Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W przypadku obszarów roboczych usługa Azure Machine Learning oferuje dwa typy konfiguracji izolacji sieci wychodzącej: zarządzana izolacja sieci i niestandardową izolację sieci. Oba typy oferują pełną obsługę izolacji sieci z korzyściami i ograniczeniami. W tym artykule opisano obsługę funkcji i ograniczenia dotyczące obu konfiguracji izolacji sieci, aby ułatwić podjęcie decyzji, co jest najlepsze dla Twoich potrzeb.
Wymagania dotyczące zabezpieczeń przedsiębiorstwa
Przetwarzanie w chmurze umożliwia skalowanie danych w górę i możliwości uczenia maszynowego, ale także stwarza nowe wyzwania i zagrożenia związane z zabezpieczeniami i zgodnością. Należy upewnić się, że infrastruktura chmury jest chroniona przed nieautoryzowanym dostępem, manipulowaniem lub wyciekiem danych i modeli. Może być również konieczne przestrzeganie przepisów i standardów, które mają zastosowanie do twojej branży i domeny.
Typowe wymagania przedsiębiorstwa obejmują:
- Użyj granicy izolacji sieciowej z siecią wirtualną, aby mieć kontrolę ruchu przychodzącego i wychodzącego oraz mieć prywatne połączenie z prywatnymi zasobami platformy Azure.
- Unikaj narażenia na Internet bez publicznych rozwiązań IP i prywatnych punktów końcowych.
- Użyj wirtualnych urządzeń sieciowych, aby zapewnić lepsze możliwości zabezpieczeń sieci, takie jak zapora, wykrywanie włamań, zarządzanie lukami w zabezpieczeniach i filtrowanie internetowe.
- Integrowanie architektury sieci dla usługi Azure Machine Learning z istniejącą architekturą sieci.
Jakie są konfiguracje izolacji sieci zarządzanej i niestandardowej?
Izolacja sieci zarządzanej opiera się na zarządzanych sieciach wirtualnych, które są w pełni zarządzaną funkcją usługi Azure Machine Learning. Izolacja sieci zarządzanej jest idealna, jeśli chcesz używać usługi Azure Machine Learning z minimalnym obciążeniem konfiguracji i zarządzania.
Niestandardowa izolacja sieci polega na tworzeniu sieci wirtualnej platformy Azure i zarządzaniu nią. Ta konfiguracja jest idealna, jeśli chcesz mieć maksymalną kontrolę nad konfiguracją sieci.
Kiedy używać zarządzanych lub niestandardowych sieci wirtualnych
Użyj zarządzanej sieci wirtualnej, gdy...
- Jesteś nowym użytkownikiem usługi Azure Machine Learning z standardowymi wymaganiami dotyczącymi izolacji sieci
- Jesteś firmą z standardowymi wymaganiami dotyczącymi izolacji sieci
- Wymagany jest dostęp lokalny do zasobów przy użyciu punktów końcowych HTTP/S
- Nie masz jeszcze wielu zależności spoza platformy Azure
- Wymagane jest korzystanie z zarządzanych punktów końcowych online usługi Azure Machine Learning i bezserwerowych obliczeń spark
- W organizacji jest mniej wymagań dotyczących zarządzania siecią
Użyj niestandardowej sieci wirtualnej, gdy...
- Jesteś firmą z dużymi wymaganiami dotyczącymi izolacji sieci
- Masz wiele wcześniej skonfigurowanych zależności spoza platformy Azure i musisz uzyskać dostęp do usługi Azure Machine Learning
- Masz lokalne bazy danych bez punktów końcowych HTTP/S
- Wymagane jest używanie własnej zapory i rejestrowania sieci wirtualnej oraz monitorowania ruchu wychodzącego sieci
- Chcesz użyć usługi Azure Kubernetes Services (AKS) na potrzeby obciążeń wnioskowania
Poniższa tabela zawiera porównanie korzyści i ograniczeń zarządzanych i niestandardowych sieci wirtualnych:
| Niestandardowa sieć wirtualna | Zarządzana sieć wirtualna | |
|---|---|---|
| Korzyści | — Sieć można dostosować do istniejącej konfiguracji — Bring your own non-Azure resources with Azure Machine Learning - Connect to on-premises resources (Przenoszenie własnych zasobów spoza platformy Azure za pomocą usługi Azure Machine Learning — łączenie z zasobami lokalnymi) |
— Minimalizowanie obciążeń związanych z konfigurowaniem i konserwacją — obsługuje zarządzane punkty końcowe online — obsługuje bezserwerowe platformy Spark — najpierw pobiera nowe funkcje |
| Ograniczenia | — Obsługa nowych funkcji może być opóźniona — zarządzane punkty końcowe online NIE są obsługiwane — bezserwerowe platformy Spark NIE są obsługiwane — nieobsługiwane modele podstawowe — brak obsługiwanego kodu MLFlow — złożoność implementacji — nakład pracy związany z konserwacją |
— Wpływ na koszty reguł usługi Azure Firewall i w pełni kwalifikowanej nazwy domeny (FQDN) — rejestrowanie sieci wirtualnej, zapory i reguł sieciowej grupy zabezpieczeń NIE jest obsługiwane — dostęp do zasobów punktów końcowych nieobsługiwanych przez protokół HTTP/S |
Ograniczenia niestandardowej sieci wirtualnej
- Obsługa nowych funkcji może być opóźniona: Wysiłki na rzecz poprawy naszej oferty izolacji sieci koncentrują się na zarządzanych sieciach wirtualnych zamiast niestandardowych sieci wirtualnych. W związku z tym ustalamy priorytety nowych żądań funkcji dla zarządzanych sieci wirtualnych zamiast niestandardowych sieci wirtualnych.
- Zarządzane punkty końcowe online nie są obsługiwane: zarządzane punkty końcowe online nie obsługują niestandardowych sieci wirtualnych. Aby zabezpieczyć zarządzane punkty końcowe online, należy włączyć zarządzaną sieć wirtualną obszaru roboczego. Zarządzane punkty końcowe online można zabezpieczyć przy użyciu starszej metody izolacji sieciowej. Zdecydowanie zalecamy jednak używanie zarządzana izolacja sieci obszaru roboczego. Aby uzyskać więcej informacji, zobacz Zarządzane punkty końcowe online.
- Przetwarzanie bezserwerowe platformy Spark nie jest obsługiwane: bezserwerowe obliczenia platformy Spark nie są obsługiwane w niestandardowej sieci wirtualnej. Zarządzana sieć wirtualna obszaru roboczego obsługuje bezserwerową platformę Spark, ponieważ usługa Azure Synapse używa tylko zarządzanej sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Konfigurowanie bezserwerowej platformy Spark.
- Złożoność implementacji i obciążenie związane z konserwacją: dzięki niestandardowej konfiguracji sieci wirtualnej można obsługiwać całą złożoność konfigurowania sieci wirtualnej, podsieci, prywatnych punktów końcowych i nie tylko. Utrzymujesz również sieć i systemy komputerowe.
Ograniczenia zarządzanej sieci wirtualnej
- Wpływ na koszty związane z usługą Azure Firewall i regułami FQDN: Usługa Azure Firewall jest wdrażana w Twoim imieniu tylko wtedy, gdy tworzysz regułę wychodzącą FQDN zdefiniowaną przez użytkownika. Usługa Azure Firewall to zapora jednostki SKU w warstwie Standardowa i wiąże się z kosztami dodanymi do rozliczeń. Aby uzyskać więcej informacji, zobacz Cennik usługi Azure Firewall.
- Rejestrowanie i monitorowanie zarządzanej sieci wirtualnej NIE jest obsługiwane: zarządzana sieć wirtualna nie obsługuje przepływu sieci wirtualnej, przepływu sieciowej grupy zabezpieczeń ani dzienników zapory. To ograniczenie istnieje, ponieważ zarządzana sieć wirtualna jest wdrażana w dzierżawie firmy Microsoft i nie może wysyłać dzienników do twojej subskrypcji.
- Dostęp do zasobów spoza platformy Azure, innych niż HTTP/S, nie jest obsługiwany: zarządzana sieć wirtualna nie zezwala na dostęp do zasobów spoza platformy Azure, innych niż HTTP/S.