Modifica dell'isolamento della rete con la nuova piattaforma API in Azure Resource Manager
Questo articolo illustra le modifiche all'isolamento della rete con la nuova piattaforma API v2 in Azure Resource Manager (ARM) e il rispettivo effetto sull'isolamento della rete.
Informazioni sulla nuova piattaforma API in Azure Resource Manager (ARM)
Esistono due tipi di modalità operative usate dalle API v1 e v2, ovvero Azure Resource Manager (ARM) e area di lavoro di Azure Machine Learning.
Con l'API v1 la maggior parte delle operazioni usava l'area di lavoro. Per v2 la maggior parte delle operazioni è passata all'uso di Azure Resource Manager pubblico.
| Versione dell'API | Azure Resource Manager pubblico | All'interno della rete virtuale dell'area di lavoro |
|---|---|---|
| v1 | Operazioni di creazione, aggiornamento ed eliminazione (CRUD) dell'area di lavoro e di calcolo. | Altre operazioni, ad esempio esperimenti. |
| v2 | La maggior parte delle operazioni, ad esempio area di lavoro, calcolo, archivio dati, set di dati, processo, ambiente, codice, componente, endpoint. | Operazioni rimanenti. |
L'API v2 offre un'API coerente in un'unica posizione. È possibile usare più facilmente il Controllo degli accessi in base al ruolo di Azure e Criteri di Azure per le risorse con l'API v2 perché è basata su Azure Resource Manager.
L'interfaccia della riga di comando di Azure Machine Learning v2 usa la nuova piattaforma API v2. Le nuove funzionalità, ad esempio gli endpoint online gestiti, sono disponibili solo usando la piattaforma dell'API v2.
Informazioni sulle modifiche all'isolamento della rete con V2
Come accennato nella sezione precedente, esistono due tipi di modalità operative, ovvero con Azure Resource Manager e con l'area di lavoro. Con l'API v1 legacy la maggior parte delle operazioni usava l'area di lavoro. Con l'API v1 l'aggiunta di un endpoint privato all'area di lavoro ha fornito l'isolamento di rete per tutti gli elementi tranne le operazioni CRUD nelle risorse dell'area di lavoro o di calcolo.
Con la nuova API v2 la maggior parte delle operazioni usa Azure Resource Manager. L'abilitazione di un endpoint privato nell'area di lavoro non fornisce quindi lo stesso livello di isolamento della rete. Le operazioni che usano Azure Resource Manager comunicano su reti pubbliche e includono tutti i metadati (ad esempio gli ID risorsa) o i parametri usati dall'operazione. Ad esempio, i parametri.
Importante
Per la maggior parte delle persone, l'uso delle comunicazioni pubbliche di Azure Resource Manager non presenta problemi:
- Le comunicazioni pubbliche di Azure Resource Manager sono lo standard per le operazioni di gestione con i servizi di Azure. Ad esempio, la creazione di un account di Archiviazione di Azure o di una rete virtuale di Azure usa Azure Resource Manager.
- Le operazioni di Azure Machine Learning non espongono i dati nell'account di archiviazione (o in altre risorse di archiviazione nella rete virtuale) nelle reti pubbliche. Ad esempio, un processo di training che viene eseguito in un cluster di calcolo nella rete virtuale e usa i dati di un account di archiviazione nella rete virtuale accederà direttamente ai dati in modo sicuro usando la rete virtuale.
- Tutte le comunicazioni con Azure Resource Manager pubblico vengono crittografate con TLS 1.2.
Se è necessario tempo per valutare la nuova API v2 prima di adottarla nelle soluzioni aziendali o esistono criteri aziendali che impediscono l'invio di comunicazioni tramite reti pubbliche, è possibile abilitare il parametro v1_legacy_mode. Se abilitato, questo parametro disabilita l'API v2 per l'area di lavoro.
Avviso
L'abilitazione di v1_legacy_mode può impedire l'uso di funzionalità fornite dall'API v2. Ad esempio, alcune funzionalità dello studio di Azure Machine Learning potrebbero non essere disponibili.
Scenari e azioni necessarie
Avviso
Il parametro v1_legacy_mode è ora disponibile, ma la funzionalità di blocco dell'API v2 verrà applicata a partire dalla settimana del 15 maggio 2022.
Se non si prevede di usare un endpoint privato con l'area di lavoro, non è necessario abilitare il parametro.
Se il fatto che le operazioni comunichino con Azure Resource Manager pubblico non costituisce un problema, non è necessario abilitare il parametro.
È necessario abilitare il parametro solo se si usa un endpoint privato con l'area di lavoro e non si vogliono consentire operazioni con Azure Resource Manager su reti pubbliche.
Dopo l'implementazione, il parametro verrà applicato retroattivamente alle aree di lavoro esistenti usando la logica seguente:
Se è presente un'area di lavoro esistente con un endpoint privato, il flag sarà true.
Se è presente un'area di lavoro esistente senza un endpoint privato (area di lavoro pubblica), il flag sarà false.
Dopo l'implementazione del parametro, il valore predefinito del flag dipende dalla versione dell'API REST sottostante usata quando si crea un'area di lavoro (con un endpoint privato):
- Se la versione dell'API è precedente a
2022-05-01, il flag sarà true per impostazione predefinita. - Se la versione dell'API è
2022-05-01o successiva, il flag sarà false per impostazione predefinita.
Importante
Se si vuole usare l'API v2 con l'area di lavoro, è necessario impostare il parametro v1_legacy_mode su false.
Come aggiornare il parametro v1_legacy_mode
Avviso
Il parametro v1_legacy_mode è ora disponibile, ma la funzionalità di blocco dell'API v2 verrà applicata a partire dalla settimana del 15 maggio 2022.
Per aggiornare v1_legacy_mode, seguire questa procedura:
Importante
Se si vuole disabilitare l'API v2, usare Azure Machine Learning Python SDK v1.
Per disabilitare v1_legacy_mode, usare Workspace.update e impostare v1_legacy_mode=false.
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
Importante
Si noti che è necessario attendere da circa 30 minuti a un'ora o più affinché la modifica del parametro v1_legacy_mode da true a false sia rispecchiata nell'area di lavoro. Pertanto, se si imposta il parametro su false ma si riceve un errore che indica che il parametro è true in un'operazione successiva, riprovare dopo alcuni minuti.