Como configurar um link privado para hubs do Estúdio de IA do Azure
Importante
Alguns dos recursos descritos nesse artigo podem estar disponíveis apenas na versão prévia. Essa versão prévia é fornecida sem um contrato de nível de serviço e não recomendamos isso para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.
Temos dois aspectos do isolamento de rede. Uma das opções é o isolamento de rede para acessar um hub do Estúdio de IA do Azure. Outra é o isolamento da rede de recursos de computação no seu hub e projetos, como instâncias de computação, sem servidor e pontos finais online geridos. Esse artigo explica o primeiro destacado no diagrama. Pode utilizar o link privado para estabelecer a ligação privada ao seu hub e os respectivos recursos padrão. Esse artigo é para o Estúdio de IA do Azure (hub e projetos). Para saber mais sobre os Serviços de IA do Azure, confira a documentação dos serviços de IA do Azure.
Você obtém vários recursos padrão do hub no seu grupo de recursos. Você precisa definir as seguintes configurações de isolamento de rede.
- Desabilite o acesso à rede pública dos recursos padrão do hub, como o Armazenamento do Microsoft Azure, o Azure Key Vault e o Registro de Contêiner do Azure.
- Estabeleça uma ligação de ponto de extremidade privado aos recursos padrão do hub. Você precisa ter um ponto de extremidade privado de blob e arquivo para a conta de armazenamento padrão.
- Configurações de identidade gerenciada para permitir que os hubs acessem sua conta de armazenamento se ela for privada.
Pré-requisitos
Você deve ter uma Rede Virtual do Azure existente para criar o ponto de extremidade privado.
Importante
Não recomendamos usar o intervalo de endereços IP 172.17.0.0/16 para sua VNet. Esse é o intervalo da sub-rede padrão utilizado pela rede de ponte do Docker ou no local.
Desabilitar as políticas de rede paras ponto de extremidade privados antes de adicionar o ponto de extremidade privado.
Criar um hub que use um ponto de extremidade privado
Use um dos métodos a seguir para criar um hub com um ponto de extremidade privado. Cada um desses métodos requer uma rede virtual existente:
- No portal do Microsoft Azure, acesse o Estúdio de IA do Azure e escolha + Nova IA do Azure.
- Escolha o modo de isolamento de rede na guia Rede.
- Role a tela para baixo até Acesso de Entrada ao espaço de trabalho e selecione + Adicionar.
- Campos obrigatórios de entrada. Ao selecionar a Região, selecione a mesma região que sua rede virtual.
Adicionar um ponto de extremidade privado a um hub
Use um dos métodos a seguir para adicionar um ponto de extremidade privado a um hub existente:
- Selecione seu hub no portal do Azure.
- No lado esquerdo da página, selecione Rede e a guia Conexões de ponto de extremidade privado.
- Ao selecionar a Região, selecione a mesma região que sua rede virtual.
- Ao selecionar tipo de recurso, use
azuremlworkspace
. - Defina o Recurso no nome do espaço de trabalho.
Finalmente, selecione Criar para criar o ponto de extremidade privado.
Remover um ponto de extremidade privado
Você pode remover um ou todos os pontos de extremidade privados de um hub. A remoção de um ponto de extremidade privado remove o hub da Rede Virtual do Microsoft Azure à qual o ponto extremidade estava associado. A remoção do ponto de extremidade privado pode impedir que o hub acesse os recursos nessa rede virtual ou que os recursos da rede virtual acedam ao espaço de trabalho. Por exemplo, se a rede virtual não permitir o acesso de ou para a Internet pública.
Aviso
A remoção dos ponto de extremidade privado de um hub não o torna acessível publicamente. Para tornar o hub acessível publicamente, siga as etapas na seção Habilitar acesso público.
Para remover um ponto de extremidade privado, use as seguintes informações:
- Selecione seu hub no portal do Azure.
- No lado esquerdo da página, selecione Rede e a guia Conexões de ponto de extremidade privado.
- Selecione o ponto de extremidade a ser removido e escolha Remover.
Permitir o acesso público
Em algumas situações, poderá querer permitir que alguém se ligue ao seu hub seguro através de um ponto de extremidade público, em vez de através da rede virtual. Ou poderá querer remover o espaço de trabalho da rede virtual e reativar o acesso público.
Importante
Habilitar o acesso público não remove nenhum ponto de extremidade privado existente. Todas as comunicações entre os componentes por trás da rede virtual à qual os pontos de extremidade privados se ligam ainda estão protegidas. Permite o acesso público apenas ao hub, além do acesso privado através de quaisquer pontos de extremidade privados.
Para habilitar o acesso público, use as seguintes etapas:
- Selecione seu hub no portal do Azure.
- No lado esquerdo da página, selecione Rede e a guia Acesso público.
- Selecione Habilitado em todas as redes e selecione Salvar.
Configuração de identidade gerenciada
Uma configuração de identidade gerenciada será necessária se você tornar sua conta de armazenamento privada. Nossos serviços precisam ler/gravar dados em sua conta de armazenamento privada usando Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento com as seguintes configurações de identidade gerenciada. Habilite a identidade gerenciada atribuída ao sistema do Azure AI Service e do IA do Azure Search e, em seguida, configure o controle de acesso baseado em função para cada identidade gerenciada.
Função | Identidade Gerenciada | Recurso | Finalidade | Referência |
---|---|---|---|---|
Storage File Data Privileged Contributor |
Projeto do Estúdio de IA do Azure | Conta de Armazenamento | Dados de prompt flow de leitura/gravação. | Documento Prompt flow |
Storage Blob Data Contributor |
Serviço de IA do Azure | Conta de Armazenamento | Leia do contêiner de entrada, grave para pré-processar o resultado para o contêiner de saída. | Documento OpenAI do Azure |
Storage Blob Data Contributor |
IA do Azure Search | Conta de Armazenamento | Leia blob e grave repositório de conhecimento | Pesquisar documento. |
Defina uma configuração de DNS personalizada
Veja Artigo DNS personalizado do Azure Machine Learning para as configurações de encaminhamento de DNS.
Se você precisar configurar um servidor DNS personalizado sem encaminhamento de DNS, use os seguintes padrões para os registros A necessários.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net
ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net
Observação
O nome do workspace desse FQDN pode estar truncado. O truncamento é feito para manter
ml-<workspace-name, truncated>-<region>-<workspace-guid>
a 63 caracteres ou menos.<instance-name>.<region>.instances.azureml.ms
Observação
- As instâncias de computação só podem ser acessadas na rede virtual.
- O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas
*.api.azureml.ms
).
<instance-name>.<region>.instances.azureml.ms
– usado apenas pelo comandoaz ml compute connect-ssh
para se conectar a computação em uma rede virtual gerenciada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.<managed online endpoint name>.<region>.inference.ml.azure.com
– usado por pontos de extremidade online gerenciados
Para encontrar os endereços IP privados para os seus registos A, veja o artigo DNS personalizado do Azure Machine Learning. Para verificar o AI-PROJECT-GUID, acesse o portal do Azure, selecione seu projeto, configurações e propriedades, e a ID do espaço de trabalho será exibida.
Limitações
- Você poderá encontrar problemas ao tentar acessar o ponto de extremidade privado do seu hub caso esteja usando o Mozilla Firefox. Esse problema pode estar relacionado ao DNS sobre HTTPS no Mozilla Firefox. É recomendável usar o Microsoft Edge ou o Google Chrome.