Сравнение конфигураций сетевой изоляции в Машинное обучение Azure

Для рабочих областей Машинное обучение Azure предлагает два типа конфигураций исходящей сетевой изоляции: изоляция управляемой сети и настраиваемую сетевую изоляцию. Обе предлагают полную поддержку сетевой изоляции с его преимуществами и ограничениями. В этом документе рассматриваются возможности поддержки и ограничения для обеих конфигураций сетевой изоляции, чтобы решить, что лучше всего подходит для ваших потребностей.

Потребности в корпоративной безопасности

Облачные вычисления позволяют масштабировать возможности данных и машинного обучения, но также представляют новые проблемы и риски для обеспечения безопасности и соответствия требованиям. Необходимо обеспечить защиту облачной инфраструктуры от несанкционированного доступа, изменения или утечки данных и моделей. Кроме того, вам может потребоваться соблюдать правила и стандарты, применимые к вашей отрасли и домену.

Типичные требования предприятия:

• Используйте границу сетевой изоляции с виртуальной сетью, чтобы иметь входящий и исходящий контроль и иметь частное подключение к частным ресурсам Azure.
• Избегайте доступа к Интернету без общедоступных IP-решений и частных конечных точек.
• Используйте устройства виртуальной сети для повышения безопасности сети, таких как брандмауэр, обнаружение вторжений, управление уязвимостями, веб-фильтрация.
• Сетевая архитектура для Машинное обучение Azure может быть интегрирована с существующей сетевой архитектурой.

Что такое конфигурации управляемой и пользовательской сетевой изоляции?

Управляемая сетевая изоляция зависит от управляемых виртуальных сетей, которая является полностью управляемой функцией Машинное обучение Azure. Управляемая сетевая изоляция идеально подходит, если вы хотите использовать Машинное обучение Azure с минимальными затратами на конфигурацию и управление.

Настраиваемая сетевая изоляция зависит от создания виртуальная сеть Azure и управления ими. Эта конфигурация идеально подходит, если вы ищете максимальный контроль над конфигурацией сети.

Использование управляемых или пользовательских виртуальных сетей

Используйте управляемую виртуальную сеть, когда...

• Вы новый пользователь для Машинное обучение Azure со стандартными требованиями к сетевой изоляции
• Вы являетесь компанией со стандартными требованиями к сетевой изоляции
• Требуется локальный доступ к ресурсам с конечными точками HTTP/S
• У вас еще нет зависимостей, отличных от Azure
• Требуется использование управляемых сетевых конечных точек Машинное обучение Azure и бессерверных вычислений Spark
• У вас меньше требований к управлению сетями в организации

Используйте пользовательскую виртуальную сеть, когда...

• Вы являетесь компанией с высокими требованиями к сетевой изоляции
• У вас есть множество ранее настроенных зависимостей, отличных от Azure, и требуется доступ к Машинное обучение Azure
• У вас есть локальные базы данных без конечных точек HTTP/S
• Вам требуется использовать собственное ведение журнала брандмауэра и виртуальной сети и мониторинг исходящего сетевого трафика.
• Вы хотите использовать Служба Azure Kubernetes (AKS) для рабочих нагрузок вывода

В следующей таблице приведено сравнение преимуществ и ограничений управляемых и пользовательских виртуальных сетей:

Ограничения пользовательской виртуальной сети

• Поддержка новых функций может быть отложена: усилия по улучшению предложений сетевой изоляции сосредоточены на управлении вместо пользовательской виртуальной сети. Таким образом, запросы новых функций определяются приоритетом в управлении пользовательской виртуальной сетью.
• Управляемые сетевые конечные точки не поддерживаются. Управляемые сетевые конечные точки не поддерживают настраиваемую виртуальную сеть. Для защиты управляемых конечных точек в сети необходимо включить управляемую виртуальную сеть. Вы можете защитить управляемые сетевые конечные точки с помощью устаревшего метода сетевой изоляции. Но настоятельно рекомендуется использовать изоляция управляемой сети рабочей области. Дополнительные сведения см . в управляемых сетевых конечных точках.
• Бессерверные вычисления Spark не поддерживаются: бессерверные вычисления Spark не поддерживаются в пользовательской виртуальной сети. Управляемая виртуальная сеть рабочей области поддерживает Бессерверную Spark, так как Azure Synapse использует только настройку управляемой виртуальной сети. Дополнительные сведения см. в разделе "Настроенный бессерверный Spark".
• Сложность реализации и затраты на обслуживание. При настройке пользовательской виртуальной сети все сложности настройки виртуальной сети, подсети, частных конечных точек и многое другое зависит от пользователя. Обслуживание сети и вычислений падает на пользователя.

Ограничения управляемой виртуальной сети

• Последствия затрат с правилами Брандмауэр Azure и полного доменного имени: Брандмауэр Azure подготавливается от имени пользователя только при создании правила исходящего имени пользователя. Брандмауэр Azure — это брандмауэр SKU уровня "Стандартный" и взимает затраты, которые добавляются в выставление счетов. Дополнительные сведения см. в Брандмауэр Azure ценах.
• Ведение журнала и мониторинг управляемой виртуальной сети НЕ поддерживается: управляемая виртуальная сеть не поддерживает поток виртуальной сети, поток NSG или журналы брандмауэра. Это ограничение связано с тем, что управляемая виртуальная сеть развертывается в клиенте Майкрософт и не может быть отправлена в подписку.
• Доступ к ресурсам, отличным от Azure, не по протоколу HTTP/S, не поддерживается. Управляемая виртуальная сеть не разрешает доступ к ресурсам, отличным от HTTP/S, не в Azure.

Связанный контент

• Планирование сетевой изоляции
• Использование управляемой виртуальной сети
• Использование пользовательской виртуальной сети