Udostępnij za pośrednictwem

Zabezpieczanie środowiska wnioskowania usługi Azure Machine Learning za pomocą sieci wirtualnych

  • Artykuł

Z tego artykułu dowiesz się, jak zabezpieczyć środowiska wnioskowania (punkty końcowe online) za pomocą sieci wirtualnej w usłudze Azure Machine Learning. Istnieją dwie opcje wnioskowania, które można zabezpieczyć przy użyciu sieci wirtualnej:

  • Zarządzane punkty końcowe online usługi Azure Machine Learning

    Napiwek

    Firma Microsoft zaleca używanie zarządzanych sieci wirtualnych usługi Azure Machine Learning zamiast kroków opisanych w tym artykule podczas zabezpieczania zarządzanych punktów końcowych online. W przypadku zarządzanej sieci wirtualnej usługa Azure Machine Learning obsługuje zadanie izolacji sieci dla obszaru roboczego i zarządzanych zasobów obliczeniowych. Możesz również dodać prywatne punkty końcowe dla zasobów wymaganych przez obszar roboczy, na przykład konto usługi Azure Storage. Aby uzyskać więcej informacji, zobacz Obszar roboczy zarządzana izolacja sieci.

  • Azure Kubernetes Service

Napiwek

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii:

Aby zapoznać się z samouczkiem dotyczącym tworzenia bezpiecznego obszaru roboczego, zobacz Samouczek: tworzenie bezpiecznego obszaru roboczego, szablonu Bicep lub szablonu narzędzia Terraform.

Wymagania wstępne

  • Przeczytaj artykuł Omówienie zabezpieczeń sieci, aby poznać typowe scenariusze sieci wirtualnej i ogólną architekturę sieci wirtualnej.

  • Istniejąca sieć wirtualna i podsieć używana do zabezpieczania obszaru roboczego usługi Azure Machine Learning.

  • Aby wdrożyć zasoby w sieci wirtualnej lub podsieci, konto użytkownika musi mieć uprawnienia do następujących akcji w kontroli dostępu opartej na rolach platformy Azure (Azure RBAC):

    • "Microsoft.Network/*/read" w zasobie sieci wirtualnej. To uprawnienie nie jest wymagane w przypadku wdrożeń szablonów usługi Azure Resource Manager (ARM).
    • "Microsoft.Network/virtualNetworks/join/action" w zasobie sieci wirtualnej.
    • "Microsoft.Network/virtualNetworks/subnets/join/action" w zasobie podsieci.

    Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach platformy Azure z siecią, zobacz Wbudowane role sieciowe

Zabezpieczanie zarządzanych punktów końcowych online

Aby uzyskać informacje na temat zabezpieczania zarządzanych punktów końcowych online, zobacz artykuł Używanie izolacji sieciowej z zarządzanymi punktami końcowymi online.

Zabezpieczanie punktów końcowych online usługi Azure Kubernetes Service

Aby użyć klastra usługi Azure Kubernetes Service do bezpiecznego wnioskowania, wykonaj następujące kroki:

  1. Utwórz lub skonfiguruj bezpieczne środowisko wnioskowania kubernetes.

  2. Wdrażanie rozszerzenia usługi Azure Machine Learning.

  3. Dołącz klaster Kubernetes do obszaru roboczego.

  4. Wdrażanie modelu za pomocą punktu końcowego online platformy Kubernetes można wykonać przy użyciu interfejsu wiersza polecenia w wersji 2, zestawu Python SDK w wersji 2 i interfejsu użytkownika programu Studio.

Ograniczanie łączności wychodzącej z sieci wirtualnej

Jeśli nie chcesz używać domyślnych reguł ruchu wychodzącego i chcesz ograniczyć dostęp wychodzący sieci wirtualnej, musisz zezwolić na dostęp do usługi Azure Container Registry. Upewnij się na przykład, że sieciowe grupy zabezpieczeń zawierają regułę zezwalającą na dostęp do tagu usługi AzureContainerRegistry.RegionName , w którym "{RegionName} jest nazwą regionu platformy Azure.

Następne kroki

Ten artykuł jest częścią serii dotyczącej zabezpieczania przepływu pracy usługi Azure Machine Learning. Zobacz inne artykuły z tej serii: