Como configurar uma rede gerenciada para hubs do Estúdio de IA do Azure

Importante

Alguns dos recursos descritos nesse artigo podem estar disponíveis apenas na versão prévia. Essa versão prévia é fornecida sem um contrato de nível de serviço e não recomendamos isso para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

Temos dois aspectos do isolamento de rede. Uma das opções é o isolamento de rede para acessar um hub do Estúdio de IA do Azure. Outra é o isolamento da rede de recursos de computação para o hub e o projeto (como instância de computação, ponto de extremidade online gerenciado e sem servidor). Este documento explica o último realçado no diagrama. É possível usar o isolamento de rede integrado ao hub para proteger seus recursos de computação.

Diagrama do isolamento de rede do hub.

Você precisa definir as configurações de isolamento de rede a seguir.

  • Escolha o modo de isolamento de rede. Você tem duas opções: o modo Permitir a saída da Internet ou o modo Permitir apenas a saída aprovada.
  • Caso use a integração do Visual Studio Code com o modo Permitir apenas a saída aprovada, crie as regras de saída de FQDN descritas na seção usar o Visual Studio Code.
  • Caso use os modelos do HuggingFace em Modelos com o modo Permitir apenas a saída aprovada, crie as regras de saída de FQDN descritas na seção usar modelos HuggingFace.
  • Se você usar um dos modelos de código aberto permitindo apenas o modo de saída aprovado, crie regras de saída do FQDN descritas na seção coletado pela IA do Azure.

Arquitetura de isolamento de rede e modos de isolamento

Ao habilitar o isolamento da rede virtual gerenciada, é criada uma rede virtual gerenciada para o hub. Os recursos de computação gerenciados criados para o hub usam automaticamente essa rede virtual gerenciada. A rede virtual gerenciada pode usar pontos de extremidade privados para os recursos do Azure que são usados pelo hub, como o Armazenamento do Azure, o Azure Key Vault e o Registro de Contêiner do Azure.

Há três modos de configuração diferentes para o tráfego de saída da rede virtual gerenciada:

Modo de saída Descrição Cenários
Permitir a saída da Internet Permita todo o tráfego de saída da Internet da rede virtual gerenciada. Você deseja acesso irrestrito aos recursos de machine learning na Internet, como pacotes Python ou modelos pré-treinados.1
Permitir somente a saída aprovada O tráfego de saída é permitido por meio da especificação de marcas de serviço. * Você deseja minimizar o risco de exfiltração dos dados, mas precisa preparar todos os artefatos de machine learning necessários em seu ambiente privado.
* Você deseja configurar o acesso de saída a uma lista aprovada de serviços, marcas de serviço ou FQDNs.
Desabilitadas O tráfego de entrada e saída não é restrito. Você quer entrada pública e saída do hub.

1 Você pode usar regras de saída com o modo Permitir apenas a saída aprovada para obter o mesmo resultado que o uso do modo Permitir a saída da Internet. As diferenças são:

  • Sempre use pontos de extremidade privados para acessar recursos do Azure.
  • Você deve adicionar regras para cada conexão de saída que precisa permitir.
  • A adição de regras de saída de FQDN aumenta seus custos, pois esse tipo de regra usa o Firewall do Azure. Se você usar regras FQDN de saída, os encargos de Firewall do Azure serão incluídos na sua cobrança. Para saber mais, consulte Preços.
  • As regras padrão para permitir apenas a saída aprovada são projetadas para minimizar o risco de exfiltração dos dados. Qualquer regra de saída adicionada poderá aumentar o risco.

A rede virtual gerenciada é pré-configurada com as regras padrão necessárias. Ela também é configurada para conexões de pontos de extremidade privados com o hub, o armazenamento padrão do hub, o registro de contêineres e o cofre de chaves, se estiverem configurados como privados ou se o modo de isolamento do hub estiver definido para permitir somente a saída aprovada. Depois de escolher o modo de isolamento, você só precisa levar em consideração outros requisitos de saída que talvez precise adicionar.

O diagrama a seguir mostra uma rede virtual gerenciada configurada para permitir a saída da Internet:

Diagrama do isolamento de rede virtual gerenciada configurada para saída da Internet.

O diagrama a seguir mostra uma rede virtual gerenciada configurada para permitir apenas a saída aprovada:

Observação

Nessa configuração, o armazenamento, o cofre de chaves e o registro de contêineres usados pelo hub são sinalizados como privados. Como eles são sinalizados como privados, um ponto de extremidade privado é usado para se comunicar com eles.

Diagrama do isolamento da rede virtual gerenciada configurada para permitir somente a saída aprovada.

Pré-requisitos

Antes de seguir as etapas neste artigo, verifique se você tem os seguintes pré-requisitos:

  • Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

  • O provedor de recursos Microsoft.Network deve ser registrado para a sua assinatura do Azure. Esse provedor de recursos é usado pelo hub ao criar pontos de extremidade privados para a rede virtual gerenciada.

    Para obter informações sobre o registro de provedores de recursos, confira Resolver erros de registro de provedor de recursos.

  • A identidade do Azure que você usa ao implantar uma rede gerenciada requer as seguintes ações de RBAC do Azure (controle de acesso baseado em função do Azure) para criar pontos de extremidade privados:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Limitações

  • Atualmente, o Estúdio de IA do Azure não dá suporte a trazer sua própria rede virtual. Ele só dá suporte ao isolamento de rede virtual gerenciada.
  • Depois de habilitar o isolamento da rede virtual gerenciada de sua IA do Azure, você não poderá desativá-lo.
  • A rede virtual gerenciada usa a conexão de ponto de extremidade privado para acessar seus recursos privados. Você não pode ter um ponto de extremidade privado e um ponto de extremidade de serviço ao mesmo tempo para seus recursos do Azure, como uma conta de armazenamento. Recomendamos o uso de pontos de extremidade em todos os cenários.
  • A rede virtual gerenciada será excluída quando a IA do Azure for excluída.
  • A proteção contra exfiltração de dados é habilitada automaticamente para o único modo de saída aprovado. Se você adicionar outras regras de saída, como a FQDNs, a Microsoft não poderá garantir que você esteja protegido contra exfiltração de dados para esses destinos de saída.
  • O uso de regras de saída de FQDN aumenta o custo da rede virtual gerenciada porque as regras do FQDN usam o Firewall do Azure. Para saber mais, consulte Preços.
  • As regras de saída do FQDN só dão suporte às portas 80 e 443.
  • Ao usar uma instância de computação com uma rede gerenciada, use o comando az ml compute connect-ssh para se conectar à computação usando SSH.

Configurar uma rede virtual gerenciada para permitir a saída da Internet

Dica

A criação da VNet gerenciada é adiada até que um recurso de computação seja criado ou até que o provisionamento seja iniciado manualmente. Ao permitir a criação automática, pode levar cerca de 30 minutos para criar o primeiro recurso de computação, pois ele também está provisionando a rede.

  • Criar um novo hub:

    1. Entre no portal do Azure e escolha Estúdio de IA do Azure no menu “Criar um recurso”.

    2. Selecione + Nova IA do Azure.

    3. Preencha as informações necessárias na guia Noções básicas.

    4. Na guia Rede , selecione Privado com Saída da Internet.

    5. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral Regras de saída, forneça as seguintes informações:

      • Nome da regra: um nome para a regra. O nome deve ser exclusivo para esse hub.
      • Tipo de destino: o ponto de extremidade privado é a única opção quando o isolamento de rede é privado com saída da Internet. A rede virtual gerenciada pelo hub não dá suporte à criação de um ponto de extremidade privado para todos os tipos de recursos do Azure. Para obter uma lista de recursos com suporte, confira a seção pontos de extremidade privados.
      • Assinatura: a assinatura que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
      • Grupo de recursos: o grupo de recursos que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
      • Tipo de recurso: o tipo do recurso do Azure.
      • Nome do recurso: o nome do recurso do Azure.
      • Sub-recurso: o sub-recurso do tipo de recurso do Azure.

      Selecione Salvar para salvar a regra. Você pode continuar usando Adicionar regras de saída definidas pelo usuário para adicionar regras.

    6. Continue a criar o hub normalmente.

  • Atualizar um hub existente:

    1. Entre no portal do Azure e selecione o hub para o qual você pretende habilitar o isolamento da rede virtual gerenciada.

    2. Na guia Rede, selecione Privada com Saída da Internet.

      • Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral Regras de saída, forneça as mesmas informações usadas ao criar um hub na seção “Criar um novo hub”.

      • Para excluir uma regra de saída, selecione excluir para a regra.

    3. Selecione Salvar na parte superior da página para salvar as alterações na rede virtual gerenciada.

Configurar uma rede virtual gerenciada para permitir apenas saídas aprovadas

Dica

A VNet gerenciada é provisionada automaticamente quando você cria um recurso de computação. Ao permitir a criação automática, pode levar cerca de 30 minutos para criar o primeiro recurso de computação, pois ele também está provisionando a rede. Se você configurou regras de saída de FQDN, a primeira regra de FQDN adicionará cerca de 10 minutos ao tempo de provisionamento.

  • Criar um novo hub:

    1. Entre no portal do Azure e escolha Estúdio de IA do Azure no menu “Criar um recurso”.

    2. Selecione + Nova IA do Azure.

    3. Preencha as informações necessárias na guia Noções básicas.

    4. Na guia Rede, selecione Privada com Saída da Internet.

    5. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral Regras de saída, forneça as seguintes informações:

      • Nome da regra: um nome para a regra. O nome deve ser exclusivo para esse hub.
      • Tipo de destino: ponto de extremidade privado, marca de serviço ou FQDN. A marca de serviço e o FQDN só estão disponíveis quando o isolamento de rede é privado com saída aprovada.

      Se o tipo de destino for ponto de extremidade privado, forneça as seguintes informações:

      • Assinatura: a assinatura que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
      • Grupo de recursos: o grupo de recursos que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
      • Tipo de recurso: o tipo do recurso do Azure.
      • Nome do recurso: o nome do recurso do Azure.
      • Sub-recurso: o sub-recurso do tipo de recurso do Azure.

      Dica

      A VNet gerenciada pelo hub não dá suporte à criação de um ponto de extremidade privado para todos os tipos de recursos do Azure. Para obter uma lista de recursos com suporte, confira a seção pontos de extremidade privados.

      Se o tipo de destino for marca de serviço, forneça as seguintes informações:

      • Marca de serviço: a marca de serviço a ser adicionada às regras de saída aprovadas.
      • Protocolo: o protocolo a ser permitido para a marca de serviço.
      • Intervalos de portas: os intervalos de portas a serem permitidos para a marca de serviço.

      Se o tipo de destino for FQDN, forneça as seguintes informações:

      • Destino FQDN: o nome de domínio totalmente qualificado a ser adicionado às regras de saída aprovadas.

      Selecione Salvar para salvar a regra. Você pode continuar usando Adicionar regras de saída definidas pelo usuário para adicionar regras.

    6. Continue a criar o hub normalmente.

  • Atualizar um hub existente:

    1. Entre no portal do Azure e selecione o hub para o qual você pretende habilitar o isolamento da rede virtual gerenciada.

    2. Selecione Rede e, em seguida, selecione Privada com Saída da Internet.

      • Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral Regras de saída, forneça as mesmas informações fornecidas ao criar um hub na seção anterior “Criar um novo hub”.

      • Para excluir uma regra de saída, selecione excluir para a regra.

    3. Selecione Salvar na parte superior da página para salvar as alterações na rede virtual gerenciada.

Provisionar manualmente uma VNet gerenciada

A VNet gerenciada é provisionada automaticamente ao criar uma instância de computação. Quando você depende do provisionamento automático, pode levar cerca de 30 minutos para criar a primeira instância de computação, pois ele também está provisionando a rede. Se você configurou regras de saída de FQDN (disponível somente com o modo permitir somente aprovado), a primeira regra do FQDN adicionará cerca de 10 minutos ao tempo de provisionamento. Se você tiver um conjunto grande de regras de saída a ser provisionado na rede gerenciada, poderá levar mais tempo para que o provisionamento seja concluído. O aumento do tempo de provisionamento pode fazer com que a criação da primeira instância de computação atinja o tempo limite.

Para reduzir o tempo de espera e evitar possíveis erros de tempo limite, recomendamos provisionar a rede gerenciada manualmente. Em seguida, aguarde até que o provisionamento seja concluído antes de criar uma instância de computação.

Observação

Para criar uma implantação online, você deve provisionar manualmente a rede gerenciada ou criar primeiro uma instância de computação que a provisionará automaticamente.

Use as guias da CLI do Azure ou do SDK do Python para saber como provisionar manualmente a VNet gerenciada.

Gerenciar regras de saída

  1. Entre no portal do Azure e selecione o hub para o qual você pretende habilitar o isolamento da rede virtual gerenciada.
  2. Selecione Rede. A seção Acesso de saída da IA do Azure permite que você gerencie as regras de saída.
  • Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral Regras de saída da IA do Azure, forneça as seguintes informações:

  • Para habilitar ou desabilitar uma regra, use a alternância na coluna Ativo.

  • Para excluir uma regra de saída, selecione excluir para a regra.

Lista de regras necessárias

Dica

Essas regras são adicionadas automaticamente à VNet gerenciada.

Pontos de extremidade privados:

  • Quando o modo de isolamento da rede virtual gerenciada for Allow internet outbound, as regras de saída do ponto de extremidade privado serão criadas automaticamente como regras necessárias da rede virtual gerenciada para o hub e os recursos associados com acesso à rede pública desabilitado (Key Vault, Conta de Armazenamento, Registo de Contêiner, hub).
  • Quando o modo de isolamento da rede virtual gerenciada for Allow only approved outbound, as regras de saída do ponto de extremidade privado serão criadas automaticamente como regras necessárias da rede virtual gerenciada para o hub os recursos associados, independentemente do modo de acesso à rede pública para esses recursos(Key Vault, Conta de Armazenamento, Registo de Contêiner, hub).

Regras de marca de serviço de saída:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Regras de marca de serviço de entrada:

  • AzureMachineLearning

Lista de regras de saída específicas do cenário

Cenário: Acessar pacotes públicos de aprendizado de máquina

Para permitir a instalação de pacotes do Python para treinamento e implantação, adicione regras de FQDN de saída para permitir o tráfego aos seguintes nomes de host:

Observação

Esta não é uma lista completa dos hosts necessários para todos os recursos do Python na Internet. Ela inclui somente os mais usados. Por exemplo, caso você precise de acesso a um repositório GitHub ou outro host, identifique e adicione os hosts necessários para esse cenário.

Nome do host Finalidade
anaconda.com
*.anaconda.com
Usado para instalar pacotes padrão.
*.anaconda.org Usado para obter dados do repositório.
pypi.org Usado para listar dependências com base no índice padrão, se houver, quando o índice não foi substituído pelas configurações do usuário. Se o índice tiver sido substituído, você deverá permitir também *.pythonhosted.org.
pytorch.org
*.pytorch.org
Usado por alguns exemplos com base em PyTorch.
*.tensorflow.org Usado por alguns exemplos com base em Tensorflow.

Cenário: Usar o Visual Studio Code

O Visual Studio Code depende de hosts e portas específicos para estabelecer uma conexão remota.

Hosts

Se você planeja usar o Visual Studio Code com o hub, adicione regras de FQDN de saída para permitir o tráfego para os seguintes hosts:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Portos

Você deve permitir o tráfego de rede nas portas 8704 a 8710. O servidor do VS Code seleciona dinamicamente a primeira porta disponível dentro desse intervalo.

Cenário: Usar os modelos do HuggingFace

Se você planeja usar modelos HuggingFace com o hub, adicione regras de FQDN de saída para permitir o tráfego para os seguintes hosts:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Cenário: coletado pela IA do Azure

Esses modelos envolvem a instalação dinâmica de dependências em runtime e necessitam de regras FQDN de saída para permitir o tráfego para os seguintes hosts:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Pontos de extremidade privados

Atualmente, há suporte para pontos de extremidade privados para os seguintes serviços do Azure:

  • Hub do Estúdio de IA
  • Azure AI Search
  • Serviços de IA do Azure
  • Gerenciamento de API do Azure
  • Registro de Contêiner do Azure
  • Azure Cosmos DB (todos os sub-tipos de recursos)
  • Fábrica de dados do Azure
  • Banco de Dados do Azure para MariaDB
  • Banco de Dados do Azure para MySQL
  • Servidor Único do Banco de Dados do Azure para PostgreSQL
  • Banco de Dados do Azure para PostgreSQL Servidor Flexível
  • Azure Databricks
  • Hubs de eventos do Azure
  • Cofre de Chave do Azure
  • Azure Machine Learning
  • Registros do Azure Machine Learning
  • Cache Redis do Azure
  • Azure SQL Server
  • Armazenamento do Microsoft Azure (todos os tipos de sub-recursos)

Ao criar um ponto de extremidade privado, você fornece o tipo de recurso e o sub-recurso ao qual o ponto de extremidade se conecta. Alguns recursos têm vários tipos e sub-recursos. Para obter mais informações, confira o que é um ponto de extremidade privado.

Ao criar um ponto de extremidade privado para recursos de dependência de hub, como o Armazenamento do Azure, o Registro de Contêiner do Azure e o Azure Key Vault, o recurso poderá estar em uma assinatura diferente do Azure. No entanto, o recurso precisará estar no mesmo locatário que o hub.

Um ponto de extremidade privado será criado automaticamente para uma conexão se o recurso de destino for um recurso do Azure listado acima. Uma ID de destino válida é esperada para o ponto de extremidade privado. Uma ID de destino válida para a conexão pode ser a ID do Azure Resource Manager de um recurso pai. A ID de destino também é esperada no destino da conexão ou na metadata.resourceid. Para saber mais sobre conexões, confira Como adicionar uma nova conexão no Estúdio de IA do Azure.

Preços

O recurso de rede virtual gerenciada pelo hub é gratuito. No entanto, você é cobrado pelos seguintes recursos que são usados pela rede virtual gerenciada:

  • Link Privado do Azure – os pontos de extremidade privados usados para proteger as comunicações entre a rede virtual gerenciada e os recursos do Azure dependem de Link Privado do Azure. Para obter mais informações sobre preços, confira preços do Link Privado do Azure.

  • Regras de saída do FQDN – as regras de saída do FQDN são implementadas usando o Firewall do Azure. Se você usar regras FQDN de saída, os encargos de Firewall do Azure serão incluídos na sua cobrança. O SKU do Firewall do Azure é padrão. O Firewall do Azure é provisionado pelo hub.

    Importante

    O firewall não é criado até que você adicione uma regra de FQDN de saída. Se você não usar regras de FQDN, não será cobrado pelo Firewall do Azure. Para obter informações sobre preços, confira preços do Firewall do Azure.