Como configurar um link privado para o hub IA do Azure

Observação

Atualmente, o Estúdio de IA do Azure está em visualização pública. Essa versão prévia é fornecida sem um contrato de nível de serviço e não recomendamos isso para cargas de trabalho de produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.

Temos dois aspectos do isolamento de rede. Uma das opções é o isolamento de rede para acessar um hub de IA do Azure. Outro é o isolamento da rede de recursos de computação no seu hub IA do Azure e projetos IA do Azure, como instâncias de computação, sem servidor e pontos finais online geridos. Esse artigo explica o primeiro destacado no diagrama. Pode utilizar o link privado para estabelecer a ligação privada ao seu hub IA do Azure e aos seus recursos padrão. Esse artigo é para o IA do Azure Studio (hub de IA e projetos de IA). Para saber mais sobre os Serviços de IA do Azure, confira a documentação dos Serviços de IA do Azure.

Obtém vários recursos padrão do hub IA do Azure no seu grupo de recursos. Você precisa definir as seguintes configurações de isolamento de rede.

• Desabilite o acesso à rede pública dos recursos padrão do hub IA do Azure, como o Armazenamento do Microsoft Azure, o Azure Key Vault e o Registro de Contêiner do Azure.
• Estabeleça uma ligação de ponto de extremidade privado aos recursos padrão do hub IA do Azure. Você precisa ter um ponto de extremidade privado de blob e arquivo para a conta de armazenamento padrão.
• Configurações de identidade gerenciada para permitir que os recursos de hub de IA do Azure acessem sua conta de armazenamento se ela for privada.
• Os Serviços de IA do Azure e o Azure AI Search devem ser públicos.

Pré-requisitos

• Você deve ter uma Rede Virtual do Azure existente para criar o ponto de extremidade privado.

  Importante

  Não recomendamos usar o intervalo de endereços IP 172.17.0.0/16 para sua VNet. Esse é o intervalo da sub-rede padrão utilizado pela rede de ponte do Docker ou no local.

• Desabilitar as políticas de rede paras ponto de extremidade privados antes de adicionar o ponto de extremidade privado.

Criar uma IA do Azure que use um ponto de extremidade privado

Use um dos métodos a seguir para criar um recurso de hub de IA do Azure com um ponto de extremidade privado. Cada um desses métodos requer uma rede virtual existente:

Portal do Azure

1. No portal do Microsoft Azure, acesse o Estúdio de IA do Azure e escolha + Nova IA do Azure.
2. Escolha o modo de isolamento de rede na guia Rede.
3. Role a tela para baixo até Acesso de Entrada ao espaço de trabalho e selecione + Adicionar.
4. Campos obrigatórios de entrada. Ao selecionar a Região, selecione a mesma região que sua rede virtual.

CLI do Azure

Crie o recurso de hub de IA do Azure com a CLI da IA do Azure. Execute o comando a seguir e siga os prompts. Para obter mais informações, consulte Introdução à CLI da IA do Azure 2.0.

ai init

Depois de criar o hub IA do Azure, use os comandos CLI de rede do Azure para criar um ponto de extremidade de ligação privada para a IA do Azure.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para criar as entradas da zona DNS privada para o workspace, use os seguintes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Adicione um ponto extremidade privado a um hub IA do Azure

Use um dos seguintes métodos para adicionar um ponto de extremidade privado a um hub IA do Azure existente:

Portal do Azure

1. No portal do Azure, selecione seu hub IA do Azure.
2. No lado esquerdo da página, selecione Rede e a guia Conexões de ponto de extremidade privado.
3. Ao selecionar a Região, selecione a mesma região que sua rede virtual.
4. Ao selecionar tipo de recurso, use azuremlworkspace.
5. Defina o Recurso no nome do espaço de trabalho.

Finalmente, selecione Criar para criar o ponto de extremidade privado.

CLI do Azure

Use os comandos CLI de rede do Azure para criar um ponto final de ligação privada para o hub IA do Azure.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para criar as entradas da zona DNS privada para o workspace, use os seguintes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Remover um ponto de extremidade privado

Você pode remover um ou todos os pontos de extremidade privados de um hub de IA do Azure. A remoção de um ponto de extremidade privado remove o hub IA do Azure da Rede Virtual Azure à qual o ponto extremidade estava associado. A remoção do ponto de extremidade privado pode impedir que o hub IA do Azure aceda aos recursos nessa rede virtual ou que os recursos da rede virtual acedam ao espaço de trabalho. Por exemplo, se a rede virtual não permitir o acesso de ou para a Internet pública.

Aviso

A remoção dos ponto de extremidade privado de um hub de IA não o torna acessível publicamente. Para tornar o hub de IA acessível publicamente, siga as etapas na seção Habilitar acesso público.

Para remover um ponto de extremidade privado, use as seguintes informações:

Portal do Azure

1. No portal do Azure, selecione seu hub IA do Azure.
2. No lado esquerdo da página, selecione Rede e a guia Conexões de ponto de extremidade privado.
3. Selecione o ponto de extremidade a ser removido e escolha Remover.

CLI do Azure

Ao usar a CLI do Azure, use o seguinte comando para remover o ponto de extremidade privado:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Permitir o acesso público

Em algumas situações, poderá querer permitir que alguém se ligue ao seu hub IA do Azure seguro através de um ponto de extremidade público, em vez de através da rede virtual. Ou poderá querer remover o espaço de trabalho da rede virtual e reativar o acesso público.

Importante

Habilitar o acesso público não remove nenhum ponto de extremidade privado existente. Todas as comunicações entre os componentes por trás da rede virtual à qual os pontos de extremidade privados se ligam ainda estão protegidas. Permite o acesso público apenas ao hub IA do Azure, além do acesso privado através de quaisquer ponto de extremidade privado.

Para habilitar o acesso público, use as seguintes etapas:

Portal do Azure

1. No portal do Azure, selecione seu hub IA do Azure.
2. No lado esquerdo da página, selecione Rede e a guia Acesso público.
3. Selecione Habilitado em todas as redes e selecione Salvar.

CLI do Azure

Não disponível na CLI de IA, mas você pode usar a CLI do Azure Machine Learning. Utilize o nome do hub da IA do Azure como nome do workspace na CLI do Azure Machine Learning.

Configuração de identidade gerenciada

Uma configuração de identidade gerenciada será necessária se você tornar sua conta de armazenamento privada. Nossos serviços precisam ler/gravar dados em sua conta de armazenamento privada usando Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento com as seguintes configurações de identidade gerenciada. Habilite a identidade gerenciada atribuída ao sistema do Azure AI Service e do IA do Azure Search e, em seguida, configure o controle de acesso baseado em função para cada identidade gerenciada.

Função	Identidade Gerenciada	Recurso	Finalidade	Referência
Storage File Data Privileged Contributor	Projeto de IA do Azure	Conta de Armazenamento	Dados de prompt flow de leitura/gravação.	Documento Prompt flow
Storage Blob Data Contributor	Serviço de IA do Azure	Conta de Armazenamento	Leia do contêiner de entrada, grave para pré-processar o resultado para o contêiner de saída.	Documento OpenAI do Azure
Storage Blob Data Contributor	IA do Azure Search	Conta de Armazenamento	Leia blob e grave repositório de conhecimento	Pesquisar documento.

Defina uma configuração de DNS personalizada

Veja Artigo DNS personalizado do Azure Machine Learning para as configurações de encaminhamento de DNS.

Se você precisar configurar um servidor DNS personalizado sem encaminhamento de DNS, use os seguintes padrões para os registros A necessários.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Observação

  O nome do workspace desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.ms

  Observação

  • As instâncias de computação só podem ser acessadas na rede virtual.
  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

Para encontrar os endereços IP privados para os seus registos A, veja o artigo DNS personalizado do Azure Machine Learning. Para verificar o AI-PROJECT-GUID, acesse o portal do Azure, selecione seu projeto de IA do Azure, configurações, propriedades e a ID do espaço de trabalho será exibida.

Limitações

• Os Serviços de IA do Azure Privados e o IA do Azure Search não são suportados.
• O recurso "Adicionar seus dados" no playground do Estúdio de IA do Azure não dá suporte à conta de armazenamento privada.
• Poderá encontrar problemas ao tentar aceder ao ponto de extremidade privado do seu hub IA do Azure se estiver a utilizar o Mozilla Firefox. Esse problema pode estar relacionado ao DNS sobre HTTPS no Mozilla Firefox. É recomendável usar o Microsoft Edge ou o Google Chrome.

Próximas etapas

• Criar um projeto de IA do Azure
• Saiba mais sobre o Estúdio de IA do Azure
• Saiba mais sobre os recursos de hub de IA do Azure
• Solucionar problemas de conectividade segura com um projeto