Jämföra konfigurationer för nätverksisolering i Azure Machine Learning
För dina arbetsytor erbjuder Azure Machine Learning två typer av konfigurationer för utgående nätverksisolering: hanterad nätverksisolering och anpassad nätverksisolering. Båda erbjuder fullständigt stöd för nätverksisolering med dess fördelar och begränsningar. Det här dokumentet beskriver funktionsstöd och begränsningar i båda konfigurationerna för nätverksisolering så att du kan bestämma vad som är bäst för dina behov.
Företagets säkerhetsbehov
Med molnbaserad databehandling kan du skala upp dina data- och maskininlärningsfunktioner, men det innebär också nya utmaningar och risker för säkerhet och efterlevnad. Du måste se till att molninfrastrukturen skyddas mot obehörig åtkomst, manipulering eller läckage av data och modeller. Du kan också behöva följa de regler och standarder som gäller för din bransch och domän.
Vanliga enterprise-krav är:
- Använd nätverksisoleringsgräns med virtuellt nätverk för att ha inkommande och utgående kontroll och för att ha privat anslutning till privata Azure-resurser.
- Undvik exponering för Internet utan offentliga IP-lösningar och privata slutpunkter.
- Använd virtuella nätverksinstallationer för att få bättre nätverkssäkerhetsfunktioner som brandvägg, intrångsidentifiering, hantering av säkerhetsrisker, webbfiltrering.
- Nätverksarkitektur för Azure Machine Learning kan integreras med befintlig nätverksarkitektur.
Vad är konfigurationer för hanterad och anpassad nätverksisolering?
Hanterad nätverksisolering är beroende av hanterade virtuella nätverk, vilket är en fullständigt hanterad funktion i Azure Machine Learning. Hanterad nätverksisolering är perfekt om du vill använda Azure Machine Learning med minimala konfigurations- och hanteringskostnader.
Anpassad nätverksisolering förlitar sig på att du skapar och hanterar ett virtuellt Azure-nätverk. Den här konfigurationen är perfekt om du letar efter maximal kontroll över nätverkskonfigurationen.
När du ska använda hanterade eller anpassade virtuella nätverk
Använd hanterat virtuellt nätverk när...
- Du är ny användare i Azure Machine Learning med standardkrav för nätverksisolering
- Du är ett företag med standardkrav för nätverksisolering
- Du behöver lokal åtkomst till resurser med HTTP/S-slutpunkter
- Du har inte konfigurerat många icke-Azure-beroenden än
- Du behöver använda Azure Machine Learning-hanterade onlineslutpunkter och serverlösa Spark-beräkningar
- Du har färre hanteringskrav för nätverk i din organisation
Använd ett anpassat virtuellt nätverk när...
- Du är ett företag med höga krav på nätverksisolering
- Du har många icke-Azure-beroenden som tidigare konfigurerats och behöver åtkomst till Azure Machine Learning
- Du har lokala databaser utan HTTP/S-slutpunkter
- Du behöver använda din egen brandvägg och loggning av virtuella nätverk och övervakning av utgående nätverkstrafik
- Du vill använda Azure Kubernetes Services (AKS) för slutsatsdragningsarbetsbelastningar
Följande tabell innehåller en jämförelse av fördelarna och begränsningarna för hanterade och anpassade virtuella nätverk:
| Anpassat virtuellt nätverk | Hanterat virtuellt nätverk | |
|---|---|---|
| Fördelar | – Du kan skräddarsy nätverk till din befintliga konfiguration – Ta med dina egna icke-Azure-resurser med Azure Machine Learning – Ansluta till lokala resurser |
– Minimera omkostnader för konfiguration och underhåll – Stöder hanterade onlineslutpunkter – Stöder serverlös spark – Hämtar nya funktioner först |
| Begränsningar | – Nytt funktionsstöd kan fördröjas – Hanterade onlineslutpunkter stöds INTE – Serverlös spark stöds INTE – Grundläggande modeller stöds INTE – Ingen kod MLFlow stöds INTE – Implementeringskomplexitet – Underhållskostnader |
– Kostnadskonsekvenser av Reglerna för Azure Firewall och fullständigt kvalificerade domännamn (FQDN) – Loggning av det virtuella nätverket, brandväggen och NSG-reglerna stöds INTE – Åtkomst till icke-HTTP/S-slutpunktsresurser stöds INTE |
Begränsningar för anpassat virtuellt nätverk
- Stöd för nya funktioner kan fördröjas: Arbetet med att förbättra våra erbjudanden för nätverksisolering fokuserar på hanterat i stället för anpassat virtuellt nätverk. Därför prioriteras nya funktionsbegärande i hanterat över anpassat virtuellt nätverk.
- Hanterade onlineslutpunkter stöds inte: Hanterade onlineslutpunkter stöder inte anpassat virtuellt nätverk. Arbetsytans hanterade virtuella nätverk måste vara aktiverat för att skydda dina hanterade onlineslutpunkter. Du kan skydda hanterade onlineslutpunkter med äldre nätverksisoleringsmetod. Men vi rekommenderar starkt att du använder arbetsytan hanterad nätverksisolering. Mer information finns i Hanterade onlineslutpunkter.
- Serverlös Spark-beräkning stöds inte: Serverlösa Spark-beräkningar stöds inte i ett anpassat virtuellt nätverk. Arbetsytans hanterade virtuella nätverk stöder Serverlös Spark eftersom Azure Synapse endast använder konfiguration av hanterade virtuella nätverk. Mer information finns i Konfigurerad serverlös Spark.
- Implementeringskomplexitet och underhållskostnader: Med anpassad konfiguration av virtuella nätverk faller allt komplexiteten i att konfigurera ett virtuellt nätverk, undernät, privata slutpunkter och mer på användaren. Underhållet av nätverket och beräkningar faller på användaren.
Begränsningar för hanterat virtuellt nätverk
- Kostnadskonsekvenser med Azure Firewall- och FQDN-regler: En Azure Firewall etableras endast för användarens räkning när en användardefinierad FQDN-regel för utgående trafik skapas. Azure Firewall är standard-SKU-brandväggen och medför kostnader som läggs till i din fakturering. Mer information finns i Prissättning för Azure Firewall.
- Loggning och övervakning av hanterat virtuellt nätverk stöds INTE: Det hanterade virtuella nätverket stöder inte virtuellt nätverksflöde, NSG-flöde eller brandväggsloggar. Den här begränsningen beror på att det hanterade virtuella nätverket distribueras i en Microsoft-klientorganisation och inte kan skickas till din prenumeration.
- Åtkomst till icke-Azure-resurser som inte är HTTP/S stöds inte: Det hanterade virtuella nätverket tillåter inte åtkomst till icke-Azure-resurser som inte är HTTP/S-resurser.