Come configurare un collegamento privato per hub di Studio AI della piattaforma Azure

Importante

Alcune funzionalità descritte in questo articolo potrebbero essere disponibili solo in anteprima. Questa anteprima viene fornita senza un contratto di servizio e non è consigliabile per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate. Per altre informazioni, vedere le Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.

L'isolamento rete ha due aspetti. Uno è l'isolamento rete per accedere all'hub di Studio AI della piattaforma Azure. Un altro è l'isolamento rete delle risorse di calcolo nell'hub e nel progetto, ad esempio l'istanza di calcolo, l'endpoint online serverless e quello online gestito. Questo articolo illustra il primo, evidenziato nel diagramma. È possibile usare il collegamento privato per stabilire una connessione privata all'hub e alle relative risorse predefinite. Questo articolo verte su Studio AI della piattaforma Azure (hub e progetti). Per informazioni sui Servizi di Azure AI, vedere la documentazione dei Servizi di Azure AI.

Nel gruppo di risorse si ottengono diverse risorse predefinite dell'hub. È necessario impostare le configurazioni di isolamento rete seguenti.

• Disabilitare l'accesso alla rete pubblica delle risorse predefinite dell'hub, ad esempio Archiviazione di Azure, Azure Key Vault e Registro Azure Container.
• Stabilire la connessione dell'endpoint privato alle risorse predefinite dell'hub. Per l'account di archiviazione predefinito è necessario disporre sia di un BLOB che di un endpoint privato di file.
• Configurazioni di identità gestite per consentire agli hub di accedere all'account di archiviazione, se è privato.
• Ricerca di intelligenza artificiale di Azure deve essere pubblica.

Prerequisiti

• Per creare l'endpoint privato, è necessario disporre di una rete virtuale di Azure esistente.

  Importante

  Non è consigliabile usare l'intervallo di indirizzi IP 172.17.0.0/16 per la rete virtuale. Si tratta dell'intervallo di subnet predefinito usato dalla rete di bridge Docker oppure in locale.

• Disabilitare i criteri di rete per gli endpoint privati prima di aggiungere l'endpoint privato.

Creare un hub che usa un endpoint privato

Usare uno dei metodi seguenti per creare un hub con un endpoint privato. Ognuno di questi metodi richiede una rete virtuale esistente:

Azure portal

1. Nel portale di Azure passare a Studio AI della piattaforma Azure e scegliere + Nuova istanza di Azure per intelligenza artificiale.
2. Scegliere la modalità di isolamento della rete nella scheda Rete.
3. Scorrere verso il basso fino ad Accesso in ingresso all'area di lavoro e scegliere + Aggiungi.
4. Campi obbligatori di input. Per Area, selezionare la stessa area della rete virtuale.

Interfaccia della riga di comando di Azure

Dopo aver creato l'hub, usare i comandi dell'interfaccia della riga di comando di rete di Azure per creare un endpoint di collegamento privato per l'hub.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Per creare le voci della zona DNS privato per l'area di lavoro, usare i comandi seguenti:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Aggiungere un endpoint privato a un hub

Usare uno dei metodi seguenti per aggiungere un endpoint privato a un hub esistente:

Azure portal

1. Selezionare il proprio hub nel portale di Azure.
2. Sul lato sinistro della pagina selezionare Rete e quindi selezionare la scheda Connessioni endpoint privato.
3. Per Area, selezionare la stessa area della rete virtuale.
4. Quando si seleziona Tipo di risorsa, usare azuremlworkspace.
5. Impostare l'opzione Risorsa sul nome dell'area di lavoro.

Infine, selezionare Crea per creare l'endpoint privato.

Interfaccia della riga di comando di Azure

Usare i comandi dell'interfaccia della riga di comando di rete di Azure per creare un endpoint di collegamento privato per l'hub.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Per creare le voci della zona DNS privato per l'area di lavoro, usare i comandi seguenti:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Rimuovere un endpoint privato

È possibile rimuovere uno o tutti gli endpoint privati per un hub. La rimozione di un endpoint privato rimuove l'hub dalla rete virtuale di Azure a cui è associato l'endpoint. La rimozione dell'endpoint privato potrebbe impedire all'hub di accedere alle risorse nella rete virtuale o alle risorse nella rete virtuale di accedere all'area di lavoro. Ad esempio, se la rete virtuale non consente l'accesso a, o dalla, rete Internet pubblica.

Avviso

La rimozione degli endpoint privati per un hub non li rende accessibile pubblicamente. Per rendere l'hub accessibile pubblicamente, seguire la procedura descritta nella sezione Abilitare l'accesso pubblico.

Per rimuovere un endpoint privato, usare le informazioni seguenti:

Azure portal

1. Selezionare il proprio hub nel portale di Azure.
2. Sul lato sinistro della pagina selezionare Rete e quindi selezionare la scheda Connessioni endpoint privato.
3. Selezionare l'endpoint da rimuovere e quindi scegliere Rimuovi.

Interfaccia della riga di comando di Azure

Quando si usa l'interfaccia della riga di comando di Azure, usare il comando seguente per rimuovere l'endpoint privato:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Abilitare l'accesso pubblico

In alcune situazioni, è possibile consentire a un utente di connettersi all'hub protetto tramite un endpoint pubblico, anziché tramite la rete virtuale. In alternativa, è possibile rimuovere l'area di lavoro dalla rete virtuale e riabilitare l'accesso pubblico.

Importante

L'abilitazione dell'accesso pubblico non rimuove gli endpoint privati esistenti. Tutte le comunicazioni tra componenti dietro la rete virtuale a cui si connettono gli endpoint privati sono ancora protette. Consente l'accesso pubblico solo all'hub, oltre all'accesso privato tramite qualsiasi endpoint privato.

Per abilitare l'accesso pubblico, seguire questa procedura:

Azure portal

1. Selezionare il proprio hub nel portale di Azure.
2. Sul lato sinistro della pagina selezionare Rete e quindi selezionare la scheda Accesso pubblico.
3. Selezionare Abilitato da tutte le retie quindi Salva.

Interfaccia della riga di comando di Azure

Usare il comando seguente dell'interfaccia della riga di comando di Azure per abilitare l'accesso pubblico:

az ml workspace update \
    --set public_network_access=Enabled \
    -n <workspace-name> \
    -g <resource-group-name>

Se viene visualizzato un errore che indica che il comando ml non viene trovato, usare i comandi seguenti per installare l'estensione dell'interfaccia della riga di comando di Azure Machine Learning:

az extension add --name ml

Configurazione dell'identità gestita

Se si rende privato l'account di archiviazione, è necessaria una configurazione di identità gestita. I servizi devono leggere/scrivere dati nell'account di archiviazione privato usando Consentire ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione con le configurazioni di identità gestite seguenti. Abilitare l'identità gestita assegnata dal sistema del servizio di Azure per intelligenza artificiale e Azure AI Search, quindi configurare il controllo degli accessi in base al ruolo per ogni identità gestita.

Ruolo	Identità gestita	Conto risorse	Scopo	Riferimento
Storage File Data Privileged Contributor	Progetto di Studio AI della piattaforma Azure	Account di archiviazione	Dati del prompt flow di lettura/scrittura.	Documento Prompt flow
Storage Blob Data Contributor	Servizio di Azure per intelligenza artificiale	Account di archiviazione	Leggere dal contenitore di input, scrivere nel risultato di pre-elaborazione nel contenitore di output.	Documento Azure OpenAI
Storage Blob Data Contributor	Azure AI Search	Account di archiviazione	Leggere BLOB e scrivere un archivio conoscenze	Documento di ricerca.

Configurazione DNS personalizzato

Vedere l'articolo DNS personalizzato di Azure Machine Learning per le configurazioni di inoltro DNS.

Se è necessario configurare un server DNS personalizzato senza inoltro DNS, usare i modelli seguenti per i record A necessari.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Nota

  Il nome dell'area di lavoro per questo FQDN può essere troncato. Il troncamento viene eseguito per mantenere ml-<workspace-name, truncated>-<region>-<workspace-guid> a 63 caratteri o meno.

• <instance-name>.<region>.instances.azureml.ms

  Nota

  • È possibile accedere alle istanze di ambiente di calcolo solo dall'interno della rete virtuale.
  • L'indirizzo IP per questo FQDN non è l'indirizzo IP dell'istanza di ambiente di calcolo. Usare invece l'indirizzo IP privato dell'endpoint privato dell'area di lavoro (indirizzo IP delle voci *.api.azureml.ms).

• <instance-name>.<region>.instances.azureml.ms - Usato solo dal az ml compute connect-ssh comando per connettersi ai calcoli in una rete virtuale gestita. Non necessario se non si usa una rete gestita o connessioni SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.com- in uso da parte di endpoint online gestiti

Per trovare gli indirizzi IP privati per i record A, vedere l'articolo DNS personalizzato di Azure Machine Learning. Per controllare AI-PROJECT-GUID, passare al portale di Azure, selezionare il progetto, le impostazioni e le proprietà; verrà visualizzato l'ID dell'area di lavoro.

Limiti

• I servizi di Azure AI privati e Azure AI Search non sono supportati.
• La funzionalità "Aggiungere i dati" nel playground di Studio AI della piattaforma Azure non supporta l'account di archiviazione privato.
• Se si usa Mozilla Firefox, è possibile che si verifichino problemi durante il tentativo di accedere all'endpoint privato per l'hub. Questo problema può essere correlato al DNS su HTTPS in Mozilla Firefox. È consigliabile usare Microsoft Edge o Google Chrome.

Passaggi successivi

• Creare un progetto di Studio AI della piattaforma Azure
• Altre informazioni su Studio AI della piattaforma Azure
• Altre informazioni sugli hub di Studio AI della piattaforma Azure
• Risolvere i problemi di connettività sicura a un progetto