Comment configurer un réseau managé pour les hubs Azure AI Studio

Important

Certaines des fonctionnalités décrites dans cet article peuvent uniquement être disponibles en préversion. Cette préversion est fournie sans contrat de niveau de service, nous la déconseillons dans des charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Il existe deux aspects de l’isolement réseau. L’un est l’isolement réseau pour accéder à un hub Azure AI Studio. L’autre correspond à l’isolement réseau des ressources de calcul pour votre hub et votre projet (instance de calcul, point de terminaison serverless et managé en ligne, par exemple). Ce document en explique le fonctionnement avec l’appui du diagramme. Vous pouvez utiliser l’isolement réseau intégré de hub pour protéger vos ressources de calcul.

Vous devez définir les configurations d’isolement réseau suivantes.

• Choisissez le mode d’isolement réseau. Vous avez le choix entre deux options : autoriser le trafic sortant Internet ou autoriser uniquement le trafic sortant approuvé.
• Créez des règles de trafic sortant de point de terminaison privé vers vos ressources Azure privées. La Recherche Azure AI privée n’est pas encore prise en charge.
• Si vous utilisez l’intégration Visual Studio Code en autorisant uniquement le trafic sortant approuvé, créez des règles de trafic sortant FQDN comme indiqué dans la section Utiliser Visual Studio Code.
• Si vous utilisez des modèles HuggingFace dans Modèles en autorisant uniquement le trafic sortant approuvé, créez des règles de trafic sortant FQDN comme indiqué dans la section Utiliser des modèles HuggingFace.

Architecture d’isolement réseau et modes d’isolement

Quand vous activez l’isolement de réseau virtuel managé, un réseau virtuel managé est créé pour le hub. Les ressources de calcul managées que vous créez pour le hub utilisent automatiquement ce réseau virtuel managé. Le réseau virtuel managé peut utiliser des points de terminaison privés pour les ressources Azure utilisées par votre hub, comme Stockage Azure, Azure Key Vault et Azure Container Registry.

Il existe trois modes de configuration différents pour le trafic sortant provenant du réseau virtuel managé :

Mode de trafic sortant	Description	Scénarios
Autoriser le trafic sortant Internet	Autoriser tout le trafic sortant Internet provenant du réseau virtuel managé.	Vous souhaitez un accès illimité aux ressources Machine Learning sur Internet, telles que les packages Python ou les modèles préentraînés.1
Autoriser seulement le trafic sortant approuvé	Le trafic sortant est autorisé en spécifiant des étiquettes de service.	* Vous souhaitez réduire le risque d’exfiltration des données, mais vous devez préparer tous les artefacts Machine Learning requis dans votre environnement privé. * Vous souhaitez configurer l’accès sortant à une liste approuvée de services, de balises de service ou de noms de domaine complets.
Désactivé	Le trafic entrant et sortant n’est pas limité.	Vous souhaitez un trafic entrant et sortant public à partir du hub.

¹ Vous pouvez utiliser des règles de trafic sortant avec le mode autoriser uniquement le trafic sortant approuvé pour obtenir le même résultat qu’avec le mode autoriser le trafic sortant Internet. Les différences sont les suivantes :

• Utilisez toujours des points de terminaison privés pour accéder aux ressources Azure.

  Important

  Bien que vous puissiez créer un point de terminaison privé pour la Recherche Azure AI, les services connectés doivent autoriser la mise en réseau publique. Pour plus d’informations, consultez Connectivité à d’autres services.

• Vous devez ajouter des règles pour chaque connexion sortante que vous devez autoriser.

• L’ajout de règles de trafic sortant FQDN augmente vos coûts, car ce type de règle utilise le Pare-feu Azure.

• Les règles par défaut pour autorisent uniquement les sortantes approuvées sont conçues pour réduire le risque d’exfiltration des données. Les règles de trafic sortant que vous ajoutez peuvent accroître votre risque.

Le réseau virtuel managé est préconfiguré avec les règles par défaut requises. Il est également configuré pour les connexions de point de terminaison privé à votre hub, au stockage par défaut du hub, au registre de conteneurs et au coffre de clés s’ils sont configurés comme étant privés, ou le mode d’isolement de hub est défini pour autoriser uniquement le trafic sortant approuvé. Après avoir choisi le mode d’isolement, vous avez seulement besoin de réfléchir aux autres exigences de trafic sortant que vous devrez éventuellement ajouter.

Le diagramme suivant montre un réseau virtuel managé configuré pour autoriser le trafic sortant d’Internet :

Le diagramme suivant montre un réseau virtuel managé configuré pour autoriser uniquement le trafic sortant approuvé :

Remarque

Dans cette configuration, le stockage, le coffre de clés et le registre de conteneurs utilisés par le hub sont marqués comme étant privés. Étant donné qu’ils sont marqués comme privés, un point de terminaison privé est utilisé pour communiquer avec eux.

Prérequis

Avant de suivre les étapes décrites dans cet article, vérifiez que vous disposez des composants requis suivants :

Azure portal

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

• Le fournisseur de ressources Microsoft.Network doit être inscrit pour votre abonnement Azure. Ce fournisseur de ressources est utilisé par le hub lors de la création de points de terminaison privés pour le réseau virtuel managé.

  Pour plus d’informations sur l’inscription d’un fournisseur de ressources, consultez Résoudre les erreurs d’inscription de fournisseurs de ressources.

• L’identité Azure que vous utilisez lors du déploiement d’un réseau managé nécessite les actions suivantes de contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour créer des points de terminaison privés :

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Azure CLI

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

• Le fournisseur de ressources Microsoft.Network doit être inscrit pour votre abonnement Azure. Ce fournisseur de ressources est utilisé par le hub lors de la création de points de terminaison privés pour le réseau virtuel managé.

  Pour plus d’informations sur l’inscription d’un fournisseur de ressources, consultez Résoudre les erreurs d’inscription de fournisseurs de ressources.

• L’identité Azure que vous utilisez lors du déploiement d’un réseau managé nécessite les actions suivantes de contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour créer des points de terminaison privés :

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• L’interface CLI Azure et l’extension ml pour l’interface CLI Azure. Pour plus d’informations, consultez Installer, configurer et utiliser l’interface CLI (v2).

• Les exemples CLI de cet article supposent que vous utilisez le shell Bash (ou un shell compatible). Par exemple, à partir d’un système Linux ou d’un sous-système Windows pour Linux.

• Les exemples Azure CLI de cet article utilisent ws pour représenter le nom du hub et rg pour représenter le nom du groupe de ressources. Changez ces valeurs selon ce qui est nécessaire lors de l’utilisation des commandes avec votre abonnement Azure.

Kit de développement logiciel (SDK) Python

• Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer. Essayez la version gratuite ou payante d’Azure Machine Learning.

• Le fournisseur de ressources Microsoft.Network doit être inscrit pour votre abonnement Azure. Ce fournisseur de ressources est utilisé par le hub lors de la création de points de terminaison privés pour le réseau virtuel managé.

  Pour plus d’informations sur l’inscription d’un fournisseur de ressources, consultez Résoudre les erreurs d’inscription de fournisseurs de ressources.

• L’identité Azure que vous utilisez lors du déploiement d’un réseau managé nécessite les actions suivantes de contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour créer des points de terminaison privés :

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Le SDK Python v2 pour Azure Machine Learning. Pour plus d’informations sur le SDK, consultez Installer le SDK Python v2 pour Azure Machine Learning.

• Les exemples de cet article supposent que votre code commence par le Python suivant. Ce code importe les classes nécessaires lors de la création d’un hub avec un réseau virtuel managé, définit des variables pour votre abonnement Azure et votre groupe de ressources, et crée le paramètre ml_client :

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Limites

• À l’heure actuelle, vous ne pouvez pas apporter votre propre réseau virtuel dans Azure AI Studio. Seul l’isolement de réseau virtuel managé est pris en charge.
• Une fois que vous avez activé l’isolement du réseau virtuel managé de votre instance Azure AI, vous ne pouvez pas la désactiver.
• Le réseau virtuel managé utilise une connexion de point de terminaison privé pour accéder à vos ressources privées. Vous ne pouvez pas avoir un point de terminaison privé et un point de terminaison de service en même temps pour vos ressources Azure, comme un compte de stockage. Nous recommandons d’utiliser des points de terminaison privés dans tous les scénarios.
• Le réseau virtuel managé est supprimé en même temps que l’instance Azure AI.
• La protection contre l’exfiltration des données est automatiquement activée pour le mode trafic sortant approuvé uniquement. Si vous ajoutez d’autres règles de trafic sortant, telles que des noms de domaine complets, Microsoft ne peut pas garantir que vous êtes protégé contre l’exfiltration des données vers ces destinations de trafic sortant.
• L’utilisation de règles de trafic sortant FQDN augmente le coût du réseau virtuel managé, car les règles FQDN utilisent le Pare-feu Azure. Pour plus d’informations, voir la tarification.
• Les règles de trafic sortant FQDN prennent uniquement en charge les ports 80 et 443.
• Lorsque vous utilisez une instance de calcul avec un réseau managé, utilisez la commande az ml compute connect-ssh pour vous connecter à l’instance de calcul en utilisant SSH.

Connectivité à d’autres services

• La Recherche Azure AI doit être publique avec votre hub Azure AI Studio privé approvisionné.
• La fonctionnalité « Ajouter vos données » dans le terrain de jeu Azure AI Studio ne prend pas en charge l’utilisation d’un réseau virtuel ou d’un point de terminaison privé sur les ressources suivantes :
  • Azure AI Search
  • Azure OpenAI
  • Ressource de stockage

Configurer un réseau virtuel managé pour autoriser le trafic sortant Internet

Conseil

La création du réseau virtuel managé est différée jusqu’à ce qu’une ressource de calcul soit créée ou que le provisionnement soit démarré manuellement. Lorsque vous autorisez la création automatique, la création automatique peut prendre environ 30 minutes pour créer la première ressource de calcul, car elle provisionne également le réseau.

Azure portal

• Créer un hub :

  1. Connectez-vous au Portail Azure, puis choisissez Azure AI studio dans le menu Créer une ressource.

  2. Sélectionnez +Nouveau Azure AI.

  3. Fournissez les informations nécessaires sous l’onglet Informations de base.

  4. Sous l’onglet Mise en réseau, sélectionnez Privé avec Internet Sortant.

  5. Pour ajouter une règle de trafic sortant, sélectionnez Ajouter des règles de trafic sortant définies par l’utilisateur dans l’onglet Mise en réseau. Dans la barre latérale Règles de trafic sortant, spécifiez les informations suivantes :

     • Nom de la règle : un nom pour la règle. Le nom doit être unique pour ce hub.
     • Type de destination : le point de terminaison privé est la seule option lorsque l’isolement réseau est privé avec le trafic sortant d’Internet. Le réseau virtuel managé du hub ne prend pas en charge la création d’un point de terminaison privé pour tous les types de ressources Azure. Pour obtenir une liste des ressources prises en charge, consultez la section Points de terminaison privés.
     • Abonnement : l’abonnement qui contient la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
     • Groupe de ressources : le groupe de ressources qui contient la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
     • Type de ressource : le type de la ressource Azure.
     • Nom de la ressource : le nom de la ressource Azure.
     • Sous-ressource : la sous-ressource du type de ressource Azure.

     Sélectionnez Enregistrer pour enregistrer la règle. Vous pouvez continuer à utiliser Ajouter des règles de trafic sortant définies par l’utilisateur pour ajouter des règles.

  6. Continuez à créer le hub comme d’habitude.

• Mettre à jour un hub existant :

  1. Connectez-vous au portail Azure, puis sélectionnez le hub pour lequel vous souhaitez activer l’isolement de réseau virtuel managé.

  2. Sélectionnez l’onglet Mise en réseau, puis Privé avec Internet sortant.

     • Pour ajouter une règle de trafic sortant , sélectionnez Ajouter des règles de trafic sortant définies par l’utilisateur à partir de l’onglet réseau. Dans la barre latérale Règles de trafic sortant, fournissez les mêmes informations que celles utilisées lors de la création d’un hub dans la section « Créer un hub ».

     • Pour supprimer une règle de trafic sortant, sélectionnez supprimer pour la règle.

  3. Sélectionnez Enregistrer en haut de la page pour enregistrer les modifications apportées au réseau virtuel managé.

Azure CLI

Pour configurer un réseau virtuel managé qui autorise les communications sortantes Internet, vous pouvez utiliser le paramètre --managed-network allow_internet_outbound ou un fichier de configuration YAML qui contient les entrées suivantes :

managed_network:
  isolation_mode: allow_internet_outbound

Vous pouvez aussi définir des règles de trafic sortant vers d’autres services Azure sur lesquels le hub s’appuie. Ces règles définissent les points de terminaison privés qui permettent à une ressource Azure de communiquer de façon sécurisée avec le réseau virtuel managé. La règle suivante illustre l’ajout d’un point de terminaison privé à une ressource d’objets blob Azure.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Vous pouvez configurer un réseau virtuel managé en utilisant la commande az ml workspace create ou az ml workspace update :

• Créer un hub :

  L’exemple suivant crée un hub. Le paramètre --managed-network allow_internet_outbound configure un réseau virtuel managé pour le hub :

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Pour créer un hub en utilisant à la place un fichier YAML, utilisez le paramètre --file et spécifiez le fichier YAML qui contient les paramètres de configuration :

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  L’exemple de fichier YAML suivant définit un hub avec un réseau virtuel managé :

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Mettre à jour un hub existant :

  Avertissement

  Avant de mettre à jour un espace de travail existant pour utiliser un réseau virtuel managé, vous devez supprimer toutes les ressources informatiques pour l’espace de travail. Ceci inclut l’instance de calcul, le cluster de calcul et les points de terminaison en ligne managés.

  L’exemple suivant met à jour un hub existant. Le paramètre --managed-network allow_internet_outbound configure un réseau virtuel managé pour le hub :

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Pour mettre à jour un hub existant en utilisant le fichier YAML, utilisez le paramètre --file et spécifiez le fichier YAML qui contient les paramètres de configuration :

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  L’exemple de fichier YAML suivant définit un réseau virtuel managé pour le hub. Il montre également comment ajouter une connexion de point de terminaison privé à une ressource utilisée par le hub. Dans cet exemple, il s’agit d’un point de terminaison privé pour un magasin d’objets blob :

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Kit de développement logiciel (SDK) Python

Pour configurer un réseau virtuel managé qui autorise les communications sortantes Internet, utilisez la classe ManagedNetwork pour définir un réseau avec IsolationMode.ALLOW_INTERNET_OUTBOUND. Vous pouvez ensuite utiliser l’objet ManagedNetwork pour créer un hub ou mettre à jour un hub existant. Pour définir des règles de trafic sortant vers les services Azure sur lesquels le hub s’appuie, utilisez la classe PrivateEndpointDestination pour définir un nouveau point de terminaison privé pour le service.

• Créer un hub :

  L’exemple suivant crée un hub nommé myhub, avec une règle de trafic sortant nommée myrule qui ajoute un point de terminaison privé pour un magasin d’objets blob Azure :

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Mettre à jour un hub existant :

  L’exemple suivant montre comment créer un réseau virtuel managé pour un hub existant nommé myhub :

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Configurer un réseau virtuel managé pour autoriser seulement le trafic sortant approuvé

Conseil

Le réseau virtuel managé est automatiquement approvisionné lorsque vous créez une ressource de calcul. Lorsque vous autorisez la création automatique, la création automatique peut prendre environ 30 minutes pour créer la première ressource de calcul, car elle provisionne également le réseau. Si vous avez configuré des règles de trafic sortant de nom de domaine complet, la première règle de nom de domaine complet ajoute environ 10 minutes au temps d’approvisionnement.

Azure portal

• Créer un hub :

  1. Connectez-vous au Portail Azure, puis choisissez Azure AI studio dans le menu Créer une ressource.

  2. Sélectionnez +Nouveau Azure AI.

  3. Fournissez les informations nécessaires sous l’onglet Informations de base.

  4. Sous l’onglet Mise en réseau, sélectionnez Privé avec trafic sortant approuvé.

  5. Pour ajouter une règle de trafic sortant, sélectionnez Ajouter des règles de trafic sortant définies par l’utilisateur dans l’onglet Mise en réseau. Dans la barre latérale Règles de trafic sortant, spécifiez les informations suivantes :

     • Nom de la règle : un nom pour la règle. Le nom doit être unique pour ce hub.
     • Type de destination : point de terminaison privé, étiquette de service ou nom de domaine complet. L’étiquette de service et le nom de domaine complet sont disponibles uniquement lorsque l’isolement réseau est privé avec un trafic sortant approuvé.

     Si le type de destination est Point de terminaison privé, fournissez les informations suivantes :

     • Abonnement : l’abonnement qui contient la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
     • Groupe de ressources : le groupe de ressources qui contient la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
     • Type de ressource : le type de la ressource Azure.
     • Nom de la ressource : le nom de la ressource Azure.
     • Sous-ressource : la sous-ressource du type de ressource Azure.

     Conseil

     Le réseau virtuel managé du hub ne prend pas en charge la création d’un point de terminaison privé pour tous les types de ressources Azure. Pour obtenir une liste des ressources prises en charge, consultez la section Points de terminaison privés.

     Si le type de destination est Étiquette de service, fournissez les informations suivantes :

     • Étiquette de service : l’étiquette de service à ajouter aux règles de trafic sortant approuvées.
     • Protocole : le protocole à autoriser pour l’étiquette de service.
     • Plages de ports : les plages de ports à autoriser pour l’étiquette de service.

     Si le type de destination est Nom de domaine complet, fournissez les informations suivantes :

     Avertissement

     Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet de trafic sortant, des frais pour le Pare-feu Azure sont inclus dans votre facturation. Pour plus d’informations, voir la tarification.

     • Destination du nom de domaine complet : le nom de domaine complet à ajouter aux règles de trafic sortant approuvées.

     Sélectionnez Enregistrer pour enregistrer la règle. Vous pouvez continuer à utiliser Ajouter des règles de trafic sortant définies par l’utilisateur pour ajouter des règles.

  6. Continuez à créer le hub comme d’habitude.

• Mettre à jour un hub existant :

  1. Connectez-vous au portail Azure, puis sélectionnez le hub pour lequel vous souhaitez activer l’isolement de réseau virtuel managé.

  2. Sélectionnez l’onglet Mise en réseau, puis Privé avec trafic sortant approuvé.

     • Pour ajouter une règle de trafic sortant , sélectionnez Ajouter des règles de trafic sortant définies par l’utilisateur à partir de l’onglet réseau. Dans la barre latérale Règles de trafic sortant, fournissez les mêmes informations que celles utilisées lors de la création d’un hub dans la section « Créer un hub » précédente.

     • Pour supprimer une règle de trafic sortant, sélectionnez supprimer pour la règle.

  3. Sélectionnez Enregistrer en haut de la page pour enregistrer les modifications apportées au réseau virtuel managé.

Azure CLI

Pour configurer un réseau virtuel managé qui autorise seulement les communications sortantes approuvées, vous pouvez utiliser le paramètre --managed-network allow_only_approved_outbound ou un fichier de configuration YAML qui contient les entrées suivantes :

managed_network:
  isolation_mode: allow_only_approved_outbound

Vous pouvez aussi définir des règles de trafic sortant pour définir les communications sortantes approuvées. Une règle de trafic sortant peut être créée pour un type de service_tag, fqdnet private_endpoint. La règle suivante illustre l’ajout d’un point de terminaison privé à une ressource Azure Blob, d’une étiquette de service à Azure Data Factory et d’un nom de domaine complet à pypi.org :

Important

• L’ajout d’un trafic sortant pour une étiquette de service ou un nom de domaine complet est valide seulement quand le réseau virtuel managé est configuré sur allow_only_approved_outbound.
• Si vous ajoutez des règles de trafic sortant, Microsoft ne peut pas garantir l’exfiltration des données.

Avertissement

Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles FQDN sortantes, les frais du Pare-feu Azure sont ajoutés à votre facturation. Pour plus d’informations, voir la tarification.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Vous pouvez configurer un réseau virtuel managé en utilisant la commande az ml workspace create ou az ml workspace update :

• Créer un hub :

  L’exemple suivant utilise le paramètre --managed-network allow_only_approved_outbound pour configurer le réseau virtuel managé :

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Le fichier YAML suivant définit un hub avec un réseau virtuel managé :

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Pour créer un hub en utilisant le fichier YAML, utilisez le paramètre --file :

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Mettre à jour un hub existant

  Avertissement

  Avant de mettre à jour un espace de travail existant pour utiliser un réseau virtuel managé, vous devez supprimer toutes les ressources informatiques pour l’espace de travail. Ceci inclut l’instance de calcul, le cluster de calcul et les points de terminaison en ligne managés.

  L’exemple suivant utilise le paramètre --managed-network allow_only_approved_outbound pour configurer le réseau virtuel managé pour un hub existant :

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Le fichier YAML suivant définit un réseau virtuel managé pour le hub. Il montre également comment ajouter un trafic sortant approuvé au réseau virtuel managé. Dans cet exemple, une règle de trafic sortant est ajoutée pour une étiquette de service :

  Avertissement

  Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles FQDN sortantes, les frais du Pare-feu Azure sont ajoutés à votre facturation. Pour plus d’informations, voir la tarification.

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Kit de développement logiciel (SDK) Python

Pour configurer un réseau virtuel managé qui autorise seulement les communications sortantes approuvées, utilisez la classe ManagedNetwork pour définir un réseau avec IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Vous pouvez ensuite utiliser l’objet ManagedNetwork pour créer un hub ou mettre à jour un hub existant. Pour définir des règles de trafic sortant, utilisez les classes suivantes :

Destination	Classe
Service Azure sur lequel le hub s’appuie	PrivateEndpointDestination
Étiquette de service Azure	ServiceTagDestination
nom de domaine complet (FQDN)	FqdnDestination

• Créer un hub :

  L’exemple suivant crée un hub nommé myhub, avec plusieurs règles de trafic sortant :

  • myrule - Ajoute un point de terminaison privé pour un magasin d’objets blob Azure.
  • datafactory- Ajoute une règle d’étiquette de service pour communiquer avec Azure Data Factory.

  Important

  • L’ajout d’un trafic sortant pour une étiquette de service ou un nom de domaine complet est valide seulement quand le réseau virtuel managé est configuré sur IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Si vous ajoutez des règles de trafic sortant, Microsoft ne peut pas garantir l’exfiltration des données.

  Avertissement

  Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles FQDN sortantes, les frais du Pare-feu Azure sont ajoutés à votre facturation. Pour plus d’informations, voir la tarification.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Mettre à jour un hub existant :

  L’exemple suivant montre comment créer un réseau virtuel managé pour un hub Azure Machine Learning existant nommé myhub. L’exemple ajoute également plusieurs règles de trafic sortant pour le réseau virtuel managé :

  • myrule - Ajoute un point de terminaison privé pour un magasin d’objets blob Azure.
  • datafactory- Ajoute une règle d’étiquette de service pour communiquer avec Azure Data Factory.

  Conseil

  L’ajout d’un trafic sortant pour une étiquette de service ou un nom de domaine complet est valide seulement quand le réseau virtuel managé est configuré sur IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Avertissement

  Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles FQDN sortantes, les frais du Pare-feu Azure sont ajoutés à votre facturation. Pour plus d’informations, voir la tarification.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Gérer les règles de trafic sortant

Azure portal

1. Connectez-vous au portail Azure, puis sélectionnez le hub pour lequel vous souhaitez activer l’isolement de réseau virtuel managé.
2. Sélectionnez Mise en réseau. La section Accès sortant Azure AI vous permet de gérer les règles de trafic sortant.

• Pour ajouter une règle de trafic sortant , sélectionnez Ajouter des règles de trafic sortant définies par l’utilisateur à partir de l’onglet réseau. À partir de la barre latérale Règles de trafic sortant Azure AI, fournissez les informations suivantes :

• Pour activer ou désactiver une règle, utilisez le bouton bascule dans la colonne Activé.

• Pour supprimer une règle de trafic sortant, sélectionnez supprimer pour la règle.

Azure CLI

Pour afficher la liste des règles de trafic sortant d’un réseau virtuel managé pour un hub, utilisez la commande suivante :

az ml workspace outbound-rule list --workspace-name myhub --resource-group rg

Pour afficher les détails d’une règle de trafic sortant de réseau virtuel managé, utilisez la commande suivante :

az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg

Pour supprimer une règle de trafic sortant du réseau virtuel managé, utilisez la commande suivante :

az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg

Kit de développement logiciel (SDK) Python

L’exemple suivant montre comment gérer les règles de trafic sortant pour un hub nommé myhub :

# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Liste des règles requises

Conseil

Ces règles sont ajoutées automatiquement au réseau virtuel managé.

Points de terminaison privés.

• Lorsque le mode d’isolement du réseau virtuel managé est Allow internet outbound, les règles de trafic sortant de point de terminaison privé sont automatiquement créées en tant que règles obligatoires depuis le réseau virtuel managé pour le hub et les ressources associées avec l’accès au réseau public désactivé (Key Vault, Compte de stockage, Container Registry, hub).
• Lorsque le mode d’isolement du réseau virtuel managé est Allow only approved outbound, les règles de trafic sortant de point de terminaison privé sont automatiquement créées comme étant des règles obligatoires depuis le réseau virtuel managé pour le hub et les ressources associées, quel que soit le mode d’accès au réseau public défini pour ces ressources (Key Vault, Compte de stockage, Container Registry, hub).

Règles d’étiquette de service de trafic sortant :

• AzureActiveDirectory
• Azure Machine Learning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Règles d’étiquette de service de trafic entrant :

• AzureMachineLearning

Liste des règles de trafic sortant spécifiques au scénario

Scénario : accéder aux packages de Machine Learning publics

Pour autoriser l’installation de packages Python pour l’entraînement et le déploiement, ajoutez des règles de nom de domaine complet sortant pour autoriser le trafic vers les noms d’hôte suivants :

Avertissement

Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet de trafic sortant, des frais pour le Pare-feu Azure sont inclus dans votre facturation. Pour plus d’informations, voir la tarification.

Remarque

Il ne s’agit pas d’une liste complète des ordinateurs hôtes requis pour toutes les ressources Python sur Internet, uniquement celles les plus couramment utilisées. Par exemple, si vous avez besoin d’accéder à un référentiel GitHub ou à un autre hôte, vous devez identifier et ajouter les ordinateurs hôtes requis pour ce scénario.

Nom d’hôte	Objectif
anaconda.com *.anaconda.com	Utilisé pour installer les packages par défaut.
*.anaconda.org	Utilisé pour récupérer les données des dépôts.
pypi.org	Utilisé pour lister les dépendances de l’index par défaut, le cas échéant, et si l’index n’a pas été remplacé par les paramètres utilisateur. Si l’index a été remplacé, vous devez également autoriser *.pythonhosted.org.
pytorch.org *.pytorch.org	Utilisé par certains exemples basés sur PyTorch.
*.tensorflow.org	Utilisé par certains exemples basés sur Tensorflow.

Scénario : utilisation de Visual Studio Code

Visual Studio Code s’appuie sur des hôtes et des ports spécifiques pour établir une connexion distante.

Hôtes

Si vous envisagez d’utiliser Visual Studio Code avec le hub, ajoutez des règles de trafic sortant FQDN pour autoriser le trafic à destination des hôtes suivants :

Avertissement

Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet de trafic sortant, des frais pour le Pare-feu Azure sont inclus dans votre facturation. Pour plus d’informations, voir la tarification.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• pkg-containers.githubusercontent.com
• github.com

Ports

Vous devez autoriser le trafic réseau vers les ports 8704 à 8710. Le serveur VS Code sélectionne dynamiquement le premier port disponible dans cette plage.

Scénario : utilisation de modèles HuggingFace

Si vous envisagez d’utiliser des modèles HuggingFace avec le hub, ajoutez des règles de trafic sortant FQDN pour autoriser le trafic à destination des hôtes suivants :

Avertissement

Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet de trafic sortant, des frais pour le Pare-feu Azure sont inclus dans votre facturation. Pour plus d’informations, voir la tarification.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cnd.auth0.com
• cdn-lfs.huggingface.co

Points de terminaison privés

Les points de terminaison privés sont actuellement pris en charge pour les services Azure suivants :

• Hub AI Studio
• Azure Machine Learning
• Registres Azure Machine Learning
• Stockage Azure (tous les types de sous-ressources)
• Azure Container Registry
• Azure Key Vault
• Azure AI services
• Recherche Azure AI
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (tous les types de sous-ressources)
• Azure Event Hubs
• Cache Redis Azure
• Azure Databricks
• Azure Database for MariaDB
• Azure Database pour PostgreSQL - Serveur unique
• Azure Database pour MySQL
• Azure SQL Managed Instance
• Gestion des API Azure

Important

Bien que vous puissiez créer un point de terminaison privé pour Azure AI services et la Recherche Azure AI, les services connectés doivent autoriser le réseau public. Pour plus d’informations, consultez Connectivité à d’autres services.

Lorsque vous créez un point de terminaison privé, vous fournissez le type de ressource et la sous-ressource auxquels le point de terminaison se connecte. Certaines ressources ont plusieurs types et sous-ressources. Pour plus d’informations, consultez Qu’est-ce qu’un point de terminaison privé ?.

Lorsque vous créez un point de terminaison privé pour des ressources de dépendance du hub, telles que Stockage Azure, Azure Container Registry et Azure Key Vault, la ressource peut se trouver dans un autre abonnement Azure. En revanche, la ressource doit se trouver dans le même locataire que le hub.

Un point de terminaison privé est créé automatiquement pour une connexion si la ressource cible est une ressource Azure répertoriée ci-dessus. Un ID cible valide est attendu pour le point de terminaison privé. Un ID cible valide pour la connexion peut être l’ID Azure Resource Manager d’une ressource parente. L’ID cible est également attendu dans la cible de la connexion ou dans metadata.resourceid. Pour plus d’informations sur les connexions, consultez Comment ajouter une nouvelle connexion dans Azure AI Studio.

Tarification

La fonctionnalité de réseau virtuel managé du hub est gratuite. Toutefois, les ressources suivantes utilisées par le réseau virtuel managé vous sont facturées :

• Azure Private Link : les points de terminaison privés utilisés pour sécuriser les communications entre le réseau virtuel managé et les ressources Azure s’appuient sur Azure Private Link. Pour plus d’informations sur la tarification, consultez Tarification Azure Private Link.

• Règles de trafic sortant de nom de domaine complet : les règles de trafic sortant de nom de domaine complet sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet de trafic sortant, des frais pour le Pare-feu Azure sont inclus dans votre facturation. La référence SKU du pare-feu Azure est standard. Le Pare-feu Azure est approvisionné par hub.

  Important

  Le pare-feu n’est pas créé tant que vous n’avez pas ajouté une règle de nom de domaine complet sortant. Si vous n’utilisez pas de règles de nom de domaine complet, vous ne serez pas facturé pour le pare-feu Azure. Pour plus d’informations sur la tarification, consultez Tarification du Pare-feu Azure.

Contenu connexe

• Créer un hub et un projet AI Studio à l’aide du SDK