Udostępnij za pośrednictwem


Izolacja sieci w punktach końcowych wsadowych

Komunikację punktów końcowych wsadowych można zabezpieczyć przy użyciu sieci prywatnych. W tym artykule wyjaśniono wymagania dotyczące używania punktu końcowego wsadowego w środowisku zabezpieczonym przez sieci prywatne.

Zabezpieczanie punktów końcowych wsadowych

Punkty końcowe usługi Batch dziedziczą konfigurację sieci z obszaru roboczego, w którym są wdrażane. Wszystkie punkty końcowe wsadowe utworzone wewnątrz obszaru roboczego z obsługą łącza prywatnego są domyślnie wdrażane jako prywatne punkty końcowe wsadowe. Jeśli obszar roboczy jest poprawnie skonfigurowany, nie jest wymagana żadna dalsza konfiguracja.

Aby sprawdzić, czy obszar roboczy jest poprawnie skonfigurowany dla punktów końcowych wsadowych do pracy z siecią prywatną, upewnij się, że:

  1. Skonfigurowano obszar roboczy usługi Azure Machine Learning dla sieci prywatnej. Aby uzyskać więcej informacji na temat sposobu jego osiągnięcia, przeczytaj Tworzenie bezpiecznego obszaru roboczego.

  2. W przypadku usługi Azure Container Registry w sieciach prywatnych istnieją pewne wymagania wstępne dotyczące ich konfiguracji.

    Ostrzeżenie

    Rejestry kontenerów platformy Azure z włączoną funkcją kwarantanny nie są obecnie obsługiwane.

  3. Upewnij się, że prywatne punkty końcowe obiektów blob, plików, kolejek i tabel zostały skonfigurowane dla kont magazynu zgodnie z opisem w temacie Zabezpieczanie kont usługi Azure Storage. Wdrożenia wsadowe wymagają prawidłowego działania wszystkich elementów 4.

Na poniższym diagramie pokazano, jak sieć wygląda w przypadku punktów końcowych wsadowych podczas wdrażania w prywatnym obszarze roboczym:

Diagram przedstawiający architekturę wysokiego poziomu bezpiecznego wdrożenia obszaru roboczego usługi Azure Machine Learning.

Uwaga

Punkty końcowe usługi Batch, podobnie jak punkty końcowe online, nie obsługują kluczy public_network_access ani egress_public_network_access podczas konfigurowania punktu końcowego. Nie można wdrożyć publicznych punktów końcowych wsadowych w obszarach roboczych z obsługą łącza prywatnego.

Zabezpieczanie zadań wdrażania wsadowego

Wdrożenia wsadowe usługi Azure Machine Learning są uruchamiane w klastrach obliczeniowych. Aby zabezpieczyć zadania wdrażania wsadowego, należy również wdrożyć te klastry obliczeniowe w sieci wirtualnej.

  1. Utwórz klaster komputerów usługi Azure Machine Learning w sieci wirtualnej.

  2. Upewnij się, że wszystkie powiązane usługi mają prywatne punkty końcowe skonfigurowane w sieci. Prywatne punkty końcowe są używane nie tylko dla obszaru roboczego usługi Azure Machine Learning, ale także skojarzonych z nią zasobów, takich jak Azure Storage, Azure Key Vault lub Azure Container Registry. Usługa Azure Container Registry jest wymaganą usługą. Podczas zabezpieczania obszaru roboczego usługi Azure Machine Learning za pomocą sieci wirtualnych należy pamiętać, że istnieją pewne wymagania wstępne dotyczące usługi Azure Container Registry.

  3. Jeśli wystąpienie obliczeniowe używa publicznego adresu IP, musisz zezwolić na komunikację przychodzącą, aby usługi zarządzania mogły przesyłać zadania do zasobów obliczeniowych.

    Napiwek

    Klaster obliczeniowy i wystąpienie obliczeniowe można utworzyć z publicznym adresem IP lub bez tego adresu. Jeśli utworzono przy użyciu publicznego adresu IP, otrzymasz moduł równoważenia obciążenia z publicznym adresem IP umożliwiającym akceptowanie dostępu przychodzącego z usługi Azure Batch i usługi Azure Machine Learning. Jeśli używasz zapory, musisz skonfigurować routing zdefiniowany przez użytkownika (UDR). Jeśli utworzono bez publicznego adresu IP, uzyskasz usługę łącza prywatnego, aby zaakceptować dostęp przychodzący z usługi Azure Batch i usługi Azure Machine Learning bez publicznego adresu IP.

  4. W zależności od przypadku może być wymagana dodatkowa sieciowa grupa zabezpieczeń. Aby uzyskać więcej informacji, zobacz Jak zabezpieczyć środowisko szkoleniowe.

Aby uzyskać więcej informacji, zobacz artykuł Secure an Azure Machine Learning training environment with virtual networks (Zabezpieczanie środowiska szkoleniowego usługi Azure Machine Learning za pomocą sieci wirtualnych).

Ograniczenia

Podczas pracy z punktami końcowymi wsadowymi wdrożonym w sieci należy wziąć pod uwagę następujące ograniczenia:

  • Jeśli zmienisz konfigurację sieci obszaru roboczego z publicznego na prywatny lub z prywatnego na publiczny, taka konfiguracja sieci nie ma wpływu na istniejącą konfigurację sieci punktów końcowych wsadowych. Punkty końcowe usługi Batch opierają się na konfiguracji obszaru roboczego w momencie tworzenia. Możesz ponownie utworzyć punkty końcowe, jeśli chcesz, aby odzwierciedlały zmiany wprowadzone w obszarze roboczym.

  • Podczas pracy w obszarze roboczym z obsługą łącza prywatnego punkty końcowe wsadowe można tworzyć i zarządzać nimi przy użyciu usługi Azure Machine Learning Studio. Nie można ich jednak wywołać z poziomu interfejsu użytkownika w programie Studio. Zamiast tworzenia zadań użyj interfejsu wiersza polecenia usługi Azure Machine Learning w wersji 2. Aby uzyskać więcej informacji na temat korzystania z niego, zobacz Uruchamianie punktu końcowego wsadowego w celu uruchomienia zadania oceniania wsadowego.