Megosztás a következőn keresztül:

A RAG-munkafolyamatok védelme hálózati elkülönítéssel (előzetes verzió)

  • Cikk

Az Azure Machine Learning privát hálózataival két hálózatkezelési lehetőséggel biztonságossá teheti a lekéréses kiterjesztett generációs (RAG) folyamatokat. Ezek a lehetőségek a következők: Felügyelt virtuális hálózat, amely a házon belüli ajánlat, vagy a "Saját" virtuális hálózat használata, amely akkor hasznos, ha teljes körű ellenőrzést szeretne végezni a virtuális hálózatok / alhálózatok, tűzfalak, hálózati biztonsági csoport szabályainak stb. beállítása felett.

Az Azure Machine Learning által felügyelt hálózati lehetőségen belül két biztonságos alopció érhető el, amelyek közül választhat: Az internet kimenő engedélyezése és a Csak jóváhagyott kimenő forgalom engedélyezése.

Képernyőkép a felügyelt virtuális hálózatok beállításairól az Azure Machine Learningben.

A beállítástól és a forgatókönyvtől függően az Azure Machine Learning RAG-munkafolyamatai más lépéseket is igényelhetnek a hálózatelkülönítéshez.

Előfeltételek

  • Azure-előfizetés.
  • Hozzáférés az Azure OpenAI szolgáltatáshoz.
  • Biztonságos Azure Machine Learning-munkaterület: a munkaterület felügyelt virtuális hálózatával vagy a "Saját virtuális hálózat beállítása" beállítással.
  • Az Azure Machine Learning-munkaterületen engedélyezett folyamatok kérése. A parancssori folyamatok engedélyezéséhez kapcsolja be a Build AI-megoldásokat az Előzetes verziójú funkciók kezelése panelen található Parancssori folyamattal.

Az Azure Machine Learning Workspace felügyelt virtuális hálózatával

  1. A munkaterület által felügyelt virtuális hálózat engedélyezéséhez kövesse a Munkaterület kezelt hálózati elkülönítés.

  2. Lépjen az Azure Portalra, és válassza a Bal oldali menü Beállítások lapján a Hálózatkezelés lehetőséget.

  3. Ahhoz, hogy a RAG-munkafolyamat kommunikálhasson a privát Azure Cognitive Servicesszel, például az Azure OpenAI-val vagy az Azure AI Searchrel a vektorindex létrehozása során, meg kell határoznia egy kapcsolódó felhasználó kimenő szabályát egy kapcsolódó erőforráshoz. Válassza ki a munkaterület felügyelt kimenő hozzáférését a hálózati beállítások tetején. Ezután válassza a +Felhasználó által definiált kimenő szabály hozzáadása lehetőséget. Adjon meg egy szabálynevet. Ezután jelölje ki azt az erőforrást, amelyhez hozzá szeretné adni a szabályt az Erőforrásnév szövegmező használatával.

    Az Azure Machine Learning-munkaterület létrehoz egy privát végpontot a kapcsolódó erőforrásban az automatikus hitelesítéssel. Ha az állapot függőben beragad, lépjen a kapcsolódó erőforrásra a privát végpont manuális jóváhagyásához.

    Képernyőkép az Azure Studio azon helyéről, ahol privát Cognitive Services-felhasználó kimenő szabályt vehet fel.

  4. Lépjen a munkaterülethez társított tárfiók beállításaihoz. A bal oldali menüben válassza a Hozzáférés-vezérlés (IAM) lehetőséget. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. Storage Table Data Contributor és Storage Blob Data Közreműködői hozzáférés hozzáadása a munkaterület felügyelt identitásához. Ez elvégezhető a Storage Table Data Contributor és a Storage Blob Data Közreműködő beírásával a keresősávba. Ezt a lépést és a következő lépést kétszer kell elvégeznie. Egyszer a Blob Közreműködő, a második alkalommal pedig a Tábla közreműködője.

  5. Győződjön meg arról, hogy a Felügyelt identitás lehetőség van kiválasztva. Ezután válassza a Tagok kiválasztása lehetőséget. Válassza az Azure Machine Learning-munkaterületet a felügyelt identitás legördülő menüjében. Ezután válassza ki a munkaterület felügyelt identitását.

    Képernyőkép a munkaterület felügyelt identitásának blob- vagy táblahozzáféréshez való hozzáadásának helyéről az Azure Studio Tárfiókjában.

  6. (nem kötelező) Kimenő teljes tartománynév-szabály hozzáadásához az Azure Portalon válassza a Hálózatkezelés lehetőséget a bal oldali menü Beállítások lapján. Válassza ki a munkaterület felügyelt kimenő hozzáférését a hálózati beállítások tetején. Ezután válassza a +Felhasználó által definiált kimenő szabály hozzáadása lehetőséget. Válassza az FQDN-szabályt a Céltípus csoportban. Adja meg a végpont URL-címét az FQDN-célhelyen. A végpont URL-címének megkereséséhez keresse meg az Üzembe helyezett végpontokat az Azure Portalon, válassza ki a kívánt végpontokat, és másolja a végpont URL-címét a részletek szakaszból.

Ha csak engedélyezett kimenő felügyelt Vnet-munkaterületet és Azure OpenAI-erőforrást public használ, hozzá kell adnia egy kimenő teljes tartománynév-szabályt az Azure OpenAI-végponthoz. Ez lehetővé teszi az adatsík műveleteit, amelyek szükségesek a beágyazások RAG-ban való végrehajtásához. Enélkül az AOAI-erőforrás még akkor sem érhető el, ha nyilvános.

  1. (nem kötelező) Az adatfájlok előzetes feltöltéséhez vagy a helyi mappafeltöltés raghoz való használatához, ha a tárfiók privát, a munkaterületet egy virtuális hálózat mögötti virtuális gépről kell elérni, az alhálózatot pedig engedélyezni kell a tárfiókban. Ezt a Tárfiók, majd a Hálózatkezelés beállítás kiválasztásával teheti meg. Válassza az Engedélyezés lehetőséget a kiválasztott virtuális hálózathoz és IP-címekhez, majd adja hozzá a munkaterület alhálózatát.

    Képernyőkép a biztonságos adatfeltöltés privát tárolási beállításainak követelményeiről.

    Ebből az oktatóanyagból megtudhatja , hogyan csatlakozhat privát tárolóhoz egy Azure-beli virtuális gépről.

Byo egyéni virtuális hálózattal

  1. Válassza a Saját virtuális hálózat használata az Azure Machine Learning-munkaterület konfigurálásakor lehetőséget. Ebben a forgatókönyvben a felhasználónak kell megfelelően konfigurálnia a hálózati szabályokat és a privát végpontokat a kapcsolódó erőforrásokhoz, mivel a munkaterület nem konfigurálja automatikusan.

  2. A Vektorindex létrehozása varázslóban válassza ki a Számítási példány vagy a Számítási fürt lehetőséget a számítási beállítások legördülő listájából, mivel ez a forgatókönyv nem támogatott a kiszolgáló nélküli számítással.

Gyakori problémák elhárítása

  • Ha a munkaterület olyan hálózattal kapcsolatos problémákba ütközik, amelyek miatt a számítás nem tud számítást létrehozni vagy elindítani, próbáljon meg hozzáadni egy helyőrző FQDN-szabályt a munkaterület Hálózat lapján az Azure Portalon, hogy elindítsa a felügyelt hálózati frissítést. Ezután hozza létre újra a Compute-t az Azure Machine Learning-munkaterületen.

  • Előfordulhat, hogy hibaüzenet jelenik meg a < Resource > is not registered with Microsoft.Network resource provider. következővel kapcsolatban: Ebben az esetben győződjön meg arról, hogy az AOAI/ACS-erőforrás regisztrálva van egy Microsoft Hálózati erőforrás-szolgáltatónál. Ehhez lépjen az Előfizetés, majd az Erőforrás-szolgáltatók elemre a felügyelt virtuális hálózat munkaterületével azonos bérlőhöz.

Feljegyzés

A munkaterületen az első kiszolgáló nélküli feladat várhatóan további 10–15 percet fog várólistára tenni, míg a felügyelt hálózat első alkalommal épít ki privát végpontokat. A számítási példány és a számítási fürt használatával ez a folyamat a számítás létrehozása során történik.

Következő lépések