Porównanie konfiguracji izolacji sieci w usłudze Azure Machine Learning
W przypadku obszarów roboczych usługa Azure Machine Learning oferuje dwa typy konfiguracji izolacji sieci wychodzącej: zarządzana izolacja sieci i niestandardową izolację sieci. Obie oferują pełną izolację sieci dzięki korzyściom i ograniczeniom. W tym dokumencie opisano obsługę funkcji i ograniczenia dotyczące obu konfiguracji izolacji sieci, aby zdecydować, co jest najlepsze dla Twoich potrzeb.
Wymagania dotyczące zabezpieczeń przedsiębiorstwa
Przetwarzanie w chmurze umożliwia skalowanie danych w górę i możliwości uczenia maszynowego, ale także stwarza nowe wyzwania i zagrożenia związane z zabezpieczeniami i zgodnością. Należy upewnić się, że infrastruktura chmury jest chroniona przed nieautoryzowanym dostępem, manipulowaniem lub wyciekiem danych i modeli. Może być również konieczne przestrzeganie przepisów i standardów, które mają zastosowanie do twojej branży i domeny.
Typowe wymagania dotyczące przedsiębiorstw obejmują:
- Użyj granicy izolacji sieciowej z siecią wirtualną, aby mieć kontrolę ruchu przychodzącego i wychodzącego oraz mieć prywatne połączenie z prywatnymi zasobami platformy Azure.
- Unikaj narażenia na Internet bez publicznych rozwiązań IP i prywatnych punktów końcowych.
- Użyj wirtualnych urządzeń sieciowych, aby mieć lepsze możliwości zabezpieczeń sieci, takie jak zapora, wykrywanie włamań, zarządzanie lukami w zabezpieczeniach, filtrowanie internetowe.
- Architekturę sieci dla usługi Azure Machine Learning można zintegrować z istniejącą architekturą sieci.
Jakie są konfiguracje izolacji sieci zarządzanej i niestandardowej?
Izolacja sieci zarządzanej opiera się na zarządzanych sieciach wirtualnych, które są w pełni zarządzaną funkcją usługi Azure Machine Learning. Izolacja sieci zarządzanej jest idealna, jeśli chcesz używać usługi Azure Machine Learning z minimalnym obciążeniem konfiguracji i zarządzania.
Niestandardowa izolacja sieci polega na tworzeniu sieci wirtualnej platformy Azure i zarządzaniu nią. Ta konfiguracja jest idealna, jeśli szukasz maksymalnej kontroli nad konfiguracją sieci.
Kiedy używać zarządzanych lub niestandardowych sieci wirtualnych
Użyj zarządzanej sieci wirtualnej, gdy...
- Jesteś nowym użytkownikiem usługi Azure Machine Learning z standardowymi wymaganiami dotyczącymi izolacji sieci
- Jesteś firmą z standardowymi wymaganiami dotyczącymi izolacji sieci
- Wymagany jest dostęp lokalny do zasobów przy użyciu punktów końcowych HTTP/S
- Nie masz jeszcze wielu zależności spoza platformy Azure
- Wymagane jest korzystanie z zarządzanych punktów końcowych online usługi Azure Machine Learning i bezserwerowych obliczeń spark
- W organizacji jest mniej wymagań dotyczących zarządzania siecią
Użyj niestandardowej sieci wirtualnej, gdy...
- Jesteś firmą z dużymi wymaganiami dotyczącymi izolacji sieci
- Masz wiele wcześniej skonfigurowanych zależności spoza platformy Azure i musisz uzyskać dostęp do usługi Azure Machine Learning
- Masz lokalne bazy danych bez punktów końcowych HTTP/S
- Wymagane jest używanie własnej zapory i rejestrowania sieci wirtualnej oraz monitorowania ruchu wychodzącego sieci
- Chcesz użyć usługi Azure Kubernetes Services (AKS) na potrzeby obciążeń wnioskowania
Poniższa tabela zawiera porównanie korzyści i ograniczeń zarządzanych i niestandardowych sieci wirtualnych:
| Niestandardowa sieć wirtualna | Zarządzana sieć wirtualna | |
|---|---|---|
| Korzyści | — Sieć można dostosować do istniejącej konfiguracji — Bring your own non-Azure resources with Azure Machine Learning - Connect to on-premises resources (Przenoszenie własnych zasobów spoza platformy Azure za pomocą usługi Azure Machine Learning — łączenie z zasobami lokalnymi) |
— Minimalizowanie obciążeń związanych z konfigurowaniem i konserwacją — obsługuje zarządzane punkty końcowe online — obsługuje bezserwerowe platformy Spark — najpierw pobiera nowe funkcje |
| Ograniczenia | — Obsługa nowych funkcji może być opóźniona — zarządzane punkty końcowe online NIE są obsługiwane — bezserwerowe platformy Spark NIE są obsługiwane — nieobsługiwane modele podstawowe — brak obsługiwanego kodu MLFlow — złożoność implementacji — nakład pracy związany z konserwacją |
— Wpływ na koszty reguł usługi Azure Firewall i w pełni kwalifikowanej nazwy domeny (FQDN) — rejestrowanie sieci wirtualnej, zapory i reguł sieciowej grupy zabezpieczeń NIE jest obsługiwane — dostęp do zasobów punktów końcowych nieobsługiwanych przez protokół HTTP/S |
Ograniczenia niestandardowej sieci wirtualnej
- Obsługa nowych funkcji może być opóźniona: Wysiłki na rzecz poprawy naszej oferty izolacji sieci koncentrują się na zarządzanych zamiast niestandardowych sieciach wirtualnych. W związku z tym nowe pytania dotyczące funkcji są priorytetowe w przypadku zarządzania za pośrednictwem niestandardowej sieci wirtualnej.
- Zarządzane punkty końcowe online nie są obsługiwane: zarządzane punkty końcowe online nie obsługują niestandardowej sieci wirtualnej. Sieć wirtualna zarządzana przez obszar roboczy musi być włączona w celu zabezpieczenia zarządzanych punktów końcowych online. Zarządzane punkty końcowe online można zabezpieczyć przy użyciu starszej metody izolacji sieciowej. Zdecydowanie zalecamy jednak używanie zarządzana izolacja sieci obszaru roboczego. Aby uzyskać więcej informacji, odwiedź stronę Zarządzane punkty końcowe online.
- Przetwarzanie bezserwerowe platformy Spark nie jest obsługiwane: bezserwerowe obliczenia platformy Spark nie są obsługiwane w niestandardowej sieci wirtualnej. Zarządzana sieć wirtualna obszaru roboczego obsługuje bezserwerową platformę Spark, ponieważ usługa Azure Synapse używa tylko zarządzanej sieci wirtualnej. Aby uzyskać więcej informacji, odwiedź stronę Konfigurowanie bezserwerowej platformy Spark.
- Złożoność implementacji i obciążenie związane z konserwacją: dzięki niestandardowej konfiguracji sieci wirtualnej cała złożoność konfigurowania sieci wirtualnej, podsieci, prywatnych punktów końcowych i nie tylko zależy od użytkownika. Konserwacja sieci i obliczeń spada na użytkownika.
Ograniczenia zarządzanej sieci wirtualnej
- Wpływ na koszty związane z regułami usługi Azure Firewall i nazw FQDN: usługa Azure Firewall jest aprowizowana w imieniu użytkownika tylko wtedy, gdy zostanie utworzona reguła ruchu wychodzącego FQDN zdefiniowana przez użytkownika. Usługa Azure Firewall to zapora jednostki SKU w warstwie Standardowa i wiąże się z kosztami dodanymi do rozliczeń. Aby uzyskać więcej informacji, odwiedź stronę Cennik usługi Azure Firewall.
- Rejestrowanie i monitorowanie zarządzanej sieci wirtualnej NIE jest obsługiwane: zarządzana sieć wirtualna nie obsługuje przepływu sieci wirtualnej, przepływu sieciowej grupy zabezpieczeń ani dzienników zapory. To ograniczenie jest spowodowane tym, że zarządzana sieć wirtualna jest wdrożona w dzierżawie firmy Microsoft i nie można jej wysłać do subskrypcji.
- Dostęp do zasobów spoza platformy Azure, innych niż HTTP/S nie jest obsługiwany: zarządzana sieć wirtualna nie zezwala na dostęp do zasobów spoza platformy Azure, innych niż HTTP/S.