Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per le aree di lavoro, Azure Machine Learning offre due tipi di configurazioni di isolamento della rete in uscita: isolamento network gestito e isolamento di rete personalizzato. Entrambi i tipi offrono supporto completo per l'isolamento di rete con vantaggi e limitazioni. Questo articolo illustra il supporto delle funzionalità e le limitazioni per entrambe le configurazioni di isolamento della rete che consentono di decidere cosa funziona meglio per le proprie esigenze.
Esigenze di sicurezza aziendale
Il cloud computing consente di aumentare le prestazioni dei dati e delle funzionalità di Machine Learning, ma comporta anche nuove sfide e rischi per la sicurezza e la conformità. È necessario assicurarsi che l'infrastruttura cloud sia protetta da accessi non autorizzati, manomissioni o perdite di dati e modelli. Potrebbe anche essere necessario rispettare le normative e gli standard applicabili al settore e al dominio.
I requisiti aziendali tipici includono:
- Usare un limite di isolamento della rete con una rete virtuale per avere il controllo in ingresso e in uscita e per avere una connessione privata alle risorse di Azure private.
- Evitare l'esposizione a Internet senza soluzioni di indirizzi IP pubblici e endpoint privati.
- Usare le appliance di rete virtuale per avere migliori funzionalità di sicurezza di rete, ad esempio il firewall, il rilevamento delle intrusioni, la gestione delle vulnerabilità e il filtro Web.
- Integrare l'architettura di rete per Azure Machine Learning con l'architettura di rete esistente.
Quali sono le configurazioni di isolamento di rete gestite e personalizzate?
L'isolamento network gestito si basa su reti virtuali gestite, una funzionalità completamente gestita di Azure Machine Learning. L'isolamento network gestito è ideale se si vuole usare Azure Machine Learning con un sovraccarico minimo di configurazione e gestione.
L'isolamento della rete personalizzata si basa sulla creazione e sulla gestione di un Rete virtuale di Azure. Questa configurazione è ideale se si vuole un controllo massimo sulla configurazione di rete.
Quando usare reti virtuali gestite o personalizzate
Usare la rete virtuale gestita quando...
- Si è nuovi utenti di Azure Machine Learning con requisiti di isolamento della rete standard
- Si è un'azienda con requisiti di isolamento della rete standard
- È necessario l'accesso locale alle risorse con endpoint HTTP/S
- Non sono ancora state configurate molte dipendenze non di Azure
- È necessario usare gli endpoint online gestiti di Azure Machine Learning e i calcoli Spark serverless
- Si hanno meno requisiti di gestione per la rete nell'organizzazione
Usare la rete virtuale personalizzata quando...
- Si è un'azienda con requisiti di isolamento di rete elevati
- Molte dipendenze non di Azure sono state configurate in precedenza ed è necessario accedere ad Azure Machine Learning
- Sono presenti database locali senza endpoint HTTP/S
- È necessario usare il proprio firewall e la registrazione della rete virtuale, oltre che monitorare il traffico di rete in uscita
- Si vuole usare servizio Azure Kubernetes (AKS) per i carichi di lavoro di inferenza
La tabella seguente offre un confronto tra i vantaggi e le limitazioni delle reti virtuali gestite e personalizzate:
| Rete virtuale personalizzata | Rete virtuale gestita | |
|---|---|---|
| Vantaggi | - È possibile personalizzare la rete per la configurazione esistente - Usare le proprie risorse non di Azure con Azure Machine Learning - Connettersi alle risorse locali |
- Ridurre al minimo il sovraccarico di configurazione e manutenzione - Supporta gli endpoint online gestiti - Supporta Spark serverless - Ottiene prima nuove funzionalità |
| Limitazioni | - Il supporto di nuove funzionalità potrebbe essere ritardato - Gli endpoint online gestiti NON sono supportati - Spark serverless NON supportato - Modelli di base NON supportati - Nessun codice MLFlow NON supportato - Complessità dell'implementazione - Overhead di manutenzione |
- Implicazioni sui costi delle regole del Firewall di Azure e del nome di dominio completo (FQDN) - Registrazione delle regole della rete virtuale, del firewall e del gruppo di sicurezza di rete NON supportate - L'accesso alle risorse endpoint non HTTP/S NON è supportato |
Limitazioni della rete virtuale personalizzata
- Il supporto di nuove funzionalità potrebbe essere ritardato: gli sforzi per migliorare le offerte di isolamento della rete si concentrano sulle reti virtuali gestite anziché sulle reti virtuali personalizzate. Di conseguenza, vengono classificate in ordine di priorità le nuove richieste di funzionalità per le reti virtuali gestite su reti virtuali personalizzate.
- Gli endpoint online gestiti non sono supportati: gli endpoint online gestiti non supportano reti virtuali personalizzate. È necessario abilitare la rete virtuale gestita dell'area di lavoro per proteggere gli endpoint online gestiti. È possibile proteggere gli endpoint online gestiti con il metodo di isolamento della rete legacy. È tuttavia consigliabile usare isolamento network gestito dell'area di lavoro. Per altre informazioni, vedere Endpoint gestiti online.
- Il calcolo Spark serverless non è supportato: i calcoli Spark serverless non sono supportati in una rete virtuale personalizzata. La rete virtuale gestita dell'area di lavoro supporta Spark serverless perché Azure Synapse usa solo la configurazione della rete virtuale gestita. Per ulteriori informazioni, vedere Spark serverless configurato.
- Complessità e sovraccarico di manutenzione dell'implementazione: con la configurazione della rete virtuale personalizzata, è possibile gestire tutta la complessità della configurazione di una rete virtuale, una subnet, endpoint privati e altro ancora. Puoi anche gestire la rete e le risorse informatiche.
Limitazioni della rete virtuale gestita
- Implicazioni sui costi con le regole del Firewall di Azure e FQDN: Il Firewall di Azure viene fornito per conto dell'utente solo quando si crea una regola FQDN personalizzata per il traffico in uscita. Il Firewall di Azure è il firewall dello SKU Standard e comporta costi aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi di Firewall di Azure.
- Registrazione e monitoraggio della rete virtuale gestita NON supportata: la rete virtuale gestita non supporta il flusso di rete virtuale, il flusso del gruppo di sicurezza di rete o i log del firewall. Questa limitazione esiste perché la rete virtuale gestita viene distribuita in un tenant Microsoft e non può inviare log alla sottoscrizione.
- L'accesso alle risorse non Azure, non HTTP/S non è supportato: la rete virtuale gestita non consente l'accesso alle risorse non Azure, non HTTP/S.