Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
- Dukungan layanan Azure OpenAI untuk perimeter keamanan jaringan berada dalam pratinjau publik di bawah ketentuan penggunaan tambahan. Ini tersedia di wilayah yang menyediakan fitur . Versi pratinjau ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas.
- Tinjau bagian batasan dan pertimbangan sebelum Anda mulai.
Gambaran Umum
Artikel ini menjelaskan cara menggabungkan layanan Azure OpenAI ke perimeter keamanan jaringan untuk mengontrol akses jaringan ke akun Azure OpenAI Anda. Dengan menggabungkan perimeter keamanan jaringan, Anda dapat:
- Catat semua akses ke akun Anda dalam konteks dengan sumber daya Azure lainnya di perimeter yang sama.
- Blokir penyelundupan data apa pun dari akun ke layanan lain di luar perimeter.
- Izinkan akses ke akun Anda menggunakan kemampuan akses masuk dan keluar dari perimeter keamanan jaringan.
Anda dapat menambahkan layanan Azure OpenAI ke perimeter keamanan jaringan di portal Microsoft Azure, seperti yang dijelaskan dalam artikel ini. Atau, Anda dapat menggunakan REST API Azure Virtual Network Manager untuk bergabung dengan layanan, dan menggunakan REST API Manajemen untuk melihat dan menyinkronkan pengaturan konfigurasi.
Batasan dan pertimbangan
Kunci yang dikelola pelanggan Azure OpenAI mungkin tidak berulah seperti yang diharapkan. Sumber daya Azure OpenAI dalam langganan Azure mungkin tidak dapat menggunakan API penyempurnaan atau API asisten.
Kontrol perimeter keamanan jaringan hanya mengatur operasi lapisan data dalam Azure OpenAI, bukan operasi lapisan kontrol. Misalnya, pengguna dapat menyebarkan model dalam sumber daya Azure OpenAI mereka yang diamankan oleh perimeter, tetapi tidak dapat menggunakan model yang disempurnakan, mengunggah file, atau memulai sesi di Chat Playground. Dalam skenario bidang data ini, pesan kesalahan akan menunjukkan bahwa akses diblokir oleh Perimeter Keamanan Jaringan, seperti yang diharapkan.
Untuk layanan Azure OpenAI dalam perimeter keamanan jaringan, sumber daya harus menggunakan sistem atau identitas terkelola yang ditetapkan pengguna dan memiliki penetapan peran yang mengizinkan akses baca ke sumber data.
Pertimbangkan untuk mengamankan dengan perimeter keamanan jaringan saat mengonfigurasi Azure Blob Storage untuk Azure OpenAI. Azure OpenAI sekarang mendukung penggunaan Azure Blob Storage untuk file input dan output Azure OpenAI Batch. Komunikasi aman dengan Blob Storage dan Azure OpenAI dengan menempatkan kedua sumber daya dalam perimeter yang sama. Untuk informasi selengkapnya tentang skenario Azure OpenAI Batch dan Blob Storage, lihat Mengonfigurasi Azure Blob Storage untuk Azure OpenAI.
Prasyarat
Perhatian
Pastikan Anda sepenuhnya memahami batasan dan dampak pada Langganan Azure Anda yang tercantum di bagian sebelumnya sebelum mendaftarkan fitur pratinjau.
Daftarkan fitur perimeter keamanan jaringan dari fitur pratinjau portal Microsoft Azure. Nama fiturnya adalah sebagai berikut:
OpenAI.NspPreviewAllowNSPInPublicPreview
Atau gunakan perintah CLI berikut untuk mendaftarkan dua fitur Pratinjau
az feature registration create --name OpenAI.NspPreview --namespace Microsoft.CognitiveServicesaz feature registration create --name AllowNSPInPublicPreview --namespace Microsoft.Network
Pastikan penyedia Microsoft.CognitiveServices dan Microsoft.Network terdaftar. Untuk memeriksa apakah bendera fitur ada dalam daftar izin, gunakan perintah az feature registration list.
Mengonfigurasi identitas terkelola di akun Azure OpenAI Anda
Untuk mengizinkan akun Penyimpanan mengenali layanan Azure OpenAI Anda melalui autentikasi ID Microsoft Entra, Anda perlu mengaktifkan identitas terkelola untuk layanan Azure OpenAI Anda. Cara termudah adalah dengan mengaktifkan identitas terkelola sistem yang ditetapkan di portal Azure. Peran yang diperlukan untuk akun Penyimpanan Anda adalah "Kontributor Data Blob Penyimpanan." Pastikan peran ditetapkan ke akun Storage Anda dari akun Azure OpenAI Anda.
Menetapkan akun Azure OpenAI ke perimeter keamanan jaringan
Azure Network Security Perimeter memungkinkan administrator untuk menentukan batas isolasi jaringan logis untuk sumber daya PaaS (misalnya, Azure Storage dan Azure SQL Database) yang disebarkan di luar jaringan virtual. Ini membatasi komunikasi ke sumber daya di dalam perimeter, dan memperbolehkan lalu lintas publik dari luar perimeter melalui aturan akses masuk dan keluar.
Anda dapat menambahkan Azure OpenAI ke perimeter keamanan jaringan sehingga semua permintaan terjadi dalam batas keamanan.
Di portal Azure, temukan layanan perimeter keamanan jaringan untuk langganan Anda.
Pilih Sumber Daya Terkait dari menu sebelah kiri.
Pilih Tambahkan>Kaitkan sumber daya dengan profil yang sudah ada.
Pilih profil yang Anda buat saat membuat perimeter keamanan jaringan untuk profil.
Pilih Kaitkan, lalu pilih layanan Azure OpenAI yang Anda buat.
Pilih Kaitkan di bagian kiri bawah layar untuk membuat asosiasi.
Mode akses perimeter keamanan jaringan
Perimeter keamanan jaringan mendukung dua mode akses yang berbeda untuk sumber daya terkait:
| Pengaturan | Deskripsi |
|---|---|
| Mode pembelajaran | Ini adalah mode akses default. Dalam mode pembelajaran, perimeter keamanan jaringan mencatat semua lalu lintas ke layanan Azure OpenAI yang akan ditolak jika perimeter berada dalam mode penegakan. Ini memungkinkan administrator jaringan untuk memahami pola akses yang ada dari layanan Azure OpenAI sebelum menerapkan penegakan aturan akses. |
| Mode yang dipaksakan | Dalam mode Penegakan, perimeter keamanan jaringan mencatat dan menolak semua lalu lintas yang tidak diizinkan secara eksplisit oleh aturan akses. |
Perimeter keamanan jaringan dan pengaturan jaringan layanan Azure OpenAI
Pengaturan publicNetworkAccess menentukan asosiasi layanan Azure OpenAI dengan perimeter keamanan jaringan.
- Dalam mode Pembelajaran,
publicNetworkAccesspengaturan mengontrol akses publik ke sumber daya. - Dalam mode Terapkan, pengaturan
publicNetworkAccessdigantikan oleh aturan perimeter keamanan jaringan. Misalnya, jika layanan Azure OpenAI denganpublicNetworkAccesspengaturanenableddikaitkan dengan batas keamanan jaringan dalam mode diberlakukan, akses ke layanan Azure OpenAI masih dikendalikan oleh aturan akses batas keamanan jaringan.
Mengubah mode akses perimeter keamanan jaringan
Navigasikan ke sumber daya perimeter keamanan jaringan Anda di portal Azure.
Pilih Sumber Daya di menu sebelah kiri.
Temukan layanan Azure OpenAI Anda dalam tabel.
Pilih tiga titik di ujung kanan baris layanan Azure OpenAI. Pilih Ubah mode akses di popup.
Pilih mode akses yang diinginkan dan pilih Terapkan.
Aktifkan akses jaringan pengelogan
Navigasikan ke sumber daya perimeter keamanan jaringan Anda di portal Azure.
Pilih Pengaturan diagnostik di menu sebelah kiri.
Pilih Tambahkan pengaturan diagnostik.
Masukkan nama apa pun seperti "diagnostik" untuk nama pengaturan Diagnostik.
Di bawah Log, pilih
allLogs.allLogsmemastikan semua akses jaringan masuk dan keluar ke sumber daya di perimeter keamanan jaringan Anda dicatat.Di bawah Detail tujuan, pilih Arsipkan ke akun penyimpanan atau Kirim ke ruang kerja Analitik Log. Akun penyimpanan harus berada di wilayah yang sama dengan perimeter keamanan jaringan. Anda dapat menggunakan akun penyimpanan yang sudah ada atau membuat akun baru. Ruang kerja Analitik Log dapat berada di wilayah yang berbeda dari yang digunakan oleh perimeter keamanan jaringan. Anda juga dapat memilih salah satu tujuan lain yang berlaku.
Pilih Simpan untuk membuat pengaturan diagnostik dan mulai mencatat akses jaringan.
Membaca log akses jaringan
Ruang Kerja Log Analytics
Tabel network-security-perimeterAccessLogs berisi semua log untuk setiap kategori log (misalnya network-security-perimeterPublicInboundResourceRulesAllowed). Setiap log berisi catatan akses jaringan ke perimeter keamanan jaringan yang sesuai dengan kategori log.
Berikut adalah contoh network-security-perimeterPublicInboundResourceRulesAllowed format log:
| Nama Kolom | Arti | Contoh Nilai |
|---|---|---|
| Profil | Perimeter keamanan jaringan mana yang dikaitkan dengan layanan Azure OpenAI | defaultProfile |
| Aturan yang Sesuai | Deskripsi JSON tentang aturan yang cocok dengan log | { "accessRule": "IP firewall" } |
| AlamatIP sumber | IP sumber akses jaringan masuk, jika berlaku | 1.1.1.1 |
| Versi Aturan Akses | Versi aturan akses perimeter keamanan jaringan yang digunakan untuk menerapkan aturan akses jaringan | 0 |
Menambahkan aturan akses untuk layanan Azure OpenAI Anda
Profil perimeter keamanan jaringan menentukan aturan yang mengizinkan atau menolak akses melalui perimeter.
Di dalam perimeter, semua sumber daya memiliki akses satu sama lain di tingkat jaringan. Anda masih harus menyiapkan autentikasi dan otorisasi, tetapi di tingkat jaringan, permintaan koneksi dari dalam perimeter diterima.
Untuk sumber daya di luar perimeter keamanan jaringan, Anda harus menentukan aturan akses masuk dan keluar. Aturan masuk menentukan koneksi mana yang akan diizinkan masuk, dan aturan keluar menentukan permintaan mana yang diizinkan keluar.
Nota
Setiap layanan yang terkait dengan perimeter keamanan jaringan secara implisit memungkinkan akses masuk dan keluar ke layanan lain yang terkait dengan perimeter keamanan jaringan yang sama ketika akses tersebut diautentikasi menggunakan identitas terkelola dan penetapan peran. Aturan akses hanya perlu dibuat saat mengizinkan akses di luar perimeter keamanan jaringan, atau untuk akses terautentikasi menggunakan kunci API.
Menambahkan aturan akses masuk
Aturan akses masuk dapat memungkinkan internet dan sumber daya di luar perimeter terhubung dengan sumber daya di dalam perimeter. Perimeter keamanan jaringan mendukung dua jenis aturan akses masuk:
- Rentang alamat IP. Alamat atau rentang IP harus dalam format Classless Inter-Domain Routing (CIDR). Contoh notasi CIDR adalah
192.0.2.0/24, yang mewakili IP yang berkisar dari192.0.2.0hingga192.0.2.255. Jenis aturan ini memungkinkan permintaan masuk dari alamat IP apa pun dalam rentang. - Langganan. Jenis aturan ini memungkinkan akses masuk diautentikasi menggunakan identitas terkelola apa pun dari langganan.
Untuk menambahkan aturan akses masuk di portal Azure:
Navigasikan ke sumber daya perimeter keamanan jaringan Anda di portal Azure.
Pilih Profil di menu sebelah kiri.
Pilih profil yang Anda gunakan dengan perimeter keamanan jaringan Anda.
Pilih Aturan akses masuk di menu sebelah kiri.
Pilih Tambahkan.
Masukkan atau pilih nilai berikut:
Pengaturan Nilai Nama aturan Nama untuk aturan akses masuk (misalnya, MyInboundAccessRule).Jenis Sumber Nilai yang valid adalah rentang alamat IP atau langganan. Sumber yang Diizinkan Jika Anda telah menentukan rentang alamat IP, masukkan rentang alamat IP dalam format CIDR dari mana Anda ingin mengizinkan akses masuk. Rentang IP Azure tersedia di tautan ini. Jika Anda memilih Langganan, gunakan langganan yang ingin Anda izinkan akses masuknya. Pilih Tambahkan untuk membuat aturan akses masuk.
Menambahkan aturan akses keluar
Ingat bahwa dalam pratinjau publik, Azure OpenAI hanya dapat terhubung ke Azure Storage atau Azure Cosmos DB dalam perimeter keamanan. Jika Anda ingin menggunakan sumber data lain, Anda memerlukan aturan akses keluar untuk mendukung koneksi tersebut.
Perimeter keamanan jaringan mendukung aturan akses keluar berdasarkan Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) tujuan. Misalnya, Anda dapat mengizinkan akses keluar dari layanan apa pun yang terkait dengan perimeter keamanan jaringan Anda ke FQDN seperti mystorageaccount.blob.core.windows.net.
Untuk menambahkan aturan akses keluar di portal Azure:
Navigasikan ke sumber daya perimeter keamanan jaringan Anda di portal Azure.
Pilih Profil di menu sebelah kiri.
Pilih profil yang Anda gunakan dengan perimeter keamanan jaringan Anda.
Pilih Aturan akses keluar di menu sebelah kiri.
Pilih Tambahkan.
Masukkan atau pilih nilai berikut:
Pengaturan Nilai Nama aturan Nama untuk aturan akses keluar (misalnya, "MyOutboundAccessRule") Jenis Tujuan Tetap sebagai FQDN Tujuan yang Diizinkan Masukkan daftar FQDN yang dipisahkan koma yang ingin Anda izinkan akses keluarnya Pilih Tambahkan untuk membuat aturan akses keluar.
Menguji koneksi Anda melalui perimeter keamanan jaringan
Untuk menguji koneksi Anda melalui perimeter keamanan jaringan, Anda memerlukan akses ke browser web, baik di komputer lokal dengan koneksi internet atau Azure VM.
Ubah asosiasi perimeter keamanan jaringan Anda ke mode yang diberlakukan untuk mulai memberlakukan persyaratan perimeter keamanan jaringan untuk akses jaringan ke layanan Azure OpenAI Anda.
Tentukan apakah Anda ingin menggunakan komputer lokal atau Azure VM.
Jika Anda menggunakan komputer lokal, Anda perlu mengetahui alamat IP publik Anda.
Jika Anda menggunakan komputer virtual Azure, Anda dapat menggunakan tautan privat atau memeriksa alamat IP menggunakan portal Microsoft Azure.
Dengan menggunakan alamat IP, Anda dapat membuat aturan akses masuk untuk alamat IP tersebut untuk mengizinkan akses. Anda dapat melewati langkah ini jika Anda menggunakan tautan privat.
Terakhir, coba navigasi ke layanan Azure OpenAI di portal Microsoft Azure. Buka layanan Azure OpenAI di Azure AI Foundry. Terapkan model dan ajak model tersebut bicara di Chat Playground. Jika Anda menerima respons, maka perimeter keamanan jaringan dikonfigurasi dengan benar.
Melihat dan mengelola konfigurasi perimeter keamanan jaringan
Anda dapat menggunakan REST API Konfigurasi Perimeter Keamanan Jaringan untuk meninjau dan mendamaikan konfigurasi perimeter.
Pastikan untuk menggunakan versi pratinjau API2024-10-01.