Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Für Ihre Arbeitsbereiche bietet Azure Machine Learning zwei Arten von Konfigurationen für ausgehende Netzwerkisolation: verwaltete Netzwerkisolation und benutzerdefinierte Netzwerkisolation. Beide Typen bieten vollständige Netzwerkisolationsunterstützung mit Vorteilen und Einschränkungen. In diesem Artikel werden Featureunterstützung und Einschränkungen für beide Netzwerkisolationskonfigurationen behandelt, um zu entscheiden, was für Ihre Anforderungen am besten geeignet ist.
Sicherheitsanforderungen für Unternehmen
Cloud Computing ermöglicht es Ihnen, Ihre Daten- und Machine Learning-Funktionen zu skalieren, stellt aber auch eine neue Herausforderung und ein Risiko für Sicherheit und Compliance dar. Sie müssen sicherstellen, dass Ihre Cloudinfrastruktur vor unbefugtem Zugriff, Manipulation oder Leckage von Daten und Modellen geschützt ist. Möglicherweise müssen Sie auch die Vorschriften und Standards einhalten, die für Ihre Branche und Domäne gelten.
Typische Enterprise-Anforderungen umfassen:
- Verwenden Sie eine Netzwerkisolationsgrenze mit einem virtuellen Netzwerk, um eingehende und ausgehende Kontrolle zu haben und eine private Verbindung mit privaten Azure-Ressourcen herzustellen.
- Vermeiden Sie die Gefahren des Internets ohne öffentliche IP-Lösungen und private Endpunkte.
- Verwenden Sie virtuelle Netzwerkgeräte, um bessere Netzwerksicherheitsfunktionen wie Firewalling, Angriffserkennung, Sicherheitsrisikoverwaltung und Webfilterung zu nutzen.
- Integrieren Sie die Netzwerkarchitektur für Azure Machine Learning in die vorhandene Netzwerkarchitektur.
Was sind verwaltete und benutzerdefinierte Netzwerkisolationskonfigurationen?
Verwaltete Netzwerkisolation basiert auf verwalteten virtuellen Netzwerken, einem vollständig verwalteten Feature von Azure Machine Learning. Die verwaltete Netzwerkisolation ist ideal, wenn Sie Azure Machine Learning mit minimalem Konfigurations- und Verwaltungsaufwand verwenden möchten.
Benutzerdefinierte Netzwerkisolation basiert auf der Erstellung und Verwaltung eines virtuellen Azure-Netzwerks. Diese Konfiguration ist ideal, wenn Sie maximale Kontrolle über Ihre Netzwerkkonfiguration wünschen.
Wann verwaltete oder benutzerdefinierte virtuelle Netzwerke verwendet werden sollen
Verwenden Sie das verwaltete virtuelle Netzwerk, wenn…
- Sie ein neuer Benutzer bei Azure Machine Learning mit standardmäßigen Netzwerkisolationsanforderungen sind
- Sie ein Unternehmen mit standardmäßigen Netzwerkisolationsanforderungen sind
- Sie lokalen Zugriff auf Ressourcen mit HTTP/S-Endpunkten benötigen
- Sie noch nicht viele Nicht-Azure-Abhängigkeiten eingerichtet haben
- Sie verwaltete Azure Machine Learning-Onlineendpunkte und serverlose Spark-Berechnungen benötigen
- Sie weniger Verwaltungsanforderungen für Netzwerke in Ihrer Organisation haben
Verwenden Sie das benutzerdefinierte virtuelle Netzwerks, wenn…
- Sie ein Unternehmen mit hohen Netzwerkisolationsanforderungen sind
- Sie über viele Nicht-Azure-Abhängigkeiten verfügen, die zuvor eingerichtet wurden und auf Azure Machine Learning zugreifen müssen
- Sie über lokale Datenbanken ohne HTTP/S-Endpunkte verfügen
- Sie eine eigene Firewall- und virtuelle Netzwerkprotokollierung und Überwachung des ausgehenden Netzwerkdatenverkehrs benötigen
- Sie Azure Kubernetes Services (AKS) für Ableitungsworkloads verwenden möchten
Die folgende Tabelle enthält einen Vergleich der Vorteile und Einschränkungen von verwalteten und benutzerdefinierten virtuellen Netzwerken:
| Benutzerdefiniertes virtuelles Netzwerk | Verwaltetes virtuelles Netzwerk | |
|---|---|---|
| Vorteile | – Sie können Netzwerke auf Ihre vorhandene Einrichtung anpassen – Bringen Sie Ihre eigenen nicht-Azure Ressourcen zu Azure Machine Learning mit – Stellen Sie eine Verbindung mit lokalen Ressourcen her |
– Minimieren des Mehraufwands für die Einrichtung und Wartung – Unterstützt verwaltete Onlineendpunkte – Unterstützt serverlose Sparks – Ruft zuerst neue Features ab |
| Einschränkungen | – Neue Featureunterstützung wird möglicherweise verzögert – Verwaltete Onlineendpunkte werden nicht unterstützt – Serverlose Sparks werden NICHT unterstützt – Foundationalmodelle werden NICHT unterstützt – Kein Code MLFlow wird NICHT unterstützt – Implementierungskomplexität – Wartungsaufwand |
– Kostenauswirkungen der Azure-Firewall und Regeln der vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) – Protokollierung der virtuellen Netzwerk-, Firewall- und NSG-Regeln werden NICHT unterstützt – Zugriff auf nicht HTTP/S-Endpunktressourcen wird NICHT unterstützt |
Einschränkungen des benutzerdefinierten virtuellen Netzwerks
- Unterstützung neuer Features könnte verzögert werden: Die Bemühungen zur Verbesserung unserer Angebote für die Netzwerkisolation konzentrieren sich auf verwaltete virtuelle Netzwerke und nicht auf benutzerdefinierte virtuelle Netzwerke. Daher priorisieren wir neue Featureanforderungen für verwaltete virtuelle Netzwerke über benutzerdefinierte virtuelle Netzwerke.
- Verwaltete Onlineendpunkte werden nicht unterstützt: Verwaltete Onlineendpunkte unterstützen keine benutzerdefinierten virtuellen Netzwerke. Sie müssen das vom Arbeitsbereich verwaltete virtuelle Netzwerk aktivieren, um Ihre verwalteten Onlineendpunkte zu sichern. Sie können verwaltete Onlineendpunkte mit der älteren Netzwerkisolationsmethode sichern. Es wird jedoch dringend empfohlen, die verwaltete Netzwerkisolation des Arbeitsbereichs zu verwenden. Weitere Informationen finden Sie unter Verwaltete Onlineendpunkte.
- Serverloses Spark-Compute wird nicht unterstützt: Serverlose Spark-Computes werden in einem benutzerdefinierten virtuellen Netzwerk nicht unterstützt. Vom Arbeitsbereich verwaltetes virtuelles Netzwerk unterstützt Serverless Spark, da Azure Synapse nur verwaltete virtuelle Netzwerkeinrichtung verwendet. Weitere Informationen finden Sie unter "Konfigurierter Serverless Spark".
- Implementierungskomplexität und Wartungsaufwand: Mit der Einrichtung eines benutzerdefinierten virtuellen Netzwerks bewältigen Sie die gesamte Komplexität der Einrichtung eines virtuellen Netzwerks, eines Subnetzes, privater Endpunkte und mehr. Außerdem verwalten Sie das Netzwerk und berechnen es.
Einschränkungen des verwalteten virtuellen Netzwerks
- Kostenauswirkungen mit Azure Firewall- und FQDN-Regeln: Eine Azure-Firewall wird nur in Ihrem Auftrag bereitgestellt, wenn Sie eine benutzerdefinierte FQDN-Ausgehende Regel erstellen. Die Azure Firewall ist die Standard-SKU Firewall und verursacht Kosten, die Ihrer Abrechnung hinzugefügt werden. Weitere Informationen finden Sie unter Azure Firewall – Preise.
- Protokollierung und Überwachung des verwalteten virtuellen Netzwerks wird NICHT unterstützt: Das verwaltete virtuelle Netzwerk unterstützt keinen virtuellen Netzwerkfluss, keinen NSG-Fluss und keine Firewallprotokolle. Diese Einschränkung besteht darin, dass das verwaltete virtuelle Netzwerk in einem Microsoft-Mandanten bereitgestellt wird und keine Protokolle an Ihr Abonnement senden kann.
- Der Zugriff auf Nicht-Azure-, nicht-HTTP/S-Ressourcen wird nicht unterstützt: Das verwaltete virtuelle Netzwerk lässt keinen Zugriff auf Nicht-Azure-, Nicht-HTTP/S-Ressourcen zu.