Çalışma Alanı Yönetilen Sanal Ağ Yalıtımı

Makale
12/24/2024

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)

Azure Machine Learning, yönetilen sanal ağ (yönetilen sanal ağ) yalıtımı için destek sağlar. Yönetilen sanal ağ yalıtımı, yerleşik, çalışma alanı düzeyinde Azure Machine Learning yönetilen sanal ağıyla ağ yalıtımı yapılandırmanızı kolaylaştırır ve otomatikleştirir. Yönetilen sanal ağ, işlem örnekleri, işlem kümeleri, sunucusuz işlem ve yönetilen çevrimiçi uç noktalar gibi yönetilen Azure Machine Learning kaynaklarınızın güvenliğini sağlar.

Yönetilen ağ ile çalışma alanınızın güvenliğini sağlamak, çalışma alanından ve yönetilen işlemlerden giden erişim için ağ yalıtımı sağlar. Oluşturduğunuz ve yönettiğiniz bir Azure Sanal Ağ, çalışma alanına gelen ağ yalıtımı erişimi sağlamak için kullanılır. Örneğin, Azure Sanal Ağ çalışma alanı için özel bir uç nokta oluşturulur. Sanal ağa bağlanan tüm istemciler çalışma alanına özel uç nokta üzerinden erişebilir. Yönetilen işlemlerde işler çalıştırılırken yönetilen ağ, işlem tarafından erişilebilen işlemleri kısıtlar.

Yönetilen Sanal Ağ Mimarisi

Yönetilen sanal ağ yalıtımını etkinleştirdiğinizde, çalışma alanı için bir yönetilen sanal ağ oluşturulur. Çalışma alanı için oluşturduğunuz yönetilen işlem kaynakları bu yönetilen sanal ağı otomatik olarak kullanır. Yönetilen sanal ağ, çalışma alanınız tarafından kullanılan Azure kaynakları için Azure Depolama, Azure Key Vault ve Azure Container Registry gibi özel uç noktaları kullanabilir.

Yönetilen sanal ağdan giden trafik için iki farklı yapılandırma modu vardır:

İpucu

Kullandığınız giden modundan bağımsız olarak, Azure kaynaklarına giden trafik özel uç nokta kullanacak şekilde yapılandırılabilir. Örneğin, İnternet'e giden tüm trafiğe izin verebilir, ancak kaynaklar için giden kuralları ekleyerek Azure kaynaklarıyla iletişimi kısıtlayabilirsiniz.

Giden modu	Açıklama	Senaryolar
İnternet'e gidenlere izin ver	Yönetilen sanal ağdan gelen tüm İnternet giden trafiğine izin verin.	Python paketleri veya önceden eğitilmiş modeller gibi internet üzerindeki makine öğrenmesi kaynaklarına sınırsız erişim istiyorsunuz.¹
Yalnızca onaylanan gidene izin ver	Hizmet etiketleri belirtilerek giden trafiğe izin verilir.	* Veri sızdırma riskini en aza indirmek istiyorsunuz, ancak gerekli tüm makine öğrenmesi yapıtlarını özel ortamınızda hazırlamanız gerekiyor. * Onaylı bir hizmet listesine, hizmet etiketlerine veya FQDN'lere giden erişimi yapılandırmak istiyorsunuz.
Devre dışı	Gelen ve giden trafik kısıtlanmış değil veya kaynakları korumak için kendi Azure Sanal Ağ kullanıyorsunuz.	Çalışma alanından genel gelen ve gidenleri istiyorsunuz veya ağ yalıtımını kendi Azure sanal ağınızla işliıyorsunuz.

1: İnternet'e gidene izin ver seçeneğini kullanarak aynı sonucu elde etmek için yalnızca onaylanan giden moduna izin ver ile giden kurallarını kullanabilirsiniz. Farklar şunlardır:

İzin vermeniz gereken her giden bağlantı için kurallar eklemeniz gerekir.
Bu kural türü Azure Güvenlik Duvarı kullandığından FQDN giden kuralları eklemek maliyetlerinizi artırır. Daha fazla bilgi için bkz. Fiyatlandırma
Yalnızca onaylanan gidenlere izin ver için varsayılan kurallar, veri sızdırma riskini en aza indirmek için tasarlanmıştır. Eklediğiniz tüm giden kuralları riskinizi artırabilir.

Yönetilen sanal ağ, gerekli varsayılan kurallarla önceden yapılandırılmıştır. Ayrıca çalışma alanınıza özel uç nokta bağlantıları, çalışma alanının varsayılan depolama alanı, kapsayıcı kayıt defteri ve anahtar kasası özel olarak yapılandırılmışsa veya çalışma alanı yalıtım modu yalnızca onaylanan gidene izin verecek şekilde ayarlanmışsa yapılandırılır. Yalıtım modunu seçtikten sonra, yalnızca eklemeniz gerekebilecek diğer giden gereksinimleri dikkate almanız gerekir.

Aşağıdaki diyagramda İnternet'e giden İnternet'e izin verecek şekilde yapılandırılmış bir yönetilen sanal ağ gösterilmektedir:

Aşağıdaki diyagramda yalnızca onaylanan gidene izin verecek şekilde yapılandırılmış bir yönetilen sanal ağ gösterilmektedir:

Not

Bu yapılandırmada, çalışma alanı tarafından kullanılan depolama, anahtar kasası ve kapsayıcı kayıt defteri özel olarak işaretlenir. Bunlar özel olarak işaretlendiğinden, onlarla iletişim kurmak için özel bir uç nokta kullanılır.

Not

Yönetilen bir sanal ağ çalışma alanı İnternet'e gidene izin verecek şekilde yapılandırıldıktan sonra, çalışma alanı devre dışı olarak yeniden yapılandırılamaz. Benzer şekilde, yönetilen bir sanal ağ çalışma alanı yalnızca onaylanan gidene izin verecek şekilde yapılandırıldıktan sonra, çalışma alanı İnternet'e gidene izin verecek şekilde yeniden yapılandırılamaz. Çalışma alanınızda yönetilen sanal ağ için yalıtım modunu seçerken lütfen bunu göz önünde bulundurun.

Azure Machine Learning Studio

Tümleşik not defterini kullanmak veya studio'dan varsayılan depolama hesabında veri kümeleri oluşturmak istiyorsanız istemcinizin varsayılan depolama hesabına erişmesi gerekir. İstemcilerin kullandığı Azure Sanal Ağ varsayılan depolama hesabı için özel bir uç nokta veya hizmet uç noktası oluşturun.

Azure Machine Learning stüdyosu bir bölümü istemcinin web tarayıcısında yerel olarak çalışır ve çalışma alanının varsayılan depolama alanıyla doğrudan iletişim kurar. İstemcinin sanal ağında özel uç nokta veya hizmet uç noktası (varsayılan depolama hesabı için) oluşturmak, istemcinin depolama hesabıyla iletişim kurabilmesini sağlar.

Çalışma alanıyla ilişkili Azure depolama hesabında genel ağ erişimi devre dışı bırakılmışsa, istemci sanal ağında oluşturulan özel uç noktaya çalışma alanı yönetilen kimliğiniz için Okuyucu rolü verildiğinden emin olun. Bu, hem blog hem de dosya depolama özel uç noktaları için geçerlidir. Rol, yönetilen sanal ağ tarafından oluşturulan özel uç nokta için gerekli değildir.

Özel uç nokta veya hizmet uç noktası oluşturma hakkında daha fazla bilgi için Depolama hesabına özel olarak bağlanma ve Hizmet Uç Noktaları makalelerine bakın.

Güvenli ilişkili kaynaklar

Bir hizmet uç noktası veya özel uç nokta kullanarak (genel erişimi devre dışı bırakarak) sanal ağa aşağıdaki hizmetleri eklerseniz, güvenilen Microsoft hizmetleri bu hizmetlere erişmesine izin verin:

Hizmet	Uç nokta bilgileri	Güvenilen bilgilere izin ver
Azure Key Vault	Hizmet uç noktası Özel uç noktası	Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver
Azure Depolama Hesabı	Hizmet ve özel uç nokta Özel uç nokta	Azure kaynak örneklerinden erişim verme veya Güvenilen Azure hizmetlerine erişim verme
Azure Container Registry	Özel uç nokta	Güvenilen hizmetlere izin ver

Önkoşullar

Bu makaledeki adımları takip etmeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.
Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.

Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure CLI ve ml Azure CLI uzantısı. Daha fazla bilgi için bkz . CLI'yi (v2) yükleme, ayarlama ve kullanma.
İpucu

Azure Machine Learning tarafından yönetilen sanal ağ 23 Mayıs 2023'te kullanıma sunulmuştur. ML uzantısının eski bir sürümüne sahipseniz, bu makaledeki örnekler için bu uzantıyı güncelleştirmeniz gerekebilir. Uzantıyı güncelleştirmek için aşağıdaki Azure CLI komutunu kullanın:
```
az extension update -n ml
```
Bu makaledeki CLI örneklerinde Bash (veya uyumlu) kabuğu kullandığınız varsayılır. Örneğin, bir Linux sisteminden veya Linux için Windows Alt Sistemi.
Bu makaledeki Azure CLI örnekleri, çalışma alanının adını ve rg kaynak grubunun adını temsil etmek için kullanılırws. Azure aboneliğinizle komutları kullanırken bu değerleri gerektiği gibi değiştirin.

Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.
Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.

Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Azure Machine Learning Python SDK v2. SDK hakkında daha fazla bilgi için bkz . Azure Machine Learning için Python SDK v2'yi yükleme.
İpucu

Azure Machine learning yönetilen sanal ağı 23 Mayıs 2023'te kullanıma sunulmuştur. SDK'nın eski bir sürümü yüklüyse, bu makaledeki örneklerin çalışması için bu sürümü güncelleştirmeniz gerekebilir. SDK'yı güncelleştirmek için aşağıdaki komutu kullanın:
```
pip install --upgrade azure-ai-ml azure-identity
```

Bu makaledeki örneklerde kodunuzun aşağıdaki Python ile başladığı varsayılır. Bu kod, yönetilen sanal ağ ile çalışma alanı oluştururken gereken sınıfları içeri aktarır, Azure aboneliğiniz ve kaynak grubunuz için değişkenleri ayarlar ve oluşturur ml_client:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Workspace,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group)

Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.
Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken çalışma alanı tarafından kullanılır.

Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.
Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Not

UAI çalışma alanını kullanıyorsanız kimliğinize Azure AI Enterprise Network Connection Approver rolünü eklediğinizden emin olun. Daha fazla bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlik.

İnternet giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

İpucu

Yönetilen sanal ağın oluşturulması, işlem kaynağı oluşturulana veya sağlama el ile başlatılana kadar ertelenebilir. Otomatik oluşturma işlemine izin verildiğinde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. Daha fazla bilgi için bkz . Ağı el ile sağlama.

Önemli

Sunucusuz Spark işleri göndermeyi planlıyorsanız, sağlamayı el ile başlatmanız gerekir. Daha fazla bilgi için sunucusuz Spark işleri için yapılandırma bölümüne bakın.

İnternet giden iletişimlerine izin veren bir yönetilen sanal ağ yapılandırmak için, parametresini --managed-network allow_internet_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:

managed_network:
  isolation_mode: allow_internet_outbound

Çalışma alanının bağlı olduğu diğer Azure hizmetlerine giden kuralları da tanımlayabilirsiniz. Bu kurallar, bir Azure kaynağının yönetilen sanal ağ ile güvenli bir şekilde iletişim kurmasına olanak sağlayan özel uç noktaları tanımlar. Aşağıdaki kural, Bir Azure Blob kaynağına özel uç nokta eklemeyi gösterir.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Yönetilen bir sanal ağı veya az ml workspace update komutlarını az ml workspace create kullanarak yapılandırabilirsiniz:

Yeni bir çalışma alanı oluşturun:

Aşağıdaki örnek yeni bir çalışma alanı oluşturur. parametresi, --managed-network allow_internet_outbound çalışma alanı için yönetilen bir sanal ağ yapılandırıyor:
```
az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
```
Bunun yerine YAML dosyası kullanarak çalışma alanı oluşturmak için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:
```
az ml workspace create --file workspace.yaml --resource-group rg --name ws
```
Aşağıdaki YAML örneği, yönetilen sanal ağa sahip bir çalışma alanını tanımlar:
```
name: myworkspace
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Mevcut bir çalışma alanını güncelleştirme:

Uyarı

Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

Aşağıdaki örnek var olan bir çalışma alanını güncelleştirir. parametresi, --managed-network allow_internet_outbound çalışma alanı için yönetilen bir sanal ağ yapılandırıyor:
```
az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
```
YAML dosyasını kullanarak var olan bir çalışma alanını güncelleştirmek için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:
```
az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
```
Aşağıdaki YAML örneği, çalışma alanı için yönetilen bir sanal ağ tanımlar. Ayrıca çalışma alanı tarafından kullanılan bir kaynağa özel uç nokta bağlantısının nasıl ekleneceğini de gösterir; bu örnekte blob deposu için özel uç nokta:
```
name: myworkspace
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

İnternet giden iletişimlerine izin veren bir yönetilen sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOW_INTERNET_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir çalışma alanı oluşturabilir veya var olan bir çalışma alanını güncelleştirebilirsiniz. Çalışma alanının kullandığı Azure hizmetlerine giden kuralları tanımlamak için sınıfını PrivateEndpointDestination kullanarak hizmete yeni bir özel uç nokta tanımlayın.

Yeni bir çalışma alanı oluşturun:

Aşağıdaki örnek, myworkspaceAzure Blob deposu için özel uç nokta ekleyen adlı myrule bir giden kuralıyla adlı yeni bir çalışma alanı oluşturur:

# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Workspace configuration
ws = Workspace(
    name="myworkspace",
    location="eastus",
    managed_network=network
)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()

Mevcut bir çalışma alanını güncelleştirme:

Uyarı

Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

Aşağıdaki örnekte adlı myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir:

# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ml_client.workspaces.begin_update(ws)

Yalnızca onaylı giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

İpucu

Yönetilen sanal ağ, işlem kaynağı oluşturduğunuzda otomatik olarak sağlanır. Otomatik oluşturma işlemine izin verildiğinde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız, ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Daha fazla bilgi için bkz . Ağı el ile sağlama.

Önemli

Sunucusuz Spark işleri göndermeyi planlıyorsanız, sağlamayı el ile başlatmanız gerekir. Daha fazla bilgi için sunucusuz Spark işleri için yapılandırma bölümüne bakın.

Yalnızca onaylanan giden iletişimlere izin veren bir yönetilen sanal ağ yapılandırmak için, parametresini --managed-network allow_only_approved_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:

managed_network:
  isolation_mode: allow_only_approved_outbound

Ayrıca, onaylanan giden iletişimini tanımlamak için giden kuralları da tanımlayabilirsiniz. , ve private_endpointtürü service_tagfqdniçin bir giden kuralı oluşturulabilir. Aşağıdaki kural bir Azure Blob kaynağına özel uç nokta, Azure Data Factory'ye hizmet etiketi ve öğesine pypi.orgFQDN eklemeyi gösterir:

Önemli

Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak allow_only_approved_outboundyapılandırıldığında geçerlidir.
Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.

Uyarı

FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Yönetilen bir sanal ağı veya az ml workspace update komutlarını az ml workspace create kullanarak yapılandırabilirsiniz:

Yeni bir çalışma alanı oluşturun:

Aşağıdaki örnek, yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :
```
az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
```
Aşağıdaki YAML dosyası, yönetilen sanal ağa sahip bir çalışma alanını tanımlar:
```
name: myworkspace
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
YAML dosyasını kullanarak çalışma alanı oluşturmak için parametresini --file kullanın:
```
az ml workspace create --file workspace.yaml --resource-group rg --name ws
```
Mevcut çalışma alanını güncelleştirme

Uyarı

Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

Aşağıdaki örnek, mevcut bir çalışma alanı için yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :
```
az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
```
Aşağıdaki YAML dosyası, çalışma alanı için yönetilen bir sanal ağ tanımlar. Ayrıca yönetilen sanal ağa onaylı bir gidenin nasıl ekleneceğini de gösterir. Bu örnekte, her iki hizmet etiketi için de bir giden kuralı eklenir:

Uyarı

FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
```
name: myworkspace_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Yalnızca onaylı giden iletişimlere izin veren bir yönetilen sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir çalışma alanı oluşturabilir veya var olan bir çalışma alanını güncelleştirebilirsiniz. Giden kuralları tanımlamak için aşağıdaki sınıfları kullanın:

Hedef	Sınıf
Çalışma alanının bağlı olduğu Azure hizmeti	`PrivateEndpointDestination`
Azure hizmet etiketi	`ServiceTagDestination`
Tam etki alanı adı (FQDN)	`FqdnDestination`

Yeni bir çalışma alanı oluşturun:

Aşağıdaki örnek, birkaç giden kuralıyla adlı myworkspaceyeni bir çalışma alanı oluşturur:

myrule - Azure Blob deposu için özel uç nokta ekler.
datafactory - Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.

Önemli

Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir.
Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.

Uyarı

# Basic managed VNet configuration
network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Workspace configuration
ws = Workspace(
    name="myworkspace",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the workspace
ws = ml_client.workspaces.begin_create(ws).result()

Mevcut bir çalışma alanını güncelleştirme:

Uyarı

Aşağıdaki örnekte adlı myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir. Örnek, yönetilen sanal ağ için birkaç giden kuralı da ekler:

myrule - Azure Blob deposu için özel uç nokta ekler.
datafactory - Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.

İpucu

Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir.

Uyarı

# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the workspace
ml_client.workspaces.begin_update(ws)

Sunucusuz Spark işleri için yapılandırma

İpucu

Bu bölümdeki adımlar yalnızca sunucusuz Spark işleri göndermeyi planlıyorsanız gereklidir. Sunucusuz Spark işleri göndermeyecekseniz bu bölümü atlayabilirsiniz.

Yönetilen sanal ağ için sunucusuz Spark işlerini etkinleştirmek için aşağıdaki eylemleri gerçekleştirmeniz gerekir:

Çalışma alanı için yönetilen bir sanal ağ yapılandırın ve Azure Depolama Hesabı için bir giden özel uç nokta ekleyin.
Yönetilen sanal ağı yapılandırdıktan sonra sağlayın ve Spark işlerine izin verecek şekilde bayrak ekleyin.

Giden özel uç noktayı yapılandırın.
Yönetilen sanal ağ yapılandırmasını tanımlamak ve Azure Depolama Hesabı için özel bir uç nokta eklemek için bir YAML dosyası kullanın. Ayrıca ayarlayın spark_enabled: true:

İpucu

Bu örnek, İnternet trafiğine izin vermek için kullanılarak isolation_mode: allow_internet_outbound yapılandırılmış yönetilen bir sanal ağa yöneliktir. Yalnızca onaylanan giden trafiğe izin vermek istiyorsanız kullanın isolation_mode: allow_only_approved_outbound.
```
name: myworkspace
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```
parametresini ve YAML dosyasının az ml workspace update adını belirterek --file komutuyla YAML yapılandırma dosyasını kullanabilirsiniz. Örneğin, aşağıdaki komut adlı workspace_pe.ymlbir YAML dosyası kullanarak var olan bir çalışma alanını güncelleştirir:
```
az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
```
Not

Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()isolation_mode: allow_only_approved_outbound Spark oturum yapılandırmasında tanımlanan conda paketi bağımlılıkları yüklenemiyor. Bu sorunu çözmek için azure depolama hesabına dış bağımlılıkları olmayan bağımsız bir Python paket tekerleği yükleyin ve bu depolama hesabına özel uç nokta oluşturun. Spark işinizde parametre olarak py_files Python paket tekerleğinin yolunu kullanın. FQDN giden kuralının ayarlanması, Spark tarafından FQDN kuralı yayılması desteklenmediğinden bu sorunu atlamaz.
Aşağıdaki örnekte adlı myworkspacemevcut bir Azure Machine Learning çalışma alanı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir. Ayrıca Azure Depolama Hesabı için özel bir uç nokta ekler ve ayarlar spark_enabled=true:

İpucu

Aşağıdaki örnek, İnternet trafiğine izin vermek için kullanılarak IsolationMode.ALLOW_INTERNET_OUTBOUND yapılandırılmış yönetilen bir sanal ağa yöneliktir. Yalnızca onaylanan giden trafiğe izin vermek istiyorsanız kullanın IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
```
# Get the existing workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound 
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the workspace
ml_client.workspaces.begin_update(ws)
```
Not
- Yalnızca Onaylanan Gidene İzin Ver etkinleştirildiğinde ()isolation_mode: allow_only_approved_outbound Spark oturum yapılandırmasında tanımlanan conda paketi bağımlılıkları yüklenemiyor. Bu sorunu çözmek için azure depolama hesabına dış bağımlılıkları olmayan bağımsız bir Python paket tekerleği yükleyin ve bu depolama hesabına özel uç nokta oluşturun. Spark işinde parametre olarak py_files Python paket tekerleğinin yolunu kullanın.
- çalışma alanı ile IsolationMode.ALLOW_INTERNET_OUTBOUNDoluşturulduysa, daha sonra kullanmak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDüzere güncelleştirilemez.
1. Azure portalında oturum açın ve Azure Machine Learning çalışma alanını seçin.
2. Ağ'ı ve ardından Kullanıcı tanımlı giden kuralları ekle'yi seçin. Azure Depolama Hesabı için bir kural ekleyin ve Spark'ın etkinleştirildiğinden emin olun.
3. Kuralı kaydetmek için Kaydet'i seçin ve ardından ağ oluşturmanın üst kısmından Kaydet'i seçerek değişiklikleri yönetilen sanal ağa kaydedin.
Yönetilen sanal ağı sağlama.

Not

Çalışma alanınızda genel ağ erişimi etkinleştirildiyse, yönetilen sanal ağı sağlamadan önce bunu devre dışı bırakmanız gerekir. Yönetilen sanal ağı sağlarken genel ağ erişimini devre dışı bırakmazsanız, yönetilen sanal ağda çalışma alanının özel uç noktaları otomatik olarak oluşturulmayabilir. Aksi takdirde, sağlamadan sonra çalışma alanı için özel uç nokta giden kuralını el ile yapılandırmanız gerekir.
Aşağıdaki örnek, parametresini kullanarak sunucusuz Spark işleri için yönetilen bir sanal ağı sağlamayı --include-spark gösterir.
```
az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
```
Aşağıdaki örnek, sunucusuz Spark işleri için yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:
```
# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
```
Yönetilen sanal ağı sunucusuz Spark desteğiyle el ile sağlamayı öğrenmek için Azure CLI veya Python SDK sekmelerini kullanın.

Yönetilen sanal ağı el ile sağlama

Yönetilen sanal ağ, bir işlem örneği oluşturduğunuzda otomatik olarak sağlanır. Otomatik sağlamayı kullandığınızda, ağı da sağladığından ilk işlem örneğinin oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız (yalnızca onaylanan moda izin ver ile kullanılabilir), ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Yönetilen ağda sağlanacak çok sayıda giden kuralınız varsa sağlamanın tamamlanması daha uzun sürebilir. Artan sağlama süresi, ilk işlem örneği oluşturma işleminizin zaman aşımına neden olabilir.

Bekleme süresini azaltmak ve olası zaman aşımı hatalarını önlemek için yönetilen ağı el ile sağlamanızı öneririz. Ardından bir işlem örneği oluşturmadan önce sağlama tamamlanana kadar bekleyin.

Alternatif olarak, çalışma alanı oluşturma işleminin provision_network_now bir parçası olarak yönetilen ağı sağlamak için bayrağını kullanabilirsiniz. Bu bayrak önizleme aşamasındadır.

Not

Çevrimiçi dağıtım oluşturmak için, yönetilen ağı el ile sağlamalı veya önce otomatik olarak sağlayacak bir işlem örneği oluşturmalısınız.

Aşağıdaki örnek, çalışma alanı oluşturma sırasında yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir. Bayrak --provision-network-now önizleme aşamasındadır.

az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now

Aşağıdaki örnekte, yönetilen bir sanal ağın el ile nasıl sağ öğreneceği gösterilmektedir.

İpucu

Sunucusuz Spark işleri göndermeyi planlıyorsanız parametresini --include-spark ekleyin.

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Sağlamanın tamamlandığını doğrulamak için aşağıdaki komutu kullanın:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Çalışma alanı oluşturma sırasında yönetilen ağı sağlamak için bayrağını provision_network_now olarak Trueayarlayın. Bu bayrak önizleme aşamasındadır.

provision_network_now: True

Aşağıdaki örnek, yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Çalışma alanının sağlandığını doğrulamak için, çalışma alanı bilgilerini almak için kullanın ml_client.workspaces.get() . özelliği yönetilen managed_network ağın durumunu içerir.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Görüntü derlemelerini yapılandırma

Çalışma alanınız için Azure Container Registry bir sanal ağın arkasında olduğunda docker görüntülerini doğrudan oluşturmak için kullanılamaz. Bunun yerine, görüntü oluşturmak için çalışma alanınızı bir işlem kümesi veya işlem örneği kullanacak şekilde yapılandırın.

Önemli

Docker görüntüleri oluşturmak için kullanılan işlem kaynağının modellerinizi eğitmek ve dağıtmak için kullanılan paket depolarına erişebilmesi gerekir. Yalnızca onaylı gidenlere izin verecek şekilde yapılandırılmış bir ağ kullanıyorsanız, genel depolara erişime izin veren kurallar eklemeniz veya özel Python paketleri kullanmanız gerekebilir.

Bir çalışma alanını Docker görüntüleri oluşturmak üzere işlem kümesi veya işlem örneği kullanacak şekilde güncelleştirmek için parametresiyle --image-build-compute komutunu kullanınaz ml workspace update:

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Aşağıdaki örnekte, görüntü oluşturmak için işlem kümesi kullanmak üzere bir çalışma alanının nasıl güncelleştirilecekleri gösterilmektedir:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name=workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Giden kurallarını yönetme

Bir çalışma alanının yönetilen sanal ağ giden kurallarını listelemek için aşağıdaki komutu kullanın:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Yönetilen sanal ağ giden kuralının ayrıntılarını görüntülemek için aşağıdaki komutu kullanın:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Yönetilen sanal ağdan giden kuralı kaldırmak için aşağıdaki komutu kullanın:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Aşağıdaki örnekte adlı myworkspacebir çalışma alanı için giden kuralların nasıl yönetileceğini gösterilmektedir:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id=subscription_id, resource_group_name=resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Gerekli kuralların listesi

Özel uç noktalar:

Yönetilen sanal ağın yalıtım modu olduğundaAllow internet outbound, çalışma alanı için yönetilen sanal ağdan ve genel ağ erişimi devre dışı bırakılmış ilişkili kaynaklardan (Key Vault, Depolama Hesabı, Container Registry, Azure Machine Learning çalışma alanı) gerekli kurallar olarak özel uç nokta giden kuralları otomatik olarak oluşturulur.
Yönetilen sanal ağın yalıtım modu olduğundaAllow only approved outbound, özel uç nokta giden kuralları, söz konusu kaynaklar için genel ağ erişim modundan bağımsız olarak çalışma alanı ve ilişkili kaynaklar için yönetilen sanal ağdan gerekli kurallar olarak otomatik olarak oluşturulur (Key Vault, Depolama Hesabı, Container Registry, Azure Machine Learning çalışma alanı).
Bu kurallar yönetilen sanal ağa otomatik olarak eklenir.

Azure Machine Learning'in normal çalışması için, yönetilen veya özel bir sanal ağ kurulumunda gerekli olan bir dizi gerekli hizmet etiketi vardır. Bazı gerekli hizmet etiketlerini değiştirmenin alternatifleri yoktur. Azure Machine Learning'de gerekli her hizmet etiketinin ve amacının bir tablosu aşağıdadır.

Hizmet etiketi kuralı	Gelen veya Giden	Purpose
`AzureMachineLearning`	Gelen	Azure Machine Learning işlem örneğini/kümesini oluşturun, güncelleştirin ve silin.
`AzureMachineLearning`	Giden	Azure Machine Learning hizmetlerini kullanma. Not defterlerindeki Python intellisense, 18881 numaralı bağlantı noktasını kullanır. Azure Machine Learning işlem örneği oluşturma, güncelleştirme ve silme işlemleri 5831 numaralı bağlantı noktasını kullanır.
`AzureActiveDirectory`	Giden	Microsoft Entra ID'yi kullanan kimlik doğrulaması.
`BatchNodeManagement.region`	Giden	Azure Machine Learning işlem örnekleri/kümeleri için Azure Batch arka ucuyla iletişim.
`AzureResourceManager`	Giden	Azure Machine Learning, Azure CLI ve Azure Machine Learning SDK'sı ile Azure kaynakları oluşturma.
`AzureFrontDoor.FirstParty`	Giden	Microsoft tarafından sağlanan docker görüntülerine erişin.
`MicrosoftContainerRegistry`	Giden	Microsoft tarafından sağlanan docker görüntülerine erişin. Azure Kubernetes Service için Azure Machine Learning yönlendiricisinin kurulumu.
`AzureMonitor`	Giden	İzlemeyi ve ölçümleri Azure İzleyici’de günlüğe kaydetmek için kullanılır. Yalnızca çalışma alanı için Azure İzleyici'nin güvenliğini sağlamadıysanız gereklidir. Bu giden, destek olaylarının bilgilerini günlüğe kaydetmek için de kullanılır.
`VirtualNetwork`	Giden	Sanal ağda veya eşlenmiş sanal ağlarda özel uç noktalar mevcut olduğunda gereklidir.

Not

YALNIZCA güvenlik sınırı olarak hizmet etiketleri yeterli değildir. Kiracı düzeyinde yalıtım için mümkün olduğunda özel uç noktaları kullanın.

Senaryoya özgü giden kuralların listesi

Senaryo: Genel makine öğrenmesi paketlerine erişme

Eğitim ve dağıtım için Python paketlerinin yüklenmesine izin vermek için, aşağıdaki konak adlarına gelen trafiğe izin vermek için giden FQDN kuralları ekleyin:

Uyarı

Not

Bu, internet üzerindeki tüm Python kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı	Amaç
`anaconda.com` `*.anaconda.com`	Varsayılan paketleri yüklemek için kullanılır.
`*.anaconda.org`	Depo verilerini almak için kullanılır.
`pypi.org`	Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa, dizinine de izin `*.pythonhosted.org`vermelisiniz.
`pytorch.org` `*.pytorch.org`	PyTorch tabanlı bazı örnekler tarafından kullanılır.
`*.tensorflow.org`	Tensorflow tabanlı bazı örnekler tarafından kullanılır.

Senaryo: İşlem örneğiyle Visual Studio Code masaüstü veya web kullanma

Azure Machine Learning ile Visual Studio Code kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:

Uyarı

Not

Bu, internet üzerindeki tüm Visual Studio Code kaynakları için gerekli konakların tam listesi değildir, yalnızca en yaygın kullanılanlar. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir. Konak adlarının tam listesi için bkz. Visual Studio Code'da Ağ Bağlantıları.

Konak adı	Amaç
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	vscode.dev, (Web için Visual Studio Code) erişimi için gereklidir
`code.visualstudio.com`	VS Code masaüstünü indirmek ve yüklemek için gereklidir. Bu konak VS Code Web için gerekli değildir.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Bir kurulum betiği aracılığıyla işlem örneğine yüklenen VS Code sunucu bitlerini almak için kullanılır.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	VS Code uzantılarını yükleyip kurmak için gereklidir. Bu konaklar, işlem örneklerine uzak bağlantı sağlar. Daha fazla bilgi için bkz . VS Code'da Azure Machine Learning kaynaklarını yönetme.
`https://github.com/microsoft/vscode-tools-for-ai/tree/master/azureml_remote_websocket_server/*` `raw.githubusercontent.com`	İşlem örneğinde yüklü olan web yuvası sunucu bitlerini almak için kullanılır. Websocket sunucusu, Visual Studio Code istemcisinden (masaüstü uygulaması) gelen istekleri işlem örneğinde çalışan Visual Studio Code sunucusuna iletmek için kullanılır.
`vscode.download.prss.microsoft.com`	Visual Studio Code CDN indirme için kullanıldı

Senaryo: Toplu iş uç noktalarını veya ParallelRunStep'i kullanma

Dağıtım veya ParallelRunStep için Azure Machine Learning toplu uç noktalarını kullanmayı planlıyorsanız, varsayılan depolama hesabı için aşağıdaki alt kaynaklara trafiğe izin vermek için giden özel uç nokta kuralları ekleyin:

queue
table

Senaryo: Azure OpenAI, içerik güvenliği ve Azure AI Search ile istem akışını kullanma

Azure AI Services'a özel uç nokta
Azure AI Search'e özel uç nokta

Senaryo: HuggingFace modellerini kullanma

HuggingFace modellerini Azure Machine Learning ile kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:

Uyarı

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
cdn-lfs.huggingface.co

Senaryo: Seçili IP Adreslerinden erişimi etkinleştirme

Belirli IP adreslerinden erişimi etkinleştirmek istiyorsanız aşağıdaki eylemleri kullanın:

Azure Machine Learning çalışma alanına giden trafiğe izin vermek için bir giden özel uç nokta kuralı ekleyin. Bu kural, yönetilen sanal ağda oluşturulan işlem örneklerinin çalışma alanına erişmesine olanak tanır.

İpucu

Çalışma alanı henüz mevcut olmadığından, çalışma alanı oluşturma sırasında bu kuralı ekleyemezsiniz.
Çalışma alanına genel ağ erişimini etkinleştirin. Daha fazla bilgi için bkz . Genel ağ erişimi etkin.
IP adreslerinizi Azure Machine Learning güvenlik duvarına ekleyin. Daha fazla bilgi için bkz . Yalnızca IP aralıklarından erişimi etkinleştirme.

Not

Şu anda yalnızca IPv4 adresleri desteklenmektedir.

Daha fazla bilgi için bkz . Özel bağlantı yapılandırma.

Özel uç noktalar

Özel uç noktalar şu anda aşağıdaki Azure hizmetleri için desteklenmektedir:

Azure Machine Learning
Azure Machine Learning kayıt defterleri
Azure Depolama (tüm alt kaynak türleri)
Azure Container Registry
Azure Key Vault
Azure Yapay Zeka Hizmetleri
Azure AI Search (eski adıyla Bilişsel Arama)
Azure SQL Server
Azure Data Factory
Azure Cosmos DB (tüm alt kaynak türleri)
Azure Event Hubs
Azure Redis Cache
Azure Databricks
MariaDB için Azure Veritabanı
PostgreSQL için Azure Veritabanı Tek Sunucu
esnek sunucu PostgreSQL için Azure Veritabanı
MySQL için Azure Veritabanı
Azure API Management

Özel uç nokta oluşturduğunuzda, uç noktanın bağlanacağı kaynak türünü ve alt kaynağı sağlarsınız. Bazı kaynakların birden çok türü ve alt kaynağı vardır. Daha fazla bilgi için bkz . Özel uç nokta nedir?

Azure Depolama, Azure Container Registry ve Azure Key Vault gibi Azure Machine Learning bağımlılık kaynakları için özel bir uç nokta oluşturduğunuzda, kaynak farklı bir Azure aboneliğinde olabilir. Ancak kaynağın Azure Machine Learning çalışma alanıyla aynı kiracıda olması gerekir.

Önemli

Azure Machine Learning yönetilen sanal ağı için özel uç noktaları yapılandırırken, özel uç noktalar yalnızca ilk işlem oluşturulduğunda veya yönetilen sanal ağ sağlama zorlandığında oluşturulur. Yönetilen sanal ağ sağlamayı zorlama hakkında daha fazla bilgi için bkz . Sunucusuz Spark işleri için yapılandırma.

İzin verilen yalnızca onaylanan giden (Önizleme) için bir Azure Güvenlik Duvarı sürümü seçin

Yalnızca onaylanan giden modundayken bir FQDN giden kuralı oluşturulursa bir Azure Güvenlik Duvarı dağıtılır. Azure Güvenlik Duvarı ücretleri faturanıza dahil edilir. Varsayılan olarak, AzureFirewall'ın Standart sürümü oluşturulur. İsteğe bağlı olarak, Temel sürümü kullanmayı seçebilirsiniz. Kullanılan güvenlik duvarı sürümünü gerektiği gibi değiştirebilirsiniz. Hangi sürümün sizin için en uygun olduğunu öğrenmek için Doğru Azure Güvenlik Duvarı sürümünü seçme adresini ziyaret edin.

Önemli

Giden FQDN kuralı ekleyene kadar güvenlik duvarı oluşturulmaz. Fiyatlandırma hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı fiyatlandırma ve standart sürümün fiyatlarını görüntüleme.

Yönetilen sanal ağınız için güvenlik duvarı sürümünü seçmeyi öğrenmek için aşağıdaki sekmeleri kullanın.

CLI'dan güvenlik duvarı sürümünü yapılandırmak için bir YAML dosyası kullanın ve belirtin firewall_sku. Aşağıdaki örnekte, güvenlik duvarı SKU'su olarak ayarlayan bir YAML dosyası gösterilmektedir basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Python SDK'sından güvenlik duvarı sürümünü yapılandırmak için nesnesinin firewall_sku ManagedNetwork özelliğini ayarlayın. Aşağıdaki örnekte güvenlik duvarı SKU'sunun basicnasıl olarak ayarlanacağı gösterilmektedir:

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND,
                         firewall_sku='basic')

Fiyatlandırma

Azure Machine Learning yönetilen sanal ağ özelliği ücretsizdir. Ancak, yönetilen sanal ağ tarafından kullanılan aşağıdaki kaynaklar için ücretlendirilirsiniz:

Azure Özel Bağlantı - Yönetilen sanal ağ ile Azure kaynakları arasındaki iletişimin güvenliğini sağlamak için kullanılan özel uç noktalar Azure Özel Bağlantı dayanır. Fiyatlandırma hakkında daha fazla bilgi için bkz. fiyatlandırma Azure Özel Bağlantı.
FQDN giden kuralları - FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız, Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Varsayılan olarak standart bir Azure Güvenlik Duvarı sürümü kullanılır. Temel sürümü seçme hakkında bilgi için bkz. Azure Güvenlik Duvarı sürümü seçme.

Önemli

Giden FQDN kuralı ekleyene kadar güvenlik duvarı oluşturulmaz. Fiyatlandırma hakkında daha fazla bilgi için bkz. Azure Güvenlik Duvarı fiyatlandırma ve standart sürümün fiyatlarını görüntüleme.

Sınırlamalar

Çalışma alanınızın yönetilen sanal ağ yalıtımını etkinleştirdikten sonra (İnternet'e gidene izin verin veya yalnızca onaylanan gidenlere izin verin), devre dışı bırakamazsınız.
Yönetilen sanal ağ, özel kaynaklarınıza erişmek için özel uç nokta bağlantısını kullanır. Depolama hesabı gibi Azure kaynaklarınız için aynı anda hem özel uç noktanız hem hizmet uç noktanız olamaz. Tüm senaryolarda özel uç noktaları kullanmanızı öneririz.
Yönetilen sanal ağ, çalışma alanı silindiğinde silinir. Azure aboneliğinizdeki Azure Machine Learning kaynaklarını silerken, oluşturduğunuz veya Yönetilen sanal ağ için Microsoft tarafından oluşturulan kaynakların silinmesini engelleyen kaynak kilitlerini veya kilitlerini devre dışı bırakın.
Veri sızdırma koruması, onaylanan tek giden mod için otomatik olarak etkinleştirilir. FQDN'ler gibi başka giden kuralları eklerseniz, Microsoft bu giden hedeflere veri sızdırmaya karşı koruma altında olduğunuzu garantileyemez.
Yönetilen bir sanal ağ kullanılırken çalışma alanından farklı bir bölgede işlem kümesi oluşturma desteklenmez.
Kubernetes ve bağlı VM'ler, Azure Machine Learning tarafından yönetilen bir sanal ağda desteklenmez.
FQDN giden kurallarının kullanılması yönetilen sanal ağın maliyetini artırır çünkü FQDN kuralları Azure Güvenlik Duvarı kullanır. Daha fazla bilgi için bkz. Fiyatlandırma.
FQDN giden kuralları yalnızca 80 ve 443 bağlantı noktalarını destekler.
İşlem örneğiniz yönetilen bir ağdaysa ve genel IP olmadan yapılandırılmışsa, SSH kullanarak bağlanmak için az ml compute connect-ssh komutunu kullanın.
Yönetilen sanal ağı kullanırken işlem kaynaklarını özel sanal ağınıza dağıtamazsınız. İşlem kaynakları yalnızca yönetilen sanal ağ içinde oluşturulabilir.
Yönetilen ağ yalıtımı, yönetilen sanal ağdan kullanıcının şirket içi kaynaklarına özel bağlantı kuramaz. Desteklenen özel bağlantıların listesi için bkz . Özel Uç Noktalar.
Yönetilen ağınız yalnızca onaylanan gidenlere izin verecek şekilde yapılandırılmışsa, Azure Depolama Hesaplarına erişmek için FQDN kuralı kullanamazsınız. Bunun yerine özel bir uç nokta kullanmanız gerekir.
Özel ilkenizde yönetilen sanal ağ için oluşturulan Microsoft tarafından yönetilen özel uç noktaların izin verilenler listesine ekli olduğundan emin olun.

İşlem kaynaklarının geçişi

Mevcut bir çalışma alanınız varsa ve bunun için yönetilen sanal ağı etkinleştirmek istiyorsanız, şu anda mevcut yönetilen işlem kaynakları için desteklenen bir geçiş yolu yoktur. Yönetilen sanal ağı etkinleştirdikten sonra mevcut tüm yönetilen işlem kaynaklarını silmeniz ve yeniden oluşturmanız gerekir. Aşağıdaki liste, silinmesi ve yeniden oluşturulması gereken işlem kaynaklarını içerir:

İşlem kümesi
İşlem örneği
Yönetilen çevrimiçi uç noktalar

Aracılığıyla paylaş

Çalışma Alanı Yönetilen Sanal Ağ Yalıtımı

Yönetilen Sanal Ağ Mimarisi

Azure Machine Learning Studio

Güvenli ilişkili kaynaklar

Önkoşullar

İnternet giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

Yalnızca onaylı giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

Sunucusuz Spark işleri için yapılandırma

Yönetilen sanal ağı el ile sağlama

Görüntü derlemelerini yapılandırma

Giden kurallarını yönetme

Gerekli kuralların listesi

Senaryoya özgü giden kuralların listesi

Senaryo: Genel makine öğrenmesi paketlerine erişme

Senaryo: İşlem örneğiyle Visual Studio Code masaüstü veya web kullanma

Senaryo: Toplu iş uç noktalarını veya ParallelRunStep'i kullanma

Senaryo: Azure OpenAI, içerik güvenliği ve Azure AI Search ile istem akışını kullanma

Senaryo: HuggingFace modellerini kullanma

Senaryo: Seçili IP Adreslerinden erişimi etkinleştirme

Özel uç noktalar

İzin verilen yalnızca onaylanan giden (Önizleme) için bir Azure Güvenlik Duvarı sürümü seçin

Fiyatlandırma

Sınırlamalar

İşlem kaynaklarının geçişi

Sonraki adımlar

Geri Bildirim

Ek kaynaklar