比较 Azure 机器学习中的网络隔离配置
对于工作区,Azure 机器学习提供两种类型的出站网络隔离配置:托管网络隔离和自定义网络隔离。 两者都提供完整的网络隔离支持及其优点和限制。 本文档介绍这两种网络隔离配置的功能支持和限制,以便确定最适合你的需求。
企业安全性需求
云计算使你能够纵向扩展数据和机器学习功能,但它也为安全性和合规性带来了新的挑战和风险。 需要确保云基础结构受到未经授权的访问、篡改或泄露数据和模型的保护。 你可能还需要遵守适用于你的行业和领域的法规和标准。
典型的企业要求包括:
- 通过虚拟网络使用网络隔离边界进行入站和出站控制,并与专用 Azure 资源建立专用连接。
- 避免在没有公共 IP 解决方案和专用终结点的情况下接触 Internet。
- 使用虚拟网络设备获得更好的网络安全功能,例如防火墙、入侵检测、漏洞管理、Web 筛选。
- Azure 机器学习的网络体系结构可与现有网络体系结构集成。
什么是托管和自定义网络隔离配置?
托管网络隔离依赖于托管虚拟网络,这是 Azure 机器学习的完全托管功能。 如果要将 Azure 机器学习用于最少的配置和管理开销,则托管网络隔离是理想的选择。
自定义网络隔离依赖于创建和管理 Azure 虚拟网络。 如果要对网络配置进行最大控制,则此配置是理想的。
何时使用托管虚拟网络或自定义虚拟网络
在以下情况下使用托管虚拟网络……
- 你是具有标准网络隔离要求的 Azure 机器学习的新用户
- 你是一家具有标准网络隔离要求的公司
- 你需要使用 HTTP/S 终结点在本地访问资源
- 你尚未设置许多非 Azure 依赖项
- 你需要使用 Azure 机器学习托管联机终结点和无服务器 Spark 计算
- 你的组织对网络的管理要求更少
在以下情况下使用自定义虚拟网络……
- 你是一家具有大量网络隔离要求的公司
- 以前设置了许多非 Azure 依赖项,需要访问 Azure 机器学习
- 你具有无 HTTP/S 终结点的本地数据库
- 你要求使用自己的防火墙和虚拟网络日志记录和监视出站网络流量
- 你想要将 Azure Kubernetes 服务 (AKS) 用于推理工作负载
下表对托管和自定义虚拟网络的优点和限制进行了比较:
| 自定义虚拟网络 | 托管虚拟网络 | |
|---|---|---|
| 优点 | - 可以根据现有设置 定制网络 - 使用 Azure 机器学习 自带非 Azure 资源 - 连接到本地资源 |
- 最小化设置和维护开销 - 支持托管联机终结点 - 支持无服务器 spark - 首先获取新功能 |
| 限制 | - 新功能支持可能会延迟 - 托管联机终结点不支持 - 无服务器 spark 不支持 - 基础模型不支持 - 不支持代码 MLFlow - 实现复杂性 - 维护开销 |
- Azure 防火墙和完全限定域名 (FQDN) 规则的成本影响 - 虚拟网络、防火墙和 NSG 规则的日志记录不受支持 - 不支持访问非 HTTP/S 终结点资源 |
自定义虚拟网络限制
- 新功能支持可能会延迟:改进网络隔离产品的努力侧重于托管,而不是自定义虚拟网络。 因此,新功能请求优先于通过自定义虚拟网络进行管理。
- 不支持托管联机终结点:托管联机终结点不支持自定义虚拟网络。 必须启用工作区托管虚拟网络来保护托管联机终结点。 可以使用旧网络隔离方法保护托管联机终结点。 但是,强烈建议使用工作区托管网络隔离。 有关详细信息,请访问托管联机终结点。
- 不支持无服务器 Spark 计算:自定义虚拟网络不支持无服务器 Spark 计算。 工作区托管虚拟网络支持无服务器 Spark,因为 Azure Synapse 仅使用托管虚拟网络设置。 有关详细信息,请访问配置的无服务器 Spark。
- 实现复杂性和维护开销:设置自定义虚拟网络时,设置虚拟网络、子网、专用终结点等的所有复杂性都落在用户身上。 网络和计算的维护落在用户身上。
托管虚拟网络限制
- Azure 防火墙和 FQDN 规则的成本影响:仅当创建用户定义的 FQDN 出站规则时,才会代表用户预配 Azure 防火墙。 Azure 防火墙是标准 SKU 防火墙,会产生添加到计费的成本。 有关详细信息,请参阅 Azure 防火墙定价。
- 不支持日志记录和监视托管虚拟网络:托管虚拟网络不支持虚拟网络流、NSG 流或防火墙日志。 此限制是因为托管虚拟网络部署在 Microsoft 租户中,无法发送到订阅。
- 不支持访问非 Azure、非 HTTP/S 资源:托管虚拟网络不允许访问非 Azure、非 HTTP/S 资源。