Utiliser des collections du Catalogue de modèles avec un réseau virtuel géré par l’espace de travail
Dans cet article, vous allez apprendre à utiliser les différentes collections du catalogue de modèles dans un réseau isolé.
Le réseau virtuel managé est le seul moyen de prendre en charge l’isolation du réseau avec le catalogue de modèles. Il fournit une configuration facile pour sécuriser votre espace de travail. Une fois que vous avez activé le réseau virtuel managé au niveau de l’espace de travail, les ressources liées à l’espace de travail dans le même réseau virtuel utilisent le même paramètre réseau au niveau de l’espace de travail. Vous pouvez également configurer l’espace de travail pour utiliser un point de terminaison privé pour accéder à d’autres ressources Azure telles qu’Azure OpenAI. De plus, vous pouvez configurer la règle de nom de domaine complet pour approuver le trafic sortant vers des ressources non-Azure, ce qui est nécessaire pour utiliser certaines des collections dans le catalogue de modèles. Consultez Isolement d’un réseau géré par l’espace de travail pour activer le réseau virtuel géré par l’espace de travail.
La création du réseau virtuel managé est différée jusqu’à ce qu’une ressource de calcul soit créée ou que le provisionnement soit démarré manuellement. Vous pouvez utiliser la commande suivante pour déclencher manuellement l’approvisionnement réseau.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Réseau virtuel géré par l’espace de travail pour autoriser le trafic Internet sortant
Configurez un espace de travail avec un réseau virtuel géré pour autoriser le trafic internet sortant en suivant les étapes répertoriées ici.
Si vous choisissez de définir l’accès du réseau public à l’espace de travail sur désactivé, vous pouvez vous connecter à l’espace de travail à l’aide de l’une des méthodes suivantes :
Passerelle VPN Azure : permet de connecter des réseaux locaux au réseau virtuel via une connexion privée. La connexion est établie via l’Internet public. Il existe deux types de passerelles VPN que vous pouvez utiliser :
- Point à site : chaque ordinateur client utilise un client VPN pour se connecter au réseau virtuel.
- Site à site : un périphérique VPN connecte le réseau virtuel à votre réseau local.
ExpressRoute – Connecte les réseaux locaux au cloud via une connexion privée. La connexion est établie à l’aide d’un fournisseur de connectivité.
Azure Bastion : dans ce scénario, vous créez une machine virtuelle Azure (parfois appelée « jumpbox ») à l’intérieur du réseau virtuel. Vous vous connectez ensuite à la machine virtuelle à l’aide d’Azure Bastion. Bastion vous permet de vous connecter à la machine virtuelle à l’aide d’une session RDP ou SSH à partir de votre navigateur web local. Vous utilisez ensuite la jump box comme environnement de développement. Étant donné qu’elle se trouve à l’intérieur du réseau virtuel, elle peut accéder directement à l’espace de travail.
Étant donné que le réseau virtuel géré par l’espace de travail peut accéder à Internet dans cette configuration, vous pouvez utiliser toutes les collections du Catalogue de modèles à partir de l’espace de travail.
Réseau virtuel géré par l’espace de travail pour autoriser seulement le trafic sortant approuvé
- Configurez un espace de travail en suivant la procédure décrite dans Isolation de réseau gérée par l’espace de travail. À l’étape 3 du tutoriel, quand vous sélectionnez Accès sortant géré par l’espace de travail, sélectionnez Autoriser uniquement le trafic sortant approuvé.
- Si vous désactivez l’accès du réseau public à l’espace de travail, vous pouvez vous connecter à l’espace de travail à l’aide de l’une des méthodes répertoriées à l’étape 2 de la section Autoriser le trafic sortant Internet de ce tutoriel.
- Le réseau virtuel managé de l’espace de travail est défini sur une configuration Autoriser uniquement. Vous devez ajouter une règle de trafic sortant définie par l’utilisateur correspondante pour autoriser tous les noms de domaine complets appropriés.
- Suivez ce lien pour obtenir la liste des noms de domaine complets requis pour la collection Curated by Azure AI.
- Suivez ce lien pour obtenir la liste des noms de domaine complets requis pour la collection Hugging Face.
Utilisation des modèles open source organisés par Azure Machine Learning
Le réseau virtuel géré par l’espace de travail pour autoriser uniquement le trafic sortant approuvé utilise une stratégie de point de terminaison de service vers les comptes de stockage gérés par Azure Machine Learning pour vous aider à accéder aux modèles dans les collections organisées par Azure Machine Learning de manière prête à l’emploi. Ce mode de configuration de l’espace de travail a également un trafic sortant par défaut vers Microsoft Container Registry qui contient l’image Docker utilisée pour déployer les modèles.
Modèles de langage dans la collection « Curated by Azure AI »
Ces modèles impliquent une installation dynamique des dépendances au moment de l’exécution. Pour ajouter une règle de trafic sortant définie par l’utilisateur, suivez l’étape 4. Pour utiliser la collection Curated by Azure AI, les utilisateurs doivent ajouter des règles de trafic sortant définies par l’utilisateur pour les noms de domaine complets suivants au niveau de l’espace de travail :
*.anaconda.org*.anaconda.comanaconda.compypi.org*.pythonhosted.org*.pytorch.orgpytorch.org
Suivez l’étape 4 du tutoriel sur les réseaux virtuels managés pour ajouter les règles de trafic sortant définies par l’utilisateur correspondantes.
Avertissement
Les règles de trafic sortant FQDN sont implémentées à l’aide du Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet de trafic sortant, des frais pour le Pare-feu Azure sont inclus dans votre facturation. Pour plus d’informations, voir la tarification.
Meta collection
Les utilisateurs peuvent utiliser cette collection dans des espaces de travail isolés du réseau sans aucune autre règle de trafic sortant définie par l’utilisateur.
Remarque
De nouvelles collections organisées sont ajoutées fréquemment au Catalogue de modèles. Nous allons mettre à jour cette documentation pour refléter la prise en charge des réseaux privés pour différentes collections.
Utiliser la collection Hugging Face
Les pondérations de modèle ne sont pas hébergées sur Azure si vous utilisez le registre Hugging Face. Les pondérations de modèle sont téléchargées directement à partir de Hugging Face Hub vers les points de terminaison en ligne de votre espace de travail lors du déploiement. Les utilisateurs doivent ajouter les règles de noms de domaine complets sortants suivantes pour Hugging Face Hub, Docker Hub et leurs CDN pour autoriser le trafic vers les hôtes suivants :
docker.iohuggingface.coproduction.cloudflare.docker.comcdn-lfs.huggingface.cocdn.auth0.com
Suivez l’étape 4 du tutoriel sur les réseaux virtuels managés pour ajouter les règles de trafic sortant définies par l’utilisateur correspondantes.
Étapes suivantes
- Découvrez comment résoudre les problèmes de réseau virtuel géré
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour