A RAG-munkafolyamatok védelme hálózati elkülönítéssel (előzetes verzió)
Az Azure Machine Learning privát hálózataival két hálózatkezelési lehetőséggel biztonságossá teheti a lekéréses kiterjesztett generációs (RAG) folyamatokat. Ezek a lehetőségek a következők: Felügyelt virtuális hálózat, amely a házon belüli ajánlat, vagy a "Saját" virtuális hálózat használata, amely akkor hasznos, ha teljes körű ellenőrzést szeretne végezni a virtuális hálózatok / alhálózatok, tűzfalak, hálózati biztonsági csoport szabályainak stb. beállítása felett.
Az Azure Machine Learning által felügyelt hálózati lehetőségen belül két biztonságos alopció érhető el, amelyek közül választhat: Az internet kimenő engedélyezése és a Csak jóváhagyott kimenő forgalom engedélyezése.
A beállítástól és a forgatókönyvtől függően az Azure Machine Learning RAG-munkafolyamatai más lépéseket is igényelhetnek a hálózatelkülönítéshez.
Előfeltételek
- Azure-előfizetés.
- Hozzáférés az Azure OpenAI szolgáltatáshoz.
- Biztonságos Azure Machine Learning-munkaterület: a munkaterület felügyelt virtuális hálózatával vagy a "Saját virtuális hálózat beállítása" beállítással.
- Az Azure Machine Learning-munkaterületen engedélyezett folyamatok kérése. A parancssori folyamatok engedélyezéséhez kapcsolja be a Build AI-megoldásokat az Előzetes verziójú funkciók kezelése panelen található Parancssori folyamattal.
Az Azure Machine Learning Workspace felügyelt virtuális hálózatával
A munkaterület által felügyelt virtuális hálózat engedélyezéséhez kövesse a Munkaterület kezelt hálózati elkülönítés.
Lépjen az Azure Portalra, és válassza a Bal oldali menü Beállítások lapján a Hálózatkezelés lehetőséget.
Ahhoz, hogy a RAG-munkafolyamat kommunikálhasson a privát Azure Cognitive Servicesszel, például az Azure OpenAI-val vagy az Azure AI Searchrel a vektorindex létrehozása során, meg kell határoznia egy kapcsolódó felhasználó kimenő szabályát egy kapcsolódó erőforráshoz. Válassza ki a munkaterület felügyelt kimenő hozzáférését a hálózati beállítások tetején. Ezután válassza a +Felhasználó által definiált kimenő szabály hozzáadása lehetőséget. Adjon meg egy szabálynevet. Ezután jelölje ki azt az erőforrást, amelyhez hozzá szeretné adni a szabályt az Erőforrásnév szövegmező használatával.
Az Azure Machine Learning-munkaterület létrehoz egy privát végpontot a kapcsolódó erőforrásban az automatikus hitelesítéssel. Ha az állapot függőben beragad, lépjen a kapcsolódó erőforrásra a privát végpont manuális jóváhagyásához.
Lépjen a munkaterülethez társított tárfiók beállításaihoz. A bal oldali menüben válassza a Hozzáférés-vezérlés (IAM) lehetőséget. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. Storage Table Data Contributor és Storage Blob Data Közreműködői hozzáférés hozzáadása a munkaterület felügyelt identitásához. Ez elvégezhető a Storage Table Data Contributor és a Storage Blob Data Közreműködő beírásával a keresősávba. Ezt a lépést és a következő lépést kétszer kell elvégeznie. Egyszer a Blob Közreműködő, a második alkalommal pedig a Tábla közreműködője.
Győződjön meg arról, hogy a Felügyelt identitás lehetőség van kiválasztva. Ezután válassza a Tagok kiválasztása lehetőséget. Válassza az Azure Machine Learning-munkaterületet a felügyelt identitás legördülő menüjében. Ezután válassza ki a munkaterület felügyelt identitását.
(nem kötelező) Kimenő teljes tartománynév-szabály hozzáadásához az Azure Portalon válassza a Hálózatkezelés lehetőséget a bal oldali menü Beállítások lapján. Válassza ki a munkaterület felügyelt kimenő hozzáférését a hálózati beállítások tetején. Ezután válassza a +Felhasználó által definiált kimenő szabály hozzáadása lehetőséget. Válassza az FQDN-szabályt a Céltípus csoportban. Adja meg a végpont URL-címét az FQDN-célhelyen. A végpont URL-címének megkereséséhez keresse meg az Üzembe helyezett végpontokat az Azure Portalon, válassza ki a kívánt végpontokat, és másolja a végpont URL-címét a részletek szakaszból.
Ha csak engedélyezett kimenő felügyelt Vnet-munkaterületet és Azure OpenAI-erőforrást public
használ, hozzá kell adnia egy kimenő teljes tartománynév-szabályt az Azure OpenAI-végponthoz. Ez lehetővé teszi az adatsík műveleteit, amelyek szükségesek a beágyazások RAG-ban való végrehajtásához. Enélkül az AOAI-erőforrás még akkor sem érhető el, ha nyilvános.
(nem kötelező) Az adatfájlok előzetes feltöltéséhez vagy a helyi mappafeltöltés raghoz való használatához, ha a tárfiók privát, a munkaterületet egy virtuális hálózat mögötti virtuális gépről kell elérni, az alhálózatot pedig engedélyezni kell a tárfiókban. Ezt a Tárfiók, majd a Hálózatkezelés beállítás kiválasztásával teheti meg. Válassza az Engedélyezés lehetőséget a kiválasztott virtuális hálózathoz és IP-címekhez, majd adja hozzá a munkaterület alhálózatát.
Ebből az oktatóanyagból megtudhatja , hogyan csatlakozhat privát tárolóhoz egy Azure-beli virtuális gépről.
Byo egyéni virtuális hálózattal
Válassza a Saját virtuális hálózat használata az Azure Machine Learning-munkaterület konfigurálásakor lehetőséget. Ebben a forgatókönyvben a felhasználónak kell megfelelően konfigurálnia a hálózati szabályokat és a privát végpontokat a kapcsolódó erőforrásokhoz, mivel a munkaterület nem konfigurálja automatikusan.
A Vektorindex létrehozása varázslóban válassza ki a Számítási példány vagy a Számítási fürt lehetőséget a számítási beállítások legördülő listájából, mivel ez a forgatókönyv nem támogatott a kiszolgáló nélküli számítással.
Gyakori problémák elhárítása
Ha a munkaterület olyan hálózattal kapcsolatos problémákba ütközik, amelyek miatt a számítás nem tud számítást létrehozni vagy elindítani, próbáljon meg hozzáadni egy helyőrző FQDN-szabályt a munkaterület Hálózat lapján az Azure Portalon, hogy elindítsa a felügyelt hálózati frissítést. Ezután hozza létre újra a Compute-t az Azure Machine Learning-munkaterületen.
Előfordulhat, hogy hibaüzenet jelenik meg a
< Resource > is not registered with Microsoft.Network resource provider.
következővel kapcsolatban: Ebben az esetben győződjön meg arról, hogy az AOAI/ACS-erőforrás regisztrálva van egy Microsoft Hálózati erőforrás-szolgáltatónál. Ehhez lépjen az Előfizetés, majd az Erőforrás-szolgáltatók elemre a felügyelt virtuális hálózat munkaterületével azonos bérlőhöz.
Feljegyzés
A munkaterületen az első kiszolgáló nélküli feladat várhatóan további 10–15 percet fog várólistára tenni, míg a felügyelt hálózat első alkalommal épít ki privát végpontokat. A számítási példány és a számítási fürt használatával ez a folyamat a számítás létrehozása során történik.