Azure Machine Learning では、パブリック インターネット上のサーバーとサービスへのアクセスが必要となります。 ネットワークの分離を実装する場合は、必要なアクセスとその有効化方法を理解する必要があります。
注
この記事の情報は、Azure Virtual Network を使用するように構成された Azure Machine Learning ワークスペースに適用されます。 マネージド仮想ネットワークを使用する場合、ワークスペースに必要な受信と送信の構成が自動的に適用されます。 詳細については、 Azure Machine Learning マネージド仮想ネットワークに関するページを参照してください。
一般的な用語と情報
この記事では、次の用語と情報が使用されています。
Azure サービス タグ: サービス タグは、Azure サービスで使用される IP 範囲を簡単に指定する方法です。 たとえば、
AzureMachineLearningタグは、Azure Machine Learning service によって使用される IP アドレスを表します。重要
Azure サービス タグは、一部の Azure サービスでのみサポートされています。 ネットワーク セキュリティ グループと Azure Firewall でサポートされるサービス タグの一覧については、 仮想ネットワーク サービス タグ に関する記事を参照してください。
サード パーティのファイアウォールなどの Azure 以外のソリューションを使用している場合は、 Azure IP 範囲とサービス タグの一覧をダウンロードします。 ファイルを抽出し、ファイル内のサービス タグを検索します。 IP アドレスは定期的に変更される可能性があります。
リージョン: 一部のサービス タグでは、Azure リージョンを指定できます。 これにより、特定のリージョン (通常はサービスが存在する) 内のサービス IP アドレスへのアクセスが制限されます。 この記事で
<region>が表示されたら、代わりにご利用の Azure リージョンに置き換えてください。 たとえば、Azure Machine Learning ワークスペースが米国西部リージョンにある場合、BatchNodeManagement.<region>はBatchNodeManagement.uswestです。Azure Batch: Azure Machine Learning コンピューティング クラスターとコンピューティング インスタンスは、バックエンドの Azure Batch インスタンスに依存します。 このバックエンド サービスは、Microsoft サブスクリプションでホストされています。
ポート: この記事では、次のポートを使用します。 この表にポート範囲が一覧表示されていない場合は、サービスに固有であり、その使用目的に関する公開情報がない可能性があります。
港 / ポート 説明 80 セキュリティで保護されていない Web トラフィック (HTTP) 443 セキュリティで保護されている Web トラフィック (HTTPS) 445 Azure File Storage のファイル共有へのアクセスに使用される SMB トラフィック 8787 コンピューティング インスタンスで RStudio に接続するときに使用されます 18881 コンピューティング インスタンス上のノートブックに対して IntelliSense を有効にするために、言語サーバーに接続するために使用されます。 プロトコル: 特に明記されていない限り、この記事で説明されているすべてのネットワーク トラフィックは TCP を使用 します。
基本構成
この構成では以下を前提としています。
- 指定したコンテナー レジストリによって提供される Docker イメージを使用しており、Microsoft が提供するイメージは使用しません。
- プライベート Python パッケージ リポジトリを使用しており、
pypi.org、*.anaconda.com、*.anaconda.orgなどのパブリック パッケージ リポジトリにはアクセスしません。 - プライベート エンドポイントは、VNet 内で相互に直接通信できます。 たとえば次のように、すべてのサービスに同じ VNet 内のプライベート エンドポイントがあります。
- Azure Machine Learning ワークスペース
- Azure ストレージ アカウント (BLOB、ファイル、テーブル、キュー)
受信トラフィック
| source | source ポート |
宛先 | 宛先ポート | 目的 |
|---|---|---|---|---|
AzureMachineLearning |
[任意] | VirtualNetwork |
44224 | コンピューティング インスタンス/クラスターへの受信。 インスタンス/クラスターがパブリック IP アドレスを使用するように構成されている場合にのみ必要です。 |
ヒント
このトラフィックには、既定でネットワーク セキュリティ グループ (NSG) が作成されます。 詳細については、「 既定のセキュリティ規則」を参照してください。
アウトバウンドトラフィック
| サービス タグ | ポート | 目的 |
|---|---|---|
AzureActiveDirectory |
80、443 | Microsoft Entra ID を使用した認証。 |
AzureMachineLearning |
443、8787、18881 UDP: 5831 |
Azure Machine Learning service の使用。 |
BatchNodeManagement.<region> |
443 | Azure Batch との通信。 |
AzureResourceManager |
443 | Azure Machine Learning による Azure リソースの作成。 |
Storage.<region> |
443 | コンピューティング クラスターとコンピューティング インスタンスの Azure Storage アカウントに格納されたデータにアクセスします。 この送信を使用してデータを抜き取ることができます。 詳細については、「 データ流出保護」を参照してください。 |
AzureFrontDoor.FrontEnd* 21Vianet によって運営される Microsoft Azure では不要。 |
443 | Azure Machine Learning Studio のグローバル エントリ ポイント。 AutoML のイメージと環境を格納します。 |
MicrosoftContainerRegistry |
443 | Microsoft が提供する Docker イメージにアクセスします。 |
Frontdoor.FirstParty |
443 | Microsoft が提供する Docker イメージにアクセスします。 |
AzureMonitor |
443 | Azure Monitor への監視とメトリックのログに使用されます。 ワークスペースに セキュリティで保護された Azure Monitor を使用していない場合にのみ必要です。 * この送信は、サポート インシデントの情報をログに記録するためにも使用されます。 |
VirtualNetwork |
443 | 仮想ネットワークまたはピアリングされた仮想ネットワーク内にプライベート エンドポイントが存在する場合に必要です。 |
重要
コンピューティング インスタンスまたはコンピューティング クラスターがパブリック IP 用に構成されていない場合、既定ではインターネットにアクセスできません。 それでも送信トラフィックをインターネットに送信 できる 場合は、Azure の 既定の送信アクセス が原因であり、インターネットへの送信を許可する NSG があります。 既定の送信アクセスを使用 することはお勧めしません 。 インターネットへの送信アクセスが必要な場合は、既定の送信アクセスではなく、次のいずれかのオプションを使用することをお勧めします。
- パブリック IP を使用した Azure Virtual Network NAT: Virtual Network Nat の使用の詳細については、 Virtual Network NAT のドキュメントを参照してください。
- ユーザー定義ルートとファイアウォール: コンピューティングを含むサブネットにユーザー定義ルートを作成します。 ルートの 次ホップ は、アドレス プレフィックスが 0.0.0.0/0 であるファイアウォールのプライベート IP アドレスを参照する必要があります。
詳細については、 Azure の既定の送信アクセスに 関する記事を参照してください。
モデルのトレーニングとデプロイに推奨される構成
アウトバウンドトラフィック
| サービス タグ | ポート | 目的 |
|---|---|---|
MicrosoftContainerRegistry および AzureFrontDoor.FirstParty |
443 | Microsoft がトレーニングと推論のために提供する Docker イメージの使用が許可されます。 Azure Kubernetes Service の Azure Machine Learning ルーターも設定されます。 |
トレーニングとデプロイのための Python パッケージのインストールを許可するには、次のホスト名への 送信 トラフィックを許可します。
注
次の一覧には、インターネット上のすべての Python リソースに必要なすべてのホストではなく、最も一般に使用されているもののみが掲載されています。 たとえば、GitHub リポジトリまたはその他のホストにアクセスする必要がある場合は、そのシナリオに必要なホストを特定して追加する必要があります。
| ホスト名 | 目的 |
|---|---|
anaconda.com*.anaconda.com |
既定のパッケージをインストールするために使用されます。 |
*.anaconda.org |
リポジトリ データを取得するために使用されます。 |
pypi.org |
既定のインデックスからの依存関係 (存在する場合) を一覧表示するために使用されます。ユーザー設定によってこのインデックスが上書きされることはありません。 インデックスが上書きされる場合は、*.pythonhosted.org も許可する必要があります。 |
pytorch.org*.pytorch.org |
PyTorch に基づくいくつかのサンプルによって使用されます。 |
*.tensorflow.org |
TensorFlow に基づき、いくつかの例で使用しています。 |
シナリオ: コンピューティング インスタンスに RStudio をインストールする
コンピューティング インスタンスへの RStudio のインストールを許可するには、ファイアウォールで、Docker イメージをプルするサイトへのアウトバウンド アクセスを許可する必要があります。 Azure Firewall ポリシーに次のアプリケーション規則を追加します。
- 名前: AllowRStudioInstall
- 送信元の種類: IP アドレス
- ソース IP アドレス: コンピューティング インスタンスを作成するサブネットの IP アドレス範囲。 たとえば、
172.16.0.0/24のようにします。 - 宛先の種類: FQDN
- ターゲット FQDN:
ghcr.io、pkg-containers.githubusercontent.com - プロトコル:
Https:443
R パッケージのインストールを許可するには、へのcloud.r-project.orgトラフィックを許可します。 このホストは、CRAN パッケージのインストールに使用されます。
注
GitHub リポジトリまたはその他のホストにアクセスする必要がある場合は、そのシナリオに必要なホストを特定して追加する必要があります。
シナリオ: パブリック IP でのコンピューティング クラスターまたはコンピューティング インスタンスの使用
重要
パブリック IP のないコンピューティング インスタンスまたはコンピューティング クラスターでは、Azure Batch 管理と Azure Machine Learning サービスからの受信トラフィックは必要ありません。 ただし、複数のコンピューティングがあり、その一部がパブリック IP アドレスを使用している場合は、このトラフィックを許可する必要があります。
Azure Machine Learning コンピューティング インスタンス または コンピューティング クラスター (パブリック IP アドレスを使用) を使用する場合は、Azure Machine Learning サービスからの受信トラフィックを許可します。 パブリック IP のないコンピューティング インスタンスまたはコンピューティング クラスターでは、この受信通信は必要ありません。 このトラフィックを許可するネットワーク セキュリティ グループは自動的に動的に作成されますが、ファイアウォールがある場合は、ユーザー定義ルート (UDR) の作成も必要な場合があります。 このトラフィックの UDR を作成するときは、 IP アドレス または サービス タグ を使用してトラフィックをルーティングできます。
Azure Machine Learning Service の場合は、 プライマリ リージョンと セカンダリ リージョンの両方の IP アドレスを追加する必要があります。 セカンダリ リージョンを見つけるには、 Azure のリージョン間レプリケーションを参照してください。 たとえば、Azure Machine Learning service が米国東部 2 にある場合、セカンダリ リージョンは米国中部です。
Azure Machine Learning サービスの IP アドレスの一覧を取得するには、 Azure IP 範囲とサービス タグ をダウンロードし、 AzureMachineLearning.<region>のファイルを検索します。 <region> は Azure リージョンです。
重要
IP アドレスは、時間の経過と共に変化する可能性があります。
UDR を作成するときに、 次ホップの種類 を インターネットに設定します。 つまり、Azure からのインバウンド通信は、ファイアウォールをスキップして、コンピューティング インスタンスとコンピューティング クラスターのパブリック IP を持つロード バランサーにアクセスします。 Azure からコンピューティング インスタンスとコンピューティング クラスターの特定の IP へのインバウンドを許可するにはファイアウォールにパブリック IP を登録する必要がありますが、ランダムなパブリック IP の取得はコンピューティング インスタンスとコンピューティング クラスターの作成時に行われ、作成前にそれらを知ることはできないため、UDR が必要です。 次の図に、Azure portal での IP アドレス ベースの UDR の例を示します。
UDR の構成については、 ルーティング テーブルを使用したネットワーク トラフィックのルーティングに関するページを参照してください。
シナリオ: Azure Machine Learning と Azure Storage のエンドポイント間のファイアウォール
ポート 445 でStorage.<region>への送信アクセスも許可する必要があります。
シナリオ: hbi_workspace フラグを有効にして作成されたワークスペース
へのKeyvault.<region>アクセスも許可する必要があります。 このアウトバウンド トラフィックは、バックエンドの Azure Batch サービスのキー コンテナー インスタンスにアクセスするために使用されます。
hbi_workspace フラグの詳細については、データ暗号化に関する記事を参照してください。
シナリオ: Kubernetes コンピューティングを使用する
送信プロキシ サーバーまたはファイアウォールの背後で実行されている Kubernetes クラスターには、追加のエグレス ネットワーク構成が必要です。
- Azure Arc 接続を使用する Kubernetes の場合は、Azure Arc エージェントに必要な Azure Arc ネットワーク要件 を構成します。
- Azure Arc 接続のない AKS クラスターの場合は、 AKS 拡張機能のネットワーク要件を構成します。
上記の要件に加えて、Azure Machine Learning には次のアウトバウンド URL も必要です。
| アウトバウンド エンドポイント | 港 / ポート | 説明 | トレーニング | 推論 |
|---|---|---|---|---|
*.kusto.windows.net*.table.core.windows.net*.queue.core.windows.net |
443 | Kusto にシステム ログをアップロードするために必要です。 | ✓ | ✓ |
<your ACR name>.azurecr.io<your ACR name>.<region>.data.azurecr.io |
443 | Azure Container Registry。機械学習ワークロードに使用される Docker イメージをプルするために必要です。 | ✓ | ✓ |
<your storage account name>.blob.core.windows.net |
443 | Azure Blob Storage。Machine Learning プロジェクトのスクリプト、データ、またはモデルをフェッチし、ジョブのログと出力をアップロードするために必要です。 | ✓ | ✓ |
<your workspace ID>.workspace.<region>.api.azureml.ms<region>.experiments.azureml.net<region>.api.azureml.ms |
443 | Azure Machine Learning service API | ✓ | ✓ |
pypi.org |
443 | Python パッケージ インデックス。ジョブ環境の初期化のトレーニングに使われる pip パッケージをインストールするため。 | ✓ | 該当なし |
archive.ubuntu.comsecurity.ubuntu.comppa.launchpad.net |
80 | 必要なセキュリティ パッチをダウンロードするために必要です。 | ✓ | 該当なし |
注
<your workspace workspace ID>は、ワークスペースの ID に置き換えます。 ID は、Azure portal - Machine Learning リソース ページ - [プロパティ] - [ワークスペース ID] で確認できます。<your storage account>には、ストレージ アカウント名を指定します。<your ACR name>は、実際のワークスペースの Azure Container Registry の名前に置き換えます。<region>を、ワークスペースのリージョンに置き換えます。
クラスター内通信の要件
Kubernetes コンピューティングに Azure Machine Learning 拡張機能をインストールするために、すべての Azure Machine Learning 関連コンポーネントが名前空間に azureml デプロイされます。 ML ワークロードが AKS クラスター内で適切に動作するには、次のクラスター内通信が必要です。
azureml名前空間内のコンポーネントは、Kubernetes API サーバーと通信できる必要があります。azureml名前空間内のコンポーネントは、相互に通信できる必要があります。azureml名前空間内のコンポーネントは、kube-dns名前空間のkonnectivity-agentおよびkube-systemと通信できる必要があります。- クラスターがリアルタイム推論に使用される場合は、
azureml-fe-xxxPOD が、他の名前空間の 5001 ポートで、デプロイされたモデル POD と通信できる必要があります。azureml-fe-xxxPOD は、内部通信用に、11001、12001、12101、12201、20000、8000、8001、9001 のポートを開く必要があります。 - クラスターがリアルタイム推論に使用される場合は、デプロイされたモデル POD が 9999 ポートで
amlarc-identity-proxy-xxxPOD と通信できる必要があります。
シナリオ: Visual Studio Code
Visual Studio Code は、リモート接続を確立するために特定のホストとポートに依存します。
ホスト
このセクションのホストは、Visual Studio Code のパッケージをインストールして、Visual Studio Code と Azure Machine Learning ワークスペースのコンピューティング インスタンス間のリモート通信を確立するために使用されます。
注
これは、インターネット上のすべての Visual Studio Code リソースに必要なホストの完全な一覧ではなく、最も一般的に使用されているもののみを取り上げています。 たとえば、GitHub リポジトリまたはその他のホストにアクセスする必要がある場合は、そのシナリオに必要なホストを特定して追加する必要があります。 ホスト名の完全な一覧については、「 Visual Studio Code でのネットワーク接続」を参照してください。
| ホスト名 | 目的 |
|---|---|
*.vscode.dev*.vscode-unpkg.net*.vscode-cdn.net*.vscodeexperiments.azureedge.netdefault.exp-tas.com |
vscode.dev (Web 用 Visual Studio Code) にアクセスするために必要です |
code.visualstudio.com |
VS Code デスクトップをダウンロードしてインストールするために必要です。 このホストは VS Code Web では必要ありません。 |
update.code.visualstudio.com*.vo.msecnd.net |
セットアップ スクリプトを通じてコンピューティング インスタンスにインストールされている VS Code サーバー ビットを取得するために使用されます。 |
marketplace.visualstudio.comvscode.blob.core.windows.net*.gallerycdn.vsassets.io |
VS Code 拡張機能をダウンロードしてインストールするために必要です。 これらのホストにより、VS Code 用の Azure Machine Learning 拡張機能を使用したコンピューティング インスタンスへのリモート接続が有効になります。 詳細については、「Visual Studio Code で Azure Machine Learning コンピューティング インスタンスに接続する」を参照してください。 |
https://github.com/microsoft/vscode-tools-for-ai/tree/master/azureml_remote_websocket_server/* |
コンピューティング インスタンスにインストールされている Websocket サーバー ビットを取得するために使用されます。 Websocket サーバーは、Visual Studio Code クライアント (デスクトップ アプリケーション) から、コンピューティング インスタンスで実行されている Visual Studio Code サーバーに要求を送信するために使用されます。 azureml_websocket_serverは、対話型ジョブに接続する場合にのみ必要です。「ジョブの操作 (デバッグと監視)」を参照してください。 |
vscode.download.prss.microsoft.com |
Visual Studio Code ダウンロード CDN で使用 |
ポート
ポート 8704 から 8710 へのネットワーク トラフィックを許可する必要があります。 VS Code サーバーは、この範囲内の最初の使用可能なポートを動的に選択します。
シナリオ: サービス タグを使用しないサード パーティのファイアウォールまたは Azure Firewall
このセクションのガイダンスは一般的なもので、各ファイアウォールには独自の用語や特定の構成があります。 ご質問がある場合は、お使いのファイアウォールのドキュメントを確認してください。
ヒント
Azure Firewall を使用していて、サービス タグを使用する代わりにこのセクションに記載されている FQDN を使用する場合は、次のガイダンスを使用します。
- HTTP/S ポート (80 および 443) を使用する FQDN は、 アプリケーション ルールとして構成する必要があります。
- 他のポートを使用する FQDN は 、ネットワーク 規則として構成する必要があります。
詳細については、「 アプリケーション ルールとネットワーク ルールの違い」を参照してください。
正しく構成しないと、ワークスペースを使用したときにファイアウォールが原因で問題が発生する可能性があります。 いずれも Azure Machine Learning ワークスペースで使用されるさまざまなホスト名があります。 次のセクションでは、Azure Machine Learning に必要なホストの一覧を示します。
依存関係 API
また、Azure Machine Learning REST API を使用して、 送信 トラフィックを許可する必要があるホストとポートの一覧を取得することもできます。 この API を使用するには、次の手順を実行します。
認証トークンを取得します。 次のコマンドは、 Azure CLI を使用して認証トークンとサブスクリプション ID を取得する方法を示しています。
TOKEN=$(az account get-access-token --query accessToken -o tsv) SUBSCRIPTION=$(az account show --query id -o tsv)API を呼び出します。 次のコマンドで、次の値を置き換えます。
<region>は、ワークスペースがある Azure リージョンに置き換えます。 たとえば、westus2のようにします。<resource-group>は、ワークスペースが含まれているリソース グループに置き換えます。<workspace-name>は、ワークスペースの名前に置き換えます。
az rest --method GET \ --url "https://<region>.api.azureml.ms/rp/workspaces/subscriptions/$SUBSCRIPTION/resourceGroups/<resource-group>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>/outboundNetworkDependenciesEndpoints?api-version=2018-03-01-preview" \ --header Authorization="Bearer $TOKEN"
API 呼び出しの結果は JSON ドキュメントです。 次のスニペットは、このドキュメントの一部です。
{
"value": [
{
"properties": {
"category": "Azure Active Directory",
"endpoints": [
{
"domainName": "login.microsoftonline.com",
"endpointDetails": [
{
"port": 80
},
{
"port": 443
}
]
}
]
}
},
{
"properties": {
"category": "Azure portal",
"endpoints": [
{
"domainName": "management.azure.com",
"endpointDetails": [
{
"port": 443
}
]
}
]
}
},
...
Microsoft のホスト
次の表のホストは Microsoft によって所有されており、ワークスペースが適切に機能するために必要なサービスが提供されます。 表には、Azure Public、Azure Government、21Vianet が運営する Microsoft Azure リージョンのホストが一覧表示されています。
重要
Azure Machine Learning では、サブスクリプションと Microsoft が管理するサブスクリプションで Azure Storage アカウントが使用されます。 該当する場合、このセクションでは、区別するために次の用語が使用されます。
- ストレージ: サブスクリプション内の Azure Storage アカウント。これは、モデル、トレーニング データ、トレーニング ログ、Python スクリプトなどのデータと成果物を格納するために使用されます。>
- Microsoft Storage: Azure Machine Learning コンピューティング インスタンスとコンピューティング クラスターは Azure Batch に依存しており、Microsoft サブスクリプションにあるストレージにアクセスする必要があります。 このストレージは、コンピューティング インスタンスの管理にのみ使用されます。 ここにはデータが格納されていません。
一般的な Azure ホスト
| 必須 | ホスト | 議定書 | ポート |
|---|---|---|---|
| マイクロソフト エントラ ID | login.microsoftonline.com |
TCP | 80、443 |
| Azure Portal | management.azure.com |
TCP | 443 |
| Azure Resource Manager | management.azure.com |
TCP | 443 |
Azure Machine Learning ホスト
重要
次の表では、<storage> を、使用している Azure Machine Learning ワークスペースの既定のストレージ アカウント名に置き換えてください。 <region> を、ワークスペースのリージョンに置き換えます。
| 必須 | ホスト | 議定書 | ポート |
|---|---|---|---|
| Azure Machine Learning Studio | ml.azure.com |
TCP | 443 |
| API(アプリケーション・プログラミング・インターフェース) | *.azureml.ms |
TCP | 443 |
| API(アプリケーション・プログラミング・インターフェース) | *.azureml.net |
TCP | 443 |
| モデル管理 | *.modelmanagement.azureml.net |
TCP | 443 |
| 統合されたノートブック | *.notebooks.azure.net |
TCP | 443 |
| 統合されたノートブック | <storage>.file.core.windows.net |
TCP | 443、445 |
| 統合されたノートブック | <storage>.dfs.core.windows.net |
TCP | 443 |
| 統合されたノートブック | <storage>.blob.core.windows.net |
TCP | 443 |
| 統合されたノートブック | graph.microsoft.com |
TCP | 443 |
| 統合されたノートブック | *.aznbcontent.net |
TCP | 443 |
| AutoML NLP、Vision | automlresources-prod.azureedge.net |
TCP | 443 |
| AutoML NLP、Vision | aka.ms |
TCP | 443 |
注
AutoML NLP、Vision は現在、Azure パブリック リージョンでのみサポートされています。
Azure Machine Learning コンピューティング インスタンスとコンピューティング クラスター ホスト
ヒント
- Azure Key Vault のホストは、hbi_workspace フラグが有効になっているワークスペースが作成された場合にのみ必要です。
- コンピューティング インスタンスのポート 8787 と 18881 は、Azure Machine ワークスペースにプライベート エンドポイントがある場合にのみ必要です。
- 次の表では、
<storage>を、使用している Azure Machine Learning ワークスペースの既定のストレージ アカウント名に置き換えてください。 - 次の表で、
<region>は、Azure Machine Learning ワークスペースが含まれている Azure リージョンに置き換えます。 - コンピューティング インスタンスへの WebSocket 通信を許可する必要があります。 Websocket トラフィックをブロックすると、Jupyter Notebook は正しく機能しません。
| 必須 | ホスト | 議定書 | ポート |
|---|---|---|---|
| コンピューティング クラスター/インスタンス | graph.windows.net |
TCP | 443 |
| コンピューティング インスタンス | *.instances.azureml.net |
TCP | 443 |
| コンピューティング インスタンス | *.instances.azureml.ms |
TCP | 443、8787、18881 |
| コンピューティング インスタンス | <region>.tundra.azureml.ms |
UDP(ユーザー・データグラム・プロトコル) | 5831 |
| コンピューティング インスタンス | *.<region>.batch.azure.com |
ANY | 443 |
| コンピューティング インスタンス | *.<region>.service.batch.azure.com |
ANY | 443 |
| Microsoft ストレージ アクセス | *.blob.core.windows.net |
TCP | 443 |
| Microsoft ストレージ アクセス | *.table.core.windows.net |
TCP | 443 |
| Microsoft ストレージ アクセス | *.queue.core.windows.net |
TCP | 443 |
| ストレージ アカウント | <storage>.file.core.windows.net |
TCP | 443、445 |
| ストレージ アカウント | <storage>.blob.core.windows.net |
TCP | 443 |
| Azure Key Vault | *.vault.azure.net | TCP | 443 |
Azure Machine Learning によって管理される Docker イメージ
| 必須 | ホスト | 議定書 | ポート |
|---|---|---|---|
| マイクロソフト コンテナ レジストリ | mcr.microsoft.com *.data.mcr.microsoft.com |
TCP | 443 |
ヒント
- カスタム Docker イメージには Azure Container Registry が必要です。 これには、Microsoft が提供する基本イメージへの小さな変更 (追加のパッケージなど) が含まれます。 Azure Machine Learning の内部トレーニング ジョブ送信プロセスでも必要です。 さらに、シナリオに関係なく、 Microsoft Container Registry は常に必要です。
- フェデレーション ID の使用を計画している場合は、ベスト プラクティスに従って Active Directory フェデレーション サービスをセキュリティで保護します 。
また、 コンピューティングとパブリック IP セクションの情報を使用して、 BatchNodeManagement と AzureMachineLearningの IP アドレスを追加します。
AKS にデプロイされたモデルへのアクセスを制限する方法については、「 Azure Kubernetes Service でのエグレス トラフィックの制限」を参照してください。
監視、メトリック、診断
ワークスペースの Azure Monitor をセキュリティで保護 していない場合は、次のホストへの送信トラフィックを許可する必要があります。
ワークスペースの Azure Monitor をセキュリティで保護 していない場合は、次のホストへの送信トラフィックを許可する必要があります。
注
これらのホストにログ記録された情報は、ワークスペースで発生した問題を診断できるように Microsoft サポートによっても使用されます。
dc.applicationinsights.azure.comdc.applicationinsights.microsoft.comdc.services.visualstudio.com*.in.applicationinsights.azure.com
これらのホストの IP アドレスの一覧については、 Azure Monitor で使用される IP アドレスに関するページを参照してください。
次の手順
この記事は、Azure Machine Learning ワークフローのセキュリティ保護に関するシリーズの一部です。 このシリーズの他の記事は次のとおりです。
Azure Firewall の構成の詳細については、「 チュートリアル: Azure portal を使用して Azure Firewall をデプロイして構成する」を参照してください。