Azure Machine Learning kayıt defterleriyle ağ yalıtımı
Bu makalede, Azure Sanal Ağ ve özel uç noktaları kullanarak Azure Machine Learning kayıt defterinin güvenliğini sağlamayı öğreneceksiniz.
Azure'da özel uç noktalar, Azure hizmetlerine bir sanal ağ (VNet) içindeki özel IP adresi üzerinden erişilmesini sağlayarak ağ yalıtımı sağlar. Sanal ağ, Azure kaynakları arasındaki bağlantıların güvenliğini sağlar ve hassas verilerin genel İnternet'e açıklanmasını önler.
Özel uç noktalarla ağ yalıtımı kullanmak, ağ trafiğinin genel İnternet üzerinden geçmesini engeller ve Azure Machine Learning kayıt defteri hizmetini Sanal ağınıza getirir. Özel uç noktalar kullanıldığında tüm ağ trafiği Azure Özel Bağlantı üzerinden gerçekleşir.
Önkoşullar
- Azure Machine Learning kayıt defteri. Kayıt defterleri oluşturmak ve yönetmek için kayıt defterlerini oluşturma ve yönetme makalesindeki adımları kullanın.
- Aşağıdaki makaleler hakkında bilgi:
Azure Machine Learning kayıt defterinin güvenliğini sağlama
Not
Kolaylık olması için çalışma alanına, ilişkili kaynaklara ve bunların parçası oldukları sanal ağa güvenli çalışma alanı yapılandırması olarak değineceğiz. Mevcut yapılandırmanın bir parçası olarak Azure Machine Learning kayıt defterlerinin nasıl ekleneceğini keşfedeceğiz.
Aşağıdaki diyagramda temel bir ağ yapılandırması ve Azure Machine Learning kayıt defterinin nasıl uyum gösterdiği gösterilmektedir. Azure Machine Learning çalışma alanını zaten kullanıyorsanız ve tüm kaynakların sanal ağın parçası olduğu güvenli bir çalışma alanı yapılandırmanız varsa, var olan sanal ağdan Azure Machine Learning kayıt defterine ve ilişkili kaynaklara (depolama ve ACR) özel bir uç nokta oluşturabilirsiniz.
Güvenli bir çalışma alanı yapılandırmanız yoksa Azure portalında güvenli çalışma alanı oluşturma makalesini, Bicep şablonunu veya Terraform şablonunu kullanarak oluşturabilirsiniz.
Sınırlamalar
Ağ yalıtımına sahip bir Azure Machine Learning kayıt defteri kullanıyorsanız model varlıklarını Azure Machine Learning stüdyosu görüntüleyebilirsiniz. Diğer varlık türlerini görüntüleyemezsiniz. Studio kullanarak Azure Machine Learning kayıt defterinde veya altındaki varlıklarda herhangi bir işlem gerçekleştiremezsiniz. Lütfen bunun yerine Azure Machine Learning CLI veya SDK'sını kullanın.
Senaryo: Çalışma alanı yapılandırması güvenli ve Azure Machine Learning kayıt defteri genel
Bu bölümde, güvenli bir çalışma alanı yapılandırmanız varsa ancak genel kayıt defteri kullanıyorsanız senaryolar ve gerekli ağ yapılandırması açıklanmaktadır.
Yerel dosyalardan kayıt defterinde varlık oluşturma
Kayıt defterinde varlık oluşturmak için kullanılan kimliğe (örneğin, bir Veri Bilimci Microsoft Entra kullanıcı kimliği) Azure ROL TABANLı erişim denetiminde AzureML Kayıt Defteri Kullanıcısı, sahibi veya katkıda bulunan rolü atanmalıdır. Daha fazla bilgi için Azure Machine Learning erişimini yönetme makalesine bakın.
Varlıkları çalışma alanından kayıt defterine paylaşma
Not
Azure Machine Learning çalışma alanından Azure Machine Learning kayıt defterine bileşen paylaşımı şu anda desteklenmiyor.
Veri sızdırma koruması nedeniyle, varlığı içeren depolama hesabında genel erişim devre dışı bırakılmışsa, bir varlığı güvenli çalışma alanından genel kayıt defterine paylaşmak mümkün değildir. Çalışma alanından kayıt defterine varlık paylaşımını etkinleştirmek için:
- Çalışma alanına bağlı depolama hesabının Ağ bölümüne gidin (varlıkların kayıt defterine paylaşımına izin vermek istediğiniz yerden)
- Seçili sanal ağlardan ve IP adreslerinden Genel ağ erişimini Etkin olarak ayarlayın
- Aşağı kaydırın ve Kaynak örnekleri bölümüne gidin. Kaynak türünü Microsoft.MachineLearningServices/registries olarak seçin ve çalışma alanından paylaşımı etkinleştirmek istediğiniz Örnek adını Azure Machine Learning kayıt defteri kaynağının adı olarak ayarlayın.
- Ağ yapılandırmanıza göre ayarların geri kalanını denetlediğinden emin olun.
Çalışma alanında kayıt defterindeki varlıkları kullanma
Örnek işlemler:
- Kayıt defterinden varlık kullanan bir iş gönderin.
- İşlem hattında kayıt defterinden bir bileşen kullanın.
- Bir bileşende kayıt defterinden bir ortam kullanın.
Varlıkların kayıt defterinden güvenli bir çalışma alanına kullanılması, kayıt defterine giden erişimin yapılandırılmasını gerektirir.
Kayıt defterinden çalışma alanına model dağıtma
Modeli kayıt defterinden güvenli bir yönetilen çevrimiçi uç noktaya dağıtmak için dağıtımın ayarlanmış olması egress_public_network_access=disabled
gerekir. Azure Machine Learning, uç nokta dağıtımı sırasında kayıt defterinde gerekli özel uç noktaları oluşturur. Daha fazla bilgi için bkz . Güvenli yönetilen çevrimiçi uç noktalar oluşturma.
Herhangi bir Azure Machine Learning kayıt defterine erişmek için giden ağ yapılandırması
Hizmet etiketi | Protokol ve bağlantı noktaları | Purpose |
---|---|---|
AzureMachineLearning |
TCP: 443, 877, 18881 UDP: 5831 |
Azure Machine Learning hizmetlerini kullanma. |
Storage.<region> |
TCP: 443 | İşlem kümeleri ve işlem örnekleri için Azure Depolama Hesabında depolanan verilere erişin. Bu giden kuralı, verileri sızdırmak için kullanılabilir. Daha fazla bilgi için bkz. Veri sızdırma koruması. |
MicrosoftContainerRegistry.<region> |
TCP: 443 | Microsoft tarafından sağlanan Docker görüntülerine erişin. |
AzureContainerRegistry.<region> |
TCP: 443 | Ortamlar için Docker görüntülerine erişin. |
Senaryo: Çalışma alanı yapılandırması güvenlidir ve Azure Machine Learning kayıt defteri özel uç noktaları kullanarak sanal ağlara bağlanır
Bu bölümde, özel uç nokta kullanılarak sanal ağa bağlanan Azure Machine Learning kayıt defterleriyle güvenli bir çalışma alanı yapılandırmanız varsa senaryolar ve gerekli ağ yapılandırması açıklanmaktadır.
Azure Machine Learning kayıt defterinde ilişkili depolama/ACR hizmet örnekleri vardır. Bu hizmet örnekleri, yapılandırmanın güvenliğini sağlamak için özel uç noktalar kullanılarak sanal ağa da bağlanabilir. Daha fazla bilgi için Özel uç nokta oluşturma bölümüne bakın.
Kayıt defteriniz tarafından kullanılan Azure Depolama Hesabını ve Azure Container Registry'yi bulma
Azure Machine Learning kayıt defteriniz tarafından kullanılan depolama hesabı ve ACR, Azure aboneliğinizdeki yönetilen bir kaynak grubu altında oluşturulur. Yönetilen kaynak grubunun adı, desenini azureml-rg-<name-of-your-registry>_<GUID>
izler. GUID, rastgele oluşturulan bir dizedir. Örneğin, kayıt defterinizin adı "contosoreg" ise, yönetilen kaynak grubunun adı olacaktır azureml-rg-contosoreg_<GUID>
.
Azure portalında, araması yaparak azureml_rg-<name-of-your-registry>
bu kaynak grubunu bulabilirsiniz. Kayıt defterinizin tüm depolama ve ACR kaynakları bu kaynak grubu altında kullanılabilir.
Yerel dosyalardan kayıt defterinde varlık oluşturma
Not
Ortam varlığı oluşturmak, ilişkili ACR'nin genel erişimi devre dışı bırakıldığı özel bir kayıt defterinde desteklenmez. Geçici bir çözüm olarak, Azure Machine Learning çalışma alanında bir ortam oluşturabilir ve bunu Azure Machine Learning kayıt defteriyle paylaşabilirsiniz.
İstemcilerin, kayıt defterinin özel bir uç noktayla bağlandığı sanal ağa bağlanması gerekir.
Kayıt defterinize güvenli bir şekilde bağlanma
Sanal ağın arkasında güvenliği sağlanan bir kayıt defterine bağlanmak için aşağıdaki yöntemlerden birini kullanın:
Azure VPN ağ geçidi - Şirket içi ağları özel bir bağlantı üzerinden sanal ağa bağlar. Bağlantı genel İnternet üzerinden yapılır. Kullanabileceğiniz iki tür VPN ağ geçidi vardır:
Noktadan siteye: Her istemci bilgisayar sanal ağa bağlanmak için bir VPN istemcisi kullanır.
Siteden siteye: VPN cihazı sanal ağı şirket içi ağınıza bağlar.
ExpressRoute - Şirket içi ağları özel bir bağlantı üzerinden buluta bağlar. Bağlantı, bir bağlantı sağlayıcısı kullanılarak yapılır.
Azure Bastion - Bu senaryoda sanal ağ içinde bir Azure Sanal Makinesi (bazen atlama kutusu olarak adlandırılır) oluşturursunuz. Ardından Azure Bastion kullanarak VM'ye bağlanırsınız. Bastion, yerel web tarayıcınızdan RDP veya SSH oturumu kullanarak VM'ye bağlanmanızı sağlar. Ardından atlama kutusunu geliştirme ortamınız olarak kullanırsınız. Sanal ağın içinde olduğundan kayıt defterine doğrudan erişebilir.
Varlıkları çalışma alanından kayıt defterine paylaşma
Not
Azure Machine Learning çalışma alanından Azure Machine Learning kayıt defterine bileşen paylaşımı şu anda desteklenmiyor.
Veri sızdırma koruması nedeniyle, varlığı içeren depolama hesabında genel erişim devre dışı bırakılmışsa, bir varlığı güvenli çalışma alanından özel bir kayıt defterine paylaşmak mümkün değildir. Çalışma alanından kayıt defterine varlık paylaşımını etkinleştirmek için:
- Çalışma alanına bağlı depolama hesabının Ağ bölümüne gidin (varlıkların kayıt defterine paylaşımına izin vermek istediğiniz yerden)
- Seçili sanal ağlardan ve IP adreslerinden Genel ağ erişimini Etkin olarak ayarlayın
- Aşağı kaydırın ve Kaynak örnekleri bölümüne gidin. Kaynak türünü Microsoft.MachineLearningServices/registries olarak seçin ve çalışma alanından paylaşımı etkinleştirmek istediğiniz Örnek adını Azure Machine Learning kayıt defteri kaynağının adı olarak ayarlayın.
- Ağ yapılandırmanıza göre ayarların geri kalanını denetlediğinden emin olun.
Çalışma alanında kayıt defterindeki varlıkları kullanma
Örnek işlemler:
- Kayıt defterinden varlık kullanan bir iş gönderin.
- İşlem hattında kayıt defterinden bir bileşen kullanın.
- Bir bileşende kayıt defterinden bir ortam kullanın.
Çalışma alanının sanal ağından kayıt defteri, depolama ve ACR için özel bir uç nokta oluşturun. Birden çok kayıt defterine bağlanmaya çalışıyorsanız, her kayıt defteri ve ilişkili depolama ve ACL'ler için özel uç nokta oluşturun. Daha fazla bilgi için Özel uç nokta oluşturma bölümüne bakın.
Kayıt defterinden çalışma alanına model dağıtma
Modeli kayıt defterinden güvenli bir yönetilen çevrimiçi uç noktaya dağıtmak için dağıtımın ayarlanmış olması egress_public_network_access=disabled
gerekir. Azure Machine Learning, uç nokta dağıtımı sırasında kayıt defterinde gerekli özel uç noktaları oluşturur. Daha fazla bilgi için bkz . Güvenli yönetilen çevrimiçi uç noktalar oluşturma.
Özel uç nokta oluşturma
Var olan bir kayıt defterine özel uç nokta ekleme veya özel uç noktası olan yeni bir kayıt defteri oluşturma yönergelerini görüntülemek için sekmeleri kullanın:
Azure portalında Özel uç nokta için arama yapın ve Özel bağlantı merkezine gitmek için Özel uç noktalar girişini seçin.
Özel bağlantı merkezi genel bakış sayfasında + Oluştur'u seçin.
İstenen bilgileri sağlayın. Bölge alanı için Azure Sanal Ağ ile aynı bölgeyi seçin. İleri'yi seçin.
Kaynak sekmesinde Kaynak türü'nü seçerken öğesini seçin
Microsoft.MachineLearningServices/registries
. Kaynak alanını Azure Machine Learning kayıt defteri adınız olarak ayarlayın ve İleri'yi seçin.Sanal ağ sekmesinden Azure Machine Learning kaynaklarınız için sanal ağı ve alt ağı seçin. Devam etmek için İleri'yi seçin.
ÖZEL DNS tümleştirme gereksinimleriniz yoksa DNS sekmesinde varsayılan değerleri bırakın. Devam etmek için İleri'yi seçin.
Gözden Geçir + Oluştur sekmesinde Oluştur'u seçerek özel uç noktayı oluşturun.
Genel ağ erişimini devre dışı olarak ayarlamak istiyorsanız aşağıdaki komutu kullanın. Depolamanın ve ACR'nin genel ağ erişiminin de devre dışı bırakıldığını onaylayın.
az ml registry update --set publicNetworkAccess=Disabled --name <name-of-registry>
Kayıt defteriniz tarafından kullanılan Azure Depolama Hesabını ve Azure Container Registry'yi bulma
Azure Machine Learning kayıt defteriniz tarafından kullanılan depolama hesabı ve ACR, Azure aboneliğinizdeki yönetilen bir kaynak grubu altında oluşturulur. Yönetilen kaynak grubunun adı, desenini azureml-rg-<name-of-your-registry>_<GUID>
izler. GUID, rastgele oluşturulan bir dizedir. Örneğin, kayıt defterinizin adı "contosoreg" ise, yönetilen kaynak grubunun adı olacaktır azureml-rg-contosoreg_<GUID>
.
Azure portalında, araması yaparak azureml_rg-<name-of-your-registry>
bu kaynak grubunu bulabilirsiniz. Kayıt defterinizin tüm depolama ve ACR kaynakları bu kaynak grubu altında kullanılabilir.
Azure Depolama Hesabı için özel uç nokta oluşturma
Kayıt defteriniz tarafından kullanılan depolama hesabı için özel bir uç nokta oluşturmak için aşağıdaki adımları kullanın:
- Azure portalında Özel uç nokta için arama yapın ve Özel bağlantı merkezine gitmek için Özel uç noktalar girişini seçin.
- Özel bağlantı merkezi genel bakış sayfasında + Oluştur'u seçin.
- İstenen bilgileri sağlayın. Bölge alanı için Azure Sanal Ağ ile aynı bölgeyi seçin. İleri'yi seçin.
- Kaynak sekmesinde Kaynak türü'nü seçerken öğesini seçin
Microsoft.Storage/storageAccounts
. Kaynak alanını depolama hesabı adı olarak ayarlayın. Alt kaynağı Blob olarak ayarlayın ve İleri'yi seçin. - Sanal ağ sekmesinden Azure Machine Learning kaynaklarınız için sanal ağı ve alt ağı seçin. Devam etmek için İleri'yi seçin.
- ÖZEL DNS tümleştirme gereksinimleriniz yoksa DNS sekmesinde varsayılan değerleri bırakın. Devam etmek için İleri'yi seçin.
- Gözden Geçir + Oluştur sekmesinde Oluştur'u seçerek özel uç noktayı oluşturun.
Veri sızdırma koruması
Azure Machine Learning kayıt defteri oluşturan bir kullanıcı için kayıt defteri, yönetilen depolama hesabı ve yönetilen ACR için özel bir uç nokta kullanmanızı öneririz.
Sistem kayıt defteri için diğer adı kullanarak /services/Azure/MachineLearning
Depolama hesabı için bir Hizmet Uç Noktası İlkesi oluşturmanızı öneririz. Daha fazla bilgi için bkz . Veri sızdırma önlemeyi yapılandırma.
Kayıt defterinin tam etki alanı adını bulma
Not
DNS'nizin bu biçimdeki kayıt defteri özel FQDN'sini çözümleyebildiğinden emin olun: <registry-guid>.registry.<region>.privatelink.api.azureml.ms
Azure DNS tarafından özyinelemeli olarak çözümlenen genel kaynağa özgü FQDN olmadığından.
Aşağıdaki örneklerde, kayıt defterinizin tam etki alanı adını (FQDN) almak için bulma URL'sinin nasıl kullanılacağı gösterilmektedir. Bulma URL'sini çağırırken, istek üst bilgisinde bir Azure erişim belirteci sağlamanız gerekir. Aşağıdaki örneklerde erişim belirteci alma ve bulma URL'sini çağırma gösterilmektedir:
İpucu
Bulma URL'sinin biçimi, https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery
burada <region>
kayıt defterinizin bulunduğu bölgedir ve <registry_name>
kayıt defterinizin adıdır. URL'yi çağırmak için bir GET isteği oluşturun:
GET https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery
$region = "<region>"
$registryName = "<registry_name>"
$accessToken = (az account get-access-token | ConvertFrom-Json).accessToken
(Invoke-RestMethod -Method Get `
-Uri "https://$region.api.azureml.ms/registrymanagement/v1.0/registries/$registryName/discovery" `
-Headers @{ Authorization="Bearer $accessToken" }).registryFqdns
- REST API
Not
Azure REST API'lerini kullanma hakkında daha fazla bilgi için bkz . Azure REST API başvurusu.
Azure erişim belirtecini alın. Belirteç almak için aşağıdaki Azure CLI komutunu kullanabilirsiniz:
az account get-access-token --query accessToken
Bulma URL'sine get isteğinde bulunmak için Curl gibi bir REST istemcisi kullanın. Yetkilendirme için önceki adımda alınan erişim belirtecini kullanın. Aşağıdaki örnekte değerini kayıt defterinizin bulunduğu bölgeyle ve
<registry_name>
kayıt defterinizin adıyla değiştirin<region>
. değerini önceki adımda alınan erişim belirteci ile değiştirin<token>
:curl -X GET "https://<region>.api.azureml.ms/registrymanagement/v1.0/registries/<registry_name>/discovery" -H "Authorization: Bearer <token>" -H "Content-Type: application/json"
Sonraki adım
Kayıt defterleriyle çalışma alanlarında modelleri, bileşenleri ve ortamları paylaşmayı öğrenin.