Delen via

Netwerkisolatie in batch-eindpunten

  • Artikel

U kunt communicatie met batcheindpunten beveiligen met behulp van privénetwerken. In dit artikel worden de vereisten uitgelegd voor het gebruik van batch-eindpunten in een omgeving die wordt beveiligd door privénetwerken.

Batch-eindpunten beveiligen

Batch-eindpunten nemen de netwerkconfiguratie over van de werkruimte waar ze worden geïmplementeerd. Alle batch-eindpunten die zijn gemaakt in een privékoppeling-werkruimte, worden standaard geïmplementeerd als privé-batch-eindpunten. Wanneer de werkruimte correct is geconfigureerd, is er geen verdere configuratie vereist.

Als u wilt controleren of uw werkruimte juist is geconfigureerd voor batch-eindpunten voor gebruik met privénetwerken, controleert u het volgende:

  1. U hebt uw Azure Machine Learning-werkruimte geconfigureerd voor privénetwerken. Lees Een beveiligde werkruimte maken voor meer informatie over hoe u deze kunt bereiken.

  2. Voor Azure Container Registry in privénetwerken zijn er enkele vereisten voor hun configuratie.

    Waarschuwing

    Azure ContainerRegistries waarvoor de functie Quarantaine is ingeschakeld, wordt momenteel niet ondersteund.

  3. Zorg ervoor dat privé-eindpunten voor blobs, bestanden, wachtrijen en tabellen zijn geconfigureerd voor de opslagaccounts, zoals wordt uitgelegd in Beveiligde Azure-opslagaccounts. Batch-implementaties vereisen dat alle vier goed werken.

In het volgende diagram ziet u hoe het netwerk eruitziet voor batch-eindpunten wanneer deze worden geïmplementeerd in een privéwerkruimte:

Diagram met de architectuur op hoog niveau van een beveiligde implementatie van een Azure Machine Learning-werkruimte.

Let op

Batch-eindpunten bieden, net als bij online-eindpunten, geen ondersteuning voor de sleutels public_network_access of egress_public_network_access bij het configureren van het eindpunt. Het is niet mogelijk om openbare batch-eindpunten te implementeren in werkruimten met private link-functionaliteit.

Batchimplementatietaken beveiligen

Azure Machine Learning-batchimplementaties worden uitgevoerd op rekenclusters. Voor het beveiligen van batchimplementatietaken moeten deze rekenclusters ook worden geïmplementeerd in een virtueel netwerk.

  1. Maak een Azure Machine Learning-computercluster in het virtuele netwerk.

  2. Zorg ervoor dat alle gerelateerde services privé-eindpunten hebben geconfigureerd in het netwerk. Privé-eindpunten worden niet alleen gebruikt voor Een Azure Machine Learning-werkruimte, maar ook voor de bijbehorende resources, zoals Azure Storage, Azure Key Vault of Azure Container Registry. Azure Container Registry is een vereiste service. Houd er rekening mee dat er enkele vereisten zijn voor Azure Container Registry tijdens het beveiligen van de Azure Machine Learning-werkruimte met virtuele netwerken.

  3. Als uw rekenproces gebruikmaakt van een openbaar IP-adres, moet u binnenkomende communicatie toestaan, zodat beheerservices taken kunnen verzenden naar uw rekenresources.

    Tip

    Het rekencluster en het rekenproces kunnen worden gemaakt met of zonder een openbaar IP-adres. Als u een openbaar IP-adres hebt gemaakt, krijgt u een load balancer met een openbaar IP-adres om de binnenkomende toegang van de Azure Batch-service en De Azure Machine Learning-service te accepteren. U moet door de gebruiker gedefinieerde routering (UDR) configureren als u een firewall gebruikt. Als u zonder een openbaar IP-adres hebt gemaakt, krijgt u een private link-service om de binnenkomende toegang van de Azure Batch-service en De Azure Machine Learning-service te accepteren zonder een openbaar IP-adres.

  4. Er is mogelijk extra NSG vereist, afhankelijk van uw case. Zie Hoe u uw trainingsomgeving beveiligt voor meer informatie.

Zie het artikel Een Azure Machine Learning-trainingsomgeving beveiligen met virtuele netwerken voor meer informatie.

Beperkingen

Houd rekening met de volgende beperkingen bij het werken aan batch-eindpunten die zijn geïmplementeerd met betrekking tot netwerken:

  • Als u de netwerkconfiguratie van de werkruimte wijzigt van openbaar naar privé of van privé naar openbaar, heeft dit geen invloed op de bestaande netwerkconfiguratie van batcheindpunten. Batch-eindpunten zijn afhankelijk van de configuratie van de werkruimte op het moment van maken. U kunt uw eindpunten opnieuw maken als u wilt dat ze wijzigingen weerspiegelen die u in de werkruimte hebt aangebracht.

  • Wanneer u werkt aan een werkruimte met private link-functionaliteit, kunnen batcheindpunten worden gemaakt en beheerd met behulp van Azure Machine Learning-studio. Ze kunnen echter niet worden aangeroepen vanuit de gebruikersinterface in Studio. Gebruik in plaats daarvan de Azure Machine Learning CLI v2 voor het maken van taken. Zie Batch-eindpunt uitvoeren om een batchscoretaak te starten voor meer informatie over het gebruik ervan.