Konfigurace spravované sítě pro centra Azure AI Studio
Důležité
Některé funkce popsané v tomto článku můžou být dostupné jenom ve verzi Preview. Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučujeme ji pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Máme dva aspekty izolace sítě. Jednou z nich je izolace sítě pro přístup k centru Azure AI Studio. Další možností je izolace sítě výpočetních prostředků pro váš rozbočovač i projekt (například výpočetní instanci, bezserverový a spravovaný online koncový bod).) Tento dokument vysvětluje druhý zvýrazněný v diagramu. K ochraně výpočetních prostředků můžete použít integrovanou izolaci sítě centra.
Je potřeba nakonfigurovat následující konfigurace izolace sítě.
- Zvolte režim izolace sítě. Máte dvě možnosti: povolíte režim odchozích přenosů z internetu nebo povolíte jenom schválený režim odchozích přenosů.
- Pokud používáte integraci editoru Visual Studio Code s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Použití editoru Visual Studio Code .
- Pokud používáte modely HuggingFace v modelech s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Modely HuggingFace.
- Pokud používáte některý z opensourcových modelů s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Kurátorovaná službou Azure AI .
Architektura izolace sítě a režimy izolace
Když povolíte izolaci spravované virtuální sítě, vytvoří se pro centrum spravovaná virtuální síť. Spravované výpočetní prostředky, které vytvoříte pro centrum, automaticky používají tuto spravovanou virtuální síť. Spravovaná virtuální síť může používat privátní koncové body pro prostředky Azure používané vaším centrem, jako je Azure Storage, Azure Key Vault a Azure Container Registry.
Pro odchozí provoz ze spravované virtuální sítě existují tři různé režimy konfigurace:
Režim odchozích přenosů | Popis | Scénáře |
---|---|---|
Povolit odchozí připojení k internetu | Povolte veškerý odchozí provoz z internetu ze spravované virtuální sítě. | Chcete neomezený přístup k prostředkům strojového učení na internetu, jako jsou balíčky Pythonu nebo předem natrénované modely.1 |
Povolit pouze schválené odchozí přenosy | Odchozí provoz je povolený zadáním značek služeb. | * Chcete minimalizovat riziko exfiltrace dat, ale musíte připravit všechny požadované artefakty strojového učení ve vašem privátním prostředí. * Chcete nakonfigurovat odchozí přístup ke schválenému seznamu služeb, značek služeb nebo plně kvalifikovaných názvů domén. |
Zakázáno | Příchozí a odchozí provoz není omezený. | Chcete, aby se z centra zobrazovaly veřejné příchozí a odchozí přenosy. |
1 Můžete použít pravidla odchozích přenosů s povoleným režimem odchozích přenosů , abyste dosáhli stejného výsledku jako použití povolit odchozí připojení k internetu. Rozdíly jsou:
- Pro přístup k prostředkům Azure vždy používejte privátní koncové body.
- Musíte přidat pravidla pro každé odchozí připojení, které potřebujete povolit.
- Přidání odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady , protože tento typ pravidla používá Službu Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.
- Výchozí pravidla pro povolení pouze schválených odchozích přenosů jsou navržená tak, aby minimalizovala riziko exfiltrace dat. Všechna pravidla odchozích přenosů, která přidáte, můžou zvýšit riziko.
Spravovaná virtuální síť je předem nakonfigurovaná s požadovanými výchozími pravidly. Je také nakonfigurovaná pro připojení privátních koncových bodů k vašemu centru, výchozí úložiště centra, registr kontejnerů a trezor klíčů, pokud jsou nakonfigurované jako privátní nebo režim izolace centra je nastavený tak, aby umožňoval pouze schválené odchozí přenosy. Po výběru režimu izolace je potřeba vzít v úvahu jenom další odchozí požadavky, které možná budete muset přidat.
Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala odchozí provoz internetu:
Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy:
Poznámka:
V této konfiguraci se úložiště, trezor klíčů a registr kontejnerů používaný centrem označí jako privátní. Vzhledem k tomu, že jsou označené jako soukromé, privátní koncový bod se používá ke komunikaci s nimi.
Požadavky
Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:
Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků používá centrum při vytváření privátních koncových bodů pro spravovanou virtuální síť.
Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.
Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Omezení
- Azure AI Studio v současné době nepodporuje zavádění vlastní virtuální sítě, podporuje pouze izolaci spravované virtuální sítě.
- Jakmile povolíte izolaci spravované virtuální sítě azure AI, nemůžete ji zakázat.
- Spravovaná virtuální síť používá pro přístup k vašim privátním prostředkům připojení privátního koncového bodu. Privátní koncový bod a koncový bod služby nemůžete mít současně pro prostředky Azure, jako je účet úložiště. Doporučujeme ve všech scénářích. používat privátní koncové body.
- Spravovaná virtuální síť se odstraní při odstranění Azure AI.
- Ochrana před exfiltrací dat je automaticky povolená pro jediný schválený odchozí režim. Pokud do plně kvalifikovaných názvů domén přidáte další pravidla odchozích přenosů, Microsoft nezaručuje, že jste chráněni před exfiltrací dat do těchto odchozích cílů.
- Použití odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady na spravovanou virtuální síť, protože pravidla plně kvalifikovaného názvu domény používají službu Azure Firewall. Další informace najdete na stránce s cenami.
- Odchozí pravidla plně kvalifikovaného názvu domény podporují jenom porty 80 a 443.
- Při použití výpočetní instance se spravovanou sítí se pomocí
az ml compute connect-ssh
příkazu připojte k výpočetnímu objektu pomocí SSH.
Konfigurace spravované virtuální sítě pro povolení odchozích přenosů z internetu
Tip
Vytvoření spravované virtuální sítě se odloží až do ručního spuštění výpočetního prostředku nebo jeho zřízení. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť.
Vytvořte nové centrum:
Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure AI Studio.
Vyberte + Nová AI Azure.
Zadejte požadované informace na kartě Základy .
Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem.
Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů zadejte následující informace:
- Název pravidla: Název pravidla. Název musí být pro toto centrum jedinečný.
- Typ cíle: Privátní koncový bod je jedinou možností, pokud je izolace sítě privátní s odchozím internetem. Virtuální síť spravovaná centrem nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .
- Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
- Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
- Typ prostředku: Typ prostředku Azure.
- Název prostředku: Název prostředku Azure.
- Dílčí prostředek: Podnabídka typu prostředku Azure.
Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.
Pokračujte ve vytváření centra jako obvykle.
Aktualizace existujícího centra:
Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.
Vyberte Sítě a pak vyberte Privátní s odchozím internetem.
Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů zadejte stejné informace jako při vytváření centra v části Vytvořit nové centrum.
Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .
Výběrem možnosti Uložit v horní části stránky uložte změny ve spravované virtuální síti.
Konfigurace spravované virtuální sítě pro povolení pouze schválených odchozích přenosů
Tip
Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Pokud jste nakonfigurovali odchozí pravidla plně kvalifikovaného názvu domény, první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut .
Vytvořte nové centrum:
Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure AI Studio.
Vyberte + Nová AI Azure.
Zadejte požadované informace na kartě Základy .
Na kartě Sítě vyberte Možnost Soukromá se schváleným odchozím provozem.
Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů zadejte následující informace:
- Název pravidla: Název pravidla. Název musí být pro toto centrum jedinečný.
- Typ cíle: Privátní koncový bod, značka služby nebo plně kvalifikovaný název domény. Značka služby a plně kvalifikovaný název domény jsou k dispozici pouze v případě, že izolace sítě je soukromá se schváleným odchozím provozem.
Pokud je cílovým typem privátní koncový bod, zadejte následující informace:
- Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
- Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
- Typ prostředku: Typ prostředku Azure.
- Název prostředku: Název prostředku Azure.
- Dílčí prostředek: Podnabídka typu prostředku Azure.
Tip
Spravovaná virtuální síť centra nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .
Pokud je cílovým typem značka služby, zadejte následující informace:
- Značka služby: Značka služby, která se má přidat do schválených odchozích pravidel.
- Protokol: Protokol, který povoluje značku služby.
- Rozsahy portů: Rozsahy portů, které umožňují značku služby.
Pokud je cílový typ plně kvalifikovaný název domény, zadejte následující informace:
- Cíl plně kvalifikovaného názvu domény: Plně kvalifikovaný název domény, který se má přidat do schválených pravidel odchozích přenosů.
Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.
Pokračujte ve vytváření centra jako obvykle.
Aktualizace existujícího centra:
Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.
Vyberte Sítě a pak vyberte Soukromé se schváleným odchozím provozem.
Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů zadejte stejné informace jako při vytváření centra v předchozí části Vytvoření nového centra.
Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .
Výběrem možnosti Uložit v horní části stránky uložte změny ve spravované virtuální síti.
Ruční zřízení spravované virtuální sítě
Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetní instance. Když spoléháte na automatické zřizování, může vytvoření první výpočetní instance trvat přibližně 30 minut , protože síť zřizuje. Pokud jste nakonfigurovali pravidla odchozích přenosů plně kvalifikovaného názvu domény (k dispozici pouze v povoleném režimu), první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Pokud máte ve spravované síti zřízenou velkou sadu odchozích pravidel, může trvat déle, než se zřizování dokončí. Vyšší doba zřizování může způsobit vypršení časového limitu prvního vytvoření výpočetní instance.
Pokud chcete zkrátit dobu čekání a vyhnout se potenciálním chybám časového limitu, doporučujeme spravovanou síť zřídit ručně. Pak počkejte, až se zřizování dokončí, než vytvoříte výpočetní instanci.
Poznámka:
Pokud chcete vytvořit online nasazení, musíte spravovanou síť zřídit ručně nebo nejprve vytvořit výpočetní instanci, která ji automaticky zřídí.
Na kartách Azure CLI nebo Python SDK se dozvíte, jak spravovanou virtuální síť zřídit ručně.
Správa odchozích pravidel
- Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.
- Vyberte Sítě. Oddíl Odchozí přístup Azure AI umožňuje spravovat pravidla odchozích přenosů.
Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů Azure AI zadejte následující informace:
Pokud chcete pravidlo povolit nebo zakázat , použijte přepínač ve sloupci Aktivní .
Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .
Seznam požadovaných pravidel
Tip
Tato pravidla se automaticky přidají do spravované virtuální sítě.
Privátní koncové body:
- Pokud je
Allow internet outbound
režim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako povinná pravidla ze spravované virtuální sítě pro centrum a přidružené prostředky se zakázaným přístupem k veřejné síti (Key Vault, účet úložiště, Container Registry, centrum). - Pokud je
Allow only approved outbound
režim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro centrum a přidružené prostředky bez ohledu na režim přístupu k veřejné síti pro tyto prostředky (Key Vault, účet úložiště, Container Registry, centrum).
Pravidla značek odchozích služeb:
AzureActiveDirectory
Azure Machine Learning
BatchNodeManagement.region
AzureResourceManager
AzureFrontDoor.FirstParty
MicrosoftContainerRegistry
AzureMonitor
Pravidla značek příchozí služby:
AzureMachineLearning
Seznam pravidel konkrétních odchozích přenosů scénáře
Scénář: Přístup k veřejným balíčkům strojového učení
Pokud chcete povolit instalaci balíčků Pythonu pro trénování a nasazení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolují provoz do následujících názvů hostitelů:
Poznámka:
Nejedná se o úplný seznam hostitelů požadovaných pro všechny prostředky Pythonu na internetu, pouze nejčastěji používané. Pokud například potřebujete přístup k úložišti GitHub nebo jinému hostiteli, musíte v takovém případě identifikovat a přidat požadované hostitele.
Název hostitele | Účel |
---|---|
anaconda.com *.anaconda.com |
Slouží k instalaci výchozích balíčků. |
*.anaconda.org |
Slouží k získání dat úložiště. |
pypi.org |
Používá se k výpisu závislostí z výchozího indexu( pokud existuje) a index se nepřepíše uživatelským nastavením. Pokud je index přepsán, musíte také povolit *.pythonhosted.org . |
pytorch.org *.pytorch.org |
Používá se v některých příkladech založených na PyTorchu. |
*.tensorflow.org |
Používá se v některých příkladech založených na Tensorflow. |
Scénář: Použití editoru Visual Studio Code
Visual Studio Code spoléhá na konkrétní hostitele a porty pro navázání vzdáleného připojení.
Hostitelé
Pokud plánujete používat Visual Studio Code s centrem, přidejte pravidla odchozího plně kvalifikovaného názvu domény , která povolí provoz do následujících hostitelů:
*.vscode.dev
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
raw.githubusercontent.com
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
code.visualstudio.com
update.code.visualstudio.com
*.vo.msecnd.net
marketplace.visualstudio.com
pkg-containers.githubusercontent.com
github.com
Porty
Musíte povolit síťový provoz na porty 8704 až 8710. Server VS Code dynamicky vybere první dostupný port v rámci tohoto rozsahu.
Scénář: Použití modelů HuggingFace
Pokud plánujete používat modely HuggingFace s centrem, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:
- docker.io
- *.docker.io
- *.docker.com
- production.cloudflare.docker.com
- cnd.auth0.com
- cdn-lfs.huggingface.co
Scénář: Kurátorovaný službou Azure AI
Tyto modely zahrnují dynamickou instalaci závislostí za běhu a vyžadují pravidla odchozího plně kvalifikovaného názvu domény , která umožňují provoz do následujících hostitelů:
*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org
Privátní koncové body
Privátní koncové body se v současné době podporují pro následující služby Azure:
- Centrum AI Studio
- Azure AI Vyhledávač
- Služby Azure AI
- Azure API Management
- Azure Container Registry
- Azure Cosmos DB (všechny podtypy prostředků)
- Azure Data Factory
- Azure Database for MariaDB
- Azure Database for MySQL
- Jednoúčelový server Azure Database for PostgreSQL
- Flexibilní server Azure Database for PostgreSQL
- Azure Databricks
- Azure Event Hubs
- Azure Key Vault
- Azure Machine Learning
- Registry služby Azure Machine Learning
- Azure Redis Cache
- Azure SQL Server
- Azure Storage (všechny podtypy prostředků)
Při vytváření privátního koncového bodu zadáte typ prostředku a podsourc , ke kterému se koncový bod připojí. Některé prostředky mají více typů a podsourců. Další informace najdete v privátním koncovém bodu.
Když vytvoříte privátní koncový bod pro prostředky závislostí centra, jako jsou Azure Storage, Azure Container Registry a Azure Key Vault, může být prostředek v jiném předplatném Azure. Prostředek však musí být ve stejném tenantovi jako centrum.
Privátní koncový bod se automaticky vytvoří pro připojení, pokud je cílovým prostředkem výše uvedený prostředek Azure. Pro privátní koncový bod se očekává platné CÍLOVÉ ID. Platným ID cíle pro připojení může být ID Azure Resource Manageru nadřazeného prostředku. Cílové ID je také očekáváno v cíli připojení nebo v metadata.resourceid
. Další informace o připojeních najdete v tématu Postup přidání nového připojení v Azure AI Studiu.
Ceny
Funkce spravované virtuální sítě centra je bezplatná. Poplatky se vám ale účtují za následující prostředky, které používá spravovaná virtuální síť:
Azure Private Link – Privátní koncové body používané k zabezpečení komunikace mezi spravovanou virtuální sítí a prostředky Azure závisí na službě Azure Private Link. Další informace o cenách najdete v tématu Ceny služby Azure Private Link.
Pravidla odchozích přenosů plně kvalifikovaného názvu domény – pravidla odchozích přenosů plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Skladová položka služby Azure Firewall je standardní. Azure Firewall je zřízený pro každé centrum.
Důležité
Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Pokud nepoužíváte pravidla plně kvalifikovaného názvu domény, nebudou se vám účtovat poplatky za službu Azure Firewall. Další informace o cenách najdete v tématu o cenách služby Azure Firewall.