Acessar recursos locais da rede gerenciada da IA do Azure Foundry (versão prévia)

Para acessar seus recursos que não são do Azure localizados em uma rede virtual diferente ou localizados inteiramente localmente da rede virtual gerenciada do IA do Azure Foundry, um Gateway de Aplicativo deve ser configurado. Por meio desse Gateway de Aplicativo, um acesso completo de ponta a ponta pode ser configurado para seus recursos.

O Gateway de Aplicativo do Azure é um balanceador de carga que toma decisões de roteamento com base na URL de uma solicitação HTTPS. O Azure Machine Learning dá suporte ao uso de um gateway de aplicativo para uma comunicação segura com recursos que não são do Azure. Para saber mais sobre o Gateway de Aplicativo, confira O que é o Gateway de Aplicativo do Azure?.

Para acessar recursos de rede virtual locais ou personalizados a partir da rede virtual gerenciada, você deve configurar um Gateway de Aplicativo na sua rede virtual do Azure. O gateway de aplicativo é usado para acesso de entrada ao hub do portal do IA do Azure Foundry. Depois de configurado, você cria um ponto de extremidade privado da rede virtual gerenciada do hub da IA do Azure Foundry para o Gateway de Aplicativo. Com o ponto de extremidade privado, o caminho completo de ponta a ponta é protegido e não é roteado pela Internet.

Pré-requisitos

• Leia o artigo Como funciona um gateway de aplicativo para entender como o Gateway de Aplicativo pode proteger a conexão com seus recursos que não são do Azure.
• Configure a rede virtual gerenciada do hub da IA do Azure Foundry e selecione o modo de isolamento, Permitir Saída da Internet ou Permitir Somente Saída Aprovada. Para obter mais informações, consulte Isolamento da rede virtual gerenciada.
• Obtenha o ponto de extremidade HTTP(S) privado do recurso a ser acessado.

Recursos compatíveis

O Gateway de Aplicativo dá suporte a qualquer recurso de destino de back-end que use o protocolo HTTP ou HTTPS. As conexões com os seguintes recursos a partir da rede virtual gerenciada são verificadas:

• Jfrog Artifactory
• Banco de Dados Snowflake
• APIs privadas

Configurar o Gateway de Aplicativo do Azure

Siga o Início Rápido: Direcionar o tráfego da web usando o portal. Para configurar corretamente o Gateway de Aplicativo para uso com o Azure Machine Learning, use as seguintes diretrizes ao criar o Gateway de Aplicativo:

1. Na guia Informações Básicas:

   • Certifique-se de que o Gateway de Aplicativo esteja na mesma região da Rede Virtual do Azure selecionada.
   • A IA do Azure Foundry só dá suporte ao IPv4 para Gateway de Aplicativo.
   • Com sua Rede Virtual do Azure, selecione uma sub-rede dedicada para o seu Gateway de Aplicativo. Nenhum outro recurso pode ser implantado nessa sub-rede.

2. Na guia Front-ends, o Gateway de Aplicativo não dá suporte apenas ao endereço IP de front-end privado, portanto, os endereços IP públicos precisam ser selecionados ou um novo criado. Os endereços IP Privados para os recursos com os quais o gateway se conecta podem ser adicionados dentro do intervalo da sub-rede que você selecionou na guia Informações Básicas.

3. A partir da guia Back-Ends, você pode adicionar seu destino de back-end a um pool de back-end. Você pode gerenciar seus destinos de back-end criando diferentes pools de back-end. O roteamento de solicitação se baseia nos pools. Você pode adicionar destinos de back-end como, por exemplo, um banco de dados Snowflake.

4. Na guia Configuração, você configura como as solicitações são recebidas com os IPs de front-end e roteadas para o back-end.

   • Na seção Ouvinte:

     • Você pode criar um ouvinte com o protocolo HTTP ou HTTPS e especificar a porta que você quer que ele ouça. Se quiser dois ouvintes ouvindo no mesmo endereço IP de front-end e roteando para pools de back-end diferentes, você vai precisar escolher portas diferentes. As solicitações de entrada são diferenciadas com base em portas.
     • Se você quiser uma criptografia TLS de ponta a ponta, selecione o ouvinte HTTPS e carregue seu próprio certificado para que o Gateway de Aplicativo descriptografe a solicitação recebida pelo ouvinte. Para obter mais informações, confira Habilitar o TLS de ponta a ponta no Gateway de Aplicativo do Azure.
     • Se quiser um destino de back-end totalmente privado sem qualquer acesso à rede pública, NÃO configure um ouvinte no endereço IP de front-end público e a regra de roteamento a ele associada. O Gateway de Aplicativo encaminha apenas as solicitações que os ouvintes recebem na porta específica. Se quiser evitar adicionar o ouvinte de IP de front-end público por engano, confira as Regras de segurança de rede para bloquear totalmente o acesso à rede pública.

   • Na seção Destinos de back-end, se você quiser usar HTTPS e o certificado do servidor de back-end NÃO for emitido por uma CA conhecida, você deverá carregar o certificado raiz (. CER) do servidor de backend. Para obter mais informações sobre como configurar com um certificado raiz, confira Configurar a criptografia TLS de ponta a ponta usando o portal.

5. Após o recurso do Gateway de Aplicativo ter sido criado, navegue até o novo recurso do Gateway de Aplicativo no portal do Azure. Em Configurações, selecione o Link Privado para habilitar uma rede virtual e acessar o Gateway de Aplicativo de forma privada por meio de uma conexão de ponto de extremidade privado. A configuração do Link Privado não é criada por padrão.

   • Selecione + Adicionar para adicionar a configuração do Link Privado e, a seguir, use os seguintes valores para criar a configuração:
     • Nome: forneça um nome para a sua configuração de link privado
     • Sub-rede do link privado: selecione uma sub-rede na sua rede virtual.
     • Configuração do IP de Front-End: appGwPrivateFrontendIpIPv4
   • Para verificar se o Link Privado está configurado corretamente, navegue até a guia Conexões do ponto de extremidade privado e selecione + Ponto de extremidade privado. Na guia Recurso, o Sub-recurso de destino deve ser o nome da configuração de IP do front-end privado, appGwPrivateFrontendIpIPv4. Se nenhum valor for exibido no Sub-recurso de destino, o ouvinte do Gateway de Aplicativo não foi configurado corretamente. Para obter mais informações sobre como configurar o link privado no Application Gateway, veja Configurar o link privado do Azure Application Gateway.

Configurar link privado

1. Agora que os pools de IP e back-end de front-end do Gateway de Aplicativo foram criados, você pode configurar o ponto de extremidade privado da rede virtual gerenciada para o Gateway de Aplicativo. no portal do Azure, navegue até a guia Rede do hub da IA do Azure Foundry. Selecione Acesso de saída gerenciado do Workspace, + Adicionar regras de saída definidas pelo usuário.

2. No formulário Regras de Saída do Workspace, selecione o seguinte para criar seu ponto de extremidade privado:

   • Nome da regra: forneça um nome para seu ponto de extremidade privado para o Gateway de Aplicativo.
   • Tipo de Destino: Ponto de Extremidade Privado
   • Assinatura e Grupo de Recursos: selecione a Assinatura e o Grupo de Recursos em que seu Gateway de Aplicativo será implantado
   • Tipo de Recurso: Microsoft.Network/applicationGateways
   • Nome do recurso: o nome do seu recurso de Gateway de Aplicativo.
   • Sub-recurso: appGwPrivateFrontendIpIPv4
   • FQDNs: esses FQDNs são os aliases que você deseja usar dentro do portal da IA do Azure Foundry. Eles são resolvidos para o endereço IP privado do ponto de extremidade privado gerenciado direcionado ao Gateway de Aplicativo. Você poderá incluir vários FQDNs, dependendo de com quantos recursos você gostaria de se conectar com o Gateway de Aplicativo.

   Observação

   • Se estiver usando o ouvinte HTTPS com o certificado carregado, certifique-se de que o alias do FQDN corresponda ao CN (Nome Comum) ou ao SAN (Nome Alternativo da Entidade) do certificado; caso contrário, a chamada HTTPS irá falhar com um SNI (Indicação de Nome do Servidor).
   • Os FQDNs fornecidos devem ter pelo menos três rótulos no nome para criar adequadamente a zona DNS privada do ponto de extremidade privado do Gateway de Aplicativo.
   • O campo FQDNs fica editável após a criação do ponto de extremidade privado por meio do SDK ou da CLI. O campo não fica editável no portal do Azure.
   • A nomenclatura dinâmica de sub-recurso não tem suporte para a configuração de IP de Front-End privado. O nome do IP de Front-End precisa ser appGwPrivateFrontendIpIPv4.

Configurar usando o SDK do Python e a CLI do Azure

Para criar um ponto de extremidade privado para o Gateway de Aplicativo com um SDK, confira SDK do Azure para Python.

Para criar um ponto de extremidade privado para o Gateway de Aplicativo com a CLI do Azure, use o comando az ml workspace outbound-rule set. Defina as propriedades conforme necessário para a sua configuração. Para obter mais informações, confira Configurar uma rede gerenciada.

Limitações

• O Gateway de Aplicativo dá suporte apenas a pontos de extremidade HTTP(S) no pool de Back-End. Não há suporte para o tráfego de rede não HTTP(S). Certifique-se de que seus recursos dão suporte ao protocolo HTTP(S).
• Para se conectar ao Snowflake usando o Gateway de Aplicativo, você deve adicionar suas próprias regras de saída do FQDN para habilitar o download do pacote/driver e a validação do OCSP.
  • O driver JDBC do Snowflake usa chamadas HTTPS, mas drivers diferentes podem ter implementações diferentes. Verifique se o seu recurso usa ou não o protocolo HTTP(S).
• Para obter mais informações sobre limitações, confira Perguntas frequentes sobre o Gateway de Aplicativo.

Erros do Gateway de Aplicativo

Para os erros relacionados à conexão entre o Gateway de Aplicativo e seus recursos de back-end, siga a documentação existente do Gateway de Aplicativo com base nos erros que você receber:

• Solucionar problemas de integridade de back-end no Gateway de Aplicativo
• Solução de problemas de erros de gateway incorreto no Gateway de Aplicativo
• Códigos de resposta HTTP no Gateway de Aplicativo
• Como entender ouvintes desabilitados

Conteúdo relacionado

• Isolamento de rede virtual gerenciada