Como configurar um link privado para o hub de IA do Azure

Nota

O Azure AI Studio está atualmente em pré-visualização pública. Essa visualização é fornecida sem um contrato de nível de serviço e não a recomendamos para cargas de trabalho de produção. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter mais informações, veja Termos Suplementares de Utilização para Pré-visualizações do Microsoft Azure.

Temos dois aspetos de isolamento de rede. Um deles é o isolamento de rede para acessar um hub de IA do Azure. Outro é o isolamento de rede de recursos de computação em seu hub de IA do Azure e projetos de IA do Azure, como instâncias de computação, sem servidor e pontos de extremidade online gerenciados. Este artigo explica o primeiro destacado no diagrama. Você pode usar o link privado para estabelecer a conexão privada com seu hub de IA do Azure e seus recursos padrão. Este artigo é para o Azure AI Studio (hub de IA e projetos de IA). Para obter informações sobre os Serviços de IA do Azure, consulte a documentação dos Serviços de IA do Azure.

Você obtém vários recursos padrão do hub do Azure AI em seu grupo de recursos. Você precisa configurar as seguintes configurações de isolamento de rede.

• Desabilite o acesso à rede pública de recursos padrão do hub do Azure AI, como o Armazenamento do Azure, o Cofre da Chave do Azure e o Registro de Contêiner do Azure.
• Estabeleça uma conexão de ponto de extremidade privada com os recursos padrão do hub do Azure AI. Você precisa ter um ponto de extremidade privado de blob e arquivo para a conta de armazenamento padrão.
• Configurações de identidade gerenciadas para permitir que os recursos do hub do Azure AI acessem sua conta de armazenamento se ela for privada.
• Os Serviços de IA do Azure e a Pesquisa de IA do Azure devem ser públicos.

Pré-requisitos

• Você deve ter uma Rede Virtual do Azure existente para criar o ponto de extremidade privado.

  Importante

  Não recomendamos a utilização do intervalo de endereços IP 172.17.0.0/16 para a sua VNet. Este é o intervalo de sub-rede padrão usado pela rede de ponte do Docker ou local.

• Desative as políticas de rede para pontos de extremidade privados antes de adicionar o ponto de extremidade privado.

Criar uma IA do Azure que usa um ponto de extremidade privado

Use um dos seguintes métodos para criar um recurso de hub de IA do Azure com um ponto de extremidade privado. Cada um destes métodos requer uma rede virtual existente:

Portal do Azure

1. No portal do Azure, vá para o Azure AI Studio e escolha + Novo Azure AI.
2. Escolha o modo de isolamento de rede na guia Rede .
3. Role para baixo até Acesso de entrada do espaço de trabalho e escolha + Adicionar.
4. Insira campos obrigatórios. Ao selecionar a Região, selecione a mesma região da sua rede virtual.

CLI do Azure

Crie seu recurso de hub de IA do Azure com a CLI do Azure AI. Execute o seguinte comando e siga os prompts. Para obter mais informações, consulte Introdução à CLI do Azure AI.

ai init

Depois de criar o hub de IA do Azure, use os comandos da CLI de rede do Azure para criar um ponto de extremidade de link privado para a IA do Azure.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para criar as entradas de zona DNS privada para o espaço de trabalho, use os seguintes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Adicionar um ponto de extremidade privado a um hub de IA do Azure

Use um dos seguintes métodos para adicionar um ponto de extremidade privado a um hub de IA do Azure existente:

Portal do Azure

1. No portal do Azure, selecione seu hub de IA do Azure.
2. No lado esquerdo da página, selecione Rede e, em seguida, selecione a guia Conexões de ponto de extremidade privadas.
3. Ao selecionar a Região, selecione a mesma região da sua rede virtual.
4. Ao selecionar Tipo de recurso, use azuremlworkspace.
5. Defina o Recurso como o nome do seu espaço de trabalho.

Por fim, selecione Criar para criar o ponto de extremidade privado.

CLI do Azure

Use os comandos da CLI de rede do Azure para criar um ponto de extremidade de link privado para o hub de IA do Azure.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para criar as entradas de zona DNS privada para o espaço de trabalho, use os seguintes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Remover um ponto de extremidade privado

Você pode remover um ou todos os pontos de extremidade privados de um hub de IA do Azure. A remoção de um ponto de extremidade privado remove o hub de IA do Azure da Rede Virtual do Azure à qual o ponto de extremidade estava associado. Remover o ponto de extremidade privado pode impedir que o hub de IA do Azure acesse recursos nessa rede virtual ou que recursos na rede virtual acessem o espaço de trabalho. Por exemplo, se a rede virtual não permitir o acesso à Internet pública ou a partir dela.

Aviso

Remover os pontos de extremidade privados de um hub de IA não o torna acessível publicamente. Para tornar o hub de IA acessível publicamente, use as etapas na seção Habilitar acesso público.

Para remover um ponto de extremidade privado, use as seguintes informações:

Portal do Azure

1. No portal do Azure, selecione seu hub de IA do Azure.
2. No lado esquerdo da página, selecione Rede e, em seguida, selecione a guia Conexões de ponto de extremidade privadas.
3. Selecione o ponto de extremidade a ser removido e, em seguida, selecione Remover.

CLI do Azure

Ao usar a CLI do Azure, use o seguinte comando para remover o ponto de extremidade privado:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Habilitar acesso público

Em algumas situações, talvez você queira permitir que alguém se conecte ao seu hub de IA do Azure protegido por meio de um ponto de extremidade público, em vez de por meio da rede virtual. Ou talvez você queira remover o espaço de trabalho da rede virtual e reativar o acesso público.

Importante

Habilitar o acesso público não remove nenhum ponto de extremidade privado existente. Todas as comunicações entre os componentes por trás da rede virtual à qual o(s) ponto(s) de extremidade privado se conectam ainda estão protegidas. Ele permite o acesso público apenas ao hub de IA do Azure, além do acesso privado por meio de quaisquer pontos de extremidade privados.

Para habilitar o acesso público, use as seguintes etapas:

Portal do Azure

1. No portal do Azure, selecione seu hub de IA do Azure.
2. No lado esquerdo da página, selecione Rede e, em seguida, selecione a guia Acesso público.
3. Selecione Ativado em todas as redes e, em seguida, selecione Guardar.

CLI do Azure

Não está disponível na AI CLI, mas você pode usar a CLI do Azure Machine Learning. Use o nome do hub do Azure AI como nome do espaço de trabalho na CLI do Azure Machine Learning.

Configuração da identidade gerida

Uma configuração de identidade gerenciada é necessária se você tornar sua conta de armazenamento privada. Nossos serviços precisam ler/gravar dados em sua conta de armazenamento privado usando Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento com as seguintes configurações de identidade gerenciada. Habilite a identidade gerenciada atribuída ao sistema do Serviço de IA do Azure e da Pesquisa de IA do Azure e, em seguida, configure o controle de acesso baseado em função para cada identidade gerenciada.

Função	Identidade Gerida	Recurso	Objetivo	Referência
Storage File Data Privileged Contributor	Projeto Azure AI	Conta de Armazenamento	Dados de fluxo de prompt de leitura/gravação.	Prompt flow doc
Storage Blob Data Contributor	Serviço de IA do Azure	Conta de Armazenamento	Ler a partir do recipiente de entrada, gravar no resultado do pré-processamento no recipiente de saída.	Azure OpenAI Doc
Storage Blob Data Contributor	Pesquisa de IA do Azure	Conta de Armazenamento	Ler blob e escrever armazenamento de conhecimento	Pesquisar doc.

Configuração de DNS personalizada

Consulte o artigo DNS personalizado do Azure Machine Learning para obter as configurações de encaminhamento de DNS.

Se você precisar configurar o servidor DNS personalizado sem encaminhamento DNS, use os seguintes padrões para os registros A necessários.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Nota

  O nome do espaço de trabalho para este FQDN pode ser truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> em 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.ms

  Nota

  • As instâncias de computação podem ser acessadas somente de dentro da rede virtual.
  • O endereço IP deste FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das *.api.azureml.ms entradas.)

• <managed online endpoint name>.<region>.inference.ml.azure.com - Usado por endpoints on-line gerenciados

Para localizar os endereços IP privados dos seus registos A, consulte o artigo DNS personalizado do Azure Machine Learning. Para verificar AI-PROJECT-GUID, vá para o portal do Azure, selecione seu projeto de IA do Azure, configurações, propriedades e a ID do espaço de trabalho é exibida.

Limitações

• Os Serviços Privados de IA do Azure e a Pesquisa de IA do Azure não são suportados.
• O recurso "Adicionar seus dados" no playground do Azure AI Studio não oferece suporte à conta de armazenamento privado.
• Você pode encontrar problemas ao tentar acessar o ponto de extremidade privado para seu hub de IA do Azure se estiver usando o Mozilla Firefox. Esse problema pode estar relacionado a DNS sobre HTTPS no Mozilla Firefox. Recomendamos o uso do Microsoft Edge ou do Google Chrome.

Próximos passos

• Criar um projeto de IA do Azure
• Saiba mais sobre o Azure AI Studio
• Saiba mais sobre os recursos do hub de IA do Azure
• Solucionar problemas de conectividade segura com um projeto