Comparar configurações de isolamento de rede no Azure Machine Learning

Para os workspaces, o Azure Machine Learning oferece dois tipos de configurações de isolamento de rede de saída: isolamento de rede gerenciada e isolamento de rede personalizada. Ambos são totalmente compatíveis com o isolamento de rede, com os respectivos benefícios e limitações. Este documento aborda o suporte a recursos e as limitações em ambas as configurações de isolamento de rede para que você possa decidir o que é melhor para suas necessidades.

Necessidades de segurança corporativa

Com a computação em nuvem, é possível escalar verticalmente dados e recursos de machine learning, mas ela também apresenta novos desafios e riscos para a segurança e a conformidade. Você precisa garantir que a infraestrutura de nuvem esteja protegida contra acesso não autorizado, adulteração ou vazamento de dados e modelos. Também pode ser necessário aderir aos regulamentos e padrões aplicáveis ​​ao setor e domínio.

Os requisitos corporativos comuns incluem:

• Usar o limite de isolamento de rede com rede virtual para ter controle de entrada e saída e estabelecer conexão privada com os recursos privados do Azure.
• Evitar a exposição à Internet sem soluções de IP público e pontos de extremidade privados.
• Usar dispositivos de rede virtual para ter melhores recursos de segurança de rede, como firewall, detecção de intrusão, gerenciamento de vulnerabilidades e filtragem da Web.
• A arquitetura de rede do Azure Machine Learning pode ser integrada à arquitetura de rede existente.

O que são as configurações de isolamento de rede gerenciada e personalizada?

O isolamento de rede gerenciada depende das redes virtuais gerenciadas, que são um recurso totalmente gerenciado do Azure Machine Learning. O isolamento de rede gerenciada é ideal quando você deseja usar o Azure Machine Learning com o mínimo de configuração e sobrecarga de gerenciamento.

O isolamento de rede personalizada depende da criação e do gerenciamento de uma Rede Virtual do Azure. Essa configuração é ideal quando você deseja ter controle máximo sobre a configuração de rede.

Quando usar redes virtuais gerenciadas ou personalizadas

Uma rede virtual gerenciada deve ser usada quando…

• Você é um novo usuário do Azure Machine Learning com requisitos de isolamento de rede padrão
• Você é uma empresa com requisitos padrão de isolamento de rede
• Você precisa de acesso local a recursos com pontos de extremidade HTTP/S
• Você ainda não tem muitas dependências que não são do Azure configuradas
• Você precisa usar pontos de extremidade online gerenciados pelo Azure Machine Learning e computações Spark sem servidor
• Sua organização tem menos requisitos de gerenciamento para redes

Uma rede virtual personalizada deve ser usada quando…

• Sua empresa tem muitos requisitos de isolamento de rede
• Você tem muitas dependências que não são do Azure configuradas anteriormente e precisa acessar o Azure Machine Learning
• Você tem bancos de dados locais sem pontos de extremidade HTTP/S
• Você precisa usar seu próprio firewall e o monitoramento e o registro em log de rede virtual para o tráfego de rede de saída
• Você deseja usar o AKS (Serviço de Kubernetes do Azure) para cargas de trabalho de inferência

Esta tabela fornece uma comparação dos benefícios e das limitações das redes virtuais gerenciadas e personalizadas:

Limitações das redes virtuais personalizadas

• O suporte a novos recursos pode ser atrasado: os esforços para melhorar nossas ofertas de isolamento de rede estão focados em redes virtuais gerenciadas em vez de personalizadas. Portanto, as solicitações de novos recursos são priorizadas na rede virtual gerenciada em vez de na personalizada.
• NÃO HÁ SUPORTE para os pontos de extremidade online gerenciados: os pontos de extremidade online gerenciados não são compatíveis com redes virtuais personalizadas. A rede virtual gerenciada pelo workspace deve ser habilitada para proteger os pontos de extremidade online gerenciados. Você pode proteger pontos de extremidade online gerenciados com o método de isolamento de rede herdado. No entanto, recomendamos que você use o isolamento de rede gerenciada pelo workspace. Para saber mais, acesse Pontos de extremidade online gerenciados.
• NÃO HÁ SUPORTE para a computação do Spark sem servidor: as computações do Spark sem servidor não são compatíveis com redes virtuais personalizadas. A rede virtual gerenciada pelo workspace é compatível com o Spark sem servidor porque o Azure Synapse usa somente a configuração de rede virtual gerenciada. Para saber mais, confira Configuração do Spark sem servidor.
• Sobrecarga de manutenção e complexidade da implementação: com a configuração de rede virtual personalizada, o usuário é responsável por toda a complexidade relacionada à configuração da rede virtual, da sub-rede, dos pontos de extremidade privados, entre outros. A manutenção da rede e das computações é de responsabilidade do usuário.

Limitações das redes virtuais gerenciadas

• Implicações de custo com regras de FQDN e o Firewall do Azure: um Firewall do Azure é provisionado em nome do usuário somente quando uma regra de saída de FQDN definida pelo usuário é criada. O Firewall do Azure é o firewall padrão do SKU e incorre em custos que são adicionados à cobrança. Para saber mais, acesse Preços do Firewall do Azure.
• NÃO HÁ SUPORTE para o registro em log e o monitoramento da rede virtual gerenciada: a rede virtual gerenciada não é compatível com o fluxo de rede virtual, o fluxo NSG ou os logs do firewall. Essa limitação ocorre porque a rede virtual gerenciada é implantada em um locatário da Microsoft e não pode ser enviada para a assinatura.
• NÃO HÁ SUPORTE para o acesso a recursos que não são do Azure e não são HTTP/S: a rede virtual gerenciada não permite acesso a recursos que não são do Azure e não são HTTP/S.

Conteúdo relacionado

• Plano de isolamento de rede
• Usar uma rede virtual gerenciada
• Usar uma rede virtual personalizada