Comparteix a través de


Cómo configurar un vínculo privado para los centros de Azure AI Studio

Importante

Algunas de las características descritas en este artículo solo pueden estar disponibles en versión preliminar. Esta versión preliminar se ofrece sin acuerdo de nivel de servicio y no se recomienda para las cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Tenemos dos aspectos de aislamiento de red. Una es el aislamiento de red para acceder a un centro de Inteligencia artificial de Azure Studio. Otra es el aislamiento en red de los recursos informáticos en su centro y proyectos, como instancias de computación, sin servidor y puntos de conexión en línea administrados. En este artículo se explica el anterior resaltado en el diagrama. Puedes utilizar el vínculo privado para establecer la conexión privada con el centro y sus recursos predeterminados. Este artículo es para Azure AI Studio (centro y proyectos). Para obtener información sobre los servicios Azure AI, consulte la documentación de los servicios Azure AI.

Diagrama de aislamiento de la red de centros de AI Studio.

En su grupo de recursos obtendrá varios recursos del centro de forma predeterminada. Debe configurar las siguientes configuraciones de aislamiento de red.

  • Deshabilite el acceso a la red pública de los recursos predeterminados del centro, como Azure Storage, Azure Key Vault y Azure Container Registry.
  • Establecer conexión de punto de conexión privado a los recursos predeterminados del centro. Debe tener un punto de conexión privado de blobs y archivos para la cuenta de almacenamiento predeterminada.
  • Configuraciones de identidad administradas para permitir que los centros accedan a la cuenta de almacenamiento si es privada.

Requisitos previos

  • Debe tener una instancia de Azure Virtual Network existente para crear el punto de conexión privado en.

    Importante

    No se recomienda usar el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este es el intervalo de subred predeterminado que usa la red del puente de Docker o el entorno local.

  • Deshabilitar las directivas de red para los puntos de conexión privados antes de agregar el punto de conexión privado.

Crear un centro que utilice un punto de conexión privado

Utilice uno de los siguientes métodos para crear un centro con un punto de conexión privado. Cada uno de estos métodos requiere una red virtual existente:

  1. En Azure Portal, vaya a Inteligencia artificial de Azure Studio y elija + Nuevo Azure AI.
  2. Elija el modo de aislamiento de red en la pestaña Redes.
  3. Desplácese hacia abajo hasta Acceso entrante del área de trabajo y elija + Agregar.
  4. Introduzca los campos obligatorios. Al seleccionar la Región, seleccione la misma región que la red virtual.

Agregar un punto de conexión privado a un centro

Utilice uno de los siguientes métodos para agregar un punto de conexión privado a un centro existente:

  1. En el Azure portal, seleccione su centro.
  2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Conexiones de punto de conexión privado.
  3. Al seleccionar la Región, seleccione la misma región que la red virtual.
  4. Al seleccionar Tipo de recurso, use azuremlworkspace.
  5. Establezca Recurso en el nombre del área de trabajo.

Por último, seleccione Crear para crear el punto de conexión privado.

Eliminación de un punto de conexión privado

Puede eliminar uno o todos los puntos de conexión privados de un centro. Al eliminar un punto de conexión privado, se elimina el centro de la red virtual de Azure a la que estaba asociado el punto de conexión. La eliminación del punto de conexión privado puede impedir que el centro acceda a los recursos de esa red virtual, o que los recursos de la red virtual accedan al área de trabajo. Por ejemplo, si la red virtual no permite el acceso a o desde la red pública de Internet.

Advertencia

Eliminar los puntos de conexión privados de un centro no lo convierte en accesible al público. Para que el centro sea accesible al público, siga los pasos indicados en la sección Habilitar el acceso público.

Para quitar un punto de conexión privado, use la siguiente información:

  1. En el Azure portal, seleccione su centro.
  2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Conexiones de punto de conexión privado.
  3. Seleccione el punto de conexión que quiere quitar y, a continuación, seleccione Quitar.

Habilitación del acceso público

En algunas situaciones, es posible que desee permitir que alguien se conecte a su centro seguro a través de un punto de conexión público, en lugar de a través de la red virtual. O bien, es posible que quiera quitar el área de trabajo de la red virtual y volver a habilitar el acceso público.

Importante

La habilitación del acceso público no quita ningún punto de conexión privado que exista. Todas las comunicaciones entre los componentes detrás de la red virtual a la que se conectan los puntos de conexión privados siguen estando protegidos. Permite el acceso público solo al centro, además del acceso privado a través de cualquier punto de conexión privado.

Para habilitar el acceso público, siga estos pasos:

  1. En el Azure portal, seleccione su centro.
  2. En el lado izquierdo de la página, seleccione Redes y, a continuación, seleccione la pestaña Acceso público.
  3. Seleccione Habilitado en todas las redes y, a continuación, seleccione Guardar.

Configuración de identidad administrada

Se requiere una configuración de identidad administrada si hace que la cuenta de almacenamiento sea privada. Nuestros servicios necesitan leer y escribir datos en su cuenta de almacenamiento privada mediante Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento con las siguientes configuraciones de identidad administrada. Habilite la identidad administrada asignada por el sistema del Servicio de Azure AI y Búsqueda de Azure AI y, a continuación, configure el control de acceso basado en rol para cada identidad administrada.

Role Identidad administrada Resource Fin Referencia
Storage File Data Privileged Contributor Proyecto de Azure AI Studio Cuenta de almacenamiento Datos de flujo de mensajes de lectura y escritura. Documentación de flujo de avisos
Storage Blob Data Contributor Servicio de Azure AI Cuenta de almacenamiento Leer del contenedor de entrada, escribir el resultado del preprocesamiento en el contenedor de salida. Documentación de Azure OpenAI
Storage Blob Data Contributor Azure AI Search Cuenta de almacenamiento Lectura de blobs y escritura del almacén de conocimiento Documento de búsqueda.

Configuración de DNS personalizado

Consulte el artículo DNS personalizado de Azure Machine Learning para conocer las configuraciones de reenvío de DNS.

Si necesita configurar un servidor DNS personalizado sin reenvío DNS, use los siguientes patrones para los registros A necesarios.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Nota:

    El nombre del área de trabajo de este nombre de dominio completo podría estar truncado. El truncamiento se realiza para mantener ml-<workspace-name, truncated>-<region>-<workspace-guid> en 63 caracteres o menos.

  • <instance-name>.<region>.instances.azureml.ms

    Nota

    • Solo se puede acceder a la instancia de proceso desde dentro de la red virtual.
    • La dirección IP de este FQDN no es la dirección IP de la instancia de proceso. En su lugar, use la dirección IP privada del punto de conexión privado del área de trabajo (la dirección IP de las entradas *.api.azureml.ms).
  • <instance-name>.<region>.instances.azureml.ms: solo se usa en el comando az ml compute connect-ssh para conectarse a los procesos de una red virtual administrada. No es necesario si no usa una red administrada o conexiones SSH.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - Usado por puntos de conexión en línea administrados

Para buscar las direcciones IP privadas para sus registros A, consulte el artículo DNS personalizado de Azure Machine Learning. Para comprobar AI-PROJECT-GUID, vaya al portal Azure, seleccione su proyecto, configuración, propiedades, y se mostrará el Id. del área de trabajo.

Limitaciones

  • Si utiliza Mozilla Firefox, es posible que tenga problemas para acceder al punto de conexión privado de su centro. Este problema puede estar relacionado con DNS a través de HTTPS en Mozilla Firefox. Se recomienda el uso de Microsoft Edge o Google Chrome.

Pasos siguientes