Настройка управляемой сети для центров Azure AI Studio

Внимание

Некоторые функции, описанные в этой статье, могут быть доступны только в предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.

У нас есть два аспекта сетевой изоляции. Одним из них является изоляция сети для доступа к центру Azure AI Studio. Другой — это сетевая изоляция вычислительных ресурсов для концентратора и проекта (например, для вычислительных экземпляров, бессерверных и управляемых сетевых конечных точек). В этом документе объясняется, что последний выделен на схеме. Вы можете использовать встроенную сетевую изоляцию концентратора для защиты вычислительных ресурсов.

Необходимо настроить следующие конфигурации сетевой изоляции.

• Выберите режим изоляции сети. У вас есть два варианта: разрешить исходящий режим интернета или разрешить только утвержденный исходящий режим.
• Создайте правила исходящего трафика частной конечной точки для частных ресурсов Azure. Частный поиск ИИ Azure еще не поддерживается.
• Если вы используете интеграцию Visual Studio Code с разрешенным только утвержденным режимом исходящего трафика, создайте правила исходящего трафика, описанные в разделе "Использование Visual Studio Code ".
• Если вы используете модели HuggingFace в моделях с разрешенным только утвержденным режимом исходящего трафика, создайте правила исходящего трафика, описанные в разделе об использовании моделей HuggingFace.

Архитектура и режимы изоляции сети

При включении изоляции управляемой виртуальной сети для концентратора создается управляемая виртуальная сеть. Управляемые вычислительные ресурсы, создаваемые для концентратора, автоматически используют эту управляемую виртуальную сеть. Управляемая виртуальная сеть может использовать частные конечные точки для ресурсов Azure, используемых центром, например служба хранилища Azure, Azure Key Vault и Реестр контейнеров Azure.

Существует три разных режима конфигурации для исходящего трафика из управляемой виртуальной сети:

Исходящий режим	Description	Сценарии
Разрешить исходящий интернет	Разрешить весь исходящий трафик через Интернет из управляемой виртуальной сети.	Требуется неограниченный доступ к ресурсам машинного обучения в Интернете, например пакетам Python или предварительно обученным моделям.1
Разрешить только утвержденный исходящий трафик	Исходящий трафик разрешен путем указания тегов службы.	* Вы хотите свести к минимуму риск кражи данных, но необходимо подготовить все необходимые артефакты машинного обучения в частной среде. * Необходимо настроить исходящий доступ к утвержденному списку служб, тегов служб или полных доменных имен.
Выключено	Входящий и исходящий трафик не ограничены.	Требуется общедоступный входящий и исходящий трафик из концентратора.

¹ . Правила исходящего трафика можно использовать с разрешением только утвержденного режима исходящего трафика, чтобы добиться того же результата, что и использование исходящего трафика в Интернете. Различия описаны ниже.

• Всегда используйте частные конечные точки для доступа к ресурсам Azure.

  Внимание

  Хотя вы можете создать частную конечную точку для поиска ИИ Azure, подключенные службы должны разрешать общедоступные сети. Дополнительные сведения см. в разделе "Подключение к другим службам".

• Необходимо добавить правила для каждого исходящего подключения, который необходимо разрешить.

• Добавление правил исходящего трафика полного доменного имени увеличивает затраты, так как этот тип правила использует Брандмауэр Azure.

• Правила по умолчанию разрешают только утвержденный исходящий трафик , чтобы свести к минимуму риск кражи данных. Любые добавленные правила исходящего трафика могут увеличить риск.

Управляемая виртуальная сеть предварительно настроена с обязательными правилами по умолчанию. Он также настроен для подключений к частной конечной точке к концентратору, хранилища концентратора по умолчанию, реестра контейнеров и хранилища ключей, если они настроены как закрытые или режим изоляции концентратора, чтобы разрешить только утвержденный исходящий трафик. Выбрав режим изоляции, вам может потребоваться добавить только другие требования к исходящему трафику.

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения исходящего трафика в Интернет:

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения только утвержденного исходящего трафика:

Примечание.

В этой конфигурации хранилище, хранилище ключей и реестр контейнеров, используемые центром, помечаются как закрытые. Так как они помечены как частные, частная конечная точка используется для взаимодействия с ними.

Необходимые компоненты

Перед выполнением действий, описанных в этой статье, убедитесь, что выполнены следующие необходимые условия:

Портал Azure

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Этот поставщик ресурсов используется концентратором при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в статье Устранение ошибок регистрации поставщика ресурсов.

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий управления доступом на основе ролей Azure (Azure RBAC) для создания частных конечных точек:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Azure CLI

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Этот поставщик ресурсов используется концентратором при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в статье Устранение ошибок регистрации поставщика ресурсов.

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий управления доступом на основе ролей Azure (Azure RBAC) для создания частных конечных точек:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI и расширение ml для Azure CLI. Дополнительные сведения см. в разделе Установка, настройка и использование CLI (версия 2).

• В примерах интерфейса командной строки в этой статье предполагается, что вы используете оболочку Bash (или совместимая). Например, из системы Linux или подсистемы Windows для Linux.

• Примеры Azure CLI в этой статье используются ws для представления имени концентратора и rg представления имени группы ресурсов. Измените эти значения по мере необходимости при использовании команд с подпиской Azure.

Пакет SDK для Python

• Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу. Попробуйте бесплатную или платную версию Машинного обучения Azure.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Этот поставщик ресурсов используется концентратором при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в статье Устранение ошибок регистрации поставщика ресурсов.

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий управления доступом на основе ролей Azure (Azure RBAC) для создания частных конечных точек:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Пакет SDK для Python версии 2 Машинное обучение Azure. Дополнительные сведения о пакете SDK см. в статье "Установка пакета SDK для Python версии 2 для Машинное обучение Azure".

• В примерах этой статьи предполагается, что код начинается со следующего Python. Этот код импортирует классы, необходимые при создании концентратора с управляемой виртуальной сетью, задает переменные для подписки Azure и группы ресурсов и создает ml_clientследующие элементы:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Ограничения

• Azure AI Studio в настоящее время не поддерживает создание собственной виртуальной сети, она поддерживает только изоляцию управляемой виртуальной сети.
• После включения изоляции управляемой виртуальной сети azure AI его нельзя отключить.
• Управляемая виртуальная сеть использует подключение к частной конечной точке для доступа к частным ресурсам. У вас нет частной конечной точки и конечной точки службы одновременно для ресурсов Azure, таких как учетная запись хранения. Рекомендуется использовать частные конечные точки во всех сценариях.
• Управляемая виртуальная сеть удаляется при удалении ИИ Azure.
• Защита от кражи данных автоматически включена для только утвержденного исходящего режима. При добавлении других правил исходящего трафика, таких как полные доменные имена, корпорация Майкрософт не может гарантировать, что вы защищены от кражи данных в эти исходящие назначения.
• При использовании правил исходящего трафика полное доменное имя увеличивается стоимость управляемой виртуальной сети, так как правила FQDN используют Брандмауэр Azure. Дополнительные сведения см. на странице цен.
• Правила исходящего трафика FQDN поддерживают только порты 80 и 443.
• При использовании вычислительного экземпляра с управляемой сетью используйте az ml compute connect-ssh команду для подключения к вычислительным ресурсам с помощью SSH.

Подключение к другим службам

• Поиск ИИ Azure должен быть общедоступным с помощью подготовленного частного центра Azure AI Studio.
• Функция "Добавить данные" на игровой площадке Azure AI Studio не поддерживает использование виртуальной сети или частной конечной точки на следующих ресурсах:
  • Поиск с использованием ИИ Azure
  • Azure OpenAI
  • ресурс хранилища;

Настройка управляемой виртуальной сети для разрешения исходящего трафика в Интернет

Совет

Создание управляемой виртуальной сети откладывается до создания вычислительного ресурса или подготовки вручную. При предоставлении автоматического создания может потребоваться около 30 минут , чтобы создать первый вычислительный ресурс, так как он также подготавливает сеть.

Портал Azure

• Создайте новый концентратор:

  1. Войдите в портал Azure и выберите Azure AI Studio в меню "Создание ресурса".

  2. Выберите +Создать ИИ Azure.

  3. Укажите необходимые сведения на вкладке "Основные сведения".

  4. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом.

  5. Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите следующие сведения:

     • Имя правила: имя правила. Имя должно быть уникальным для этого концентратора.
     • Тип назначения: частная конечная точка является единственным вариантом, если сетевая изоляция является частной с исходящим интернетом. Управляемая виртуальная сеть концентратора не поддерживает создание частной конечной точки для всех типов ресурсов Azure. Список поддерживаемых ресурсов см. в разделе "Частные конечные точки".
     • Подписка: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Группа ресурсов: группа ресурсов, содержащая ресурс Azure, для которой требуется добавить частную конечную точку.
     • Тип ресурса: тип ресурса Azure.
     • Имя ресурса: имя ресурса Azure.
     • Вложенный ресурс: подресурс типа ресурса Azure.

     Выберите Сохранить, чтобы сохранить правило. Вы можете продолжать добавлять правила исходящего трафика, определяемые пользователем.

  6. Продолжайте создавать концентратор как обычный.

• Обновите существующий концентратор:

  1. Войдите в портал Azure и выберите концентратор, для которого требуется включить изоляцию управляемой виртуальной сети.

  2. Выберите "Сеть", а затем выберите "Приватный" с исходящим интернетом.

     • Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите те же сведения, что и при создании концентратора в разделе "Создание нового концентратора".

     • Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы сохранить изменения в управляемой виртуальной сети.

Azure CLI

Чтобы настроить управляемую виртуальную сеть, которая разрешает исходящие подключения к Интернету, можно использовать --managed-network allow_internet_outbound параметр или файл конфигурации YAML, содержащий следующие записи:

managed_network:
  isolation_mode: allow_internet_outbound

Вы также можете определить правила исходящего трафика для других служб Azure, на которые используется концентратор. Эти правила определяют частные конечные точки, позволяющие ресурсу Azure безопасно взаимодействовать с управляемой виртуальной сетью. В следующем правиле демонстрируется добавление частной конечной точки в ресурс BLOB-объектов Azure.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Вы можете настроить управляемую виртуальную сеть с помощью команд az ml workspace create или az ml workspace update команд:

• Создайте новый концентратор:

  В следующем примере создается новый концентратор. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для концентратора:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Чтобы создать концентратор с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  В следующем примере YAML определяется концентратор с управляемой виртуальной сетью:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Обновите существующий концентратор:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  В следующем примере обновляется существующий концентратор. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для концентратора:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Чтобы обновить существующий концентратор с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  В следующем примере YAML определяется управляемая виртуальная сеть для концентратора. В нем также показано, как добавить подключение частной конечной точки к ресурсу, используемому центром; в этом примере частная конечная точка для хранилища BLOB-объектов:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Пакет SDK для Python

Чтобы настроить управляемую виртуальную сеть, которая позволяет исходящим интернет-подключениям, используйте ManagedNetwork класс для определения сети с IsolationMode.ALLOW_INTERNET_OUTBOUND. Затем можно использовать ManagedNetwork объект для создания нового концентратора или обновления существующего. Чтобы определить правила исходящего трафика для служб Azure, на которые используется концентратор, используйте PrivateEndpointDestination класс для определения новой частной конечной точки службы.

• Создайте новый концентратор:

  В следующем примере создается новый концентратор myhubс именем исходящего правила myrule , которое добавляет частную конечную точку для хранилища BLOB-объектов Azure:

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Обновите существующий концентратор:

  В следующем примере показано, как создать управляемую виртуальную сеть для существующего концентратора с именем myhub:

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Настройка управляемой виртуальной сети для разрешения только одобренного исходящего трафика

Совет

Управляемая виртуальная сеть автоматически подготавливается при создании вычислительного ресурса. При предоставлении автоматического создания может потребоваться около 30 минут , чтобы создать первый вычислительный ресурс, так как он также подготавливает сеть. Если вы настроили правила исходящего трафика полного доменного имени, первое полное доменное имя добавляет около 10 минут к времени подготовки.

Портал Azure

• Создайте новый концентратор:

  1. Войдите в портал Azure и выберите Azure AI Studio в меню "Создание ресурса".

  2. Выберите +Создать ИИ Azure.

  3. Укажите необходимые сведения на вкладке "Основные сведения".

  4. На вкладке "Сеть" выберите "Приватный" с утвержденным исходящим трафиком.

  5. Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите следующие сведения:

     • Имя правила: имя правила. Имя должно быть уникальным для этого концентратора.
     • Тип назначения: частная конечная точка, тег службы или полное доменное имя. Тег службы и полное доменное имя доступны только в том случае, если сетевая изоляция является частной с утвержденным исходящим трафиком.

     Если тип назначения является частной конечной точкой, укажите следующие сведения:

     • Подписка: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Группа ресурсов: группа ресурсов, содержащая ресурс Azure, для которой требуется добавить частную конечную точку.
     • Тип ресурса: тип ресурса Azure.
     • Имя ресурса: имя ресурса Azure.
     • Вложенный ресурс: подресурс типа ресурса Azure.

     Совет

     Управляемая виртуальная сеть концентратора не поддерживает создание частной конечной точки для всех типов ресурсов Azure. Список поддерживаемых ресурсов см. в разделе "Частные конечные точки".

     Если тип назначения является тегом службы, укажите следующие сведения:

     • Тег службы: тег службы, добавляемый в утвержденные правила исходящего трафика.
     • Протокол: протокол, позволяющий тегу службы.
     • Диапазоны портов: диапазоны портов, позволяющие тегу службы.

     Если тип назначения — полное доменное имя, укажите следующие сведения:

     Предупреждение

     Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure включается в выставление счетов. Дополнительные сведения см. на странице цен.

     • Назначение полного доменного имени: полное доменное имя для добавления в утвержденные правила исходящего трафика.

     Выберите Сохранить, чтобы сохранить правило. Вы можете продолжать добавлять правила исходящего трафика, определяемые пользователем.

  6. Продолжайте создавать концентратор как обычный.

• Обновите существующий концентратор:

  1. Войдите в портал Azure и выберите концентратор, для которого требуется включить изоляцию управляемой виртуальной сети.

  2. Выберите "Сеть", а затем выберите "Приватный" с утвержденным исходящим трафиком.

     • Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите те же сведения, что и при создании концентратора в предыдущем разделе "Создание нового концентратора".

     • Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы сохранить изменения в управляемой виртуальной сети.

Azure CLI

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденные исходящие подключения, можно использовать --managed-network allow_only_approved_outbound параметр или файл конфигурации YAML, содержащий следующие записи:

managed_network:
  isolation_mode: allow_only_approved_outbound

Вы также можете определить правила исходящего трафика для определения утвержденного исходящего трафика. Правило исходящего трафика можно создать для типа service_tag, fqdnа также private_endpoint. В следующем правиле демонстрируется добавление частной конечной точки в ресурс BLOB-объектов Azure, тег службы для Фабрика данных Azure и полное доменное имяpypi.org:

Внимание

• Добавление исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена allow_only_approved_outbound.
• Если вы добавляете правила исходящего трафика, корпорация Майкрософт не может гарантировать кражу данных.

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Вы можете настроить управляемую виртуальную сеть с помощью команд az ml workspace create или az ml workspace update команд:

• Создайте новый концентратор:

  В следующем примере используется --managed-network allow_only_approved_outbound параметр для настройки управляемой виртуальной сети:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Следующий ФАЙЛ YAML определяет концентратор с управляемой виртуальной сетью:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Чтобы создать концентратор с помощью YAML-файла, используйте --file параметр:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Обновление существующего концентратора

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети нужно удалить все вычислительные ресурсы этой области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

  В следующем примере используется --managed-network allow_only_approved_outbound параметр для настройки управляемой виртуальной сети для существующего концентратора:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Следующий файл YAML определяет управляемую виртуальную сеть для концентратора. В нем также показано, как добавить утвержденный исходящий трафик в управляемую виртуальную сеть. В этом примере для тега службы добавляется правило исходящего трафика:

  Предупреждение

  Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Пакет SDK для Python

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденные исходящие подключения, используйте ManagedNetwork класс для определения сети с IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Затем можно использовать ManagedNetwork объект для создания нового концентратора или обновления существующего. Чтобы определить правила исходящего трафика, используйте следующие классы:

Назначение	Класс
Служба Azure, на которую используется центр	PrivateEndpointDestination
Тег службы Azure	ServiceTagDestination
Полное доменное имя (полное доменное имя)	FqdnDestination

• Создайте новый концентратор:

  В следующем примере создается новый концентратор с myhubнесколькими правилами исходящего трафика:

  • myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
  • datafactory— добавляет правило тега службы для взаимодействия с Фабрика данных Azure.

  Внимание

  • Добавление исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Если вы добавляете правила исходящего трафика, корпорация Майкрософт не может гарантировать кражу данных.

  Предупреждение

  Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Обновите существующий концентратор:

  В следующем примере показано, как создать управляемую виртуальную сеть для существующего Машинное обучение Azure концентратора с именем myhub. В примере также добавляется несколько правил исходящего трафика для управляемой виртуальной сети:

  • myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
  • datafactory— добавляет правило тега службы для взаимодействия с Фабрика данных Azure.

  Совет

  Добавление исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Предупреждение

  Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила для исходящего трафика FQDN, в ваши счета включается плата за брандмауэр Azure. Дополнительные сведения см. на странице цен.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Управление правилами исходящего трафика

Портал Azure

1. Войдите в портал Azure и выберите концентратор, для которого требуется включить изоляцию управляемой виртуальной сети.
2. Выберите Сети. Раздел "Исходящий доступ azure AI" позволяет управлять правилами исходящего трафика.

• Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика Azure AI укажите следующие сведения:

• Чтобы включить или отключить правило, используйте переключатель в столбце "Активный".

• Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

Azure CLI

Чтобы получить список правил исходящего трафика управляемой виртуальной сети для концентратора, используйте следующую команду:

az ml workspace outbound-rule list --workspace-name myhub --resource-group rg

Чтобы просмотреть сведения о правиле исходящего трафика управляемой виртуальной сети, используйте следующую команду:

az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg

Чтобы удалить правило исходящего трафика из управляемой виртуальной сети, выполните следующую команду:

az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg

Пакет SDK для Python

В следующем примере показано, как управлять правилами исходящего трафика для концентратора с именем myhub:

# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Список обязательных правил

Совет

Эти правила автоматически добавляются в управляемую виртуальную сеть.

Частные конечные точки:

• Если режим изоляции управляемой виртуальной сети имеет Allow internet outboundзначение, правила исходящего трафика частной конечной точки автоматически создаются в соответствии с необходимыми правилами из управляемой виртуальной сети для концентратора и связанных ресурсов с отключенным доступом к общедоступной сети (Key Vault, учетная запись хранения, реестр контейнеров, концентратор).
• Если режим изоляции управляемой виртуальной сети имеет Allow only approved outboundзначение, правила исходящего трафика частной конечной точки автоматически создаются в соответствии с необходимыми правилами из управляемой виртуальной сети для концентратора и связанных ресурсов независимо от режима доступа к общедоступной сети для этих ресурсов (Key Vault, учетной записи хранения, реестра контейнеров, концентратора).

Правила тега исходящей службы:

• AzureActiveDirectory
• Azure Machine Learning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Правила тега службы для входящего трафика :

• AzureMachineLearning

Список определенных правил исходящего трафика сценария

Сценарий. Доступ к пакетам общедоступного машинного обучения

Чтобы разрешить установку пакетов Python для обучения и развертывания, добавьте правила для исходящего полного доменного имени, чтобы разрешить трафик следующим именам узлов:

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure включается в выставление счетов. Дополнительные сведения см. на странице цен.

Примечание.

Это не полный список узлов, необходимых для всех ресурсов Python в Интернете, а только наиболее часто используемые узлы. Например, если необходим доступ к репозиторию GitHub или другому узлу, необходимо определить и добавить необходимые узлы для этого сценария.

Имя узла	Целевые назначения
anaconda.com *.anaconda.com	Используется для установки пакетов по умолчанию.
*.anaconda.org	Используется для получения данных репозитория.
pypi.org	Используется для вывода списка зависимостей из индекса по умолчанию, если таковые имеются, а индекс не перезаписывается параметрами пользователя. Если индекс перезаписан, необходимо также разрешить *.pythonhosted.org.
pytorch.org *.pytorch.org	Используется в некоторых примерах на основе PyTorch.
*.tensorflow.org	Используется в некоторых примерах на основе Tensorflow.

Сценарий. Использование Visual Studio Code

Visual Studio Code использует определенные узлы и порты для установления удаленного подключения.

Узлы

Если вы планируете использовать Visual Studio Code с концентратором, добавьте правила полного доменного имени исходящего трафика, чтобы разрешить трафик на следующие узлы:

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure включается в выставление счетов. Дополнительные сведения см. на странице цен.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• pkg-containers.githubusercontent.com
• github.com

Порты

Необходимо разрешить сетевой трафик портам 8704–8710. Сервер VS Code динамически выбирает первый доступный порт в этом диапазоне.

Сценарий. Использование моделей HuggingFace

Если вы планируете использовать модели HuggingFace с концентратором, добавьте правила полного доменного имени исходящего трафика, чтобы разрешить трафик на следующие узлы:

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure включается в выставление счетов. Дополнительные сведения см. на странице цен.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cnd.auth0.com
• cdn-lfs.huggingface.co

Частные конечные точки

Частные конечные точки в настоящее время поддерживаются для следующих служб Azure:

• Центр AI Studio
• Машинное обучение Azure
• реестры Машинное обучение Azure
• служба хранилища Azure (все подтипы ресурсов)
• Реестр контейнеров Azure
• Azure Key Vault
• Службы ИИ Azure
• Поиск с использованием ИИ Azure
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (все вложенные типы ресурсов)
• Центры событий Azure
• Кэш Redis для Azure
• Azure Databricks
• База данных Azure для MariaDB
• База данных Azure для PostgreSQL — Отдельный сервер
• База данных Azure для MySQL
• Управляемый экземпляр SQL Azure
• Управление API Azure

Внимание

Хотя вы можете создать частную конечную точку для служб ИИ Azure и службы поиска ИИ Azure, подключенные службы должны разрешать общедоступные сети. Дополнительные сведения см. в разделе "Подключение к другим службам".

При создании частной конечной точки укажите тип ресурса и подресурс , к которому подключается конечная точка. Некоторые ресурсы имеют несколько типов и подресурсов. Дополнительные сведения см . в разделе о частной конечной точке.

При создании частной конечной точки для ресурсов зависимостей концентратора, таких как служба хранилища Azure, Реестр контейнеров Azure и Azure Key Vault, ресурс может находиться в другой подписке Azure. Однако ресурс должен находиться в том же клиенте, что и концентратор.

Частная конечная точка автоматически создается для подключения, если целевой ресурс является ресурсом Azure, перечисленным выше. Для частной конечной точки ожидается допустимый идентификатор целевого объекта. Допустимый целевой идентификатор подключения может быть идентификатором Azure Resource Manager родительского ресурса. Идентификатор целевого объекта также ожидается в целевом объекте подключения или в metadata.resourceid. Дополнительные сведения о подключениях см. в статье "Добавление нового подключения в Azure AI Studio".

Цены

Функция управляемой виртуальной сети концентратора бесплатна. Однако плата взимается за следующие ресурсы, используемые управляемой виртуальной сетью:

• Приватный канал Azure . Частные конечные точки, используемые для защиты обмена данными между управляемой виртуальной сетью и ресурсами Azure, зависят от Приватный канал Azure. Дополнительные сведения о ценах см. в Приватный канал Azure ценах.

• Правила для исходящего трафика FQDN. Правила для исходящего трафика FQDN реализованы с помощью брандмауэра Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure включается в выставление счетов. Брандмауэр Azure SKU является стандартным. Брандмауэр Azure подготавливается для каждого концентратора.

  Внимание

  Брандмауэр не создается, пока не будет добавлено правило полного доменного имени исходящего трафика. Если вы не используете правила FQDN, плата за Брандмауэр Azure не взимается. Дополнительные сведения о ценах см. в Брандмауэр Azure ценах.

Связанный контент

• Создание центра ИИ Studio и проект с помощью пакета SDK