Come configurare una rete gestita per gli hub Studio AI della piattaforma Azure
Importante
Alcune funzionalità descritte in questo articolo potrebbero essere disponibili solo in anteprima. Questa anteprima viene fornita senza un contratto di servizio e non è consigliabile per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.
L'isolamento rete ha due aspetti. Uno è l'isolamento rete per accedere all'hub di Studio AI della piattaforma Azure. Un altro è l'isolamento rete delle risorse di calcolo per l'hub e il progetto, ad esempio l'istanza di calcolo, l'endpoint online serverless e quello online gestito. Questo documento illustra quest'ultimo evidenziato nel diagramma. È possibile usare l'isolamento rete predefinito dell'hub per proteggere le risorse di calcolo.
È necessario impostare le configurazioni di isolamento rete seguenti.
- Scegliere la modalità di isolamento rete. Sono disponibili due opzioni: la modalità Consenti Internet in uscita o la modalità Consenti solo il traffico in uscita approvato.
- Se si usa l'integrazione di Visual Studio Code con la modalità Consenti solo il traffico in uscita approvato, creare le regole in uscita FQDN descritte nella sezione Usare Visual Studio Code.
- Se si usano modelli HuggingFace in Modelli con la modalità Consenti solo il traffico in uscita approvato, creare le regole FQDN in uscita descritte nella sezione Usare i modelli HuggingFace.
- Se si usa uno dei modelli open source con la modalità Consenti solo il traffico in uscita approvato, creare le regole FQDN in uscita descritte nella sezione Curati da Azure per intelligenza artificiale.
Architettura dell'isolamento rete e modalità di isolamento
Quando si abilita l'isolamento della rete virtuale gestita, viene creata una rete virtuale gestita per l'hub. Le risorse di calcolo gestite create per l'hub usano automaticamente questa rete virtuale gestita. La rete virtuale gestita può usare endpoint privati per le risorse di Azure usate dall'hub, ad esempio Archiviazione di Azure, Azure Key Vault e Registro Azure Container.
Esistono tre diverse modalità di configurazione per il traffico in uscita dalla rete virtuale gestita:
Modalità in uscita | Descrizione | Scenari |
---|---|---|
Consenti Internet in uscita | Consentire tutto il traffico Internet in uscita dalla rete virtuale gestita. | Si vuole accedere senza restrizioni alle risorse di Machine Learning su Internet, ad esempio pacchetti Python o modelli con training preliminare.1 |
Consenti solo il traffico in uscita approvato | Il traffico in uscita è consentito specificando i tag del servizio. | * Si vuole ridurre al minimo il rischio di esfiltrazione di dati, ma è necessario preparare tutti gli artefatti di apprendimento automatico necessari nell'ambiente privato. * Si vuole configurare l'accesso in uscita a un elenco approvato di servizi, tag del servizio o FQDN. |
Disabilitata | Il traffico in ingresso e in uscita non è limitato. | Si vuole il traffico in ingresso e in uscita pubblico dall'hub. |
1: È possibile usare le regole in uscita con la modalità Consenti solo il traffico in uscita approvato per ottenere lo stesso risultato dell'uso previsto dalla modalità di Consenti Internet in uscita. Le differenze sono le seguenti:
- Usare sempre gli endpoint privati per accedere alle risorse di Azure.
- È necessario aggiungere regole per ogni connessione in uscita che bisogna consentire.
- L'aggiunta di regole in uscita FQDN aumenta i costi perché questo tipo di regola usa il Firewall di Azure. Se si usano regole del nome di dominio completo in uscita, i costi per Firewall di Azure vengono inclusi nella fatturazione. Per altre informazioni, vedere Prezzi.
- Le regole predefinite per Consenti solo il traffico in uscita approvato sono progettate per ridurre al minimo il rischio di esfiltrazione di dati. Eventuali regole in uscita aggiunte possono aumentare il rischio.
La rete virtuale gestita è preconfigurata con le regole predefinite necessarie. Viene configurato anche per le connessioni endpoint private all'hub, all'archiviazione predefinita dell'hub, al registro contenitori e all'insieme di credenziali delle chiavi se sono configurati come privati o la modalità di isolamento dell'hub è impostata per consentire solo il traffico in uscita approvato. Dopo aver scelto la modalità di isolamento, potrebbe essere necessario considerare solo altri requisiti in uscita da aggiungere.
Il diagramma seguente mostra una rete virtuale gestita configurata per consentire Internet in uscita:
Il diagramma seguente mostra una rete virtuale gestita configurata per consentire solo i valori in uscita approvati:
Nota
In questa configurazione, l'archiviazione, l'insieme di credenziali delle chiavi e il registro contenitori usati dall'hub vengono contrassegnati come privati. Poiché vengono contrassegnati come privati, viene usato un endpoint privato per comunicare con questi.
Prerequisiti
Prima di seguire la procedura descritta in questo articolo, assicurarsi di disporre dei prerequisiti seguenti:
Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Il provider di risorse Microsoft.Network deve essere registrato per la sottoscrizione di Azure. Questo provider di risorse viene usato dall'hub quando si creano endpoint privati per la rete virtuale gestita.
Per informazioni sulla registrazione dei provider di risorse, vedere Risoluzione degli errori di registrazione del provider di risorse.
L'identità di Azure usata per la distribuzione di una rete gestita richiede le azioni di controllo degli accessi in base al ruolo di Azure seguenti per creare endpoint privati:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Limiti
- Studio AI della piattaforma Azure attualmente non supporta l'uso della propria rete virtuale, ma supporta solo l'isolamento rete virtuale gestita.
- Dopo aver abilitato l'isolamento della rete virtuale gestita di Azure per intelligenza artificiale, non è possibile disabilitarlo.
- La rete virtuale gestita usa la connessione dell'endpoint privato per accedere alle risorse private. Non è possibile avere un endpoint privato e un endpoint di servizio contemporaneamente per le risorse di Azure, ad esempio un account di archiviazione. È consigliabile usare gli endpoint privati in tutti gli scenari.
- La rete virtuale gestita viene eliminata quando Azure per intelligenza artificiale viene eliminato.
- La protezione dell'esfiltrazione di dati viene abilitata automaticamente per la di solo traffico in uscita approvato. Se si aggiungono altre regole in uscita, ad esempio i nomi di dominio completi, Microsoft non può garantire la protezione dall'esfiltrazione di dati a tali destinazioni in uscita.
- L'uso delle regole in uscita FQDN aumenta il costo della rete virtuale gestita perché le regole FQDN usano Firewall di Azure. Per altre informazioni, vedere Prezzi.
- Le regole in uscita FQDN supportano solo le porte 80 e 443.
- Quando si usa un'istanza di calcolo con una rete gestita, usare il comando
az ml compute connect-ssh
per connettersi al calcolo tramite SSH.
Configurare una rete virtuale gestita per consentire Internet in uscita
Suggerimento
La creazione della rete virtuale gestita viene posticipata fino a quando non viene creata una risorsa di calcolo o il provisioning non viene avviato manualmente. Quando si consente la creazione automatica, potrebbero essere necessari circa 30 minuti per creare la prima risorsa di calcolo perché esegue anche il provisioning della rete.
Creare un nuovo hub:
Accedere al portale di Azure e scegliere Studio AI della piattaforma Azure dal menu Crea una risorsa.
Selezionare + Nuovo Azure per intelligenza artificiale.
Specificare le informazioni necessarie nella scheda Informazioni di base.
Dalla scheda Rete, selezionare Privato con Internet in uscita.
Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Regole in uscita specificare le informazioni seguenti:
- Nome della regola: un nome della regola. Il nome deve essere univoco per questo hub.
- Tipo di destinazione: Endpoint privato è l'unica opzione quando l'isolamento rete è privato con Internet in uscita. La rete virtuale gestita dell'hub non supporta la creazione di un endpoint privato per tutti i tipi di risorse di Azure. Per un elenco delle risorse supportate, vedere la sezione Endpoint privati.
- Sottoscrizione: la sottoscrizione contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
- Gruppo di risorse: gruppo di risorse contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
- Tipo di risorsa: tipo di risorsa di Azure.
- Nome della risorsa: nome della risorsa di Azure.
- Risorsa secondaria: risorsa secondaria del tipo di risorsa di Azure.
Seleziona Salva per salvare la regola. È possibile continuare a usare Aggiungi regole in uscita definite dall'utente per aggiungere regole.
Continuare a creare l'hub come di consueto.
Aggiornare un hub esistente:
Accedere al portale di Azure e selezionare l'hub per cui si vuole abilitare l'isolamento della rete virtuale gestita.
Selezionare Rete, quindi selezionare Privato con Internet in uscita.
Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla schedaRete. Nella barra laterale Regole in uscita specificare le stesse informazioni usate durante la creazione di un hub nella sezione "Crea un nuovo hub".
Per eliminare una regola in uscita, selezionare elimina per la regola.
Selezionare Salva nella parte superiore della pagina per salvare le modifiche apportate alla rete virtuale gestita.
Configurare una rete virtuale gestita per consentire solo il traffico in uscita approvato
Suggerimento
Il provisioning della rete virtuale gestita viene eseguito automaticamente quando si crea una risorsa di calcolo. Quando si consente la creazione automatica, potrebbero essere necessari circa 30 minuti per creare la prima risorsa di calcolo perché esegue anche il provisioning della rete. Se sono state configurate regole in uscita FQDN, la prima regola FQDN aggiunge circa 10 minuti al tempo di provisioning.
Creare un nuovo hub:
Accedere al portale di Azure e scegliere Studio AI della piattaforma Azure dal menu Crea una risorsa.
Selezionare + Nuovo Azure per intelligenza artificiale.
Specificare le informazioni necessarie nella scheda Informazioni di base.
Dalla scheda Rete, selezionare Privato con traffico in uscita approvato.
Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Regole in uscita specificare le informazioni seguenti:
- Nome della regola: un nome della regola. Il nome deve essere univoco per questo hub.
- Tipo di destinazione: endpoint privato, tag del servizio o FQDN. I tag del servizio e il nome di dominio completo sono disponibili solo quando l'isolamento rete è privato traffico in uscita approvato.
Se il tipo di destinazione è Endpoint privato, fornire le informazioni seguenti:
- Sottoscrizione: la sottoscrizione contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
- Gruppo di risorse: gruppo di risorse contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
- Tipo di risorsa: tipo di risorsa di Azure.
- Nome della risorsa: nome della risorsa di Azure.
- Risorsa secondaria: risorsa secondaria del tipo di risorsa di Azure.
Suggerimento
La rete virtuale gestita dell'hub non supporta la creazione di un endpoint privato per tutti i tipi di risorse di Azure. Per un elenco delle risorse supportate, vedere la sezione Endpoint privati.
Se il tipo di destinazione è Tag del servizio, specificare le informazioni seguenti:
- Tag del servizio: il tag del servizio da aggiungere alle regole in uscita approvate.
- Protocollo: il protocollo da consentire per il tag del servizio.
- Intervalli porte: intervalli di porte da consentire per il tag del servizio.
Se il tipo di destinazione è FQDN, specificare le informazioni seguenti:
- Destinazione FQDN: il nome di dominio completo da aggiungere alle regole in uscita approvate.
Seleziona Salva per salvare la regola. È possibile continuare a usare Aggiungi regole in uscita definite dall'utente per aggiungere regole.
Continuare a creare l'hub come di consueto.
Aggiornare un hub esistente:
Accedere al portale di Azure e selezionare l'hub per cui si vuole abilitare l'isolamento della rete virtuale gestita.
Selezionare Rete, quindi Privato con traffico in uscita approvato.
Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla schedaRete. Nella barra laterale Regole in uscita specificare le stesse informazioni usate durante la creazione di un hub nella sezione "Crea un nuovo hub" precedente.
Per eliminare una regola in uscita, selezionare elimina per la regola.
Selezionare Salva nella parte superiore della pagina per salvare le modifiche apportate alla rete virtuale gestita.
Effettuare manualmente il provisioning di una rete virtuale gestita
Il provisioning della rete virtuale gestita viene effettuato automaticamente quando si crea un’istanza di calcolo. Quando si fa affidamento sul provisioning automatico, possono essere necessari circa 30 minuti per creare la prima istanza di calcolo perché viene effettuato anche il provisioning della rete. Se sono state configurate regole in uscita FQDN (disponibili solo con la modalità Consentire solo traffico approvato), la prima regola FQDN aggiunge circa 10 minuti al tempo di provisioning. Se si ha un set di regole in uscita di grandi dimensioni da sottoporre a provisioning nella rete gestita, il completamento del provisioning può richiedere più tempo. Un tempo di provisioning più elevato può causare il timeout della creazione della prima istanza di calcolo.
Per ridurre il tempo di attesa ed evitare potenziali errori di timeout, è consigliabile effettuare manualmente il provisioning della rete gestita. Attendere quindi il completamento del provisioning prima di creare un'istanza di calcolo.
Nota
Per creare una distribuzione online, è necessario effettuare manualmente il provisioning della rete gestita o creare prima un'istanza di calcolo che ne effettui automaticamente il provisioning.
Usare le schede dell'interfaccia della riga di comando di Azure o dell' SDK di Python per informazioni su come effettuare manualmente il provisioning della rete virtuale gestita.
Gestire le regole in uscita
- Accedere al portale di Azure e selezionare l'hub per cui si vuole abilitare l'isolamento della rete virtuale gestita.
- Selezionare Rete. La sezione Accesso in uscita di Azure per intelligenza artificiale consente di gestire le regole in uscita.
Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla schedaRete. Nella barra laterale Regole in uscita di Azure per intelligenza artificiale specificare le informazioni seguenti:
Per abilitare o disabilitare una regola, usare l'interruttore nella colonna Attiva.
Per eliminare una regola in uscita, selezionare elimina per la regola.
Elenco delle regole obbligatorie
Suggerimento
Queste regole vengono aggiunte automaticamente alla rete virtuale gestita.
Endpoint privati:
- Quando la modalità di isolamento per la rete virtuale gestita è
Allow internet outbound
, le regole in uscita dell'endpoint privato vengono create automaticamente come regole necessarie dalla rete virtuale gestita per l'hub e le risorse associate con accesso alla rete pubblica disabilitato (insieme di credenziali delle chiavi, account di archiviazione, registro contenitori, hub). - Quando la modalità di isolamento per la rete virtuale gestita è
Allow only approved outbound
, le regole in uscita dell'endpoint privato vengono create automaticamente come regole necessarie dalla rete virtuale gestita per l'hub e le risorse associate indipendentemente dalla modalità di accesso alla rete pubblica per queste risorse (insieme di credenziali delle chiavi, account di archiviazione, registro contenitori, hub).
Regole dei tag del servizio in uscita:
AzureActiveDirectory
Azure Machine Learning
BatchNodeManagement.region
AzureResourceManager
AzureFrontDoor.FirstParty
MicrosoftContainerRegistry
AzureMonitor
Regole dei tag del servizio in ingresso :
AzureMachineLearning
Elenco di regole in uscita specifiche dello scenario
Scenario: accedere ai pacchetti di apprendimento automatico pubblici
Per consentire l'installazione di pacchetti Python per il training e la distribuzione, aggiungere regole FQDN in uscita per consentire il traffico verso i nomi host seguenti:
Nota
Questo non è un elenco completo degli host necessari per tutte le risorse di Python su Internet, ma solo dei più usati. Ad esempio, se è necessario accedere a un repository GitHub o a un altro host, occorre identificare e aggiungere gli host necessari per tale scenario.
Nome host | Scopo |
---|---|
anaconda.com *.anaconda.com |
Usato per installare i pacchetti predefiniti. |
*.anaconda.org |
Usato per ricevere i dati del repository. |
pypi.org |
Usato per elencare le dipendenze dall'indice predefinito, se presenti e se l'indice non viene sovrascritto dalle impostazioni utente. Se l'indice è sovrascritto, è necessario consentire anche *.pythonhosted.org . |
pytorch.org *.pytorch.org |
Usato da alcuni esempi basati su PyTorch. |
*.tensorflow.org |
Usato da alcuni esempi basati su Tensorflow. |
Scenario: usare Visual Studio Code
Visual Studio Code si basa su host e porte specifici per stabilire una connessione remota.
Hosts
Se si prevede di usare Visual Studio Code con l'hub, aggiungere regole FQDN in uscita per consentire il traffico agli host seguenti:
*.vscode.dev
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
raw.githubusercontent.com
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
code.visualstudio.com
update.code.visualstudio.com
*.vo.msecnd.net
marketplace.visualstudio.com
pkg-containers.githubusercontent.com
github.com
Porti
È necessario consentire il traffico di rete verso le porte comprese tra la 8704 e la 8710. Il server di VS Code seleziona in modo dinamico la prima porta disponibile compresa in questo intervallo.
Scenario: usare modelli HuggingFace
Se si prevede di usare modelli HuggingFace con l'hub, aggiungere regole FQDN in uscita per consentire il traffico verso gli host seguenti:
- docker.io
- *.docker.io
- *.docker.com
- production.cloudflare.docker.com
- cnd.auth0.com
- cdn-lfs.huggingface.co
Scenario: Curati da Azure per intelligenza artificiale
Questi modelli comportano l'installazione dinamica delle dipendenze in fase di esecuzione e richiedono regole FQDN in uscita per consentire il traffico verso gli host seguenti:
*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org
Endpoint privati
Gli endpoint privati sono attualmente supportati per i servizi di Azure seguenti:
- Hub di Studio AI
- Azure AI Search
- Servizi di Azure AI
- Gestione API di Azure
- Registro Azure Container
- Azure Cosmos DB (tutti i tipi di risorse secondarie)
- Azure Data Factory
- Database di Azure per MariaDB
- Database di Azure per MySQL
- Database di Azure per PostgreSQL - Server singolo
- Database di Azure per PostgreSQL - Server flessibile
- Azure Databricks
- Hub eventi di Azure
- Azure Key Vault
- Azure Machine Learning
- Registri di Azure Machine Learning
- Cache Redis di Azure
- Azure SQL Server
- Archiviazione di Azure (tutti i tipi di risorse secondarie)
Quando si crea un endpoint privato, si specifica il tipo di risorsa e la risorsa secondaria a cui si connette l'endpoint. Alcune risorse hanno più tipi e risorse secondarie. Per altre informazioni, vedere Che cos'è un endpoint privato.
Quando si crea un endpoint privato per le risorse di dipendenza dell'hub, ad esempio Archiviazione di Azure, Registro Azure Container e Azure Key Vault, la risorsa può trovarsi in una sottoscrizione di Azure diversa. Tuttavia, la risorsa deve trovarsi nello stesso tenant dell'hub.
Un endpoint privato viene creato automaticamente per una connessione se la risorsa di destinazione è una risorsa di Azure elencata in precedenza. È previsto un ID di destinazione valido per l'endpoint privato. Un ID di destinazione valido per la connessione può essere l'ID Azure Resource Manager di una risorsa padre. L'ID di destinazione è previsto anche nella destinazione della connessione o in metadata.resourceid
. Per altre informazioni sulle connessioni, vedere Come aggiungere una nuova connessione in Studio AI della piattaforma Azure.
Prezzi
La funzionalità di rete virtuale gestita dall'hub è gratuita. Tuttavia, vengono addebitati i costi per le seguenti risorse usate dalla rete virtuale gestita:
Collegamento privato di Azure: gli endpoint privati usati per proteggere le comunicazioni tra la rete virtuale gestita e le risorse di Azure si basano sul collegamento privato di Azure. Per altre informazioni sui prezzi, vedere Prezzi di Collegamento privato di Azure.
Regole in uscita FQDN: le regole in uscita FQDN vengono implementate tramite Firewall di Azure. Se si usano regole del nome di dominio completo in uscita, i costi per Firewall di Azure vengono inclusi nella fatturazione. Lo SKU di Firewall di Azure è standard. Viene effettuato il provisioning di Firewall di Azure per hub.
Importante
Il firewall non viene creato fino a quando non si aggiunge una regola FQDN in uscita. Se non si usano regole FQDN, non verranno addebitati i costi per Firewall di Azure. Per altre informazioni sui prezzi, vedere Prezzi di Firewall di Azure.