Compartir a través de


Procedimiento para configurar una red administrada para centros de Azure AI Foundry

Tenemos dos aspectos de aislamiento de red. Una es el aislamiento de red para acceder a un centro de Azure AI Foundry. Otro es el aislamiento de red de recursos informáticos para el centro de conectividad y el proyecto (como la instancia de proceso, el punto de conexión en línea sin servidor y administrado). En este documento se explica este último resaltado en el diagrama. Puede usar el aislamiento de red integrado del centro de conectividad para proteger los recursos informáticos.

Diagrama del aislamiento de red del centro de conectividad.

Debe configurar las siguientes configuraciones de aislamiento de red.

  • Elegir el modo de aislamiento de red. Tiene dos opciones: permitir el modo de salida de Internet o permitir solo el modo de salida aprobado.
  • Si usa la integración de Visual Studio Code con permitir solo el modo de salida aprobado, cree reglas de salida de FQDN descritas en la sección usar Visual Studio Code.
  • Si usa modelos HuggingFace en Modelos con solo permitir el modo de salida aprobado, cree reglas de salida de FQDN descritas en la sección usar modelos HuggingFace.
  • Si usa uno de los modelos de código abierto con solo permitir el modo de salida aprobado, cree reglas de salida de FQDN descritas en la sección mantenido por Azure AI.

Arquitectura de aislamiento de red y modos de aislamiento

Al habilitar el aislamiento de red virtual administrada, se crea una red virtual administrada para el centro de conectividad. Los recursos de proceso administrados que cree para el centro de conectividad usan automáticamente esta red virtual administrada. La red virtual administrada a puede usar puntos de conexión privados para los recursos de Azure que usa el centro de conectividad, como Azure Storage, Azure Key Vault y Azure Container Registry.

Hay tres modos de configuración diferentes para el tráfico saliente de la red virtual administrada:

Modo de salida Descripción Escenarios
Permitir la salida a Internet Permitir todo el tráfico saliente de Internet desde la red virtual administrada. Quiere un acceso sin restricciones a los recursos de aprendizaje automático en Internet, como paquetes de Python o modelos entrenados previamente.1
Permitir solo la salida aprobada Se permite el tráfico saliente mediante la especificación de etiquetas de servicio. * Quiere minimizar el riesgo de filtración de datos, pero debe preparar todos los artefactos de aprendizaje automático necesarios en su entorno privado.
* Quiere configurar el acceso saliente a una lista aprobada de servicios, etiquetas de servicio o FQDN.
Deshabilitado El tráfico entrante y saliente no está restringido. Quiere la entrada y salida pública desde el centro de conectividad.

1 Puede usar reglas de salida con el modo permitir solo la salida aprobada para lograr el mismo resultado que el uso de permitir la salida a Internet. Las diferencias son:

  • Use siempre puntos de conexión privados para acceder a los recursos de Azure.
  • Debe agregar reglas para cada conexión saliente que necesite permitir.
  • La adición de reglas de salida de FQDN aumenta los costes a medida que este tipo de regla usa Azure Firewall. Si usa reglas de FQDN de salida, los cargos por Azure Firewall se incluyen en la facturación. Para obtener más información, consulte el apartado Precios.
  • Las reglas predeterminadas para permitir solo la salida aprobada están diseñadas para minimizar el riesgo de filtración de datos. Las reglas de salida que agregue pueden aumentar el riesgo.

La red virtual gestionada está preconfigurada con las reglas predeterminadas necesarias. También está configurado para las conexiones de punto de conexión privado al centro de conectividad, el almacenamiento predeterminado del centro, el registro de contenedor y el almacén de claves, si están configurados como privados o el modo de aislamiento del concentrador está establecido para permitir solo la salida aprobada. Después de elegir el modo de aislamiento, solo tiene que tener en cuenta otros requisitos de salida que puede que tenga que agregar.

El siguiente diagrama muestra una red virtual administrada configurada para permitir la salida de Internet:

Diagrama del aislamiento de red virtual administrado configurado para la salida de Internet.

El siguiente diagrama muestra una red virtual administrada configurada para permitir solo salidas aprobadas:

Nota:

En esta configuración, el almacenamiento, el almacén de claves y el registro de contenedor que usa el centro de conectividad se marcan como privados. Dado que se marcan como privados, se usa un punto de conexión privado para comunicarse con ellos.

Diagrama del aislamiento de red virtual administrada configurado para permitir solo la salida aprobada.

Requisitos previos

Antes de seguir los pasos de este artículo, asegúrese de que tiene los siguientes requisitos previos:

  • Suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

  • El proveedor de recursos Microsoft.Network debe estar registrado en su suscripción de Azure. El centro de conectividad usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

    Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Registro del proveedor de recursos.

  • La identidad de Azure que se usa al implementar una red administrada requiere las siguientes acciones de control de acceso basado en roles de Azure (Azure RBAC) para crear puntos de conexión privados:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Limitaciones

  • Actualmente, Azure AI Foundry no admite la incorporación de una red virtual propia, solo admite el aislamiento de redes virtuales administradas.
  • Una vez que habilite el aislamiento de red virtual administrada de Azure AI, no podrá deshabilitarlo.
  • La red virtual administrada usa una conexión de punto de conexión privado para acceder a los recursos privados. No puede tener un punto de conexión privado y un punto de conexión de servicio al mismo tiempo para los recursos de Azure, como una cuenta de almacenamiento. Se recomienda usar puntos de conexión privados en todos los escenarios.
  • La red virtual administrada se elimina cuando se elimina Azure AI.
  • La protección de filtración de datos se habilita automáticamente para el único modo de salida aprobado. Si agrega otras reglas de salida, como A FQDN, Microsoft no puede garantizar que esté protegido contra la filtración de datos a esos destinos de salida.
  • El uso de reglas de salida de FQDN aumenta el costo de la red virtual administrada porque las reglas FQDN usan Azure Firewall. Para obtener más información, consulte el apartado Precios.
  • Las reglas de salida de FQDN solo admiten los puertos 80 y 443.
  • Al usar una instancia de proceso con una red administrada, use el comando az ml compute connect-ssh para conectarse al proceso mediante SSH.
  • Si la red administrada está configurada para permitir solo la salida aprobada, no puede usar una regla de FQDN para acceder a las cuentas de Azure Storage. En su lugar, debe usar un punto de conexión privado.

Configuración de una red virtual gestionada para permitir la salida a Internet

Sugerencia

La creación de la red virtual administrada se aplaza hasta que se cree un recurso de proceso o se inicie manualmente el aprovisionamiento. Al permitir la creación automática, puede tardar aproximadamente 30 minutos en crear el primer recurso de proceso, ya que también está aprovisionando la red.

  • Crear un nuevo centro de conectividad:

    1. Inicie sesión en Azure Portal y elija Azure AI Foundry en el menú Crear un recurso.

    2. Seleccione + Nueva Azure AI.

    3. Proporcione la información necesaria en la pestaña Aspectos básicos.

    4. En la pestaña Redes, seleccione Privado con Salida a Internet.

    5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral reglas de salida, proporcione la siguiente información:

      • Nombre de la regla: un nombre para la regla. El nombre debe ser único para este centro de conectividad.
      • Tipo de destino: el punto de conexión privado es la única opción cuando el aislamiento de red es privado con salida a Internet. La red virtual administrada por el centro de conectividad no admite la creación de un punto de conexión privado en todos los tipos de recursos de Azure. Para obtener una lista de recursos compatibles, consulte la sección Puntos de conexión privados.
      • Suscripción: la suscripción que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Grupo de recursos: el grupo de recursos que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Tipo de recurso: el tipo de recurso de Azure.
      • Nombre del recurso: el nombre del recurso de Azure.
      • Subrecurso: el subrecurso del tipo de recurso de Azure.

      Para guardar la regla, elija Guardar. Puede continuar usando Agregar reglas de salida definidas por el usuario para agregar reglas.

    6. Siga creando el centro de conectividad de la forma normal.

  • Actualizar un centro de conectividad existente:

    1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.

    2. Seleccione Redes y luego Privado con Salida a Internet.

      • Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, proporcione la misma información que usó al crear un centro de conectividad en la sección "Crear un nuevo centro de conectividad".

      • Para eliminar una regla de salida, seleccione eliminar en la regla.

    3. Seleccione Guardar en la parte superior de la página para guardar los cambios en la red virtual administrada.

Configuración de una red virtual gestionada para permitir solo la salida aprobada

Sugerencia

La red virtual administrada se aprovisiona automáticamente al crear un recurso de proceso. Al permitir la creación automática, puede tardar aproximadamente 30 minutos en crear el primer recurso de proceso, ya que también está aprovisionando la red. Si configuró reglas de salida de FQDN, la primera regla de FQDN agrega aproximadamente 10 minutos al tiempo de aprovisionamiento.

  • Crear un nuevo centro de conectividad:

    1. Inicie sesión en Azure Portal y elija Azure AI Foundry en el menú Crear un recurso.

    2. Seleccione + Nueva Azure AI.

    3. Proporcione la información necesaria en la pestaña Aspectos básicos.

    4. En la pestaña Redes, seleccione Privado con Salida a Internet.

    5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral reglas de salida, proporcione la siguiente información:

      • Nombre de la regla: un nombre para la regla. El nombre debe ser único para este centro de conectividad.
      • Tipo de destino: punto de conexión privado, etiqueta de servicio o FQDN. La etiqueta de servicio y el FQDN solo están disponibles cuando el aislamiento de red es privado con salida aprobada.

      Si el tipo de destino es Punto de conexión privado, proporcione la siguiente información:

      • Suscripción: la suscripción que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Grupo de recursos: el grupo de recursos que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
      • Tipo de recurso: el tipo de recurso de Azure.
      • Nombre del recurso: el nombre del recurso de Azure.
      • Subrecurso: el subrecurso del tipo de recurso de Azure.

      Sugerencia

      La red virtual administrada del centro de conectividad no admite la creación de un punto de conexión privado en todos los tipos de recursos de Azure. Para obtener una lista de recursos compatibles, consulte la sección Puntos de conexión privados.

      Si el tipo de destino es Etiqueta de servicio, proporcione la siguiente información:

      • Etiqueta de servicio: la etiqueta de servicio que se va a agregar a las reglas de salida aprobadas.
      • Protocolo: protocolo que se va a permitir para la etiqueta de servicio.
      • Intervalos de puertos: los intervalos de puertos que se van a permitir para la etiqueta de servicio.

      Si el tipo de destino es FQDN, proporcione la siguiente información:

      • Destino de FQDN: nombre de dominio completo que se va a agregar a las reglas de salida aprobadas.

      Para guardar la regla, elija Guardar. Puede continuar usando Agregar reglas de salida definidas por el usuario para agregar reglas.

    6. Siga creando el centro de conectividad de la forma normal.

  • Actualizar un centro de conectividad existente:

    1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.

    2. Seleccione Redes y luego Privado con Salida aprobada.

      • Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, proporcione la misma información que al crear un centro de conectividad en la sección anterior "Crear un nuevo centro de conectividad".

      • Para eliminar una regla de salida, seleccione eliminar en la regla.

    3. Seleccione Guardar en la parte superior de la página para guardar los cambios en la red virtual administrada.

Aprovisionamiento manual de una red virtual administrada

La red virtual administrada se aprovisiona automáticamente al crear una instancia de proceso. Al confiar en el aprovisionamiento automático, puede tardar aproximadamente 30 minutos en crear la primera instancia de proceso, ya que también aprovisiona la red. Si configuró reglas de salida de FQDN (solo disponibles con el modo aprobado solo permitido), la primera regla FQDN agrega alrededor de 10 minutos al tiempo de aprovisionamiento. Si tiene un gran conjunto de reglas de salida que se van a aprovisionar en la red administrada, puede tardar más tiempo en completarse el aprovisionamiento. Un mayor tiempo de aprovisionamiento puede hacer que se agote el tiempo de espera de la creación de la primera instancia de proceso.

Para reducir el tiempo de espera y evitar posibles errores de tiempo de espera, se recomienda aprovisionar manualmente la red administrada. A continuación, espere hasta que finalice el aprovisionamiento antes de crear una instancia de proceso.

Como alternativa, puede usar la marca provision_network_now para aprovisionar la red administrada como parte de la creación del centro de conectividad. Esta marca está en versión preliminar.

Nota:

Para crear una implementación en línea, debe aprovisionar manualmente la red administrada o crear primero una instancia de proceso que la aprovisionará automáticamente.

Durante la creación del centro, seleccione Aprovisionar red administrada de forma proactiva al crear para aprovisionar la red administrada. Los cargos se incurren en recursos de red, como puntos de conexión privados, una vez que se aprovisiona la red virtual. Esta opción de configuración solo está disponible durante la creación del área de trabajo y está en versión preliminar.

Administración de reglas de salida

  1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.
  2. Seleccionar Redes. La sección Acceso de salida de Azure AI permite administrar las reglas de salida.
  • Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral reglas de salida de Azure AI, proporcione la siguiente información:

  • Para habilitar o deshabilitar una regla, use el botón de alternancia en la columna Activa.

  • Para eliminar una regla de salida, seleccione eliminar en la regla.

Lista de reglas necesarias

Sugerencia

Estas reglas se agregan automáticamente a la red virtual gestionada.

Puntos de conexión privados:

  • Cuando el modo de aislamiento de la red virtual administrada es Allow internet outbound, las reglas de salida del punto de conexión privado se crean automáticamente según las reglas necesarias de la red virtual administrada para el centro de conectividad y los recursos asociados con el acceso a la red pública deshabilitado (Key Vault, cuenta de almacenamiento, registro de contenedor, centro de conectividad).
  • Cuando el modo de aislamiento de la red virtual administrada es Allow only approved outbound, las reglas de salida del punto de conexión privado se crean automáticamente según las reglas necesarias de la red virtual administrada para el centro de conectividad y los recursos asociados independientemente del modo de acceso a la red pública para esos recursos (Key Vault, Cuenta de almacenamiento, Registro de contenedor, centro de conectividad).

Reglas de etiqueta de servicio de Salida:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Reglas de etiqueta de servicio de Entrada:

  • AzureMachineLearning

Lista de reglas de salida específicas del escenario

Escenario: acceso a paquetes de aprendizaje automático públicos

Para permitir la instalación de paquetes de Python para el entrenamiento y la implementación, agregue reglas de FQDN de salida para permitir el tráfico hacia los siguientes nombres de host:

Nota:

Esta no es una lista completa de los hosts necesarios para todos los recursos de Python en Internet, solo el que se usa con más frecuencia. Por ejemplo, si necesita acceder a un repositorio de GitHub o a otro host, debe identificar y agregar los hosts necesarios para ese escenario.

Nombre de host Propósito
anaconda.com
*.anaconda.com
Se usa para instalar paquetes predeterminados.
*.anaconda.org Se usa para obtener datos del repositorio.
pypi.org Se usa para enumerar las dependencias del índice predeterminado, si hay alguna, y el índice no se sobrescribe con la configuración del usuario. Si el índice se sobrescribe, también debe permitir *.pythonhosted.org.
pytorch.org
*.pytorch.org
Se usa en algunos ejemplos basados en PyTorch.
*.tensorflow.org Se usa en algunos ejemplos basados en TensorFlow.

Escenario: Usar Visual Studio Code

Visual Studio Code depende de hosts y puertos específicos para establecer una conexión remota.

Hosts

Si tiene previsto usar Visual Studio Code con el centro de conectividad, agregue reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Puertos

Debe permitir el tráfico de red a los puertos 8704 a 8710. El servidor de VS Code selecciona dinámicamente el primer puerto disponible dentro de este intervalo.

Escenario: Usar modelos de HuggingFace

Si tiene previsto usar modelos de HuggingFace con el centro de conectividad, agregue reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Escenario: mantenido por Azure AI

Estos modelos implican la instalación dinámica de dependencias en runtime y vuelven a adquirir reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Puntos de conexión privados

Actualmente, los puntos de conexión privados se admiten para los siguientes servicios de Azure:

  • Centro de Azure AI Foundry
  • Azure AI Search
  • Servicios de Azure AI
  • Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (todos los tipos de subrecursos)
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Azure Database for PostgreSQL con la opción Servidor único
  • Servidor flexible de Azure Database for PostgreSQL
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Registros de Azure Machine Learning
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (todos los tipos de subrecursos)

Cuando se crea un punto de conexión privado, se proporciona el tipo de recurso y el subrecurso al que se conecta el punto de conexión. Algunos recursos tienen varios tipos y subrecursos. Para más información, consulte ¿Qué es un punto de conexión privado?

Al crear un punto de conexión privado para los recursos de dependencia del centro de conectividad, como Azure Storage, Azure Container Registry y Azure Key Vault, el recurso puede estar en otra suscripción de Azure. Sin embargo, el recurso debe estar en el mismo inquilino que el centro de conectividad.

Se crea automáticamente un punto de conexión privado para una conexión si el recurso de destino es un recurso de Azure enumerado anteriormente. Se espera un id. de destino válido para el punto de conexión privado. Un identificador de destino válido para la conexión puede ser el identificador de Azure Resource Manager de un recurso primario. También se espera el id. de destino en el destino de la conexión o en metadata.resourceid. Para obtener más información sobre las conexiones, vea Procedimiento para agregar una nueva conexión en el portal de Azure AI Foundry.

Selección de una versión de Azure Firewall solo para la salida aprobada (versión preliminar)

Azure Firewall se implementa si se crea una regla de salida de FQDN mientras está en el modo Permitir solo salida aprobada. Los cargos de Azure Firewall se incluyen en la facturación. De forma predeterminada, se crea una versión Estándar de Azure Firewall. Opcionalmente, puede seleccionar usar una versión Básica. Puede cambiar la versión del firewall que se usa según sea necesario. Para averiguar qué versión es mejor para usted, consulte Elección de la versión correcta de Azure Firewall.

Importante

El firewall no se crea hasta que se agrega una regla de FQDN de salida. Para más información acerca de los precios, consulte Precios de Azure Firewall y visualización de los precios de la versión estándar.

Use las pestañas siguientes para aprender a seleccionar la versión del firewall para la red virtual administrada.

Después de seleccionar el modo Permitir solo salida aprobada, aparece una opción para seleccionar la versión (SKU) de Azure Firewall. Seleccione Estándar para usar la versión estándar o Básico para usar la versión básica. Seleccione Guardar para guardar la configuración.

Precios

La característica de red virtual administrada por el centro de conectividad es gratuita. Sin embargo, se le cobrarán los siguientes recursos que usa la red virtual administrada:

  • Azure Private Link: los puntos de conexión privados que se usan para proteger las comunicaciones entre la red virtual administrada y los recursos de Azure se basan en Azure Private Link. Para obtener más información sobre los precios, vea Precios de Azure Private Link.

  • Reglas de salida de FQDN: las reglas de salida de FQDN se implementan mediante Azure Firewall. Si usa reglas de FQDN de salida, los cargos por Azure Firewall se incluyen en la facturación. De forma predeterminada, se usa una versión estándar de Azure Firewall. Para obtener información sobre cómo seleccionar la versión básica, consulte Selección de una versión de Azure Firewall. Azure Firewall se aprovisiona por centro de conectividad.

    Importante

    El firewall no se crea hasta que se agrega una regla de FQDN de salida. Si no usa reglas de FQDN, no se le cobrará por Azure Firewall. Para obtener más información sobre los precios, vea Precios de Azure Firewall.