Partager via


Isolement réseau dans les points de terminaison par lots

Vous pouvez sécuriser la communication des points de terminaison batch avec des réseaux privés. Cet article explique la configuration requise pour utiliser un point de terminaison par lots dans un environnement sécurisé par des réseaux privés.

Sécurisation des points de terminaison par lots

Les points de terminaison batch sont hérités de la configuration de mise en réseau à partir de l’espace de travail dans lequel ils sont déployés. Tous les points de terminaison par lots créés dans un espace de travail avec liaison privée sont déployés en tant que points de terminaison par lots privés par défaut. Aucune autre configuration n’est requise lorsque l’espace de travail est correctement configuré.

Pour s’assurer que votre espace de travail est correctement configuré pour que les points de terminaison en lot fonctionnent avec un réseau privé, vérifiez les points suivants :

  1. Vous avez configuré votre espace de travail Azure Machine Learning pour la mise en réseau privée. Pour plus d’informations sur la façon d’y parvenir, consultez Créer un espace de travail sécurisé.

  2. Pour Azure Container Registry dans des réseaux privés, notez qu’il existe des conditions préalables à leur configuration.

    Avertissement

    Les registres de conteneurs Azure avec la fonctionnalité de mise en quarantaine activée ne sont pas pris en charge pour le moment.

  3. Vérifiez que les points de terminaison privés d’objet blob, de fichier, de file d’attente et de table sont configurés pour les comptes de stockage, comme expliqué dans Sécuriser les comptes de stockage Azure. Les déploiements par lots nécessitent que les 4 fonctionnent correctement.

Le diagramme suivant montre à quoi ressemble la mise en réseau pour les points de terminaison par lots lorsqu’ils sont déployés dans un espace de travail privé :

Diagramme montrant l’architecture générale d’un déploiement sécurisé d’un espace de travail Azure Machine Learning.

Attention

Les points de terminaison par lots, contrairement aux points de terminaison en ligne, ne prennent pas en charge les clés public_network_access ou egress_public_network_access lors de la configuration du point de terminaison. Il n’est pas possible de déployer des points de terminaison publics en lot sur des espaces de travail avec liaison privée.

Sécurisation des travaux de déploiement par lots

Les déploiements par lots Azure Machine Learning s’exécutent sur des clusters de calcul. Pour sécuriser les travaux de déploiement par lots, ces clusters de calcul doivent également être déployés dans un réseau virtuel.

  1. Créez un cluster de calcul Azure Machine Learning dans le réseau virtuel.

  2. Vérifiez que tous les services associés ont des points de terminaison privés configurés dans le réseau. Les points de terminaison privés sont utilisés non seulement pour l’espace de travail Azure Machine Learning, mais également pour ses ressources associées, telles que Stockage Azure, Azure Key Vault ou Azure Container Registry. Azure Container Registry est un service obligatoire. Lors de la sécurisation de l’espace de travail Azure Machine Learning avec des réseaux virtuels, notez qu’il existe des conditions préalables à Azure Container Registry.

  3. Si votre instance de calcul utilise une adresse IP publique, vous devez Autoriser les communications entrantes afin que les services de gestion puissent envoyer des travaux à vos ressources de calcul.

    Conseil

    Le cluster de calcul et l’instance de calcul peuvent être créés avec ou sans adresse IP publique. S’ils sont créés avec une adresse IP publique, vous obtenez un équilibreur de charge avec une adresse IP publique pour accepter l’accès entrant à partir du service Azure Batch et du service Azure Machine Learning. Vous devez configurer le routage défini par l’utilisateur (UDR) si vous utilisez un pare-feu. S’ils sont créés sans adresse IP publique, vous obtenez un service de liaison privée pour accepter l’accès entrant à partir du service Azure Batch et du service Azure Machine Learning sans adresse IP publique.

  4. Un groupe de sécurité réseau supplémentaire peut être nécessaire en fonction de votre cas. Pour plus d’informations, consultez Comment sécuriser votre environnement d’entraînement.

Pour plus d’informations, consultez l’article Sécuriser un environnement d’entraînement Azure Machine Learning à l’aide de réseaux virtuels.

Limites

Tenez compte des limitations suivantes lorsque vous travaillez sur des points de terminaison batch déployés en matière de mise en réseau :

  • Si vous modifiez la configuration réseau de l’espace de travail de public à privé, ou de privé à public, cela n’affecte pas la configuration réseau des points de terminaison batch existants. Les points de terminaison batch s’appuient sur la configuration de l’espace de travail au moment de la création. Vous pouvez recréer vos points de terminaison si vous souhaitez qu’ils reflètent les modifications que vous avez apportées dans l’espace de travail.

  • Lorsque vous travaillez sur des espaces de travail avec liaison privée, les points de terminaison batch peuvent être créés et gérés à l’aide d’Azure Machine Learning studio. Toutefois, ils ne peuvent pas être appelés à partir de l’interface utilisateur dans studio. Utilisez plutôt Azure Machine Learning CLI v2 pour la création de travaux. Pour plus d’informations sur son utilisation, consultez Appeler le point de terminaison de lots pour démarrer un travail de scoring par lots.