Privát kapcsolat konfigurálása az Azure AI Studio Hubshoz

Fontos

A cikkben ismertetett funkciók némelyike csak előzetes verzióban érhető el. Ez az előzetes verzió szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem javasoljuk. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Két hálózati elkülönítési szempontunk van. Az egyik az Azure AI Studio-központ eléréséhez szükséges hálózati elkülönítés. Egy másik lehetőség a számítási erőforrások hálózatelkülönítése a központban és olyan projektekben, mint a számítási példányok, a kiszolgáló nélküli és a felügyelt online végpontok. Ez a cikk a diagramban kiemelt előbbieket ismerteti. A privát kapcsolattal létrehozhatja a központhoz és annak alapértelmezett erőforrásaihoz való privát kapcsolatot. Ez a cikk az Azure AI Studióhoz (központhoz és projektekhez) készült. Az Azure AI-szolgáltatásokkal kapcsolatos információkért tekintse meg az Azure AI-szolgáltatások dokumentációját.

Számos alapértelmezett központi erőforrást kap az erőforráscsoportban. A következő hálózati elkülönítési konfigurációkat kell konfigurálnia.

• Tiltsa le az olyan alapértelmezett központi erőforrások nyilvános hálózati hozzáférését, mint az Azure Storage, az Azure Key Vault és az Azure Container Registry.
• Hozzon létre privát végpontkapcsolatot a központi alapértelmezett erőforrásokhoz. Az alapértelmezett tárfiókhoz blob- és fájl privát végpontot is kell létrehoznia.
• Felügyelt identitáskonfigurációk , amelyekkel a központok hozzáférhetnek a tárfiókhoz, ha az privát.
• Az Azure AI Searchnek nyilvánosnak kell lennie.

Előfeltételek

• A privát végpont létrehozásához rendelkeznie kell egy meglévő Azure-beli virtuális hálózat használatával.

  Fontos

  Nem javasoljuk a 172.17.0.0/16 IP-címtartomány használatát a virtuális hálózatához. Ez a Docker-hídhálózat vagy a helyszíni hálózat által használt alapértelmezett alhálózati tartomány.

• A privát végpont hozzáadása előtt tiltsa le a hálózati házirendeket a privát végpontok esetében.

Privát végpontot használó központ létrehozása

Az alábbi módszerek egyikével hozzon létre egy magánvégponttal rendelkező központot. Ezekhez a módszerekhez szükség van egy meglévő virtuális hálózatra:

Azure Portal

1. Az Azure Portalon nyissa meg az Azure AI Studiót, és válassza az + Új Azure AI lehetőséget.
2. Válassza a hálózatelkülönítési módot a Hálózat lapon.
3. Görgessen le a Munkaterület bejövő hozzáféréséhez , és válassza a + Hozzáadás lehetőséget.
4. Adja meg a szükséges mezőket. A Régió kiválasztásakor válassza ki ugyanazt a régiót, mint a virtuális hálózat.

Azure CLI

A központ létrehozása után az Azure networking CLI-parancsaival hozzon létre egy privát kapcsolati végpontot a központ számára.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

A munkaterülethez tartozó privát DNS-zónabejegyzések létrehozásához használja a következő parancsokat:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Privát végpont hozzáadása egy központhoz

Az alábbi módszerek egyikével adhat hozzá privát végpontot egy meglévő központhoz:

Azure Portal

1. Az Azure Portalon válassza ki a központot.
2. A lap bal oldalán válassza a Hálózatkezelés lehetőséget, majd a Privát végpont kapcsolatai lapot.
3. A Régió kiválasztásakor válassza ki ugyanazt a régiót, mint a virtuális hálózat.
4. Az erőforrástípus kiválasztásakor használja a következőtazuremlworkspace: .
5. Állítsa be az erőforrást a munkaterület nevére.

Végül válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

Azure CLI

Az Azure hálózati CLI-parancsaival privát kapcsolati végpontot hozhat létre a központ számára.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

A munkaterülethez tartozó privát DNS-zónabejegyzések létrehozásához használja a következő parancsokat:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Privát végpont eltávolítása

Eltávolíthat egy vagy az összes privát végpontot egy központhoz. A privát végpont eltávolítása eltávolítja a központot abból az Azure-beli virtuális hálózatból, amelyhez a végpont társítva volt. A privát végpont eltávolítása megakadályozhatja, hogy a központ hozzáférjen az adott virtuális hálózat erőforrásaihoz, vagy a virtuális hálózat erőforrásai elérhessék a munkaterületet. Ha például a virtuális hálózat nem engedélyezi a nyilvános internethez vagy az internetről való hozzáférést.

Figyelmeztetés

A központ privát végpontjainak eltávolítása nem teszi nyilvánosan elérhetővé. A központ nyilvános akadálymentesítéséhez használja a nyilvános hozzáférés engedélyezése szakaszban található lépéseket.

Privát végpont eltávolításához használja az alábbi információkat:

Azure Portal

1. Az Azure Portalon válassza ki a központot.
2. A lap bal oldalán válassza a Hálózatkezelés lehetőséget, majd a Privát végpont kapcsolatai lapot.
3. Válassza ki az eltávolítani kívánt végpontot, majd válassza az Eltávolítás lehetőséget.

Azure CLI

Az Azure CLI használatakor a következő paranccsal távolítsa el a privát végpontot:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Nyilvános hozzáférés engedélyezése

Bizonyos esetekben előfordulhat, hogy engedélyezni szeretné, hogy valaki nyilvános végponton keresztül csatlakozzon a biztonságos központhoz ahelyett, hogy a virtuális hálózaton keresztül csatlakozna. Vagy el szeretné távolítani a munkaterületet a virtuális hálózatról, és újra engedélyezni a nyilvános hozzáférést.

Fontos

A nyilvános hozzáférés engedélyezése nem távolít el egyetlen privát végpontot sem. A virtuális hálózat mögötti összetevők közötti minden kommunikáció, amelyhez a privát végpont(ok) csatlakoznak, továbbra is biztonságosak. A nyilvános hozzáférést csak a központhoz teszi lehetővé, a magánvégpontokon keresztüli privát hozzáférés mellett.

A nyilvános hozzáférés engedélyezéséhez kövesse az alábbi lépéseket:

Azure Portal

1. Az Azure Portalon válassza ki a központot.
2. A lap bal oldalán válassza a Hálózatkezelés lehetőséget, majd a Nyilvános hozzáférés lapot.
3. Válassza az Engedélyezve lehetőséget az összes hálózatból, majd válassza a Mentés lehetőséget.

Azure CLI

A nyilvános hozzáférés engedélyezéséhez használja a következő Azure CLI-parancsot:

az ml workspace update \
    --set public_network_access=Enabled \
    -n <workspace-name> \
    -g <resource-group-name>

Ha hibaüzenetet kap arról, hogy a ml parancs nem található, az alábbi parancsokkal telepítse az Azure Machine Tanulás CLI-bővítményt:

az extension add --name ml

Felügyelt identitás konfigurációja

Ha privátsá teszi a tárfiókot, rugalmas identitáskonfigurációra van szükség. Szolgáltatásainknak adatokat kell olvasniuk/írniuk a privát tárfiókban a megbízható szolgáltatások listájában szereplő Azure-szolgáltatások engedélyezésével , hogy az alábbi felügyelt identitáskonfigurációkkal érhessék el ezt a tárfiókot . Engedélyezze az Azure AI Service és az Azure AI Search rendszer által hozzárendelt felügyelt identitását, majd konfigurálja a szerepköralapú hozzáférés-vezérlést minden egyes felügyelt identitáshoz.

Szerepkör	Felügyelt identitás	Erőforrás	Cél	Referencia
Storage File Data Privileged Contributor	Azure AI Studio-projekt	Tárfiók	Olvasási/írási folyamat adatai.	Folyamat dokumentumának kérése
Storage Blob Data Contributor	Azure AI-szolgáltatás	Tárfiók	Olvasás bemeneti tárolóból, írás a folyamat előtti eredménybe a kimeneti tárolóba.	Azure OpenAI-dokumentum
Storage Blob Data Contributor	Azure AI Keresés	Tárfiók	Blob olvasása és tudástár írása	Keresés a dokumentumban.

Egyéni DNS-konfiguráció

A DNS-továbbítási konfigurációkról lásd az Azure Machine Tanulás egyéni DNS-cikket.

Ha dns-továbbítás nélkül kell konfigurálnia az egyéni DNS-kiszolgálót, használja az alábbi mintákat a szükséges A rekordokhoz.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Feljegyzés

  Előfordulhat, hogy ennek a teljes tartománynévnek a munkaterülete csonkolt. A csonkolás 63 karakternél vagy annál kisebbnél hosszabb.ml-<workspace-name, truncated>-<region>-<workspace-guid>

• <instance-name>.<region>.instances.azureml.ms

  Feljegyzés

  • A számítási példányok csak a virtuális hálózaton belül érhetők el.
  • A teljes tartománynév IP-címe nem a számítási példány IP-címe. Ehelyett használja a munkaterület privát végpontjának privát IP-címét (a *.api.azureml.ms bejegyzések IP-címét).)

• <instance-name>.<region>.instances.azureml.ms - Csak a parancs használja a az ml compute connect-ssh felügyelt virtuális hálózaton lévő számításokhoz való csatlakozáshoz. Nem szükséges, ha nem felügyelt hálózatot vagy SSH-kapcsolatokat használ.

• <managed online endpoint name>.<region>.inference.ml.azure.com - Felügyelt online végpontok használják

Az A rekordok magánhálózati IP-címeinek megkereséséhez tekintse meg az Azure Machine Tanulás egyéni DNS-ről szóló cikket. Az AI-PROJECT-GUID ellenőrzéséhez lépjen az Azure Portalra, válassza ki a projektet, a beállításokat, a tulajdonságokat és a munkaterület azonosítóját.

Korlátozások

• A privát Azure AI-szolgáltatások és az Azure AI Search nem támogatottak.
• Az Azure AI Studio-játszótér "Adatok hozzáadása" funkciója nem támogatja a privát tárfiókot.
• A Mozilla Firefox használata esetén problémák léphetnek fel a központ privát végpontjának elérésekor. Ez a probléma a HTTPS-en keresztüli DNS-sel kapcsolatos lehet a Mozilla Firefoxban. Javasoljuk a Microsoft Edge vagy a Google Chrome használatát.

Következő lépések

• Azure AI Studio-projekt létrehozása
• További információ az Azure AI Studióról
• További információ az Azure AI Studio hubjairól
• Projekthez való biztonságos kapcsolat hibaelhárítása