Konfigurieren einer privaten Verbindung für Azure KI-Hub

Hinweis

Azure KI Studio befindet sich derzeit in der öffentlichen Vorschau. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und sollte nicht für Produktionsworkloads verwendet werden. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Wir haben zwei Aspekte der Netzwerkisolation. Eine ist die Netzwerkisolation für den Zugriff auf einen Azure KI-Hub. Eine andere ist die Netzwerkisolation von Computeressourcen in Ihrer Azure KI-Hub-Instanz und Ihren Azure KI-Projekten wie Compute-Instanzen, serverlos und verwaltete Onlineendpunkte. In diesem Artikel wird der vorherige, im Diagramm hervorgehobene Punkt erklärt. Sie können eine private Verbindung verwenden, um die private Verbindung mit Ihrem Azure KI-Hub und seinen Standardressourcen herzustellen. Dieser Artikel richtet sich an Azure KI Studio (KI-Hub- und KI-Projekte). Informationen zu Azure KI Services finden Sie in der Dokumentation zu Azure KI Services.

Sie erhalten mehrere Azure KI-Hub-Standardressourcen in Ihrer Ressourcengruppe. Sie müssen die folgenden Konfigurationen für die Netzwerkisolation konfigurieren.

• Deaktivieren Sie den öffentlichen Netzwerkzugriff von Azure KI-Hub-Standardressourcen wie Azure Storage, Azure Key Vault und Azure Container Registry.
• Richten Sie eine private Endpunktverbindung mit den Azure KI-Hub-Standardressourcen ein. Sie müssen sowohl einen privaten Blob- und als auch einen privaten Endpunkt für das Standardspeicherkonto besitzen.
• Konfigurationen verwalteter Identitäten, um Azure KI-Hubressourcen den Zugriff auf Ihr Speicherkonto zu ermöglichen, wenn es privat ist.
• Azure KI Services und Azure KI-Suche sollten öffentlich sein.

Voraussetzungen

• Sie benötigen ein vorhandenes Azure Virtual Network, in dem der private Endpunkt erstellt werden soll.

  Wichtig

  Es wird nicht empfohlen, den IP-Adressbereich 172.17.0.0/16 für Ihr VNet zu verwenden. Dies ist der Standardsubnetzbereich, der vom Docker-Brückennetzwerk oder lokal verwendet wird.

• Sie müssen die privaten Endpunkt-Netzwerkrichtlinien deaktivieren bevor sie private Endpunkte hinzufügen.

Erstellen einer Azure KI-Instanz, die einen privaten Endpunkt verwendet

Verwenden Sie eine der folgenden Methoden, um eine Azure KI-Hubressource mit einem privaten Endpunkt zu erstellen. Jede dieser Methoden erfordert ein vorhandenes virtuelles Netzwerk:

Azure portal

1. Wechseln Sie im Azure-Portal zu Azure KI Studio, und wählen Sie + Neue Azure KI-Instanz aus.
2. Wählen Sie den Netzwerkisolationsmodus auf der Registerkarte Netztechnologie aus.
3. Scrollen Sie nach unten zum Eingehenden Zugriff des Arbeitsbereichs, und wählen Sie + Hinzufügen aus.
4. Geben Sie die erforderlichen Felder ein. Wählen Sie beim Festlegen von Region die gleiche Region wie für Ihr virtuelles Netzwerk aus.

Azure-Befehlszeilenschnittstelle

Erstellen Sie Ihre Azure KI-Hubressource mit der Azure KI CLI. Führen Sie den folgenden Befehl aus, und befolgen Sie die Eingabeaufforderungen. Weitere Informationen finden Sie unter Erste Schritte mit der Azure KI CLI.

ai init

Nachdem Sie die Azure KI-Hub-Instanz erstellt haben, verwenden Sie die Azure Netztechnologie-CLI-Befehle, um einen privaten Verbindungsendpunkt für die Azure KI-Instanz zu erstellen.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Um die privaten DNS-Zoneneinträge für den Arbeitsbereich zu erstellen, verwenden Sie die folgenden Befehle:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Hinzufügen eines privaten Endpunkts zu einer Azure KI-Hub-Instanz

Verwenden Sie eine der folgenden Methoden, um einer vorhandenen Azure KI-Hub-Instanz einen privaten Endpunkt hinzuzufügen:

Azure portal

1. Wählen Sie im Azure-Portal Ihre Azure KI-Hub-Instanz aus.
2. Wählen Sie links auf der Seite die Option Netzwerk und dann die Registerkarte Private Endpunktverbindungen aus.
3. Wählen Sie beim Festlegen von Region die gleiche Region wie für Ihr virtuelles Netzwerk aus.
4. Verwenden Sie beim Auswählen des Ressourcentyps den Wert azuremlworkspace.
5. Legen Sie Ressource auf den Namen des Arbeitsbereichs fest.

Wählen Sie abschließend Erstellen aus, um den privaten Endpunkt zu erstellen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie die Azure-Netztechnologie-CLI-Befehle, um einen privaten Verbindungsendpunkt für die Azure KI-Hub-Instanz zu erstellen.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Um die privaten DNS-Zoneneinträge für den Arbeitsbereich zu erstellen, verwenden Sie die folgenden Befehle:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Entfernen eines privaten Endpunkts

Sie können einen oder alle privaten Endpunkte für eine Azure KI-Hub-Instanz entfernen. Wenn Sie einen privaten Endpunkt entfernen, wird die Azure KI-Hub-Instanz aus dem Azure Virtual Network entfernt, dem der Endpunkt zugeordnet war. Das Entfernen des privaten Endpunkts kann die Azure KI-Hub-Instanz daran hindern, auf Ressourcen in diesem virtuellen Netzwerk zuzugreifen, oder Ressourcen im virtuellen Netzwerk daran hindern, auf den Arbeitsbereich zuzugreifen. Wenn das virtuelle Netzwerk z. B. keinen Zugriff auf das öffentliche Internet oder vom öffentlichen Internet gestattet.

Warnung

Wenn Sie die privaten Endpunkte für einen KI-Hub entfernen, wird dieser nicht öffentlich zugänglich. Um den KI-Hub öffentlich zugänglich zu machen, verwenden Sie die Schritte im Abschnitt Aktivieren des öffentlichen Zugriffs.

Verwenden Sie die folgenden Informationen, um einen privaten Endpunkt zu entfernen:

Azure portal

1. Wählen Sie im Azure-Portal Ihre Azure KI-Hub-Instanz aus.
2. Wählen Sie links auf der Seite die Option Netzwerk und dann die Registerkarte Private Endpunktverbindungen aus.
3. Wählen Sie den zu entfernende Endpunkt und dann Entfernen aus.

Azure-Befehlszeilenschnittstelle

Verwenden Sie bei Verwendung der Azure CLI den folgenden Befehl, um den privaten Endpunkt zu entfernen:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Aktivieren des öffentlichen Zugriffs

Es kann Situationen geben, in denen Sie jemandem ermöglichen möchten, eine Verbindung mit Ihrer geschützten Azure KI-Hub-Instanz über einen öffentlichen Endpunkt (anstatt über das VNET) herzustellen. Alternativ könnten Sie den Arbeitsbereich aus dem virtuellen Netzwerk entfernen und den öffentlichen Zugriff erneut aktivieren.

Wichtig

Die Aktivierung des öffentlichen Zugriffs entfernt keine vorhandenen privaten Endpunkte. Die gesamte Kommunikation zwischen den Komponenten hinter dem virtuellen Netzwerk, mit dem die privaten Endpunkte verbunden sind, ist weiterhin gesichert. Der öffentliche Zugriff wird nur für die Azure KI-Hub-Instanz ermöglicht, zusätzlich zum privaten Zugriff über alle privaten Endpunkte.

Verwenden Sie die folgenden Schritte, um den öffentlichen Zugriff zu aktivieren:

Azure portal

1. Wählen Sie im Azure-Portal Ihre Azure KI-Hub-Instanz aus.
2. Wählen Sie links auf der Seite die Option Netzwerk und dann die Registerkarte Öffentlicher Zugriff aus.
3. Wählen Sie Aus allen Netzwerken aktiviert und dann Speichern aus.

Azure-Befehlszeilenschnittstelle

In der KI CLI nicht verfügbar, aber Sie können die Azure Machine Learning CLI verwenden. Verwenden Sie den Namen Ihres Azure KI-Hubs als Arbeitsbereichsnamen in der Azure Machine Learning CLI.

Konfiguration der verwalteten Identität

Eine Konfiguration mit verwalteter Identität ist erforderlich, wenn Sie Ihr Speicherkonto als privat festlegen. Unsere Dienste müssen Daten in Ihrem privaten Speicherkonto lesen/schreiben, indem Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto. mit den folgenden Konfigurationen verwalteter Identitäten verwendet wird. Aktivieren Sie die systemseitig zugewiesene verwaltete Identität von Azure KI Services und Azure KI Search, und konfigurieren Sie dann die rollenbasierte Zugriffssteuerung für jede verwaltete Identität.

Role	Verwaltete Identität	Ressource	Zweck	Verweis
Storage File Data Privileged Contributor	Azure KI-Projekt	Speicherkonto	prompt flow-Daten für Lese-/Schreibzugriff	prompt flow-Dokumentation
Storage Blob Data Contributor	Azure KI Services	Speicherkonto	Lesen aus dem Eingabecontainer, Schreiben des vorverarbeiteten Ergebnisses in den Ausgabecontainer	Azure OpenAI-Dokumentation
Storage Blob Data Contributor	Azure KI Cognitive Search	Speicherkonto	Lesen von Blobs und Schreiben in den Wissensspeicher	Dokumentation zu Suchdiensten.

Benutzerdefinierte DNS-Konfiguration

Informationen zu den DNS-Weiterleitungskonfigurationen finden Sie im Azure Machine Learning-Artikel für benutzerdefiniertes DNS.

Wenn Sie einen benutzerdefinierten DNS-Server ohne DNS-Weiterleitung konfigurieren müssen, verwenden Sie die folgenden Muster für die erforderlichen A-Einträge.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Hinweis

  Der Arbeitsbereichsname für diesen FQDN wird unter Umständen abgeschnitten. Hierdurch wird das Limit von 63 Zeichen oder weniger für ml-<workspace-name, truncated>-<region>-<workspace-guid> eingehalten.

• <instance-name>.<region>.instances.azureml.ms

  Hinweis

  • Auf Compute-Instanzen kann nur innerhalb des virtuellen Netzwerks zugegriffen werden.
  • Die IP-Adresse für diesen vollqualifizierten Domänennamen ist nicht die IP-Adresse der Compute-Instanz. Verwenden Sie stattdessen die private IP-Adresse des privaten Arbeitsbereichsendpunkts (die IP-Adresse der *.api.azureml.ms-Einträge).

• <managed online endpoint name>.<region>.inference.ml.azure.com: Wird von verwalteten Onlineendpunkten verwendet.

Informationen zu den privaten IP-Adressen für Ihre A-Einträge finden Sie im Azure Machine Learning-Artikel für benutzerdefiniertes DNS. Um die AI-PROJECT-GUID zu überprüfen, wechseln Sie zum Azure-Portal, wählen Sie Ihr Azure KI-Projekt, Einstellungen, Eigenschaften und die Arbeitsbereichs-ID aus.

Begrenzungen

• Private Instanzen von Azure KI Services und Azure KI Search werden nicht unterstützt.
• Das Feature „Daten hinzufügen“ im Azure KI Studio-Playground unterstützt kein privates Speicherkonto.
• Wenn Sie Mozilla Firefox verwenden, treten möglicherweise Probleme beim Zugriff auf den privaten Endpunkt für Ihre Azure KI-Hub-Instanz auf. Dieses Problem kann im Zusammenhang mit DNS über HTTPS in Mozilla Firefox stehen. Es wird empfohlen, Microsoft Edge oder Google Chrome zu verwenden.

Nächste Schritte

• Erstellen eines Azure KI-Projekts
• Weitere Informationen zu Azure KI Studio
• Weitere Informationen zu Azure KI-Hubressourcen
• Behandeln von Problemen im Zusammenhang mit sicherer Projektkonnektivität