Изменение сетевой изоляции на новой платформе API в Azure Resource Manager
В этой статье вы узнаете об изменениях сетевой изоляции на новой платформе API версии 2 в Azure Resource Manager (ARM) и ее влиянии на сетевую изоляцию.
Новые возможности платформы API в Azure Resource Manager (ARM)
Существует два типа операций, используемых API версий 1 и 2, Azure Resource Manager (ARM) и рабочая область машинного обучения Azure.
В API версии 1 большинство операций использовало рабочую область. Для версии 2 мы перевели большинство операций на использование общедоступного ARM.
Версия API | Общедоступный ARM | Внутри виртуальной сети рабочей области |
---|---|---|
Версия 1 | Операции создания, обновления и удаления (CRUD) рабочих областей и вычислений. | Другие операции, например эксперименты. |
Версия 2 | Большинство операций, например, с рабочей областью, вычислениями, хранилищем данных, набором данных, заданием, средой, кодом, компонентом, конечными точками. | Остальные операции. |
API версии 2 предоставляет собой согласованный API, где все доступно в одном месте. Благодаря API версии 2 вы можете проще использовать управление доступом на основе ролей Azure и Политику Azure для ресурсов, так как он основан на Azure Resource Manager.
Интерфейс командной строки версии 2 Машинного обучения Azure использует новую платформу API версии 2. Новые функции, такие как управляемые сетевые конечные точки , доступны только на платформе API версии 2.
Изменения сетевой изоляции в версии 2
Как упоминалось в предыдущем разделе, существует два типа операций: с использованием ARM и рабочей области. В устаревшем API версии 1 большинство операций использовало рабочую область. В API версии 1 добавление частной конечной точки в рабочую область обеспечивало сетевую изоляцию для всех операций, кроме CRUD, в рабочей области или вычислительных ресурсах.
В новом API версии 2 большинство операций использует ARM. Поэтому включение частной конечной точки в рабочей области не обеспечивает такой же уровень сетевой изоляции. Операции, использующие ARM, взаимодействуют через общедоступные сети и включают все метаданные (например, идентификаторы ресурсов) или параметры, используемые операцией. Например, параметры.
Внимание
Для большинства пользователей использование общедоступной связи ARM является нормальным:
- Общедоступная связь ARM стандартно используется для операций управления в службах Azure. Например, ARM применяется при создании учетной записи хранения или виртуальной сети Azure.
- Операции Машинного обучения Azure не раскрывают данные из вашей учетной записи хранения (или другого хранилища в виртуальной сети) для общедоступных сетей. Например, если задание обучения выполняется на вычислительном кластере в виртуальной сети и использует данные из учетной записи хранения в виртуальной сети, то доступ к данным осуществляется безопасным образом напрямую через виртуальную сеть.
- Все взаимодействие через общедоступную связь ARM шифруется по протоколу TLS 1.2.
Если вам нужно время на оценку нового API версии 2 перед его внедрением в корпоративных решениях либо в вашей организации действует политика, запрещающая передачу данных через общедоступные сети, можно включить параметр v1_legacy_mode. Это отключает API версии 2 для вашей рабочей области.
Предупреждение
Включение параметра v1_legacy_mode может препятствовать использованию функций, предоставляемых API версии 2. Например, могут быть недоступны некоторые функции Студии машинного обучения Azure.
Сценарии и обязательные действия
Предупреждение
Параметр v1_legacy_mode уже доступен, но функция блокировки API версии 2 будет применяться с 15 мая 2022 г.
Если вы не планируете использовать частную конечную точку в своей рабочей области, включать этот параметр не требуется.
Если вас устраивает, что операции взаимодействуют с общедоступным ARM, включать этот параметр не требуется.
Данный параметр нужно включать только в том случае, если вы используете частную конечную точку в рабочей области и не хотите разрешать взаимодействие операций с ARM через общедоступные сети.
После внедрения параметра он будет задним числом применяться к существующим рабочим областям с использованием следующей логики:
Если у вас есть рабочая область с частной конечной точкой, флаг будет иметь значение true.
Если у вас есть рабочая область без частной конечной точки (общедоступная рабочая область), флаг будет иметь значение false.
После внедрения параметра значение по умолчанию флага зависит от базовой версии REST API, используемой при создании рабочей области (с частной конечной точкой):
- Если версия API старше
2022-05-01
, по умолчанию флаг имеет значение true. - Если используется версия API
2022-05-01
или более новая, по умолчанию флаг имеет значение false.
Внимание
Если вы хотите использовать API версии 2 с рабочей областью, необходимо задать для параметра v1_legacy_mode значение false.
Изменение параметра v1_legacy_mode
Предупреждение
Параметр v1_legacy_mode уже доступен, но функция блокировки API версии 2 будет применяться с 15 мая 2022 г.
Чтобы изменить параметр v1_legacy_mode, сделайте следующее:
Внимание
Если вы хотите отключить API версии 2, используйте пакет SDK для Python версии 1 Машинное обучение Azure.
Чтобы отключить v1_legacy_mode, используйте Workspace.update и задайте v1_legacy_mode=false
.
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
Внимание
Обратите внимание, что для того, чтобы изменение параметра v1_legacy_mode с true на false отразилось в рабочей области, требуется от 30 минут до часа или более. Таким образом, если для параметра задано значение false, но следующая операция возвращает сообщение об ошибке, указывающее, что этот параметр имеет значение true, повторите попытку через несколько минут.