Comparar las configuraciones de aislamiento de red en Azure Machine Learning
Para sus áreas de trabajo, Azure Machine Learning ofrece dos tipos de configuraciones de aislamiento de red saliente: aislamiento de red gestionado y aislamiento de red personalizado. Ambos ofrecen compatibilidad completa con el aislamiento de red con sus ventajas y limitaciones. Este documento abarca las características y limitaciones de ambas configuraciones de aislamiento de red para que pueda decidir cuál es la mejor para sus necesidades.
Necesidades de seguridad empresarial
La informática en la nube le permite escalar sus datos y capacidades de aprendizaje automático, pero también plantea nuevos retos y riesgos para la seguridad y el cumplimiento. Debe asegurarse de que la infraestructura en la nube está protegida contra el acceso no autorizado, la manipulación o la pérdida de datos y modelos. También es posible que tenga que cumplir los reglamentos y estándares que se aplican a su sector y dominio.
Entre los requisitos empresariales típicos se incluyen:
- Utilice el límite de aislamiento de red con la red virtual para tener control de entrada y salida y tener conexión privada a los recursos privados de Azure.
- Evite la exposición a Internet sin soluciones IP públicas ni puntos de conexión privados.
- Utilice dispositivos de red virtuales para disponer de mejores funciones de seguridad de red, como firewalling, detección de intrusiones, gestión de vulnerabilidades y filtrado web.
- La arquitectura de red para Azure Machine Learning se puede integrar con la arquitectura de red existente.
¿Qué son las configuraciones de aislamiento de red gestionadas y personalizadas?
El aislamiento de red gestionada se basa en redes virtuales administradas, que es una característica totalmente administrada de Azure Machine Learning. El aislamiento de red gestionada es ideal si desea usar Azure Machine Learning con una sobrecarga mínima de configuración y administración.
El aislamiento de red personalizado se basa en la creación y administración de una instancia de Azure Virtual Network. Esta configuración es ideal si busca un control máximo sobre la configuración de red.
Cuándo utilizar redes virtuales gestionadas o personalizadas
Utilice la red virtual administrada cuando...
- Es nuevo usuario de Azure Machine Learning con los requisitos de aislamiento de red estándar
- Es una empresa con requisitos de aislamiento de red estándar
- Necesita acceso local a los recursos con puntos de conexión HTTP/S
- Todavía no tiene muchas dependencias que no son de Azure configuradas
- Necesita usar puntos de conexión en línea administrados de Azure Machine Learning y procesos de Spark sin servidor
- Tiene menos requisitos de administración para las redes de su organización
Utilice la red virtual personalizada cuando...
- Es una empresa con grandes requisitos de aislamiento de la red
- Tiene muchas dependencias que no son de Azure configuradas anteriormente y necesita acceder a Azure Machine Learning
- Tiene bases de datos locales sin puntos de conexión HTTP/S
- Necesita usar su propio firewall y registro de red virtual y supervisión del tráfico de red saliente
- Quiere usar Azure Kubernetes Services (AKS) para cargas de trabajo de inferencia
En la siguiente tabla se comparan las ventajas y limitaciones de las redes virtuales gestionadas y personalizadas:
| Red virtual personalizada | Red virtual administrada | |
|---|---|---|
| Ventajas | : puede adaptar las redes a la configuración existente : traiga sus propios recursos que no son de Azure con Azure Machine Learning : conexión a recursos locales |
: minimizar la sobrecarga de configuración y mantenimiento : admite puntos de conexión en línea administrados : admite spark sin servidor : obtiene primero nuevas características |
| Limitaciones | : es posible que se retrase la nueva compatibilidad con características : los puntos de conexión en línea administrados NO son compatibles : NO se admite spark sin servidor : no se admiten los modelos fundamentales : no se admite MLFlow de código : complejidad de la implementación : sobrecarga de mantenimiento |
: implicaciones de costos de las reglas de Azure Firewall y nombre de dominio completo (FQDN) : registro de las reglas de red virtual, firewall y NSG NO compatibles : no se admite el acceso a recursos de punto de conexión que no son HTTP/S |
Limitaciones de red virtual personalizadas
- Es posible que se retrase la compatibilidad con nuevas características: los esfuerzos por mejorar nuestra oferta de aislamiento de red se centran en la red virtual administrada en lugar de personalizada. Por lo tanto, las peticiones de nuevas funciones tienen prioridad en la red virtual administrada sobre la personalizada.
- No se admiten puntos de conexión en línea administrados: los puntos de conexión en línea administrados no admiten la red virtual personalizada. La red virtual gestionada del área de trabajo debe estar activada para proteger los puntos finales administrados en línea. Puede proteger los puntos finales administrados en línea con el método de aislamiento de red heredado. Sin embargo, se recomienda encarecidamente usar el aislamiento de red gestionada por el área de trabajo. Para más información, visite Puntos de conexión en línea administrados.
- No se admite el proceso de Spark sin servidor: los cálculos de Spark sin servidor no son compatibles con una red virtual personalizada. La red virtual administrada por el área de trabajo admite Spark sin servidor porque Azure Synapse solo usa la configuración de red virtual administrada. Para obtener más información, visite Configuración de Spark sin servidor.
- La complejidad de la implementación y la sobrecarga de mantenimiento: con la configuración de redes virtuales personalizadas, toda la complejidad de configurar una red virtual, una subred, puntos de conexión privados, etc. recae en el usuario. El mantenimiento de la red y los procesos se encuentran en el usuario.
Limitaciones de la red virtual administrada
- Implicaciones de costos con las reglas de Azure Firewall y FQDN: Azure Firewall se aprovisiona en nombre del usuario solo cuando se crea una regla de salida de FQDN definida por el usuario. Azure Firewall es el firewall de SKU estándar y incurre en costos que se agregan a la facturación. Para más información, visite Precios de Azure Firewall.
- Registro y supervisión de la red virtual administrada NO compatible: la red virtual administrada no admite el flujo de red virtual, el flujo de NSG ni los registros de firewall. Esta limitación se debe a que la red virtual administrada se implementa en un inquilino de Microsoft y no se puede enviar a la suscripción.
- No se admite el acceso a recursos que no son HTTP/S que no son de Azure: la red virtual administrada no permite el acceso a recursos que no son de Azure y que no son HTTP/S.