Konfigurace spravované sítě pro centra Azure AI Studio

Důležité

Některé funkce popsané v tomto článku můžou být dostupné jenom ve verzi Preview. Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučujeme ji pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Máme dva aspekty izolace sítě. Jednou z nich je izolace sítě pro přístup k centru Azure AI Studio. Další možností je izolace sítě výpočetních prostředků pro váš rozbočovač i projekt (například výpočetní instanci, bezserverový a spravovaný online koncový bod).) Tento dokument vysvětluje druhý zvýrazněný v diagramu. K ochraně výpočetních prostředků můžete použít integrovanou izolaci sítě centra.

Je potřeba nakonfigurovat následující konfigurace izolace sítě.

• Zvolte režim izolace sítě. Máte dvě možnosti: povolíte režim odchozích přenosů z internetu nebo povolíte jenom schválený režim odchozích přenosů.
• Vytvořte odchozí pravidla privátního koncového bodu pro vaše privátní prostředky Azure. Privátní azure AI Search se zatím nepodporuje.
• Pokud používáte integraci editoru Visual Studio Code s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Použití editoru Visual Studio Code .
• Pokud používáte modely HuggingFace v modelech s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Modely HuggingFace.

Architektura izolace sítě a režimy izolace

Když povolíte izolaci spravované virtuální sítě, vytvoří se pro centrum spravovaná virtuální síť. Spravované výpočetní prostředky, které vytvoříte pro centrum, automaticky používají tuto spravovanou virtuální síť. Spravovaná virtuální síť může používat privátní koncové body pro prostředky Azure používané vaším centrem, jako je Azure Storage, Azure Key Vault a Azure Container Registry.

Pro odchozí provoz ze spravované virtuální sítě existují tři různé režimy konfigurace:

Režim odchozích přenosů	Popis	Scénáře
Povolit odchozí připojení k internetu	Povolte veškerý odchozí provoz z internetu ze spravované virtuální sítě.	Chcete neomezený přístup k prostředkům strojového učení na internetu, jako jsou balíčky Pythonu nebo předem natrénované modely.1
Povolit pouze schválené odchozí přenosy	Odchozí provoz je povolený zadáním značek služeb.	* Chcete minimalizovat riziko exfiltrace dat, ale musíte připravit všechny požadované artefakty strojového učení ve vašem privátním prostředí. * Chcete nakonfigurovat odchozí přístup ke schválenému seznamu služeb, značek služeb nebo plně kvalifikovaných názvů domén.
Zakázáno	Příchozí a odchozí provoz není omezený.	Chcete, aby se z centra zobrazovaly veřejné příchozí a odchozí přenosy.

¹ Můžete použít pravidla odchozích přenosů s povoleným režimem odchozích přenosů , abyste dosáhli stejného výsledku jako použití povolit odchozí připojení k internetu. Rozdíly jsou:

• Pro přístup k prostředkům Azure vždy používejte privátní koncové body.

  Důležité

  I když můžete vytvořit privátní koncový bod pro Azure AI Search, připojené služby musí umožňovat veřejné sítě. Další informace najdete v tématu Připojení k jiným službám.

• Musíte přidat pravidla pro každé odchozí připojení, které potřebujete povolit.

• Přidání odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady , protože tento typ pravidla používá Službu Azure Firewall.

• Výchozí pravidla pro povolení pouze schválených odchozích přenosů jsou navržená tak, aby minimalizovala riziko exfiltrace dat. Všechna pravidla odchozích přenosů, která přidáte, můžou zvýšit riziko.

Spravovaná virtuální síť je předem nakonfigurovaná s požadovanými výchozími pravidly. Je také nakonfigurovaná pro připojení privátních koncových bodů k vašemu centru, výchozí úložiště centra, registr kontejnerů a trezor klíčů, pokud jsou nakonfigurované jako privátní nebo režim izolace centra je nastavený tak, aby umožňoval pouze schválené odchozí přenosy. Po výběru režimu izolace je potřeba vzít v úvahu jenom další odchozí požadavky, které možná budete muset přidat.

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala odchozí provoz internetu:

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy:

Poznámka:

V této konfiguraci se úložiště, trezor klíčů a registr kontejnerů používaný centrem označí jako privátní. Vzhledem k tomu, že jsou označené jako soukromé, privátní koncový bod se používá ke komunikaci s nimi.

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

Azure Portal

• Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

• Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků používá centrum při vytváření privátních koncových bodů pro spravovanou virtuální síť.

  Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

• Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Azure CLI

• Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

• Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků používá centrum při vytváření privátních koncových bodů pro spravovanou virtuální síť.

  Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

• Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI a ml rozšíření azure CLI. Další informace najdete v tématu Instalace, nastavení a použití rozhraní příkazového řádku (v2).

• Příklady rozhraní příkazového řádku v tomto článku předpokládají, že používáte prostředí Bash (nebo kompatibilní). Například ze systému Linux nebo Subsystém Windows pro Linux.

• Příklady Azure CLI v tomto článku slouží ws k reprezentaci názvu centra a rg k reprezentaci názvu skupiny prostředků. Tyto hodnoty podle potřeby změňte při použití příkazů s předplatným Azure.

Python SDK

• Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet. Vyzkoušejte bezplatnou nebo placenou verzi služby Azure Machine Learning.

• Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků používá centrum při vytváření privátních koncových bodů pro spravovanou virtuální síť.

  Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

• Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Sada Azure Machine Learning Python SDK v2. Další informace o sadě SDK najdete v tématu Instalace sady Python SDK v2 pro Azure Machine Learning.

• Příklady v tomto článku předpokládají, že váš kód začíná následujícím Pythonem. Tento kód naimportuje třídy požadované při vytváření centra se spravovanou virtuální sítí, nastaví proměnné pro vaše předplatné Azure a skupinu prostředků a vytvoří ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Omezení

• Azure AI Studio v současné době nepodporuje zavádění vlastní virtuální sítě, podporuje pouze izolaci spravované virtuální sítě.
• Jakmile povolíte izolaci spravované virtuální sítě azure AI, nemůžete ji zakázat.
• Spravovaná virtuální síť používá pro přístup k vašim privátním prostředkům připojení privátního koncového bodu. Privátní koncový bod a koncový bod služby nemůžete mít současně pro prostředky Azure, jako je účet úložiště. Doporučujeme používat privátní koncové body ve všech scénářích.
• Spravovaná virtuální síť se odstraní při odstranění Azure AI.
• Ochrana před exfiltrací dat je automaticky povolená pro jediný schválený odchozí režim. Pokud do plně kvalifikovaných názvů domén přidáte další pravidla odchozích přenosů, Microsoft nezaručuje, že jste chráněni před exfiltrací dat do těchto odchozích cílů.
• Použití odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady na spravovanou virtuální síť, protože pravidla plně kvalifikovaného názvu domény používají službu Azure Firewall. Další informace najdete na stránce s cenami.
• Odchozí pravidla plně kvalifikovaného názvu domény podporují jenom porty 80 a 443.
• Při použití výpočetní instance se spravovanou sítí se pomocí az ml compute connect-ssh příkazu připojte k výpočetnímu objektu pomocí SSH.

Připojení k jiným službám

• Služba Azure AI Search by měla být veřejná s vaším zřízeným privátním centrem Azure AI Studio.
• Funkce Přidat data v dětském prostředí Azure AI Studio nepodporuje použití virtuální sítě nebo privátního koncového bodu v následujících prostředcích:
  • Azure AI Vyhledávač
  • Azure OpenAI
  • Prostředek úložiště

Konfigurace spravované virtuální sítě pro povolení odchozích přenosů z internetu

Tip

Vytvoření spravované virtuální sítě se odloží až do ručního spuštění výpočetního prostředku nebo jeho zřízení. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť.

Azure Portal

• Vytvořte nové centrum:

  1. Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure AI Studio.

  2. Vyberte + Nová AI Azure.

  3. Zadejte požadované informace na kartě Základy .

  4. Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem.

  5. Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů zadejte následující informace:

     • Název pravidla: Název pravidla. Název musí být pro toto centrum jedinečný.
     • Typ cíle: Privátní koncový bod je jedinou možností, pokud je izolace sítě privátní s odchozím internetem. Virtuální síť spravovaná centrem nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .
     • Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Typ prostředku: Typ prostředku Azure.
     • Název prostředku: Název prostředku Azure.
     • Dílčí prostředek: Podnabídka typu prostředku Azure.

     Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.

  6. Pokračujte ve vytváření centra jako obvykle.

• Aktualizace existujícího centra:

  1. Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.

  2. Vyberte Sítě a pak vyberte Privátní s odchozím internetem.

     • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů zadejte stejné informace jako při vytváření centra v části Vytvořit nové centrum.

     • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

  3. Výběrem možnosti Uložit v horní části stránky uložte změny ve spravované virtuální síti.

Azure CLI

Ke konfiguraci spravované virtuální sítě, která umožňuje odchozí komunikaci na internetu, můžete použít --managed-network allow_internet_outbound parametr nebo konfigurační soubor YAML, který obsahuje následující položky:

managed_network:
  isolation_mode: allow_internet_outbound

Můžete také definovat pravidla odchozích přenosů do jiných služeb Azure, na které centrum spoléhá. Tato pravidla definují privátní koncové body , které umožňují prostředku Azure bezpečně komunikovat se spravovanou virtuální sítí. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Spravovanou virtuální síť můžete nakonfigurovat pomocí az ml workspace create příkazů nebo az ml workspace update příkazů:

• Vytvořte nové centrum:

  Následující příklad vytvoří nové centrum. Parametr --managed-network allow_internet_outbound nakonfiguruje spravovanou virtuální síť pro centrum:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Pokud chcete místo toho vytvořit centrum pomocí souboru YAML, použijte --file parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  Následující příklad YAML definuje centrum se spravovanou virtuální sítí:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Aktualizace existujícího centra:

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  Následující příklad aktualizuje existující centrum. Parametr --managed-network allow_internet_outbound nakonfiguruje spravovanou virtuální síť pro centrum:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Pokud chcete aktualizovat existující centrum pomocí souboru YAML, použijte --file parametr a zadejte soubor YAML, který obsahuje nastavení konfigurace:

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  Následující příklad YAML definuje spravovanou virtuální síť pro centrum. Ukazuje také, jak přidat připojení privátního koncového bodu k prostředku používanému centrem; v tomto příkladu privátní koncový bod úložiště objektů blob:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Chcete-li nakonfigurovat spravovanou virtuální síť, která umožňuje odchozí komunikaci na internetu, použijte ManagedNetwork třídu k definování sítě s IsolationMode.ALLOW_INTERNET_OUTBOUND. Objekt pak můžete použít ManagedNetwork k vytvoření nového centra nebo aktualizaci existujícího centra. Pokud chcete definovat pravidla odchozích přenosů do služeb Azure, které centrum využívá, použijte PrivateEndpointDestination třídu k definování nového privátního koncového bodu pro službu.

• Vytvořte nové centrum:

  Následující příklad vytvoří nové centrum s názvem myhubodchozí pravidlo myrule , které přidá privátní koncový bod pro úložiště objektů blob Azure:

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aktualizace existujícího centra:

  Následující příklad ukazuje, jak vytvořit spravovanou virtuální síť pro existující centrum s názvem myhub:

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Konfigurace spravované virtuální sítě pro povolení pouze schválených odchozích přenosů

Tip

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Pokud jste nakonfigurovali odchozí pravidla plně kvalifikovaného názvu domény, první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut .

Azure Portal

• Vytvořte nové centrum:

  1. Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure AI Studio.

  2. Vyberte + Nová AI Azure.

  3. Zadejte požadované informace na kartě Základy .

  4. Na kartě Sítě vyberte Možnost Soukromá se schváleným odchozím provozem.

  5. Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů zadejte následující informace:

     • Název pravidla: Název pravidla. Název musí být pro toto centrum jedinečný.
     • Typ cíle: Privátní koncový bod, značka služby nebo plně kvalifikovaný název domény. Značka služby a plně kvalifikovaný název domény jsou k dispozici pouze v případě, že izolace sítě je soukromá se schváleným odchozím provozem.

     Pokud je cílovým typem privátní koncový bod, zadejte následující informace:

     • Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
     • Typ prostředku: Typ prostředku Azure.
     • Název prostředku: Název prostředku Azure.
     • Dílčí prostředek: Podnabídka typu prostředku Azure.

     Tip

     Spravovaná virtuální síť centra nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .

     Pokud je cílovým typem značka služby, zadejte následující informace:

     • Značka služby: Značka služby, která se má přidat do schválených odchozích pravidel.
     • Protokol: Protokol, který povoluje značku služby.
     • Rozsahy portů: Rozsahy portů, které umožňují značku služby.

     Pokud je cílový typ plně kvalifikovaný název domény, zadejte následující informace:

     Upozorňující

     Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.

     • Cíl plně kvalifikovaného názvu domény: Plně kvalifikovaný název domény, který se má přidat do schválených pravidel odchozích přenosů.

     Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.

  6. Pokračujte ve vytváření centra jako obvykle.

• Aktualizace existujícího centra:

  1. Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.

  2. Vyberte Sítě a pak vyberte Soukromé se schváleným odchozím provozem.

     • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů zadejte stejné informace jako při vytváření centra v předchozí části Vytvoření nového centra.

     • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

  3. Výběrem možnosti Uložit v horní části stránky uložte změny ve spravované virtuální síti.

Azure CLI

Ke konfiguraci spravované virtuální sítě, která umožňuje pouze schválenou odchozí komunikaci, můžete použít --managed-network allow_only_approved_outbound parametr nebo konfigurační soubor YAML, který obsahuje následující položky:

managed_network:
  isolation_mode: allow_only_approved_outbound

Můžete také definovat pravidla odchozích přenosů, která definují schválenou odchozí komunikaci. Odchozí pravidlo lze vytvořit pro typ , service_tagfqdna private_endpoint. Následující pravidlo ukazuje přidání privátního koncového bodu do prostředku Azure Blob, značky služby do Azure Data Factory a plně kvalifikovaného názvu domény pro pypi.org:

Důležité

• Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na allow_only_approved_outbound.
• Pokud přidáte pravidla odchozích přenosů, Microsoft nemůže zaručit exfiltraci dat.

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Spravovanou virtuální síť můžete nakonfigurovat pomocí az ml workspace create příkazů nebo az ml workspace update příkazů:

• Vytvořte nové centrum:

  Následující příklad používá --managed-network allow_only_approved_outbound parametr ke konfiguraci spravované virtuální sítě:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Následující soubor YAML definuje centrum se spravovanou virtuální sítí:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  K vytvoření centra pomocí souboru YAML použijte --file parametr:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Aktualizace existujícího centra

  Upozorňující

  Před aktualizací existujícího pracovního prostoru na používání spravované virtuální sítě musíte odstranit všechny výpočetní prostředky pro tento pracovní prostor. To zahrnuje výpočetní instanci, výpočetní cluster a spravované online koncové body.

  Následující příklad používá --managed-network allow_only_approved_outbound parametr ke konfiguraci spravované virtuální sítě pro existující centrum:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Následující soubor YAML definuje spravovanou virtuální síť pro centrum. Ukazuje také, jak přidat schválený odchozí provoz do spravované virtuální sítě. V tomto příkladu se přidá odchozí pravidlo pro obě značky služby:

  Upozorňující

  Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Chcete-li nakonfigurovat spravovanou virtuální síť, která umožňuje pouze schválenou odchozí komunikaci, použijte ManagedNetwork třídu k definování sítě s IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Objekt pak můžete použít ManagedNetwork k vytvoření nového centra nebo aktualizaci existujícího centra. K definování pravidel odchozích přenosů použijte následující třídy:

Cíl	Třída
Služba Azure, na které centrum spoléhá	PrivateEndpointDestination
Značka služby Azure	ServiceTagDestination
Plně kvalifikovaný název domény (FQDN)	FqdnDestination

• Vytvořte nové centrum:

  Následující příklad vytvoří nové centrum s názvem myhub, s několika odchozími pravidly:

  • myrule – Přidá privátní koncový bod pro úložiště objektů blob Azure.
  • datafactory – Přidá pravidlo značky služby pro komunikaci se službou Azure Data Factory.

  Důležité

  • Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Pokud přidáte pravidla odchozích přenosů, Microsoft nemůže zaručit exfiltraci dat.

  Upozorňující

  Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aktualizace existujícího centra:

  Následující příklad ukazuje, jak vytvořit spravovanou virtuální síť pro existující centrum Azure Machine Learning s názvem myhub. Příklad také přidá několik odchozích pravidel pro spravovanou virtuální síť:

  • myrule – Přidá privátní koncový bod pro úložiště objektů blob Azure.
  • datafactory – Přidá pravidlo značky služby pro komunikaci se službou Azure Data Factory.

  Tip

  Přidání odchozích přenosů pro značku služby nebo plně kvalifikovaný název domény je platné pouze v případě, že je spravovaná virtuální síť nakonfigurovaná na IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Upozorňující

  Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozích přenosů plně kvalifikovaného názvu domény, přidají se do fakturace poplatky za službu Azure Firewall. Další informace najdete na stránce s cenami.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Správa odchozích pravidel

Azure Portal

1. Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.
2. Vyberte Sítě. Oddíl Odchozí přístup Azure AI umožňuje spravovat pravidla odchozích přenosů.

• Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů Azure AI zadejte následující informace:

• Pokud chcete pravidlo povolit nebo zakázat , použijte přepínač ve sloupci Aktivní .

• Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

Azure CLI

Pokud chcete zobrazit seznam pravidel odchozích přenosů spravované virtuální sítě pro centrum, použijte následující příkaz:

az ml workspace outbound-rule list --workspace-name myhub --resource-group rg

Pokud chcete zobrazit podrobnosti pravidla odchozích přenosů spravované virtuální sítě, použijte následující příkaz:

az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg

Pokud chcete ze spravované virtuální sítě odebrat odchozí pravidlo, použijte následující příkaz:

az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg

Python SDK

Následující příklad ukazuje, jak spravovat pravidla odchozích přenosů pro centrum s názvem myhub:

# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Seznam požadovaných pravidel

Tip

Tato pravidla se automaticky přidají do spravované virtuální sítě.

Privátní koncové body:

• Pokud je Allow internet outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako povinná pravidla ze spravované virtuální sítě pro centrum a přidružené prostředky se zakázaným přístupem k veřejné síti (Key Vault, účet úložiště, Container Registry, centrum).
• Pokud je Allow only approved outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro centrum a přidružené prostředky bez ohledu na režim přístupu k veřejné síti pro tyto prostředky (Key Vault, účet úložiště, Container Registry, centrum).

Pravidla značek odchozích služeb:

• AzureActiveDirectory
• Azure Machine Learning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Pravidla značek příchozí služby:

• AzureMachineLearning

Seznam pravidel konkrétních odchozích přenosů scénáře

Scénář: Přístup k veřejným balíčkům strojového učení

Pokud chcete povolit instalaci balíčků Pythonu pro trénování a nasazení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolují provoz do následujících názvů hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.

Poznámka:

Nejedná se o úplný seznam hostitelů požadovaných pro všechny prostředky Pythonu na internetu, pouze nejčastěji používané. Pokud například potřebujete přístup k úložišti GitHub nebo jinému hostiteli, musíte v takovém případě identifikovat a přidat požadované hostitele.

Název hostitele	Účel
anaconda.com *.anaconda.com	Slouží k instalaci výchozích balíčků.
*.anaconda.org	Slouží k získání dat úložiště.
pypi.org	Používá se k výpisu závislostí z výchozího indexu( pokud existuje) a index se nepřepíše uživatelským nastavením. Pokud je index přepsán, musíte také povolit *.pythonhosted.org.
pytorch.org *.pytorch.org	Používá se v některých příkladech založených na PyTorchu.
*.tensorflow.org	Používá se v některých příkladech založených na Tensorflow.

Scénář: Použití editoru Visual Studio Code

Visual Studio Code spoléhá na konkrétní hostitele a porty pro navázání vzdáleného připojení.

Hostitelé

Pokud plánujete používat Visual Studio Code s centrem, přidejte pravidla odchozího plně kvalifikovaného názvu domény , která povolí provoz do následujících hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• pkg-containers.githubusercontent.com
• github.com

Porty

Musíte povolit síťový provoz na porty 8704 až 8710. Server VS Code dynamicky vybere první dostupný port v rámci tohoto rozsahu.

Scénář: Použití modelů HuggingFace

Pokud plánujete používat modely HuggingFace s centrem, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cnd.auth0.com
• cdn-lfs.huggingface.co

Privátní koncové body

Privátní koncové body se v současné době podporují pro následující služby Azure:

• Centrum AI Studio
• Azure Machine Learning
• Registry služby Azure Machine Learning
• Azure Storage (všechny podtypy prostředků)
• Azure Container Registry
• Azure Key Vault
• Služby Azure AI
• Azure AI Vyhledávač
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (všechny podtypy prostředků)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• Azure Database for MariaDB
• Jednoúčelový server Azure Database for PostgreSQL
• Azure Database for MySQL
• Azure SQL Managed Instance
• Azure API Management

Důležité

I když můžete vytvořit privátní koncový bod pro služby Azure AI a Azure AI Search, připojené služby musí umožňovat veřejné sítě. Další informace najdete v tématu Připojení k jiným službám.

Při vytváření privátního koncového bodu zadáte typ prostředku a podsourc , ke kterému se koncový bod připojí. Některé prostředky mají více typů a podsourců. Další informace najdete v privátním koncovém bodu.

Když vytvoříte privátní koncový bod pro prostředky závislostí centra, jako jsou Azure Storage, Azure Container Registry a Azure Key Vault, může být prostředek v jiném předplatném Azure. Prostředek však musí být ve stejném tenantovi jako centrum.

Privátní koncový bod se automaticky vytvoří pro připojení, pokud je cílovým prostředkem výše uvedený prostředek Azure. Pro privátní koncový bod se očekává platné CÍLOVÉ ID. Platným ID cíle pro připojení může být ID Azure Resource Manageru nadřazeného prostředku. Cílové ID je také očekáváno v cíli připojení nebo v metadata.resourceid. Další informace o připojeních najdete v tématu Postup přidání nového připojení v Azure AI Studiu.

Ceny

Funkce spravované virtuální sítě centra je bezplatná. Poplatky se vám ale účtují za následující prostředky, které používá spravovaná virtuální síť:

• Azure Private Link – Privátní koncové body používané k zabezpečení komunikace mezi spravovanou virtuální sítí a prostředky Azure závisí na službě Azure Private Link. Další informace o cenách najdete v tématu Ceny služby Azure Private Link.

• Pravidla odchozích přenosů plně kvalifikovaného názvu domény – pravidla odchozích přenosů plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Skladová položka služby Azure Firewall je standardní. Azure Firewall je zřízený pro každé centrum.

  Důležité

  Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Pokud nepoužíváte pravidla plně kvalifikovaného názvu domény, nebudou se vám účtovat poplatky za službu Azure Firewall. Další informace o cenách najdete v tématu o cenách služby Azure Firewall.

Související obsah

• Vytvoření centra a projektu AI Studio pomocí sady SDK