Acceso a recursos locales desde la red administrada de Azure AI Foundry (versión preliminar)

Para acceder a sus recursos que no son de Azure ubicados en una red virtual diferente o ubicados completamente en las instalaciones desde la red virtual gestionada de Azure AI Foundry, debe configurarse una puerta de enlace de aplicaciones. A través de esta instancia de Application Gateway, el acceso completo de un extremo a otro se puede configurar en los recursos.

Azure Application Gateway es un equilibrador de carga que toma decisiones de enrutamiento basadas en la dirección URL de una solicitud HTTPS. Azure Machine Learning admite el uso de una puerta de enlace de aplicaciones para comunicarse de forma segura con recursos que no son de Azure. Para más información sobre Application Gateway, consulte ¿Qué es Azure Application Gateway?.

Para acceder a los recursos de red virtual locales o personalizados desde la red virtual administrada, configure una instancia de Application Gateway en la red virtual de Azure. La puerta de enlace de aplicaciones se usa para el acceso entrante al centro del portal de Azure AI Foundry. Una vez configurado, cree un punto de conexión privado desde la red virtual administrada del centro de Azure AI Foundry a Application Gateway. Con el punto de conexión privado, la ruta de acceso completa de un extremo a otro está protegida y no se enruta a través de Internet.

Requisitos previos

• Lea el artículo Funcionamiento de una puerta de enlace de aplicaciones para comprender cómo Application Gateway puede proteger la conexión a los recursos que no son de Azure.
• Configure la red virtual administrada del centro de Azure AI Foundry y seleccione el modo de aislamiento, ya sea Permitir salida a Internet o Permitir solo salida aprobada. Para obtener más información, consulte Aislamiento de red virtual administrada.
• Obtenga el punto de conexión HTTP(S) privado del recurso al que acceder.

Recursos compatibles

Application Gateway admite cualquier recurso de destino de back-end que use el protocolo HTTP o HTTPS. Se comprueban las conexiones a los siguientes recursos desde la red virtual administrada:

• Jfrog Artifactory
• Base de datos de Snowflake
• API privadas

Configuración de Azure Application Gateway

Siga el Inicio rápido: Dirección del tráfico web usando el portal. Para configurar correctamente su Application Gateway para usarlo con Azure Machine Learning, use la siguiente guía al crear la puerta de enlace de la aplicación:

1. Desde la pestaña Datos básicos:

   • Asegúrese de que Application Gateway está en la misma región que la instancia de Azure Virtual Network seleccionada.
   • Azure AI Foundry solo admite IPv4 para Application Gateway.
   • Con su red virtual de Azure, seleccione una subred dedicada para su Application Gateway. No se puede implementar ningún otro recurso en esta subred.

2. En la pestaña front-ends, Application Gateway no admite la dirección IP de front-end privada solo para que las direcciones IP públicas deba seleccionarse o crear una nueva. Las direcciones IP privadas de los recursos a los que se conecta la puerta de enlace pueden agregarse dentro del intervalo de la subred que haya seleccionado en la pestaña Aspectos básicos.

3. Desde la pestaña Back-ends, puede agregar su destino de back-end a un grupo de back-end. Puede administrar sus destinos de back-end creando diferentes grupos de back-end. El enrutamiento de solicitudes se basa en los grupos. Puede agregar destinos de back-end, como una base de datos de Snowflake.

4. Desde la pestaña Configuración, puede configurar cómo se reciben las solicitudes con las IP del front-end y cómo se enrutan al back-end.

   • En la sección Cliente de escucha:

     • Puede crear un cliente de escucha con el protocolo HTTP o HTTPS y especificar el puerto al que desea que escuche. Si quiere que dos clientes de escucha escuchen en la misma dirección IP de front-end y migren a grupos de back-end diferentes, deberá elegir puertos distintos. Las solicitudes entrantes se diferencian en función de los puertos.
     • Si quiere un cifrado TLS de extremo a extremo, seleccione la puerta de enlace HTTPS y cargue su propio certificado para que Application Gateway descifre la solicitud recibida por la puerta de enlace. Para más información, consulte Habilitación de TLS de un extremo a otro en Azure Application Gateway.
     • Si quiere un destino de back-end totalmente privado sin ningún acceso a la red pública, NO configure un cliente de escucha en la dirección IP del front-end público y su regla de enrutamiento asociada. Application Gateway solo migra las solicitudes que los clientes de escucha reciben en el puerto específico. Si quiere evitar que se añada por error un cliente de escucha de IP pública, consulte Reglas de seguridad de red para bloquear completamente el acceso a la red pública.

   • En la sección Destinos de back-end, si desea usar el certificado del servidor HTTPS y back-end NO lo emite una entidad de certificación conocida, debe cargar el certificado raíz (. CER) del servidor back-end. Para más información sobre la configuración con un certificado raíz, consulte Configuración del cifrado TLS de un extremo a otro usando el portal.

5. Una vez creado el recurso de Application Gateway, navegue hasta el nuevo recurso de Application Gateway en Azure Portal. En Configuración, seleccione Vínculo privado para habilitar una red virtual para acceder de forma privada a la Application Gateway a través de una conexión de punto de conexión privada. La configuración de vínculo privado no se crea de manera predeterminada.

   • Seleccione + Agregar para agregar la configuración de Private Link, y después use los siguientes valores para crear la configuración:
     • Nombre: proporcione un nombre para la configuración del vínculo privado
     • Subred de vínculo privado: seleccione una subred en su red virtual.
     • Configuración de IP del front-end: appGwPrivateFrontendIpIPv4
   • Para comprobar que el vínculo privado está configurado correctamente, vaya a la pestaña Conexiones de punto de conexión privado y seleccione + Punto de conexión privado. En la pestaña Recurso, el Subrecurso de destino debe ser el nombre de su configuración privada de IP de front-end, appGwPrivateFrontendIpIPv4. Si no aparece ningún valor en el subrecurso de destino, el agente de escucha de Application Gateway no se configuró correctamente. Para más información sobre cómo configurar Private Link en Application Gateway, consulte Configuración de Private Link de Azure Application Gateway.

Configuración del vínculo privado

1. Ahora que se crean la dirección IP de front-end y los grupos de back-end de Application Gateway, ahora puede configurar el punto de conexión privado desde la red virtual administrada a Application Gateway. En Azure Portal, vaya a la pestaña Redes del centro de Azure AI Foundry. Seleccione Acceso saliente administrado por el área de trabajo, + Agregar reglas salientes definidas por el usuario.

2. En el formulario Reglas de salida del área de trabajo, seleccione lo siguiente para crear su punto de conexión privado:

   • Nombre de la regla: proporcione un nombre para su punto de conexión privado con Application Gateway.
   • Tipo de destino: punto de conexión privado.
   • Suscripción y grupo de recursos: seleccione la suscripción y el grupo de recursos donde está implementado Application Gateway
   • Tipo de recurso: Microsoft.Network/applicationGateways
   • Nombre del recurso: El nombre de su recurso Application Gateway.
   • Sub recurso: appGwPrivateFrontendIpIPv4
   • FQDNs: Estos FQDN son los alias que desea utilizar dentro del portal de Azure AI Foundry. Se resuelven en la dirección IP privada del punto de conexión privado administrado que tiene como destino Application Gateway. Puede incluir varios FQDN en función del número de recursos a los que quiera conectarse con la Application Gateway.

   Nota:

   • Si está usando un cliente de escucha HTTPS con el certificado cargado, asegúrese de que el alias de FQDN coincide con el CN (Nombre común) o SAN (nombre alternativo del firmante) del certificado, de lo contrario la llamada a HTTPS fallará con SNI (Indicación de nombre de servidor).
   • Los FQDN proporcionados deben tener al menos tres etiquetas en el nombre para crear correctamente la zona DNS privada del punto de conexión privado para Application Gateway.
   • El campo FQDN se puede editar tras la creación del punto de conexión privado a través de SDK o CLI. El campo no se puede editar en Azure Portal.
   • La asignación dinámica de nombres a los subrecursos no es compatible con la configuración de la IP privada del front-end. El nombre de IP del front-end debe ser appGwPrivateFrontendIpIPv4.

Configuración usando el SDK de Python y la CLI de Azure

Para crear un punto de conexión privado a Application Gateway con el SDK, consulte SDK de Azure para Python.

Para crear un punto de conexión privado a Application Gateway con la CLI de Azure, use el az ml workspace outbound-rule set comando. Establezca las propiedades necesarias para su configuración. Para más información, consulte Configuración de una red administrada.

Limitaciones

• Application Gateway solo es compatible con los puntos de conexión HTTP(s) del grupo de back-end. No es compatible con el tráfico de red no HTTP(s). Asegúrese de que sus recursos son compatibles con el protocolo HTTP(S).
• Para conectarse a Snowflake usando la puerta de enlace de Application Gateway, deberá agregar sus propias reglas de salida de FQDN para habilitar la descarga de paquetes y controladores y la validación de OCSP.
  • El controlador de Snowflake JDBC usa llamadas a HTTPS, pero distintos controladores pueden tener implementaciones diferentes. Compruebe si su recurso utiliza el protocolo HTTP(S) o no.
• Para más información sobre las limitaciones, consulte Preguntas frecuentes sobre Application Gateway.

Errores de Application Gateway

Para los errores relacionados con la conexión de Application Gateway a sus recursos de back-end, siga la documentación existente sobre Application Gateway en función de los errores que reciba:

• Solución de problemas de estado del back-end en Application Gateway
• Solución de errores de puerta de enlace incorrecta en el servicio Application Gateway
• Códigos de respuesta HTTP en Application Gateway
• Descripción de los agentes de escucha deshabilitados

Contenido relacionado

• Aislamiento de red virtual administrada