žádnou veřejnou IP adresu, připojte se k ní pomocí protokolu SSH pomocí příkazu
az ml compute connect-ssh
. - Při použití spravované virtuální sítě nemůžete nasadit výpočetní prostředky ve vlastní virtuální síti. Výpočetní prostředky je možné vytvořit pouze ve spravované virtuální síti.
- Izolace spravované sítě nemůže navázat privátní připojení ze spravované virtuální sítě k místním prostředkům uživatele. Seznam podporovaných privátních připojení najdete v tématu Privátní koncové body.
- Pokud je vaše spravovaná síť nakonfigurovaná tak, aby povolovala pouze schválené odchozí přenosy, nemůžete pro přístup k účtům Azure Storage použít pravidlo plně kvalifikovaného názvu domény. Místo toho musíte použít privátní koncový bod.
- Ujistěte se, že chcete povolit privátní koncové body spravované Microsoftem vytvořené pro spravovanou virtuální síť ve vašich vlastních zásadách.
Migrace výpočetních prostředků
Pokud máte existující pracovní prostor a chcete pro ni povolit spravovanou virtuální síť, aktuálně neexistuje žádná podporovaná cesta migrace pro stávající spravované výpočetní prostředky. Po povolení spravované virtuální sítě budete muset odstranit všechny existující spravované výpočetní prostředky a znovu je vytvořit. Následující seznam obsahuje výpočetní prostředky, které je potřeba odstranit a znovu vytvořit:
- Výpočtový cluster
- Výpočetní instance
- Spravované online koncové body