Usar coleções do Catálogo de Modelos com rede virtual gerenciada pelo espaço de trabalho
Neste artigo, você aprenderá a usar as várias coleções no Catálogo de modelos em uma rede isolada.
A rede virtual gerenciada pelo espaço de trabalho é a maneira recomendada de dar suporte ao isolamento de rede com o Catálogo de Modelos. Ele fornece configuração fácil para proteger seu espaço de trabalho. Depois de habilitar a rede virtual gerenciada no nível do espaço de trabalho, os recursos relacionados ao espaço de trabalho na mesma rede virtual usarão a mesma configuração de rede no nível do espaço de trabalho. Você também pode configurar o espaço de trabalho para usar o ponto de extremidade privado para acessar outros recursos do Azure, como o Azure OpenAI. Além disso, você pode configurar a regra FQDN para aprovar recursos de saída para recursos que não sejam do Azure, o que é necessário para usar algumas das coleções no Catálogo de Modelos. Veja como Isolamento de rede gerenciado de espaço de trabalho para habilitar a rede virtual gerenciada por espaço de trabalho.
A criação da rede virtual gerenciada é adiada até que um recurso de computação seja criado ou o provisionamento seja iniciado manualmente. Você pode usar o seguinte comando para acionar manualmente o provisionamento de rede.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Rede virtual gerenciada pelo espaço de trabalho para permitir a saída da Internet
Configure um espaço de trabalho com rede virtual gerenciada para permitir a saída pela Internet seguindo as etapas listadas aqui.
Se você optar por definir o acesso à rede pública para o espaço de trabalho como desabilitado, poderá se conectar ao espaço de trabalho usando um dos seguintes métodos:
Gateway de VPN do Azure - Conecta redes locais à rede virtual por meio de uma conexão privada. A conexão é feita através da internet pública. Há dois tipos de gateways VPN que você pode usar:
- Ponto a site: Cada computador cliente usa um cliente VPN para se conectar à rede virtual.
- Site a site: um dispositivo VPN conecta a rede virtual à sua rede local.
ExpressRoute - Conecta redes locais à nuvem por meio de uma conexão privada. A conexão é feita usando um provedor de conectividade.
Azure Bastion - Neste cenário, você cria uma Máquina Virtual do Azure (às vezes chamada de caixa de salto) dentro da rede virtual. Em seguida, você se conecta à VM usando o Azure Bastion. Bastion permite que você se conecte à VM usando uma sessão RDP ou SSH do seu navegador da Web local. Em seguida, você usa a caixa de salto como seu ambiente de desenvolvimento. Uma vez que está dentro da rede virtual, ele pode acessar diretamente o espaço de trabalho.
Como a rede virtual gerenciada pelo espaço de trabalho pode acessar a Internet nessa configuração, você pode trabalhar com todas as Coleções no Catálogo de Modelos de dentro do espaço de trabalho.
Rede virtual gerenciada pelo espaço de trabalho para permitir apenas saída aprovada
- Configure um espaço de trabalho seguindo o isolamento de rede gerenciado pelo espaço de trabalho. Na etapa 3 do tutorial, ao selecionar Acesso de saída gerenciado pelo espaço de trabalho, selecione Permitir somente saída aprovada.
- Se você definir o acesso à rede pública para o espaço de trabalho como desabilitado, poderá se conectar ao espaço de trabalho usando um dos métodos listados na etapa 2 da seção permitir saída da Internet deste tutorial.
- O espaço de trabalho gerencia a rede virtual é definido como uma configuração somente de permissão. Você deve adicionar uma regra de saída correspondente definida pelo usuário para permitir todos os FQDNs relevantes.
Trabalhar com modelos de código aberto selecionados pelo Azure Machine Learning
A rede virtual gerenciada pelo espaço de trabalho para permitir apenas saídas aprovadas usa uma Política de Ponto de Extremidade de Serviço para contas de armazenamento gerenciado do Azure Machine Learning, para ajudar a acessar os modelos nas coleções selecionadas pelo Azure Machine Learning de maneira pronta. Esse modo de configuração do espaço de trabalho também tem saída padrão para o Registro de Contêiner da Microsoft que contém a imagem do docker usada para implantar os modelos.
Modelos de linguagem na coleção 'Curated by Azure AI'
Esses modelos envolvem a instalação dinâmica de dependências em tempo de execução. Para adicionar uma regra de saída definida pelo usuário, siga a etapa quatro de Para usar a coleção Curated by Azure AI, os usuários devem adicionar regras de saída definidas pelo usuário para os seguintes FQDNs no nível do espaço de trabalho:
*.anaconda.org*.anaconda.comanaconda.compypi.org*.pythonhosted.org*.pytorch.orgpytorch.org
Siga a Etapa 4 no tutorial de rede virtual gerenciada para adicionar as regras de saída definidas pelo usuário correspondentes.
Aviso
As regras de saída FQDN são implementadas usando o Firewall do Azure. Se você usar regras de FQDN de saída, as cobranças pelo Firewall do Azure serão incluídas na sua cobrança. Para obter mais informações, veja os Preços.
Coleção Meta
Os usuários podem trabalhar com essa coleção em espaços de trabalho isolados da rede sem a necessidade de outras regras de saída definidas pelo usuário.
Nota
Novas coleções selecionadas são adicionadas ao Catálogo de modelos com frequência. Atualizaremos esta documentação para refletir o suporte em redes privadas para várias coleções.
Trabalhe com a coleção Hugging Face
Os pesos do modelo não são hospedados no Azure se você estiver usando o registro Hugging Face. Os pesos do modelo são baixados diretamente do hub Hugging Face para os pontos de extremidade on-line em seu espaço de trabalho durante a implantação. Os usuários precisam adicionar as seguintes regras de FQDNs de saída para Hugging Face Hub, Docker Hub e suas CDNs para permitir o tráfego para os seguintes hosts:
docker.iohuggingface.coproduction.cloudflare.docker.comcdn-lfs.huggingface.cocdn.auth0.com
Siga a Etapa 4 no tutorial de rede virtual gerenciada para adicionar as regras de saída definidas pelo usuário correspondentes.
Próximos passos
- Saiba como solucionar problemas de rede virtual gerenciada