Comparar configurações de isolamento de rede no Azure Machine Learning
Para seus espaços de trabalho, o Aprendizado de Máquina do Azure oferece dois tipos de configurações de isolamento de rede de saída: isolamento de rede gerenciado e isolamento de rede personalizado. Ambos oferecem suporte total ao isolamento de rede com seus benefícios e limitações. Este documento aborda o suporte a recursos e as limitações em ambas as configurações de isolamento de rede para que você decida o que é melhor para suas necessidades.
Necessidades de segurança empresarial
A computação em nuvem permite que você amplie seus recursos de dados e aprendizado de máquina, mas também apresenta novos desafios e riscos para a segurança e a conformidade. Você precisa garantir que sua infraestrutura de nuvem esteja protegida contra acesso não autorizado, adulteração ou vazamento de dados e modelos. Você também pode precisar aderir aos regulamentos e padrões que se aplicam ao seu setor e domínio.
Os requisitos empresariais típicos incluem:
- Use o limite de isolamento de rede com a rede virtual para ter controle de entrada e saída e para ter conexão privada com recursos privados do Azure.
- Evite a exposição à Internet sem soluções IP públicas e terminais privados.
- Use dispositivos de rede virtual para ter melhores recursos de segurança de rede, como firewall, deteção de intrusão, gerenciamento de vulnerabilidades, filtragem da Web.
- A arquitetura de rede do Azure Machine Learning pode ser integrada com a arquitetura de rede existente.
O que são configurações de isolamento de rede gerenciadas e personalizadas?
O isolamento de rede gerenciado depende de redes virtuais gerenciadas, que é um recurso totalmente gerenciado do Azure Machine Learning. O isolamento de rede gerenciado é ideal se você quiser usar o Aprendizado de Máquina do Azure com sobrecarga mínima de configuração e gerenciamento.
O isolamento de rede personalizado depende da criação e gestão de uma Rede Virtual do Azure. Esta configuração é ideal se procura um controlo máximo sobre a sua configuração de rede.
Quando usar redes virtuais gerenciadas ou personalizadas
Use a rede virtual gerenciada quando...
- Você é um novo usuário do Azure Machine Learning com requisitos padrão de isolamento de rede
- Você é uma empresa com requisitos padrão de isolamento de rede
- Você precisa de acesso local a recursos com pontos de extremidade HTTP/S
- Você ainda não tem muitas dependências que não sejam do Azure configuradas
- Você precisa usar pontos de extremidade online gerenciados do Azure Machine Learning e cálculos de faísca sem servidor
- Você tem menos requisitos de gerenciamento para redes em sua organização
Use a rede virtual personalizada quando...
- Você é uma empresa com grandes requisitos de isolamento de rede
- Você tem muitas dependências que não são do Azure configuradas anteriormente e precisa acessar o Aprendizado de Máquina do Azure
- Você tem bancos de dados locais sem pontos de extremidade HTTP/S
- Você precisa usar seu próprio Firewall e registro de rede virtual e monitoramento do tráfego de rede de saída
- Você deseja usar os Serviços Kubernetes do Azure (AKS) para cargas de trabalho de inferência
A tabela a seguir fornece uma comparação dos benefícios e limitações de redes virtuais gerenciadas e personalizadas:
Rede virtual personalizada | Rede virtual gerenciada | |
---|---|---|
Benefícios | - Você pode adaptar a rede à sua configuração existente- Traga seus próprios recursos que não sejam do Azure com o Azure Machine Learning - Conecte-se a recursos locais |
- Minimizar a sobrecarga de configuração e manutenção- Suporta endpoints on-line gerenciados- Suporta faísca sem servidor- Obtém novos recursos primeiro |
Limitações | - Suporte a novos recursos pode ser atrasado- Pontos de extremidade on-line gerenciados NÃO suportados - Faísca sem servidor NÃO suportada - Modelos básicos NÃO suportados - Sem código MLFlow NÃO suportado - Complexidade da implementação- Sobrecarga de manutenção |
- Implicações de custo do Firewall do Azure e regras de nome de domínio totalmente qualificado (FQDN)- Registro em log da rede virtual, firewall e regras NSG NÃO suportadas - Acesso a recursos de ponto de extremidade não-HTTP/S NÃO suportado |
Limitações de rede virtual personalizada
- O suporte a novos recursos pode ser adiado: os esforços para melhorar nossas ofertas de isolamento de rede estão focados na rede virtual gerenciada em vez da personalizada. Portanto, as novas solicitações de recursos são priorizadas na rede virtual gerenciada em vez da personalizada.
- Não há suporte para pontos de extremidade online gerenciados: os pontos de extremidade online gerenciados não suportam rede virtual personalizada. A rede virtual gerenciada pelo espaço de trabalho deve ser habilitada para proteger seus pontos de extremidade online gerenciados. Você pode proteger pontos de extremidade online gerenciados com o método de isolamento de rede herdado. No entanto, é altamente recomendável que você use o isolamento de rede gerenciado pelo espaço de trabalho. Para obter mais informações, visite Pontos de extremidade online gerenciados.
- Não há suporte para computação de faísca sem servidor: não há suporte para computação de faísca sem servidor em uma rede virtual personalizada. A rede virtual gerenciada pelo espaço de trabalho dá suporte ao Serverless Spark porque o Azure Synapse usa apenas a configuração de rede virtual gerenciada. Para obter mais informações, visite Configured Serverless Spark.
- Complexidade de implementação e sobrecarga de manutenção: Com a configuração de rede virtual personalizada, toda a complexidade de configurar uma rede virtual, sub-rede, pontos de extremidade privados e muito mais recai sobre o usuário. A manutenção da rede e os cálculos recaem sobre o utilizador.
Limitações da rede virtual gerenciada
- Implicações de custo com o Firewall do Azure e as regras FQDN: um Firewall do Azure é provisionado em nome do usuário somente quando uma regra de saída FQDN definida pelo usuário é criada. O Firewall do Azure é o Firewall de SKU padrão e incorre em custos que são adicionados à sua cobrança. Para obter mais informações, visite Preços do Firewall do Azure.
- Registro e monitoramento de rede virtual gerenciada NÃO suportados: A rede virtual gerenciada não suporta fluxo de rede virtual, fluxo NSG ou logs de firewall. Essa limitação ocorre porque a rede virtual gerenciada é implantada em um locatário da Microsoft e não pode ser enviada para sua assinatura.
- Não há suporte para acesso a recursos que não sejam do Azure, não HTTP/S: a rede virtual gerenciada não permite o acesso a recursos que não sejam do Azure, que não sejam HTTP/S.