Menggunakan koleksi Katalog Model dengan jaringan virtual terkelola ruang kerja
Dalam artikel ini, Anda mempelajari cara menggunakan berbagai koleksi di Katalog Model dalam jaringan yang terisolasi.
Jaringan virtual yang dikelola ruang kerja adalah satu-satunya cara untuk mendukung isolasi jaringan dengan Katalog Model. Ini menyediakan konfigurasi yang mudah untuk mengamankan ruang kerja Anda. Setelah Anda mengaktifkan jaringan virtual terkelola di tingkat ruang kerja, sumber daya yang terkait dengan ruang kerja di jaringan virtual yang sama, akan menggunakan pengaturan jaringan yang sama di tingkat ruang kerja. Anda juga dapat mengonfigurasi ruang kerja untuk menggunakan titik akhir privat untuk mengakses sumber daya Azure lainnya seperti Azure OpenAI. Selain itu, Anda dapat mengonfigurasi aturan FQDN untuk menyetujui keluar ke sumber daya non-Azure, yang diperlukan untuk menggunakan beberapa koleksi di Katalog Model. Lihat cara isolasi jaringan terkelola Ruang Kerja untuk mengaktifkan jaringan virtual terkelola ruang kerja.
Pembuatan jaringan virtual terkelola ditangguhkan hingga sumber daya komputasi dibuat atau provisi dimulai secara manual. Anda dapat menggunakan perintah berikut untuk memicu provisi jaringan secara manual.
az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>
Jaringan virtual terkelola ruang kerja untuk memungkinkan internet keluar
Konfigurasikan ruang kerja dengan jaringan virtual terkelola untuk mengizinkan internet keluar dengan mengikuti langkah-langkah yang tercantum di sini.
Jika Anda memilih untuk mengatur akses jaringan publik ke ruang kerja ke dinonaktifkan, Anda bisa tersambung ke ruang kerja menggunakan salah satu metode berikut:
Gateway VPN Azure - Menyambungkan jaringan lokal ke jaringan virtual melalui koneksi privat. Koneksi dibuat melalui internet publik. Ada dua jenis gateway VPN yang mungkin Anda gunakan:
- Titik-ke-situs: Setiap komputer klien menggunakan klien VPN untuk terhubung ke jaringan virtual.
- Situs-ke-situs: Perangkat VPN menyambungkan jaringan virtual ke jaringan lokal Anda.
ExpressRoute - Menyambungkan jaringan lokal ke cloud melalui koneksi privat. Koneksi dibuat menggunakan penyedia konektivitas.
Azure Bastion - Dalam skenario ini, Anda membuat Azure Virtual Machine (terkadang disebut jump box) di dalam jaringan virtual. Anda kemudian tersambung ke VM menggunakan Azure Bastion. Bastion memungkinkan Anda untuk tersambung ke VM menggunakan sesi RDP atau SSH dari browser web lokal Anda. Anda kemudian menggunakan jump box sebagai lingkungan pengembangan Anda. Karena berada di dalam jaringan virtual, jaringan tersebut dapat langsung mengakses ruang kerja.
Karena jaringan virtual yang dikelola ruang kerja dapat mengakses internet dalam konfigurasi ini, Anda dapat bekerja dengan semua Koleksi di Katalog Model dari dalam ruang kerja.
Jaringan virtual terkelola ruang kerja untuk mengizinkan hanya keluar yang disetujui
- Konfigurasikan ruang kerja dengan mengikuti isolasi jaringan terkelola Ruang Kerja. Di langkah 3 tutorial saat memilih Akses keluar yang dikelola Ruang Kerja, pilih Izinkan Hanya Disetujui Keluar.
- Jika Anda mengatur akses jaringan publik ke ruang kerja ke dinonaktifkan, Anda dapat terhubung ke ruang kerja menggunakan salah satu metode seperti yang tercantum di langkah 2 dari bagian izinkan internet keluar dari tutorial ini.
- Ruang kerja mengelola jaringan virtual diatur ke konfigurasi yang diizinkan saja. Anda harus menambahkan aturan keluar yang ditentukan pengguna yang sesuai untuk mengizinkan semua FQDN yang relevan.
Bekerja dengan model sumber terbuka yang dikumpulkan oleh Azure Pembelajaran Mesin
Jaringan virtual yang dikelola ruang kerja untuk mengizinkan hanya keluar yang disetujui menggunakan Kebijakan Titik Akhir Layanan ke akun penyimpanan terkelola Azure Pembelajaran Mesin, untuk membantu mengakses model dalam koleksi yang dikumpulkan oleh Azure Pembelajaran Mesin secara langsung. Mode konfigurasi ruang kerja ini juga memiliki keluar default ke Microsoft Container Registry yang berisi gambar docker yang digunakan untuk menyebarkan model.
Model bahasa dalam koleksi 'Dikurasi oleh Azure AI'
Model-model ini melibatkan penginstalan dependensi dinamis pada runtime. Untuk menambahkan aturan keluar yang ditentukan pengguna, ikuti langkah empat untuk menggunakan koleksi AI Yang Dikurasi oleh Azure, pengguna harus menambahkan aturan keluar yang ditentukan pengguna untuk FQDN berikut di tingkat ruang kerja:
*.anaconda.org*.anaconda.comanaconda.compypi.org*.pythonhosted.org*.pytorch.orgpytorch.org
Ikuti Langkah 4 dalam tutorial jaringan virtual terkelola untuk menambahkan aturan keluar yang ditentukan pengguna yang sesuai.
Peringatan
Aturan keluar FQDN diimplementasikan menggunakan Azure Firewall. Jika Anda menggunakan aturan FQDN keluar, biaya untuk Azure Firewall disertakan dalam tagihan Anda. Untuk informasi selengkapnya, lihat Harga.
Koleksi meta
Pengguna dapat bekerja dengan koleksi ini di ruang kerja terisolasi jaringan tanpa memerlukan aturan keluar yang ditentukan pengguna lain.
Catatan
Koleksi baru yang dikumpulkan sering ditambahkan ke Katalog Model. Kami akan memperbarui dokumentasi ini untuk mencerminkan dukungan di jaringan privat untuk berbagai koleksi.
Bekerja dengan koleksi Hugging Face
Bobot model tidak dihosting di Azure jika Anda menggunakan registri Hugging Face. Bobot model diunduh langsung dari Hugging Face hub ke titik akhir online di ruang kerja Anda selama penyebaran. Pengguna perlu menambahkan aturan FQDN keluar berikut untuk Memeluk Face Hub, Docker Hub, dan CDN mereka untuk memungkinkan lalu lintas ke host berikut:
docker.iohuggingface.coproduction.cloudflare.docker.comcdn-lfs.huggingface.cocdn.auth0.com
Ikuti Langkah 4 dalam tutorial jaringan virtual terkelola untuk menambahkan aturan keluar yang ditentukan pengguna yang sesuai.
Langkah berikutnya
- Pelajari cara memecahkan masalah jaringan virtual terkelola