Použití kolekcí Katalogu modelů se spravovanou virtuální sítí pracovního prostoru

Článek
12/28/2023

V tomto článku se dozvíte, jak používat různé kolekce v katalogu modelů v izolované síti.

Virtuální síť spravovaná pracovním prostorem je doporučeným způsobem, jak podporovat izolaci sítě pomocí katalogu modelů. Poskytuje snadnou konfiguraci pro zabezpečení pracovního prostoru. Po povolení spravované virtuální sítě na úrovni pracovního prostoru budou prostředky související s pracovním prostorem ve stejné virtuální síti používat stejné nastavení sítě na úrovni pracovního prostoru. Pracovní prostor můžete také nakonfigurovat tak, aby používal privátní koncový bod pro přístup k dalším prostředkům Azure, jako je Azure OpenAI. Kromě toho můžete nakonfigurovat pravidlo plně kvalifikovaného názvu domény tak, aby schvalovat odchozí provoz na prostředky mimo Azure, které je nutné použít některé kolekce v katalogu modelů. Podívejte se, jak spravovaná izolace sítě pracovního prostoru povolit virtuální síť spravovanou pracovním prostorem.

Vytvoření spravované virtuální sítě se odloží, dokud se nevytvořil výpočetní prostředek nebo se ručně nespravuje zřizování. K ruční aktivaci zřizování sítě můžete použít následující příkaz.

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

Virtuální síť spravovaná pracovním prostorem pro povolení odchozího připojení k internetu

Nakonfigurujte pracovní prostor se spravovanou virtuální sítí tak, aby umožňoval odchozí provoz internetu podle zde uvedených kroků.
Pokud se rozhodnete nastavit přístup k veřejné síti k pracovnímu prostoru tak, aby byl zakázaný, můžete se k tomuto pracovnímu prostoru připojit jedním z následujících způsobů:
- Azure VPN Gateway – Připojení místní sítě k virtuální síti přes privátní připojení. Připojení ion se provádí přes veřejný internet. Existují dva typy bran VPN, které můžete použít:
  - Point-to-site: Každý klientský počítač používá klienta VPN pro připojení k virtuální síti.
  - Site-to-site: Zařízení VPN připojí virtuální síť k místní síti.
- ExpressRoute – Připojení místní sítě do cloudu přes privátní připojení. Připojení ion se provádí pomocí poskytovatele připojení.
- Azure Bastion – V tomto scénáři vytvoříte virtuální počítač Azure (někdy označovaný jako jump box) ve virtuální síti. Pak se k virtuálnímu počítači připojíte pomocí služby Azure Bastion. Bastion umožňuje připojení k virtuálnímu počítači pomocí relace RDP nebo SSH z místního webového prohlížeče. Pak jako vývojové prostředí použijete jump box. Vzhledem k tomu, že se nachází ve virtuální síti, má přímý přístup k pracovnímu prostoru.

Vzhledem k tomu, že spravovaná virtuální síť pracovního prostoru má přístup k internetu v této konfiguraci, můžete pracovat se všemi kolekcemi v katalogu modelů z pracovního prostoru.

Virtuální síť spravovaná pracovním prostorem pro povolení pouze schválených odchozích přenosů

Nakonfigurujte pracovní prostor podle spravovaná izolace sítě pracovního prostoru. V kroku 3 kurzu při výběru přístupu spravovaného odchozího přístupu pracovního prostoru vyberte Povolit pouze schválené odchozí přenosy.
Pokud nastavíte přístup k veřejné síti k pracovnímu prostoru tak, aby byl zakázaný, můžete se k tomuto pracovnímu prostoru připojit pomocí jedné z metod uvedených v kroku 2 tohoto kurzu pro odchozí internetové přenosy.
Pracovní prostor spravuje virtuální síť je nastavený na povolenou pouze konfiguraci. Musíte přidat odpovídající uživatelem definované odchozí pravidlo, které povolí všechny relevantní plně kvalifikované názvy domén.
1. Na tomto odkazu najdete seznam plně kvalifikovaných názvů domén požadovaných pro kurátorovanou kolekci Azure AI.
2. Na tomto odkazu najdete seznam plně kvalifikovaných názvů domén požadovaných pro kolekci Hugging Face( Hugging Face).

Práce s opensourcovými modely kurátorovanými službou Azure Machine Učení

Virtuální síť spravovaná pracovním prostorem umožňující pouze schválené odchozí přenosy používá zásadu koncového bodu služby pro azure machine Učení spravované účty úložiště, aby pomohla přistupovat k modelům v kolekcích kurátorovaných službou Azure Machine Učení předem. Tento režim konfigurace pracovního prostoru má také výchozí odchozí provoz do služby Microsoft Container Registry, která obsahuje image Dockeru použitou k nasazení modelů.

Jazykové modely v kolekci Kurátorované podle Azure AI

Tyto modely zahrnují dynamickou instalaci závislostí za běhu. Pokud chcete přidat pravidlo definované uživatelem pro odchozí provoz, postupujte podle kroku 4: Pokud chcete použít kurátorovanou kolekci Azure AI, měli by uživatelé na úrovni pracovního prostoru přidat uživatelsky definovaná odchozí pravidla pro následující plně kvalifikované názvy domén:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Podle kroku 4 v kurzu spravované virtuální sítě přidejte odpovídající pravidla odchozích přenosů definovaná uživatelem.

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.

Metasbídka

Uživatelé můžou s touto kolekcí pracovat v izolovaných pracovních prostorech sítě bez dalších pravidel definovaných uživatelem odchozích přenosů.

Poznámka:

Do katalogu modelů se často přidávají nové kurátorované kolekce. Tuto dokumentaci aktualizujeme tak, aby odrážela podporu v privátních sítích pro různé kolekce.

Práce s kolekcí Hugging Face

Váhy modelu nejsou hostované v Azure, pokud používáte registr Hugging Face. Váhy modelu se stáhnou přímo z centra Hugging Face do online koncových bodů ve vašem pracovním prostoru během nasazování. Uživatelé musí přidat následující pravidla odchozích plně kvalifikovaných názvů domén pro Hugging Face Hub, Docker Hub a jejich sítě CDN, aby povolili provoz do následujících hostitelů:

docker.io
huggingface.co
production.cloudflare.docker.com
cdn-lfs.huggingface.co
cdn.auth0.com