Cambio en el aislamiento de red con nuestra nueva plataforma API en Azure Resource Manager
En este artículo, aprenderá sobre los cambios de aislamiento de red con nuestra nueva plataforma de API v2 en Azure Resource Manager (ARM) y el efecto que tiene en el aislamiento de red.
¿Cuál es la nueva plataforma API en Azure Resource Manager (ARM)?
Las API v1 y v2 usan dos tipos de operaciones, Azure Resource Manager (ARM) y área de trabajo de Azure Machine Learning.
Con la API v1, la mayoría de las operaciones usaban el área de trabajo. Para la v2, se han trasladado la mayoría de las operaciones para usar el ARM público.
Versión de API | ARM público | Dentro de la red virtual del área de trabajo |
---|---|---|
v1 | Procesos de creación, actualización y eliminación (CRUD) del área de trabajo y de los cálculos. | Otras operaciones, como experimentos. |
v2 | La mayoría de las operaciones como el área de trabajo, proceso, almacén de datos, conjunto de datos, trabajo, entorno, código, componente, los puntos de conexión. | Operaciones restantes. |
La API v2 proporciona una API consistente en un solo lugar. Puede usar más fácilmente el control de acceso basado en roles de Azure y Azure Policy para los recursos con la API v2 porque se basa en Azure Resource Manager.
La CLI v2 de Azure Machine Learning usa nuestra nueva plataforma de API v2. Las nuevas funciones, como los puntos de conexión en línea administrados, se encuentran disponibles únicamente a través de la plataforma de la API v2.
¿Cuáles son los cambios de aislamiento de red con V2?
Como se mencionó en la sección anterior, hay dos tipos de operaciones; con ARM y con el área de trabajo. Con la API v1 heredada, la mayoría de las operaciones usaban el área de trabajo. Con la API v1, agregar un punto de conexión privado al área de trabajo proporcionó aislamiento de red para todo excepto las operaciones CRUD en el área de trabajo o los recursos de proceso.
Con la nueva API v2, la mayoría de las operaciones usan ARM. Así que habilitar un punto de conexión privado en el área de trabajo no proporciona el mismo nivel de aislamiento de red. Las operaciones que usan ARM se comunican a través de redes públicas, e incluyen cualquier metadato (como sus IDs de recursos) o parámetros usados por la operación. Por ejemplo, los parámetros.
Importante
Para la mayoría de las personas, el uso de las comunicaciones de ARM público es correcto:
- Las comunicaciones de ARM público son el estándar para las operaciones de administración con servicios de Azure. Por ejemplo, la creación de una cuenta de Azure Storage o Azure Virtual Network usa ARM.
- Las operaciones de Azure Machine Learning no exponen datos en la cuenta de almacenamiento (u otro almacenamiento de la red virtual) en redes públicas. Por ejemplo, un trabajo de entrenamiento que se ejecuta en un clúster de proceso en la red virtual y usa datos de una cuenta de almacenamiento de la misma, accedería de forma segura a los datos directamente con la red virtual.
- Toda comunicación con ARM público está encriptada con TLS 1.2.
Si necesita tiempo para evaluar la nueva API v2 antes de incorporarla a las soluciones de su empresa, o tiene una política de empresa que prohíbe el envío de comunicaciones a través de redes públicas, puede activar el parámetro v1_legacy_mode. Cuando se habilita, este parámetro desactiva la API v2 para el área de trabajo.
Advertencia
Habilitar el modo v1_legacy_mode puede impedirle usar las funciones proporcionadas por la API v2. Por ejemplo, algunas características de Estudio de Azure Machine Learning pueden no estar disponibles.
Escenarios y acciones necesarias
Advertencia
El parámetro v1_legacy_mode se encuentra disponible ahora, pero la funcionalidad de bloqueo de la API v2 se aplicará a partir de la semana del 15 de mayo de 2022.
Si no planea usar un punto de conexión privado con su área de trabajo, no necesita habilitar el parámetro.
Si está de acuerdo con que las operaciones se comuniquen con ARM público, no necesita habilitar el parámetro.
Solo necesita habilitar el parámetro si usa un punto de conexión privado con el área de trabajo y no quiere permitir operaciones con ARM a través de redes públicas.
Una vez que implementemos el parámetro, se aplicará retroactivamente a las áreas de trabajo existentes mediante la siguiente lógica:
Si tiene un área de trabajo existente con un punto de conexión privado, la marca será verdadera.
Si tiene un área de trabajo existente sin un punto de conexión privado (área de trabajo pública), la bandera será falsa.
Una vez implementado el parámetro, el valor predeterminado del indicador depende de la versión de la API de REST subyacente que se usa cuando se crea un área de trabajo (con un punto de conexión privado):
- Si la versión de la API es anterior a
2022-05-01
, la marca es verdadera de manera predeterminada. - Si la versión de la API es
2022-05-01
o posterior, la marca es falsa de manera predeterminada.
Importante
Si desea usar la API v2 con el área de trabajo, debe establecer el parámetro v1_legacy_mode en falso.
Actualización del parámetro v1_legacy_mode
Advertencia
El parámetro v1_legacy_mode se encuentra disponible ahora, pero la funcionalidad de bloqueo de la API v2 se aplicará a partir de la semana del 15 de mayo de 2022.
Para actualizar v1_legacy_mode, siga estos pasos:
Importante
Si desea deshabilitar la API v2, use el SDK de Python v1 de Azure Machine Learning.
Para deshabilitar v1_legacy_mode, use Workspace.update y establezca v1_legacy_mode=false
.
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
Importante
Tenga en cuenta que se tarda entre 30 minutos y una hora o más en que los cambios del parámetro v1_legacy_mode de true a false se reflejen en el área de trabajo. Por lo tanto, si establece el parámetro en false pero recibe un error que el parámetro es true en una operación posterior, pruebe después de unos minutos más.