Usare le raccolte del catalogo modelli con la rete virtuale gestita dell’area di lavoro
In questo articolo si apprenderà come usare le varie raccolte nel catalogo modelli all'interno di una rete isolata.
L'area di lavoro rete virtuale gestita è il solo modo per supportare l'isolamento di rete con il catalogo modelli. Offre una configurazione semplice per proteggere l'area di lavoro. Dopo aver abilitato la rete virtuale gestita a livello di area di lavoro, le risorse correlate all'area di lavoro nella stessa rete virtuale useranno la stessa impostazione di rete a livello di area di lavoro. È anche possibile configurare l'area di lavoro per usare l'endpoint privato per accedere ad altre risorse di Azure, ad esempio Azure OpenAI. Inoltre, è possibile configurare la regola di nome di dominio completo per approvare l'uscita verso risorse non Azure, necessaria per utilizzare alcune raccolte nel catalogo modelli. Vedere come isolare la rete gestita dell'area di lavoro per abilitare la rete virtuale gestita dell'area di lavoro.
La creazione della rete virtuale gestita viene posticipata fino a quando non viene creata o avviata manualmente una risorsa di calcolo. È possibile usare il seguente comando per attivare manualmente il provisioning di rete.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Rete virtuale gestita dell'area di lavoro per consentire internet in uscita
Configurare un'area di lavoro con rete virtuale gestita per consentire internet in uscita seguendo i passaggi elencati qui.
Se si sceglie di impostare l'accesso alla rete pubblica sull'area di lavoro su disabilitato, è possibile connettersi all'area di lavoro usando uno dei seguenti metodi:
gateway VPN di Azure: connette le reti locali alla rete virtuale tramite una connessione privata. La connessione viene stabilita nella rete Internet pubblica. Ci sono due tipi di gateway VPN che è possibile usare:
- Da punto a sito: ogni computer client usa un client VPN per connettersi alla rete virtuale.
- Da sito a sito: un dispositivo VPN connette la rete virtuale alla rete locale.
ExpressRoute - Connette le reti locali al cloud tramite una connessione privata. La connessione viene stabilita usando un provider di connettività.
Azure Bastion: in questo scenario si crea una macchina virtuale di Azure (talvolta denominata jump box) all'interno della rete virtuale. Si stabilisce quindi la connessione alla macchina virtuale usando Azure Bastion. Bastion consente di connettersi alla macchina virtuale usando una sessione RDP o SSH dal Web browser locale. Usare quindi il dispositivo jump box come ambiente di sviluppo. Poiché si trova all'interno della rete virtuale, può accedere direttamente all'area di lavoro.
Poiché la rete virtuale gestita dell'area di lavoro può accedere a Internet in questa configurazione, è possibile usare tutte le raccolte nel catalogo modelli dall'interno dell'area di lavoro.
Rete virtuale gestita dell'area di lavoro per consentire solo l'approvazione in uscita
- Configurare un'area di lavoro seguendo Isolamento network gestito dell'area di lavoro. Quando si seleziona accesso in uscita gestito all'area di lavoro passaggio 3 dell'esercitazione, selezionare Consenti solo in uscita approvati.
- Se si imposta l'accesso alla rete pubblica sull'area di lavoro disabilitata, è possibile connettersi all'area di lavoro usando uno dei metodi elencati nel passaggio 2 della sezione consenti internet in uscita di questa esercitazione.
- L'area di lavoro gestisce la rete virtuale è impostata su una configurazione consentita solo. È necessario aggiungere una regola in uscita definita dall'utente corrispondente per consentire tutti i nomi di dominio completi pertinenti.
- Per un elenco di nome di dominio completo necessari per la raccolta curata da Azure per intelligenza artificiale, seguire questo collegamento.
- Seguire questo collegamento per un elenco di nomi di dominio completi necessari per la raccolta Hugging Face.
Usare modelli open source curati da Azure Machine Learning
La rete virtuale gestita dell'area di lavoro per consentire solo l'uso di criteri di endpoint di servizio per gli account di archiviazione gestiti di Azure Machine Learning consente di accedere ai modelli nelle raccolte curate da Azure Machine Learning in modo predefinito. Questa modalità di configurazione dell'area di lavoro include anche l'uscita predefinita nel Registro Microsoft Container che contiene l'immagine Docker usata per distribuire i modelli.
Modelli linguistici nella raccolta "Curato da Azure per intelligenza artificiale"
Questi modelli comportano l'installazione dinamica delle dipendenze in fase di esecuzione. Per aggiungere una regola in uscita definita dall'utente, seguire il passaggio 4 di Per usare la raccolta curata da Azure per intelligenza artificiale, gli utenti devono aggiungere regole in uscita definite dall'utente per i nomi di dominio completi seguenti a livello di area di lavoro:
*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org
Seguire il passaggio 4 nell'esercitazione sulla rete virtuale gestita per aggiungere le regole in uscita definite dall'utente corrispondenti.
Avviso
Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole del nome di dominio completo in uscita, i costi per Firewall di Azure vengono inclusi nella fatturazione. Per altre informazioni, vedere Prezzi.
Raccolta Meta
Gli utenti possono usare questa raccolta in aree di lavoro isolate dalla rete senza altre regole in uscita definite dall'utente.
Nota
Le nuove raccolte curate vengono aggiunte frequentemente al catalogo modelli. Questa documentazione verrà aggiornata in modo da riflettere il supporto nelle reti private per varie raccolte.
Usare la raccolta Hugging Face
I pesi del modello non sono ospitati in Azure se si usa il registro Hugging Face. I pesi del modello vengono scaricati direttamente dall'hub Hugging Face agli endpoint online nell'area di lavoro durante la distribuzione. Gli utenti devono aggiungere le regole di nome di dominio completo in uscita seguenti per Hugging Face Hub, Docker Hub e le relative reti CDN per consentire il traffico agli host seguenti:
docker.io
huggingface.co
production.cloudflare.docker.com
cdn-lfs.huggingface.co
cdn.auth0.com
Seguire il passaggio 4 nell'esercitazione sulla rete virtuale gestita per aggiungere le regole in uscita definite dall'utente corrispondenti.
Passaggi successivi
- Informazioni su come risolvere i problemi relativi alla rete virtuale gestita