批处理终结点中的网络隔离

  • 项目

可以使用专用网络保护批处理终结点通信。 本文介绍在受专用网络保护的环境中使用批处理终结点的要求。

保护批处理终结点

批处理终结点从部署它们的工作区中继承网络配置。 默认情况下,在启用了专用链接的工作区内创建的所有批处理终结点将部署为专用批处理终结点。 正确配置工作区后,无需进行进一步配置。

要验证是否正确配置了工作区,以便批处理终结点使用专用网络,请确保以下各项:

  1. 已为专用网络配置 Azure 机器学习工作区。 有关如何实现的更多详细信息,请阅读创建安全工作区

  2. 对于专用网络中的 Azure 容器注册表,存在配置所需的一些先决条件

    警告

    目前不支持启用了隔离功能的 Azure 容器注册表。

  3. 确保为存储帐户配置 Blob、文件、队列和表专用终结点,如保护 Azure 存储帐户中所述。 批处理部署需要所有这 4 个终结点才能正常工作。

下图显示了部署在专用工作区中的批处理终结点的大致网络结构:

Diagram that shows the high level architecture of a secure Azure Machine Learning workspace deployment.

注意

与联机终结点相反,批处理终结点在配置终结点时不支持键 public_network_accessegress_public_network_access。 无法在启用了专用链接的工作区上部署公共批处理终结点。

保护批处理部署作业

Azure 机器学习批处理部署在计算群集上运行。 若要保护批处理部署作业,也必须将这些计算群集部署在虚拟网络中。

  1. 在虚拟网络中创建一个 Azure 机器学习计算机群集

  2. 确保所有相关服务在网络中配置了专用终结点。 专用终结点不仅用于 Azure 机器学习工作区,还用于其关联的资源,例如 Azure 存储、Azure 密钥保管库或 Azure 容器注册表。 Azure 容器注册表是必需服务。 使用虚拟网络保护 Azure 机器学习工作区时,请注意 Azure 容器注册表所需的一些先决条件

  3. 如果计算实例使用公共 IP 地址,则必须允许入站通信,以便管理服务可以将作业提交到你的计算资源。

    提示

    可以使用或不使用公共 IP 地址来创建计算群集和计算实例。 如果创建时使用了公共 IP 地址,则会收到使用公共 IP 的负载均衡器,用于接受来自 Azure 批处理服务和 Azure 机器学习服务的入站访问。 如果使用防火墙,则需要配置用户定义的路由 (UDR)。 如果创建时没有公共 IP,则会收到专用链接服务,用于接受来自没有公共 IP 的 Azure 批处理服务和 Azure 机器学习服务的入站访问。

  4. 根据具体的情况,可能需要创建额外的 NSG。 有关详细信息,请参阅如何保护训练环境

有关详细信息,请参阅使用虚拟网络保护 Azure 机器学习训练环境一文。

限制

处理部署的与网络相关的批处理终结点时,请考虑以下限制:

  • 如果将工作区的网络配置从公共更改为专用,或从专用更改为公共,不会影响现有的批处理终结点网络配置。 批处理终结点依赖于创建时工作区的配置。 如果希望终结点反映你在工作区中所做的更改,可以重新创建终结点。

  • 在处理已启用专用链接的工作区时,可以使用 Azure 机器学习工作室创建和管理批处理终结点。 但是,无法从工作室 UI 调用它们。 请改用 Azure 机器学习 CLI v2 来创建作业。 有关如何其使用方式的更多详细信息,请参阅运行批处理终结点以启动批处理评分作业