Skydda en Azure Machine Learning-miljö för slutsatsdragning med virtuella nätverk
I den här artikeln får du lära dig hur du skyddar slutsatsdragningsmiljöer (onlineslutpunkter) med ett virtuellt nätverk i Azure Machine Learning. Det finns två slutsatsdragningsalternativ som kan skyddas med hjälp av ett virtuellt nätverk:
Azure Machine Learning-hanterade onlineslutpunkter
Dricks
Microsoft rekommenderar att du använder ett hanterat virtuellt Azure Machine Learning-nätverk i stället för stegen i den här artikeln när du skyddar hanterade onlineslutpunkter. Med ett hanterat virtuellt nätverk hanterar Azure Machine Learning jobbet med nätverksisolering för din arbetsyta och hanterade beräkningar. Du kan också lägga till privata slutpunkter för resurser som behövs av arbetsytan, till exempel Azure Storage-konto. Mer information finns i Hanterad nätverksisolering för arbetsyta.
Azure Kubernetes Service
Dricks
Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien:
- Översikt över virtuella nätverk
- Skydda arbetsytans resurser
- Skydda träningsmiljön
- Aktivera studiofunktioner
- Använda anpassad DNS
- Använda en brandvägg
En självstudiekurs om hur du skapar en säker arbetsyta finns i Självstudie: Skapa en säker arbetsyta, Bicep-mall eller Terraform-mall.
Förutsättningar
Läs artikeln Översikt över nätverkssäkerhet för att förstå vanliga scenarier för virtuella nätverk och övergripande arkitektur för virtuella nätverk.
Ett befintligt virtuellt nätverk och undernät som används för att skydda Azure Machine Learning-arbetsytan.
Om du vill distribuera resurser till ett virtuellt nätverk eller undernät måste ditt användarkonto ha behörighet till följande åtgärder i rollbaserad åtkomstkontroll i Azure (Azure RBAC):
- "Microsoft.Network/*/read" på den virtuella nätverksresursen. Den här behörigheten behövs inte för distributioner av Azure Resource Manager-mallar (ARM).
- "Microsoft.Network/virtualNetworks/join/action" på den virtuella nätverksresursen.
- "Microsoft.Network/virtualNetworks/subnets/join/action" på undernätsresursen.
Mer information om Azure RBAC med nätverk finns i inbyggda nätverksroller
- Om du använder Azure Kubernetes Service (AKS) måste du ha ett befintligt AKS-kluster skyddat enligt beskrivningen i artikeln Om säker Azure Kubernetes Service-slutsatsdragningsmiljö .
Säkra hanterade onlineslutpunkter
Information om hur du skyddar hanterade onlineslutpunkter finns i artikeln Använda nätverksisolering med hanterade onlineslutpunkter .
Skydda Azure Kubernetes Service-slutpunkter online
Använd följande steg för att använda Azure Kubernetes Service-kluster för säker slutsatsdragning:
Skapa eller konfigurera en säker Kubernetes-slutsatsdragningsmiljö.
Distribuera Azure Machine Learning-tillägget.
Modelldistribution med Kubernetes onlineslutpunkt kan göras med hjälp av CLI v2, Python SDK v2 och Studio UI.
- CLI v2 – https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/kubernetes
- Python SDK V2 – https://github.com/Azure/azureml-examples/tree/main/sdk/python/endpoints/online/kubernetes
- Studio-användargränssnitt – Följ stegen i distributionen av hanterade onlineslutpunkter via Studio. När du har angett slutpunktsnamnet väljer du Kubernetes som beräkningstyp i stället för Hanterad.
Begränsa utgående anslutningar från det virtuella nätverket
Om du inte vill använda standardreglerna för utgående trafik och vill begränsa utgående åtkomst för ditt virtuella nätverk måste du tillåta åtkomst till Azure Container Registry. Kontrollera till exempel att nätverkssäkerhetsgrupperna (NSG) innehåller en regel som ger åtkomst till tjänsttaggen AzureContainerRegistry.RegionName där {RegionName} är namnet på en Azure-region.
Nästa steg
Den här artikeln är en del av en serie om att skydda ett Azure Machine Learning-arbetsflöde. Se de andra artiklarna i den här serien: