Como configurar um link privado para hubs do Azure AI Studio

Importante

Alguns dos recursos descritos neste artigo podem estar disponíveis apenas na visualização. Essa visualização é fornecida sem um contrato de nível de serviço e não a recomendamos para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

Temos dois aspetos de isolamento de rede. Um deles é o isolamento de rede para acessar um hub do Azure AI Studio. Outro é o isolamento de rede de recursos de computação em seu hub e projetos, como instâncias de computação, sem servidor e endpoints online gerenciados. Este artigo explica o primeiro destacado no diagrama. Você pode usar o link privado para estabelecer a conexão privada com seu hub e seus recursos padrão. Este artigo é para o Azure AI Studio (hub e projetos). Para obter informações sobre os serviços de IA do Azure, consulte a documentação dos serviços de IA do Azure.

Diagrama do isolamento de rede do hub AI Studio.

Você obtém vários recursos padrão do hub em seu grupo de recursos. Você precisa configurar as seguintes configurações de isolamento de rede.

  • Desabilite o acesso à rede pública de recursos padrão do hub, como o Armazenamento do Azure, o Cofre da Chave do Azure e o Registro de Contêiner do Azure.
  • Estabeleça conexão de ponto de extremidade privado com recursos padrão do hub. Você precisa ter um ponto de extremidade privado de blob e arquivo para a conta de armazenamento padrão.
  • Configurações de identidade gerenciadas para permitir que os hubs acessem sua conta de armazenamento se ela for privada.

Pré-requisitos

  • Você deve ter uma Rede Virtual do Azure existente para criar o ponto de extremidade privado.

    Importante

    Não recomendamos a utilização do intervalo de endereços IP 172.17.0.0/16 para a sua VNet. Este é o intervalo de sub-rede padrão usado pela rede de ponte do Docker ou local.

  • Desative as políticas de rede para pontos de extremidade privados antes de adicionar o ponto de extremidade privado.

Criar um hub que usa um ponto de extremidade privado

Use um dos seguintes métodos para criar um hub com um ponto de extremidade privado. Cada um destes métodos requer uma rede virtual existente:

  1. No portal do Azure, vá para o Azure AI Studio e escolha + Novo Azure AI.
  2. Escolha o modo de isolamento de rede na guia Rede .
  3. Role para baixo até Acesso de entrada do espaço de trabalho e escolha + Adicionar.
  4. Insira campos obrigatórios. Ao selecionar a Região, selecione a mesma região da sua rede virtual.

Adicionar um ponto de extremidade privado a um hub

Use um dos seguintes métodos para adicionar um ponto de extremidade privado a um hub existente:

  1. No portal do Azure, selecione seu hub.
  2. No lado esquerdo da página, selecione Rede e, em seguida, selecione a guia Conexões de ponto de extremidade privadas.
  3. Ao selecionar a Região, selecione a mesma região da sua rede virtual.
  4. Ao selecionar Tipo de recurso, use azuremlworkspace.
  5. Defina o Recurso como o nome do seu espaço de trabalho.

Por fim, selecione Criar para criar o ponto de extremidade privado.

Remover um ponto de extremidade privado

Você pode remover um ou todos os pontos de extremidade privados de um hub. A remoção de um ponto de extremidade privado remove o hub da Rede Virtual do Azure ao qual o ponto de extremidade estava associado. A remoção do ponto de extremidade privado pode impedir que o hub acesse recursos nessa rede virtual ou que recursos na rede virtual acessem o espaço de trabalho. Por exemplo, se a rede virtual não permitir o acesso à Internet pública ou a partir dela.

Aviso

A remoção dos pontos de extremidade privados de um hub não o torna acessível publicamente. Para tornar o hub acessível publicamente, use as etapas na seção Habilitar acesso público.

Para remover um ponto de extremidade privado, use as seguintes informações:

  1. No portal do Azure, selecione seu hub.
  2. No lado esquerdo da página, selecione Rede e, em seguida, selecione a guia Conexões de ponto de extremidade privadas.
  3. Selecione o ponto de extremidade a ser removido e, em seguida, selecione Remover.

Habilitar acesso público

Em algumas situações, talvez você queira permitir que alguém se conecte ao seu hub seguro por meio de um ponto de extremidade público, em vez de por meio da rede virtual. Ou talvez você queira remover o espaço de trabalho da rede virtual e reativar o acesso público.

Importante

Habilitar o acesso público não remove nenhum ponto de extremidade privado existente. Todas as comunicações entre os componentes por trás da rede virtual à qual o(s) ponto(s) de extremidade privado se conectam ainda estão protegidas. Ele permite o acesso público apenas ao hub, além do acesso privado através de quaisquer pontos de extremidade privados.

Para habilitar o acesso público, use as seguintes etapas:

  1. No portal do Azure, selecione seu hub.
  2. No lado esquerdo da página, selecione Rede e, em seguida, selecione a guia Acesso público.
  3. Selecione Ativado em todas as redes e, em seguida, selecione Guardar.

Configuração da identidade gerida

Uma configuração de identidade gerenciada é necessária se você tornar sua conta de armazenamento privada. Nossos serviços precisam ler/gravar dados em sua conta de armazenamento privado usando Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento com as seguintes configurações de identidade gerenciada. Habilite a identidade gerenciada atribuída ao sistema do Serviço de IA do Azure e da Pesquisa de IA do Azure e, em seguida, configure o controle de acesso baseado em função para cada identidade gerenciada.

Role Identidade Gerida Recurso Objetivo Referência
Storage File Data Privileged Contributor Projeto Azure AI Studio Conta de Armazenamento Dados de fluxo de prompt de leitura/gravação. Prompt flow doc
Storage Blob Data Contributor Serviço de IA do Azure Conta de Armazenamento Ler a partir do recipiente de entrada, gravar no resultado do pré-processo no recipiente de saída. Azure OpenAI Doc
Storage Blob Data Contributor Pesquisa de IA do Azure Conta de Armazenamento Ler blob e escrever armazenamento de conhecimento Pesquisar doc.

Configuração de DNS personalizada

Consulte o artigo DNS personalizado do Azure Machine Learning para obter as configurações de encaminhamento de DNS.

Se você precisar configurar o servidor DNS personalizado sem encaminhamento DNS, use os seguintes padrões para os registros A necessários.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Nota

    O nome do espaço de trabalho para este FQDN pode ser truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> em 63 caracteres ou menos.

  • <instance-name>.<region>.instances.azureml.ms

    Nota

    • As instâncias de computação podem ser acessadas somente de dentro da rede virtual.
    • O endereço IP deste FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das *.api.azureml.ms entradas.)
  • <instance-name>.<region>.instances.azureml.ms - Usado apenas pelo az ml compute connect-ssh comando para se conectar a cálculos em uma rede virtual gerenciada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - Usado por endpoints on-line gerenciados

Para localizar os endereços IP privados dos seus registos A, consulte o artigo DNS personalizado do Azure Machine Learning. Para verificar AI-PROJECT-GUID, vá para o portal do Azure, selecione seu projeto, configurações, propriedades e a ID do espaço de trabalho é exibida.

Limitações

  • Você pode encontrar problemas ao tentar acessar o ponto de extremidade privado do seu hub se estiver usando o Mozilla Firefox. Esse problema pode estar relacionado a DNS sobre HTTPS no Mozilla Firefox. Recomendamos o uso do Microsoft Edge ou do Google Chrome.

Próximos passos