Isolamento Rete virtuale gestito dell'area di lavoro

SI APPLICA A:Estensione ML dell'interfaccia della riga di comando di Azure v2 (corrente)Python SDK azure-ai-ml v2 (corrente)

Azure Machine Learning offre supporto per l'isolamento della rete virtuale gestita (rete virtuale gestita). L'isolamento della rete virtuale gestita semplifica e automatizza la configurazione dell'isolamento di rete con una rete virtuale gestita di Azure Machine Learning predefinita a livello di area di lavoro. La rete virtuale gestita protegge le risorse di Azure Machine Learning gestite, ad esempio istanze di calcolo, cluster di calcolo, calcolo serverless ed endpoint online gestiti.

La protezione dell'area di lavoro con una rete gestita garantisce l'isolamento di rete per l'accesso in uscita dall'area di lavoro e dai calcoli gestiti. Un Rete virtuale di Azure creato e gestito viene usato per fornire l'accesso in ingresso per l'isolamento della rete all'area di lavoro. Ad esempio, nell'Rete virtuale di Azure viene creato un endpoint privato per l'area di lavoro. Tutti i client che si connettono alla rete virtuale possono accedere all'area di lavoro tramite l'endpoint privato. Quando si eseguono processi in calcoli gestiti, la rete gestita limita ciò che l'ambiente di calcolo può accedere.

Architettura di Rete virtuale gestita

Quando si abilita l'isolamento della rete virtuale gestita, viene creata una rete virtuale gestita per l'area di lavoro. Le risorse di calcolo gestite create per l'area di lavoro usano automaticamente questa rete virtuale gestita. La rete virtuale gestita può usare endpoint privati per le risorse di Azure usate dall'area di lavoro, ad esempio Archiviazione di Azure, Azure Key Vault e Registro Azure Container.

Esistono due diverse modalità di configurazione per il traffico in uscita dalla rete virtuale gestita:

Suggerimento

Indipendentemente dalla modalità in uscita usata, il traffico verso le risorse di Azure può essere configurato per l'uso di un endpoint privato. Ad esempio, è possibile consentire tutto il traffico in uscita verso Internet, ma limitare la comunicazione con le risorse di Azure aggiungendo regole in uscita per le risorse.

Modalità in uscita	Descrizione	Scenari
Consenti internet in uscita	Consentire tutto il traffico internet in uscita dalla rete virtuale gestita.	Si vuole accedere senza restrizioni alle risorse di Machine Learning su Internet, ad esempio pacchetti Python o modelli con training preliminare.1
Consenti solo connessioni in uscita approvate	Il traffico in uscita è consentito specificando i tag del servizio.	* Si vuole ridurre al minimo il rischio di esfiltrazione dei dati, ma è necessario preparare tutti gli artefatti di Machine Learning necessari nell'ambiente privato. * Si vuole configurare l'accesso in uscita a un elenco approvato di servizi, tag di servizio o FQDN.
Disabilitata	Il traffico in ingresso e in uscita non è limitato o si usa il proprio Rete virtuale di Azure per proteggere le risorse.	Si vuole che l'accesso pubblico e il traffico in uscita dall'area di lavoro o si gestisca l'isolamento della rete con la propria rete virtuale di Azure.

1: È possibile usare le regole in uscita con consentire solo la modalità in uscita approvata per ottenere lo stesso risultato dell'uso di consenti internet in uscita. Le differenze sono le seguenti:

• È necessario aggiungere regole per ogni connessione in uscita che è necessario consentire.
• L'aggiunta di regole in uscita FQDN aumenta i costi man mano che questo tipo di regola usa Firewall di Azure. Per altre informazioni, vedere Prezzi
• Le regole predefinite per consentire solo l'uscita approvata sono progettate per ridurre al minimo il rischio di esfiltrazione dei dati. Le regole in uscita aggiunte possono aumentare il rischio.

La rete virtuale gestita è preconfigurata con le regole predefinite necessarie. Viene configurato anche per le connessioni endpoint private all'area di lavoro, l'archiviazione predefinita dell'area di lavoro, il registro contenitori e l'insieme di credenziali delle chiavi se sono configurati come privati o la modalità di isolamento dell'area di lavoro è impostata per consentire solo l'approvazione in uscita. Dopo aver scelto la modalità di isolamento, potrebbe essere necessario considerare solo altri requisiti in uscita da aggiungere.

Il diagramma seguente mostra una rete virtuale gestita configurata per consentire internet in uscita:

Il diagramma seguente mostra una rete virtuale gestita configurata per consentire solo l'approvazione in uscita:

Nota

In questa configurazione, l'archiviazione, l'insieme di credenziali delle chiavi e il registro contenitori usati dall'area di lavoro vengono contrassegnati come privati. Poiché vengono contrassegnati come privati, viene usato un endpoint privato per comunicare con essi.

Nota

Una volta configurata un'area di lavoro della rete virtuale gestita per consentire internet in uscita, l'area di lavoro non può essere riconfigurata in modo che sia disabilitata. Analogamente, dopo che un'area di lavoro di rete virtuale gestita è configurata per consentire solo l'approvazione in uscita, l'area di lavoro non può essere riconfigurata per consentire internet in uscita. Tenere presente questo aspetto quando si seleziona la modalità di isolamento per la rete virtuale gestita nell'area di lavoro.

Studio di Azure Machine Learning

Se si vuole usare il notebook integrato o creare set di dati nell'account di archiviazione predefinito da Studio, il client deve accedere all'account di archiviazione predefinito. Creare un endpoint privato o un endpoint di servizio per l'account di archiviazione predefinito in Azure Rete virtuale usato dai client.

Parte di studio di Azure Machine Learning viene eseguita localmente nel Web browser del client e comunica direttamente con l'archiviazione predefinita per l'area di lavoro. La creazione di un endpoint privato o di un endpoint di servizio (per l'account di archiviazione predefinito) nella rete virtuale del client garantisce che il client possa comunicare con l'account di archiviazione.

Per altre informazioni sulla creazione di un endpoint privato o di un endpoint di servizio, vedere gli articoli Connessione privatamente in un account di archiviazione ed endpoint di servizio.

Prerequisiti

Prima di seguire la procedura descritta in questo articolo, assicurarsi di disporre dei prerequisiti seguenti:

Interfaccia della riga di comando di Azure

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare. Provare la versione gratuita o a pagamento di Azure Machine Learning.

• Il provider di risorse Microsoft.Network deve essere registrato per la sottoscrizione di Azure. Questo provider di risorse viene usato dall'area di lavoro quando si creano endpoint privati per la rete virtuale gestita.

  Per informazioni sulla registrazione dei provider di risorse, vedere Risoluzione degli errori di registrazione del provider di risorse.

• L'identità di Azure usata per la distribuzione di una rete gestita richiede le azioni di controllo degli accessi in base al ruolo di Azure seguenti per creare endpoint privati:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• L'interfaccia della riga di comando di Azure e l'estensione ml per l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere Installare, configurare e usare l'interfaccia della riga di comando (v2).

  Suggerimento

  La rete virtuale gestita di Azure Machine Learning è stata introdotta il 23 maggio 2023. Se si ha una versione precedente dell'estensione ml, potrebbe essere necessario aggiornarla affinché gli esempi riportati in questo articolo funzionino. Per aggiornare l'estensione, usare il comando seguente dell'interfaccia della riga di comando di Azure:

  az extension update -n ml
  

• Gli esempi dell'interfaccia della riga di comando in questo articolo presuppongono l'uso della shell Bash (o compatibile). Ad esempio, un sistema Linux o un sottosistema Windows per Linux.

• Gli esempi dell'interfaccia della riga di comando di Azure in questo articolo usano ws per rappresentare il nome dell'area di lavoro e rg per rappresentare il nome del gruppo di risorse. Modificare questi valori in base alle esigenze quando si usano i comandi con la sottoscrizione di Azure.

• Con l'interfaccia della riga di comando di Azure e la rete virtuale gestita, SSH con IP pubblico funziona, ma SSH con IP privato non funziona.

Python SDK

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare. Provare la versione gratuita o a pagamento di Azure Machine Learning.

• Il provider di risorse Microsoft.Network deve essere registrato per la sottoscrizione di Azure. Questo provider di risorse viene usato dall'area di lavoro quando si creano endpoint privati per la rete virtuale gestita.

  Per informazioni sulla registrazione dei provider di risorse, vedere Risoluzione degli errori di registrazione del provider di risorse.

• L'identità di Azure usata per la distribuzione di una rete gestita richiede le azioni di controllo degli accessi in base al ruolo di Azure seguenti per creare endpoint privati:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Python SDK v2 di Azure Machine Learning. Per altre informazioni sull'SDK, vedere Installare Python SDK v2 per Azure Machine Learning.

  Suggerimento

  La rete virtuale gestita di Azure Machine Learning è stata introdotta il 23 maggio 2023. Se è installata una versione precedente dell'SDK, potrebbe essere necessario aggiornarla affinché gli esempi riportati in questo articolo funzionino. Per aggiornare l'SDK, usare il comando seguente:

  pip install --upgrade azure-ai-ml azure-identity
  

• Gli esempi riportati in questo articolo presuppongono che il codice inizi con il codice Python seguente. Questo codice importa le classi necessarie durante la creazione di un'area di lavoro con rete virtuale gestita, imposta le variabili per la sottoscrizione di Azure e il gruppo di risorse e crea il ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Azure portal

• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare. Provare la versione gratuita o a pagamento di Azure Machine Learning.

• Il provider di risorse Microsoft.Network deve essere registrato per la sottoscrizione di Azure. Questo provider di risorse viene usato dall'area di lavoro quando si creano endpoint privati per la rete virtuale gestita.

  Per informazioni sulla registrazione dei provider di risorse, vedere Risoluzione degli errori di registrazione del provider di risorse.

• L'identità di Azure usata per la distribuzione di una rete gestita richiede le azioni di controllo degli accessi in base al ruolo di Azure seguenti per creare endpoint privati:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Nota

Se si usa l'area di lavoro UAI, assicurarsi di aggiungere il ruolo Collaboratore rete all'identità. Per altre informazioni, vedere Identità gestita assegnata dall'utente.

Configurare una rete virtuale gestita per consentire internet in uscita

Suggerimento

La creazione della rete virtuale gestita viene posticipata fino a quando non viene creata o avviata manualmente una risorsa di calcolo. Quando si consente la creazione automatica, la creazione automatica può richiedere circa 30 minuti per creare la prima risorsa di calcolo perché esegue anche il provisioning della rete. Per altre informazioni, vedere Effettuare manualmente il provisioning della rete.

Importante

Se si prevede di inviare processi Spark serverless, è necessario avviare manualmente il provisioning. Per altre informazioni, vedere la sezione configurare i processi Spark serverless.

Interfaccia della riga di comando di Azure

Per configurare una rete virtuale gestita che consente le comunicazioni internet in uscita, è possibile usare il --managed-network allow_internet_outbound parametro o un file di configurazione YAML che contiene le voci seguenti:

managed_network:
  isolation_mode: allow_internet_outbound

È anche possibile definire regole in uscita ad altri servizi di Azure su cui si basa l'area di lavoro. Queste regole definiscono endpoint privati che consentono a una risorsa di Azure di comunicare in modo sicuro con la rete virtuale gestita. La regola seguente illustra l'aggiunta di un endpoint privato a una risorsa BLOB di Azure.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

È possibile configurare una rete virtuale gestita usando i az ml workspace create comandi o az ml workspace update :

• Creare una nuova area di lavoro:

  Nell'esempio seguente viene creata una nuova area di lavoro. Il --managed-network allow_internet_outbound parametro configura una rete virtuale gestita per l'area di lavoro:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Per creare un'area di lavoro usando invece un file YAML, usare il --file parametro e specificare il file YAML che contiene le impostazioni di configurazione:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  L'esempio YAML seguente definisce un'area di lavoro con una rete virtuale gestita:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Aggiornare un'area di lavoro esistente:

  Avviso

  Prima di aggiornare un'area di lavoro esistente per usare una rete virtuale gestita, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

  Nell'esempio seguente viene aggiornata un'area di lavoro esistente. Il --managed-network allow_internet_outbound parametro configura una rete virtuale gestita per l'area di lavoro:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Per aggiornare un'area di lavoro esistente usando il file YAML, usare il --file parametro e specificare il file YAML che contiene le impostazioni di configurazione:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  L'esempio YAML seguente definisce una rete virtuale gestita per l'area di lavoro. Viene inoltre illustrato come aggiungere una connessione endpoint privato a una risorsa usata dall'area di lavoro; in questo esempio, un endpoint privato per un archivio BLOB:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Per configurare una rete virtuale gestita che consente le comunicazioni internet in uscita, usare la ManagedNetwork classe per definire una rete con IsolationMode.ALLOW_INTERNET_OUTBOUND. È quindi possibile usare l'oggetto ManagedNetwork per creare una nuova area di lavoro o aggiornare una nuova area di lavoro esistente. Per definire regole in uscita per i servizi di Azure su cui si basa l'area di lavoro, usare la PrivateEndpointDestination classe per definire un nuovo endpoint privato al servizio.

• Creare una nuova area di lavoro:

  L'esempio seguente crea una nuova area di lavoro denominata myworkspace, con una regola in uscita denominata myrule che aggiunge un endpoint privato per un archivio BLOB di Azure:

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aggiornare un'area di lavoro esistente:

  Avviso

  Prima di aggiornare un'area di lavoro esistente per usare una rete virtuale gestita, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

  L'esempio seguente illustra come creare una rete virtuale gestita per un'area di lavoro di Azure Machine Learning esistente denominata myworkspace:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure portal

• Creare una nuova area di lavoro:

  1. Accedere al portale di Azure e scegliere Azure Machine Learning dal menu Crea una risorsa.

  2. Specificare le informazioni necessarie nella scheda Informazioni di base .

  3. Nella scheda Rete selezionare Privato con Internet in uscita.

     

  4. Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Delle regole in uscita dell'area di lavoro specificare le informazioni seguenti:

     • Nome regola: nome della regola. Il nome deve essere univoco per questa area di lavoro.
     • Tipo di destinazione: l'endpoint privato è l'unica opzione quando l'isolamento della rete è privato con Internet in uscita. La rete virtuale gestita di Azure Machine Learning non supporta la creazione di un endpoint privato per tutti i tipi di risorse di Azure. Per un elenco delle risorse supportate, vedere la sezione Endpoint privati.
     • Sottoscrizione: sottoscrizione contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
     • Gruppo di risorse: gruppo di risorse contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
     • Tipo di risorsa: tipo della risorsa di Azure.
     • Nome risorsa: nome della risorsa di Azure.
     • Sotto Risorsa: sotto risorsa del tipo di risorsa di Azure.
     • Spark abilitato: selezionare questa opzione se si desidera abilitare i processi Spark serverless per l'area di lavoro. Questa opzione è disponibile solo se il tipo di risorsa è Archiviazione di Azure.

     

     Seleziona Salva per salvare la regola. È possibile continuare a usare Aggiungi regole in uscita definite dall'utente per aggiungere regole.

  5. Continuare a creare l'area di lavoro come di consueto.

• Aggiornare un'area di lavoro esistente:

  Avviso

  Prima di aggiornare un'area di lavoro esistente per usare una rete virtuale gestita, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

  1. Accedere al portale di Azure e selezionare l'area di lavoro di Azure Machine Learning per cui si vuole abilitare l'isolamento della rete virtuale gestita.

  2. Selezionare Rete e quindi Private with Internet Outbound (Privato con Internet in uscita).

     

     • Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Regole in uscita dell'area di lavoro specificare le stesse informazioni usate durante la creazione di un'area di lavoro nella sezione "Crea una nuova area di lavoro".

       

     • Per eliminare una regola in uscita, selezionare Elimina per la regola.

       

  3. Selezionare Salva nella parte superiore della pagina per salvare le modifiche apportate alla rete virtuale gestita.

Configurare una rete virtuale gestita per consentire solo in uscite approvate

Suggerimento

Il provisioning della rete virtuale gestita viene eseguito automaticamente quando si crea una risorsa di calcolo. Quando si consente la creazione automatica, la creazione automatica può richiedere circa 30 minuti per creare la prima risorsa di calcolo perché esegue anche il provisioning della rete. Se sono state configurate regole in uscita FQDN, la prima regola FQDN aggiunge circa 10 minuti al tempo di provisioning. Per altre informazioni, vedere Effettuare manualmente il provisioning della rete.

Importante

Se si prevede di inviare processi Spark serverless, è necessario avviare manualmente il provisioning. Per altre informazioni, vedere la sezione configurare i processi Spark serverless.

Interfaccia della riga di comando di Azure

Per configurare una rete virtuale gestita che consenta solo le comunicazioni in uscita approvate, è possibile usare il --managed-network allow_only_approved_outbound parametro o un file di configurazione YAML contenente le voci seguenti:

managed_network:
  isolation_mode: allow_only_approved_outbound

È anche possibile definire regole in uscita per definire le comunicazioni in uscita approvate. È possibile creare una regola in uscita per un tipo di service_tag, fqdne private_endpoint. La regola seguente illustra l'aggiunta di un endpoint privato a una risorsa BLOB di Azure, un tag di servizio ad Azure Data Factory e un FQDN a pypi.org:

Importante

• L'aggiunta di un tag di servizio o FQDN in uscita è valida solo quando la rete virtuale gestita è configurata su allow_only_approved_outbound.
• Se si aggiungono regole in uscita, Microsoft non può garantire l'esfiltrazione dei dati.

Avviso

Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

È possibile configurare una rete virtuale gestita usando i az ml workspace create comandi o az ml workspace update :

• Creare una nuova area di lavoro:

  L'esempio seguente usa il --managed-network allow_only_approved_outbound parametro per configurare la rete virtuale gestita:

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Il file YAML seguente definisce un'area di lavoro con una rete virtuale gestita:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Per creare un'area di lavoro usando il file YAML, usare il --file parametro :

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Aggiornare un'area di lavoro esistente

  Avviso

  Prima di aggiornare un'area di lavoro esistente per usare una rete virtuale gestita, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

  L'esempio seguente usa il --managed-network allow_only_approved_outbound parametro per configurare la rete virtuale gestita per un'area di lavoro esistente:

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  Il file YAML seguente definisce una rete virtuale gestita per l'area di lavoro. Illustra anche come aggiungere una rete in uscita approvata alla rete virtuale gestita. In questo esempio viene aggiunta una regola in uscita per entrambi i tag del servizio:

  Avviso

  Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Per configurare una rete virtuale gestita che consenta solo le comunicazioni in uscita approvate, usare la ManagedNetwork classe per definire una rete con IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. È quindi possibile usare l'oggetto ManagedNetwork per creare una nuova area di lavoro o aggiornare una nuova area di lavoro esistente. Per definire le regole in uscita, usare le classi seguenti:

Destinazione	Classe
Servizio di Azure su cui si basa l'area di lavoro	PrivateEndpointDestination
Tag del servizio di Azure	ServiceTagDestination
Nome di dominio completo (FQDN)	FqdnDestination

• Creare una nuova area di lavoro:

  L'esempio seguente crea una nuova area di lavoro denominata myworkspace, con diverse regole in uscita:

  • myrule - Aggiunge un endpoint privato per un archivio BLOB di Azure.
  • datafactory - Aggiunge una regola di tag del servizio per comunicare con Azure Data Factory.

  Importante

  • L'aggiunta di un tag di servizio o FQDN in uscita è valida solo quando la rete virtuale gestita è configurata su IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Se si aggiungono regole in uscita, Microsoft non può garantire l'esfiltrazione dei dati.

  Avviso

  Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Aggiornare un'area di lavoro esistente:

  Avviso

  Prima di aggiornare un'area di lavoro esistente per usare una rete virtuale gestita, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

  L'esempio seguente illustra come creare una rete virtuale gestita per un'area di lavoro di Azure Machine Learning esistente denominata myworkspace. L'esempio aggiunge anche diverse regole in uscita per la rete virtuale gestita:

  • myrule - Aggiunge un endpoint privato per un archivio BLOB di Azure.
  • datafactory - Aggiunge una regola di tag del servizio per comunicare con Azure Data Factory.

  Suggerimento

  L'aggiunta di un tag di servizio o FQDN in uscita è valida solo quando la rete virtuale gestita è configurata su IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Avviso

  Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure portal

• Creare una nuova area di lavoro:

  1. Accedere al portale di Azure e scegliere Azure Machine Learning dal menu Crea una risorsa.

  2. Specificare le informazioni necessarie nella scheda Informazioni di base .

  3. Nella scheda Rete selezionare Private with Approved Outbound (Privato con approvato in uscita).

     

  4. Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Delle regole in uscita dell'area di lavoro specificare le informazioni seguenti:

     • Nome regola: nome della regola. Il nome deve essere univoco per questa area di lavoro.
     • Tipo di destinazione: endpoint privato, tag del servizio o FQDN. I tag di servizio e il nome di dominio completo sono disponibili solo quando l'isolamento della rete è privato con l'approvazione in uscita.

     Se il tipo di destinazione è Endpoint privato, specificare le informazioni seguenti:

     • Sottoscrizione: sottoscrizione contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
     • Gruppo di risorse: gruppo di risorse contenente la risorsa di Azure per cui si vuole aggiungere un endpoint privato.
     • Tipo di risorsa: tipo della risorsa di Azure.
     • Nome risorsa: nome della risorsa di Azure.
     • Sotto Risorsa: sotto risorsa del tipo di risorsa di Azure.
     • Spark abilitato: selezionare questa opzione se si desidera abilitare i processi Spark serverless per l'area di lavoro. Questa opzione è disponibile solo se il tipo di risorsa è Archiviazione di Azure.

     Suggerimento

     La rete virtuale gestita di Azure Machine Learning non supporta la creazione di un endpoint privato per tutti i tipi di risorse di Azure. Per un elenco delle risorse supportate, vedere la sezione Endpoint privati.

     

     Se il tipo di destinazione è Tag di servizio, specificare le informazioni seguenti:

     • Tag del servizio: tag del servizio da aggiungere alle regole in uscita approvate.
     • Protocollo: protocollo da consentire per il tag di servizio.
     • Intervalli di porte: intervalli di porte da consentire per il tag di servizio.

     

     Se il tipo di destinazione è FQDN, specificare le informazioni seguenti:

     Avviso

     Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

     • Destinazione FQDN: nome di dominio completo da aggiungere alle regole in uscita approvate.

     

     Seleziona Salva per salvare la regola. È possibile continuare a usare Aggiungi regole in uscita definite dall'utente per aggiungere regole.

  5. Continuare a creare l'area di lavoro come di consueto.

• Aggiornare un'area di lavoro esistente:

  Avviso

  Prima di aggiornare un'area di lavoro esistente per usare una rete virtuale gestita, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

  1. Accedere al portale di Azure e selezionare l'area di lavoro di Azure Machine Learning per cui si vuole abilitare l'isolamento della rete virtuale gestita.

  2. Selezionare Rete e quindi Private with Approved Outbound (Privato con approvato in uscita).

     

     • Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Regole in uscita dell'area di lavoro specificare le stesse informazioni della creazione di un'area di lavoro nella sezione precedente "Crea una nuova area di lavoro".

     • Per eliminare una regola in uscita, selezionare Elimina per la regola.

       

  3. Selezionare Salva nella parte superiore della pagina per salvare le modifiche apportate alla rete virtuale gestita.

Configurare per i processi Spark serverless

Suggerimento

I passaggi descritti in questa sezione sono necessari solo se si prevede di inviare processi Spark serverless. Se non si intende inviare processi Spark serverless, è possibile ignorare questa sezione.

Per abilitare i processi Spark serverless per la rete virtuale gestita, è necessario eseguire le azioni seguenti:

• Configurare una rete virtuale gestita per l'area di lavoro e aggiungere un endpoint privato in uscita per l'account Archiviazione di Azure.
• Dopo aver configurato la rete virtuale gestita, eseguirne il provisioning e contrassegnarlo per consentire i processi Spark.

1. Configurare un endpoint privato in uscita.

   Interfaccia della riga di comando di Azure

   Usare un file YAML per definire la configurazione della rete virtuale gestita e aggiungere un endpoint privato per l'account Archiviazione di Azure. spark_enabled: trueImpostare anche :

   Suggerimento

   Questo esempio riguarda una rete virtuale gestita configurata usando isolation_mode: allow_internet_outbound per consentire il traffico Internet. Se si vuole consentire solo il traffico in uscita approvato, usare isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   È possibile usare un file di configurazione YAML con il az ml workspace update comando specificando il --file parametro e il nome del file YAML. Ad esempio, il comando seguente aggiorna un'area di lavoro esistente usando un file YAML denominato workspace_pe.yml:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Nota

   Quando l'opzione Consenti solo l'uscita approvata è abilitata (isolation_mode: allow_only_approved_outbound), le dipendenze del pacchetto conda definite nella configurazione della sessione Spark non riusciranno a essere installate. Per risolvere questo problema, caricare una rotellina del pacchetto Python indipendente senza dipendenze esterne in un account di archiviazione di Azure e creare un endpoint privato in questo account di archiviazione. Usare il percorso della rotellina del pacchetto Python come py_files parametro nel processo Spark. L'impostazione di una regola in uscita FQDN non consente di ignorare questo problema perché la propagazione delle regole FQDN non è supportata da Spark.

   Python SDK

   L'esempio seguente illustra come creare una rete virtuale gestita per un'area di lavoro di Azure Machine Learning esistente denominata myworkspace. Aggiunge anche un endpoint privato per l'account Archiviazione di Azure e imposta spark_enabled=true:

   Suggerimento

   L'esempio seguente è relativo a una rete virtuale gestita configurata usando IsolationMode.ALLOW_INTERNET_OUTBOUND per consentire il traffico Internet. Se si vuole consentire solo il traffico in uscita approvato, usare IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Nota

   • Quando l'opzione Consenti solo l'uscita approvata è abilitata (isolation_mode: allow_only_approved_outbound), le dipendenze del pacchetto conda definite nella configurazione della sessione Spark non riusciranno a essere installate. Per risolvere questo problema, caricare una rotellina del pacchetto Python indipendente senza dipendenze esterne in un account di archiviazione di Azure e creare un endpoint privato in questo account di archiviazione. Usare il percorso della rotellina del pacchetto Python come py_files parametro nel processo Spark.
   • Se l'area di lavoro è stata creata con IsolationMode.ALLOW_INTERNET_OUTBOUND, non può essere aggiornata in un secondo momento per usare IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   Azure portal

   1. Accedere al portale di Azure e selezionare l'area di lavoro di Azure Machine Learning.

   2. Selezionare Rete e quindi Aggiungi regole in uscita definite dall'utente. Aggiungere una regola per l'account Archiviazione di Azure e assicurarsi che Spark abilitato sia selezionato.

      

   3. Selezionare Salva per salvare la regola, quindi selezionare Salva nella parte superiore di Rete per salvare le modifiche apportate alla rete virtuale gestita.

2. Effettuare il provisioning della rete virtuale gestita.

   Nota

   Se l'area di lavoro è già configurata per un endpoint pubblico (ad esempio, con un'Rete virtuale di Azure) e ha l'accesso alla rete pubblica abilitata, è necessario disabilitarla prima di effettuare il provisioning della rete virtuale gestita. Se non si disabilita l'accesso alla rete pubblica durante il provisioning della rete virtuale gestita, è possibile che gli endpoint privati per l'endpoint gestito non vengano creati correttamente.

   Interfaccia della riga di comando di Azure

   L'esempio seguente illustra come effettuare il provisioning di una rete virtuale gestita per i processi Spark serverless usando il --include-spark parametro .

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   Python SDK

   L'esempio seguente illustra come effettuare il provisioning di una rete virtuale gestita per i processi Spark serverless:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Azure portal

   Usare le schede dell'interfaccia della riga di comando di Azure o Python SDK per informazioni su come effettuare manualmente il provisioning della rete virtuale gestita con supporto Spark serverless.

Effettuare manualmente il provisioning di una rete virtuale gestita

Il provisioning della rete virtuale gestita viene eseguito automaticamente quando si crea una risorsa di calcolo. Quando si fa affidamento sul provisioning automatico, possono essere necessari circa 30 minuti per creare la prima risorsa di calcolo perché esegue anche il provisioning della rete. Se sono state configurate regole in uscita FQDN (disponibili solo con la modalità consentita solo approvata), la prima regola FQDN aggiunge circa 10 minuti al tempo di provisioning. Se si dispone di un ampio set di regole in uscita di cui eseguire il provisioning nella rete gestita, il provisioning può richiedere più tempo. L'aumento del tempo di provisioning può causare il timeout della prima creazione di calcolo o la prima distribuzione dell'endpoint online gestito.

Per ridurre il tempo di attesa ed evitare potenziali errori di timeout, è consigliabile effettuare manualmente il provisioning della rete gestita. Attendere quindi il completamento del provisioning prima di creare una risorsa di calcolo o una distribuzione di endpoint online gestita.

Interfaccia della riga di comando di Azure

L'esempio seguente illustra come effettuare il provisioning di una rete virtuale gestita.

Suggerimento

Se si prevede di inviare processi Spark serverless, aggiungere il --include-spark parametro .

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Per verificare che il provisioning sia stato completato, usare il comando seguente:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

Python SDK

L'esempio seguente illustra come effettuare il provisioning di una rete virtuale gestita:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Per verificare che sia stato effettuato il provisioning dell'area di lavoro, usare ml_client.workspaces.get() per ottenere le informazioni sull'area di lavoro. La managed_network proprietà contiene lo stato della rete gestita.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Azure portal

Usare le schede dell'interfaccia della riga di comando di Azure o Python SDK per informazioni su come effettuare manualmente il provisioning della rete virtuale gestita con supporto Spark serverless.

Configurare la creazione di immagini

Quando il Registro Azure Container per l'area di lavoro si trova dietro una rete virtuale, non può essere usato per compilare direttamente immagini Docker. Configurare invece l'area di lavoro per usare un cluster di calcolo o un'istanza di calcolo per compilare immagini.

Importante

La risorsa di calcolo usata per compilare immagini Docker deve essere in grado di accedere ai repository di pacchetti usati per eseguire il training e la distribuzione dei modelli. Se si usa una rete configurata per consentire solo l'approvazione in uscita, potrebbe essere necessario aggiungere regole che consentano l'accesso ai repository pubblici o usare pacchetti Python privati.

Interfaccia della riga di comando di Azure

Per aggiornare un'area di lavoro per usare un cluster di calcolo o un'istanza di calcolo per compilare immagini Docker, usare il az ml workspace update comando con il --image-build-compute parametro :

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

Python SDK

L'esempio seguente illustra come aggiornare un'area di lavoro per usare un cluster di calcolo per compilare immagini:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Azure portal

Attualmente non esiste un modo per impostare l'ambiente di calcolo per la compilazione di immagini dal portale di Azure. Usare le schede dell'interfaccia della riga di comando di Azure o Python SDK per informazioni su come configurare manualmente le compilazioni di immagini.

Gestire le regole in uscita

Interfaccia della riga di comando di Azure

Per elencare le regole in uscita della rete virtuale gestita per un'area di lavoro, usare il comando seguente:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Per visualizzare i dettagli di una regola in uscita della rete virtuale gestita, usare il comando seguente:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Per rimuovere una regola in uscita dalla rete virtuale gestita, usare il comando seguente:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

Python SDK

L'esempio seguente illustra come gestire le regole in uscita per un'area di lavoro denominata myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Azure portal

1. Accedere al portale di Azure e selezionare l'area di lavoro di Azure Machine Learning per cui si vuole abilitare l'isolamento della rete virtuale gestita.

2. Selezionare Rete. La sezione Accesso in uscita dell'area di lavoro consente di gestire le regole in uscita.

   

• Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Rete. Nella barra laterale Delle regole in uscita dell'area di lavoro specificare le informazioni seguenti:

• Per abilitare o disabilitare una regola, usare l'interruttore nella colonna Attiva .

• Per eliminare una regola in uscita, selezionare Elimina per la regola.

Elenco delle regole obbligatorie

Suggerimento

Queste regole vengono aggiunte automaticamente alla rete virtuale gestita.

Endpoint privati:

• Quando la modalità di isolamento per la rete virtuale gestita è Allow internet outbound, le regole in uscita dell'endpoint privato vengono create automaticamente come regole necessarie dalla rete virtuale gestita per l'area di lavoro e le risorse associate con accesso alla rete pubblica disabilitata (Key Vault, account Archiviazione, Registro Contenitori, area di lavoro di Azure Machine Learning).
• Quando la modalità di isolamento per la rete virtuale gestita è Allow only approved outbound, le regole in uscita dell'endpoint privato vengono create automaticamente come regole necessarie dalla rete virtuale gestita per l'area di lavoro e le risorse associate indipendentemente dalla modalità di accesso alla rete pubblica per tali risorse (Key Vault, account Archiviazione, Registro Contenitori, area di lavoro di Azure Machine Learning).

Regole dei tag del servizio in uscita :

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor
• MicrosoftContainerRegistry
• AzureMonitor

Regole tag del servizio in ingresso :

• AzureMachineLearning

Elenco di regole in uscita specifiche dello scenario

Scenario: Accedere ai pacchetti di Machine Learning pubblici

Per consentire l'installazione di pacchetti Python per il training e la distribuzione, aggiungere regole FQDN in uscita per consentire il traffico ai nomi host seguenti:

Avviso

Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

Nota

Questo non è un elenco completo degli host necessari per tutte le risorse di Python su Internet, ma solo dei più comuni. Ad esempio, se è necessario accedere a un repository GitHub o a un altro host, occorre identificare e aggiungere gli host necessari per tale scenario.

Nome host	Scopo
anaconda.com *.anaconda.com	Si usa per installare i pacchetti predefiniti.
*.anaconda.org	Si usa per ottenere i dati del repository.
pypi.org	Si usa per elencare le dipendenze dall'indice predefinito, se presenti, e se l'indice non è sovrascritto dalle impostazioni utente. Se l'indice è sovrascritto, è necessario consentire anche *.pythonhosted.org.
pytorch.org *.pytorch.org	Usato da alcuni esempi basati su PyTorch.
*.tensorflow.org	Usato da alcuni esempi basati su Tensorflow.

Scenario: usare Desktop o Web di Visual Studio Code con l'istanza di calcolo

Se si prevede di usare Visual Studio Code con Azure Machine Learning, aggiungere regole FQDN in uscita per consentire il traffico agli host seguenti:

Avviso

Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• vscode.download.prss.microsoft.com

Scenario: usare endpoint batch

Se si prevede di usare gli endpoint batch di Azure Machine Learning per la distribuzione, aggiungere regole di endpoint privato in uscita per consentire il traffico alle risorse secondarie seguenti per l'account di archiviazione predefinito:

• queue
• table

Scenario: usare il flusso di prompt con OpenAI di Azure, sicurezza del contenuto e Ricerca di intelligenza artificiale di Azure

• Endpoint privato a Servizi di intelligenza artificiale di Azure
• Endpoint privato in Ricerca di intelligenza artificiale di Azure

Scenario: Usare modelli HuggingFace

Se si prevede di usare modelli HuggingFace con Azure Machine Learning, aggiungere regole FQDN in uscita per consentire il traffico agli host seguenti:

Avviso

Le regole in uscita del nome di dominio completo vengono implementate tramite Firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Per altre informazioni, vedere Prezzi.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Scenario: Abilitare l'accesso da indirizzi IP selezionati

Se si vuole abilitare l'accesso da indirizzi IP specifici, usare le azioni seguenti:

1. Aggiungere una regola di endpoint privato in uscita per consentire il traffico all'area di lavoro di Azure Machine Learning. Ciò consente alle istanze di calcolo create nella rete virtuale gestita di accedere all'area di lavoro.

   Suggerimento

   Non è possibile aggiungere questa regola durante la creazione dell'area di lavoro, perché l'area di lavoro non esiste ancora.

2. Abilitare l'accesso alla rete pubblica all'area di lavoro. Per altre informazioni, vedere Accesso alla rete pubblica abilitato.

3. Aggiungere gli indirizzi IP al firewall per Azure Machine Learning. Per altre informazioni, vedere Abilitare l'accesso solo dagli intervalli IP.

Endpoint privati

Gli endpoint privati sono attualmente supportati per i servizi di Azure seguenti:

• Azure Machine Learning
• Registri di Azure Machine Learning
• Archiviazione di Azure (tutti i tipi di risorse secondarie)
• Registro Azure Container
• Azure Key Vault
• Servizi di Azure AI
• Azure AI Search (in precedenza Ricerca cognitiva)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (tutti i tipi di risorse secondarie)
• Hub eventi di Azure
• Cache Redis di Azure
• Azure Databricks
• Database di Azure per MariaDB
• Database di Azure per PostgreSQL
• Database di Azure per MySQL
• Istanza gestita di SQL di Azure

Quando si crea un endpoint privato, si specifica il tipo di risorsa e la sottorisorsa a cui si connette l'endpoint. Alcune risorse hanno più tipi e sottorisorse. Per altre informazioni, vedere che cos'è un endpoint privato.

Quando si crea un endpoint privato per le risorse di dipendenza di Azure Machine Learning, ad esempio Archiviazione di Azure, Registro Azure Container e Azure Key Vault, la risorsa può trovarsi in una sottoscrizione di Azure diversa. Tuttavia, la risorsa deve trovarsi nello stesso tenant dell'area di lavoro di Azure Machine Learning.

Importante

Quando si configurano endpoint privati per una rete virtuale gestita di Azure Machine Learning, gli endpoint privati vengono creati solo quando viene creato il primo calcolo o quando viene forzato il provisioning della rete virtuale gestita. Per altre informazioni sull'uso forzato del provisioning della rete virtuale gestita, vedere Configurare i processi Spark serverless.

Prezzi

La funzionalità di rete virtuale gestita di Azure Machine Learning è gratuita. Tuttavia, vengono addebitati i costi per le seguenti risorse usate dalla rete virtuale gestita:

• Collegamento privato di Azure: gli endpoint privati usati per proteggere le comunicazioni tra la rete virtuale gestita e le risorse di Azure si basano su collegamento privato di Azure. Per altre informazioni sui prezzi, vedere prezzi collegamento privato di Azure.

• Regole in uscita FQDN: le regole in uscita FQDN vengono implementate usando il firewall di Azure. Se si usano regole FQDN in uscita, gli addebiti per Firewall di Azure vengono aggiunti alla fatturazione. Il provisioning del Firewall di Azure (SKU standard) viene eseguito da Azure Machine Learning.

  Importante

  Il firewall non viene creato fino a quando non si aggiunge una regola FQDN in uscita. Per altre informazioni sui prezzi, vedere Firewall di Azure prezzi e visualizzare i prezzi per la versione standard.

Limiti

• Dopo aver abilitato l'isolamento della rete virtuale gestita dell'area di lavoro, non è possibile disabilitarlo.
• La rete virtuale gestita usa la connessione endpoint privato per accedere alle risorse private. Non è possibile avere un endpoint privato e un endpoint di servizio contemporaneamente per le risorse di Azure, ad esempio un account di archiviazione. È consigliabile usare endpoint privati in tutti gli scenari.
• La rete virtuale gestita viene eliminata quando l'area di lavoro viene eliminata.
• La protezione dell'esfiltrazione dei dati viene abilitata automaticamente per l'unica modalità in uscita approvata. Se si aggiungono altre regole in uscita, ad esempio i nomi di dominio completi, Microsoft non può garantire la protezione dall'esfiltrazione dei dati a tali destinazioni in uscita.
• La creazione di un cluster di calcolo in un'area diversa da quella dell'area di lavoro non è supportata quando si usa una rete virtuale gestita.
• Kubernetes e macchine virtuali collegate non sono supportate in una rete virtuale gestita di Azure Machine Learning.
• L'uso delle regole in uscita FQDN aumenta il costo della rete virtuale gestita perché le regole FQDN usano Firewall di Azure. Per altre informazioni, vedere Prezzi.

Migrazione delle risorse di calcolo

Se si dispone di un'area di lavoro esistente e si vuole abilitare la rete virtuale gestita, non è attualmente disponibile alcun percorso di migrazione supportato per le risorse di calcolo gestite esistenti. Sarà necessario eliminare tutte le risorse di calcolo gestite esistenti e ricrearle dopo aver abilitato la rete virtuale gestita. L'elenco seguente contiene le risorse di calcolo che devono essere eliminate e ricreate:

• Cluster di elaborazione
• Istanza di calcolo
• Cluster Kubernetes
• Endpoint online gestiti

Passaggi successivi

• Risolvere i problemi relativi alla rete virtuale gestita
• Configurare i calcoli gestiti in una rete virtuale gestita