مشاركة عبر

عزل الشبكة في تدفق المطالبة

  • مقالة

يمكنك تأمين تدفق المطالبة باستخدام الشبكات الخاصة. توضح هذه المقالة متطلبات استخدام تدفق المطالبة في بيئة مؤمنة بواسطة الشبكات الخاصة.

الخدمات المعنية

عند تطوير تطبيق LLM الخاص بك باستخدام تدفق المطالبة، فأنت تريد بيئة آمنة. يمكنك جعل الخدمات التالية خاصة عبر إعداد الشبكة.

  • مساحة العمل: يمكنك جعل Azure التعلم الآلي مساحة عمل خاصة والحد من الوارد والصادر منها.
  • مورد الحساب: يمكنك أيضا الحد من القاعدة الواردة والصادرة لمورد الحساب في مساحة العمل.
  • حساب التخزين: يمكنك تقييد إمكانية وصول حساب التخزين إلى شبكة ظاهرية معينة.
  • سجل الحاوية: تريد أيضا تأمين سجل الحاوية الخاص بك مع الشبكة الظاهرية.
  • نقطة النهاية: تريد تقييد خدمات Azure أو عنوان IP للوصول إلى نقطة النهاية الخاصة بك.
  • خدمات Azure المعرفية ذات الصلة مثل Azure OpenAI وأمان محتوى Azure وAzure الذكاء الاصطناعي Search، يمكنك استخدام تكوين الشبكة لجعلها خاصة ثم استخدام نقطة نهاية خاصة للسماح لخدمات Azure التعلم الآلي بالاتصال بها.
  • موارد أخرى غير Azure مثل SerpAPI وما إلى ذلك. إذا كان لديك قاعدة صادرة صارمة، فأنت بحاجة إلى إضافة قاعدة FQDN للوصول إليها.

خيارات في إعداد شبكة مختلفة

في التعلم الآلي من Azure، لدينا خياران لتأمين عزل الشبكة، أو إحضار شبكتك الخاصة أو استخدام الشبكة الظاهرية المدارة لمساحة العمل. تعرف على المزيد حول موارد مساحة العمل الآمنة.

فيما يلي جدول لتوضيح الخيارات في شبكة مختلفة تم إعدادها لتدفق المطالبة.

دخول الخروج نوع الحساب في التأليف نوع الحساب في الاستدلال خيارات الشبكة لمساحة العمل
‏‏عامة ‏‏عامة بلا خادم (توصية)، مثيل الحساب نقطة النهاية المدارة عبر الإنترنت (التوصية)، نقطة نهاية K8s عبر الإنترنت مدار (يوصي) /إحضار ملكك
خاصة ‏‏عامة بلا خادم (توصية)، مثيل الحساب نقطة النهاية المدارة عبر الإنترنت (التوصية)، نقطة نهاية K8s عبر الإنترنت مدار (يوصي) /إحضار ملكك
‏‏عامة خاصة بلا خادم (توصية)، مثيل الحساب نقطة النهاية المدارة عبر الإنترنت مُدار
خاصة خاصة بلا خادم (توصية)، مثيل الحساب نقطة النهاية المدارة عبر الإنترنت مُدار
  • في سيناريو الشبكة الظاهرية الخاصة، نوصي باستخدام الشبكة الظاهرية المدارة الممكنة لمساحة العمل. إنها أسهل طريقة لتأمين مساحة العمل والموارد ذات الصلة.
  • يمكنك أيضا الحصول على مساحة عمل واحدة لتأليف تدفق المطالبة مع الشبكة الظاهرية ومساحة عمل أخرى لنشر تدفق المطالبة باستخدام نقطة النهاية المدارة عبر الإنترنت مع شبكة ظاهرية مدارة لمساحة العمل.
  • لم ندعم الاستخدام المختلط للشبكة الظاهرية المدارة ونجلب شبكتك الظاهرية الخاصة في مساحة عمل واحدة. نظرا لأن نقطة النهاية المدارة عبر الإنترنت تدعم الشبكة الظاهرية المدارة فقط، فلا يمكنك نشر تدفق المطالبة إلى نقطة النهاية المدارة عبر الإنترنت في مساحة العمل التي مكنت إحضار الشبكة الظاهرية الخاصة بك.

تدفق المطالبة الآمن مع الشبكة الظاهرية المدارة لمساحة العمل

الشبكة الظاهرية المدارة لمساحة العمل هي الطريقة الموصى بها لدعم عزل الشبكة في التدفق السريع. يوفر التكوين بسهولة لتأمين مساحة العمل الخاصة بك. بعد تمكين الشبكة الظاهرية المدارة على مستوى مساحة العمل، ستستخدم الموارد المتعلقة بمساحة العمل في نفس الشبكة الظاهرية إعداد الشبكة نفسه في مستوى مساحة العمل. يمكنك أيضا تكوين مساحة العمل لاستخدام نقطة النهاية الخاصة للوصول إلى موارد Azure الأخرى مثل Azure OpenAI وأمان محتوى Azure وAzure الذكاء الاصطناعي Search. يمكنك أيضا تكوين قاعدة FQDN للموافقة على الموارد الصادرة إلى موارد غير Azure التي يستخدمها تدفق المطالبة مثل SerpAPI وما إلى ذلك.

  1. اتبع عزل الشبكة المدارة لمساحة العمل لتمكين الشبكة الظاهرية المدارة لمساحة العمل.

    هام

    يتم تأجيل إنشاء الشبكة الظاهرية المدارة حتى يتم إنشاء مورد حساب أو بدء التوفير يدويا. يمكنك استخدام الأمر التالي لتشغيل توفير الشبكة يدويا.

    az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

  2. أضف مساحة العمل MSI إلى Storage File Data Privileged Contributor حساب التخزين المرتبط بمساحة العمل.

    2.1 انتقل إلى مدخل Microsoft Azure، وابحث عن مساحة العمل.

    رسم تخطيطي يوضح كيفية الانتقال من مدخل Azure التعلم الآلي إلى مدخل Microsoft Azure.

    2.2 ابحث عن حساب التخزين المرتبط بمساحة العمل.

    رسم تخطيطي يوضح كيفية العثور على حساب تخزين مرتبط بمساحة العمل في مدخل Microsoft Azure.

    2.3 الانتقال إلى صفحة تعيين الدور لحساب التخزين.

    رسم تخطيطي يوضح كيفية الانتقال إلى تعيين دور حساب التخزين.

    2.4 البحث عن دور المساهم المتميز لبيانات ملف التخزين.

    رسم تخطيطي يوضح كيفية العثور على دور المساهم المتميز لبيانات ملف التخزين.

    2.5 تعيين دور المساهم المتميز لبيانات ملف التخزين إلى الهوية المدارة لمساحة العمل.

    رسم تخطيطي يوضح كيفية تعيين دور المساهم المتميز لبيانات ملف التخزين إلى الهوية المدارة لمساحة العمل.

    إشعار

    قد تستغرق هذه العملية عدة دقائق حتى تصبح سارية المفعول.

  3. إذا كنت ترغب في الاتصال بخدمات Azure المعرفية الخاصة، فأنت بحاجة إلى إضافة قواعد صادرة معرفة من قبل المستخدم ذات الصلة إلى المورد ذي الصلة. تنشئ مساحة عمل Azure التعلم الآلي نقطة نهاية خاصة في المورد ذي الصلة مع الموافقة التلقائية. إذا كانت الحالة عالقة في معلقة، فانتقل إلى المورد ذي الصلة للموافقة على نقطة النهاية الخاصة يدويا.

    لقطة شاشة لقاعدة صادرة معرفة من قبل المستخدم لخدمات Azure المعرفية.

    لقطة شاشة لنقطة النهاية الخاصة بالموافقة على المستخدم.

  4. إذا كنت تقيد حركة المرور الصادرة للسماح لوجهات معينة فقط، فيجب عليك إضافة قاعدة صادرة مقابلة معرفة من قبل المستخدم للسماح ب FQDN ذات الصلة.

    لقطة شاشة لقاعدة صادرة معرفة من قبل المستخدم لمورد غير Azure.

  5. في مساحات العمل التي تمكن VNet المدارة، يمكنك فقط نشر تدفق المطالبة إلى نقطة النهاية المدارة عبر الإنترنت. يمكنك متابعة تأمين نقاط النهاية المدارة عبر الإنترنت مع عزل الشبكة لتأمين نقطة النهاية المدارة عبر الإنترنت.

تدفق المطالبة الآمنة استخدام الشبكة الظاهرية الخاصة بك

  • لإعداد Azure التعلم الآلي الموارد ذات الصلة كخاصة، راجع تأمين موارد مساحة العمل.

  • إذا كانت لديك قاعدة صادرة صارمة، فتأكد من فتح الوصول إلى الإنترنت العام المطلوب.

  • أضف مساحة العمل MSI إلى Storage File Data Privileged Contributor حساب التخزين المرتبط بمساحة العمل. يرجى اتباع الخطوة 2 في تدفق المطالبة الآمن مع الشبكة الظاهرية المدارة لمساحة العمل.

  • إذا كنت تستخدم نوع الحوسبة بلا خادم في تأليف التدفق، فأنت بحاجة إلى تعيين الشبكة الظاهرية المخصصة على مستوى مساحة العمل. تعرف على المزيد حول تأمين بيئة تدريب التعلم الآلي Azure باستخدام الشبكات الظاهرية

    serverless_compute:
  custom_subnet: /subscriptions/<sub id>/resourceGroups/<resource group>/providers/Microsoft.Network/virtualNetworks/<vnet name>/subnets/<subnet name>
  no_public_ip: false # Set to true if you don't want to assign public IP to the compute

  • وفي الوقت نفسه، يمكنك اتباع خدمات Azure المعرفية الخاصة لجعلها خاصة.

  • إذا كنت ترغب في نشر تدفق المطالبة في مساحة العمل التي تم تأمينها بواسطة الشبكة الظاهرية الخاصة بك، يمكنك نشرها إلى مجموعة AKS الموجودة في نفس الشبكة الظاهرية. يمكنك اتباع بيئة الاستدلال الآمنة لخدمة Azure Kubernetes لتأمين نظام مجموعة AKS. تعرف على المزيد حول كيفية نشر تدفق المطالبة إلى مجموعة ASK عبر التعليمات البرمجية.

  • يمكنك إما إنشاء نقطة نهاية خاصة لنفس الشبكة الظاهرية أو الاستفادة من نظير الشبكة الظاهرية لجعلها تتواصل مع بعضها البعض.

القيود المعروفة

  • الذكاء الاصطناعي studio لا يدعم إحضار الشبكة الظاهرية الخاصة بك، فإنه يدعم الشبكة الظاهرية المدارة لمساحة العمل فقط.
  • تدعم نقطة النهاية المدارة عبر الإنترنت مع الخروج المحدد مساحة العمل فقط مع الشبكة الظاهرية المدارة. إذا كنت ترغب في استخدام الشبكة الظاهرية الخاصة بك، فقد تحتاج إلى مساحة عمل واحدة لتأليف تدفق المطالبة مع الشبكة الظاهرية ومساحة عمل أخرى لنشر تدفق المطالبة باستخدام نقطة النهاية المدارة عبر الإنترنت مع شبكة ظاهرية مدارة لمساحة العمل.

الخطوات التالية