Isolamento de Rede Virtual gerenciado por workspace

APLICA-SE A:Extensão de ML da CLI do Azure v2 (atual)SDK do Python azure-ai-ml v2 (atual)

O Azure Machine Learning fornece suporte para o isolamento de VNet (rede virtual) gerenciada. O isolamento de VNet gerenciada simplifica e automatiza a configuração do isolamento de rede com uma VNet gerenciada interna no nível do workspace do Azure Machine Learning. A VNet gerenciada protege os recursos gerenciados do Azure Machine Learning, como instâncias de computação, clusters de computação, computação sem servidor e pontos de extremidade online gerenciados.

Proteger seu workspace com uma rede gerenciada fornece isolamento de rede para acesso de saída do workspace e dos cálculos gerenciados. Um Rede Virtual do Azure que você cria e gerencia é usado para fornecer isolamento de rede acesso de entrada ao workspace. Por exemplo, um ponto de extremidade privado para o workspace é criado em sua Rede Virtual do Azure. Todos os clientes que se conectam à rede virtual podem acessar o workspace por meio do ponto de extremidade privado. Ao executar trabalhos em computação gerenciada, a rede gerenciada restringe o que a computação pode acessar.

Arquitetura de Rede Virtual gerenciada

Ao habilitar o isolamento de rede virtual gerenciada, uma VNet gerenciada será criada para o workspace. Os recursos de computação gerenciados que você cria para o espaço de trabalho usam automaticamente essa VNet gerenciada. A VNet gerenciada pode usar pontos de extremidade privados para recursos do Azure que são usados pelo workspace, como Armazenamento do Azure, Azure Key Vault e Registro de Contêiner do Azure.

Existem dois modos de configuração diferentes para o tráfego de saída da VNet gerenciada:

Dica

Independentemente do modo de saída usado, o tráfego para recursos do Azure pode ser configurado para usar um ponto de extremidade privado. Por exemplo, você pode permitir todo o tráfego de saída para a Internet, mas restringir a comunicação com os recursos do Azure adicionando regras de saída para os recursos.

Modo de saída	Descrição	Cenários
Permitir a saída da Internet	Permita todo o tráfego de saída da Internet da VNet gerenciada.	Você deseja acesso irrestrito aos recursos de machine learning na Internet, como pacotes Python ou modelos pré-treinados.1
Permitir somente a saída aprovada	O tráfego de saída é permitido por meio da especificação de marcas de serviço.	* Você deseja minimizar o risco de exfiltração dos dados, mas precisa preparar todos os artefatos de machine learning necessários em seu ambiente privado. * Você deseja configurar o acesso de saída a uma lista aprovada de serviços, marcas de serviço ou FQDNs.
Desabilitadas	O tráfego de entrada e saída não é restrito ou você está usando sua própria Rede Virtual do Azure para proteger os recursos.	Você deseja entrada e saída pública do workspace ou está tratando o isolamento de rede com sua própria VNet do Azure.

1: você pode usar regras de saída com o modo permitir apenas a saída aprovada para obter o mesmo resultado que o uso do modo permitir saída da Internet. As diferenças são:

• Você deve adicionar regras para cada conexão de saída que precisa permitir.
• A adição de regras de saída de FQDN aumenta seus custos, pois esse tipo de regra usa o Firewall do Azure. Para saber mais, confira os Preços
• As regras padrão para permitir apenas a saída aprovada são projetadas para minimizar o risco de exfiltração dos dados. Qualquer regra de saída adicionada pode aumentar o risco.

A VNet gerenciada é pré-configurada com as regras padrão necessárias. Ela também é configurado para conexões de ponto de extremidade privado com seu workspace, o armazenamento padrão do workspace, o registro de contêiner e o cofre de chaves se eles estiverem configurados como privados ou o modo de isolamento do workspace estiver definido como permitir apenas a saída aprovada. Depois de escolher o modo de isolamento, você só precisa levar em consideração outros requisitos de saída que talvez precise adicionar.

O diagrama a seguir mostra uma VNetgerenciada configurada para permitir a saída da Internet:

O diagrama a seguir mostra uma VNetgerenciada configurada para permitir apenas a saída aprovada:

Observação

Nessa configuração, o armazenamento, o cofre de chaves e o registro de contêiner usados pelo workspace são sinalizados como privados. Como eles são sinalizados como privados, um ponto de extremidade privado é usado para se comunicar com eles.

Observação

Uma vez que um workspace de VNet gerenciado é configurado para permitir acesso de saída da internet, ele não pode ser reconfigurado para desabilitado. Da mesma forma, uma vez que um workspace de VNet gerenciado é configurado para permitir apenas saída aprovada, o workspace não pode ser reconfigurado para permitir saída da internet. Tenha isso em mente ao selecionar o modo de isolamento para a VNet gerenciada no workspace.

Azure Machine Learning Studio

Se você quiser usar o notebook integrado ou criar conjuntos de dados na conta de armazenamento padrão do estúdio, seu cliente precisará acessar a conta de armazenamento padrão. Crie um ponto de extremidade privado ou ponto de extremidade de serviço para a conta de armazenamento padrão na Rede Virtual do Azure que os clientes usam.

Parte do Estúdio do Azure Machine Learning é executada localmente no navegador da Web do cliente e se comunica diretamente com o armazenamento padrão para o espaço de trabalho. A criação de um ponto de extremidade privado ou ponto de extremidade de serviço (para a conta de armazenamento padrão) na rede virtual do cliente garante que ele possa se comunicar com a conta de armazenamento.

Para obter mais informações sobre como criar um ponto de extremidade privado ou ponto de extremidade de serviço, consulte os artigos Conectar-se de forma privada a uma conta de armazenamento e Pontos de extremidade de serviço.

Pré-requisitos

Antes de seguir as etapas neste artigo, verifique se você tem os seguintes pré-requisitos:

CLI do Azure

• Uma assinatura do Azure. Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar. Experimente a versão gratuita ou paga do Azure Machine Learning.

• O provedor de recursos Microsoft.Network deve ser registrado para a sua assinatura do Azure. Esse provedor de recursos é usado pelo workspace ao criar pontos de extremidade privados para a rede virtual gerenciada.

  Para obter informações sobre o registro de provedores de recursos, confira Resolver erros de registro de provedor de recursos.

• A identidade do Azure que você usa ao implantar uma rede gerenciada requer as seguintes ações de RBAC do Azure (controle de acesso baseado em função do Azure) para criar pontos de extremidade privados:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• A CLI do Azure e a ml extensão na CLI do Azure. Para obter mais informações, confira Instalar, configurar e usar a CLI (v2).

  Dica

  A VNet gerenciada do Azure Machine Learning foi introduzida em 23 de maio de 2023. Se você tiver uma versão mais antiga da extensão de aprendizado de máquina, talvez seja necessário atualizá-la para que os exemplos neste artigo funcionem. Para atualizar a extensão, use o seguinte comando da CLI do Azure:

  az extension update -n ml
  

• Os exemplos de CLI neste artigo pressupõem que você esteja usando o shell Bash (ou compatível). Por exemplo, de um sistema Linux ou Subsistema do Windows para Linux.

• Os exemplos da CLI do Azure neste artigo usam ws para representar o nome do workspace e rg para representar o nome do grupo de recursos. Altere esses valores conforme o necessário ao usar os comandos com sua assinatura do Azure.

• Com a CLI do Azure e a VNet gerenciada, o SSH usando o IP público funciona, mas o SSH usando o IP privado não funciona.

SDK do Python

• Uma assinatura do Azure. Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar. Experimente a versão gratuita ou paga do Azure Machine Learning.

• O provedor de recursos Microsoft.Network deve ser registrado para a sua assinatura do Azure. Esse provedor de recursos é usado pelo workspace ao criar pontos de extremidade privados para a rede virtual gerenciada.

  Para obter informações sobre o registro de provedores de recursos, confira Resolver erros de registro de provedor de recursos.

• A identidade do Azure que você usa ao implantar uma rede gerenciada requer as seguintes ações de RBAC do Azure (controle de acesso baseado em função do Azure) para criar pontos de extremidade privados:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• O SDK do Python do Azure Machine Learning v2. Para obter mais informações sobre o SDK, confira Instalar o SDK do Python v2 para Azure Machine Learning.

  Dica

  A VNet gerenciada do Azure Machine Learning foi introduzida em 23 de maio de 2023. Se você tiver uma versão mais antiga do SDK instalada, talvez seja necessário atualizá-la para que os exemplos neste artigo funcionem. Para atualizar o SDK, use o seguinte comando:

  pip install --upgrade azure-ai-ml azure-identity
  

• Os exemplos neste artigo pressupõem que o seu código começa com o Python a seguir. Esse código importa as classes necessárias ao criar um workspace com a VNet gerenciada, define variáveis para sua assinatura e grupo de recursos do Azure e cria ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Workspace,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Azure portal

• Uma assinatura do Azure. Caso não tenha uma assinatura do Azure, crie uma conta gratuita antes de começar. Experimente a versão gratuita ou paga do Azure Machine Learning.

• O provedor de recursos Microsoft.Network deve ser registrado para a sua assinatura do Azure. Esse provedor de recursos é usado pelo workspace ao criar pontos de extremidade privados para a rede virtual gerenciada.

  Para obter informações sobre o registro de provedores de recursos, confira Resolver erros de registro de provedor de recursos.

• A identidade do Azure que você usa ao implantar uma rede gerenciada requer as seguintes ações de RBAC do Azure (controle de acesso baseado em função do Azure) para criar pontos de extremidade privados:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Observação

Se você estiver usando o workspace de UAI, adicione a função Colaborador de Rede à sua identidade. Para obter mais informações, consulte Identidade gerenciada atribuída pelo usuário.

Configurar uma rede virtual gerenciada para permitir a saída da Internet

Dica

A criação da VNet gerenciada é adiada até que um recurso de computação seja criado ou até que o provisionamento seja iniciado manualmente. Ao permitir a criação automática, pode levar cerca de 30 minutos para criar o primeiro recurso de computação, pois ele também está provisionando a rede. Para obter mais informações, consulte Provisionar manualmente a rede.

Importante

Se você planeja enviar trabalhos do Spark sem servidor, deve iniciar o provisionamento manualmente. Para obter mais informações, consulte a seção Configurar para trabalhos do Spark sem servidor.

CLI do Azure

Para configurar uma VNet gerenciada que permita comunicações de saída da Internet, você pode usar o parâmetro --managed-network allow_internet_outbound ou um arquivo de configuração YAML que contenha as seguintes entradas:

managed_network:
  isolation_mode: allow_internet_outbound

Você também pode definir as regras de saída para outros serviços do Azure dos quais o workspace depende. Essas regras definem os pontos de extremidade privados que permitem que um recurso do Azure se comunique com segurança com a VNet gerenciada. A regra a seguir demonstra como adicionar um ponto de extremidade privado a um recurso de Blob do Azure.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Você pode configurar uma VNet gerenciada usando os comandos az ml workspace create ou az ml workspace update:

• Criar um novo workspace:

  O exemplo a seguir cria um novo workspace. O parâmetro --managed-network allow_internet_outbound configura uma VNet gerenciada para o workspace:

  az ml workspace create --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Para criar um workspace usando um arquivo YAML, use o parâmetro --file e especifique o arquivo YAML que contém as definições de configuração:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

  O exemplo de YAML a seguir define um workspace com uma VNet gerenciada:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Habilitar um workspace existente:

  Aviso

  Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação do workspace. Isso inclui a instância de computação, o cluster de computação e pontos de extremidade online gerenciados.

  O exemplo a seguir atualiza um workspace existente. O parâmetro --managed-network allow_internet_outbound configura uma VNet gerenciada para o workspace:

  az ml workspace update --name ws --resource-group rg --managed-network allow_internet_outbound
  

  Para atualizar um workspace existente usando o arquivo YAML, use o parâmetro --file e especifique o arquivo YAML que contém as definições de configuração:

  az ml workspace update --file workspace.yaml --name ws --resource-group MyGroup
  

  O exemplo de YAML a seguir define uma VNet gerenciada para o workspace. Ele também demonstra como adicionar uma conexão de ponto de extremidade privado a um recurso usado pelo workspace; neste exemplo, é um ponto de extremidade privado para um repositório de blobs:

  name: myworkspace
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

SDK do Python

Para configurar uma VNet gerenciada que permite comunicações de saída da Internet, use a classe ManagedNetwork para definir uma rede com IsolationMode.ALLOW_INTERNET_OUTBOUND. Você pode usar o objeto ManagedNetwork para criar um novo workspace ou atualizar um existente. Para definir as regras de saída para os serviços do Azure dos quais o workspace depende, use a classe PrivateEndpointDestination para definir um novo ponto de extremidade privado para o serviço.

• Criar um novo workspace:

  O exemplo a seguir cria um novo workspace chamado myworkspace, com uma regra de saída chamada myrule, que adiciona um ponto de extremidade privado para um armazenamento de Blobs do Azure:

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Habilitar um workspace existente:

  Aviso

  Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação do workspace. Isso inclui a instância de computação, o cluster de computação e pontos de extremidade online gerenciados.

  O exemplo a seguir demonstra como criar uma VNet gerenciada para um workspace existente do Azure Machine Learning chamado myworkspace:

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure portal

• Criar um novo workspace:

  1. Entre no portal do Azure e escolha Azure Machine Learning no menu Criar um recurso.

  2. Preencha as informações necessárias na guia Noções básicas.

  3. Na guia Rede , selecione Privado com Saída da Internet.

     

  4. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral regras de saída do workspace, forneça as seguintes informações:

     • Nome da regra: um nome para a regra. O nome deve ser exclusivo para este workspace.
     • Tipo de destino: o ponto de extremidade privado é a única opção quando o isolamento de rede é privado com saída da Internet. A VNet gerenciada do Azure Machine Learning não dá suporte à criação de um ponto de extremidade privado para todos os tipos de recursos do Azure. Para obter uma lista de recursos com suporte, confira a seção pontos de extremidade privados.
     • Assinatura: a assinatura que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
     • Grupo de recursos: o grupo de recursos que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
     • Tipo de recurso: o tipo do recurso do Azure.
     • Nome do recurso: o nome do recurso do Azure.
     • Sub-recurso: o sub-recurso do tipo de recurso do Azure.
     • Spark habilitado: selecione esta opção se quiser habilitar trabalhos do Spark sem servidor no workspace. Essa opção só estará disponível se o tipo de recurso for Armazenamento do Microsoft Azure.

     

     Selecione Salvar para salvar a regra. Você pode continuar usando Adicionar regras de saída definidas pelo usuário para adicionar regras.

  5. Continue a criar o workspace normalmente.

• Habilitar um workspace existente:

  Aviso

  Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação do workspace. Isso inclui a instância de computação, o cluster de computação e pontos de extremidade online gerenciados.

  1. Entre no portal do Azure e selecione o workspace do Azure Machine Learning para o qual você deseja habilitar o isolamento de VNet gerenciada.

  2. Na guia Rede, selecione Privada com Saída da Internet.

     

     • Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral de Regras de saída do workspace, forneça as mesmas informações usadas ao criar um workspace na seção "Criar um workspace".

       

     • Para excluir uma regra de saída, selecione excluir para a regra.

       

  3. Selecione Salvar na parte superior da página para salvar as alterações na VNet gerenciada.

Configurar uma rede virtual gerenciada para permitir apenas saídas aprovadas

Dica

A VNet gerenciada é provisionada automaticamente quando você cria um recurso de computação. Ao permitir a criação automática, pode levar cerca de 30 minutos para criar o primeiro recurso de computação, pois ele também está provisionando a rede. Se você configurou regras de saída de FQDN, a primeira regra de FQDN adicionará cerca de 10 minutos ao tempo de provisionamento. Para obter mais informações, consulte Provisionar manualmente a rede.

Importante

Se você planeja enviar trabalhos do Spark sem servidor, deve iniciar o provisionamento manualmente. Para obter mais informações, consulte a seção Configurar para trabalhos do Spark sem servidor.

CLI do Azure

Para configurar uma VNet gerenciada que permita apenas comunicações de saída aprovadas, você pode usar o parâmetro --managed-network allow_only_approved_outbound ou um arquivo de configuração YAML que contenha as seguintes entradas:

managed_network:
  isolation_mode: allow_only_approved_outbound

Você também pode definir as regras de saída para definir a comunicação de saída aprovada. Uma regra de saída pode ser criada para um tipo de service_tag, fqdn e private_endpoint. A regra a seguir demonstra como adicionar um ponto de extremidade privado a um recurso de Blob do Azure, uma marca de serviço para o Azure Data Factory e um FQDN a pypi.org:

Importante

• A adição de uma saída para uma marca de serviço ou FQDN só é válida quando a VNet gerenciada estiver configurada para allow_only_approved_outbound.
• Se você adicionar regras de saída, a Microsoft não poderá garantir a exfiltração de dados.

Aviso

As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Você pode configurar uma VNet gerenciada usando os comandos az ml workspace create ou az ml workspace update:

• Criar um novo workspace:

  O exemplo a seguir usa o parâmetro --managed-network allow_only_approved_outbound para configurar a VNet gerenciada:

  az ml workspace create --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  O arquivo YAML a seguir define um workspace com uma VNet gerenciada:

  name: myworkspace
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Para criar um workspace usando o arquivo YAML, use o parâmetro --file:

  az ml workspace create --file workspace.yaml --resource-group rg --name ws
  

• Atualizar um workspace existente

  Aviso

  Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação do workspace. Isso inclui a instância de computação, o cluster de computação e pontos de extremidade online gerenciados.

  O exemplo a seguir usa o parâmetro --managed-network allow_only_approved_outbound para configurar a VNet gerenciada para um workspace existente:

  az ml workspace update --name ws --resource-group rg --managed-network allow_only_approved_outbound
  

  O arquivo YAML a seguir define uma VNet gerenciada para o workspace. Ele também demonstra como adicionar uma saída aprovada à VNet gerenciada. Neste exemplo, uma regra de saída é adicionada para ambas as marcas de serviço:

  Aviso

  As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos para o Firewall do Azure serão adicionados à sua cobrança. Para obter mais informações, consulte Preço.

  name: myworkspace_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

SDK do Python

Para configurar uma VNet gerenciada que permita apenas comunicações de saída aprovadas, use a classe ManagedNetwork para definir uma rede com IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Você pode usar o objeto ManagedNetwork para criar um novo workspace ou atualizar um existente. Para definir regras de saída, use as seguintes classes:

Destino	Classe
Serviço do Azure do qual o workspace depende	PrivateEndpointDestination
Marca de serviço do Azure	ServiceTagDestination
FQDN (nome de domínio totalmente qualificado)	FqdnDestination

• Criar um novo workspace:

  O exemplo a seguir cria um novo workspace chamado myworkspace, com várias regras de saída:

  • myrule – Adiciona um ponto de extremidade privado para um repositório de Blobs do Azure.
  • datafactory– Adiciona uma regra de marca de serviço para se comunicar com o Azure Data Factory.

  Importante

  • A adição de uma saída para uma marca de serviço ou FQDN só é válida quando a VNet gerenciada estiver configurada para IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Se você adicionar regras de saída, a Microsoft não poderá garantir a exfiltração de dados.

  Aviso

  As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

  # Basic managed VNet configuration
  network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Workspace configuration
  ws = Workspace(
      name="myworkspace",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the workspace
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Habilitar um workspace existente:

  Aviso

  Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação do workspace. Isso inclui a instância de computação, o cluster de computação e pontos de extremidade online gerenciados.

  O exemplo a seguir demonstra como criar uma VNet gerenciada para um workspace existente do Azure Machine Learning chamado myworkspace. O exemplo também adiciona várias regras de saída para a VNet gerenciada:

  • myrule – Adiciona um ponto de extremidade privado para um repositório de Blobs do Azure.
  • datafactory– Adiciona uma regra de marca de serviço para se comunicar com o Azure Data Factory.

  Dica

  A adição de uma saída para uma marca de serviço ou FQDN só é válida quando a VNet gerenciada estiver configurada para IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Aviso

  As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

  # Get the existing workspace
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the workspace
  ml_client.workspaces.begin_update(ws)
  

Azure portal

• Criar um novo workspace:

  1. Entre no portal do Azure e escolha Azure Machine Learning no menu Criar um recurso.

  2. Preencha as informações necessárias na guia Noções básicas.

  3. Na guia Rede, selecione Privada com Saída da Internet.

     

  4. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral regras de saída do workspace, forneça as seguintes informações:

     • Nome da regra: um nome para a regra. O nome deve ser exclusivo para este workspace.
     • Tipo de destino: ponto de extremidade privado, marca de serviço ou FQDN. A marca de serviço e o FQDN só estão disponíveis quando o isolamento de rede é privado com saída aprovada.

     Se o tipo de destino for ponto de extremidade privado, forneça as seguintes informações:

     • Assinatura: a assinatura que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
     • Grupo de recursos: o grupo de recursos que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
     • Tipo de recurso: o tipo do recurso do Azure.
     • Nome do recurso: o nome do recurso do Azure.
     • Sub-recurso: o sub-recurso do tipo de recurso do Azure.
     • Spark habilitado: selecione esta opção se quiser habilitar trabalhos do Spark sem servidor no workspace. Essa opção só estará disponível se o tipo de recurso for Armazenamento do Microsoft Azure.

     Dica

     A VNet gerenciada do Azure Machine Learning não dá suporte à criação de um ponto de extremidade privado para todos os tipos de recursos do Azure. Para obter uma lista de recursos com suporte, confira a seção pontos de extremidade privados.

     

     Se o tipo de destino for marca de serviço, forneça as seguintes informações:

     • Marca de serviço: a marca de serviço a ser adicionada às regras de saída aprovadas.
     • Protocolo: o protocolo a ser permitido para a marca de serviço.
     • Intervalos de portas: os intervalos de portas a serem permitidos para a marca de serviço.

     

     Se o tipo de destino for FQDN, forneça as seguintes informações:

     Aviso

     As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

     • Destino FQDN: o nome de domínio totalmente qualificado a ser adicionado às regras de saída aprovadas.

     

     Selecione Salvar para salvar a regra. Você pode continuar usando Adicionar regras de saída definidas pelo usuário para adicionar regras.

  5. Continue a criar o workspace normalmente.

• Habilitar um workspace existente:

  Aviso

  Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação do workspace. Isso inclui a instância de computação, o cluster de computação e pontos de extremidade online gerenciados.

  1. Entre no portal do Azure e selecione o workspace do Azure Machine Learning para o qual você deseja habilitar o isolamento de VNet gerenciada.

  2. Selecione Rede e, em seguida, selecione Privada com Saída da Internet.

     

     • Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral de Regras de saída do workspace, forneça as mesmas informações que ao criar um workspace na seção anterior "Criar um workspace".

     • Para excluir uma regra de saída, selecione excluir para a regra.

       

  3. Selecione Salvar na parte superior da página para salvar as alterações na VNet gerenciada.

Configurar para trabalhos do Spark sem servidor

Dica

As etapas nesta seção só serão necessárias se você planeja enviar trabalhos do Spark sem servidor. Se você não estiver enviando trabalhos do Spark sem servidor, ignore esta seção.

Para habilitar os trabalhos do Spark sem servidor para a VNet gerenciada, você deve realizar as seguintes ações:

• Configure uma VNet gerenciada para o workspace e adicione um ponto de extremidade privado de saída para a Conta de Armazenamento do Azure.
• Depois de configurar a VNet gerenciada, provisione-a e sinalize-a para permitir trabalhos do Spark.

1. Configure um ponto de extremidade privado de saída.

   CLI do Azure

   Use um arquivo YAML para definir a configuração da VNet gerenciada e adicionar um ponto de extremidade privado para a Conta de Armazenamento do Azure. Além disso, defina spark_enabled: true:

   Dica

   Este exemplo é para uma VNet gerenciada configurada que usa isolation_mode: allow_internet_outbound para permitir o tráfego da Internet. Se você quiser permitir apenas o tráfego de saída aprovado, use isolation_mode: allow_only_approved_outbound.

   name: myworkspace
   managed_network:
     isolation_mode: allow_internet_outbound
     outbound_rules:
     - name: added-perule
       destination:
         service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
         spark_enabled: true
         subresource_target: blob
       type: private_endpoint
   

   Você pode usar um arquivo de configuração YAML com o comando az ml workspace update especificando o parâmetro --file e o nome do arquivo YAML. Por exemplo, o comando a seguir atualiza um workspace existente usando um arquivo YAML chamado workspace_pe.yml:

   az ml workspace update --file workspace_pe.yml --resource_group rg --name ws
   

   Observação

   Quando Permitir somente a saída aprovada estiver habilitada (isolation_mode: allow_only_approved_outbound), as dependências do pacote do Conda definidas na configuração de sessão do Spark não serão instaladas. Para resolver esse problema, carregue um pacote wheel do Python sem dependências externas em uma conta de armazenamento do Azure e crie um ponto de extremidade privado para essa conta de armazenamento. Use o caminho para o pacote wheel do Python como parâmetro py_files em seu trabalho do Spark. Definir uma regra de saída do FQDN não irá ignorar esse problema, já que o Spark não é compatível com a propagação de regras de FQDN.

   SDK do Python

   O exemplo a seguir demonstra como criar uma VNet gerenciada para um workspace existente do Azure Machine Learning chamado myworkspace. Ele também adiciona um ponto de extremidade privado para a Conta de Armazenamento do Azure e define spark_enabled=true:

   Dica

   O exemplo a seguir é para uma VNet gerenciada configurada usando IsolationMode.ALLOW_INTERNET_OUTBOUND para permitir o tráfego da Internet. Se você quiser permitir apenas o tráfego de saída aprovado, use IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   # Get the existing workspace
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myworkspace")
   ws = ml_client.workspaces.get()
   
   # Basic managed VNet configuration
   ws.managed_network = ManagedNetwork(IsolationMode.ALLOW_INTERNET_OUTBOUND)
   
   # Example private endpoint outbound to a blob
   rule_name = "myrule"
   service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
   subresource_target = "blob"
   spark_enabled = True
   
   # Add the outbound 
   ws.managed_network.outbound_rules = [PrivateEndpointDestination(
       name=rule_name, 
       service_resource_id=service_resource_id, 
       subresource_target=subresource_target, 
       spark_enabled=spark_enabled)]
   
   # Create the workspace
   ml_client.workspaces.begin_update(ws)
   

   Observação

   • Quando Permitir somente a saída aprovada estiver habilitada (isolation_mode: allow_only_approved_outbound), as dependências do pacote do Conda definidas na configuração de sessão do Spark não serão instaladas. Para resolver esse problema, carregue um pacote wheel do Python sem dependências externas em uma conta de armazenamento do Azure e crie um ponto de extremidade privado para essa conta de armazenamento. Use o caminho para o pacote wheel do Python como parâmetro py_files no trabalho do Spark.
   • Se o workspace foi criado com IsolationMode.ALLOW_INTERNET_OUTBOUND, ele não poderá ser atualizado posteriormente para usar IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

   Azure portal

   1. Entre no portal do Azure e selecione o workspace do Azure Machine Learning.

   2. Selecione Rede e, em seguida, selecione Adicionar regras de saída definidas pelo usuário. Adicione uma regra para a Conta do Armazenamento do Azure e verifique se Habilitado para Spark está selecionado.

      

   3. Selecione Salvar para salvar a regra e, em seguida, selecione Salvar na parte superior da Rede para salvar as alterações na rede virtual gerenciada.

2. Provisione a VNet gerenciada.

   Observação

   Se o workspace já estiver configurado para um ponto de extremidade público (por exemplo, com uma Rede Virtual do Azure) e estiver com o acesso à rede pública habilitado, você deverá desabilitá-lo antes de provisionar a VNet gerenciada. Se você não desabilitar o acesso à rede pública ao provisionar a VNet gerenciada, pode ser que os pontos de extremidade privados para o ponto de extremidade gerenciado não sejam criados com êxito.

   CLI do Azure

   O exemplo a seguir mostra como provisionar uma VNet gerenciada para trabalhos do Spark sem servidor usando o parâmetro --include-spark.

   az ml workspace provision-network -g my_resource_group -n my_workspace_name --include-spark
   

   SDK do Python

   O exemplo a seguir mostra como provisionar uma VNet gerenciada para trabalhos do Spark sem servidor:

   # Connect to a workspace named "myworkspace"
   ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")
   
   # whether to provision Spark vnet as well
   include_spark = True
   
   provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()
   

   Azure portal

   Use as guias da CLI do Azure ou do SDK do Python para saber como provisionar manualmente a VNet gerenciada compatível com Spark sem servidor.

Provisionar manualmente uma VNet gerenciada

A VNet gerenciada é provisionada automaticamente quando você cria um recurso de computação. Quando você depende do provisionamento automático, pode levar cerca de 30 minutos para criar o primeiro recurso de computação, pois ele também está provisionando a rede. Se você configurou regras de saída de FQDN (disponível somente com o modo permitir somente aprovado), a primeira regra do FQDN adicionará cerca de 10 minutos ao tempo de provisionamento. Se você tiver um conjunto grande de regras de saída a ser provisionado na rede gerenciada, poderá levar mais tempo para que o provisionamento seja concluído. O aumento do tempo de provisionamento pode fazer com que sua primeira criação de computação ou sua primeira implantação de ponto de extremidade online gerenciado atinja o tempo limite.

Para reduzir o tempo de espera e evitar possíveis erros de tempo limite, recomendamos provisionar a rede gerenciada manualmente. Em seguida, aguarde até que o provisionamento seja concluído antes de criar um recurso de computação ou uma implantação de ponto de extremidade online gerenciado.

CLI do Azure

O exemplo a seguir mostra como provisionar uma VNet gerenciada.

Dica

Se você planeja enviar trabalhos spark sem servidor, adicione o parâmetro --include-spark.

az ml workspace provision-network -g my_resource_group -n my_workspace_name

Para verificar se o provisionamento foi concluído, use o seguinte comando:

az ml workspace show -n my_workspace_name -g my_resource_group --query managed_network

SDK do Python

O exemplo a seguir mostra como provisionar uma VNet gerenciada:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# whether to provision Spark vnet as well
include_spark = True

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ws_name, include_spark=include_spark).result()

Para verificar se o espaço de trabalho foi provisionado, use ml_client.workspaces.get() para obter as informações do espaço de trabalho. A propriedade managed_network contém o status da rede gerenciada.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Portal do Azure

Use as guias da CLI do Azure ou do SDK do Python para saber como provisionar manualmente a VNet gerenciada compatível com Spark sem servidor.

Configurar builds de imagem

Quando o Registro de Contêiner do Azure para seu workspace está em uma rede virtual, ele não pode ser usado para criar diretamente imagens do Docker. Nesse caso, configure seu workspace para usar um cluster de computação ou uma instância de computação para criar imagens.

Importante

O recurso de computação usado para criar imagens do Docker precisa conseguir acessar os repositórios de pacote que são usados para treinar e implantar seus modelos. Se você estiver usando uma rede configurada para permitir apenas a saída aprovada, talvez seja necessário adicionar regras que permitam o acesso a repositórios públicos ou usar pacotes privados do Python.

CLI do Azure

Para atualizar um workspace para usar um cluster de computação ou uma instância de computação para criar imagens do Docker, use o comando az ml workspace update com o parâmetro --image-build-compute:

az ml workspace update --name ws --resource-group rg --image-build-compute mycompute

SDK do Python

O exemplo a seguir demonstra como atualizar um workspace para usar um cluster de computação para criar imagens:

# import required libraries
from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

subscription_id = "<your subscription ID>"
resource_group = "<your resource group name>"
workspace = "<your workspace name>"

ml_client = MLClient(
    DefaultAzureCredential(), subscription_id, resource_group, workspace
)

# Get workspace info
ws=ml_client.workspaces.get(name=workspace)
# Update to use cpu-cluster for image builds
ws.image_build_compute="mycompute"
ml_client.workspaces.begin_update(ws)
# To switch back to using ACR to build (if ACR is not in the virtual network):
# ws.image_build_compute = ''
# ml_client.workspaces.begin_update(ws)

Portal do Azure

Atualmente, não há nenhum modo para definir a computação de build no portal do Azure. Use as guias da CLI do Azure ou do SDK do Python para saber como configurar manualmente os builds de imagem.

Gerenciar regras de saída

CLI do Azure

Para listar as regras de saída da VNet gerenciada para um workspace, use o seguinte comando:

az ml workspace outbound-rule list --workspace-name ws --resource-group rg

Para exibir os detalhes de uma regra de saída da VNet gerenciada, use o seguinte comando:

az ml workspace outbound-rule show --rule rule-name --workspace-name ws --resource-group rg

Para remover uma regra de saída da VNet gerenciada, use o seguinte comando:

az ml workspace outbound-rule remove --rule rule-name --workspace-name ws --resource-group rg

SDK do Python

O exemplo a seguir demonstra como gerenciar regras de saída para um workspace chamado myworkspace:

# Connect to the workspace
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myworkspace")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a workspace
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a workspace
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Portal do Azure

1. Entre no portal do Azure e selecione o workspace do Azure Machine Learning para o qual você deseja habilitar o isolamento de VNet gerenciada.

2. Selecione Rede. A seção Acesso de saída do workspace permite que você gerencie regras de saída.

   

• Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede. Na barra lateral regras de saída do workspace, forneça as seguintes informações:

• Para habilitar ou desabilitar uma regra, use a alternância na coluna Ativo.

• Para excluir uma regra de saída, selecione excluir para a regra.

Lista de regras necessárias

Dica

Essas regras são adicionadas automaticamente à VNet gerenciada.

Pontos de extremidade privados:

• Quando o modo de isolamento para a VNet gerenciada for Allow internet outbound, as regras de saída do ponto de extremidade privado serão criadas automaticamente como regras necessárias da VNet gerenciada para o workspace e recursos associados com o acesso à rede pública desabilitado (Key Vault, conta de armazenamento, Registro de Contêiner, workspace do Azure Machine Learning).
• Quando o modo de isolamento da VNet gerenciada for Allow only approved outbound, as regras de saída do ponto de extremidade privado serão criadas automaticamente como regras necessárias da VNet gerenciada para o workspace e os recursos associados, independentemente do modo de acesso à rede pública para esses recursos (Key Vault, conta de armazenamento, Registro de Contêiner, workspace do Azure Machine Learning).

Regras de marca de serviço de saída:

• AzureActiveDirectory
• AzureMachineLearning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor
• MicrosoftContainerRegistry
• AzureMonitor

Regras de marca de serviço de entrada:

• AzureMachineLearning

Lista de regras de saída específicas do cenário

Cenário: Acessar pacotes públicos de aprendizado de máquina

Para permitir a instalação de pacotes do Python para treinamento e implantação, adicione regras de FQDN de saída para permitir o tráfego aos seguintes nomes de host:

Aviso

As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

Observação

Esta não é uma lista completa dos hosts necessários para todos os recursos do Python na Internet. Ela inclui somente os mais usados. Por exemplo, caso você precise de acesso a um repositório GitHub ou outro host, identifique e adicione os hosts necessários para esse cenário.

Nome do host	Finalidade
anaconda.com *.anaconda.com	Usado para instalar pacotes padrão.
*.anaconda.org	Usado para obter dados do repositório.
pypi.org	Usado para listar dependências com base no índice padrão, se houver, quando o índice não foi substituído pelas configurações do usuário. Se o índice tiver sido substituído, você deverá permitir também *.pythonhosted.org.
pytorch.org *.pytorch.org	Usado por alguns exemplos com base em PyTorch.
*.tensorflow.org	Usado por alguns exemplos com base em Tensorflow.

Cenário: Usar o Visual Studio Code para desktop ou web com a instância de computação

Se você planeja usar o Visual Studio Code com o Azure Machine Learning, adicione regras de FQDN de saída para permitir o tráfego aos seguintes hosts:

Aviso

As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• vscode.download.prss.microsoft.com

Cenário: Usar pontos de extremidade em lote

Se você planeja usar pontos de extremidade em lote do Azure Machine Learning para implantação, adicione regras de ponto de extremidade privado de saída para permitir o tráfego para os seguintes sub-recursos para a conta de armazenamento padrão:

• queue
• table

Cenário: usar o prompt flow com o OpenAI do Azure, a segurança de conteúdo e a Pesquisa de IA do Azure

• Ponto de extremidade privado para os Serviços de IA do Azure
• Ponto de extremidade privado para o Azure AI Search

Cenário: usar modelos do HuggingFace

Se você planeja usar os modelos do HuggingFace com o Azure Machine Learning, adicione regras de FQDN de saída para permitir o tráfego aos seguintes hosts:

Aviso

As regras de saída de FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. Para saber mais, consulte Preços.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• cdn-lfs.huggingface.co

Cenário: habilitar o acesso de endereços IP selecionados

Se quiser habilitar o acesso a partir de endereços IP específicos, execute as seguintes ações:

1. Adicione uma regra de saída de ponto de extremidade privado para permitir tráfego para o workspace do Azure Machine Learning. Isso permite que instâncias de computação criadas na rede virtual gerenciada acessem o workspace.

   Dica

   Você não pode adicionar essa regra durante a criação do workspace, já que o workspace ainda não existe.

2. Habilite o acesso da rede pública ao workspace. Para obter mais informações, confira acesso à rede pública habilitado.

3. Adicione seus endereços IP ao firewall do Azure Machine Learning. Para obter mais informações, confira habilitar o acesso somente a partir de intervalos de IP.

Pontos de extremidade privados

Atualmente, há suporte para pontos de extremidade privados para os seguintes serviços do Azure:

• Azure Machine Learning
• Registros do Azure Machine Learning
• Armazenamento do Microsoft Azure (todos os tipos de sub-recursos)
• Registro de Contêiner do Azure
• Cofre de Chave do Azure
• Serviços de IA do Azure
• Azure AI Search (anteriormente Cognitive Search)
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (todos os sub-tipos de recursos)
• Hubs de eventos do Azure
• Cache Redis do Azure
• Azure Databricks
• Banco de Dados do Azure para MariaDB
• Banco de Dados do Azure para PostgreSQL
• Banco de Dados do Azure para MySQL
• Instância Gerenciada do Azure SQL
• Gerenciamento de API do Azure

Ao criar um ponto de extremidade privado, você fornece o tipo de recurso e o sub-recurso ao qual o ponto de extremidade se conecta. Alguns recursos têm vários tipos e sub-recursos. Para obter mais informações, confira o que é um ponto de extremidade privado.

Quando você cria um ponto de extremidade privado para recursos de dependência do Azure Machine Learning, como Armazenamento do Microsoft Azure, Registro de Contêiner do Azure e Azure Key Vault, o recurso pode estar em uma assinatura diferente do Azure. No entanto, o recurso deve estar no mesmo locatário que o workspace do Azure Machine Learning.

Importante

Ao configurar pontos de extremidade privados para uma VNet gerenciada do Azure Machine Learning, os pontos de extremidade privados só são criados quando a primeira computação é criada ou quando o provisionamento de VNet gerenciada é forçado. Para obter mais informações sobre como forçar o provisionamento da VNet gerenciada, veja Configurar para trabalhos do Spark sem servidor.

Preços

O recurso VNet gerenciada do Azure Machine Learning é gratuito. No entanto, você é cobrado pelos seguintes recursos que são usados pela VNet gerenciada:

• Link Privado do Azure – os pontos de extremidade privados usados para proteger as comunicações entre a VNet gerenciada e os recursos do Azure dependem do Link Privado do Azure. Para obter mais informações sobre preços, confira preços do Link Privado do Azure.

• Regras de saída do FQDN – as regras de saída do FQDN são implementadas usando o Firewall do Azure. Caso use as regras de saída de FQDN, os encargos de Firewall do Azure serão adicionados à sua cobrança. O Firewall do Azure (SKU padrão) é provisionado pelo Azure Machine Learning.

  Importante

  O firewall não é criado até que você adicione uma regra de FQDN de saída. Para obter mais informações sobre preços, consulte Preços do Firewall do Azure e veja os preços da versão Standard.

Limitações

• Depois de habilitar o isolamento da VNet gerenciada do workspace, não será possível desabilitá-lo.
• A VNet gerenciada usa a conexão de ponto de extremidade privado para acessar seus recursos privados. Você não pode ter um ponto de extremidade privado e um ponto de extremidade de serviço ao mesmo tempo para seus recursos do Azure, como uma conta de armazenamento. Recomendamos o uso de pontos de extremidade em todos os cenários.
• A VNet gerenciada é excluída quando o espaço de trabalho é excluído.
• A proteção contra exfiltração de dados é habilitada automaticamente para o único modo de saída aprovado. Se você adicionar outras regras de saída, como a FQDNs, a Microsoft não poderá garantir que você esteja protegido contra exfiltração de dados para esses destinos de saída.
• Não há suporte para a criação de um cluster de computação em uma região diferente do workspace ao usar uma VNet gerenciada.
• Não há suporte para Kubernetes e VMs anexadas em uma VNet gerenciada do Azure Machine Learning.
• O uso de regras de saída de FQDN aumenta o custo da VNet gerenciada porque as regras do FQDN usam o Firewall do Azure. Para saber mais, consulte Preços.

Migração de recursos de computação

Se você já tiver um workspace e quiser habilitar a VNet gerenciada nele, atualmente não há nenhum caminho de migração com suporte para os recursos de computação gerenciados existentes. Você precisará excluir todos os recursos de computação gerenciados existentes e recriá-los depois de habilitar a VNet gerenciada. A lista a seguir contém os recursos de computação que devem ser excluídos e recriados:

• Cluster de computação
• Instância de computação
• Clusters do Kubernetes
• Pontos de extremidade online gerenciados

Próximas etapas

• Solucionar problemas de VNet gerenciada
• Configurar computações gerenciadas em uma VNet gerenciada