تكوين الشبكات الظاهرية لخدمات Azure الذكاء الاصطناعي

توفر خدمات Azure الذكاء الاصطناعي نموذج أمان متعدد الطبقات. يمكنك هذا النموذج من تأمين حسابات خدمات Azure الذكاء الاصطناعي لمجموعة فرعية معينة من الشبكات. عند تكوين قواعد الشبكة، يمكن فقط للتطبيقات التي تطلب البيانات عبر مجموعة محددة من الشبكات الوصول إلى الحساب. يمكنك تقييد الوصول إلى الموارد الخاصة بك باستخدام تصفية الطلب، والتي تسمح بالطلبات التي تنشأ فقط من عناوين IP المحددة أو نطاقات IP أو من قائمة الشبكات الفرعية في شبكات Azure الظاهرية.

يتطلب التطبيق الذي يصل إلى مورد خدمات Azure الذكاء الاصطناعي عندما تكون قواعد الشبكة سارية المفعول تخويلا. يتم دعم التخويل مع بيانات اعتماد معرف Microsoft Entra أو مع مفتاح API صالح.

هام

يؤدي تشغيل قواعد جدار الحماية لحساب خدمات Azure الذكاء الاصطناعي إلى حظر الطلبات الواردة للبيانات بشكل افتراضي. للسماح بالطلبات من خلال، يجب استيفاء أحد الشروط التالية:

• ينشأ الطلب من خدمة تعمل داخل شبكة Azure الظاهرية على قائمة الشبكة الفرعية المسموح بها لحساب خدمات Azure الذكاء الاصطناعي الهدف. يجب تعيين طلب نقطة النهاية الذي تم إنشاؤه من الشبكة الظاهرية كمجال فرعي مخصص لحساب خدمات Azure الذكاء الاصطناعي.
• ينشأ الطلب من قائمة مسموح بها من عناوين IP.

تتضمن الطلبات المحظورة تلك الواردة من خدمات Azure الأخرى، ومن مدخل Microsoft Azure، ومن خدمات التسجيل والمقاييس.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. راجع تثبيت Azure PowerShell للبدء. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

السيناريوهات

لتأمين مورد خدمات Azure الذكاء الاصطناعي، يجب أولا تكوين قاعدة لرفض الوصول إلى نسبة استخدام الشبكة من جميع الشبكات، بما في ذلك حركة مرور الإنترنت، بشكل افتراضي. ثم قم بتكوين القواعد التي تمنح الوصول إلى حركة المرور من شبكات ظاهرية معينة. يمكنك هذا التكوين من إنشاء حدود شبكة آمنة لتطبيقاتك. يمكنك أيضا تكوين القواعد لمنح الوصول إلى حركة المرور من نطاقات عناوين IP العامة المحددة للإنترنت وتمكين الاتصالات من إنترنت محدد أو عملاء محليين.

يتم فرض قواعد الشبكة على جميع بروتوكولات الشبكة لخدمات Azure الذكاء الاصطناعي، بما في ذلك REST وWebSocket. للوصول إلى البيانات باستخدام أدوات مثل وحدات تحكم اختبار Azure، يجب تكوين قواعد الشبكة الصريحة. يمكنك تطبيق قواعد الشبكة على موارد خدمات Azure الذكاء الاصطناعي الموجودة، أو عند إنشاء موارد خدمات Azure الذكاء الاصطناعي جديدة. بعد تطبيق قواعد الشبكة، يتم فرضها لجميع الطلبات.

عروض الخدمات والمناطق المدعومة

يتم دعم الشبكات الظاهرية في المناطق التي تتوفر فيها خدمات Azure الذكاء الاصطناعي. تدعم خدمات Azure الذكاء الاصطناعي علامات الخدمة لتكوين قواعد الشبكة. يتم تضمين الخدمات المدرجة هنا في CognitiveServicesManagement علامة الخدمة.

• Anomaly Detector
• Azure OpenAI
• مشرف المحتوى
• الرؤية المخصصة
• وجه
• فهم اللغة (LUIS)
• Personalizer
• خدمة Speech
• اللغة
• QnA Maker
• مترجم

إشعار

إذا كنت تستخدم خدمات Azure OpenAI أو LUIS أو Speech Services أو Language، فإن العلامة CognitiveServicesManagement تمكنك فقط من استخدام الخدمة باستخدام SDK أو REST API. للوصول إلى Azure OpenAI Studio أو مدخل LUIS أو Speech Studio أو Language Studio واستخدامه من شبكة ظاهرية، تحتاج إلى استخدام العلامات التالية:

• AzureActiveDirectory
• AzureFrontDoor.Frontend
• AzureResourceManager
• CognitiveServicesManagement
• CognitiveServicesFrontEnd
• Storage (Speech Studio فقط)

للحصول على معلومات حول تكوين Azure الذكاء الاصطناعي Studio، راجع وثائق Azure الذكاء الاصطناعي Studio.

تغيير قاعدة الوصول إلى الشبكة الافتراضية

بشكل افتراضي، تقبل موارد خدمات Azure الذكاء الاصطناعي الاتصالات من العملاء على أي شبكة. لتقييد الوصول إلى الشبكات المحددة، يجب أولاً تغيير الإجراء الافتراضي.

تحذير

يمكن أن يؤثر إجراء تغييرات على قواعد الشبكة على قدرة تطبيقاتك على الاتصال بخدمات Azure الذكاء الاصطناعي. يؤدي تعيين قاعدة الشبكة الظاهرية على الرفض إلى حظر كل الوصول إلى البيانات ما لم يتم أيضاً تطبيق قواعد الشبكة المحددة التي تمنح الوصول.

قبل تغيير القاعدة الافتراضية لرفض الوصول، تأكد من منح حق الوصول إلى أي شبكات مسموح بها باستخدام قواعد الشبكة. إذا سمحت بإدراج عناوين IP للشبكة المحلية، فتأكد من إضافة جميع عناوين IP العامة الصادرة المحتملة من شبكتك المحلية.

إدارة قواعد الوصول إلى الشبكة الافتراضية

يمكنك إدارة قواعد الوصول إلى الشبكة الافتراضية لموارد خدمات Azure الذكاء الاصطناعي من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي الذي تريد تأمينه.

2. حدد Resource Management لتوسيعه، ثم حدد Networking.

   

3. لرفض الوصول بشكل افتراضي، ضمن جدران الحماية والشبكات الظاهرية، حدد الشبكات المحددة ونقاط النهاية الخاصة.

   مع هذا الإعداد وحده، غير مصحوب بالشبكات الظاهرية المكونة أو نطاقات العناوين، يتم رفض جميع الوصول بشكل فعال. عند رفض جميع الوصول، لا يسمح بالطلبات التي تحاول استهلاك مورد خدمات Azure الذكاء الاصطناعي. لا يزال من الممكن استخدام مدخل Azure أو Azure PowerShell أو Azure CLI لتكوين مورد خدمات Azure الذكاء الاصطناعي.

4. للسماح بنسبة استخدام الشبكة من كافة الشبكات، حدد All networks.

   

5. حدد حفظ لتطبيق التغييرات التي أجريتها.

بوويرشيل

1. ثبت Azure PowerShell وسجل الدخول، أو حدد Open Cloudshell.

2. عرض حالة القاعدة الافتراضية لمورد خدمات Azure الذكاء الاصطناعي.

   $parameters = @{
     "ResourceGroupName" = "myresourcegroup"
     "Name" = "myaccount"
   }
   (Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).DefaultAction
   

   يمكنك الحصول على قيم لمجموعة myresourcegroup الموارد واسم مورد myaccount خدمات Azure من مدخل Microsoft Azure.

3. تعيين القاعدة الافتراضية لرفض الوصول إلى الشبكة.

   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "DefaultAction" = "Deny"
   }
   Update-AzCognitiveServicesAccountNetworkRuleSet @parameters
   

4. تعيين القاعدة الافتراضية للسماح بالوصول إلى الشبكة.

   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "DefaultAction" = "Allow"
   }
   Update-AzCognitiveServicesAccountNetworkRuleSet @parameters
   

Azure CLI

1. ثبت Azure CLI وسجل الدخول، أو حدد Open Cloudshell.

2. عرض حالة القاعدة الافتراضية لمورد خدمات Azure الذكاء الاصطناعي.

   az cognitiveservices account show \
       --resource-group "myresourcegroup" --name "myaccount" \
       --query properties.networkAcls.defaultAction
   

3. احصل على معرف المورد للاستخدام في الخطوات اللاحقة.

   resourceId=$(az cognitiveservices account show
       --resource-group "myresourcegroup" \
       --name "myaccount" --query id --output tsv)
   

4. قم بتعيين القاعدة الافتراضية لرفض الوصول إلى الشبكة افتراضياً.

   az resource update \
       --ids $resourceId \
       --set properties.networkAcls="{'defaultAction':'Deny'}"
   

5. قم بتعيين القاعدة الافتراضية للسماح بالوصول إلى الشبكة بشكل افتراضي.

   az resource update \
       --ids $resourceId \
       --set properties.networkAcls="{'defaultAction':'Allow'}"
   

منح حق الوصول من شبكة اتصال ظاهرية

يمكنك تكوين موارد خدمات Azure الذكاء الاصطناعي للسماح بالوصول من شبكات فرعية معينة فقط. قد تنتمي الشبكات الفرعية المسموح بها إلى شبكة ظاهرية في نفس الاشتراك أو في اشتراك مختلف. يمكن أن ينتمي الاشتراك الآخر إلى مستأجر Microsoft Entra مختلف. عندما تنتمي الشبكة الفرعية إلى اشتراك مختلف، يجب أيضا تسجيل موفر موارد Microsoft.CognitiveServices لهذا الاشتراك.

تمكين نقطة نهاية خدمة لخدمات Azure الذكاء الاصطناعي داخل الشبكة الظاهرية. توجه نقطة نهاية الخدمة نسبة استخدام الشبكة من الشبكة الظاهرية من خلال المسار الأمثل إلى خدمة Azure الذكاء الاصطناعي. للحصول علي المزيد من المعلومات، راجع نقاط نهاية خدمة الشبكة الظاهرية.

كما يتم إرسال هويات الشبكة الفرعية والشبكة الافتراضية مع كل طلب. يمكن مسؤول istrators بعد ذلك تكوين قواعد الشبكة لمورد خدمات Azure الذكاء الاصطناعي للسماح بالطلبات من شبكات فرعية معينة في شبكة ظاهرية. يجب أن يستمر العملاء الذين تم منحهم حق الوصول بواسطة قواعد الشبكة هذه في تلبية متطلبات التخويل لمورد خدمات Azure الذكاء الاصطناعي للوصول إلى البيانات.

يدعم كل مورد خدمات Azure الذكاء الاصطناعي ما يصل إلى 100 قاعدة شبكة ظاهرية، والتي يمكن دمجها مع قواعد شبكة IP. لمزيد من المعلومات، راجع منح حق الوصول من نطاق IP للإنترنت لاحقا في هذه المقالة.

تعيين الأذونات المطلوبة

لتطبيق قاعدة شبكة ظاهرية على مورد خدمات Azure الذكاء الاصطناعي، تحتاج إلى الأذونات المناسبة للشبكات الفرعية لإضافتها. الإذن المطلوب هو دور المساهم الافتراضي أو دور المساهم في الخدمات المعرفية. يمكن أيضاً إضافة الأذونات المطلوبة إلى تعريفات الأدوار المخصصة.

قد يكون مورد خدمات Azure الذكاء الاصطناعي والشبكات الظاهرية الممنوحة للوصول في اشتراكات مختلفة، بما في ذلك الاشتراكات التي تعد جزءا من مستأجر Microsoft Entra مختلف.

إشعار

يتم حاليا دعم تكوين القواعد التي تمنح الوصول إلى الشبكات الفرعية في الشبكات الظاهرية التي تعد جزءا من مستأجر Microsoft Entra مختلف فقط من خلال PowerShell وAzure CLI وواجهات برمجة تطبيقات REST. يمكنك عرض هذه القواعد في مدخل Microsoft Azure، ولكن لا يمكنك تكوينها.

تكوين قواعد الشبكة الظاهرية

يمكنك إدارة قواعد الشبكة الظاهرية لموارد خدمات Azure الذكاء الاصطناعي من خلال مدخل Microsoft Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

لمنح حق الوصول إلى شبكة ظاهرية مع قاعدة شبكة موجودة:

1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي الذي تريد تأمينه.

2. حدد Resource Management لتوسيعه، ثم حدد Networking.

3. تأكد من تحديد الشبكات المحددة ونقاط النهاية الخاصة.

4. ضمن السماح بالوصول من، حدد إضافة شبكة ظاهرية موجودة.

   

5. حدد خياري Virtual networks وSubnets، ثم حدد Enable.

   

   إشعار

   إذا لم يتم تكوين نقطة نهاية خدمة لخدمات Azure الذكاء الاصطناعي مسبقا للشبكة الظاهرية والشبكات الفرعية المحددة، يمكنك تكوينها كجزء من هذه العملية.

   حاليا، تتوفر فقط الشبكات الظاهرية التي تنتمي إلى نفس مستأجر Microsoft Entra للاختيار أثناء إنشاء القاعدة. لمنح حق الوصول إلى شبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر آخر، استخدم PowerShell أو Azure CLI أو واجهات برمجة تطبيقات REST.

6. حدد حفظ لتطبيق التغييرات التي أجريتها.

لإنشاء شبكة ظاهرية جديدة ومنحها حق الوصول:

1. في نفس الصفحة مثل الإجراء السابق، حدد إضافة شبكة ظاهرية جديدة.

   

2. قدم المعلومات اللازمة لإنشاء الشبكة الافتراضية الجديدة، ثم حدد إنشاء.

   

3. حدد حفظ لتطبيق التغييرات التي أجريتها.

لإزالة شبكة ظاهرية أو قاعدة شبكة فرعية:

1. في نفس الصفحة مثل الإجراءات السابقة، حدد ... (المزيد من الخيارات) لفتح قائمة السياق للشبكة الظاهرية أو الشبكة الفرعية، وحدد إزالة.

   

2. حدد حفظ لتطبيق التغييرات التي أجريتها.

بوويرشيل

1. ثبت Azure PowerShell وسجل الدخول، أو حدد Open Cloudshell.

2. سرد قواعد الشبكة الظاهرية المكونة.

   $parameters = @{
      "ResourceGroupName" = "myresourcegroup"
      "Name" = "myaccount"
   }
   (Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).VirtualNetworkRules
   

3. تمكين نقطة نهاية خدمة لخدمات Azure الذكاء الاصطناعي على شبكة ظاهرية وشبكة فرعية موجودة.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" `
       -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" `
       -AddressPrefix "CIDR" `
       -ServiceEndpoint "Microsoft.CognitiveServices" | Set-AzVirtualNetwork
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   $subParameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myvnet"
   }
   $subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   
   $parameters = @{
       -ResourceGroupName "myresourcegroup"
       -Name "myaccount"
       -VirtualNetworkResourceId $subnet.Id
   }
   Add-AzCognitiveServicesAccountNetworkRule @parameters
   

   تلميح

   لإضافة قاعدة شبكة لشبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر Microsoft Entra آخر، استخدم معلمة مؤهلة VirtualNetworkResourceId بالكامل في النموذج /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

5. قم بإزالة قاعدة الشبكة للشبكة الافتراضية والشبكة الفرعية.

   $subParameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myvnet"
   }
   $subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   
   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "VirtualNetworkResourceId" = $subnet.Id
   }
   Remove-AzCognitiveServicesAccountNetworkRule @parameters
   

Azure CLI

1. ثبت Azure CLI وسجل الدخول، أو حدد Open Cloudshell.

2. سرد قواعد الشبكة الظاهرية المكونة.

   az cognitiveservices account network-rule list \
       --resource-group "myresourcegroup" --name "myaccount" \
       --query virtualNetworkRules
   

3. تمكين نقطة نهاية خدمة لخدمات Azure الذكاء الاصطناعي على شبكة ظاهرية وشبكة فرعية موجودة.

   az network vnet subnet update --resource-group "myresourcegroup" --name "mysubnet" \
   --vnet-name "myvnet" --service-endpoints "Microsoft.CognitiveServices"
   

4. إضافة قاعدة شبكة اتصال لشبكة ظاهرية وشبكة فرعية.

   subnetid=$(az network vnet subnet show \
       --resource-group "myresourcegroup" --name "mysubnet" --vnet-name "myvnet" \
       --query id --output tsv)
   
   # Use the captured subnet identifier as an argument to the network rule addition
   az cognitiveservices account network-rule add \
       --resource-group "myresourcegroup" --name "myaccount" \
       --subnet $subnetid
   

   تلميح

   لإضافة قاعدة لشبكة فرعية في شبكة ظاهرية تنتمي إلى مستأجر Microsoft Entra آخر، استخدم معرف شبكة فرعية مؤهل بالكامل في النموذج /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

   يمكنك استخدام المعلمة --subscription لاسترداد معرف الشبكة الفرعية لشبكة ظاهرية تنتمي إلى مستأجر Microsoft Entra آخر.

5. قم بإزالة قاعدة الشبكة للشبكة الافتراضية والشبكة الفرعية.

   $subnetid=(az network vnet subnet show \
       --resource-group "myresourcegroup" --name "mysubnet" --vnet-name "myvnet" \
       --query id --output tsv)
   
   # Use the captured subnet identifier as an argument to the network rule removal
   az cognitiveservices account network-rule remove \
       --resource-group "myresourcegroup" --name "myaccount" \
       --subnet $subnetid
   

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

منح حق الوصول من نطاق IP للإنترنت

يمكنك تكوين موارد خدمات Azure الذكاء الاصطناعي للسماح بالوصول من نطاقات عناوين IP عامة محددة على الإنترنت. يمنح هذا التكوين الوصول إلى خدمات وشبكات محلية محددة، ما يمنع بشكل فعال حركة المرور العامة على الإنترنت.

يمكنك تحديد نطاقات عناوين الإنترنت المسموح بها باستخدام تنسيق CIDR (RFC 4632) في النموذج 192.168.0.0/16 أو كعناوين IP فردية مثل 192.168.0.1.

تلميح

نطاقات العناوين الصغيرة التي تستخدم /31 أحجام البادئة أو /32 غير مدعومة. قم بتكوين هذه النطاقات باستخدام قواعد عنوان IP الفردية.

قواعد شبكة IP مسموح بها فقط لعناوين IP الخاصة بـ الإنترنت العامة. نطاقات عناوين IP المحجوزة للشبكات الخاصة غير مسموح بها في قواعد IP. تتضمن الشبكات الخاصة عناوين تبدأ بـ 10.*و 172.16.* - 172.31.*192.168.*. لمزيد من المعلومات، راجع مساحة العنوان الخاص (RFC 1918).

حاليا، يتم دعم عناوين IPv4 فقط. يدعم كل مورد خدمات Azure الذكاء الاصطناعي ما يصل إلى 100 قاعدة شبكة IP، والتي يمكن دمجها مع قواعد الشبكة الظاهرية.

تكوين الوصول من الشبكات المحلية

لمنح حق الوصول من الشبكات المحلية إلى مورد خدمات Azure الذكاء الاصطناعي باستخدام قاعدة شبكة IP، حدد عناوين IP المواجهة للإنترنت التي تستخدمها شبكتك. اتصل بمسؤول الشبكة للحصول على المساعدة.

إذا كنت تستخدم Azure ExpressRoute محليا للنظير العام أو نظير Microsoft، فستحتاج إلى تحديد عناوين IP NAT. لمزيد من المعلومات، راجع ما هو Azure ExpressRoute.

بالنسبة إلى النظرة العامة، تستخدم كل دائرة من دوائر ExpressRoute بشكل افتراضي عنواني IP NAT. يتم تطبيق كل منها على حركة مرور خدمة Azure عندما تدخل نسبة استخدام الشبكة العمود الفقري لشبكة Microsoft Azure. بالنسبة إلى تناظر Microsoft، تكون عناوين NAT IP المستخدمة إما مقدمة من العميل أو يتم توفيرها من قبل موفر الخدمة. للسماح بالوصول إلى موارد الخدمة الخاصة بك، يجب أن تسمح لعناوين IP العامة هذه في إعداد جدار حماية IP للمورد.

للعثور على عناوين IP لدائرة ExpressRoute النظيرة العامة، افتح تذكرة دعم باستخدام ExpressRoute استخدم مدخل Microsoft Azure. لمزيد من المعلومات، راجع متطلبات NAT لنظير Azure العام.

إدارة قواعد شبكة IP

يمكنك إدارة قواعد شبكة IP لموارد خدمات Azure الذكاء الاصطناعي من خلال مدخل Azure أو PowerShell أو Azure CLI.

مدخل Microsoft Azure

1. انتقل إلى مورد خدمات Azure الذكاء الاصطناعي الذي تريد تأمينه.

2. حدد Resource Management لتوسيعه، ثم حدد Networking.

3. تأكد من تحديد الشبكات المحددة ونقاط النهاية الخاصة.

4. ضمن جدران الحماية والشبكات الظاهرية، حدد موقع خيار نطاق العنوان. لمنح حق الوصول إلى نطاق IP عبر الإنترنت، أدخل عنوان IP أو نطاق العنوان ( بتنسيق CIDR). يتم قبول عناوين IP العامة الصالحة (غير المقدمة) فقط.

   

   لإزالة قاعدة شبكة IP، حدد رمز سلة الذي تم إيقافهات بجوار نطاق العنوان.

5. حدد حفظ لتطبيق التغييرات التي أجريتها.

بوويرشيل

1. ثبت Azure PowerShell وسجل الدخول، أو حدد Open Cloudshell.

2. سرد قواعد شبكة IP المكونة.

   $parameters = @{
     "ResourceGroupName" = "myresourcegroup"
     "Name" = "myaccount"
   }
   (Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).IPRules
   

3. أضف قاعدة شبكة لعنوان IP فردي.

   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "IPAddressOrRange" = "ipaddress"
   }
   Add-AzCognitiveServicesAccountNetworkRule @parameters
   

4. أضف قاعدة الشبكة لنطاق عنوان IP.

   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "IPAddressOrRange" = "CIDR"
   }
   Add-AzCognitiveServicesAccountNetworkRule @parameters
   

5. قم بإزالة قاعدة شبكة لعنوان IP فردي.

   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "IPAddressOrRange" = "ipaddress"
   }
   Remove-AzCognitiveServicesAccountNetworkRule @parameters
   

6. قم بإزالة قاعدة شبكة لنطاق عنوان IP.

   $parameters = @{
       "ResourceGroupName" = "myresourcegroup"
       "Name" = "myaccount"
       "IPAddressOrRange" = "CIDR"
   }
   Remove-AzCognitiveServicesAccountNetworkRule @parameters
   

Azure CLI

1. ثبت Azure CLI وسجل الدخول، أو حدد Open Cloudshell.

2. سرد قواعد شبكة IP المكونة.

   az cognitiveservices account network-rule list \
       --resource-group "myresourcegroup" --name "myaccount" --query ipRules
   

3. أضف قاعدة شبكة لعنوان IP فردي.

   az cognitiveservices account network-rule add \
       --resource-group "myresourcegroup" --name "myaccount" \
       --ip-address "ipaddress"
   

4. أضف قاعدة الشبكة لنطاق عنوان IP.

   az cognitiveservices account network-rule add \
       --resource-group "myresourcegroup" --name "myaccount" \
       --ip-address "CIDR"
   

5. قم بإزالة قاعدة شبكة لعنوان IP فردي.

   az cognitiveservices account network-rule remove \
       --resource-group "myresourcegroup" --name "myaccount" \
       --ip-address "ipaddress"
   

6. قم بإزالة قاعدة شبكة لنطاق عنوان IP.

   az cognitiveservices account network-rule remove \
       --resource-group "myresourcegroup" --name "myaccount" \
       --ip-address "CIDR"
   

هام

تأكد من تعيين القاعدة الافتراضية إلى رفض، أو أن قواعد الشبكة ليس لها أي تأثير.

استخدم نقاط النهاية الخاصة

يمكنك استخدام نقاط النهاية الخاصة لموارد خدمات Azure الذكاء الاصطناعي للسماح للعملاء على شبكة ظاهرية بالوصول إلى البيانات بأمان عبر Azure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان الشبكة الظاهرية لمورد خدمات Azure الذكاء الاصطناعي. تنتقل نسبة استخدام الشبكة بين العملاء على الشبكة الظاهرية والمورد عبر الشبكة الظاهرية ورابط خاص على شبكة Microsoft Azure الأساسية، ما يلغي التعرض من الإنترنت العام.

تتيح لك نقاط النهاية الخاصة لموارد خدمات Azure الذكاء الاصطناعي ما يلي:

• تأمين مورد خدمات Azure الذكاء الاصطناعي عن طريق تكوين جدار الحماية لمنع جميع الاتصالات على نقطة النهاية العامة لخدمة Azure الذكاء الاصطناعي.
• زيادة الأمان للشبكة الظاهرية، عن طريق تمكينك من حظر النقل غير المصرح به للبيانات من الشبكة الظاهرية.
• الاتصال بأمان بموارد خدمات Azure الذكاء الاصطناعي من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام بوابة Azure VPN أو ExpressRoutes مع نظير خاص.

فهم نقاط النهاية الخاصة

نقطة النهاية الخاصة هي واجهة شبكة خاصة لمورد Azure في شبكتك الظاهرية. يوفر إنشاء نقطة نهاية خاصة لمورد خدمات Azure الذكاء الاصطناعي اتصالا آمنا بين العملاء في شبكتك الظاهرية وموردك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عناوين IP لشبكتك الظاهرية. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمة Azure الذكاء الاصطناعي ارتباطا خاصا آمنا.

يمكن للتطبيقات في الشبكة الظاهرية الاتصال بالخدمة عبر نقطة النهاية الخاصة بسلاسة. تستخدم الاتصال نفس سلسلة الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك. الاستثناء هو خدمات الكلام، والتي تتطلب نقطة نهاية منفصلة. لمزيد من المعلومات، راجع نقاط النهاية الخاصة مع خدمات الكلام في هذه المقالة. يمكن استخدام نقاط النهاية الخاصة مع جميع البروتوكولات التي يدعمها مورد خدمات Azure الذكاء الاصطناعي، بما في ذلك REST.

يمكن إنشاء نقاط النهاية الخاصة في الشبكات الفرعية التي تستخدم نقاط نهاية الخدمة. يمكن للعملاء في شبكة فرعية الاتصال بمورد خدمات Azure الذكاء الاصطناعي واحد باستخدام نقطة نهاية خاصة، أثناء استخدام نقاط نهاية الخدمة للوصول إلى الآخرين. للحصول علي المزيد من المعلومات، راجع نقاط نهاية خدمة الشبكة الظاهرية.

عند إنشاء نقطة نهاية خاصة لمورد خدمات Azure الذكاء الاصطناعي في شبكتك الظاهرية، يرسل Azure طلب موافقة للموافقة إلى مالك مورد خدمات Azure الذكاء الاصطناعي. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضا مالك المورد، تتم الموافقة على طلب الموافقة هذا تلقائيا.

يمكن لمالكي موارد خدمات Azure الذكاء الاصطناعي إدارة طلبات الموافقة ونقاط النهاية الخاصة من خلال علامة تبويب اتصال نقطة النهاية الخاصة لمورد خدمات Azure الذكاء الاصطناعي في مدخل Microsoft Azure.

تحديد نقاط النهاية الخاصة

عند إنشاء نقطة نهاية خاصة، حدد مورد خدمات Azure الذكاء الاصطناعي الذي يتصل به. لمزيد من المعلومات حول إنشاء نقطة نهاية خاصة، راجع:

• إنشاء نقطة نهاية خاصة باستخدام مدخل Microsoft Azure
• إنشاء نقطة نهاية خاصة باستخدام Azure PowerShell
• إنشاء نقطة نهاية خاصة باستخدام Azure CLI

الاتصال بنقاط النهاية الخاصة

إشعار

تستخدم خدمة Azure OpenAI منطقة DNS خاصة مختلفة ومعاد توجيه منطقة DNS العامة عن خدمات Azure الذكاء الاصطناعي الأخرى. للحصول على أسماء المنطقة و معاد التوجيه الصحيحة، راجع تكوين منطقة DNS لخدمات Azure.

يستخدم العملاء على شبكة ظاهرية تستخدم نقطة النهاية الخاصة نفس سلسلة الاتصال لمورد خدمات Azure الذكاء الاصطناعي مثل العملاء المتصلين بنقطة النهاية العامة. الاستثناء هو خدمة الكلام، والتي تتطلب نقطة نهاية منفصلة. لمزيد من المعلومات، راجع استخدام نقاط النهاية الخاصة مع خدمة الكلام في هذه المقالة. تقوم دقة DNS تلقائيا بتوجيه الاتصالات من الشبكة الظاهرية إلى مورد خدمات Azure الذكاء الاصطناعي عبر ارتباط خاص.

بشكل افتراضي، ينشئ Azure منطقة DNS خاصة مرفقة بالشبكة الظاهرية مع التحديثات الضرورية لنقاط النهاية الخاصة. إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء المزيد من التغييرات على تكوين DNS الخاص بك. للحصول على التحديثات التي قد تكون مطلوبة لنقاط النهاية الخاصة، راجع تطبيق تغييرات DNS لنقاط النهاية الخاصة في هذه المقالة.

استخدام نقاط النهاية الخاصة مع خدمة الكلام

راجع استخدام خدمة الكلام من خلال نقطة نهاية خاصة.

تطبيق تغييرات DNS لنقاط النهاية الخاصة

عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل مورد DNS CNAME لمورد خدمات Azure الذكاء الاصطناعي إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، ينشئ Azure أيضا منطقة DNS خاصة تتوافق مع privatelink المجال الفرعي، مع سجلات موارد DNS A لنقاط النهاية الخاصة. لمزيد من المعلومات، راجع ما هو Azure Private DNS.

عند حل عنوان URL لنقطة النهاية من خارج الشبكة الظاهرية باستخدام نقطة النهاية الخاصة، فإنه يحل إلى نقطة النهاية العامة لمورد خدمات Azure الذكاء الاصطناعي. عند حلها من الشبكة الظاهرية التي تستضيف نقطة النهاية الخاصة، يتم حل عنوان URL لنقطة النهاية إلى عنوان IP لنقطة النهاية الخاصة.

يتيح هذا الأسلوب الوصول إلى مورد خدمات Azure الذكاء الاصطناعي باستخدام نفس سلسلة الاتصال للعملاء في الشبكة الظاهرية التي تستضيف نقاط النهاية الخاصة والعملاء خارج الشبكة الظاهرية.

إذا كنت تستخدم خادم DNS مخصصا على شبكتك، يجب أن يكون العملاء قادرين على حل اسم المجال المؤهل بالكامل (FQDN) لنقطة نهاية مورد خدمات Azure الذكاء الاصطناعي إلى عنوان IP لنقطة النهاية الخاصة. قم بتكوين خادم DNS لتفويض المجال الفرعي للارتباط الخاص بك إلى منطقة DNS الخاصة للشبكة الظاهرية.

تلميح

عند استخدام خادم DNS مخصص أو محلي، يجب تكوين خادم DNS الخاص بك لحل اسم مورد خدمات Azure الذكاء الاصطناعي في privatelink المجال الفرعي إلى عنوان IP لنقطة النهاية الخاصة. privatelink تفويض المجال الفرعي إلى منطقة DNS الخاصة للشبكة الظاهرية. بدلا من ذلك، قم بتكوين منطقة DNS على خادم DNS وإضافة سجلات DNS A.

لمزيد من المعلومات حول تكوين خادم DNS الخاص بك لدعم نقاط النهاية الخاصة، راجع الموارد التالية:

• تحليل الاسم الذي يستخدم خادم DNS الخاص بك
• تكوين DNS

منح حق الوصول إلى خدمات Azure الموثوق بها ل Azure OpenAI

يمكنك منح مجموعة فرعية من خدمات Azure الموثوق بها حق الوصول إلى Azure OpenAI، مع الحفاظ على قواعد الشبكة للتطبيقات الأخرى. ستستخدم هذه الخدمات الموثوقة بعد ذلك الهوية المدارة لمصادقة خدمة Azure OpenAI. يسرد الجدول التالي الخدمات التي يمكنها الوصول إلى Azure OpenAI إذا كانت الهوية المدارة لتلك الخدمات لها تعيين الدور المناسب.

الخدمة	اسم موفر الموارد
خدمات الذكاء الاصطناعي في Azure	Microsoft.CognitiveServices
التعلم الآلي من Azure	Microsoft.MachineLearningServices
خدمة الذكاء الاصطناعي Azure AI Search	Microsoft.Search

يمكنك منح الوصول إلى الشبكات إلى خدمات Azure الموثوق بها عن طريق إنشاء استثناء قاعدة شبكة باستخدام واجهة برمجة تطبيقات REST:

accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Azure AI resource name>"

curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
    "properties":
    {
        "networkAcls": {
            "bypass": "AzureServices"
        }
    }
}
'

إشعار

تتوفر ميزة الخدمة الموثوق بها فقط باستخدام سطر الأوامر الموضح أعلاه، ولا يمكن إجراؤها باستخدام مدخل Microsoft Azure.

لإبطال الاستثناء، قم بتعيين networkAcls.bypass إلى None.

للتحقق مما إذا كان قد تم تمكين الخدمة الموثوق بها من مدخل Microsoft Azure،

1. استخدام طريقة عرض JSON من صفحة نظرة عامة على مورد Azure OpenAI

   

2. اختر أحدث إصدار من واجهة برمجة التطبيقات ضمن إصدارات واجهة برمجة التطبيقات. يتم دعم أحدث إصدار من واجهة برمجة التطبيقات فقط، 2023-10-01-preview .

   

التسعير

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

الخطوات التالية

• استكشاف خدمات Azure الذكاء الاصطناعي المختلفة
• تعرف على المزيد حول نقاط نهاية خدمة الشبكة الظاهرية