Usar coleções do Catálogo de Modelos com rede virtual gerenciada do workspace
Neste artigo, você aprenderá a utilizar as várias coleções do Catálogo de Modelos em uma rede isolada.
Workspace rede virtual gerenciada é a única maneira de dar suporte ao isolamento de rede com o Catálogo de Modelos. Ela fornece configuração fácil para proteger seu workspace. Depois que você habilitar a rede virtual gerenciada no workspace, os recursos relacionados ao workspace na mesma rede virtual usarão a mesma configuração de rede no workspace. Configure também o workspace para usar o ponto de extremidade privado para acessar outros recursos do Azure, como o OpenAI do Azure. Além disso, você pode configurar a regra FQDN para aprovar a saída para recursos que não sejam do Azure, o que é necessário para utilizar algumas das coleções no Catálogo de Modelos. Veja como fazer o Isolamento de rede gerenciada do workspace para habilitar a rede virtual gerenciada do workspace.
A criação da rede virtual gerenciada é adiada até que um recurso de computação seja criado ou até que o provisionamento seja iniciado manualmente. Use o comando a seguir para disparar o provisionamento de rede manualmente.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Rede virtual gerenciada do workspace para permitir a saída da Internet
Configure um workspace com rede virtual gerenciada para permitir a saída da Internet seguindo as etapas listadas aqui.
Se você optar por definir o acesso à rede pública para o workspace como desabilitado, poderá se conectar ao workspace usando um dos seguintes métodos:
Gateway de VPN do Azure: conecta redes locais à rede virtual por meio de uma conexão privada. A conexão é feita pela Internet pública. Há dois tipos de gateways de VPN que você pode usar:
- Ponto a site: cada computador cliente usa um cliente VPN para se conectar à rede virtual.
- Site a site: um dispositivo VPN conecta a rede virtual à sua rede local.
ExpressRoute – conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.
Azure Bastion: neste cenário, você cria uma máquina virtual do Azure (às vezes chamada de jump box) dentro da rede virtual. Em seguida, você se conecta à VM usando o Azure Bastion. O Bastion permite que você se conecte à VM usando uma sessão RDP ou SSH do navegador da Web local. Em seguida, use a jump box como seu ambiente de desenvolvimento. Como ela está dentro da rede virtual, pode acessar diretamente o espaço de trabalho.
Como a rede virtual gerenciada do workspace pode acessar a Internet nessa configuração, você pode trabalhar com todas as Coleções no Catálogo de Modelos de dentro do workspace.
Rede virtual gerenciada pelo workspace para permitir apenas saídas aprovadas
- Configure um espaço de trabalho seguindo as instruções Isolamento da rede gerenciada do espaço de trabalho. Na etapa 3 do tutorial, ao selecionar Acesso de saída gerenciado pelo espaço de trabalho, selecione Permitir Somente Saída Aprovada.
- Se você definir o acesso à rede pública para o espaço de trabalho como desabilitado, poderá se conectar ao espaço de trabalho usando um dos métodos listados na etapa 2 da seção Permitir saída da Internet deste tutorial.
- A rede virtual gerenciada pelo espaço de trabalho está definida com uma configuração somente permitir. Você deve adicionar uma regra de saída definida pelo usuário correspondente para permitir todos os FQDNs relevantes.
- Siga este link para obter uma lista de FQDNs necessários para a coleção Coletado pela IA do Azure.
- Siga este link para obter uma lista dos FQDNs necessários para a coleção do Hugging Face.
Trabalhar com modelos de software livre coletados pelo Azure Machine Learning
A rede virtual gerenciada pelo workspace para permitir apenas a saída aprovada usa uma Política de Ponto de Extremidade de Serviço para contas de armazenamento gerenciadas do Azure Machine Learning, para ajudar a acessar os modelos nas coleções selecionadas pelo Azure Machine Learning de maneira pronta para uso. Esse modo de configuração do espaço de trabalho também tem saída padrão para o Registro de Contêiner da Microsoft, que contém a imagem do docker usada para implantar os modelos.
Modelos de linguagem na coleção 'Curated by Azure AI'
Esses modelos envolvem a instalação dinâmica de dependências no runtime. Para adicionar uma regra de saída definida pelo usuário, siga a etapa quatro de Para utilizar a coleção Coletado pela IA do Azure, os usuários devem adicionar regras de saída definidas pelo usuário para os seguintes FQDNs no nível do espaço de trabalho:
*.anaconda.org*.anaconda.comanaconda.compypi.org*.pythonhosted.org*.pytorch.orgpytorch.org
Siga a Etapa 4 do tutorial da rede virtual gerenciada para adicionar as regras de saída definidas pelo usuário correspondentes.
Aviso
As regras de saída de FQDN são implementadas usando o Firewall do Azure. Se você usar regras FQDN de saída, os encargos de Firewall do Azure serão incluídos na sua cobrança. Para saber mais, consulte Preços.
Coleção meta
Os usuários podem trabalhar com essa coleção em workspaces isolados de rede sem nenhuma outra regra de saída definida pelo usuário necessária.
Observação
Novas coleções selecionadas são adicionadas ao Catálogo de Modelos com frequência. Atualizaremos esta documentação para refletir o suporte em redes privadas para várias coleções.
Trabalhar com a coleção Hugging Face
Os pesos do modelo não serão hospedados no Azure se você estiver usando o registro de Hugging Face. Os pesos do modelo são transferidos diretamente do hub Hugging Face para os pontos de extremidade online em seu workspace durante a implantação. Os usuários precisam adicionar as seguintes regras de FQDNs de saída para o Hugging Face Hub, o Docker Hub e as CDNs para permitir o tráfego para os seguintes hosts:
docker.iohuggingface.coproduction.cloudflare.docker.comcdn-lfs.huggingface.cocdn.auth0.com
Siga a Etapa 4 do tutorial da rede virtual gerenciada para adicionar as regras de saída definidas pelo usuário correspondentes.