Alteração de isolamento de rede com nossa nova plataforma de API no Azure Resource Manager
Neste artigo, você aprenderá sobre as alterações de isolamento de rede com nossa nova plataforma de API v2 no Azure Resource Manager (ARM) e seu efeito no isolamento de rede.
O que é a nova plataforma de API no Azure Resource Manager (ARM)
Há dois tipos de operações usadas pelas APIs v1 e v2, o Azure Resource Manager (ARM) e o espaço de trabalho do Azure Machine Learning.
Com a API v1, a maioria das operações usava o espaço de trabalho. Para a v2, movemos a maioria das operações para usar ARM público.
Versão da API | ARM público | Dentro da rede virtual do espaço de trabalho |
---|---|---|
v1 | Espaço de trabalho e operações de computação, criação, atualização e exclusão (CRUD). | Outras operações, como experiências. |
v2 | A maioria das operações, como espaço de trabalho, computação, armazenamento de dados, conjunto de dados, trabalho, ambiente, código, componente, pontos de extremidade. | Restantes operações. |
A API v2 fornece uma API consistente em um só lugar. Você pode usar mais facilmente o controle de acesso baseado em função do Azure e a Política do Azure para recursos com a API v2 porque ela se baseia no Gerenciador de Recursos do Azure.
A CLI do Azure Machine Learning v2 usa nossa nova plataforma de API v2. Novos recursos, como endpoints online gerenciados, só estão disponíveis usando a plataforma de API v2.
Quais são as alterações de isolamento de rede com a V2
Como mencionado na seção anterior, existem dois tipos de operações; com ARM e com o espaço de trabalho. Com a API v1 herdada, a maioria das operações usava o espaço de trabalho. Com a API v1, adicionar um ponto de extremidade privado ao espaço de trabalho forneceu isolamento de rede para tudo, exceto operações CRUD no espaço de trabalho ou recursos de computação.
Com a nova API v2, a maioria das operações usa ARM. Portanto, habilitar um ponto de extremidade privado em seu espaço de trabalho não fornece o mesmo nível de isolamento de rede. As operações que usam ARM se comunicam por redes públicas e incluem quaisquer metadados (como suas IDs de recurso) ou parâmetros usados pela operação. Por exemplo, os parâmetros.
Importante
Para a maioria das pessoas, usar as comunicações públicas ARM é OK:
- As comunicações públicas ARM são o padrão para operações de gerenciamento com serviços do Azure. Por exemplo, criar uma Conta de Armazenamento do Azure ou uma Rede Virtual do Azure usa ARM.
- As operações do Azure Machine Learning não expõem dados em sua conta de armazenamento (ou outro armazenamento na VNet) em redes públicas. Por exemplo, um trabalho de treinamento executado em um cluster de computação na VNet e usando dados de uma conta de armazenamento na VNet, acessaria com segurança os dados diretamente usando a VNet.
- Toda a comunicação com ARM público é criptografada usando TLS 1.2.
Se você precisar de tempo para avaliar a nova API v2 antes de adotá-la em suas soluções corporativas, ou se tiver uma política da empresa que proíba o envio de comunicação por redes públicas, poderá habilitar o parâmetro v1_legacy_mode . Quando habilitado, esse parâmetro desabilita a API v2 para seu espaço de trabalho.
Aviso
Ativar v1_legacy_mode pode impedir que você use recursos fornecidos pela API v2. Por exemplo, alguns recursos do estúdio de Aprendizado de Máquina do Azure podem não estar disponíveis.
Cenários e ações necessárias
Aviso
O parâmetro v1_legacy_mode está disponível agora, mas a funcionalidade de bloqueio da API v2 será aplicada a partir da semana de 15 de maio de 2022.
Se você não planeja usar um ponto de extremidade privado com seu espaço de trabalho, não precisará habilitar o parâmetro.
Se você estiver bem com operações que se comunicam com ARM público, não precisará habilitar o parâmetro.
Você só precisa habilitar o parâmetro se estiver usando um ponto de extremidade privado com o espaço de trabalho e não quiser permitir operações com ARM em redes públicas.
Depois de implementarmos o parâmetro, ele será aplicado retroativamente aos espaços de trabalho existentes usando a seguinte lógica:
Se você tiver um espaço de trabalho existente com um ponto de extremidade privado, o sinalizador será true.
Se você tiver um espaço de trabalho existente sem um ponto de extremidade privado (espaço de trabalho público), o sinalizador será false.
Depois que o parâmetro for implementado, o valor padrão do sinalizador dependerá da versão subjacente da API REST usada quando você cria um espaço de trabalho (com um ponto de extremidade privado):
- Se a versão da API for mais antiga que
2022-05-01
, o sinalizador será true por padrão. - Se a versão da API for
2022-05-01
ou mais recente, o sinalizador é false por padrão.
Importante
Se quiser usar a API v2 com seu espaço de trabalho, defina o parâmetro v1_legacy_mode como false.
Como atualizar v1_legacy_mode parâmetro
Aviso
O parâmetro v1_legacy_mode está disponível agora, mas a funcionalidade de bloqueio da API v2 será aplicada a partir da semana de 15 de maio de 2022.
Para atualizar v1_legacy_mode, use as seguintes etapas:
Importante
Se você quiser desabilitar a API v2, use o SDK do Python do Azure Machine Learning v1.
Para desativar v1_legacy_mode, use Workspace.update e defina v1_legacy_mode=false
.
from azureml.core import Workspace
ws = Workspace.from_config()
ws.update(v1_legacy_mode=False)
Importante
Observe que leva cerca de 30 minutos a uma hora ou mais para alterar v1_legacy_mode parâmetro de true para false para ser refletido no espaço de trabalho. Portanto, se você definir o parâmetro como false , mas receber um erro de que o parâmetro é true em uma operação subsequente, tente depois de mais alguns minutos.
Próximos passos
- Use um ponto de extremidade privado com o espaço de trabalho do Azure Machine Learning.
- Crie um link privado para gerenciar recursos do Azure.