Como configurar um link privado para hubs do Azure AI Foundry

Temos dois aspectos do isolamento de rede. Um deles é o isolamento de rede para acessar um hub do Azure AI Foundry. Outra é o isolamento da rede de recursos de computação no seu hub e projetos, como instâncias de computação, sem servidor e pontos finais online geridos. Esse artigo explica o primeiro destacado no diagrama. Pode utilizar o link privado para estabelecer a ligação privada ao seu hub e os respectivos recursos padrão. Esse artigo é para o Azure AI Foundry (hub e projetos). Para saber mais sobre os Serviços de IA do Azure, confira a documentação dos serviços de IA do Azure.

Você obtém vários recursos padrão do hub no seu grupo de recursos. Você precisa definir as seguintes configurações de isolamento de rede.

• Desabilite o acesso à rede pública dos recursos padrão do hub, como o Armazenamento do Microsoft Azure, o Azure Key Vault e o Registro de Contêiner do Azure.
• Estabeleça uma ligação de ponto de extremidade privado aos recursos padrão do hub. Você precisa ter um ponto de extremidade privado de blob e arquivo para a conta de armazenamento padrão.
• Se sua conta de armazenamento for privada, atribua funções para permitir o acesso.

Pré-requisitos

• Você deve ter uma Rede Virtual do Azure existente para criar o ponto de extremidade privado.

  Importante

  Não recomendamos usar o intervalo de endereços IP 172.17.0.0/16 para sua VNet. Esse é o intervalo da sub-rede padrão utilizado pela rede de ponte do Docker ou no local.

• Desabilitar as políticas de rede paras ponto de extremidade privados antes de adicionar o ponto de extremidade privado.

Criar um hub que use um ponto de extremidade privado

Use um dos métodos a seguir para criar um hub com um ponto de extremidade privado. Cada um desses métodos requer uma rede virtual existente:

Portal do Azure

1. No portal do Azure, acesse o Azure AI Foundry e escolha + Novo Azure AI.
2. Escolha o modo de isolamento de rede na guia Rede.
3. Role a tela para baixo até Acesso de Entrada ao espaço de trabalho e selecione + Adicionar.
4. Campos obrigatórios de entrada. Ao selecionar a Região, selecione a mesma região que sua rede virtual.

CLI do Azure

Depois de criar o hub, use os comandos CLI de rede do Azure para criar um ponto de extremidade de ligação privada para o hub.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para criar as entradas da zona DNS privada para o workspace, use os seguintes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Adicionar um ponto de extremidade privado a um hub

Use um dos métodos a seguir para adicionar um ponto de extremidade privado a um hub existente:

Portal do Azure

1. Selecione seu hub no portal do Azure.
2. No lado esquerdo da página, selecione Rede e a guia Conexões de ponto de extremidade privado.
3. Ao selecionar a Região, selecione a mesma região que sua rede virtual.
4. Ao selecionar tipo de recurso, use azuremlworkspace.
5. Defina o Recurso no nome do espaço de trabalho.

Finalmente, selecione Criar para criar o ponto de extremidade privado.

CLI do Azure

Use os comandos da CLI do sistema de rede do Azure para criar um ponto de extremidade de link privado para o hub.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Para criar as entradas da zona DNS privada para o workspace, use os seguintes comandos:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Remover um ponto de extremidade privado

Você pode remover um ou todos os pontos de extremidade privados de um hub. A remoção de um ponto de extremidade privado remove o hub da Rede Virtual do Microsoft Azure à qual o ponto extremidade estava associado. A remoção do ponto de extremidade privado pode impedir que o hub acesse os recursos nessa rede virtual ou que os recursos da rede virtual acedam ao espaço de trabalho. Por exemplo, se a rede virtual não permitir o acesso de ou para a Internet pública.

Aviso

A remoção dos ponto de extremidade privado de um hub não o torna acessível publicamente. Para tornar o hub acessível publicamente, siga as etapas na seção Habilitar acesso público.

Para remover um ponto de extremidade privado, use as seguintes informações:

Portal do Azure

1. Selecione seu hub no portal do Azure.
2. No lado esquerdo da página, selecione Rede e a guia Conexões de ponto de extremidade privado.
3. Selecione o ponto de extremidade a ser removido e escolha Remover.

CLI do Azure

Ao usar a CLI do Azure, use o seguinte comando para remover o ponto de extremidade privado:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Permitir o acesso público

Em algumas situações, poderá querer permitir que alguém se ligue ao seu hub seguro através de um ponto de extremidade público, em vez de através da rede virtual. Ou poderá querer remover o espaço de trabalho da rede virtual e reativar o acesso público.

Importante

Habilitar o acesso público não remove nenhum ponto de extremidade privado existente. Todas as comunicações entre os componentes por trás da rede virtual à qual os pontos de extremidade privados se ligam ainda estão protegidas. Permite o acesso público apenas ao hub, além do acesso privado através de quaisquer pontos de extremidade privados.

Para habilitar o acesso público, use as seguintes etapas:

Portal do Azure

1. Selecione seu hub no portal do Azure.
2. No lado esquerdo da página, selecione Rede e a guia Acesso público.
3. Selecione Habilitado em todas as redes e selecione Salvar.

CLI do Azure

Use o seguinte comando da CLI do Azure para habilitar o acesso público:

az ml workspace update --set public_network_access=Enabled -n <workspace-name> -g <resource-group-name>

Se ocorrer um erro indicando que o comando ml não foi encontrado, use os seguintes comandos para instalar a extensão da CLI do Azure Machine Learning:

az extension add --name ml

Configuração de armazenamento privado

Se sua conta de armazenamento for privada (usa um ponto de extremidade privado para se comunicar com seu projeto), execute as seguintes etapas:

1. Nossos serviços precisam ler/gravar dados em sua conta de armazenamento privada usando Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento com as seguintes configurações de identidade gerenciada. Habilite a identidade gerenciada atribuída ao sistema do Azure AI Service e do IA do Azure Search e, em seguida, configure o controle de acesso baseado em função para cada identidade gerenciada.

   Função	Identidade Gerenciada	Recurso	Finalidade	Referência
   Reader	Projeto do Foundry de IA do Azure	Ponto de extremidade privado da conta de armazenamento	Leia dados da conta de armazenamento privada.
   Storage File Data Privileged Contributor	Projeto do Foundry de IA do Azure	Conta de Armazenamento	Dados de prompt flow de leitura/gravação.	Documento Prompt flow
   Storage Blob Data Contributor	Serviço de IA do Azure	Conta de Armazenamento	Leia do contêiner de entrada, grave para pré-processar o resultado para o contêiner de saída.	Documento OpenAI do Azure
   Storage Blob Data Contributor	IA do Azure Search	Conta de Armazenamento	Leia blob e grave repositório de conhecimento	Pesquisar documento.

   Dica

   Sua conta de armazenamento pode ter vários pontos de extremidade privados. Você precisa atribuir a função Reader a cada ponto de extremidade privado.

2. Atribua a função Storage Blob Data reader aos seus desenvolvedores. Essa função permite que eles leiam dados da conta de armazenamento.

3. Verifique se a conexão do projeto com a conta de armazenamento usa o Microsoft Entra ID para autenticação. Para visualizar as informações de conexão, acesse o Centro de gerenciamento, selecione Recursos conectados e, em seguida, selecione as conexões da conta de armazenamento. Se o tipo de credencial não for Entra ID, selecione o ícone de lápis para atualizar a conexão e defina o Método de autenticação como Microsoft Entra ID.

Para obter informações sobre como proteger o chat do playground, veja Usar o chat do playground com segurança.

Defina uma configuração de DNS personalizada

Veja Artigo DNS personalizado do Azure Machine Learning para as configurações de encaminhamento de DNS.

Se você precisar configurar um servidor DNS personalizado sem encaminhamento de DNS, use os seguintes padrões para os registros A necessários.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Observação

  O nome do workspace desse FQDN pode estar truncado. O truncamento é feito para manter ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caracteres ou menos.

• <instance-name>.<region>.instances.azureml.ms

  Observação

  • As instâncias de computação só podem ser acessadas na rede virtual.
  • O endereço IP desse FQDN não é o IP da instância de computação. Em vez disso, use o endereço IP privado do ponto de extremidade privado do espaço de trabalho (o IP das entradas *.api.azureml.ms).

• <instance-name>.<region>.instances.azureml.ms – usado apenas pelo comando az ml compute connect-ssh para se conectar a computação em uma rede virtual gerenciada. Não é necessário se você não estiver usando uma rede gerenciada ou conexões SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.com – usado por pontos de extremidade online gerenciados

Para encontrar os endereços IP privados para os seus registos A, veja o artigo DNS personalizado do Azure Machine Learning. Para verificar o AI-PROJECT-GUID, acesse o portal do Azure, selecione seu projeto, configurações e propriedades, e a ID do espaço de trabalho será exibida.

Limitações

• Você poderá encontrar problemas ao tentar acessar o ponto de extremidade privado do seu hub caso esteja usando o Mozilla Firefox. Esse problema pode estar relacionado ao DNS sobre HTTPS no Mozilla Firefox. É recomendável usar o Microsoft Edge ou o Google Chrome.

Próximas etapas

• Criar um projeto do Azure AI Foundry
• Saiba mais sobre o Azure AI Foundry
• Saiba mais sobre os hubs do Azure AI Foundry
• Solucionar problemas de conectividade segura com um projeto