Azure Machine Learning でのネットワーク分離構成の比較
Azure Machine Learning には、マネージド ネットワーク分離とカスタム ネットワーク分離という 2 種類の送信ネットワーク分離構成がワークスペース向けに用意されています。 どちらも完全なネットワーク分離サポートを提供し、利点と制限があります。 このドキュメントでは、ニーズに最も適しているものを決定できるように、両方のネットワーク分離構成の機能サポートと制限事項について説明します。
エンタープライズ セキュリティのニーズ
クラウド コンピューティングを使用すると、データと機械学習機能をスケールアップできますが、セキュリティとコンプライアンスに関する新たな課題とリスクも生じます。 クラウド インフラストラクチャが、データとモデルの不正アクセス、改ざん、または漏洩から保護されていることを確認する必要があります。 また、業界やドメインに適用される規制や標準に従うことが必要な場合もあります。
一般的なエンタープライズ要件は次のようなものです。
- 仮想ネットワークとのネットワーク分離境界を使用して、受信と送信の制御を行い、プライベート Azure リソースへのプライベート接続を確立します。
- パブリック IP ソリューションとプライベート エンドポイントを使用しないインターネットへの露出を避けます。
- 仮想ネットワーク アプライアンスを使用して、ファイアウォール、侵入検出、脆弱性管理、Web フィルタリングなどのネットワーク セキュリティ機能を強化します。
- Azure Machine Learning のネットワーク アーキテクチャは、既存のネットワーク アーキテクチャと統合できます。
マネージドとカスタムのネットワーク分離構成とは
マネージド ネットワーク分離は、Azure Machine Learning のフル マネージド機能であるマネージド仮想ネットワークに依存します。 構成と管理のオーバーヘッドを最小限に抑えて Azure Machine Learning を使用したい場合は、マネージド ネットワーク分離が最適です。
カスタム ネットワーク分離は、ユーザーによる Azure ネットワークの作成と管理に依存します。 この構成は、ネットワーク構成を最大限に制御することを求めている場合に最適です。
マネージドまたはカスタム仮想ネットワークを使用する場合
次の場合はマネージド仮想ネットワークを使用します
- 標準のネットワーク分離要件を持つ Azure Machine Learning の新しいユーザーである
- 標準的なネットワーク分離要件を持つ会社である
- HTTP/S エンドポイントを使用してリソースにオンプレミスでアクセスする必要がある
- 設定されている Azure 以外の依存関係がまだ多くない
- Azure Machine Learning マネージド オンライン エンドポイントとサーバーレス Spark コンピューティングを使用する必要がある
- 組織内のネットワークに関する管理要件が比較的少ない
次の場合はカスタム仮想ネットワークを使用します
- 高負荷ネットワークの分離の要件を持つ会社である
- 以前に設定した Azure 以外の依存関係が多数あり、Azure Machine Learning にアクセスする必要がある
- エンドポイントが HTTP/S でないオンプレミス データベースがある
- 独自のファイアウォールと仮想ネットワーク ログを使用し、送信ネットワーク トラフィックを監視する必要がある
- 推論ワークロードに Azure Kubernetes Services (AKS) を使用したい
次の表は、マネージドとカスタムの仮想ネットワークの利点と制限事項の比較を示しています。
| カスタム仮想ネットワーク | マネージド仮想ネットワーク | |
|---|---|---|
| メリット | - 既存のセットアップに合わせてネットワークを調整できる - Azure Machine Learning に独自の Azure 以外のリソースを持ち込む - オンプレミス リソースに接続する |
- セットアップとメンテナンスのオーバーヘッドが最小限に抑えられる - マネージド オンライン エンドポイントがサポートされる - サーバーレス Spark がサポートされる - 新機能を最初に入手する |
| 限界事項 | - 新機能のサポートが遅れる場合がある - マネージド オンライン エンドポイントがサポートされない - サーバーレス Spark がサポートされない - 基本モデルがサポートされない - ノー コード MLFlow がサポートされない - 実装の複雑さ - メンテナンスのオーバーヘッド |
- Azure Firewall と完全修飾ドメイン名 (FQDN) 規則によるコストへの影響 - 仮想ネットワークのログ、ファイアウォール、NSG ルールがサポートされない - HTTP/S でないエンドポイント リソースへのアクセスがサポートされない |
カスタム仮想ネットワークの制限事項
- 新機能のサポートが遅れる場合がある: ネットワーク分離オファリングを改善するための取り組みは、カスタムではなくマネージドの仮想ネットワークに重点が置かれています。 そのため、新しい機能の依頼は、カスタムよりもマネージド仮想ネットワークで優先されます。
- マネージド オンライン エンドポイントがサポートされない: マネージド オンライン エンドポイントはカスタム仮想ネットワークをサポートしていません。 マネージド オンライン エンドポイントをセキュリティで保護するには、ワークスペース マネージド仮想ネットワークを有効にする必要があります。 従来のネットワーク分離方法を使用してマネージド オンライン エンドポイントをセキュリティで保護できます。 しかし、ワークスペース マネージド ネットワーク分離を使用することを強くお勧めします。 詳細については、「マネージド オンライン エンドポイント」を参照してください。
- サーバーレス Spark コンピューティングがサポートされない: カスタム仮想ネットワークでサーバーレス Spark コンピューティングはサポートされません。 Azure Synapse ではマネージド仮想ネットワークのセットアップのみが使用されるため、ワークスペース マネージド仮想ネットワークではサーバーレス Spark がサポートされます。 詳細については、構成されたサーバーレス Spark に関するページを参照してください。
- 実装の複雑さとメンテナンスのオーバーヘッド: カスタム仮想ネットワークのセットアップでは、仮想ネットワーク、サブネット、プライベート エンドポイントなどのセットアップの複雑さはすべてユーザーが負うことになります。 ネットワークとコンピューティングのメンテナンスはユーザーが行う必要があります。
マネージド仮想ネットワークの制限事項
- Azure Firewall と FQDN 規則によるコストへの影響: Azure ファイアウォールは、ユーザー定義の FQDN アウトバウンド規則が作成された場合にのみ、ユーザーに代わってプロビジョニングされます。 Azure ファイアウォールは Standard SKU ファイアウォールであり、課金に追加されるコストが発生します。 詳細については、「Azure Firewall の価格」を参照してください。
- マネージド仮想ネットワークのログと監視がサポートされない: マネージド仮想ネットワークは、仮想ネットワーク フロー、NSG フロー、ファイアウォール ログをサポートしていません。 この制限は、マネージド仮想ネットワークが Microsoft テナントにデプロイされ、サブスクリプションに送信できないことによるものです。
- Azure 以外の非 HTTP/S リソースへのアクセスがサポートされない: マネージド仮想ネットワークでは、Azure 以外の非 HTTP/S リソースへのアクセスはできません。