다음을 통해 공유

Azure Machine Learning에서 네트워크 격리 구성 비교

  • 아티클

작업 영역의 경우 Azure Machine Learning은 관리되는 네트워크 격리 및 사용자 지정 네트워크 격리라는 두 가지 유형의 아웃바운드 네트워크 격리 구성을 제공합니다. 둘 다 이점과 제한 사항으로 전체 네트워크 격리 지원을 제공합니다. 이 문서에서는 요구 사항에 가장 적합한 항목을 결정하기 위한 두 네트워크 격리 구성에 대한 기능 지원 및 제한 사항에 대해 설명합니다.

엔터프라이즈 보안 요구 사항

클라우드 컴퓨팅을 사용하면 데이터 및 기계 학습 기능을 강화할 수 있지만 보안 및 규정 준수에 대한 새로운 과제와 위험도 제기합니다. 데이터 및 모델의 무단 액세스, 변조 또는 유출로부터 클라우드 인프라를 보호해야 합니다. 또한 업계 및 도메인에 적용되는 규정 및 표준을 준수해야 할 수도 있습니다.

일반적인 엔터프라이즈 요구 사항은 다음과 같습니다.

  • 가상 네트워크와 네트워크 격리 경계를 사용하여 인바운드 및 아웃바운드 제어를 수행하고 프라이빗 Azure 리소스에 프라이빗 연결을 갖습니다.
  • 공용 IP 솔루션 및 프라이빗 엔드포인트 없이 인터넷에 노출되지 않도록 합니다.
  • 가상 네트워크 어플라이언스를 사용하여 방화벽, 침입 검색, 취약성 관리, 웹 필터링과 같은 더 나은 네트워크 보안 기능을 제공합니다.
  • Azure Machine Learning용 네트워크 아키텍처는 기존 네트워크 아키텍처와 통합할 수 있습니다.

관리형 및 사용자 지정 네트워크 격리 구성이란?

관리형 네트워크 격리 는 Azure Machine Learning의 완전 관리형 기능인 관리형 가상 네트워크에 의존합니다. 관리형 네트워크 격리는 최소한의 구성 및 관리 오버헤드로 Azure Machine Learning을 사용하려는 경우에 이상적입니다.

사용자 지정 네트워크 격리 는 Azure Virtual Network를 만들고 관리하는 데 의존합니다. 이 구성은 네트워크 구성에 대한 최대 제어를 원하는 경우에 이상적입니다.

관리형 또는 사용자 지정 가상 네트워크를 사용하는 경우

관리되는 가상 네트워크를 사용하는 경우...

  • 표준 네트워크 격리 요구 사항이 있는 Azure Machine Learning의 새 사용자입니다.
  • 표준 네트워크 격리 요구 사항이 있는 회사입니다.
  • HTTP/S 엔드포인트를 사용하여 리소스에 대한 온-프레미스 액세스가 필요합니다.
  • 비 Azure 종속성이 아직 설정되지 않았습니다.
  • Azure Machine Learning 관리형 온라인 엔드포인트 및 서버리스 Spark 컴퓨팅을 사용해야 합니다.
  • 조직의 네트워킹에 대한 관리 요구 사항이 적습니다.

사용자 지정 가상 네트워크를 사용하는 경우...

  • 네트워크 격리 요구 사항이 많은 회사입니다.
  • 이전에 설정된 비 Azure 종속성이 많으며 Azure Machine Learning에 액세스해야 합니다.
  • HTTP/S 엔드포인트가 없는 온-프레미스 데이터베이스가 있습니다.
  • 고유한 방화벽 및 가상 네트워크 로깅을 사용하고 아웃바운드 네트워크 트래픽을 모니터링해야 합니다.
  • 유추 워크로드에 AKS(Azure Kubernetes Services)를 사용하려고 합니다.

다음 표에서는 관리되는 가상 네트워크와 사용자 지정 가상 네트워크의 이점과 제한 사항을 비교합니다.

사용자 지정 가상 네트워크 관리형 가상 네트워크
혜택 - 기존 설정
에 맞게 네트워킹을 조정할 수 있습니다. Azure Machine Learning
을 사용하여 자체 비 Azure 리소스 가져오기 - 온-프레미스 리소스에 연결		 - 설정 및 유지 관리 오버헤드
최소화 - 관리되는 온라인 엔드포인트
지원 - 서버리스 Spark
지원 - 새 기능을 먼저 가져옵니다.
제한 사항 - 새 기능 지원이 지연
될 수 있습니다. 관리되는 온라인 엔드포인트가 지원
되지 않음- 서버리스 Spark가 지원
되지 않음 - 기본 모델이 지원
되지 않음- 코드 MLFlow가 지원
되지 않음 - 구현 복잡성
- 유지 관리 오버헤드		 - Azure Firewall 및 FQDN(정규화된 도메인 이름) 규칙
의 비용 영향 - 가상 네트워크, 방화벽 및 NSG 규칙의 로깅이 지원
되지 않음 - 비 HTTP/S 엔드포인트 리소스에 대한 액세스가 지원되지 않음

사용자 지정 가상 네트워크 제한 사항

  • 새로운 기능 지원이 지연될 수 있습니다. 네트워크 격리 제품을 개선하기 위한 노력은 사용자 지정 가상 네트워크 대신 관리되는 데 중점을 두고 있습니다. 따라서 새 기능 요청은 사용자 지정 가상 네트워크보다 관리되는 우선 순위가 지정됩니다.
  • 관리되는 온라인 엔드포인트는 지원되지 않습니다. 관리되는 온라인 엔드포인트는 사용자 지정 가상 네트워크를 지원하지 않습니다. 관리되는 온라인 엔드포인트를 보호하려면 작업 영역 관리형 가상 네트워크를 사용하도록 설정해야 합니다. 레거시 네트워크 격리 방법을 사용하여 관리형 온라인 엔드포인트를 보호할 수 있습니다. 그러나 작업 영역 관리되는 네트워크 격리 사용하는 것이 좋습니다. 자세한 내용은 관리되는 온라인 엔드포인트를 방문 하세요.
  • 서버리스 Spark 컴퓨팅은 지원되지 않습니다. 서버리스 Spark 컴퓨팅은 사용자 지정 가상 네트워크에서 지원되지 않습니다. Azure Synapse는 관리형 가상 네트워크 설정만 사용하므로 작업 영역 관리형 가상 네트워크는 서버리스 Spark를 지원합니다. 자세한 내용은 구성된 서버리스 Spark를 방문하세요.
  • 구현 복잡성 및 유지 관리 오버헤드: 사용자 지정 가상 네트워크 설정을 사용하면 가상 네트워크, 서브넷, 프라이빗 엔드포인트 등을 설정하는 모든 복잡성이 사용자에게 영향을 줍니다. 네트워크 및 컴퓨팅의 유지 관리는 사용자에 해당합니다.

관리되는 가상 네트워크 제한 사항

  • Azure Firewall 및 FQDN 규칙에 따른 비용 영향: 사용자 정의 FQDN 아웃바운드 규칙을 만들 때만 사용자를 대신하여 Azure Firewall이 프로비전됩니다. Azure Firewall은 표준 SKU 방화벽이며 청구에 추가되는 비용이 발생합니다. 자세한 내용은 Azure Firewall 가격 책정을 참조 하세요.
  • 관리되는 가상 네트워크의 로깅 및 모니터링은 지원되지 않습니다. 관리되는 가상 네트워크는 가상 네트워크 흐름, NSG 흐름 또는 방화벽 로그를 지원하지 않습니다. 이 제한 사항은 관리되는 가상 네트워크가 Microsoft 테넌트에 배포되어 구독으로 전송될 수 없기 때문입니다.
  • 비 Azure, 비 HTTP/S 리소스에 대한 액세스는 지원되지 않습니다. 관리되는 가상 네트워크는 비 Azure, 비 HTTP/S 리소스에 대한 액세스를 허용하지 않습니다.

관련 콘텐츠