Privát kapcsolat konfigurálása az Azure AI Studio Hubshoz
Fontos
A cikkben ismertetett funkciók némelyike csak előzetes verzióban érhető el. Ez az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem javasoljuk. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Két hálózati elkülönítési szempontunk van. Az egyik az Azure AI Studio-központ eléréséhez szükséges hálózati elkülönítés. Egy másik lehetőség a számítási erőforrások hálózatelkülönítése a központban és olyan projektekben, mint a számítási példányok, a kiszolgáló nélküli és a felügyelt online végpontok. Ez a cikk a diagramban kiemelt előbbieket ismerteti. A privát kapcsolattal létrehozhatja a központhoz és annak alapértelmezett erőforrásaihoz való privát kapcsolatot. Ez a cikk az Azure AI Studióhoz (központhoz és projektekhez) készült. Az Azure AI-szolgáltatásokkal kapcsolatos információkért tekintse meg az Azure AI-szolgáltatások dokumentációját.
Számos alapértelmezett központi erőforrást kap az erőforráscsoportban. A következő hálózati elkülönítési konfigurációkat kell konfigurálnia.
- Tiltsa le az olyan alapértelmezett központi erőforrások nyilvános hálózati hozzáférését, mint az Azure Storage, az Azure Key Vault és az Azure Container Registry.
- Hozzon létre privát végpontkapcsolatot a központi alapértelmezett erőforrásokhoz. Az alapértelmezett tárfiókhoz blob- és fájl privát végpontot is kell létrehoznia.
- Felügyelt identitáskonfigurációk , amelyekkel a központok hozzáférhetnek a tárfiókhoz, ha az privát.
- Az Azure AI Searchnek nyilvánosnak kell lennie.
Előfeltételek
A privát végpont létrehozásához rendelkeznie kell egy meglévő Azure-beli virtuális hálózat használatával.
Fontos
Nem javasoljuk a 172.17.0.0/16 IP-címtartomány használatát a virtuális hálózatához. Ez a Docker-hídhálózat vagy a helyszíni hálózat által használt alapértelmezett alhálózati tartomány.
A privát végpont hozzáadása előtt tiltsa le a hálózati házirendeket a privát végpontok esetében.
Privát végpontot használó központ létrehozása
Az alábbi módszerek egyikével hozzon létre egy magánvégponttal rendelkező központot. Ezekhez a módszerekhez szükség van egy meglévő virtuális hálózatra:
- Az Azure Portalon nyissa meg az Azure AI Studiót, és válassza az + Új Azure AI lehetőséget.
- Válassza a hálózatelkülönítési módot a Hálózat lapon.
- Görgessen le a Munkaterület bejövő hozzáféréséhez , és válassza a + Hozzáadás lehetőséget.
- Adja meg a szükséges mezőket. A Régió kiválasztásakor válassza ki ugyanazt a régiót, mint a virtuális hálózat.
Privát végpont hozzáadása egy központhoz
Az alábbi módszerek egyikével adhat hozzá privát végpontot egy meglévő központhoz:
- Az Azure Portalon válassza ki a központot.
- A lap bal oldalán válassza a Hálózatkezelés lehetőséget, majd a Privát végpont kapcsolatai lapot.
- A Régió kiválasztásakor válassza ki ugyanazt a régiót, mint a virtuális hálózat.
- Az erőforrástípus kiválasztásakor használja a következőt
azuremlworkspace
: . - Állítsa be az erőforrást a munkaterület nevére.
Végül válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
Privát végpont eltávolítása
Eltávolíthat egy vagy az összes privát végpontot egy központhoz. A privát végpont eltávolítása eltávolítja a központot abból az Azure-beli virtuális hálózatból, amelyhez a végpont társítva volt. A privát végpont eltávolítása megakadályozhatja, hogy a központ hozzáférjen az adott virtuális hálózat erőforrásaihoz, vagy a virtuális hálózat erőforrásai elérhessék a munkaterületet. Ha például a virtuális hálózat nem engedélyezi a nyilvános internethez vagy az internetről való hozzáférést.
Figyelmeztetés
A központ privát végpontjainak eltávolítása nem teszi nyilvánosan elérhetővé. A központ nyilvános akadálymentesítéséhez használja a nyilvános hozzáférés engedélyezése szakaszban található lépéseket.
Privát végpont eltávolításához használja az alábbi információkat:
- Az Azure Portalon válassza ki a központot.
- A lap bal oldalán válassza a Hálózatkezelés lehetőséget, majd a Privát végpont kapcsolatai lapot.
- Válassza ki az eltávolítani kívánt végpontot, majd válassza az Eltávolítás lehetőséget.
Nyilvános hozzáférés engedélyezése
Bizonyos esetekben előfordulhat, hogy engedélyezni szeretné, hogy valaki nyilvános végponton keresztül csatlakozzon a biztonságos központhoz ahelyett, hogy a virtuális hálózaton keresztül csatlakozna. Vagy el szeretné távolítani a munkaterületet a virtuális hálózatról, és újra engedélyezni a nyilvános hozzáférést.
Fontos
A nyilvános hozzáférés engedélyezése nem távolít el egyetlen privát végpontot sem. A virtuális hálózat mögötti összetevők közötti minden kommunikáció, amelyhez a privát végpont(ok) csatlakoznak, továbbra is biztonságosak. A nyilvános hozzáférést csak a központhoz teszi lehetővé, a magánvégpontokon keresztüli privát hozzáférés mellett.
A nyilvános hozzáférés engedélyezéséhez kövesse az alábbi lépéseket:
- Az Azure Portalon válassza ki a központot.
- A lap bal oldalán válassza a Hálózatkezelés lehetőséget, majd a Nyilvános hozzáférés lapot.
- Válassza az Engedélyezve lehetőséget az összes hálózatból, majd válassza a Mentés lehetőséget.
Felügyelt identitás konfigurációja
Ha privátsá teszi a tárfiókot, rugalmas identitáskonfigurációra van szükség. Szolgáltatásainknak adatokat kell olvasniuk/írniuk a privát tárfiókban a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások engedélyezésével , hogy az alábbi felügyelt identitáskonfigurációkkal érhessék el ezt a tárfiókot . Engedélyezze az Azure AI Service és az Azure AI Search rendszer által hozzárendelt felügyelt identitását, majd konfigurálja a szerepköralapú hozzáférés-vezérlést minden egyes felügyelt identitáshoz.
Szerepkör | Felügyelt identitás | Erőforrás | Cél | Referencia |
---|---|---|---|---|
Storage File Data Privileged Contributor |
Azure AI Studio-projekt | Tárfiók | Olvasási/írási folyamat adatai. | Folyamat dokumentumának kérése |
Storage Blob Data Contributor |
Azure AI-szolgáltatás | Tárfiók | Olvasás bemeneti tárolóból, írás a folyamat előtti eredménybe a kimeneti tárolóba. | Azure OpenAI-dokumentum |
Storage Blob Data Contributor |
Azure AI Keresés | Tárfiók | Blob olvasása és tudástár írása | Keresés a dokumentumban. |
Egyéni DNS-konfiguráció
A DNS-továbbítási konfigurációkról lásd az Azure Machine Tanulás egyéni DNS-cikket.
Ha dns-továbbítás nélkül kell konfigurálnia az egyéni DNS-kiszolgálót, használja az alábbi mintákat a szükséges A rekordokhoz.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net
ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net
Feljegyzés
Előfordulhat, hogy ennek a teljes tartománynévnek a munkaterülete csonkolt. A csonkolás 63 karakternél vagy annál kisebbnél hosszabb.
ml-<workspace-name, truncated>-<region>-<workspace-guid>
<instance-name>.<region>.instances.azureml.ms
Feljegyzés
- A számítási példányok csak a virtuális hálózaton belül érhetők el.
- A teljes tartománynév IP-címe nem a számítási példány IP-címe. Ehelyett használja a munkaterület privát végpontjának privát IP-címét (a
*.api.azureml.ms
bejegyzések IP-címét).)
<instance-name>.<region>.instances.azureml.ms
- Csak a parancs használja aaz ml compute connect-ssh
felügyelt virtuális hálózaton lévő számításokhoz való csatlakozáshoz. Nem szükséges, ha nem felügyelt hálózatot vagy SSH-kapcsolatokat használ.<managed online endpoint name>.<region>.inference.ml.azure.com
- Felügyelt online végpontok használják
Az A rekordok magánhálózati IP-címeinek megkereséséhez tekintse meg az Azure Machine Tanulás egyéni DNS-ről szóló cikket. Az AI-PROJECT-GUID ellenőrzéséhez lépjen az Azure Portalra, válassza ki a projektet, a beállításokat, a tulajdonságokat és a munkaterület azonosítóját.
Korlátozások
- A privát Azure AI-szolgáltatások és az Azure AI Search nem támogatottak.
- Az Azure AI Studio-játszótér "Adatok hozzáadása" funkciója nem támogatja a privát tárfiókot.
- A Mozilla Firefox használata esetén problémák léphetnek fel a központ privát végpontjának elérésekor. Ez a probléma a HTTPS-en keresztüli DNS-sel kapcsolatos lehet a Mozilla Firefoxban. Javasoljuk a Microsoft Edge vagy a Google Chrome használatát.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: