Isolamento rete negli endpoint batch
È possibile proteggere le comunicazioni degli endpoint batch usando reti private. Questo articolo illustra i requisiti per l'uso dell'endpoint batch in un ambiente protetto da reti private.
Protezione degli endpoint batch
Gli endpoint batch ereditano la configurazione di rete dall'area di lavoro in cui vengono distribuiti. Per impostazione predefinita, tutti gli endpoint batch creati all'interno dell'area di lavoro abilitata al collegamento privato vengono distribuiti come endpoint batch privati. Quando l'area di lavoro è configurata correttamente, non sono necessarie altre configurazioni.
Per verificare che l'area di lavoro sia configurata correttamente per l'uso degli endpoint batch con la rete privata, verificare quanto segue:
L'area di lavoro di Azure Machine Learning è stata configurata per la rete privata. Per altre informazioni su come ottenere questo risultato, vedere Creare un'area di lavoro sicura.
Per Registro Azure Container nelle reti private esistono alcuni prerequisiti relativi alla configurazione.
Avviso
Al momento i Registri Azure Container con la funzionalità di quarantena abilitata non sono supportati.
Assicurarsi che gli endpoint privati blob, file, code e tabelle siano configurati per gli account di archiviazione, come illustrato in Proteggere gli account di archiviazione di Azure. Le distribuzioni batch richiedono il corretto funzionamento di tutti i 4.
Il diagramma seguente illustra l'aspetto della rete per gli endpoint batch quando vengono distribuiti in un'area di lavoro privata:
Attenzione
Gli endpoint batch, invece degli endpoint online, non supportano le chiavi public_network_access
o egress_public_network_access
durante la configurazione dell'endpoint. Non è possibile distribuire endpoint batch pubblici in aree di lavoro abilitate per il collegamento privato.
Protezione dei processi di distribuzione batch
Le distribuzioni batch di Azure Machine Learning vengono eseguite nei cluster di elaborazione. Per proteggere i processi di distribuzione batch, è necessario distribuire anche i cluster di elaborazione in una rete virtuale.
Creare un cluster di computer di Azure Machine Learning nella rete virtuale.
Verificare che tutti i servizi correlati dispongano di endpoint privati configurati nella rete. Gli endpoint privati vengono usati non solo per l'area di lavoro di Azure Machine Learning, ma anche per le risorse associate, ad esempio Archiviazione di Azure, Azure Key Vault o Registro Azure Container. Registro Azure Container è un servizio obbligatorio. Durante la protezione dell'area di lavoro di Azure Machine Learning con reti virtuali, tenere presente che esistono alcuni prerequisiti relativi a Registro Azure Container.
Se l'istanza di calcolo usa un indirizzo IP pubblico, è necessario consentire la comunicazione in ingresso in modo che i servizi di gestione possano inviare processi alle risorse di calcolo.
Suggerimento
È possibile creare un cluster di elaborazione e un'istanza di calcolo con o senza un indirizzo IP pubblico. Se creati con un indirizzo IP pubblico, si ottiene un servizio di bilanciamento del carico con un indirizzo IP pubblico per accettare l'accesso in ingresso dal servizio Azure Batch e dal servizio Azure Machine Learning. È necessario configurare il routing definito dall'utente (UDR) se si usa un firewall. Se creato senza un indirizzo IP pubblico, si ottiene un servizio di collegamento privato per accettare l'accesso in ingresso dal servizio Azure Batch e dal servizio Azure Machine Learning senza un indirizzo IP pubblico.
Potrebbe essere necessario un gruppo di sicurezza di rete aggiuntivo a seconda del caso. Per altre informazioni, vedere Come proteggere l'ambiente di training.
Per altre informazioni, vedere l’articolo Proteggere un ambiente di training di Azure Machine Learning con reti virtuali.
Limiti
Quando si lavora sugli endpoint batch distribuiti per quanto riguarda la rete, prendere in considerazione le limitazioni seguenti:
Se si modifica la configurazione di rete dell'area di lavoro da pubblica a privata o viceversa, tale configurazione non influisce sulla configurazione di rete degli endpoint batch esistenti. Gli endpoint batch si basano sulla configurazione dell'area di lavoro al momento della creazione. È possibile ricreare gli endpoint se si vuole che riflettano le modifiche apportate nell'area di lavoro.
Quando si usa un’area di lavoro abilitata per il collegamento privato, è possibile creare e gestire gli endpoint batch usando studio di Azure Machine Learning. Tuttavia, non possono essere richiamati dall'interfaccia utente in Studio. Usare invece l'interfaccia della riga di comando di Azure Machine Learning v2 per la creazione di processi. Per altre informazioni sull'uso, vedere Eseguire l'endpoint batch per avviare un processo di assegnazione dei punteggi batch.