Compartilhar via

Proteger seus fluxos de trabalho de RAG com isolamento de rede (versão prévia)

  • Artigo

Proteja seus fluxos de RAG (Recuperação de Geração Aumentada) usando as redes privadas no Azure Machine Learning com duas opções de gerenciamento de rede. Essas opções são: Rede Virtual Gerenciada, que é a oferta interna, ou "Traga a sua própria" Rede Virtual, o que é útil para ter controle total sobre a instalação de suas redes virtuais/sub-redes, firewalls, regras de grupo de segurança de rede etc.

Dentro da opção de rede gerenciada do Azure Machine Learning, há duas sub-opções protegidas oferecidas que poderá selecionar: Permitir Saída da Internet e Permitir Somente Saída Aprovada.

Captura de tela das opções de VNet (rede virtual) gerenciadas no Azure Machine Learning.

Dependendo da configuração e do cenário, os fluxos de trabalho de RAG no Azure Machine Learning podem exigir outras etapas para o isolamento de rede.

Pré-requisitos

  • Uma assinatura do Azure.
  • Acesso ao Serviço OpenAI do Azure.
  • Um workspace seguro do Azure Machine Learning: com a Rede Virtual Gerenciada do Workspace ou a configuração de Rede Virtual "Traga a sua própria".
  • Os fluxos de prompts estão habilitados no seu workspace do Azure Machine Learning. Para habilitar os fluxos de prompts, ative Criar soluções de IA com fluxos de prompts no painel Gerenciar recursos de visualização.

Com a VNet Gerenciada do Workspace do Azure Machine Learning

  1. Siga Isolamento de rede gerenciada do workspace para habilitar a VNet gerenciada do workspace.

  2. Navegue até o portal do Azure e selecione Rede na guia Configurações no menu à esquerda.

  3. Para permitir que seu fluxo de trabalho RAG se comunique com privados Serviços Cognitivos do Azure, como o Azure OpenAI ou o IA do Azure Search durante a criação do Índice de Vetor, você precisa definir uma regra de saída de usuário relacionada para um recurso relacionado. Selecione Acesso de saída gerenciado do workspace na parte superior das configurações de rede. Em seguida, selecione +Adicionar regra de saída definida pelo usuário. Insira um Nome de regra. Em seguida, selecione o recurso que você quer adicionar a regra usando a caixa de texto Nome do recurso.

    O workspace do Azure Machine Learning cria um ponto de extremidade privado no recurso relacionado com aprovação automática. Caso o status esteja travado em Pendente, acesse o recurso relacionado para aprovar o ponto de extremidade privado manualmente.

    Captura de tela que mostra o local no Azure Studio para adicionar a regra de saída do usuário de serviços cognitivos privados.

  4. Navegue até as configurações da conta de armazenamento associada ao workspace. Selecione Controle de Acesso (IAM) no menu à esquerda. Escolha Adicionar atribuição de função. Adicione acesso de Colaborador de Dados de Tabela de Armazenamento e Colaborador de Dados de Armazenamento de Blobs à Identidade Gerenciada do Workspace. Isso pode ser feito digitando Colaborador de Dados da Tabela de Armazenamento e Colaborador de Dados de Armazenamento de Blobs na barra de pesquisa. Você precisará concluir esta etapa e a próxima duas vezes. Uma vez para Colaborador de Blobs e a segunda para Colaborador de Tabela.

  5. Verifique se a opção Identidade Gerenciada está selecionada. Em seguida, escolha Selecionar Membros. Selecione Workspace do Azure Machine Learning na lista suspensa para Identidade Gerenciada. Em seguida, selecione sua identidade gerenciada do workspace.

    Captura de tela que mostra o local para adicionar uma Identidade Gerenciada do Workspace a um acesso de Blob ou Tabela na Conta de Armazenamento do Azure Studio.

  6. (opcional) Para adicionar uma regra de FQDN de saída, no portal do Azure, selecione Rede na guia Configurações no menu à esquerda. Selecione Acesso de saída gerenciado do workspace na parte superior das configurações de rede. Em seguida, selecione +Adicionar regra de saída definida pelo usuário. Selecione Regra de FQDN em Tipo de destino. Insira a URL do ponto de extremidade no Destino do FQDN. Para localizar a URL do ponto de extremidade, navegue até os pontos de extremidade implantados no portal do Azure, selecione os pontos desejados e copie a URL do ponto de extremidade da seção de detalhes.

Se você estiver usando um espaço de trabalho Vnet gerenciado Permitir somente saída aprovada e um recurso publicAzure OpenAI, será necessário adicionar uma regra FQDN de saída para seu ponto de extremidade Azure OpenAI. Isso permite operações de plano de dados, que são necessárias para executar Inserções no RAG. Sem isso, o recurso do AOAI, mesmo que público, não tem permissão para ser acessado.

  1. (opcional) Para carregar arquivos de dados com antecedência ou usar o Upload de Pasta Local para o RAG quando a conta de armazenamento feita é privada, o workspace deve ser acessado de uma Máquina Virtual por trás de uma Vnet e a sub-rede deve ser listada como permitida na Conta de Armazenamento. Isso pode ser feito ao selecionar a Conta de Armazenamento e, em seguida, Configuração de rede. Selecione Habilitar para rede virtual selecionada e IPs e, em seguida, adicione sua Sub-rede do workspace.

    Captura de tela que mostra as exigências de configurações de armazenamento privado para o upload seguro de dados.

    Siga este tutorial para saber como se conectar a um armazenamento privado de uma Máquina Virtual do Azure.

Com Vnet personalizada da BYO (Traga a sua própria)

  1. Selecione Usar a minha própria Rede Virtual ao configurar seu workspace do Azure Machine Learning. Nesse cenário, cabe ao usuário configurar as regras de rede e os pontos de extremidade privados para recursos relacionados corretamente, pois o workspace não o configura automaticamente.

  2. No Assistente de criação do Índice de Vetor, selecione Instância de Computação ou Cluster de Computação na lista suspensa opções de computação, pois esse cenário não tem suporte com a Computação sem Servidor.

Solução de problemas comuns

  • Caso o workspace seja executado em problemas relacionados à rede em que sua computação não consegue criar ou iniciar uma computação, tente adicionar uma regra de FQDN de espaço reservado na guia Rede do workspace no portal do Azure para iniciar uma atualização de rede gerenciada. Em seguida, recrie a computação no workspace do Azure Machine Learning.

  • Visualize uma mensagem de erro relacionada ao < Resource > is not registered with Microsoft.Network resource provider. Nesse caso, você deve garantir a assinatura em que o recurso AOAI/ACS está registrado com um provedor de recursos da Microsoft Network. Para fazer isso, navegue até Assinatura e, em seguida, Provedores de Recursos para o mesmo locatário do Workspace de Vnet Gerenciada.

Observação

Espera-se que um trabalho sem servidor pela primeira vez no workspace seja enfileirado por mais 10 a 15 minutos, enquanto a Rede Gerenciada está provisionando pontos de extremidade privados pela primeira vez. Com a Instância de Computação e o Cluster de Cálculo, esse processo ocorre durante a criação da computação.

Próximas etapas