Alteração de isolamento de rede com nossa nova plataforma de API no Azure Resource Manager
Neste artigo, você aprenderá sobre as alterações de isolamento de rede com nossa nova plataforma de API v2 no ARM (Azure Resource Manager) e seu efeito sobre o isolamento de rede.
Qual é a nova plataforma de API no ARM (Azure Resource Manager)
Há dois tipos de operações usados pelas APIs v1 e v2, o ARM (Azure Resource Manager) e o workspace do Azure Machine Learning.
Com a API v1, a maioria das operações usou o workspace. Para v2, movemos a maioria das operações para usar o ARM público.
Versão da API | ARM público | Rede virtual do workspace interna |
---|---|---|
v1 | Operações CRUD (criar, atualizar e excluir) de workspace e computação. | Outras operações, como experimentos. |
v2 | A maioria das operações, como workspace, computação, armazenamento de dados, conjunto de dados, trabalho, ambiente, código, componente, pontos de extremidade. | Operações restantes. |
A API v2 fornece uma API consistente em um só lugar. Você pode usar com mais facilidade o controle de acesso baseado em função do Azure e Azure Policy para recursos com a API v2 porque ela é baseada no Azure Resource Manager.
A CLI do Azure Machine Learning v2 usa nossa nova plataforma de API v2. Novos recursos, como pontos de extremidade online gerenciados, só estão disponíveis usando a plataforma de API v2.
Quais são as alterações de isolamento de rede com v2
Conforme mencionado na seção anterior, há dois tipos de operações; com o ARM e com o workspace. Com a API v1 herdada, a maioria das operações usou o workspace. Com a API v1, a adição de um ponto de extremidade privado ao workspace forneceu isolamento de rede para tudo, exceto operações CRUD no workspace ou recursos de computação.
Com a nova API v2, a maioria das operações usa ARM. Portanto, habilitar um ponto de extremidade privado em seu workspace não fornece o mesmo nível de isolamento de rede. As operações que usam o ARM se comunicam por redes públicas e incluem metadados (como suas IDs de recurso) ou parâmetros usados pela operação. Por exemplo, os parâmetros.
Importante
Para a maioria das pessoas, usar as comunicações públicas do ARM é OK:
- As comunicações públicas do ARM são o padrão para operações de gerenciamento com os serviços do Azure. Por exemplo, a criação de uma Conta de Armazenamento do Azure ou Rede Virtual do Azure usa o ARM.
- As operações do Azure Machine Learning não expõem dados em sua conta de armazenamento (ou em outro armazenamento na VNet) em redes públicas. Por exemplo, um trabalho de treinamento executado em um cluster de computação na VNet, e que usa dados de uma conta de armazenamento na VNet, acessaria com segurança os dados diretamente usando a VNet.
- Toda a comunicação com o ARM público é criptografada usando o TLS 1.2.
Se você precisar de tempo para avaliar a nova API v2 antes de adotá-la em suas soluções empresariais ou ter uma política de empresa que proíba o envio de comunicação por redes públicas, poderá habilitar o parâmetro v1_legacy_mode. Quando habilitado, esse parâmetro desabilita a API v2 para seu workspace.
Aviso
Habilitar v1_legacy_mode pode impedir o uso de recursos fornecidos pela API v2. Por exemplo, alguns recursos do Estúdio do Azure Machine Learning podem estar indisponíveis.
Cenários e ações necessárias
Aviso
O parâmetro v1_legacy_mode está disponível agora, mas a funcionalidade de bloqueio de API v2 será aplicada a partir da semana de 15 de maio de 2022.
Se você não planeja usar um ponto de extremidade privado com seu workspace, não precisa habilitar o parâmetro.
Se você estiver bem com as operações que se comunicam com o ARM público, não será necessário habilitar o parâmetro.
Você só precisa habilitar o parâmetro se estiver usando um ponto de extremidade privado com o workspace e não quiser permitir operações com o ARM em redes públicas.
Depois de implementarmos o parâmetro, ele será aplicado retroativamente aos workspaces existentes usando a seguinte lógica:
Se você tiver um workspace existente com um ponto de extremidade privado, o sinalizador será verdadeiro.
Se você tiver um workspace existente sem um ponto de extremidade privado (workspace público), o sinalizador será falso.
Após a implementação do parâmetro, o valor padrão do sinalizador depende da versão subjacente da API REST usada quando você cria um workspace (com um ponto de extremidade privado):
- Se a versão da API for mais antiga do que
2022-05-01
, o sinalizador será verdadeiro por padrão. - Se a versão da API for
2022-05-01
ou mais recente, o sinalizador será falso por padrão.
Importante
Se você quiser usar a API v2 com seu workspace, deverá definir o parâmetro v1_legacy_mode como falso.
Como atualizar o parâmetro v1_legacy_mode
Aviso
O parâmetro v1_legacy_mode está disponível agora, mas a funcionalidade de bloqueio de API v2 será aplicada a partir da semana de 15 de maio de 2022.
Para atualizar v1_legacy_mode, use as seguintes etapas:
Importante
Se você quiser desabilitar a API v2, use o SDK v1 do Python do Azure Machine Learning.
Para desabilitar v1_legacy_mode, use Workspace.update e defina v1_legacy_mode=false
.
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
Importante
Observe que leva de 30 minutos a uma hora ou mais para alterar o parâmetro v1_legacy_mode de true para false para ser refletido no workspace. Portanto, se você definir o parâmetro como false mas receber um erro de que o parâmetro é true em uma operação subsequente, tente depois de alguns minutos.