Поделиться через

Обеспечение безопасности среды вывода службы "Машинное обучение Azure" с помощью виртуальных сетей

  • Статья

Из этой статьи вы узнаете, как защитить среды вывода (подключенные конечные точки) с помощью виртуальной сети в службе "Машинное обучение Azure". Виртуальная сеть позволяет защитить две возможности вывода:

  • Машинное обучение Azure: управляемые сетевые конечные точки

    Совет

    Корпорация Майкрософт рекомендует использовать управляемые виртуальные сети Машинное обучение Azure вместо действий, описанных в этой статье при защите управляемых сетевых конечных точек. С помощью управляемой виртуальной сети Машинное обучение Azure обрабатывает задание сетевой изоляции для рабочей области и управляемых вычислений. Вы также можете добавить частные конечные точки для ресурсов, необходимых рабочей области, например служба хранилища Azure account. Дополнительные сведения см. в изоляция управляемой сети рабочей области.

  • Служба Azure Kubernetes

Совет

Эта статья входит в цикл статей, посвященных вопросам защиты рабочего процесса Машинного обучения Azure. Другие статьи этой серии:

Руководство по созданию безопасной рабочей области см . в руководстве по созданию безопасной рабочей области, шаблона Bicep или шаблона Terraform.

Необходимые компоненты

  • Прочитайте статью Обзор сетевой безопасности, чтобы ознакомиться с типовыми сценариями виртуальной сети и общей архитектурой виртуальной сети.

  • Существующая виртуальная сеть и подсеть, которая используется для защиты рабочей области Машинное обучение Azure.

  • Чтобы развернуть ресурсы в виртуальной сети или подсети, учетная запись пользователя должна иметь разрешения на доступ к следующим действиям в управлении доступом на основе ролей в Azure (Azure RBAC):

    • "Microsoft.Network/*/read" в ресурсе виртуальной сети. Это разрешение не требуется для развертываний шаблонов Azure Resource Manager (ARM).
    • "Microsoft.Network/virtualNetworks/join/action" в ресурсе виртуальной сети.
    • "Microsoft.Network/virtualNetworks/subnets/join/action" в ресурсе подсети.

    Дополнительные сведения об Azure RBAC при работе с сетью см. в разделе Встроенные роли сети.

Защита управляемых подключенных конечных точек

Сведения о защите управляемых сетевых конечных точек см . в статье "Использование сетевой изоляции с управляемыми сетевыми конечными точками ".

Безопасные Служба Azure Kubernetes сетевые конечные точки

Чтобы использовать кластер Служба Azure Kubernetes для безопасного вывода, выполните следующие действия.

  1. Создайте или настройте защищенную среду вывода Kubernetes.

  2. Развертывание расширения Машинное обучение Azure.

  3. Подключите кластер Kubernetes к рабочей области.

  4. Развертывание модели с помощью веб-конечной точки Kubernetes можно сделать с помощью ИНТЕРФЕЙСА командной строки версии 2, пакета SDK для Python версии 2 и пользовательского интерфейса Studio.

Ограничение исходящих подключений из виртуальной сети

Если вы не хотите использовать правила для исходящего трафика по умолчанию и хотите ограничить исходящий доступ в виртуальной сети, необходимо разрешить доступ к реестру контейнеров Azure. Например, убедитесь, что группы безопасности сети (NSG) содержат правило, которое разрешает доступ к тегу службы AzureContainerRegistry.RegionName, где {RegionName} — это имя региона Azure.

Следующие шаги

Эта статья входит в цикл статей, посвященных вопросам защиты рабочего процесса Машинного обучения Azure. Другие статьи этой серии: