Netwerkisolatieconfiguraties vergelijken in Azure Machine Learning
Voor uw werkruimten biedt Azure Machine Learning twee typen configuraties voor uitgaande netwerkisolatie: beheerd netwerkisolatie en aangepaste netwerkisolatie. Beide bieden volledige ondersteuning voor netwerkisolatie met de voordelen en beperkingen. In dit document worden ondersteuning van functies en beperkingen behandeld voor beide configuraties voor netwerkisolatie, zodat u kunt bepalen wat het beste is voor uw behoeften.
Bedrijfsbeveiligingsbehoeften
Met cloud-computing kunt u uw gegevens- en machine learning-mogelijkheden omhoog schalen, maar het biedt ook nieuwe uitdagingen en risico's voor beveiliging en naleving. U moet ervoor zorgen dat uw cloudinfrastructuur wordt beschermd tegen onbevoegde toegang, manipulatie of lekkage van gegevens en modellen. Mogelijk moet u zich ook houden aan de voorschriften en standaarden die van toepassing zijn op uw branche en domein.
Typische Enterprise-vereisten zijn onder andere:
- Gebruik de grens voor netwerkisolatie met een virtueel netwerk om binnenkomende en uitgaande controle te hebben en om een privéverbinding met privé-Azure-resources te hebben.
- Vermijd blootstelling aan internet zonder openbare IP-oplossingen en privé-eindpunten.
- Gebruik virtuele netwerkapparaten om betere netwerkbeveiligingsmogelijkheden te hebben, zoals firewalling, inbraakdetectie, beheer van beveiligingsproblemen, webfilters.
- Netwerkarchitectuur voor Azure Machine Learning kan worden geïntegreerd met bestaande netwerkarchitectuur.
Wat zijn beheerde en aangepaste netwerkisolatieconfiguraties?
Beheerde netwerkisolatie is afhankelijk van beheerde virtuele netwerken. Dit is een volledig beheerde functie van Azure Machine Learning. Beheerde netwerkisolatie is ideaal als u Azure Machine Learning wilt gebruiken met minimale configuratie- en beheeroverhead.
Aangepaste netwerkisolatie is afhankelijk van het maken en beheren van een virtueel Azure-netwerk. Deze configuratie is ideaal als u op zoek bent naar maximale controle over uw netwerkconfiguratie.
Wanneer beheerde of aangepaste virtuele netwerken worden gebruikt
Beheerd virtueel netwerk gebruiken wanneer...
- U bent nieuwe gebruiker van Azure Machine Learning met standaardvereisten voor netwerkisolatie
- U bent een bedrijf met standaardvereisten voor netwerkisolatie
- U hebt on-premises toegang tot resources met HTTP/S-eindpunten nodig
- Er zijn nog niet veel niet-Azure-afhankelijkheden ingesteld
- U hebt het gebruik van door Azure Machine Learning beheerde online-eindpunten en serverloze spark-berekeningen nodig
- U hebt minder beheervereisten voor netwerken in uw organisatie
Aangepast virtueel netwerk gebruiken wanneer...
- U bent een bedrijf met zware vereisten voor netwerkisolatie
- U hebt veel niet-Azure-afhankelijkheden die u eerder hebt ingesteld en toegang nodig hebt tot Azure Machine Learning
- U hebt on-premises databases zonder HTTP/S-eindpunten
- U moet uw eigen firewall- en virtuele netwerklogboekregistratie en bewaking van uitgaand netwerkverkeer gebruiken
- U wilt Azure Kubernetes Services (AKS) gebruiken voor deductieworkloads
De volgende tabel bevat een vergelijking van de voordelen en beperkingen van beheerde en aangepaste virtuele netwerken:
| Aangepast virtueel netwerk | Beheerd virtueel netwerk | |
|---|---|---|
| Voordelen | - U kunt netwerken aanpassen aan uw bestaande configuratie : Uw eigen niet-Azure-resources meenemen met Azure Machine Learning - Verbinding maken met on-premises resources |
- Minimaliseer de overhead voor instellen en onderhoud - Ondersteunt beheerde online-eindpunten - Ondersteunt serverloze spark - Hiermee haalt u eerst nieuwe functies op |
| Beperkingen | - Ondersteuning voor nieuwe functies kan worden vertraagd - Beheerde online-eindpunten NIET ondersteund - Serverloze spark NIET ondersteund - Foundationele modellen NIET ondersteund - Geen code MLFlow NIET ondersteund - Implementatiecomplexiteit - Overhead voor onderhoud |
- Kostengevolgen van de Azure Firewall- en FQDN-regels (Fully Qualified Domain Name) - Logboekregistratie van het virtuele netwerk, de firewall en de NSG-regels WORDEN NIET ondersteund - Toegang tot niet-HTTP/S-eindpuntbronnen WORDT NIET ondersteund |
Beperkingen voor aangepast virtueel netwerk
- Ondersteuning voor nieuwe functies kan worden vertraagd: inspanningen voor het verbeteren van onze netwerkisolatieaanbiedingen zijn gericht op beheerd in plaats van aangepast virtueel netwerk. Daarom krijgen nieuwe functie-vragen prioriteit voor beheerd via aangepast virtueel netwerk.
- Beheerde online-eindpunten worden niet ondersteund: beheerde online-eindpunten bieden geen ondersteuning voor aangepast virtueel netwerk. Het beheerde virtuele netwerk van de werkruimte moet zijn ingeschakeld om uw beheerde online-eindpunten te beveiligen. U kunt beheerde online-eindpunten beveiligen met een verouderde netwerkisolatiemethode. We raden u echter ten zeerste aan om werkruimte-beheerd netwerkisolatie te gebruiken. Ga naar Beheerde online-eindpunten voor meer informatie.
- Serverloze Spark-rekenkracht wordt niet ondersteund: Serverloze Spark-berekeningen worden niet ondersteund in een aangepast virtueel netwerk. Het beheerde virtuele netwerk van de werkruimte ondersteunt Serverloze Spark, omdat Azure Synapse alleen gebruikmaakt van een beheerde virtuele netwerkconfiguratie. Ga naar Geconfigureerde serverloze Spark voor meer informatie.
- Implementatiecomplexiteit en onderhoudsoverhead: Bij het instellen van een aangepast virtueel netwerk valt alle complexiteit van het instellen van een virtueel netwerk, subnet, privé-eindpunten en meer op de gebruiker. Onderhoud van het netwerk en berekeningen vallen onder de gebruiker.
Beperkingen voor beheerde virtuele netwerken
- Gevolgen voor kosten met Azure Firewall- en FQDN-regels: Een Azure Firewall wordt alleen ingericht namens de gebruiker wanneer er een door de gebruiker gedefinieerde FQDN-regel voor uitgaand verkeer wordt gemaakt. De Azure Firewall is de Standard SKU Firewall en brengt kosten in rekening die worden toegevoegd aan uw facturering. Ga naar prijzen voor Azure Firewall voor meer informatie.
- Logboekregistratie en bewaking van beheerd virtueel netwerk NIET ondersteund: het beheerde virtuele netwerk ondersteunt geen virtuele netwerkstroom, NSG-stroom of firewalllogboeken. Deze beperking komt doordat het beheerde virtuele netwerk wordt geïmplementeerd in een Microsoft-tenant en niet naar uw abonnement kan worden verzonden.
- Toegang tot niet-Azure-, niet-HTTP/S-resources wordt niet ondersteund: het beheerde virtuele netwerk staat geen toegang toe tot niet-Azure-, niet-HTTP/S-resources.