Cómo configurar un vínculo privado para el Centro de Azure AI

Nota:

Inteligencia artificial de Azure Studio está actualmente en versión preliminar pública. Esta versión preliminar se ofrece sin acuerdo de nivel de servicio y no se recomienda para las cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Tenemos dos aspectos de aislamiento de red. Uno es el aislamiento de red para acceder a un centro de Azure AI. Otro es el aislamiento de red de recursos informáticos en el centro de Azure AI y proyectos de Azure AI, como instancias de proceso, sin servidor y puntos de conexión en línea administrados. En este artículo se explica el anterior resaltado en el diagrama. Puede usar el vínculo privado para establecer la conexión privada con el centro de Azure AI y sus recursos predeterminados. Este artículo es para Azure AI Studio (centro de IA y proyectos de IA). Para obtener más información sobre los Servicios de Azure AI, consulte la documentación de Servicios de Azure AI.

Obtiene varios recursos predeterminados del centro de Azure AI en el grupo de recursos. Debe configurar las siguientes configuraciones de aislamiento de red.

• Deshabilite el acceso a la red pública de los recursos predeterminados del centro de Azure AI, como Azure Storage, Azure Key Vault y Azure Container Registry.
• Establezca la conexión de punto de conexión privado con los recursos predeterminados del centro de Azure AI. Debe tener un punto de conexión privado de blobs y archivos para la cuenta de almacenamiento predeterminada.
• Configuraciones de identidad administrada para permitir que los recursos del centro Azure AI accedan a la cuenta de almacenamiento si es privada.
• Los Servicios de Azure AI y Búsqueda de Azure AI deben ser públicos.

Requisitos previos

• Debe tener una instancia de Azure Virtual Network existente para crear el punto de conexión privado en.

  Importante

  No se recomienda usar el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este es el intervalo de subred predeterminado que usa la red del puente de Docker o el entorno local.

• Deshabilitar las directivas de red para los puntos de conexión privados antes de agregar el punto de conexión privado.

Creación de una instancia de Azure AI que use un punto de conexión privado

Use uno de los métodos siguientes para crear un recurso del centro de Azure AI con un punto de conexión privado. Cada uno de estos métodos requiere una red virtual existente:

Azure Portal

1. En Azure Portal, vaya a Inteligencia artificial de Azure Studio y elija + Nuevo Azure AI.
2. Elija el modo de aislamiento de red en la pestaña Redes.
3. Desplácese hacia abajo hasta Acceso entrante del área de trabajo y elija + Agregar.
4. Introduzca los campos obligatorios. Al seleccionar la Región, seleccione la misma región que la red virtual.

CLI de Azure

Cree el recurso del centro de Inteligencia artificial de Azure con la CLI de Azure AI. Ejecute el siguiente comando y siga las indicaciones. Para más información, consulte Introducción a la CLI de Azure AI.

ai init

Después de crear la instancia del centro de Azure AI, use los comandos de la CLI de redes de Azure para crear un punto de conexión de vínculo privado para Azure AI.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para crear las entradas de la zona DNS privada para el área de trabajo, use los siguientes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Agregar un punto de conexión privado al centro de Azure AI

Siga uno de los métodos a continuación para agregar un punto de conexión privado a una instancia del centro de Azure AI existente:

Azure Portal

1. En Azure Portal, seleccione su centro de Azure AI.
2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Conexiones de punto de conexión privado.
3. Al seleccionar la Región, seleccione la misma región que la red virtual.
4. Al seleccionar Tipo de recurso, use azuremlworkspace.
5. Establezca Recurso en el nombre del área de trabajo.

Por último, seleccione Crear para crear el punto de conexión privado.

CLI de Azure

Use los comandos de la CLI de redes de Azure para crear un punto de conexión de vínculo privado para el centro de Azure AI.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para crear las entradas de la zona DNS privada para el área de trabajo, use los siguientes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Eliminación de un punto de conexión privado

Puede quitar uno o todos los puntos de conexión privados del centro de Azure AI. Al quitar un punto de conexión privado, se quita el centro de Azure AI de la instancia de Azure Virtual Network con la que estaba asociado el punto de conexión. Quitar el punto de conexión privado podría impedir que el centro de Azure AI acceda a los recursos de esa red virtual o a los recursos de la red virtual para acceder al área de trabajo. Por ejemplo, si la red virtual no permite el acceso a o desde la red pública de Internet.

Advertencia

Quitar los puntos de conexión privados de un centro de IA no hace que sea accesible públicamente. Para que el centro de IA sea accesible públicamente, siga los pasos descritos en la sección Habilitar el acceso público.

Para quitar un punto de conexión privado, use la siguiente información:

Azure Portal

1. En Azure Portal, seleccione su centro de Azure AI.
2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Conexiones de punto de conexión privado.
3. Seleccione el punto de conexión que quiere quitar y, a continuación, seleccione Quitar.

CLI de Azure

Al usar CLI de Azure, introduzca el siguiente comando para quitar el punto de conexión privado:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Habilitación del acceso público

En algunas situaciones, es posible que quiera permitir que alguien se conecte al centro de Azure AI protegido a través de un punto de conexión público, en lugar de a través de la red virtual. O bien, es posible que quiera quitar el área de trabajo de la red virtual y volver a habilitar el acceso público.

Importante

La habilitación del acceso público no quita ningún punto de conexión privado que exista. Todas las comunicaciones entre los componentes detrás de la red virtual a la que se conectan los puntos de conexión privados siguen estando protegidos. Habilita el acceso público solo al centro de Azure AI, además del acceso privado a través de cualquier punto de conexión privado.

Para habilitar el acceso público, siga estos pasos:

Azure Portal

1. En Azure Portal, seleccione su centro de Azure AI.
2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Acceso público.
3. Seleccione Habilitado en todas las redes y, a continuación, seleccione Guardar.

CLI de Azure

No está disponible en la CLI de IA, pero puede usar la CLI de Azure Machine Learning. Use el nombre del centro de Azure AI como nombre del área de trabajo en la CLI de Azure Machine Learning.

Configuración de identidad administrada

Se requiere una configuración de identidad administrada si hace que la cuenta de almacenamiento sea privada. Nuestros servicios necesitan leer y escribir datos en su cuenta de almacenamiento privada mediante Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento con las siguientes configuraciones de identidad administrada. Habilite la identidad administrada asignada por el sistema del Servicio de Azure AI y Búsqueda de Azure AI y, a continuación, configure el control de acceso basado en rol para cada identidad administrada.

Role	Identidad administrada	Resource	Fin	Referencia
Storage File Data Privileged Contributor	Proyecto de Azure AI	Cuenta de almacenamiento	Datos de flujo de mensajes de lectura y escritura.	Documentación de flujo de avisos
Storage Blob Data Contributor	Servicio de Azure AI	Cuenta de almacenamiento	Lectura del contenedor de entrada, escritura para procesar previamente el resultado en el contenedor de salida.	Documentación de Azure OpenAI
Storage Blob Data Contributor	Azure AI Search	Cuenta de almacenamiento	Lectura de blobs y escritura del almacén de conocimiento	Documento de búsqueda.

Configuración de DNS personalizado

Consulte el artículo DNS personalizado de Azure Machine Learning para conocer las configuraciones de reenvío de DNS.

Si necesita configurar un servidor DNS personalizado sin reenvío DNS, use los siguientes patrones para los registros A necesarios.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Nota:

  El nombre del área de trabajo de este nombre de dominio completo podría estar truncado. El truncamiento se realiza para mantener ml-<workspace-name, truncated>-<region>-<workspace-guid> en 63 caracteres o menos.

• <instance-name>.<region>.instances.azureml.ms

  Nota

  • Solo se puede acceder a la instancia de proceso desde dentro de la red virtual.
  • La dirección IP de este FQDN no es la dirección IP de la instancia de proceso. En su lugar, use la dirección IP privada del punto de conexión privado del área de trabajo (la dirección IP de las entradas *.api.azureml.ms).

• <managed online endpoint name>.<region>.inference.ml.azure.com - Usado por puntos de conexión en línea administrados

Para buscar las direcciones IP privadas para sus registros A, consulte el artículo DNS personalizado de Azure Machine Learning. Para comprobar AI-PROJECT-GUID, vaya a Azure Portal, seleccione el proyecto de Azure AI, la configuración, las propiedades y el identificador del área de trabajo.

Limitaciones

• No se admiten los Servicios privados de Azure AI y Búsqueda de Azure AI.
• La característica "Agregar los datos" en el área de juegos de Azure AI Studio no admite la cuenta de almacenamiento privada.
• Es posible que encuentre problemas al intentar acceder al punto de conexión privado del centro de Azure AI si usa Mozilla Firefox. Este problema puede estar relacionado con DNS a través de HTTPS en Mozilla Firefox. Se recomienda el uso de Microsoft Edge o Google Chrome.

Pasos siguientes

• Creación de un proyecto de Azure AI
• Más información sobre Inteligencia artificial de Azure Studio
• Más información acerca de los recursos del centro de Azure AI
• Solución de problemas de conectividad segura a un proyecto