Procedimiento para configurar un vínculo privado para centros de Azure AI Foundry

Tenemos dos aspectos de aislamiento de red. Una es el aislamiento de red para acceder a un centro de Azure AI Foundry. Otra es el aislamiento en red de los recursos informáticos en su centro y proyectos, como instancias de computación, sin servidor y puntos de conexión en línea administrados. En este artículo se explica el anterior resaltado en el diagrama. Puedes utilizar el vínculo privado para establecer la conexión privada con el centro y sus recursos predeterminados. Este artículo es para Azure AI Foundry (centro y proyectos). Para obtener información sobre los servicios Azure AI, consulte la documentación de los servicios Azure AI.

En su grupo de recursos obtendrá varios recursos del centro de forma predeterminada. Debe configurar las siguientes configuraciones de aislamiento de red.

• Deshabilite el acceso a la red pública de los recursos predeterminados del centro, como Azure Storage, Azure Key Vault y Azure Container Registry.
• Establecer conexión de punto de conexión privado a los recursos predeterminados del centro. Debe tener un punto de conexión privado de blobs y archivos para la cuenta de almacenamiento predeterminada.
• Si la cuenta de almacenamiento es privada, asigne roles para permitir el acceso.

Requisitos previos

• Debe tener una instancia de Azure Virtual Network existente para crear el punto de conexión privado en.

  Importante

  No se recomienda usar el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este es el intervalo de subred predeterminado que usa la red del puente de Docker o el entorno local.

• Deshabilitar las directivas de red para los puntos de conexión privados antes de agregar el punto de conexión privado.

Crear un centro que utilice un punto de conexión privado

Utilice uno de los siguientes métodos para crear un centro con un punto de conexión privado. Cada uno de estos métodos requiere una red virtual existente:

Azure Portal

1. Desde Azure Portal, vaya a Azure AI Foundry y elija + Nuevo Azure AI.
2. Elija el modo de aislamiento de red en la pestaña Redes.
3. Desplácese hacia abajo hasta Acceso entrante del área de trabajo y elija + Agregar.
4. Introduzca los campos obligatorios. Al seleccionar la Región, seleccione la misma región que la red virtual.

CLI de Azure

Una vez creado el concentrador, utilice los comandos de la CLI de redes de Azure para crear un punto de conexión privado para el centro.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para crear las entradas de la zona DNS privada para el área de trabajo, use los siguientes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Agregar un punto de conexión privado a un centro

Utilice uno de los siguientes métodos para agregar un punto de conexión privado a un centro existente:

Azure Portal

1. En el Azure portal, seleccione su centro.
2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Conexiones de punto de conexión privado.
3. Al seleccionar la Región, seleccione la misma región que la red virtual.
4. Al seleccionar Tipo de recurso, use azuremlworkspace.
5. Establezca Recurso en el nombre del área de trabajo.

Por último, seleccione Crear para crear el punto de conexión privado.

CLI de Azure

Utilice los comandos CLI de red de Azure para crear un punto de conexión privado para el centro.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para crear las entradas de la zona DNS privada para el área de trabajo, use los siguientes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Eliminación de un punto de conexión privado

Puede eliminar uno o todos los puntos de conexión privados de un centro. Al eliminar un punto de conexión privado, se elimina el centro de la red virtual de Azure a la que estaba asociado el punto de conexión. La eliminación del punto de conexión privado puede impedir que el centro acceda a los recursos de esa red virtual, o que los recursos de la red virtual accedan al área de trabajo. Por ejemplo, si la red virtual no permite el acceso a o desde la red pública de Internet.

Advertencia

Eliminar los puntos de conexión privados de un centro no lo convierte en accesible al público. Para que el centro sea accesible al público, siga los pasos indicados en la sección Habilitar el acceso público.

Para quitar un punto de conexión privado, use la siguiente información:

Azure Portal

1. En el Azure portal, seleccione su centro.
2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Conexiones de punto de conexión privado.
3. Seleccione el punto de conexión que quiere quitar y, a continuación, seleccione Quitar.

CLI de Azure

Al usar CLI de Azure, introduzca el siguiente comando para quitar el punto de conexión privado:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Habilitación del acceso público

En algunas situaciones, es posible que desee permitir que alguien se conecte a su centro seguro a través de un punto de conexión público, en lugar de a través de la red virtual. O bien, es posible que quiera quitar el área de trabajo de la red virtual y volver a habilitar el acceso público.

Importante

La habilitación del acceso público no quita ningún punto de conexión privado que exista. Todas las comunicaciones entre los componentes detrás de la red virtual a la que se conectan los puntos de conexión privados siguen estando protegidos. Permite el acceso público solo al centro, además del acceso privado a través de cualquier punto de conexión privado.

Para habilitar el acceso público, siga estos pasos:

Azure Portal

1. En el Azure portal, seleccione su centro.
2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Acceso público.
3. Seleccione Habilitado en todas las redes y, a continuación, seleccione Guardar.

CLI de Azure

Utilice el siguiente comando de la CLI de Azure para habilitar el acceso público:

az ml workspace update --set public_network_access=Enabled -n <workspace-name> -g <resource-group-name>

Si recibe un error que indica que no se encuentra el comando ml, utilice los siguientes comandos para instalar la extensión Azure Machine Learning CLI:

az extension add --name ml

Configuración del almacenamiento privado

Si la cuenta de almacenamiento es privada (usa un punto de conexión privado para comunicarse con el proyecto), siga estos pasos:

1. Nuestros servicios necesitan leer y escribir datos en su cuenta de almacenamiento privada mediante Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento con las siguientes configuraciones de identidad administrada. Habilite la identidad administrada asignada por el sistema del Servicio de Azure AI y Búsqueda de Azure AI y, a continuación, configure el control de acceso basado en rol para cada identidad administrada.

   Role	Identidad administrada	Resource	Fin	Referencia
   Reader	Proyecto de Azure AI Foundry	Punto de conexión privado de la cuenta de almacenamiento	Lea datos desde la cuenta de almacenamiento privado.
   Storage File Data Privileged Contributor	Proyecto de Azure AI Foundry	Cuenta de almacenamiento	Datos de flujo de mensajes de lectura y escritura.	Documentación de flujo de avisos
   Storage Blob Data Contributor	Servicio de Azure AI	Cuenta de almacenamiento	Lectura del contenedor de entrada, escritura para procesar previamente el resultado en el contenedor de salida.	Documentación de Azure OpenAI
   Storage Blob Data Contributor	Azure AI Search	Cuenta de almacenamiento	Lectura de blobs y escritura del almacén de conocimiento	Documento de búsqueda.

   Sugerencia

   La cuenta de almacenamiento puede tener varios puntos de conexión privados. Debe asignar el rol Reader a cada punto de conexión privado.

2. Asigne el rol Storage Blob Data reader a los desarrolladores. Este rol les permite leer datos de la cuenta de almacenamiento.

3. Compruebe que la conexión del proyecto a la cuenta de almacenamiento usa Microsoft Entra ID para la autenticación. Para ver la información de conexión, vaya al Centro de administración, seleccione Recursos conectados y después las conexiones de la cuenta de almacenamiento. Si el tipo de credencial no es Entra ID, seleccione el icono de lápiz para actualizar la conexión y establezca el método de autenticación en Microsoft Entra ID.

Para obtener información sobre cómo proteger el chat del área de juegos, vea Uso seguro del chat de área de juegos.

Configuración de DNS personalizado

Consulte el artículo DNS personalizado de Azure Machine Learning para conocer las configuraciones de reenvío de DNS.

Si necesita configurar un servidor DNS personalizado sin reenvío DNS, use los siguientes patrones para los registros A necesarios.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Nota:

  El nombre del área de trabajo de este nombre de dominio completo podría estar truncado. El truncamiento se realiza para mantener ml-<workspace-name, truncated>-<region>-<workspace-guid> en 63 caracteres o menos.

• <instance-name>.<region>.instances.azureml.ms

  Nota

  • Solo se puede acceder a la instancia de proceso desde dentro de la red virtual.
  • La dirección IP de este FQDN no es la dirección IP de la instancia de proceso. En su lugar, use la dirección IP privada del punto de conexión privado del área de trabajo (la dirección IP de las entradas *.api.azureml.ms).

• <instance-name>.<region>.instances.azureml.ms: solo se usa en el comando az ml compute connect-ssh para conectarse a los equipos de una red virtual administrada. No es necesario si no usa una red administrada o conexiones SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.com - Usado por puntos de conexión en línea administrados

Para buscar las direcciones IP privadas para sus registros A, consulte el artículo DNS personalizado de Azure Machine Learning. Para comprobar AI-PROJECT-GUID, vaya al portal Azure, seleccione su proyecto, configuración, propiedades, y se mostrará el Id. del área de trabajo.

Limitaciones

• Si utiliza Mozilla Firefox, es posible que tenga problemas para acceder al punto de conexión privado de su centro. Este problema puede estar relacionado con DNS a través de HTTPS en Mozilla Firefox. Se recomienda el uso de Microsoft Edge o Google Chrome.

Pasos siguientes

• Creación de un proyecto de Azure AI Foundry
• Más información sobre Azure AI Foundry
• Más información sobre los centros de Azure AI Foundry
• Solución de problemas de conectividad segura a un proyecto