Verwenden von Modellkatalogsammlungen mit vom Arbeitsbereich verwaltetem virtuellen Netzwerk
In diesem Artikel erfahren Sie, wie Sie die verschiedenen Auflistungen im Modellkatalog innerhalb eines isolierten Netzwerks verwenden können.
Ein vom Arbeitsbereich verwaltetes virtuelles Netzwerk ist die empfohlene Methode, um die Netzwerkisolation im Modellkatalog zu unterstützen. Es bietet eine einfache Konfiguration, um Ihren Arbeitsbereich zu schützen. Nachdem Sie das verwaltete virtuelle Netzwerk auf Arbeitsbereichsebene aktiviert haben, verwenden Ressourcen im Zusammenhang mit dem Arbeitsbereich im selben virtuellen Netzwerk die gleiche Netzwerkeinstellung auf Arbeitsbereichsebene. Sie können den Arbeitsbereich auch so konfigurieren, dass er private Endpunkte für den Zugriff auf andere Azure-Ressourcen wie Azure OpenAI verwendet. Darüber hinaus können Sie die FQDN-Regel so konfigurieren, dass ausgehende Ressourcen genehmigt werden, die für die Verwendung einiger Auflistungen im Modellkatalog erforderlich sind. Siehe Verwaltete Netzwerkisolation auf Arbeitsbereichsebene, um ein vom Arbeitsbereich verwaltetes virtuelles Netzwerk zu aktivieren.
Das verwaltete virtuelle Netzwerk wird erst erstellt, wenn eine Computeressource erstellt oder die Bereitstellung manuell gestartet wird. Sie können den folgenden Befehl verwenden, um die Netzwerkbereitstellung manuell auszulösen.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Vom Arbeitsbereich verwaltetes virtuelles Netzwerk zum Zulassen von ausgehendem Internetdatenverkehr
Konfigurieren Sie einen Arbeitsbereich mit verwaltetem virtuellen Netzwerk, um ausgehenden Internetdatenverkehr zuzulassen, indem Sie die hier aufgeführten Schritte ausführen.
Wenn Sie den öffentlichen Netzwerkzugriff auf den Arbeitsbereich auf „deaktiviert“ festlegen, können Sie eine Verbindung mit dem Arbeitsbereich mit einer der folgenden Methoden herstellen:
Azure VPN-Gateway: Verbindet lokale Netzwerke über eine private Verbindung mit dem virtuellen Netzwerk. Die Verbindung wird über das öffentliche Internet hergestellt. Es gibt zwei Arten von VPN Gateways, die Sie verwenden können:
- Point-to-Site: Jeder Clientcomputer verwendet einen VPN-Client, um eine Verbindung mit dem virtuellen Netzwerk herzustellen.
- Site-to-Site: Ein VPN-Gerät verbindet das virtuelle Netzwerk mit Ihrem lokalen Netzwerk.
ExpressRoute: Verbindet lokale Netzwerke über eine private Verbindung mit der Cloud. Die Verbindung wird über einen Konnektivitätsanbieter hergestellt.
Azure Bastion: In diesem Szenario erstellen Sie einen virtuellen Azure-Computer (manchmal auch als Jumpbox bezeichnet) im virtuellen Netzwerk. Anschließend stellen Sie mit Azure Bastion eine Verbindung mit dem virtuellen Computer her. Bastion ermöglicht es Ihnen, über eine RDP- oder SSH-Sitzung in Ihrem lokalen Webbrowser eine Verbindung mit dem virtuellen Computer herzustellen. Anschließend verwenden Sie die Jumpbox als Entwicklungsumgebung. Da er sich im virtuellen Netzwerk befindet, kann er direkt auf den Arbeitsbereich zugreifen.
Da das vom Arbeitsbereich verwaltete virtuelle Netzwerk in dieser Konfiguration auf das Internet zugreifen kann, können Sie mit allen Sammlungen im Modellkatalog innerhalb des Arbeitsbereichs arbeiten.
Vom Arbeitsbereich verwaltetes virtuelles Netzwerk, um nur genehmigten ausgehenden Datenverkehr zuzulassen
- Konfigurieren Sie einen Arbeitsbereich, indem Sie die vom Arbeitsbereich verwaltete Netzwerkisolierung befolgen. Wählen Sie in Schritt 3 des Tutorials beim Auswählen des vom Arbeitsbereich verwalteten ausgehenden ZugriffsNur genehmigten ausgehenden Datenverkehr zulassen aus.
- Wenn Sie den öffentlichen Netzwerkzugriff auf den Arbeitsbereich auf deaktiviert setzen, können Sie eine Verbindung zum Arbeitsbereich mit einer der Methoden herstellen, die in Schritt 2 des Abschnitts „Internetausgänge zulassen“ dieses Tutorials aufgeführt sind.
- Der Arbeitsbereich verwaltet virtuelles Netzwerk ist auf eine nur zulässige Konfiguration festgelegt. Sie müssen eine entsprechende benutzerdefinierte ausgehende Regel hinzufügen, um alle relevanten FQDNs zuzulassen.
- Folgen Sie diesem Link für eine Liste der FQDNs, die für die Kuratiert von Azure AI Sammlung erforderlich sind.
- Folgen Sie diesem Link für eine Liste der FQDNs, die für die Hugging Face Sammlung erforderlich sind.
Arbeiten mit von Azure Machine Learning kuratierten Open Source-Modellen
Das vom Arbeitsbereich verwaltete virtuelle Netzwerk, um nur genehmigte ausgehende Dienste zuzulassen, verwendet eine Dienstendpunktrichtlinie für verwaltete Azure Machine Learning-Speicherkonten, um auf die Modelle in den Sammlungen zuzugreifen, die von Azure Machine Learning in vordefinierter Weise zusammengestellt wurden. Dieser Modus der Arbeitsbereichskonfiguration verfügt auch über standardmäßig ausgehende Daten an die Microsoft-Containerregistrierung, die das Docker-Image enthält, das zum Bereitstellen der Modelle verwendet wird.
Sprachmodelle in der Sammlung „Kuratiert von Azure KI“
Diese Modelle beinhalten eine dynamische Installation von Abhängigkeiten zur Runtime. Um eine benutzerdefinierte ausgehende Regel hinzuzufügen, folgen Sie Schritt 4 der „So verwenden Sie die Kuratiert von Azure KI“-Sammlung. Benutzer sollten benutzerdefinierte ausgehende Regeln für die folgenden FQDNs auf Arbeitsbereichsebene hinzufügen:
*.anaconda.org*.anaconda.comanaconda.compypi.org*.pythonhosted.org*.pytorch.orgpytorch.org
Befolgen Sie Schritt 4 im Tutorial zum verwalteten virtuellen Netzwerk, um die entsprechenden benutzerdefinierten ausgehenden Regeln hinzuzufügen.
Warnung
FQDN-Ausgangsregeln werden mithilfe von Azure Firewall implementiert. Wenn Sie ausgehende FQDN-Regeln verwenden, sind Gebühren für Azure Firewall in Ihrer Abrechnung enthalten. Weitere Informationen finden Sie unter Preise.
Metasammlung
Benutzer*innen können mit dieser Sammlung in isolierten Netzwerkarbeitsbereichen arbeiten, ohne dass andere benutzerdefinierte ausgehende Regeln erforderlich sind.
Hinweis
Neue kuratierte Sammlungen werden häufig dem Modellkatalog hinzugefügt. Wir werden diese Dokumentation aktualisieren, um die Unterstützung in privaten Netzwerken für verschiedene Sammlungen widerzuspiegeln.
Arbeiten mit Hugging Face Collection
Die Modellgewichtungen werden nicht in Azure gehostet, wenn Sie die Hugging Face-Registrierung verwenden. Die Modellgewichtungen werden während der Bereitstellung direkt vom Hugging Face-Hub in die Onlineendpunkte in Ihrem Arbeitsbereich heruntergeladen. Benutzer*innen müssen die folgenden ausgehenden FQDNs-Regeln für Hugging Face Hub, Docker Hub und ihre CDNs hinzufügen, um Datenverkehr zu den folgenden Hosts zu ermöglichen:
docker.iohuggingface.coproduction.cloudflare.docker.comcdn-lfs.huggingface.cocdn.auth0.com
Befolgen Sie Schritt 4 im Tutorial zum verwalteten virtuellen Netzwerk, um die entsprechenden benutzerdefinierten ausgehenden Regeln hinzuzufügen.
Nächste Schritte
- Informationen zur Problembehandlung für verwaltetes virtuelles Netzwerk
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für