Compartir a través de

Protección de los flujos de trabajo de RAG con aislamiento de red (versión preliminar)

  • Artículo

Puede proteger los flujos de Generación aumentada de recuperación (RAG) mediante redes privadas en Azure Machine Learning con dos opciones de administración de red. Estas opciones son: Red virtual administrada, que es la oferta interna, o "Traer su propia" red virtual (BYO, Bring Your Own), lo que resulta útil cuando desea tener control total sobre la configuración de las redes virtuales o subredes, firewalls, reglas del grupo de seguridad de red, etc.

Dentro de la opción red administrada de Azure Machine Learning, hay dos subopciones protegidas que se pueden seleccionar: Permitir salida a Internet y Permitir solo salida aprobada.

Recorte de pantalla de las opciones de red virtual administrada en Azure Machine Learning.

En función de la configuración y el escenario, los flujos de trabajo RAG en Azure Machine Learning pueden requerir otros pasos para el aislamiento de red.

Requisitos previos

  • Suscripción a Azure.
  • Acceso a Azure OpenAI Service.
  • Un área de trabajo segura de Azure Machine Learning: ya sea con la configuración Red virtual administrada del área de trabajo o con la configuración de "Traer su propia" red virtual.
  • Flujos de solicitudes habilitados en su área de trabajo de Azure Machine Learning. Puede habilitar el flujo de solicitudes activando Creación de soluciones de IA con flujo de solicitudes en el panel Administrar características en versión preliminar .

Con red virtual VNet administrada del área de trabajo de Azure Machine Learning

  1. Siga Aislamiento de red gestionada del área de trabajo para habilitar la red virtual VNet administrada del área de trabajo.

  2. Vaya a Azure Portal y seleccione Redes en la pestaña Configuración del menú de la izquierda.

  3. Para permitir que el flujo de trabajo de RAG se comunique con Azure Cognitive Services privado, como Azure OpenAI o Búsqueda de Azure AI durante la creación del índice vectorial, debe definir una regla de salida de usuario relacionada con un recurso relacionado. Seleccione Acceso saliente administrado del área de trabajo en la parte superior de la configuración de red. A continuación, seleccione +Agregar regla de salida definida por el usuario. Escriba un nombre en Nombre de regla. A continuación, seleccione el recurso al que desea agregar la regla mediante el cuadro de texto Nombre del recurso.

    El área de trabajo de Azure Machine Learning crea un punto de conexión privado en el recurso relacionado con autoaprobación. Si el estado está bloqueado como pendiente, vaya al recurso relacionado para aprobar el punto de conexión privado manualmente.

    Recorte de pantalla que muestra la ubicación en Azure Studio para agregar una regla de salida de usuario de servicios cognitivos privados.

  4. Vaya a la configuración de la cuenta de almacenamiento asociada al área de trabajo. Seleccione Control de acceso (IAM) en el menú de la izquierda. Seleccione Agregar asignación de roles. Agregue el acceso Colaborador de datos de la tabla de almacenamiento y el acceso Colaborador de datos de Storage Blob a la identidad administrada del área de trabajo. Esto puede hacerse escribiendo Colaborador de datos de tabla de almacenamiento y Colaborador de datos de Storage Blob en la barra de búsqueda. Deberá completar este paso y el siguiente dos veces. Una vez para Colaborador de datos de Storage Blob y la segunda vez para Colaborador de tabla.

  5. Asegúrese de que esté seleccionada la opción Identidad administrada. A continuación, elija Seleccionar miembros. Seleccione Área de trabajo de Azure Machine Learning en la lista desplegable identidad administrada. A continuación, seleccione la identidad administrada del área de trabajo.

    Recorte de pantalla que muestra la ubicación para agregar una identidad administrada de área de trabajo a un acceso a blob o tabla en la cuenta de almacenamiento de Azure Studio.

  6. (opcional) Para agregar una regla de FQDN de salida, en Azure Portal, seleccione Redes en la pestaña Configuración del menú de la izquierda. Seleccione Acceso saliente administrado del área de trabajo en la parte superior de la configuración de red. A continuación, seleccione +Agregar regla de salida definida por el usuario. Seleccione Regla de FQDN en Tipo de destino. Escriba la dirección URL del punto de conexión en Destino de FQDN. Para buscar la dirección URL del punto de conexión, vaya a los puntos de conexión implementados en Azure Portal, seleccione los que desee y copie la dirección URL del punto de conexión en la sección de detalles.

Si usa un área de trabajo de red virtual administrada Permitir solo salida aprobada y un recurso de Azure OpenAI public, debe agregar una regla de FQDN saliente para el punto de conexión de Azure OpenAI. Esto permite las operaciones del plano de datos, que son necesarias para realizar incrustaciones en RAG. Sin esto, no se permite el acceso al recurso AOAI, aunque sea público.

  1. (opcional) Para cargar archivos de datos de antemano o para usar la carga de carpetas locales para RAG cuando la cuenta de almacenamiento se hace privada, se debe acceder al área de trabajo desde una máquina virtual detrás de una red virtual y la subred debe estar permitida en la cuenta de almacenamiento. Para ello, seleccione Cuenta de almacenamiento y, a continuación, Configuración de redes. Seleccione Habilitar para la red virtual y las direcciones IP seleccionadas y, a continuación, agregue la subred del área de trabajo.

    Recorte de pantalla que muestra los requisitos de configuración de almacenamiento privado para la carga segura de datos.

    Siga este tutorial para saber cómo conectarse a un almacenamiento privado desde una máquina virtual de Azure.

Con su propia red virtual personalizada (BYO)

  1. Seleccione Usar mi propia red virtual cuando configure el área de trabajo de Azure Machine Learning. En este escenario, depende del usuario la configuración correcta de las reglas de red y los puntos de conexión privados en los recursos relacionados, ya que el área de trabajo no los configura automáticamente.

  2. En el Asistente para crear índices vectoriales, asegúrese de seleccionar Instancia de proceso o Clúster de proceso en la lista desplegable de opciones de proceso, ya que este escenario no se admite con Proceso sin servidor.

Solución de problemas habituales

  • Si aparecen incidencias en el área de trabajo relacionadas con la red y, como consecuencia, el proceso no puede crear o iniciar un proceso, pruebe a agregar una regla de FQDN de marcador de posición en la pestaña Redes del área de trabajo en Azure Portal, para iniciar una actualización de red administrada. A continuación, vuelva a crear el proceso en el área de trabajo de Azure Machine Learning.

  • Es posible que vea un mensaje de error relacionado con < Resource > is not registered with Microsoft.Network resource provider., en cuyo caso, debe asegurarse de que la suscripción del recurso de AOAI/ACS esté registrada con un proveedor de recursos de Microsoft Network. Para ello, vaya a Suscripción y, a continuación, a Proveedores de recursos con el mismo suscriptor que el área de trabajo de red virtual administrada.

Nota:

Se prevé que un trabajo sin servidor realizado por primera vez en el área de trabajo permanezca en cola de 10 a 15 minutos adicionales mientras la red administrada aprovisiona puntos de conexión privados por primera vez. Con las opciones de instancia de proceso y clúster de proceso, este procedimiento tiene lugar durante la creación del proceso.

Pasos siguientes