Compartir a través de


Cómo configurar una red administrada para centros de Inteligencia artificial de Azure Studio

Importante

Algunas de las características descritas en este artículo solo pueden estar disponibles en versión preliminar. Esta versión preliminar se ofrece sin acuerdo de nivel de servicio y no se recomienda para las cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Tenemos dos aspectos de aislamiento de red. Una es el aislamiento de red para acceder a un centro de Inteligencia artificial de Azure Studio. Otro es el aislamiento de red de recursos informáticos para el centro de conectividad y el proyecto (como la instancia de proceso, el punto de conexión en línea sin servidor y administrado). En este documento se explica este último resaltado en el diagrama. Puede usar el aislamiento de red integrado del centro de conectividad para proteger los recursos informáticos.

Diagrama del aislamiento de red del centro de conectividad.

Debe configurar las siguientes configuraciones de aislamiento de red.

  • Elegir el modo de aislamiento de red. Tiene dos opciones: permitir el modo de salida de Internet o permitir solo el modo de salida aprobado.
  • Si usa la integración de Visual Studio Code con permitir solo el modo de salida aprobado, cree reglas de salida de FQDN descritas en la sección usar Visual Studio Code.
  • Si usa modelos HuggingFace en Modelos con solo permitir el modo de salida aprobado, cree reglas de salida de FQDN descritas en la sección usar modelos HuggingFace.
  • Si usa uno de los modelos de código abierto con solo permitir el modo de salida aprobado, cree reglas de salida de FQDN descritas en la sección mantenido por Azure AI.

Arquitectura de aislamiento de red y modos de aislamiento

Al habilitar el aislamiento de red virtual administrada, se crea una red virtual administrada para el centro de conectividad. Los recursos de proceso administrados que cree para el centro de conectividad usan automáticamente esta red virtual administrada. La red virtual administrada a puede usar puntos de conexión privados para los recursos de Azure que usa el centro de conectividad, como Azure Storage, Azure Key Vault y Azure Container Registry.

Hay tres modos de configuración diferentes para el tráfico saliente de la red virtual administrada:

Modo de salida Descripción Escenarios
Permitir la salida a Internet Permitir todo el tráfico saliente de Internet desde la red virtual administrada. Quiere un acceso sin restricciones a los recursos de aprendizaje automático en Internet, como paquetes de Python o modelos entrenados previamente.1
Permitir solo la salida aprobada Se permite el tráfico saliente mediante la especificación de etiquetas de servicio. * Quiere minimizar el riesgo de filtración de datos, pero debe preparar todos los artefactos de aprendizaje automático necesarios en su entorno privado.
* Quiere configurar el acceso saliente a una lista aprobada de servicios, etiquetas de servicio o FQDN.
Deshabilitado El tráfico entrante y saliente no está restringido. Quiere la entrada y salida pública desde el centro de conectividad.

1 Puede usar reglas de salida con el modo permitir solo la salida aprobada para lograr el mismo resultado que el uso de permitir la salida a Internet. Las diferencias son:

  • Use siempre puntos de conexión privados para acceder a los recursos de Azure.
  • Debe agregar reglas para cada conexión saliente que necesite permitir.
  • La adición de reglas de salida de FQDN aumenta los costes a medida que este tipo de regla usa Azure Firewall. Si usa reglas de FQDN de salida, los cargos por Azure Firewall se incluyen en la facturación. Para obtener más información, consulte el apartado Precios.
  • Las reglas predeterminadas para permitir solo la salida aprobada están diseñadas para minimizar el riesgo de filtración de datos. Las reglas de salida que agregue pueden aumentar el riesgo.

La red virtual gestionada está preconfigurada con las reglas predeterminadas necesarias. También está configurado para las conexiones de punto de conexión privado al centro de conectividad, el almacenamiento predeterminado del centro, el registro de contenedor y el almacén de claves, si están configurados como privados o el modo de aislamiento del concentrador está establecido para permitir solo la salida aprobada. Después de elegir el modo de aislamiento, solo tiene que tener en cuenta otros requisitos de salida que puede que tenga que agregar.

El siguiente diagrama muestra una red virtual administrada configurada para permitir la salida de Internet:

Diagrama del aislamiento de red virtual administrado configurado para la salida de Internet.

El siguiente diagrama muestra una red virtual administrada configurada para permitir solo salidas aprobadas:

Nota:

En esta configuración, el almacenamiento, el almacén de claves y el registro de contenedor que usa el centro de conectividad se marcan como privados. Dado que se marcan como privados, se usa un punto de conexión privado para comunicarse con ellos.

Diagrama del aislamiento de red virtual administrada configurado para permitir solo la salida aprobada.

Requisitos previos

Antes de seguir los pasos de este artículo, asegúrese de que tiene los siguientes requisitos previos:

  • Suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

  • El proveedor de recursos Microsoft.Network debe estar registrado en su suscripción de Azure. El centro de conectividad usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

    Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Registro del proveedor de recursos.

  • La identidad de Azure que se usa al implementar una red administrada requiere las siguientes acciones de control de acceso basado en roles de Azure (Azure RBAC) para crear puntos de conexión privados:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Limitaciones

  • Actualmente, Inteligencia artificial de Azure Studio no admite la incorporación de su propia red virtual, solo admite el aislamiento de red virtual administrado.
  • Una vez que habilite el aislamiento de red virtual administrada de Azure AI, no podrá deshabilitarlo.
  • La red virtual administrada usa una conexión de punto de conexión privado para acceder a los recursos privados. No puede tener un punto de conexión privado y un punto de conexión de servicio al mismo tiempo para los recursos de Azure, como una cuenta de almacenamiento. Se recomienda usar puntos de conexión privados en todos los escenarios.
  • La red virtual administrada se elimina cuando se elimina Azure AI.
  • La protección de filtración de datos se habilita automáticamente para el único modo de salida aprobado. Si agrega otras reglas de salida, como A FQDN, Microsoft no puede garantizar que esté protegido contra la filtración de datos a esos destinos de salida.
  • El uso de reglas de salida de FQDN aumenta el costo de la red virtual administrada porque las reglas FQDN usan Azure Firewall. Para obtener más información, consulte el apartado Precios.
  • Las reglas de salida de FQDN solo admiten los puertos 80 y 443.
  • Al usar una instancia de proceso con una red administrada, use el comando az ml compute connect-ssh para conectarse al proceso mediante SSH.

Configuración de una red virtual gestionada para permitir la salida a Internet

Sugerencia

La creación de la red virtual administrada se aplaza hasta que se cree un recurso de proceso o se inicie manualmente el aprovisionamiento. Al permitir la creación automática, puede tardar aproximadamente 30 minutos en crear el primer recurso de proceso, ya que también está aprovisionando la red.

  • Crear un nuevo centro de conectividad:

    1. Inicie sesión en Azure Portal y elija Inteligencia artificial de Azure Studio en el menú Crear un recurso.

    2. Seleccione + Nueva Azure AI.

    3. Proporcione la información necesaria en la pestaña Aspectos básicos.

    4. En la pestaña Redes, seleccione Privado con Salida a Internet.

    5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral reglas de salida, proporcione la siguiente información:

      • Nombre de la regla: un nombre para la regla. El nombre debe ser único para este centro de conectividad.
      • Tipo de destino: el punto de conexión privado es la única opción cuando el aislamiento de red es privado con salida a Internet. La red virtual administrada por el centro de conectividad no admite la creación de un punto de conexión privado en todos los tipos de recursos de Azure. Para obtener una lista de recursos compatibles, consulte la sección Puntos de conexión privados.
      • Suscripción: la suscripción que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Grupo de recursos: el grupo de recursos que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Tipo de recurso: el tipo de recurso de Azure.
      • Nombre del recurso: el nombre del recurso de Azure.
      • Subrecurso: el subrecurso del tipo de recurso de Azure.

      Para guardar la regla, elija Guardar. Puede continuar usando Agregar reglas de salida definidas por el usuario para agregar reglas.

    6. Siga creando el centro de conectividad de la forma normal.

  • Actualizar un centro de conectividad existente:

    1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.

    2. Seleccione Redes y luego Privado con Salida a Internet.

      • Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, proporcione la misma información que usó al crear un centro de conectividad en la sección "Crear un nuevo centro de conectividad".

      • Para eliminar una regla de salida, seleccione eliminar en la regla.

    3. Seleccione Guardar en la parte superior de la página para guardar los cambios en la red virtual administrada.

Configuración de una red virtual gestionada para permitir solo la salida aprobada

Sugerencia

La red virtual administrada se aprovisiona automáticamente al crear un recurso de proceso. Al permitir la creación automática, puede tardar aproximadamente 30 minutos en crear el primer recurso de proceso, ya que también está aprovisionando la red. Si configuró reglas de salida de FQDN, la primera regla de FQDN agrega aproximadamente 10 minutos al tiempo de aprovisionamiento.

  • Crear un nuevo centro de conectividad:

    1. Inicie sesión en Azure Portal y elija Inteligencia artificial de Azure Studio en el menú Crear un recurso.

    2. Seleccione + Nueva Azure AI.

    3. Proporcione la información necesaria en la pestaña Aspectos básicos.

    4. En la pestaña Redes, seleccione Privado con Salida a Internet.

    5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral reglas de salida, proporcione la siguiente información:

      • Nombre de la regla: un nombre para la regla. El nombre debe ser único para este centro de conectividad.
      • Tipo de destino: punto de conexión privado, etiqueta de servicio o FQDN. La etiqueta de servicio y el FQDN solo están disponibles cuando el aislamiento de red es privado con salida aprobada.

      Si el tipo de destino es Punto de conexión privado, proporcione la siguiente información:

      • Suscripción: la suscripción que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Grupo de recursos: el grupo de recursos que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Tipo de recurso: el tipo de recurso de Azure.
      • Nombre del recurso: el nombre del recurso de Azure.
      • Subrecurso: el subrecurso del tipo de recurso de Azure.

      Sugerencia

      La red virtual administrada del centro de conectividad no admite la creación de un punto de conexión privado en todos los tipos de recursos de Azure. Para obtener una lista de recursos compatibles, consulte la sección Puntos de conexión privados.

      Si el tipo de destino es Etiqueta de servicio, proporcione la siguiente información:

      • Etiqueta de servicio: la etiqueta de servicio que se va a agregar a las reglas de salida aprobadas.
      • Protocolo: protocolo que se va a permitir para la etiqueta de servicio.
      • Intervalos de puertos: los intervalos de puertos que se van a permitir para la etiqueta de servicio.

      Si el tipo de destino es FQDN, proporcione la siguiente información:

      • Destino de FQDN: nombre de dominio completo que se va a agregar a las reglas de salida aprobadas.

      Para guardar la regla, elija Guardar. Puede continuar usando Agregar reglas de salida definidas por el usuario para agregar reglas.

    6. Siga creando el centro de conectividad de la forma normal.

  • Actualizar un centro de conectividad existente:

    1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.

    2. Seleccione Redes y luego Privado con Salida aprobada.

      • Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, proporcione la misma información que al crear un centro de conectividad en la sección anterior "Crear un nuevo centro de conectividad".

      • Para eliminar una regla de salida, seleccione eliminar en la regla.

    3. Seleccione Guardar en la parte superior de la página para guardar los cambios en la red virtual administrada.

Aprovisionamiento manual de una red virtual administrada

La red virtual administrada se aprovisiona automáticamente al crear una instancia de proceso. Al confiar en el aprovisionamiento automático, puede tardar aproximadamente 30 minutos en crear la primera instancia de proceso, ya que también aprovisiona la red. Si configuró reglas de salida de FQDN (solo disponibles con el modo aprobado solo permitido), la primera regla FQDN agrega alrededor de 10 minutos al tiempo de aprovisionamiento. Si tiene un gran conjunto de reglas de salida que se van a aprovisionar en la red administrada, puede tardar más tiempo en completarse el aprovisionamiento. Un mayor tiempo de aprovisionamiento puede hacer que se agote el tiempo de espera de la creación de la primera instancia de proceso.

Para reducir el tiempo de espera y evitar posibles errores de tiempo de espera, se recomienda aprovisionar manualmente la red administrada. A continuación, espere hasta que finalice el aprovisionamiento antes de crear una instancia de proceso.

Nota:

Para crear una implementación en línea, debe aprovisionar manualmente la red administrada o crear primero una instancia de proceso que la aprovisionará automáticamente.

Use las pestañas de la CLI de Azure o del SDK de Python para aprender a aprovisionar manualmente la red virtual administrada.

Administración de reglas de salida

  1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.
  2. Seleccionar Redes. La sección Acceso de salida de Azure AI permite administrar las reglas de salida.
  • Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral reglas de salida de Azure AI, proporcione la siguiente información:

  • Para habilitar o deshabilitar una regla, use el botón de alternancia en la columna Activa.

  • Para eliminar una regla de salida, seleccione eliminar en la regla.

Lista de reglas necesarias

Sugerencia

Estas reglas se agregan automáticamente a la red virtual gestionada.

Puntos de conexión privados:

  • Cuando el modo de aislamiento de la red virtual administrada es Allow internet outbound, las reglas de salida del punto de conexión privado se crean automáticamente según las reglas necesarias de la red virtual administrada para el centro de conectividad y los recursos asociados con el acceso a la red pública deshabilitado (Key Vault, cuenta de almacenamiento, registro de contenedor, centro de conectividad).
  • Cuando el modo de aislamiento de la red virtual administrada es Allow only approved outbound, las reglas de salida del punto de conexión privado se crean automáticamente según las reglas necesarias de la red virtual administrada para el centro de conectividad y los recursos asociados independientemente del modo de acceso a la red pública para esos recursos (Key Vault, Cuenta de almacenamiento, Registro de contenedor, centro de conectividad).

Reglas de etiqueta de servicio de Salida:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Reglas de etiqueta de servicio de Entrada:

  • AzureMachineLearning

Lista de reglas de salida específicas del escenario

Escenario: acceso a paquetes de aprendizaje automático públicos

Para permitir la instalación de paquetes de Python para el entrenamiento y la implementación, agregue reglas de FQDN de salida para permitir el tráfico hacia los siguientes nombres de host:

Nota:

Esta no es una lista completa de los hosts necesarios para todos los recursos de Python en Internet, solo el que se usa con más frecuencia. Por ejemplo, si necesita acceder a un repositorio de GitHub o a otro host, debe identificar y agregar los hosts necesarios para ese escenario.

Nombre de host Propósito
anaconda.com
*.anaconda.com
Se usa para instalar paquetes predeterminados.
*.anaconda.org Se usa para obtener datos del repositorio.
pypi.org Se usa para enumerar las dependencias del índice predeterminado, si hay alguna, y el índice no se sobrescribe con la configuración del usuario. Si el índice se sobrescribe, también debe permitir *.pythonhosted.org.
pytorch.org
*.pytorch.org
Se usa en algunos ejemplos basados en PyTorch.
*.tensorflow.org Se usa en algunos ejemplos basados en TensorFlow.

Escenario: Usar Visual Studio Code

Visual Studio Code depende de hosts y puertos específicos para establecer una conexión remota.

Hosts

Si tiene previsto usar Visual Studio Code con el centro de conectividad, agregue reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Puertos

Debe permitir el tráfico de red a los puertos 8704 a 8710. El servidor de VS Code selecciona dinámicamente el primer puerto disponible dentro de este intervalo.

Escenario: Usar modelos de HuggingFace

Si tiene previsto usar modelos de HuggingFace con el centro de conectividad, agregue reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Escenario: mantenido por Azure AI

Estos modelos implican la instalación dinámica de dependencias en runtime y vuelven a adquirir reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Puntos de conexión privados

Actualmente, los puntos de conexión privados se admiten para los siguientes servicios de Azure:

  • Centro de conectividad de IA Studio
  • Azure AI Search
  • Servicios de Azure AI
  • Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (todos los tipos de subrecursos)
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Azure Database for PostgreSQL con la opción Servidor único
  • Servidor flexible de Azure Database for PostgreSQL
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Registros de Azure Machine Learning
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (todos los tipos de subrecursos)

Cuando se crea un punto de conexión privado, se proporciona el tipo de recurso y el subrecurso al que se conecta el punto de conexión. Algunos recursos tienen varios tipos y subrecursos. Para más información, consulte ¿Qué es un punto de conexión privado?

Al crear un punto de conexión privado para los recursos de dependencia del centro de conectividad, como Azure Storage, Azure Container Registry y Azure Key Vault, el recurso puede estar en otra suscripción de Azure. Sin embargo, el recurso debe estar en el mismo inquilino que el centro de conectividad.

Se crea automáticamente un punto de conexión privado para una conexión si el recurso de destino es un recurso de Azure enumerado anteriormente. Se espera un id. de destino válido para el punto de conexión privado. Un identificador de destino válido para la conexión puede ser el identificador de Azure Resource Manager de un recurso primario. También se espera el id. de destino en el destino de la conexión o en metadata.resourceid. Para obtener más información sobre las conexiones, vea Cómo agregar una nueva conexión en Inteligencia artificial de Azure Studio.

Precios

La característica de red virtual administrada por el centro de conectividad es gratuita. Sin embargo, se le cobrarán los siguientes recursos que usa la red virtual administrada:

  • Azure Private Link: los puntos de conexión privados que se usan para proteger las comunicaciones entre la red virtual administrada y los recursos de Azure se basan en Azure Private Link. Para obtener más información sobre los precios, vea Precios de Azure Private Link.

  • Reglas de salida de FQDN: las reglas de salida de FQDN se implementan mediante Azure Firewall. Si usa reglas de FQDN de salida, los cargos por Azure Firewall se incluyen en la facturación. La SKU de Azure Firewall es estándar. Azure Firewall se aprovisiona por centro de conectividad.

    Importante

    El firewall no se crea hasta que se agrega una regla de FQDN de salida. Si no usa reglas de FQDN, no se le cobrará por Azure Firewall. Para obtener más información sobre los precios, vea Precios de Azure Firewall.