Vergleichen von Netzwerkisolationskonfigurationen in Azure Machine Learning
Für Ihre Arbeitsbereiche bietet Azure Machine Learning zwei Arten von Konfigurationen für ausgehende Netzwerkisolation: verwaltete Netzwerkisolation und benutzerdefinierte Netzwerkisolation. Beide bieten vollständige Netzwerkisolationsunterstützung mit ihren Vorteilen und Einschränkungen. Dieses Dokument behandelt die Unterstützung von Features und Einschränkungen für beide Netzwerkisolationskonfigurationen, um zu entscheiden, was für Ihre Anforderungen am besten geeignet ist.
Sicherheitsanforderungen für Unternehmen
Cloud Computing ermöglicht es Ihnen, Ihre Daten- und Machine Learning-Funktionen zu skalieren, stellt aber auch eine neue Herausforderung und ein Risiko für Sicherheit und Compliance dar. Sie müssen sicherstellen, dass Ihre Cloudinfrastruktur vor unbefugtem Zugriff, Manipulation oder Leckage von Daten und Modellen geschützt ist. Möglicherweise müssen Sie auch die Vorschriften und Standards einhalten, die für Ihre Branche und Domäne gelten.
Typische Enterprise-Anforderungen umfassen:
- Verwenden Sie die Netzwerkisolationsgrenze mit virtuellem Netzwerk, um eingehende und ausgehende Kontrolle zu haben und private Verbindungen mit privaten Azure-Ressourcen herzustellen.
- Vermeiden Sie die Gefahren des Internets ohne öffentliche IP-Lösungen und private Endpunkte.
- Verwenden Sie virtuelle Netzwerkgeräte, um bessere Netzwerksicherheitsfunktionen wie Firewalling, Angriffserkennung, Sicherheitsrisikoverwaltung, Webfilterung zu bieten.
- Die Netzwerkarchitektur für Azure Machine Learning kann in die vorhandene Netzwerkarchitektur integriert werden.
Was sind verwaltete und benutzerdefinierte Netzwerkisolationskonfigurationen?
Verwaltete Netzwerkisolation basiert auf verwalteten virtuellen Netzwerken, einem vollständig verwalteten Feature von Azure Machine Learning. Die verwaltete Netzwerkisolation ist ideal, wenn Sie Azure Machine Learning mit minimalem Konfigurations- und Verwaltungsaufwand verwenden möchten.
Benutzerdefinierte Netzwerkisolation basiert auf der Erstellung und Verwaltung eines virtuellen Azure-Netzwerks. Diese Konfiguration ist ideal, wenn Sie nach maximaler Kontrolle über Ihre Netzwerkkonfiguration suchen.
Wann verwaltete oder benutzerdefinierte virtuelle Netzwerke verwendet werden sollen
Verwenden Sie das verwaltete virtuelle Netzwerk, wenn…
- Sie ein neuer Benutzer bei Azure Machine Learning mit standardmäßigen Netzwerkisolationsanforderungen sind
- Sie ein Unternehmen mit standardmäßigen Netzwerkisolationsanforderungen sind
- Sie lokalen Zugriff auf Ressourcen mit HTTP/S-Endpunkten benötigen
- Sie noch nicht viele Nicht-Azure-Abhängigkeiten eingerichtet haben
- Sie verwaltete Azure Machine Learning-Onlineendpunkte und serverlose Spark-Berechnungen benötigen
- Sie weniger Verwaltungsanforderungen für Netzwerke in Ihrer Organisation haben
Verwenden Sie das benutzerdefinierte virtuelle Netzwerks, wenn…
- Sie ein Unternehmen mit hohen Netzwerkisolationsanforderungen sind
- Sie über viele Nicht-Azure-Abhängigkeiten verfügen, die zuvor eingerichtet wurden und auf Azure Machine Learning zugreifen müssen
- Sie über lokale Datenbanken ohne HTTP/S-Endpunkte verfügen
- Sie eine eigene Firewall- und virtuelle Netzwerkprotokollierung und Überwachung des ausgehenden Netzwerkdatenverkehrs benötigen
- Sie Azure Kubernetes Services (AKS) für Ableitungsworkloads verwenden möchten
Die folgende Tabelle enthält einen Vergleich der Vorteile und Einschränkungen von verwalteten und benutzerdefinierten virtuellen Netzwerken:
| Benutzerdefiniertes virtuelles Netzwerk | Verwaltetes virtuelles Netzwerk | |
|---|---|---|
| Vorteile | – Sie können Netzwerke auf Ihre vorhandene Einrichtung anpassen – Bringen Sie Ihre eigenen nicht-Azure Ressourcen zu Azure Machine Learning mit – Stellen Sie eine Verbindung mit lokalen Ressourcen her |
– Minimieren des Mehraufwands für die Einrichtung und Wartung – Unterstützt verwaltete Onlineendpunkte – Unterstützt serverlose Sparks – Ruft zuerst neue Features ab |
| Einschränkungen | – Neue Featureunterstützung wird möglicherweise verzögert – Verwaltete Onlineendpunkte werden nicht unterstützt – Serverlose Sparks werden NICHT unterstützt – Foundationalmodelle werden NICHT unterstützt – Kein Code MLFlow wird NICHT unterstützt – Implementierungskomplexität – Wartungsaufwand |
– Kostenauswirkungen der Azure-Firewall und Regeln der vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) – Protokollierung der virtuellen Netzwerk-, Firewall- und NSG-Regeln werden NICHT unterstützt – Zugriff auf nicht HTTP/S-Endpunktressourcen wird NICHT unterstützt |
Einschränkungen des benutzerdefinierten virtuellen Netzwerks
- Unterstützung neuer Features könnte verzögert werden: Die Bemühungen zur Verbesserung unserer Netzwerkisolationsangebote konzentrieren sich auf verwaltete und nicht auf benutzerdefinierte virtuelle Netzwerke. Daher werden neue Feature-Anfragen für die Verwaltung über ein benutzerdefiniertes virtuelles Netzwerk priorisiert.
- Verwaltete Onlineendpunkte werden nicht unterstützt: Verwaltete Onlineendpunkte unterstützen kein benutzerdefiniertes virtuelles Netzwerk. Verwaltetes virtuelles Arbeitsbereichsnetzwerk muss aktiviert sein, um Ihre verwalteten Onlineendpunkte zu sichern. Sie können verwaltete Onlineendpunkte mit einer älteren Netzwerkisolationsmethode sichern. Es wird jedoch dringend empfohlen, die verwaltete Netzwerkisolation des Arbeitsbereichs zu verwenden. Weitere Informationen finden Sie unter Verwaltete Onlineendpunkte.
- Serverless Spark Compute wird nicht unterstützt: Serverless Spark Computes werden in einem benutzerdefinierten virtuellen Netzwerk nicht unterstützt. Vom Arbeitsbereich verwaltetes virtuelles Netzwerk unterstützt Serverless Spark, da Azure Synapse nur verwaltete virtuelle Netzwerkeinrichtung verwendet. Weitere Informationen finden Sie unter Konfiguriertes Serverless Spark.
- Implementierungskomplexität und Wartungsaufwand: Bei der Einrichtung benutzerdefinierter virtueller Netzwerke fällt die Komplexität der Einrichtung eines virtuellen Netzwerks, eines Subnetzes, privater Endpunkte und so weiter auf den Benutzer. Die Wartung des Netzwerks und die Berechnungen fallen auf den Benutzer.
Einschränkungen des verwalteten virtuellen Netzwerks
- Kostenauswirkungen mit Azure Firewall- und FQDN-Regeln: Eine Azure-Firewall wird nur im Namen des Benutzers bereitgestellt, wenn eine benutzerdefinierte FQDN-Ausgangsregel erstellt wird. Die Azure Firewall ist die Standard-SKU Firewall und verursacht Kosten, die Ihrer Abrechnung hinzugefügt werden. Weitere Informationen finden Sie unter Preise von Azure Firewall.
- Protokollierung und Überwachung des verwalteten virtuellen Netzwerks wird NICHT unterstützt: Das verwaltete virtuelle Netzwerk unterstützt keinen virtuellen Netzwerkfluss, keinen NSG-Fluss und keine Firewallprotokolle. Diese Einschränkung liegt daran, dass das verwaltete virtuelle Netzwerk in einem Microsoft-Mandanten bereitgestellt und nicht an Ihr Abonnement gesendet werden kann.
- Zugriff auf Nicht-Azure-Ressourcen, Nicht-HTTP/S-Ressourcen werden nicht unterstützt: Das verwaltete virtuelle Netzwerk lässt keinen Zugriff auf Nicht-Azure-, nicht-HTTP/S-Ressourcen zu.