Netwerkisolatie in batch-eindpunten

U kunt communicatie met batch-eindpunten beveiligen met behulp van privénetwerken. In dit artikel worden de vereisten uitgelegd voor het gebruik van batch-eindpunten in een omgeving die wordt beveiligd door privénetwerken.

Opmerking

Azure Machine Learning biedt ook ondersteuning voor isolatie van door de werkruimte beheerde virtuele netwerken, waarmee de netwerkconfiguratie wordt geautomatiseerd en dat de aanbevolen benadering voor uitgaande isolatie is. In de stappen in dit artikel wordt beschreven hoe u batcheindpunten beveiligt met een aangepast Azure Virtual Network.

Batch-eindpunten beveiligen

Batch-eindpunten nemen de netwerkconfiguratie over van de werkruimte waar ze worden geïmplementeerd. Alle batch-eindpunten die zijn gemaakt in de werkruimte met privékoppeling, worden standaard geïmplementeerd als privé-batch-eindpunten. Wanneer de werkruimte correct is geconfigureerd, is er geen verdere configuratie vereist.

Als u wilt controleren of uw werkruimte juist is geconfigureerd voor batch-eindpunten voor gebruik met privénetwerken, moet u het volgende controleren:

  1. U hebt uw Azure Machine Learning-werkruimte geconfigureerd voor privénetwerken. Lees Een beveiligde werkruimte maken met een virtueel netwerk voor meer informatie over hoe u deze kunt bereiken.

    Opmerking

    Zie Zelfstudie: Een beveiligde werkruimte maken met een beheerd virtueel netwerk voor de aanbevolen benadering van een beheerd virtueel netwerk.

  2. Voor Azure Container Registry in privénetwerken zijn er enkele vereisten voor hun configuratie.

    Waarschuwing

    Azure ContainerRegistries waarvoor de functie Quarantaine is ingeschakeld, worden momenteel niet ondersteund.

  3. Zorg ervoor dat privé-eindpunten voor blobs, bestanden, wachtrijen en tabellen zijn geconfigureerd voor de opslagaccounts, zoals wordt uitgelegd in Beveiligde Azure-opslagaccounts. Voor batchimplementaties moeten alle vier de elementen correct functioneren.

In het volgende diagram ziet u hoe het netwerk eruitziet voor batch-eindpunten wanneer deze worden geïmplementeerd in een privéwerkruimte:

Diagram met de architectuur op hoog niveau van een beveiligde implementatie van een Azure Machine Learning-werkruimte.

Let op

In tegenstelling tot online-eindpunten bieden batcheindpunten geen ondersteuning voor de public_network_access of egress_public_network_access sleutels bij het configureren van het eindpunt. Het is niet mogelijk om openbare batch-eindpunten te implementeren in werkruimten met private link-functionaliteit.

Batchimplementatietaken beveiligen

Azure Machine Learning-batchimplementaties worden uitgevoerd op rekenclusters. Voor het beveiligen van batchimplementatietaken moeten deze rekenclusters ook worden geïmplementeerd in een virtueel netwerk.

  1. Maak een Azure Machine Learning-rekencluster in het virtuele netwerk.

  2. Zorg ervoor dat alle gerelateerde services privé-eindpunten hebben geconfigureerd in het netwerk. Privé-eindpunten worden niet alleen gebruikt voor Een Azure Machine Learning-werkruimte, maar ook voor de bijbehorende resources, zoals Azure Storage, Azure Key Vault of Azure Container Registry. Azure Container Registry is een vereiste service. Houd er rekening mee dat er enkele vereisten zijn voor Azure Container Registry tijdens het beveiligen van de Azure Machine Learning-werkruimte met virtuele netwerken.

  3. Als uw rekenproces gebruikmaakt van een openbaar IP-adres, moet u binnenkomende communicatie toestaan, zodat beheerservices taken kunnen verzenden naar uw rekenresources.

    Aanbeveling

    Het rekencluster en het rekenproces kunnen worden gemaakt met of zonder een openbaar IP-adres. Als u een openbaar IP-adres hebt gemaakt, krijgt u een load balancer met een openbaar IP-adres om de binnenkomende toegang van de Azure Batch-service en De Azure Machine Learning-service te accepteren. U moet door de gebruiker gedefinieerde routering (UDR) configureren als u een firewall gebruikt. Als u zonder een openbaar IP-adres hebt gemaakt, krijgt u een private link-service om de binnenkomende toegang van de Azure Batch-service en De Azure Machine Learning-service te accepteren zonder een openbaar IP-adres.

  4. Er zijn mogelijk extra netwerkbeveiligingsgroepen vereist, afhankelijk van uw geval. Zie Hoe u uw trainingsomgeving beveiligt voor meer informatie.

Zie het artikel Een Azure Machine Learning-trainingsomgeving beveiligen met virtuele netwerken voor meer informatie.

Beperkingen

Houd rekening met de volgende beperkingen bij het werken aan batch-eindpunten die zijn geïmplementeerd met betrekking tot netwerken:

  • Als u de netwerkconfiguratie van de werkruimte wijzigt van openbaar naar privé of van privé naar openbaar, heeft dit geen invloed op de bestaande netwerkconfiguratie van batcheindpunten. Batch-eindpunten zijn afhankelijk van de configuratie van de werkruimte tijdens de aanmaak. U kunt uw eindpunten opnieuw maken als u wilt dat ze wijzigingen weerspiegelen die u in de werkruimte hebt aangebracht.

  • Wanneer u werkt aan een werkruimte met private link-functionaliteit, kunnen batcheindpunten worden gemaakt en beheerd met behulp van Azure Machine Learning-studio. Ze kunnen echter niet worden aangeroepen vanuit de gebruikersinterface in Studio. Gebruik in plaats daarvan de Azure Machine Learning CLI v2, Python SDK v2 of REST API voor het maken van taken. Zie voor meer informatie Batch-eindpunten uitvoeren en resultaten van toegang bekijken.

  • Batch-implementaties worden niet ondersteund in werkruimten met door de klant beheerde versleutelingssleutels (CMK).

  • Last updated on