Isolamento de rede em terminais de lote

Você pode proteger a comunicação em lote de endpoints usando redes privadas. Este artigo explica os requisitos para usar endpoints em lote em um ambiente protegido por redes privadas.

Observação

O Azure Machine Learning também dá suporte ao isolamento de rede virtual gerenciado pelo workspace, que automatiza a configuração de rede e é a abordagem recomendada para isolamento de saída. As etapas neste artigo descrevem a proteção de endpoints de lote com uma Rede Virtual personalizada do Azure.

Proteger pontos de extremidade em lote

Os pontos de extremidade em lote herdam a configuração de rede do espaço de trabalho onde estão implantados. Todos os pontos de extremidade em lote criados dentro do espaço de trabalho habilitado para link privado são implantados como pontos de extremidade em lote privados por padrão. Quando o espaço de trabalho está configurado corretamente, nenhuma configuração adicional é necessária.

Para verificar se o seu espaço de trabalho está configurado corretamente para que os pontos de extremidade em lote funcionem com redes privadas, certifique-se do seguinte:

  1. Você configurou seu espaço de trabalho do Azure Machine Learning para networking privado. Para obter mais detalhes sobre como obtê-lo, leia Criar um workspace seguro com uma rede virtual.

    Observação

    Para obter a abordagem de rede virtual gerenciada recomendada, consulte Tutorial: Criar um workspace seguro com uma rede virtual gerenciada.

  2. Para o Registro de Contêiner do Azure em redes privadas, há alguns pré-requisitos sobre a configuração.

    Aviso

    Atualmente, não há suporte para registros de contêiner do Azure com o recurso de quarentena habilitado.

  3. Configure os pontos de extremidade privados de blob, arquivo, fila e tabela para as contas de armazenamento, conforme explicado em Contas de armazenamento seguras do Azure. As implantações em lote exigem que todos os quatro funcionem corretamente.

O diagrama a seguir mostra a aparência da rede dos pontos de extremidade em lote quando a implantação é feita em um workspace privado:

Diagrama mostrando a arquitetura geral de uma implantação de workspace seguro do Azure Machine Learning.

Cuidado

Ao contrário dos pontos de extremidade online, os pontos de extremidade em lote não dão suporte às chaves public_network_access ou egress_public_network_access ao configurar o ponto de extremidade. Não é possível implantar pontos de extremidade em lote públicos em espaços de trabalho privados habilitados para ligação.

Proteger trabalhos de implantação em lote

As implantações em lote do Azure Machine Learning são executadas em clusters de cálculo. Para proteger os trabalhos de implantação em lote, esses clusters de cálculo também precisam ser implantados em uma rede virtual.

  1. Crie um cluster de computação do Azure Machine Learning na rede virtual.

  2. Verifique se todos os serviços relacionados têm endpoints privados configurados na rede. Os pontos de extremidade privados são usados não apenas para o workspace do Azure Machine Learning, mas, também, para seus recursos associados, como Armazenamento do Microsoft Azure, Azure Key Vault ou Registro de Contêiner do Azure. O Registro de Contêiner do Azure é um serviço necessário. Ao proteger o espaço de trabalho do Azure Machine Learning com redes virtuais, observe que há alguns pré-requisitos sobre o Registro de Contêineres do Azure.

  3. Se a instância de computação usar um endereço IP público, será necessário Permitir a comunicação de entrada para que os serviços de gerenciamento possam enviar trabalhos aos recursos de computação.

    Dica

    O cluster e a instância de computação podem ser criados com ou sem um endereço IP público. Se criado com um endereço IP público, você obtém um balanceador de carga com um IP público para aceitar o acesso de entrada do serviço de lote do Azure e do serviço do Azure Machine Learning. Você precisará configurar o UDR (Roteamento Definido pelo Usuário) se usar um firewall. Se criado sem um IP público, você obtém um serviço de link privado para aceitar o acesso de entrada do serviço de lote do Azure e do Serviço do Azure Machine Learning sem um IP público.

  4. Grupos de segurança de rede extras podem ser necessários dependendo do seu caso. Para obter mais informações, consulte Como proteger seu ambiente de treinamento.

Para obter mais informações, consulte o artigo Proteger um ambiente de treinamento do Azure Machine Learning com redes virtuais.

Limitações

Considere as seguintes limitações ao trabalhar nos pontos de extremidade em lote implantados em relação à rede:

  • Se você alterar a configuração de rede do workspace de público para privado ou de privado para público, isso não afetará a configuração de rede dos pontos de extremidade em lote existente. Os pontos de extremidade em lote dependem da configuração do workspace no momento da criação. Você pode recriar seus pontos de extremidade se quiser que eles reflitam as alterações feitas no workspace.

  • Ao trabalhar em workspaces com link privado habilitado, é possível criar e gerenciar endpoints em lote usando o Azure Machine Learning Studio. No entanto, não é possível invocá-los por meio da interface do usuário no estúdio. Utilize a CLI do Azure Machine Learning v2, o SDK Python v2 ou a API REST para a criação de tarefas. Para obter mais informações, consulte Executar pontos de extremidade em lote e acessar resultados.

  • Não há suporte para implantações em lotes em workspaces com CMK (chaves de criptografia gerenciadas pelo cliente).

  • Last updated on