Biztonságos hozzáférés konfigurálása felügyelt identitásokkal és virtuális hálózatokkal
Ez a tartalom a következőre vonatkozik::v4.0 (előzetes verzió)v3.1 (GA)v3.0 (GA)v2.1 (GA)
Ez az útmutató végigvezeti a dokumentumintelligencia-erőforrás biztonságos kapcsolatainak engedélyezésén. A következő kapcsolatokat biztonságossá teheti:
Kommunikáció egy virtuális hálózaton (
VNET
) belüli ügyfélalkalmazás és a dokumentumintelligencia-erőforrás között.Kommunikáció a Document Intelligence Studio és a Dokumentumintelligencia-erőforrás között.
Kommunikáció a Dokumentumintelligencia-erőforrás és egy tárfiók között (egyéni modell betanításakor szükséges).
A környezetet az erőforrások védelmére állítja be:
Előfeltételek
A kezdéshez a következők szükségesek:
Aktív Azure-fiók – ha nem rendelkezik ilyen fiókkal, létrehozhat egy ingyenes fiókot.
Dokumentumintelligencia- vagy Azure AI-szolgáltatási erőforrás az Azure Portalon. Részletes lépésekért lásd: Többszolgáltatásos erőforrás létrehozása.
Egy Azure Blob Storage-fiók ugyanabban a régióban, mint a Dokumentumintelligencia-erőforrás. Tárolók létrehozása a blobadatok tárfiókon belüli tárolásához és rendszerezéséhez.
Egy Azure-beli virtuális hálózat , amely ugyanabban a régióban található, mint a Dokumentumintelligencia-erőforrás. Hozzon létre egy virtuális hálózatot az alkalmazáserőforrások üzembe helyezéséhez modellek betanítása és dokumentumok elemzése érdekében.
Egy Windows vagy Linux/Ubuntu rendszerű Azure-beli adatelemzési virtuális gép, amely opcionálisan üzembe helyez egy adatelemzési virtuális gépet a virtuális hálózaton a létesített biztonságos kapcsolatok teszteléséhez.
Erőforrások konfigurálása
Konfigurálja az egyes erőforrásokat úgy, hogy az erőforrások kommunikálhassanak egymással:
Konfigurálja a Document Intelligence Studiót az újonnan létrehozott Dokumentumintelligencia-erőforrás használatára a beállítások lap eléréséhez és az erőforrás kiválasztásához.
Győződjön meg arról, hogy a konfiguráció működik a Read API kiválasztásával és egy mintadokumentum elemzésével. Ha az erőforrás megfelelően lett konfigurálva, a kérés sikeresen befejeződött.
Adjon hozzá egy betanítási adatkészletet egy tárolóhoz a létrehozott Storage-fiókban.
Egyéni projekt létrehozásához válassza ki az egyéni modell csempét. Győződjön meg arról, hogy ugyanazt a dokumentumintelligencia-erőforrást és az előző lépésben létrehozott tárfiókot választja ki.
Válassza ki a tárolót az előző lépésben feltöltött betanítási adatkészlettel. Győződjön meg arról, hogy ha a betanítási adatkészlet egy mappán belül van, a mappa elérési útja megfelelően van beállítva.
Győződjön meg arról, hogy rendelkezik a szükséges engedélyekkel, a Studio beállítja a tárfiók eléréséhez szükséges CORS-beállítást. Ha nem rendelkezik az engedélyekkel, a folytatás előtt meg kell győződnie arról, hogy a CORS-beállítások konfigurálva vannak a Tárfiókban.
Győződjön meg arról, hogy a Studio úgy van konfigurálva, hogy hozzáférjen a betanítási adatokhoz. Ha a dokumentumok a címkézési felületen jelennek meg, az összes szükséges kapcsolat létrejön.
Most már rendelkezik az alapértelmezett biztonsági modellel rendelkező Dokumentumintelligencia-megoldás létrehozásához szükséges összes összetevő működőképes implementációjával:
Ezután hajtsa végre a következő lépéseket:
Felügyelt identitás konfigurálása a Dokumentumintelligencia-erőforráson.
Biztonságossá teheti a tárfiókot, hogy csak bizonyos virtuális hálózatokról és IP-címekről korlátozza a forgalmat.
Konfigurálja a dokumentumintelligencia által felügyelt identitást a tárfiókkal való kommunikációhoz.
Tiltsa le a dokumentumintelligencia-erőforráshoz való nyilvános hozzáférést, és hozzon létre egy privát végpontot. Az erőforrás ezután csak meghatározott virtuális hálózatokról és IP-címekről érhető el.
Adjon hozzá egy privát végpontot a tárfiókhoz egy kijelölt virtuális hálózaton.
Győződjön meg arról, hogy modelleket taníthat be és elemezhet dokumentumokat a virtuális hálózaton belül.
Felügyelt identitás beállítása a dokumentumintelligencia-szolgáltatáshoz
Lépjen a Dokumentumintelligencia-erőforrásra az Azure Portalon, és válassza az Identitás lapot. Kapcsolja be a rendszer által hozzárendelt felügyelt identitást , és mentse a módosításokat:
A Tárfiók védelme
A biztonságos kommunikáció konfigurálásához navigáljon a Storage-fiók Hálózatkezelés lapjára az Azure Portalon.
A Tűzfalak és virtuális hálózatok területen válassza a Nyilvános hálózatok hozzáférési listájában a kiválasztott virtuális hálózatok és IP-címek közül az Engedélyezve lehetőséget.
Győződjön meg arról, hogy a Kivételek listában ki van jelölve, hogy a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások hozzáférhessenek ehhez a tárfiókhoz.
Mentse a módosításokat.
Feljegyzés
A tárfiók nem lesz elérhető a nyilvános internetről.
Ha frissíti az egyéni modell címkézési oldalát a Studióban, hibaüzenet jelenik meg.
Tárterülethez való hozzáférés engedélyezése a Dokumentumintelligencia szolgáltatásból
Ahhoz, hogy a Dokumentumintelligencia-erőforrás hozzáférhessen a betanítási adatkészlethez, hozzá kell adnia egy szerepkör-hozzárendelést a felügyelt identitáshoz.
Az Azure Portal tárfiókablakában maradva lépjen a bal oldali navigációs sáv Hozzáférés-vezérlés (IAM) lapjára.
Válassza a Szerepkör-hozzárendelés hozzáadása gombot.
A Szerepkör lapon keresse meg és válassza ki a Storage Blob Adatolvasó engedélyét, majd válassza a Tovább gombot.
A Tagok lapon válassza a Felügyelt identitás lehetőséget, majd a + Tagok kijelölése lehetőséget
A Felügyelt identitások kiválasztása párbeszédpanelen válassza a következő beállításokat:
Előfizetés. Válassza ki előfizetését.
Felügyelt identitás. Válassza az Űrlap-felismerő lehetőséget.
Válassza ki. Válassza ki a felügyelt identitással engedélyezett Dokumentumintelligencia-erőforrást.
Zárja be a párbeszédpanel ablakát.
Végül válassza a Véleményezés + hozzárendelés lehetőséget a módosítások mentéséhez.
Nagyszerű! A Dokumentumintelligencia-erőforrást úgy konfigurálta, hogy felügyelt identitással csatlakozzon egy tárfiókhoz.
Tipp.
A Document Intelligence Studio kipróbálásakor látni fogja, hogy a READ API és más előre összeállított modellek nem igényelnek tárterület-hozzáférést a dokumentumok feldolgozásához. Az egyéni modellek betanítása azonban további konfigurációt igényel, mert a Studio nem tud közvetlenül kommunikálni egy tárfiókkal. A tárterület-hozzáférés engedélyezéséhez válassza az Ügyfél IP-címének hozzáadása lehetőséget a tárfiók Hálózatkezelés lapján úgy, hogy a gép IP-engedélyezési listával férhessen hozzá a tárfiókhoz.
Privát végpontok konfigurálása az s-ből való VNET
hozzáféréshez
Feljegyzés
Az erőforrások csak a virtuális hálózatról érhetők el.
A Studio egyes dokumentumintelligencia-funkciói, például az automatikus címke megkövetelik, hogy a Document Intelligence Studio hozzáférhessen a tárfiókhoz.
Adja hozzá a Studio 20.3.165.95-ös IP-címét a dokumentumintelligencia- és tárfiók-erőforrások tűzfalengedélyezési listájához. Ez a Document Intelligence Studio dedikált IP-címe, és biztonságosan engedélyezhető.
Amikor egy virtuális hálózatból csatlakozik az erőforrásokhoz, a privát végpontok hozzáadása biztosítja, hogy a tárfiók és a dokumentumintelligencia-erőforrás is elérhető legyen a virtuális hálózatról.
Ezután konfigurálja úgy a virtuális hálózatot, hogy csak a virtuális hálózaton vagy a hálózaton keresztüli forgalmi útválasztón belüli erőforrások férhessenek hozzá a Dokumentumintelligencia-erőforráshoz és a tárfiókhoz.
Tűzfalak és virtuális hálózatok engedélyezése
Az Azure Portalon keresse meg a Dokumentumintelligencia-erőforrást.
A bal oldali navigációs sávon válassza a Hálózatkezelés lapot.
Engedélyezze a Kiválasztott hálózatkezelés és privát végpontok lehetőséget a Tűzfalak és a virtuális hálózatok lapon, és válassza a Mentés lehetőséget.
Feljegyzés
Ha megpróbál hozzáférni a Document Intelligence Studio bármely funkcióhoz, egy hozzáférés-megtagadási üzenet jelenik meg. Ha engedélyezni szeretné a hozzáférést a gépén lévő Studióból, jelölje be az Ügyfél IP-címének hozzáadása jelölőnégyzetet, a hozzáférés visszaállításához pedig a Mentés jelölőnégyzetet.
A privát végpont konfigurálása
Lépjen a Privát végpont kapcsolatai lapra, és válassza ki a + Privát végpontot. Ekkor megnyitja a Privát végpont létrehozása párbeszédpanelt.
A Privát végpont létrehozása párbeszédpanelen válassza a következő beállításokat:
Előfizetés. Válassza ki a számlázási előfizetését.
Erőforráscsoport. Válassza ki a megfelelő erőforráscsoportot.
Név. Adja meg a privát végpont nevét.
Régió. Válassza ki ugyanazt a régiót, mint a virtuális hálózat.
Válassza a Tovább: Erőforrás lehetőséget.
A virtuális hálózat konfigurálása
Az Erőforrás lapon fogadja el az alapértelmezett értékeket, és válassza a Tovább: Virtuális hálózat lehetőséget.
A Virtuális hálózat lapon győződjön meg arról, hogy kiválasztja a létrehozott virtuális hálózatot.
Ha több alhálózattal rendelkezik, válassza ki azt az alhálózatot, amelyhez a privát végpontot csatlakoztatni szeretné. Fogadja el az alapértelmezett értéket az IP-cím dinamikus lefoglalásához.
Válassza a Tovább elemet : DNS
Fogadja el az alapértelmezett Igen értéket a privát DNS-zónával való integrációhoz.
Fogadja el a fennmaradó alapértelmezett értékeket, és válassza a Tovább: Címkék lehetőséget.
Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.
Szép munka! A dokumentumintelligencia-erőforrás most már csak a virtuális hálózatról és az IP-engedélyezési listán szereplő IP-címekről érhető el.
Privát végpontok konfigurálása tároláshoz
Lépjen a tárfiókjára az Azure Portalon.
A bal oldali navigációs menüBen válassza a Hálózatkezelés lapot.
Válassza a Privát végponti kapcsolatok lapot.
Válassza a Hozzáadás + Privát végpont lehetőséget.
Adjon meg egy nevet, és válassza ki ugyanazt a régiót, mint a virtuális hálózat.
Válassza a Tovább: Erőforrás lehetőséget.
Az erőforrás lapon válassza ki a blobot a Cél alerőforrás listájából.
válassza a Tovább: Virtuális hálózat lehetőséget.
Válassza ki a virtuális hálózatot és az alhálózatot. Győződjön meg arról, hogy az alhálózat összes privát végpontjának hálózati házirendjeinek engedélyezése be van jelölve, és a dinamikusan lefoglalt IP-cím engedélyezve van.
Válassza a Következő: DNS lehetőséget.
Győződjön meg arról, hogy az Igen engedélyezve van a privát DNS-zónával való integrációhoz.
Válassza a Következő: Címkék lehetőséget.
Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.
Szép munka! Most már rendelkezik a dokumentumintelligencia-erőforrás és a felügyelt identitások használatára konfigurált tároló közötti összes kapcsolattal.
Feljegyzés
Az erőforrások csak a virtuális hálózatról és az engedélyezett IP-címekről érhetők el.
A Studio hozzáférése és elemzése a Dokumentumintelligencia-erőforráshoz érkező kérések sikertelenek lesznek, kivéve, ha a kérés a virtuális hálózatról származik, vagy a virtuális hálózaton keresztül van irányítva.
Az üzembe helyezés ellenőrzése
Az üzembe helyezés ellenőrzéséhez üzembe helyezhet egy virtuális gépet (VM) a virtuális hálózaton, és csatlakozhat az erőforrásokhoz.
Konfiguráljon egy Adattudomány virtuális gépet a virtuális hálózaton.
Csatlakozzon távolról a virtuális géphez az asztalról, és nyisson meg egy böngésző munkamenetet, amely hozzáfér a Document Intelligence Studióhoz.
A kérések elemzése és a betanítási műveleteknek most már sikeresen működnie kell.
Ennyi az egész! Mostantól biztonságos hozzáférést konfigurálhat a dokumentumintelligencia-erőforráshoz felügyelt identitásokkal és privát végpontokkal.
Gyakori hibaüzenetek
Nem sikerült elérni a Blob-tárolót:
Megoldás:
Győződjön meg arról, hogy az ügyfélszámítógép hozzáfér a Dokumentumintelligencia-erőforráshoz és a tárfiókhoz, vagy ugyanabban
VNET
az állapotban van, vagy az ügyfél IP-címe engedélyezve van a hálózati > tűzfalakban és a virtuális hálózatokban mind a dokumentumintelligencia-erőforrás, mind a tárfiók beállítási lapján.
AuthorizationFailure:
Megoldás: Győződjön meg arról, hogy az ügyfélszámítógép hozzáfér a Dokumentumintelligencia-erőforráshoz és a tárfiókhoz, vagy ugyanabban
VNET
az állapotban van, vagy az ügyfél IP-címe engedélyezve van a hálózati > tűzfalakban és a virtuális hálózatokban a Dokumentumintelligencia-erőforrás és a tárfiók beállításlapján.ContentSourceNotAccessible:
Megoldás: Győződjön meg arról, hogy a dokumentumintelligencia által felügyelt identitásnak megadja a Storage Blob-adatolvasó és az engedélyezett megbízható szolgáltatások hozzáférését vagy az erőforráspéldány-szabályokat a hálózatkezelés lapon.
AccessDenied:
Megoldás: Ellenőrizze, hogy van-e kapcsolat a Document Intelligence Studióhoz hozzáférő számítógép és a Dokumentumintelligencia szolgáltatás között. Előfordulhat például, hogy engedélyeznie kell az ügyfél IP-címét a hálózati > tűzfalakban, valamint a virtuális hálózatok beállítási lapját mind a Dokumentumintelligencia-erőforrás, mind a tárfiók esetében.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: