Comparer les configurations d’isolation réseau dans Azure Machine Learning
Pour vos espaces de travail, Azure Machine Learning propose deux types de configurations d’isolation réseau sortante : l’isolation réseau managée et l’isolation réseau personnalisée. Les deux offrent une prise en charge complète de l’isolation réseau avec ses avantages et ses limitations. Ce document traite de la prise en charge et des limitations des fonctionnalités des deux configurations d’isolation réseau pour vous permettre de déterminer ce qui convient le mieux à vos besoins.
Besoins sécurité d’entreprise
Le cloud computing vous permet de mettre à l’échelle vos fonctionnalités de Machine Learning et de données, mais pose également de nouveaux défis et risques pour la sécurité et la conformité. Vous devez vérifier que votre infrastructure cloud est protégée contre l’accès non autorisé, la falsification ou la fuite de données et de modèles. Vous devrez peut-être aussi respecter les réglementations et normes qui s’appliquent à votre secteur et à votre domaine.
Voici les exigences d’entreprise standard :
- Utilisez la limite d’isolation réseau avec le réseau virtuel pour disposer d’un contrôle entrant et sortant et d’une connexion privée aux ressources Azure privées.
- Évitez l’exposition à Internet sans solutions IP publiques ni points de terminaison privés.
- Utilisez des appliances de réseau virtuel pour profiter de meilleures fonctionnalités de sécurité réseau, telles que le pare-feu, la détection des intrusions, la gestion des vulnérabilités, le filtrage web.
- L’architecture réseau pour Azure Machine Learning peut être intégrée à l’architecture réseau existante.
Qu’est-ce que les configurations d’isolation réseau managées et personnalisées ?
L’isolation de réseau managé s’appuie sur des réseaux virtuels managés, une fonctionnalité entièrement managée d’Azure Machine Learning. L’isolation réseau managée est idéale si vous souhaitez utiliser Azure Machine Learning avec une configuration et une surcharge de gestion minimales.
L’isolation réseau personnalisée s’appuie sur la création et la gestion d’un réseau virtuel Azure. Cette configuration est idéale si vous recherchez un contrôle maximal sur votre configuration réseau.
Quand utiliser des réseaux virtuels managés ou personnalisés
Utilisez un réseau virtuel managé lorsque…
- Vous êtes un nouvel utilisateur d’Azure Machine Learning avec des exigences d’isolation réseau standard
- Vous êtes une entreprise avec des exigences d’isolation réseau standard
- Vous avez besoin d’un accès local aux ressources avec des points de terminaison HTTP/S
- Vous n’avez pas encore beaucoup de dépendances non Azure configurées
- Vous avez besoin d’utiliser des points de terminaison en ligne managés Azure Machine Learning et des calculs Spark serverless
- Vous avez moins de conditions de gestion pour la mise en réseau dans votre organisation
Utilisez un réseau virtuel personnalisé lorsque…
- Vous êtes une entreprise avec de grandes exigences d’isolation réseau
- Vous avez beaucoup de dépendances non Azure configurées en amont et devez accéder à Azure Machine Learning
- Vous disposez de bases de données locales sans point de terminaison HTTP/S
- Vous devez utiliser votre propre pare-feu et la journalisation et la surveillance du trafic réseau sortant
- Vous souhaitez utiliser Azure Kubernetes Services (AKS) pour les charges de travail d’inférence
Le tableau suivant fournit une comparaison des avantages et des limitations des réseaux virtuels managés et personnalisés :
| Réseau virtuel personnalisé | Réseau virtuel managé | |
|---|---|---|
| Avantages sociaux | – Adaptez la mise en réseau à votre configuration existante – Apportez vos propres ressources non Azure avec Azure Machine Learning – Connectez-vous à des ressources locales |
– Réduisez la surcharge de configuration et de maintenance – Prenez en charge les points de terminaison en ligne managés – Prenez en charge Spark serverless – Profitez de nouvelles fonctionnalités en avant-première |
| Limitations | – La prise en charge des nouvelles fonctionnalités peut être retardée – Les points de terminaison en ligne managés ne sont PAS pris en charge – Serverless Spark n’est PAS en charge – Les modèles fondamentaux ne sont PAS pris en charge – AUCUN code MLFlow n’est pris en charge – L’implémentation est plus complexe – Surcharge de la maintenance |
– Implications de coûts de Pare-feu Azure et des règles de nom de domaine complet (FQDN) – La journalisation des règles de réseau virtuel, du pare-feu et du groupe de sécurité réseau n’est PAS prise en charge – L’accès aux ressources de point de terminaison non HTTP/S n’est PAS pris en charge |
Limitations de réseau virtuel personnalisé
- La prise en charge des nouvelles fonctionnalités peut être retardée : les efforts d’amélioration de nos offres d’isolation réseau sont axés sur le réseau virtuel managé plutôt que personnalisé. Ainsi, une priorité du réseau virtuel managé vis-à-vis du réseau virtuel personnalisé s’applique aussi pour les nouvelles demandes de fonctionnalités.
- Les points de terminaison en ligne managés ne sont pas pris en charge : les points de terminaison en ligne managés ne prennent pas en charge le réseau virtuel personnalisé. Le réseau virtuel managé de l’espace de travail doit être activé pour sécuriser vos points de terminaison en ligne managés. Vous pouvez sécuriser les points de terminaison en ligne managés avec la méthode d’isolation réseau héritée. Toutefois, nous vous recommandons vivement d’utiliser l’isolation de réseau gérée de l’espace de travail. Pour plus d’informations, consultez Points de terminaison en ligne managés.
- Le calcul Spark serverless n’est pas pris en charge : les calculs Spark serverless ne sont pas pris en charge dans un réseau virtuel personnalisé. Le réseau virtuel managé de l’espace de travail prend en charge Spark serverless, car Azure Synapse utilise uniquement la configuration de réseau virtuel managé. Pour plus d’informations, consultez Spark serverless configuré.
- Complexité de l’implémentation et surcharge de la maintenance : avec un réseau virtuel personnalisé configuré, toute la complexité de la configuration d’un réseau virtuel, d’un sous-réseau, de points de terminaison privés et du reste repose sur l’utilisateur. La maintenance du réseau et des calculs relève de l’utilisateur.
Limitations de réseau virtuel managé
- Implications de coûts avec les règles de pare-feu Azure et de nom de domaine complet : un pare-feu Azure est approvisionné au nom de l’utilisateur uniquement lorsqu’une règle de trafic sortant définie par l’utilisateur est créée. Pare-feu Azure est le pare-feu SKU Standard et entraîne des coûts ajoutés à votre facturation. Pour plus d’informations, consultez la tarification de Pare-feu Azure.
- La journalisation et la surveillance du réseau virtuel managé ne sont PAS prises en charge : le réseau virtuel managé ne prend pas en charge le flux de réseau virtuel, le flux NSG ou les journaux de pare-feu. Cette limitation est due au fait que le réseau virtuel managé est déployé dans un locataire Microsoft et ne peut pas être envoyé à votre abonnement.
- L’accès aux ressources non-Azure, non HTTP/S n’est pas pris en charge : le réseau virtuel managé n’autorise pas l’accès aux ressources non Azure et non HTTP/S.