가상 네트워크에서 Azure Machine Learning 추론 환경 보호
이 문서에서는 Azure Machine Learning에서 가상 네트워크를 사용하여 유추 환경(온라인 엔드포인트)을 보호하는 방법을 알아봅니다. VNet을 사용하여 보호할 수 있는 두 가지 유추 옵션이 있습니다.
Azure Machine Learning 관리형 온라인 엔드포인트
팁
Microsoft에서는 관리되는 온라인 엔드포인트를 보호할 때 이 문서의 단계 대신 Azure Machine Learning 관리되는 가상 네트워크를 사용하는 것이 좋습니다. 관리되는 가상 네트워크를 통해 Azure Machine Learning은 작업 영역 및 관리 컴퓨팅에 대한 네트워크 격리 작업을 처리합니다. Azure Storage 계정과 같이 작업 영역에 필요한 리소스에 대한 프라이빗 엔드포인트를 추가할 수도 있습니다. 자세한 내용은 작업 영역 관리되는 네트워크 격리를 참조하세요.
Azure Kubernetes Service
팁
이 문서는 Azure Machine Learning 워크플로 보안에 대한 시리즈의 일부입니다. 이 시리즈의 다른 문서를 참조하세요.
보안 작업 영역을 만드는 방법에 대한 자습서는 자습서: 보안 작업 영역 만들기, Bicep 템플릿 또는 Terraform 템플릿을 참조하세요.
필수 조건
일반적인 가상 네트워크 시나리오 및 전반적인 가상 네트워크 아키텍처를 이해하려면 네트워크 보안 개요 문서를 참조하세요.
Azure Machine Learning 작업 영역을 보호하는 데 사용되는 기존 가상 네트워크 및 서브넷입니다.
가상 네트워크 또는 서브넷에 리소스를 배포하려면 사용자 계정에는 Azure RBAC(Azure 역할 기반 액세스 제어)에서 다음 작업에 대한 사용 권한이 있어야 합니다.
- 가상 네트워크 리소스의 "Microsoft.Network/*/read"입니다. ARM(Azure Resource Manager) 템플릿 배포에는 이 권한이 필요하지 않습니다.
- 가상 네트워크 리소스에 대한 “Microsoft.Network/virtualNetworks/join/action”
- 서브넷 리소스에 대한 "Microsoft.Network/virtualNetworks/subnets/join/action"
네트워킹과 Azure RBAC에 관한 자세한 내용은 네트워킹 기본 제공 역할을 참조하세요.
- AKS(Azure Kubernetes Service)를 사용하는 경우 보안 Azure Kubernetes Service 유추 환경 문서에 설명된 대로 기존 AKS 클러스터를 보호해야 합니다.
관리형 온라인 엔드포인트 보안
관리형 온라인 엔드포인트 보안에 대한 자세한 내용은 관리형 온라인 엔드포인트로 네트워크 격리 사용 문서를 참조하세요.
안전한 Azure Kubernetes Service 온라인 엔드포인트
보안 유추를 위해 Azure Kubernetes Service 클러스터를 사용하려면 다음 단계를 사용합니다.
보안 Kubernetes 유추 환경을 만들거나 구성합니다.
Azure Machine Learning 확장을 배포합니다.
Kubernetes 온라인 엔드포인트를 사용한 모델 배포는 CLI v2, Python SDK v2 및 Studio UI를 사용하여 수행할 수 있습니다.
- CLI v2 - https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 - https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- 스튜디오 UI - 스튜디오를 통해 관리형 온라인 엔드포인트 배포 단계를 따릅니다. 엔드포인트 이름을 입력한 후 컴퓨팅 형식으로 관리되는 대신 Kubernetes를 선택합니다.
가상 네트워크에서 아웃바운드 연결 제한
기본 아웃바운드 규칙을 사용하지 않고 가상 네트워크의 아웃바운드 액세스를 제한하려면 Azure Container Registry에 대한 액세스를 허용해야 합니다. 예를 들어 NSG(네트워크 보안 그룹)에 AzureContainerRegistry.RegionNam 서비스 태그에 대한 액세스를 허용하는 규칙이 포함되어 있어야 합니다. 여기서 '{RegionName}'은 Azure 지역의 이름입니다.
다음 단계
이 문서는 Azure Machine Learning 워크플로 보안에 대한 시리즈의 일부입니다. 이 시리즈의 다른 문서를 참조하세요.