Felügyelt hálózat konfigurálása az Azure AI Studio Hubshoz

Fontos

A cikkben ismertetett funkciók némelyike csak előzetes verzióban érhető el. Ez az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem javasoljuk. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Két hálózati elkülönítési szempontunk van. Az egyik az Azure AI Studio-központ eléréséhez szükséges hálózati elkülönítés. Egy másik lehetőség a számítási erőforrások hálózati elkülönítése a központ és a projekt számára (például számítási példány, kiszolgáló nélküli és felügyelt online végpont).) Ez a dokumentum a diagramon kiemelt utóbbit ismerteti. A központi beépített hálózatelkülönítéssel megvédheti a számítási erőforrásokat.

A következő hálózati elkülönítési konfigurációkat kell konfigurálnia.

• Válassza a hálózatelkülönítési módot. Két lehetősége van: engedélyezi az internetes kimenő módot, vagy csak jóváhagyott kimenő módot engedélyez.
• Ha a Visual Studio Code-integrációt csak jóváhagyott kimenő mód engedélyezésével használja, hozzon létre teljes tartománynév kimenő szabályokat a Visual Studio Code használatát ismertető szakaszban leírtak szerint.
• Ha Csak jóváhagyott kimenő módban használja a HuggingFace modelleket, hozzon létre FQDN kimenő szabályokat a HuggingFace-modellek használata szakaszban.
• Ha az egyik nyílt forráskódú modellt csak jóváhagyott kimenő mód engedélyezésével használja, hozzon létre teljes tartománynévre vonatkozó kimenő szabályokat az Azure AI által válogatott szakaszban leírt módon.

Hálózatelkülönítési architektúra és elkülönítési módok

A felügyelt virtuális hálózatok elkülönítésének engedélyezésekor a rendszer létrehoz egy felügyelt virtuális hálózatot a központ számára. A központ számára létrehozott felügyelt számítási erőforrások automatikusan ezt a felügyelt virtuális hálózatot használják. A felügyelt virtuális hálózat privát végpontokat használhat a központ által használt Azure-erőforrásokhoz, például az Azure Storage-hoz, az Azure Key Vaulthoz és az Azure Container Registryhez.

A felügyelt virtuális hálózatról érkező kimenő forgalom három különböző konfigurációs móddal rendelkezik:

Kimenő mód	Leírás	Forgatókönyvek
Kimenő internet engedélyezése	Engedélyezze a felügyelt virtuális hálózatról érkező összes internetes kimenő forgalmat.	Korlátlan hozzáférést szeretne a gépi tanulási erőforrásokhoz az interneten, például Python-csomagokhoz vagy előre betanított modellekhez.1
Csak jóváhagyott kimenő forgalom engedélyezése	A kimenő forgalom szolgáltatáscímkék megadásával engedélyezett.	* Szeretné minimalizálni az adatkiszivárgás kockázatát, de a magánkörnyezetben minden szükséges gépi tanulási összetevőt elő kell készítenie. * Konfigurálja a kimenő hozzáférést a szolgáltatások, szolgáltatáscímkék vagy teljes tartománynevek jóváhagyott listájához.
Disabled (Letiltva)	A bejövő és kimenő forgalom nincs korlátozva.	Nyilvános bejövő és kimenő forgalmat szeretne a központból.

¹ A kimenő szabályokat csak jóváhagyott kimenő móddal használhatja, hogy ugyanazt az eredményt érje el, mint az internetes kimenő forgalom engedélyezése. A különbségek a következők:

• Mindig használjon privát végpontokat az Azure-erőforrások eléréséhez.
• Minden engedélyezni kívánt kimenő kapcsolathoz szabályokat kell hozzáadnia.
• A teljes tartománynév kimenő szabályainak hozzáadása növeli a költségeket , mivel ez a szabálytípus az Azure Firewallt használja. Kimenő FQDN-szabályok használata esetén az Azure Firewall díjai a számlázás részét képezik. További információt a Díjszabás című szakasz tartalmaz.
• A csak jóváhagyott kimenő forgalom engedélyezésének alapértelmezett szabályai úgy vannak kialakítva, hogy minimalizálják az adatkiszivárgás kockázatát. A hozzáadott kimenő szabályok növelhetik a kockázatot.

A felügyelt virtuális hálózat előre konfigurálva van a szükséges alapértelmezett szabályokkal. Emellett a központhoz való privát végpontkapcsolatokhoz, a központ alapértelmezett tárolójához, tárolóregisztrációs adatbázisához és kulcstartójához is konfigurálva van, ha privátként vannak konfigurálva, vagy a központi elkülönítési mód úgy van beállítva, hogy csak jóváhagyott kimenő forgalmat engedélyezzen. Az elkülönítési mód kiválasztása után csak más kimenő követelményeket kell figyelembe vennie, amelyeket esetleg fel kell vennie.

Az alábbi ábrán egy felügyelt virtuális hálózat látható, amely az internet kimenő forgalmának engedélyezésére van konfigurálva:

Az alábbi ábrán egy felügyelt virtuális hálózat látható, amely csak a jóváhagyott kimenő forgalom engedélyezésére van konfigurálva:

Feljegyzés

Ebben a konfigurációban a központ által használt tároló, kulcstartó és tárolóregisztrációs adatbázis privátként van megjelölve. Mivel privátként vannak megjelölve, a rendszer egy privát végpontot használ a velük való kommunikációhoz.

Előfeltételek

A cikkben ismertetett lépések végrehajtása előtt győződjön meg arról, hogy rendelkezik a következő előfeltételekkel:

Azure Portal

• Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

• A Microsoft.Network erőforrás-szolgáltatót regisztrálni kell az Azure-előfizetéshez. Ezt az erőforrás-szolgáltatót a központ használja a felügyelt virtuális hálózathoz tartozó privát végpontok létrehozásakor.

  Az erőforrás-szolgáltatók regisztrálásáról további információt az erőforrás-szolgáltató regisztrációjának hibáinak megoldása című témakörben talál.

• A felügyelt hálózat üzembe helyezésekor használt Azure-identitáshoz a következő Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) műveletek szükségesek a privát végpontok létrehozásához:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Azure CLI

• Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

• A Microsoft.Network erőforrás-szolgáltatót regisztrálni kell az Azure-előfizetéshez. Ezt az erőforrás-szolgáltatót a központ használja a felügyelt virtuális hálózathoz tartozó privát végpontok létrehozásakor.

  Az erőforrás-szolgáltatók regisztrálásáról további információt az erőforrás-szolgáltató regisztrációjának hibáinak megoldása című témakörben talál.

• A felügyelt hálózat üzembe helyezésekor használt Azure-identitáshoz a következő Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) műveletek szükségesek a privát végpontok létrehozásához:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Az Azure CLI és az ml Azure CLI bővítménye. További információ: A parancssori felület (v2) telepítése, beállítása és használata.

• A cikkben szereplő CLI-példák feltételezik, hogy a Bash (vagy kompatibilis) rendszerhéjat használja. Például linuxos rendszerből vagy Linuxos Windows-alrendszer.

• A cikkben ws szereplő Azure CLI-példák a központ nevét és rg az erőforráscsoport nevét jelölik. Szükség szerint módosítsa ezeket az értékeket, amikor a parancsokat az Azure-előfizetésével használja.

Python

• Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot. Próbálja ki az Azure Machine Learning ingyenes vagy fizetős verzióját.

• A Microsoft.Network erőforrás-szolgáltatót regisztrálni kell az Azure-előfizetéshez. Ezt az erőforrás-szolgáltatót a központ használja a felügyelt virtuális hálózathoz tartozó privát végpontok létrehozásakor.

  Az erőforrás-szolgáltatók regisztrálásáról további információt az erőforrás-szolgáltató regisztrációjának hibáinak megoldása című témakörben talál.

• A felügyelt hálózat üzembe helyezésekor használt Azure-identitáshoz a következő Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) műveletek szükségesek a privát végpontok létrehozásához:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Az Azure Machine Learning Python SDK 2-s verziója. Az SDK-ról további információt az Azure Machine Learninghez készült Python SDK v2 telepítése című témakörben talál.

• A cikkben szereplő példák feltételezik, hogy a kód a következő Pythonnal kezdődik. Ez a kód importálja a felügyelt virtuális hálózattal rendelkező központ létrehozásakor szükséges osztályokat, beállítja az Azure-előfizetés és az erőforráscsoport változóit, és létrehozza a következőt ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Korlátozások

• Az Azure AI Studio jelenleg nem támogatja a saját virtuális hálózat üzembe helyezését, csak a felügyelt virtuális hálózatok elkülönítését támogatja.
• Miután engedélyezte az Azure AI felügyelt virtuális hálózatának elkülönítését, nem tilthatja le.
• A felügyelt virtuális hálózat privát végpontkapcsolatot használ a privát erőforrások eléréséhez. Ön nem rendelkezhet egyszerre privát végponttal és szolgáltatásvégponttal is az Azure-erőforrásaihoz, például egy tárfiókhoz. Javasoljuk, hogy minden forgatókönyvben privát végpontokat használjon.
• A felügyelt virtuális hálózat az Azure AI törlésekor törlődik.
• Az adatkiszivárgás elleni védelem automatikusan engedélyezve van az egyetlen jóváhagyott kimenő módhoz. Ha Ön más kimenő szabályokat, például teljes tartományneveket ad hozzá, a Microsoft nem tudja garantálni, hogy Ön védve legyen az adatoknak az adott kimenő célhelyekre történő kiszivárgása ellen.
• A teljes tartománynév kimenő szabályainak használata növeli a felügyelt virtuális hálózat költségeit, mivel a teljes tartománynév szabályai az Azure Firewallt használják. További információt a Díjszabás című szakasz tartalmaz.
• A teljes tartománynév kimenő szabályai csak a 80-as és a 443-as portot támogatják.
• Ha egy számítási példányt felügyelt hálózattal használ, a az ml compute connect-ssh paranccsal csatlakozzon a számításhoz SSH használatával.

Felügyelt virtuális hálózat konfigurálása kimenő internetes forgalom engedélyezésére

Tipp.

A felügyelt virtuális hálózat létrehozását a rendszer elhalasztja, amíg létre nem jön egy számítási erőforrás, vagy manuálisan nem indítja el a kiépítést. Az automatikus létrehozás engedélyezése körülbelül 30 percet vehet igénybe az első számítási erőforrás létrehozásakor, mivel a hálózat kiépítése is megtörténik.

Azure Portal

• Új központ létrehozása:

  1. Jelentkezzen be az Azure Portalra, és válassza az Azure AI Studio lehetőséget az Erőforrás létrehozása menüből.

  2. Válassza az + Új Azure AI lehetőséget.

  3. Adja meg a szükséges információkat az Alapismeretek lapon.

  4. A Hálózatkezelés lapon válassza a Private with Internet Outbound (Kimenő internettel) lehetőséget.

  5. Kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózatkezelés lapon. A Kimenő szabályok oldalsávon adja meg a következő információkat:

     • Szabály neve: A szabály neve. A névnek egyedinek kell lennie ehhez a központhoz.
     • Céltípus: A privát végpont az egyetlen lehetőség, ha a hálózatelkülönítés privát, és az internet kimenő. A központi felügyelt virtuális hálózat nem támogatja a privát végpontok létrehozását az összes Azure-erőforrástípushoz. A támogatott erőforrások listáját a Privát végpontok szakaszban találja.
     • Előfizetés: Az az előfizetés, amely tartalmazza azt az Azure-erőforrást, amelyhez magánvégpontot szeretne hozzáadni.
     • Erőforráscsoport: Az az erőforráscsoport, amely tartalmazza azt az Azure-erőforrást, amelyhez privát végpontot szeretne hozzáadni.
     • Erőforrás típusa: Az Azure-erőforrás típusa.
     • Erőforrás neve: Az Azure-erőforrás neve.
     • Alerőforrás: Az Azure-erőforrástípus alerőforrása.

     A szabály mentéséhez válassza a Mentés lehetőséget. A szabályok hozzáadásához továbbra is használhatja a felhasználó által definiált kimenő szabályok hozzáadását.

  6. Folytassa a központ létrehozását a szokásos módon.

• Meglévő központ frissítése:

  1. Jelentkezzen be az Azure Portalra, és válassza ki azt a központot, amelyhez engedélyezni szeretné a felügyelt virtuális hálózatok elkülönítését.

  2. Válassza a Hálózatkezelés lehetőséget, majd válassza a Privát, kimenő internettel lehetőséget.

     • Kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózatkezelés lapon. A Kimenő szabályok oldalsávon adja meg ugyanazokat az információkat, mint amelyeket a hub létrehozásakor használ a "Create a new hub" (Új központ létrehozása) szakaszban.

     • Kimenő szabály törléséhez válassza a szabály törlését.

  3. Válassza a Lap tetején található Mentés lehetőséget a felügyelt virtuális hálózat módosításainak mentéséhez.

Azure CLI

Az internetes kimenő kommunikációt lehetővé tevő felügyelt virtuális hálózat konfigurálásához használhatja a --managed-network allow_internet_outbound paramétert vagy egy YAML-konfigurációs fájlt, amely a következő bejegyzéseket tartalmazza:

managed_network:
  isolation_mode: allow_internet_outbound

Kimenő szabályokat is meghatározhat más Azure-szolgáltatásokra, amelyekre a központ támaszkodik. Ezek a szabályok olyan privát végpontokat határoznak meg, amelyek lehetővé teszik az Azure-erőforrások számára a felügyelt virtuális hálózattal való biztonságos kommunikációt. Az alábbi szabály egy privát végpont Azure Blob-erőforráshoz való hozzáadását mutatja be.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

A felügyelt virtuális hálózatot az ml workspace create az ml workspace update a következő parancsokkal konfigurálhatja:

• Új központ létrehozása:

  Az alábbi példa egy új központot hoz létre. A --managed-network allow_internet_outbound paraméter egy felügyelt virtuális hálózatot konfigurál a központhoz:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Ha inkább YAML-fájllal szeretne hubot létrehozni, használja a --file paramétert, és adja meg a konfigurációs beállításokat tartalmazó YAML-fájlt:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  Az alábbi YAML-példa egy felügyelt virtuális hálózattal rendelkező központot határoz meg:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Meglévő központ frissítése:

  Figyelmeztetés

  Mielőtt egy meglévő munkaterületet frissítene egy kezelt virtuális hálózat használatára, törölnie kell a munkaterület összes számítási erőforrását. Ez magában foglalja a számítási példányt, a számítási fürtöt és a kezelt online végpontokat.

  Az alábbi példa egy meglévő központot frissít. A --managed-network allow_internet_outbound paraméter egy felügyelt virtuális hálózatot konfigurál a központhoz:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Meglévő központ YAML-fájllal való frissítéséhez használja a --file paramétert, és adja meg a konfigurációs beállításokat tartalmazó YAML-fájlt:

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  Az alábbi YAML-példa egy felügyelt virtuális hálózatot határoz meg a központ számára. Azt is bemutatja, hogyan adhat hozzá privát végpontkapcsolatot a központ által használt erőforráshoz; ebben a példában egy blobtároló privát végpontja:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python

Ha olyan felügyelt virtuális hálózatot szeretne konfigurálni, amely lehetővé teszi az internetes kimenő kommunikációt, az ManagedNetwork osztály használatával definiáljon egy hálózatot a következővel IsolationMode.ALLOW_INTERNET_OUTBOUND: . Ezután az ManagedNetwork objektummal létrehozhat egy új központot, vagy frissíthet egy meglévőt. A központ által használt Azure-szolgáltatások kimenő szabályainak meghatározásához az PrivateEndpointDestination osztály használatával definiáljon egy új privát végpontot a szolgáltatáshoz.

• Új központ létrehozása:

  Az alábbi példa létrehoz egy új, névvel myhubellátott, kimenő szabályt myrule , amely egy privát végpontot ad hozzá egy Azure Blob Store-hoz:

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Meglévő központ frissítése:

  Az alábbi példa bemutatja, hogyan hozhat létre felügyelt virtuális hálózatot egy meglévő, nevesített myhubközponthoz:

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Felügyelt virtuális hálózat konfigurálása csak jóváhagyott kimenő forgalom engedélyezésére

Tipp.

A felügyelt virtuális hálózat automatikusan ki lesz építve számítási erőforrás létrehozásakor. Az automatikus létrehozás engedélyezése körülbelül 30 percet vehet igénybe az első számítási erőforrás létrehozásakor, mivel a hálózat kiépítése is megtörténik. Ha kimenő FQDN-szabályokat konfigurált, az első teljes tartománynév-szabály körülbelül 10 percet ad hozzá a kiépítési időhöz.

Azure Portal

• Új központ létrehozása:

  1. Jelentkezzen be az Azure Portalra, és válassza az Azure AI Studio lehetőséget az Erőforrás létrehozása menüből.

  2. Válassza az + Új Azure AI lehetőséget.

  3. Adja meg a szükséges információkat az Alapismeretek lapon.

  4. A Hálózatkezelés lapon válassza a Private with Approved Outbound (Jóváhagyott kimenő) lehetőséget.

  5. Kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózatkezelés lapon. A Kimenő szabályok oldalsávon adja meg a következő információkat:

     • Szabály neve: A szabály neve. A névnek egyedinek kell lennie ehhez a központhoz.
     • Céltípus: Privát végpont, szolgáltatáscímke vagy teljes tartománynév. A szolgáltatáscímke és a teljes tartománynév csak akkor érhető el, ha a hálózatelkülönítés privát, és jóváhagyott kimenő forgalommal rendelkezik.

     Ha a céltípus privát végpont, adja meg a következő információkat:

     • Előfizetés: Az az előfizetés, amely tartalmazza azt az Azure-erőforrást, amelyhez magánvégpontot szeretne hozzáadni.
     • Erőforráscsoport: Az az erőforráscsoport, amely tartalmazza azt az Azure-erőforrást, amelyhez privát végpontot szeretne hozzáadni.
     • Erőforrás típusa: Az Azure-erőforrás típusa.
     • Erőforrás neve: Az Azure-erőforrás neve.
     • Alerőforrás: Az Azure-erőforrástípus alerőforrása.

     Tipp.

     A központi felügyelt virtuális hálózat nem támogatja a privát végpont létrehozását az összes Azure-erőforrástípushoz. A támogatott erőforrások listáját a Privát végpontok szakaszban találja.

     Ha a céltípus szolgáltatáscímke, adja meg a következő információkat:

     • Szolgáltatáscímke: A jóváhagyott kimenő szabályokhoz hozzáadni kívánt szolgáltatáscímke.
     • Protokoll: A szolgáltatáscímke engedélyezésére szolgáló protokoll.
     • Porttartományok: A szolgáltatáscímke számára engedélyezendő porttartományok.

     Ha a céltípus teljes tartománynév, adja meg a következő információkat:

     • Teljes tartománynév célhelye: A jóváhagyott kimenő szabályokhoz hozzáadni kívánt teljes tartománynév.

     A szabály mentéséhez válassza a Mentés lehetőséget. A szabályok hozzáadásához továbbra is használhatja a felhasználó által definiált kimenő szabályok hozzáadását.

  6. Folytassa a központ létrehozását a szokásos módon.

• Meglévő központ frissítése:

  1. Jelentkezzen be az Azure Portalra, és válassza ki azt a központot, amelyhez engedélyezni szeretné a felügyelt virtuális hálózatok elkülönítését.

  2. Válassza a Hálózatkezelés lehetőséget, majd válassza a Privát és a Jóváhagyott kimenő kapcsolat lehetőséget.

     • Kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózatkezelés lapon. A Kimenő szabályok oldalsávon adja meg ugyanazokat az információkat, mint amikor az előző "Új központ létrehozása" szakaszban létrehoz egy központot.

     • Kimenő szabály törléséhez válassza a szabály törlését.

  3. Válassza a Lap tetején található Mentés lehetőséget a felügyelt virtuális hálózat módosításainak mentéséhez.

Azure CLI

Ha olyan felügyelt virtuális hálózatot szeretne konfigurálni, amely csak jóváhagyott kimenő kommunikációt tesz lehetővé, használhatja a --managed-network allow_only_approved_outbound paramétert vagy egy YAML-konfigurációs fájlt, amely a következő bejegyzéseket tartalmazza:

managed_network:
  isolation_mode: allow_only_approved_outbound

Kimenő szabályokat is meghatározhat a jóváhagyott kimenő kommunikáció definiálásához. Kimenő szabály hozható létre a ( fqdnés private_endpoint) típushozservice_tag. Az alábbi szabály bemutatja, hogy privát végpontot ad hozzá egy Azure Blob-erőforráshoz, egy szolgáltatáscímkét az Azure Data Factoryhez, és egy teljes tartománynevet a következőhöz pypi.org:

Fontos

• A szolgáltatáscímkéhez vagy teljes tartománynévhez kimenő forgalom hozzáadása csak akkor érvényes, ha a felügyelt virtuális hálózat erre van konfigurálva allow_only_approved_outbound.
• Kimenő szabályok hozzáadása esetén a Microsoft nem tudja garantálni az adatok kiszivárgását.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

A felügyelt virtuális hálózatot az ml workspace create az ml workspace update a következő parancsokkal konfigurálhatja:

• Új központ létrehozása:

  A következő példa a paramétert használja a --managed-network allow_only_approved_outbound felügyelt virtuális hálózat konfigurálásához:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  A következő YAML-fájl egy felügyelt virtuális hálózattal rendelkező központot határoz meg:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Ha a YAML-fájllal szeretne hubot létrehozni, használja a következő paramétert --file :

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Meglévő központ frissítése

  Figyelmeztetés

  Mielőtt egy meglévő munkaterületet frissítene egy kezelt virtuális hálózat használatára, törölnie kell a munkaterület összes számítási erőforrását. Ez magában foglalja a számítási példányt, a számítási fürtöt és a kezelt online végpontokat.

  Az alábbi példa a --managed-network allow_only_approved_outbound paraméter használatával konfigurálja a felügyelt virtuális hálózatot egy meglévő központhoz:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Az alábbi YAML-fájl egy felügyelt virtuális hálózatot határoz meg a központ számára. Azt is bemutatja, hogyan adhat hozzá jóváhagyott kimenő forgalmat a felügyelt virtuális hálózathoz. Ebben a példában egy kimenő szabályt adunk hozzá mindkét szolgáltatáscímkéhez:

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python

Ha olyan felügyelt virtuális hálózatot szeretne konfigurálni, amely csak jóváhagyott kimenő kommunikációt tesz lehetővé, az ManagedNetwork osztály használatával definiáljon egy hálózatot a következővel IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND: . Ezután az ManagedNetwork objektummal létrehozhat egy új központot, vagy frissíthet egy meglévőt. A kimenő szabályok meghatározásához használja a következő osztályokat:

Cél	Osztály
Azure-szolgáltatás, amelyre a központ támaszkodik	PrivateEndpointDestination
Azure-szolgáltatáscímke	ServiceTagDestination
Teljes tartománynév (FQDN)	FqdnDestination

• Új központ létrehozása:

  Az alábbi példa egy új, több kimenő szabályt tartalmazó központot myhubhoz létre:

  • myrule – Privát végpontot ad hozzá egy Azure Blob Store-hoz.
  • datafactory – Szolgáltatáscímke-szabályt ad hozzá az Azure Data Factoryvel való kommunikációhoz.

  Fontos

  • A szolgáltatáscímkéhez vagy teljes tartománynévhez kimenő forgalom hozzáadása csak akkor érvényes, ha a felügyelt virtuális hálózat erre van konfigurálva IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Kimenő szabályok hozzáadása esetén a Microsoft nem tudja garantálni az adatok kiszivárgását.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Meglévő központ frissítése:

  Az alábbi példa bemutatja, hogyan hozhat létre felügyelt virtuális hálózatot egy meglévő Azure Machine Learning Hubhoz, melynek neve myhub. A példa több kimenő szabályt is hozzáad a felügyelt virtuális hálózathoz:

  • myrule – Privát végpontot ad hozzá egy Azure Blob Store-hoz.
  • datafactory – Szolgáltatáscímke-szabályt ad hozzá az Azure Data Factoryvel való kommunikációhoz.

  Tipp.

  A szolgáltatáscímkéhez vagy teljes tartománynévhez kimenő forgalom hozzáadása csak akkor érvényes, ha a felügyelt virtuális hálózat erre van konfigurálva IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Felügyelt virtuális hálózat manuális kiépítése

A felügyelt virtuális hálózat automatikusan ki lesz építve egy számítási példány létrehozásakor. Ha automatikus kiépítésre támaszkodik, az első számítási példány létrehozása körülbelül 30 percet vehet igénybe, mivel a hálózat kiépítése is megtörténik. Ha az FQDN kimenő szabályait konfigurálta (csak engedélyezett móddal érhető el), az első teljes tartománynév-szabály körülbelül 10 percet ad hozzá a kiépítési időhöz. Ha nagy számú kimenő szabályt kell kiépíteni a felügyelt hálózaton, a kiépítés hosszabb időt vehet igénybe. A megnövekedett kiépítési idő miatt az első számítási példány létrehozása időtúllépést okozhat.

A várakozási idő csökkentése és a lehetséges időtúllépési hibák elkerülése érdekében javasoljuk a felügyelt hálózat manuális kiépítését. Ezután várjon, amíg a kiépítés befejeződik, mielőtt létrehoz egy számítási példányt.

Feljegyzés

Online üzembe helyezés létrehozásához manuálisan kell kiépítenie a felügyelt hálózatot, vagy először létre kell hoznia egy számítási példányt, amely automatikusan kiépíteni fogja azt.

Azure Portal

Az Azure CLI vagy a Python SDK lapon megtudhatja, hogyan építheti ki manuálisan a felügyelt virtuális hálózatot.

Azure CLI

Az alábbi példa bemutatja, hogyan építhet ki felügyelt virtuális hálózatot.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

A kiépítés befejezésének ellenőrzéséhez használja a következő parancsot:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Python

Az alábbi példa bemutatja, hogyan építhet ki felügyelt virtuális hálózatot:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myAIHubName")

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ai_hub_name).result()

Az AI Hub kiépítésének ellenőrzéséhez használja ml_client.workspaces.get() az AI Hub információit. A managed_network tulajdonság a felügyelt hálózat állapotát tartalmazza.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Kimenő szabályok kezelése

Azure Portal

1. Jelentkezzen be az Azure Portalra, és válassza ki azt a központot, amelyhez engedélyezni szeretné a felügyelt virtuális hálózatok elkülönítését.
2. Válassza a Hálózat lehetőséget. Az Azure AI kimenő hozzáférési szakasza lehetővé teszi a kimenő szabályok kezelését.

• Kimenő szabály hozzáadásához válassza a Felhasználó által definiált kimenő szabályok hozzáadása lehetőséget a Hálózatkezelés lapon. Az Azure AI kimenő szabályainak oldalsávjáról adja meg a következő információkat:

• Szabály engedélyezéséhez vagy letiltásához használja a kapcsolót az Aktív oszlopban.

• Kimenő szabály törléséhez válassza a szabály törlését.

Azure CLI

A felügyelt virtuális hálózat kimenő szabályainak listázásához használja a következő parancsot:

az ml workspace outbound-rule list --workspace-name myhub --resource-group rg

Egy felügyelt virtuális hálózat kimenő szabályának részleteinek megtekintéséhez használja a következő parancsot:

az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg

Ha el szeretne távolítani egy kimenő szabályt a felügyelt virtuális hálózatból, használja a következő parancsot:

az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg

Python

Az alábbi példa bemutatja, hogyan kezelhetők a kimenő szabályok a következő nevű myhubközponthoz:

# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

A szükséges szabályok listája

Tipp.

Ezek a szabályok automatikusan hozzáadódnak a felügyelt virtuális hálózathoz.

Privát végpontok:

• Ha a felügyelt virtuális hálózat elkülönítési módja vanAllow internet outbound, a rendszer automatikusan létrehozza a privát végpont kimenő szabályait a központ felügyelt virtuális hálózatából, valamint a nyilvános hálózati hozzáféréssel rendelkező társított erőforrásokból (Key Vault, Tárfiók, Tárolóregisztrációs adatbázis, Központ).
• Ha a felügyelt virtuális hálózat elkülönítési módja van Allow only approved outbound, a rendszer automatikusan létrehozza a privát végpont kimenő szabályait a központ felügyelt virtuális hálózatából és a társított erőforrásokból , függetlenül attól, hogy ezekhez az erőforrásokhoz a nyilvános hálózati hozzáférési mód (Key Vault, Storage Account, Container Registry, hub) tartozik-e.

Kimenő szolgáltatáscímkére vonatkozó szabályok:

• AzureActiveDirectory
• Azure Machine Learning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Bejövő szolgáltatáscímke-szabályok:

• AzureMachineLearning

Esetspecifikus kimenő szabályok listája

Forgatókönyv: Nyilvános gépi tanulási csomagok elérése

Ha engedélyezni szeretné a Python-csomagok telepítését a betanításhoz és üzembe helyezéshez, adjon hozzá kimenő teljes tartománynév-szabályokat a következő gazdagépnevek felé irányuló forgalom engedélyezéséhez:

Feljegyzés

Ez nem az internet összes Python-erőforrásához szükséges gazdagépek teljes listája, csak a leggyakrabban használt. Ha például egy GitHub-adattárhoz vagy más gazdagéphez kell hozzáférnie, azonosítania kell és hozzá kell adnia az adott forgatókönyvhöz szükséges gazdagépeket.

Gazdagép neve	Célja
anaconda.com *.anaconda.com	Az alapértelmezett csomagok telepítéséhez használatos.
*.anaconda.org	Adattáradatok lekérésére szolgál.
pypi.org	Az alapértelmezett index függőségeinek listázására szolgál, ha vannak ilyenek, és az indexet a felhasználói beállítások nem írják felül. Ha az index felülírva van, engedélyeznie *.pythonhosted.orgkell azt is.
pytorch.org *.pytorch.org	Néhány példa a PyTorch alapján használja.
*.tensorflow.org	A Tensorflow alapján néhány példa használja.

Forgatókönyv: A Visual Studio Code használata

A Visual Studio Code adott gazdagépekre és portokra támaszkodik a távoli kapcsolat létrehozásához.

Hosts

Ha a Visual Studio Code-ot a központtal szeretné használni, adjon hozzá kimenő teljes tartománynév-szabályokat a következő gazdagépek felé irányuló forgalom engedélyezéséhez:

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• pkg-containers.githubusercontent.com
• github.com

Portok

Engedélyeznie kell a hálózati forgalmat a 8704 és 8710 közötti portokon. A VS Code-kiszolgáló dinamikusan kiválasztja az első elérhető portot ezen a tartományon belül.

Forgatókönyv: HuggingFace-modellek használata

Ha HuggingFace-modelleket szeretne használni a központtal, adjon hozzá kimenő FQDN-szabályokat a következő gazdagépek felé irányuló forgalom engedélyezéséhez:

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cnd.auth0.com
• cdn-lfs.huggingface.co

Forgatókönyv: Az Azure AI által válogatott

Ezek a modellek a függőségek futásidőben történő dinamikus telepítését foglalják magukban, és kimenő teljes tartománynév-szabályokra van szükség a következő gazdagépek felé irányuló forgalom engedélyezéséhez:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Privát végpontok

A privát végpontok jelenleg a következő Azure-szolgáltatások esetében támogatottak:

• AI Studio hub
• Azure AI Keresés
• Azure AI services
• Azure API Management
• Azure Container Registry
• Azure Cosmos DB (minden alerőforrás-típus)
• Azure Data Factory
• Azure Database for MariaDB
• Azure Database for MySQL
• Önálló Azure Database for PostgreSQL-kiszolgáló
• Rugalmas Azure Database for PostgreSQL-kiszolgáló
• Azure Databricks
• Azure-eseményközpontok
• Azure Key Vault
• Azure Machine Learning
• Azure Machine Learning-regisztrációs adatbázisok
• Azure Redis Cache
• Azure SQL Server-kiszolgáló
• Azure Storage (minden alerőforrás-típus)

Privát végpont létrehozásakor meg kell adnia azt az erőforrástípust és alforrást , amelyhez a végpont csatlakozik. Egyes erőforrások több típussal és alforrással rendelkeznek. További információ: mi a privát végpont.

Amikor privát végpontot hoz létre a központi függőségi erőforrásokhoz, például az Azure Storage-hoz, az Azure Container Registryhez és az Azure Key Vaulthoz, az erőforrás egy másik Azure-előfizetésben lehet. Az erőforrásnak azonban ugyanabban a bérlőben kell lennie, mint a központ.

A rendszer automatikusan létrehoz egy privát végpontot egy kapcsolathoz, ha a célerőforrás a fent felsorolt Azure-erőforrás. A privát végponthoz érvényes célazonosítót kell megadni. A kapcsolat érvényes célazonosítója lehet egy szülőerőforrás Azure Resource Manager-azonosítója. A célazonosító a kapcsolat céljában vagy a következőben metadata.resourceidis várható: . További információ a kapcsolatokról: Új kapcsolat hozzáadása az Azure AI Studióban.

Díjszabás

A központi felügyelt virtuális hálózat szolgáltatás ingyenes. Azonban a felügyelt virtuális hálózat által használt alábbi erőforrásokért kell fizetnie:

• Azure Private Link – A felügyelt virtuális hálózat és az Azure-erőforrások közötti kommunikáció biztonságossá tételéhez használt privát végpontok az Azure Private Linkre támaszkodnak. A díjszabással kapcsolatos további információkért tekintse meg az Azure Private Link díjszabását.

• FQDN kimenő szabályok – A teljes tartománynév kimenő szabályainak megvalósítása az Azure tűzfal használatával történik. Kimenő FQDN-szabályok használata esetén az Azure Firewall díjai a számlázás részét képezik. Az Azure Firewall termékváltozata standard. Az Azure Firewall központonként ki van építve.

  Fontos

  A tűzfal csak akkor jön létre, ha kimenő teljes tartománynév-szabályt ad hozzá. Ha nem használ teljes tartománynévre vonatkozó szabályokat, az Azure Firewallért nem kell fizetnie. A díjszabással kapcsolatos további információkért tekintse meg az Azure Firewall díjszabását.

Kapcsolódó tartalom

• AI Studio-központ és -projekt létrehozása az SDK használatával