كيفية تكوين ارتباط خاص لمركز Azure الذكاء الاصطناعي

مقالة
04/11/2024

إشعار

Azure الذكاء الاصطناعي Studio حاليا في المعاينة العامة. يتم توفير هذه المعاينة دون اتفاقية على مستوى الخدمة، ولا نوصي بها لأحمال عمل الإنتاج. بعض الميزات ربما لا تكون مدعمة أو بها بعض القدرات المقيدة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

لدينا جانبان لعزل الشبكة. الأول هو عزل الشبكة للوصول إلى مركز Azure الذكاء الاصطناعي. آخر هو عزل الشبكة لموارد الحوسبة في مركز Azure الذكاء الاصطناعي ومشاريع Azure الذكاء الاصطناعي مثل مثيلات الحوسبة ونقاط النهاية دون خادم والمدارة عبر الإنترنت. تشرح هذه المقالة السابق المميز في الرسم التخطيطي. يمكنك استخدام ارتباط خاص لتأسيس الاتصال الخاص بمركز Azure الذكاء الاصطناعي وموارده الافتراضية. هذه المقالة مخصصة ل Azure الذكاء الاصطناعي Studio (الذكاء الاصطناعي hub ومشاريع الذكاء الاصطناعي). للحصول على معلومات حول Azure الذكاء الاصطناعي Services، راجع وثائق Azure الذكاء الاصطناعي Services.

يمكنك الحصول على العديد من الموارد الافتراضية لمركز Azure الذكاء الاصطناعي في مجموعة الموارد الخاصة بك. تحتاج إلى تكوين تكوينات عزل الشبكة التالية.

تعطيل الوصول إلى الشبكة العامة لموارد Azure الذكاء الاصطناعي hub الافتراضية مثل Azure Storage وAzure Key Vault وAzure Container Registry.
إنشاء اتصال نقطة نهاية خاصة بالموارد الافتراضية لمركز Azure الذكاء الاصطناعي. تحتاج إلى وجود كل من نقطة النهاية الخاصة للكائن الثنائي كبير الحجم والملف لحساب التخزين الافتراضي.
تكوينات الهوية المدارة للسماح لموارد مركز Azure الذكاء الاصطناعي بالوصول إلى حساب التخزين الخاص بك إذا كان خاصا.
يجب أن تكون خدمات Azure الذكاء الاصطناعي وAzure الذكاء الاصطناعي Search عامة.

المتطلبات الأساسية

يجب أن يكون لديك شبكة Azure ظاهرية موجودة لإنشاء نقطة النهاية الخاصة فيها.

هام

لا نوصي باستخدام نطاق عناوين IP 172.17.0.0/16 للشبكة الظاهرية الخاصة بك. هذا هو نطاق الشبكة الفرعية الافتراضي الذي تستخدمه شبكة جسر Docker أو محليا.
تعطيل نهج الشبكة لنقاط النهاية الخاصة قبل إضافة نقطة النهاية الخاصة.

إنشاء الذكاء الاصطناعي Azure يستخدم نقطة نهاية خاصة

استخدم إحدى الطرق التالية لإنشاء مورد مركز Azure الذكاء الاصطناعي بنقطة نهاية خاصة. تتطلب كل من هذه الأساليب شبكة ظاهرية موجودة:

مدخل Microsoft Azure
Azure CLI

من مدخل Microsoft Azure، انتقل إلى Azure الذكاء الاصطناعي Studio واختر + New Azure الذكاء الاصطناعي.
اختر وضع عزل الشبكة في علامة تبويب الشبكة .
مرر لأسفل وصولا إلى Workspace Inbound access واختر + Add.
إدخال الحقول المطلوبة. عند تحديد Region، حدد نفس المنطقة مثل شبكتك الظاهرية.

إنشاء مورد مركز Azure الذكاء الاصطناعي باستخدام Azure الذكاء الاصطناعي CLI. قم بتشغيل الأمر التالي واتبع المطالبات. لمزيد من المعلومات، راجع بدء استخدام Azure الذكاء الاصطناعي CLI.

ai init

بعد إنشاء مركز Azure الذكاء الاصطناعي، استخدم أوامر Azure networking CLI لإنشاء نقطة نهاية ارتباط خاصة الذكاء الاصطناعي Azure.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

للتمكن من إنشاء إدخالات منطقة DNS الخاصة لمساحة العمل، استخدم الأوامر التالية:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

إضافة نقطة نهاية خاصة إلى مركز الذكاء الاصطناعي Azure

استخدم إحدى الطرق التالية لإضافة نقطة نهاية خاصة إلى مركز Azure الذكاء الاصطناعي موجود:

مدخل Microsoft Azure
Azure CLI

من مدخل Microsoft Azure، حدد مركز Azure الذكاء الاصطناعي.
من الجانب الأيسر من الصفحة، حدد Networking ثم حدد علامة التبويب Private endpoint connections.
عند تحديد Region، حدد نفس المنطقة مثل شبكتك الظاهرية.
عند تحديد نوع المورد، استخدم azuremlworkspace.
تعيين Resource إلى اسم مساحة العمل.

انقر على Create لإنشاء نقطة النهاية الخاصة.

استخدم أوامر Azure networking CLI لإنشاء نقطة نهاية ارتباط خاصة لمركز الذكاء الاصطناعي Azure.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

للتمكن من إنشاء إدخالات منطقة DNS الخاصة لمساحة العمل، استخدم الأوامر التالية:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

إزالة نقطة نهاية خاصة

يمكنك إزالة نقطة نهاية خاصة واحدة أو جميعها لمركز Azure الذكاء الاصطناعي. تؤدي إزالة نقطة نهاية خاصة إلى إزالة مركز Azure الذكاء الاصطناعي من شبكة Azure الظاهرية التي كانت نقطة النهاية مقترنة بها. قد تمنع إزالة نقطة النهاية الخاصة مركز Azure الذكاء الاصطناعي من الوصول إلى الموارد في تلك الشبكة الظاهرية أو الموارد الموجودة في الشبكة الظاهرية من الوصول إلى مساحة العمل. على سبيل المثال، إذا كانت الشبكة الظاهرية لا تسمح بالوصول إلى الإنترنت العام أو منه.

تحذير

لا تجعل إزالة نقاط النهاية الخاصة لمركز الذكاء الاصطناعي الوصول إليها بشكل عام. لتسهيل الوصول إلى مركز الذكاء الاصطناعي بشكل عام، استخدم الخطوات الواردة في قسم تمكين الوصول العام.

لإزالة نقطة نهاية خاصة، استخدم المعلومات التالية:

مدخل Microsoft Azure
Azure CLI

من مدخل Microsoft Azure، حدد مركز Azure الذكاء الاصطناعي.
من الجانب الأيسر من الصفحة، حدد Networking ثم حدد علامة التبويب Private endpoint connections.
حدد نقطة النهاية المراد إزالتها ثم حدد Remove.

عند استخدام Azure CLI، استخدم الأمر التالي لإزالة نقطة النهاية الخاصة:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

تمكين وصول الجمهور

في بعض الحالات، قد ترغب في السماح لشخص ما بالاتصال بمركز Azure الذكاء الاصطناعي الآمن عبر نقطة نهاية عامة، بدلا من الاتصال بالشبكة الظاهرية. أو قد ترغب في إزالة مساحة العمل من الشبكة الظاهرية وإعادة تمكين الوصول العام.

هام

لا يؤدي تمكين الوصول العام إلى إزالة أي نقاط نهاية خاصة موجودة. لا تزال جميع الاتصالات بين المكونات خلف الشبكة الظاهرية التي تتصل بها نقطة النهاية الخاصة مؤمنة. يتيح الوصول العام فقط إلى مركز Azure الذكاء الاصطناعي، بالإضافة إلى الوصول الخاص من خلال أي نقاط نهاية خاصة.

لتمكين الوصول العام، استخدم الخطوات التالية:

مدخل Microsoft Azure
Azure CLI

من مدخل Microsoft Azure، حدد مركز Azure الذكاء الاصطناعي.
من الجانب الأيسر من الصفحة، حدد Networking ثم حدد علامة التبويب Public access.
حدد ممكن من جميع الشبكات، ثم حدد حفظ.

تكوين الهوية المدارة

مطلوب تكوين هوية إدارة إذا قمت بجعل حساب التخزين الخاص بك خاصا. تحتاج خدماتنا إلى قراءة/كتابة البيانات في حساب التخزين الخاص بك باستخدام السماح لخدمات Azure في قائمة الخدمات الموثوق بها للوصول إلى حساب التخزين هذا مع تكوينات الهوية المدارة التالية. قم بتمكين الهوية المدارة المعينة من قبل النظام لخدمة Azure الذكاء الاصطناعي وAzure الذكاء الاصطناعي Search، ثم قم بتكوين التحكم في الوصول المستند إلى الدور لكل هوية مدارة.

الدور	الهوية المُدارة	مورد	الغرض	‏‏المرجع
`Storage File Data Privileged Contributor`	مشروع Azure الذكاء الاصطناعي	حساب التخزين	قراءة/كتابة بيانات تدفق المطالبة.	مستند تدفق المطالبة
`Storage Blob Data Contributor`	Azure الذكاء الاصطناعي Service	حساب التخزين	اقرأ من حاوية الإدخال، واكتب إلى نتيجة المعالجة المسبقة إلى حاوية الإخراج.	مستند Azure OpenAI
`Storage Blob Data Contributor`	خدمة الذكاء الاصطناعي Azure AI Search	حساب التخزين	قراءة كائن ثنائي كبير الحجم وكتابة مخزن المعارف	بحث في المستند.

تكوين DNS مخصص

راجع مقالة Azure التعلم الآلي DNS المخصصة لتكوينات إعادة توجيه DNS.

إذا كنت بحاجة إلى تكوين خادم DNS مخصص دون إعادة توجيه DNS، فاستخدم الأنماط التالية لسجلات A المطلوبة.

<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net
ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

إشعار

قد يتم اقتطاع اسم مساحة العمل ل FQDN هذا. يتم الاقتطاع للحفاظ على ml-<workspace-name, truncated>-<region>-<workspace-guid> عند 63 حرفًا أو أقل.
<instance-name>.<region>.instances.azureml.ms
إشعار
- لا يمكن الوصول إلى مثيلات الحوسبة إلا من داخل الشبكة الظاهرية.
- عنوان IP لاسم FQDN هذا ليس هو عنوان IP لمثيل الحوسبة. بدلاً من ذلك، استخدم عنوان IP الخاص لنقطة النهاية الخاصة بمساحة العمل (عنوان IP لإدخالات *.api.azureml.ms.)
<managed online endpoint name>.<region>.inference.ml.azure.com - تُستخدم بواسطة نقاط النهاية عبر الإنترنت المدارة

للعثور على عناوين IP الخاصة لسجلات A، راجع مقالة Azure التعلم الآلي DNS المخصصة. للتحقق من الذكاء الاصطناعي-PROJECT-GUID، انتقل إلى مدخل Microsoft Azure، وحدد مشروع Azure الذكاء الاصطناعي، والإعدادات، والخصائص، ويتم عرض معرف مساحة العمل.

القيود

لا يتم دعم خدمات Azure الذكاء الاصطناعي الخاصة وAzure الذكاء الاصطناعي Search.
لا تدعم ميزة "إضافة بياناتك" في ملعب Azure الذكاء الاصطناعي Studio حساب التخزين الخاص.
قد تواجه مشكلات في محاولة الوصول إلى نقطة النهاية الخاصة لمركز Azure الذكاء الاصطناعي إذا كنت تستخدم Mozilla Firefox. قد تكون هذه المشكلة مرتبطة ب DNS عبر HTTPS في Mozilla Firefox. نوصي باستخدام Microsoft Edge أو Google Chrome.

Share via