Sdílet prostřednictvím

Izolace sítě v dávkových koncových bodech

  • Článek

Komunikaci dávkových koncových bodů můžete zabezpečit pomocí privátních sítí. Tento článek vysvětluje požadavky na použití dávkového koncového bodu v prostředí zabezpečeném privátními sítěmi.

Zabezpečení dávkových koncových bodů

Koncové body služby Batch dědí konfiguraci sítě z pracovního prostoru, do kterého se nasazují. Všechny dávkové koncové body vytvořené v pracovním prostoru s podporou privátního propojení se ve výchozím nastavení nasazují jako privátní koncové body dávky. Pokud je pracovní prostor správně nakonfigurovaný, nevyžaduje se žádná další konfigurace.

Pokud chcete ověřit, že je váš pracovní prostor správně nakonfigurovaný pro dávkové koncové body pro práci s privátními sítěmi, ujistěte se, že platí následující:

  1. Nakonfigurovali jste pracovní prostor Služby Azure Machine Learning pro privátní sítě. Další podrobnosti o tom, jak toho dosáhnout, najdete v tématu Vytvoření zabezpečeného pracovního prostoru.

  2. Pro Službu Azure Container Registry v privátních sítích existuje několik požadavků na jejich konfiguraci.

    Upozorňující

    Služba Azure Container Registry s povolenou funkcí karantény se v tuto chvíli nepodporuje.

  3. Ujistěte se, že jsou pro účty úložiště nakonfigurované privátní koncové body objektů blob, souborů, front a tabulek, jak je vysvětleno v účtech zabezpečeného úložiště Azure. Dávkové nasazení vyžadují, aby všechna 4 správně fungovala.

Následující diagram znázorňuje, jak sítě vypadají pro dávkové koncové body při nasazení v privátním pracovním prostoru:

Diagram znázorňující architekturu vysoké úrovně zabezpečeného nasazení pracovního prostoru Azure Machine Learning

Upozornění

Koncové body služby Batch, stejně jako u online koncových bodů, nepodporují klíče public_network_access ani egress_public_network_access při konfiguraci koncového bodu. Veřejné dávkové koncové body není možné nasadit do pracovních prostorů s podporou privátního propojení.

Zabezpečení dávkových úloh nasazení

Dávkové nasazení služby Azure Machine Learning běží na výpočetních clusterech. Aby bylo možné zabezpečit úlohy dávkového nasazení, musí být tyto výpočetní clustery také nasazeny ve virtuální síti.

  1. Ve virtuální síti vytvořte počítačový cluster Azure Machine Learning.

  2. Ujistěte se, že všechny související služby mají v síti nakonfigurované privátní koncové body. Privátní koncové body se používají nejen pro pracovní prostor Azure Machine Learning, ale také pro přidružené prostředky, jako jsou Azure Storage, Azure Key Vault nebo Azure Container Registry. Azure Container Registry je požadovaná služba. Při zabezpečení pracovního prostoru Azure Machine Learning s virtuálními sítěmi mějte na paměti, že existují některé požadavky na službu Azure Container Registry.

  3. Pokud vaše výpočetní instance používá veřejnou IP adresu, musíte povolit příchozí komunikaci , aby služby pro správu mohly odesílat úlohy do výpočetních prostředků.

    Tip

    Výpočetní cluster a výpočetní instance je možné vytvořit s veřejnou IP adresou nebo bez této veřejné IP adresy. Pokud je vytvořený s veřejnou IP adresou, získáte nástroj pro vyrovnávání zatížení s veřejnou IP adresou pro příjem příchozího přístupu ze služby Azure Batch a služby Azure Machine Learning. Pokud používáte bránu firewall, musíte nakonfigurovat trasu definovanou uživatelem. Pokud se vytvoří bez veřejné IP adresy, získáte službu privátního propojení, která přijme příchozí přístup ze služby Azure Batch a služby Azure Machine Learning bez veřejné IP adresy.

  4. V závislosti na vašem případu může být vyžadována další skupina zabezpečení sítě. Další informace naleznete v tématu Jak zabezpečit trénovací prostředí.

Další informace najdete v článku Zabezpečení trénovacího prostředí služby Azure Machine Learning s využitím virtuálních sítí .

Omezení

Při práci na dávkových koncových bodech nasazených v souvislosti se sítěmi zvažte následující omezení:

  • Pokud změníte konfiguraci sítě pracovního prostoru z veřejného na privátní nebo z privátního na veřejný, neovlivní to stávající konfiguraci sítě koncových bodů dávky. Koncové body služby Batch spoléhají na konfiguraci pracovního prostoru v době vytvoření. Pokud chcete, aby odrážely změny provedené v pracovním prostoru, můžete koncové body znovu vytvořit.

  • Při práci na pracovním prostoru s podporou privátního propojení je možné vytvářet a spravovat koncové body služby Batch pomocí studio Azure Machine Learning. Nedají se ale vyvolat z uživatelského rozhraní v sadě Studio. Místo toho použijte rozhraní příkazového řádku služby Azure Machine Learning v2 k vytvoření úlohy. Další podrobnosti o tom, jak ho použít, najdete v tématu Spuštění dávkového koncového bodu pro spuštění dávkové úlohy bodování.