Uso de colecciones de Catálogo de modelo con la red virtual administrada del área de trabajo
En este artículo, aprenderá a usar las distintas colecciones del catálogo de modelos dentro de una red aislada.
Una red virtual administrada por el área de trabajo es la única manera de admitir el aislamiento de red con el catálogo de modelo. Proporciona una configuración sencilla para proteger el área de trabajo. Después de habilitar una red virtual administrada por el área de trabajo, los recursos relacionados con el área de trabajo de la misma red virtual usan la misma configuración de red en el nivel de área de trabajo. También puede configurar el área de trabajo para usar un punto de conexión privado a fin de acceder a otros recursos de Azure, como Azure OpenAI. Además, es posible configurar la regla de FQDN para aprobar la salida a recursos que no sean de Azure, algo que resulta necesario para usar algunas de las colecciones del catálogo de modelos. Consulte cómo realizar el aislamiento de red gestionada por el área de trabajo para habilitar que la red virtual esté gestionada por el área de trabajo.
La creación de la red virtual gestionada se aplaza hasta que se cree un recurso de proceso o se inicie manualmente el aprovisionamiento. Puede usar el siguiente comando para desencadenar manualmente el aprovisionamiento de red.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Red virtual gestionada por el área de trabajo para permitir la salida a Internet
Configure un área de trabajo con red virtual administrada para permitir la salida de Internet siguiendo los pasos que se enumeran aquí.
Si decidiera establecer el acceso de red pública al área de trabajo en deshabilitado, podrá conectarse al área de trabajo mediante uno de los métodos siguientes:
Azure VPN Gateway: conecta redes locales a la red virtual a través de una conexión privada. La conexión se realiza a través de la red pública de Internet. Hay dos tipos de puertas de enlace de VPN que puede usar:
- De punto a sitio: cada equipo cliente usa un cliente VPN para conectarse a la red virtual.
- De sitio a sitio: un dispositivo VPN conecta la red virtual a la red local.
ExpressRoute: conecta redes locales a la nube mediante una conexión privada. La conexión se realiza mediante un proveedor de conectividad.
Azure Bastion: en este escenario, se crea una máquina virtual de Azure (a veces denominada jumpbox) dentro de la red virtual. A continuación, se conecta a la máquina virtual mediante Azure Bastion. Bastion permite conectarse a la máquina virtual mediante una sesión RDP o SSH desde el explorador web local. A continuación, use la jump box como entorno de desarrollo. Puesto que está dentro de la red virtual, puede acceder directamente al área de trabajo.
Dado que la red virtual administrada por el área de trabajo puede acceder a Internet en esta configuración, puede trabajar con todas las colecciones del Catálogo de modelos desde el área de trabajo.
Red virtual administrada por el área de trabajo para permitir solo la salida aprobada
- Configure un área de trabajo siguiendo Aislamiento de red gestionada por el área de trabajo. En el paso 3 del tutorial, al seleccionar Acceso de salida administrado por el área de trabajo, seleccione Permitir solo salidas aprobadas.
- Si establece el acceso de red pública al área de trabajo en deshabilitado, podrá conectarse al área de trabajo mediante uno de los métodos enumerados en el paso 2 de la sección Permitir salida a Internet de este tutorial.
- El área de trabajo administra la red virtual está establecido en una configuración de solo permitir. Es necesario agregar una regla de salida definida por el usuario correspondiente para permitir todos los FQDN pertinentes.
- Siga este vínculo para obtener una lista de los FQDN necesarios para la recopilación Mantenido por Azure AI.
- Siga este vínculo para obtener una lista de los FQDN necesarios para la recopilación Hugging Face.
Uso de modelos de código abierto mantenidos por Azure Machine Learning
La red virtual administrada por el área de trabajo permite que solo la salida aprobada use una directiva de punto de conexión de servicio para las cuentas de almacenamiento administradas por Azure Machine Learning, ayudando a acceder a los modelos de las colecciones mantenidas por Azure Machine Learning de forma integrada. Este modo de configuración del área de trabajo también tiene una salida predeterminada a Microsoft Container Registry, que contiene la imagen de Docker que se usa para implementar los modelos.
Modelos de lenguaje de la colección "Mantenidos por Azure AI"
Estos modelos implican la instalación dinámica de dependencias en tiempo de ejecución. Para agregar una regla de salida definida por el usuario, siga el paso cuatro: Para usar la colección Mantenido por Azure AI. Los usuarios deberían agregar reglas de salida definidas por el usuario para los siguientes FQDN en el nivel de área de trabajo:
*.anaconda.org*.anaconda.comanaconda.compypi.org*.pythonhosted.org*.pytorch.orgpytorch.org
Siga el paso 4 del tutorial sobre redes virtuales administradas para agregar las reglas de salida definidas por el usuario correspondientes.
Advertencia
Las reglas de salida de FQDN se implementan mediante Azure Firewall. Si usa reglas de FQDN de salida, los cargos por Azure Firewall se incluyen en la facturación. Para obtener más información, consulte el apartado Precios.
Colección Meta
Los usuarios pueden trabajar con esta colección en áreas de trabajo aisladas de red sin que se requieran otras reglas de salida definidas por el usuario.
Nota:
Las nuevas colecciones seleccionadas se agregan con frecuencia al Catálogo de modelos. Actualizaremos esta documentación para reflejar la compatibilidad con redes privadas para varias colecciones.
Trabajar con la colección Hugging Face
Los pesos del modelo no se hospedan en Azure si se usa el registro de Hugging Face. Los pesos del modelo se descargan directamente desde el centro de Hugging Face a los puntos de conexión en línea del área de trabajo durante la implementación. Los usuarios deben agregar las siguientes reglas de FQDN de salida para Hugging Face Hub, Docker Hub y sus CDN para permitir el tráfico a los hosts siguientes:
docker.iohuggingface.coproduction.cloudflare.docker.comcdn-lfs.huggingface.cocdn.auth0.com
Siga el paso 4 del tutorial sobre redes virtuales administradas para agregar las reglas de salida definidas por el usuario correspondientes.
Pasos siguientes
- Aprenda cómo solucionar problemas de una red virtual administrada