Een Azure Machine Learning-deductieomgeving beveiligen met virtuele netwerken
In dit artikel leert u hoe u deductieomgevingen (online-eindpunten) beveiligt met een virtueel netwerk in Azure Machine Learning. Er zijn twee deductieopties die kunnen worden beveiligd met behulp van een VNet:
Door Azure Machine Learning beheerde online-eindpunten
Tip
Microsoft raadt u aan een door Azure Machine Learning beheerde virtuele netwerken te gebruiken in plaats van de stappen in dit artikel bij het beveiligen van beheerde online-eindpunten. Met een beheerd virtueel netwerk verwerkt Azure Machine Learning de taak van netwerkisolatie voor uw werkruimte en beheerde berekeningen. U kunt ook privé-eindpunten toevoegen voor resources die nodig zijn voor de werkruimte, zoals een Azure Storage-account. Zie Werkruimte-beheerd netwerkisolatie voor meer informatie.
Azure Kubernetes Service
Tip
Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks:
- Overzicht van virtueel netwerk
- De werkruimtebronnen beveiligen
- De trainingsomgeving beveiligen
- Studio-functionaliteit inschakelen
- Aangepaste DNS gebruiken
- Een firewall gebruiken
Zie Zelfstudie: Een beveiligde werkruimte, Bicep-sjabloon of Terraform-sjabloon maken voor een zelfstudie over het maken van een beveiligde werkruimte.
Vereisten
Lees het artikel Netwerkbeveiligingsoverzicht voor meer informatie over algemene scenario's voor virtuele netwerken en de algehele architectuur van virtuele netwerken.
Een bestaand virtueel netwerk en subnet dat wordt gebruikt om de Azure Machine Learning-werkruimte te beveiligen.
Als u resources wilt implementeren in een virtueel netwerk of subnet, moet uw gebruikersaccount machtigingen hebben voor de volgende acties in op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):
- 'Microsoft.Network/*/read' in de resource van het virtuele netwerk. Deze machtiging is niet nodig voor arm-sjabloonimplementaties (Azure Resource Manager).
- 'Microsoft.Network/virtualNetworks/join/action' in de resource van het virtuele netwerk.
- 'Microsoft.Network/virtualNetworks/subnetten/join/action' in de subnetresource.
Zie de ingebouwde netwerkrollen voor meer informatie over Azure RBAC met netwerken
- Als u Azure Kubernetes Service (AKS) gebruikt, moet u een bestaand AKS-cluster hebben beveiligd, zoals beschreven in het artikel over deductieomgeving van Secure Azure Kubernetes Service.
Beveiligde beheerde online-eindpunten
Zie het artikel Netwerkisolatie gebruiken met beheerde online-eindpunten voor informatie over het beveiligen van beheerde online-eindpunten .
Online-eindpunten van Azure Kubernetes Service beveiligen
Als u een Azure Kubernetes Service-cluster wilt gebruiken voor beveiligde deductie, gebruikt u de volgende stappen:
Een beveiligde Kubernetes-deductieomgeving maken of configureren.
Azure Machine Learning-extensie implementeren.
Modelimplementatie met kubernetes online-eindpunt kan worden uitgevoerd met CLI v2, Python SDK v2 en Studio UI.
- CLI v2 - https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 - https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Gebruikersinterface van Studio: volg de stappen in de implementatie van beheerde online-eindpunten via Studio. Nadat u de naam van het eindpunt hebt ingevoerd, selecteert u Kubernetes als het rekentype in plaats van Beheerd.
Uitgaande connectiviteit vanaf het virtuele netwerk beperken
Als u de standaardregels voor uitgaand verkeer niet wilt gebruiken en u wel de uitgaande toegang van uw virtuele netwerk wilt beperken, moet u toegang tot Azure Container Registry toestaan. Zorg er bijvoorbeeld voor dat uw netwerkbeveiligingsgroepen (NSG) een regel bevat die toegang biedt tot de servicetag AzureContainerRegistry.RegionName waarbij {RegionName} de naam is van een Azure-regio.
Volgende stappen
Dit artikel maakt deel uit van een reeks over het beveiligen van een Azure Machine Learning-werkstroom. Zie de andere artikelen in deze reeks: