Configurare reti virtuali di Servizi di Azure AI
I servizi di intelligenza artificiale di Azure offrono un modello di sicurezza a più livelli. Questo modello consente di proteggere gli account dei servizi di intelligenza artificiale di Azure in un subset specifico di reti. Quando sono configurate regole di rete, solo le applicazioni che richiedono dati nel set specificato di reti possono accedere all'account. È possibile limitare l'accesso alle risorse con il filtro delle richieste, che consente le richieste che hanno origine solo da indirizzi IP, intervalli IP o da un elenco di subnet in Azure Rete virtuale s.
Un'applicazione che accede a una risorsa dei servizi di intelligenza artificiale di Azure quando le regole di rete sono effettive richiede l'autorizzazione. L'autorizzazione è supportata con le credenziali di Microsoft Entra ID o con una chiave API valida.
Importante
L'attivazione delle regole del firewall per l'account dei servizi di intelligenza artificiale di Azure blocca le richieste in ingresso per i dati per impostazione predefinita. Per consentire le richieste, è necessario soddisfare una delle condizioni seguenti:
- La richiesta ha origine da un servizio che opera all'interno di un Rete virtuale di Azure nell'elenco delle subnet consentite dell'account dei servizi di intelligenza artificiale di Azure di destinazione. La richiesta di endpoint originata dalla rete virtuale deve essere impostata come sottodominio personalizzato dell'account dei servizi di intelligenza artificiale di Azure.
- La richiesta ha origine da un elenco di indirizzi IP consentiti.
Le richieste bloccate includono quelle provenienti da altri servizi di Azure, dal portale di Azure e dai servizi di registrazione e metriche.
Nota
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Scenari
Per proteggere la risorsa dei servizi di intelligenza artificiale di Azure, è prima necessario configurare una regola per negare l'accesso al traffico da tutte le reti, incluso il traffico Internet, per impostazione predefinita. Configurare quindi le regole che concedono l'accesso al traffico da reti virtuali specifiche. Questa configurazione consente di creare un limite di rete protetto per le applicazioni. È anche possibile configurare regole per concedere l'accesso al traffico da intervalli di indirizzi IP Internet pubblici e abilitare le connessioni da client Internet o locali specifici.
Le regole di rete vengono applicate a tutti i protocolli di rete per i servizi di intelligenza artificiale di Azure, tra cui REST e WebSocket. Per accedere ai dati usando strumenti come le console di test di Azure, è necessario configurare regole di rete esplicite. È possibile applicare regole di rete alle risorse dei servizi di intelligenza artificiale di Azure esistenti o quando si creano nuove risorse dei servizi di intelligenza artificiale di Azure. Dopo l'applicazione delle regole di rete, vengono applicate per tutte le richieste.
Offerte di servizi e aree supportate
Le reti virtuali sono supportate nelle aree in cui sono disponibili i servizi di intelligenza artificiale di Azure. I servizi di intelligenza artificiale di Azure supportano i tag del servizio per la configurazione delle regole di rete. I servizi elencati di seguito sono inclusi nel tag del CognitiveServicesManagement servizio.
- Rilevamento anomalie
- OpenAI di Azure
- Content Moderator
- Visione personalizzata
- Viso
- Language Understanding (LUIS)
- Personalizza esperienze
- Servizio Voce
- Lingua
- QnA Maker
- Traduttore
Nota
Se si usa Azure OpenAI, LUIS, Speech Services o Servizi linguistici, il CognitiveServicesManagement tag consente solo di usare il servizio usando l'SDK o l'API REST. Per accedere e usare Azure OpenAI Studio, il portale LUIS, Speech Studio o Language Studio da una rete virtuale, è necessario usare i tag seguenti:
AzureActiveDirectoryAzureFrontDoor.FrontendAzureResourceManagerCognitiveServicesManagementCognitiveServicesFrontEndStorage(solo Speech Studio)
Per informazioni sulla configurazione di Azure AI Studio, vedere la documentazione di Azure AI Studio.
Modificare la regola predefinita di accesso alla rete
Per impostazione predefinita, le risorse dei servizi di intelligenza artificiale di Azure accettano connessioni dai client in qualsiasi rete. Per poter limitare l'accesso alle sole reti selezionate, è necessario modificare l'azione predefinita.
Avviso
Le modifiche apportate alle regole di rete possono influire sulla capacità delle applicazioni di connettersi ai servizi di intelligenza artificiale di Azure. L'impostazione della regola di rete predefinita Nega blocca qualsiasi accesso ai dati, a meno che non vengano applicate anche regole di rete specifiche che concedono l'accesso.
Prima di modificare la regola predefinita per negare l'accesso, assicurarsi di concedere l'accesso a tutte le reti consentite usando le regole di rete. Se si consente di elencare gli indirizzi IP per la rete locale, assicurarsi di aggiungere tutti i possibili indirizzi IP pubblici in uscita dalla rete locale.
Gestire le regole di accesso alla rete predefinite
È possibile gestire le regole di accesso di rete predefinite per le risorse dei servizi di intelligenza artificiale di Azure tramite le portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.
Passare alla risorsa dei servizi di intelligenza artificiale di Azure da proteggere.
Selezionare Gestione risorse per espanderla e quindi selezionare Rete.
Per negare l'accesso per impostazione predefinita, in Firewall e reti virtuali selezionare Reti selezionate ed endpoint privati.
Con questa impostazione da sola, non accompagnata da reti virtuali configurate o intervalli di indirizzi, l'accesso viene effettivamente negato. Quando viene negato tutto l'accesso, le richieste che tentano di utilizzare la risorsa dei servizi di intelligenza artificiale di Azure non sono consentite. Le portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure possono comunque essere usate per configurare la risorsa dei servizi di intelligenza artificiale di Azure.
Per consentire il traffico proveniente da tutte le reti, selezionare Tutte le reti.
Seleziona Salva per applicare le modifiche.
Concedere l'accesso da una rete virtuale
È possibile configurare le risorse dei servizi di intelligenza artificiale di Azure per consentire l'accesso solo da subnet specifiche. Le subnet consentite possono appartenere a una rete virtuale nella stessa sottoscrizione o in una sottoscrizione diversa. L'altra sottoscrizione può appartenere a un tenant Microsoft Entra diverso. Quando la subnet appartiene a una sottoscrizione diversa, è necessario registrare anche il provider di risorse Microsoft.CognitiveServices per tale sottoscrizione.
Abilitare un endpoint di servizio per i servizi di intelligenza artificiale di Azure all'interno della rete virtuale. L'endpoint di servizio instrada il traffico dalla rete virtuale attraverso un percorso ottimale al servizio di intelligenza artificiale di Azure. Per altre informazioni, vedere Rete virtuale endpoint di servizio.
Con ogni richiesta vengono anche trasmesse le identità della subnet e della rete virtuale. Amministrazione istrator può quindi configurare le regole di rete per la risorsa dei servizi di intelligenza artificiale di Azure per consentire le richieste da subnet specifiche in una rete virtuale. I client a cui è concesso l'accesso da queste regole di rete devono continuare a soddisfare i requisiti di autorizzazione della risorsa dei servizi di intelligenza artificiale di Azure per accedere ai dati.
Ogni risorsa dei servizi di intelligenza artificiale di Azure supporta fino a 100 regole di rete virtuale, che possono essere combinate con le regole di rete IP. Per altre informazioni, vedere Concedere l'accesso da un intervallo IP Internet più avanti in questo articolo.
Impostare le autorizzazioni necessarie
Per applicare una regola di rete virtuale a una risorsa dei servizi di intelligenza artificiale di Azure, sono necessarie le autorizzazioni appropriate per le subnet da aggiungere. L'autorizzazione necessaria è il ruolo Collaboratore predefinito o Collaboratoreservizi cognitivi. Le autorizzazioni necessarie possono essere aggiunte anche alle definizioni di ruolo personalizzate.
La risorsa dei servizi di intelligenza artificiale di Azure e le reti virtuali a cui viene concesso l'accesso potrebbero trovarsi in sottoscrizioni diverse, incluse le sottoscrizioni che fanno parte di un diverso tenant di Microsoft Entra.
Nota
La configurazione delle regole che concedono l'accesso alle subnet nelle reti virtuali che fanno parte di un tenant Microsoft Entra diverso è attualmente supportata solo tramite PowerShell, l'interfaccia della riga di comando di Azure e le API REST. È possibile visualizzare queste regole nella portale di Azure, ma non è possibile configurarle.
Configurare le regole di rete virtuale
È possibile gestire le regole di rete virtuale per le risorse dei servizi di intelligenza artificiale di Azure tramite le portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.
Per concedere l'accesso a una rete virtuale con una regola di rete esistente:
Passare alla risorsa dei servizi di intelligenza artificiale di Azure da proteggere.
Selezionare Gestione risorse per espanderla e quindi selezionare Rete.
Verificare che sia stata selezionata l'opzione Reti selezionate ed Endpoint privati.
In Consenti l'accesso da selezionare Aggiungi rete virtuale esistente.
Selezionare le opzioni Reti virtuali e Subnet e quindi selezionare Abilita.
Nota
Se un endpoint di servizio per i servizi di intelligenza artificiale di Azure non è stato configurato in precedenza per la rete virtuale e le subnet selezionate, è possibile configurarlo come parte di questa operazione.
Attualmente, solo le reti virtuali che appartengono allo stesso tenant di Microsoft Entra sono disponibili per la selezione durante la creazione della regola. Per concedere l'accesso a una subnet in una rete virtuale appartenente a un altro tenant, usare PowerShell, l'interfaccia della riga di comando di Azure o le API REST.
Seleziona Salva per applicare le modifiche.
Per creare una nuova rete virtuale e concedergli l'accesso:
Nella stessa pagina della procedura precedente selezionare Aggiungi nuova rete virtuale.
Specificare le informazioni necessarie per creare la nuova rete virtuale e quindi selezionare Crea.
Seleziona Salva per applicare le modifiche.
Per rimuovere una regola di rete virtuale o subnet:
Nella stessa pagina delle procedure precedenti selezionare ... (Altre opzioni) per aprire il menu di scelta rapida per la rete virtuale o la subnet e selezionare Rimuovi.
Seleziona Salva per applicare le modifiche.
Importante
Assicurarsi di impostare la regola predefinita su Nega. In caso contrario le regole di rete non hanno alcun effetto.
Concedere l'accesso da un intervallo IP di Internet
È possibile configurare le risorse dei servizi di intelligenza artificiale di Azure per consentire l'accesso da intervalli di indirizzi IP Internet pubblici specifici. Questa configurazione concede l'accesso a servizi e reti locali specifici, che bloccano efficacemente il traffico Internet generale.
È possibile specificare gli intervalli di indirizzi Internet consentiti usando il formato CIDR (RFC 4632) nel formato 192.168.0.0/16 o come singoli indirizzi IP, ad 192.168.0.1esempio .
Suggerimento
Gli intervalli di indirizzi di piccole dimensioni che usano /31 o /32 le dimensioni del prefisso non sono supportati. Configurare questi intervalli usando singole regole di indirizzo IP.
Le regole di rete per gli IP sono consentite solo per gli indirizzi IP della rete Internet pubblica. Gli intervalli di indirizzi IP riservati per le reti private non sono consentiti nelle regole IP. Le reti private includono indirizzi che iniziano con 10.*,172.31.*172.16.* - e .192.168.* Per altre informazioni, vedere Spazio indirizzi privato (RFC 1918).
Attualmente sono supportati solo gli indirizzi IPv4. Ogni risorsa dei servizi di intelligenza artificiale di Azure supporta fino a 100 regole di rete IP, che possono essere combinate con regole di rete virtuale.
Configurare l'accesso dalle reti locali
Per concedere l'accesso dalle reti locali alla risorsa dei servizi di intelligenza artificiale di Azure con una regola di rete IP, identificare gli indirizzi IP con connessione Internet usati dalla rete. Per assistenza contattare l'amministratore di rete.
Se si usa Azure ExpressRoute locale per il peering pubblico o il peering Microsoft, è necessario identificare gli indirizzi IP NAT. Per altre informazioni, vedere Informazioni su Azure ExpressRoute.
Per il peering pubblico, per impostazione predefinita ogni circuito ExpressRoute usa due indirizzi IP NAT. Ogni oggetto viene applicato al traffico del servizio di Azure quando il traffico entra nel backbone della rete di Microsoft Azure. Per il peering Microsoft, gli indirizzi IP NAT usati sono forniti dal cliente o forniti dal provider di servizi. Per consentire l'accesso alle risorse del servizio è necessario autorizzare questi indirizzi IP pubblici nell'impostazione del firewall IP per le risorse.
Per trovare gli indirizzi IP del circuito ExpressRoute del peering pubblico, aprire un ticket di supporto con ExpressRoute usare il portale di Azure. Per altre informazioni, vedere Requisiti NAT per il peering pubblico di Azure.
Gestione delle regole di rete IP
È possibile gestire le regole di rete IP per le risorse dei servizi di intelligenza artificiale di Azure tramite il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.
Passare alla risorsa dei servizi di intelligenza artificiale di Azure da proteggere.
Selezionare Gestione risorse per espanderla e quindi selezionare Rete.
Verificare che sia stata selezionata l'opzione Reti selezionate ed Endpoint privati.
In Firewall e reti virtuali individuare l'opzione Intervallo di indirizzi . Per concedere l'accesso a un intervallo IP Internet, immettere l'indirizzo IP o l'intervallo di indirizzi (in formato CIDR). Vengono accettati solo indirizzi IP pubblici validi (non validi).
Per rimuovere una regola di rete IP, selezionare l'icona del cestino accanto all'intervallo di indirizzi.
Seleziona Salva per applicare le modifiche.
Importante
Assicurarsi di impostare la regola predefinita su Nega. In caso contrario le regole di rete non hanno alcun effetto.
Usare endpoint privati
È possibile usare endpoint privati per le risorse dei servizi di intelligenza artificiale di Azure per consentire ai client in una rete virtuale di accedere in modo sicuro ai dati tramite collegamento privato di Azure. L'endpoint privato usa un indirizzo IP dallo spazio indirizzi della rete virtuale per la risorsa dei servizi di intelligenza artificiale di Azure. Il traffico di rete tra i client nella rete virtuale e la risorsa attraversa la rete virtuale e un collegamento privato nella rete backbone di Microsoft Azure, eliminando così l'esposizione dalla rete Internet pubblica.
Gli endpoint privati per le risorse dei servizi di intelligenza artificiale di Azure consentono di:
- Proteggere la risorsa dei servizi di intelligenza artificiale di Azure configurando il firewall per bloccare tutte le connessioni nell'endpoint pubblico per il servizio Azure per intelligenza artificiale.
- Aumentare la sicurezza per la rete virtuale, consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
- Connettersi in modo sicuro alle risorse dei servizi di intelligenza artificiale di Azure da reti locali che si connettono alla rete virtuale usando Azure Gateway VPN o ExpressRoutes con peering privato.
Informazioni sugli endpoint privati
Un endpoint privato è un'interfaccia di rete speciale per una risorsa di Azure nella rete virtuale. La creazione di un endpoint privato per la risorsa dei servizi di intelligenza artificiale di Azure offre connettività sicura tra i client nella rete virtuale e la risorsa. All'endpoint privato viene assegnato un indirizzo IP incluso nell'intervallo di indirizzi IP della rete virtuale in uso. La connessione tra l'endpoint privato e il servizio azure per intelligenza artificiale usa un collegamento privato sicuro.
Le applicazioni nella rete virtuale possono connettersi al servizio tramite l'endpoint privato senza problemi. Connessione ions usano gli stessi meccanismi di autorizzazione e stringa di connessione usati in altro modo. L'eccezione è Servizi Voce, che richiedono un endpoint separato. Per altre informazioni, vedere Endpoint privati con i servizi Voce in questo articolo. Gli endpoint privati possono essere usati con tutti i protocolli supportati dalla risorsa dei servizi di intelligenza artificiale di Azure, incluso REST.
Gli endpoint privati possono essere creati in subnet che usano endpoint di servizio. I client in una subnet possono connettersi a una risorsa dei servizi di intelligenza artificiale di Azure usando un endpoint privato, usando gli endpoint di servizio per accedere ad altri utenti. Per altre informazioni, vedere Rete virtuale endpoint di servizio.
Quando si crea un endpoint privato per una risorsa dei servizi di intelligenza artificiale di Azure nella rete virtuale, Azure invia una richiesta di consenso per l'approvazione al proprietario della risorsa dei servizi di intelligenza artificiale di Azure. Se l'utente che richiede la creazione dell'endpoint privato è anche proprietario della risorsa, questa richiesta di consenso viene approvata automaticamente.
I proprietari delle risorse dei servizi di intelligenza artificiale di Azure possono gestire le richieste di consenso e gli endpoint privati tramite la scheda Connessione endpoint privato per la risorsa dei servizi di intelligenza artificiale di Azure nella portale di Azure.
Specificare endpoint privati
Quando si crea un endpoint privato, specificare la risorsa dei servizi di intelligenza artificiale di Azure a cui si connette. Per altre informazioni sulla creazione di un endpoint privato, vedere:
- Creare un endpoint privato usando il portale di Azure
- Creare un endpoint privato usando Azure PowerShell
- Creare un endpoint privato usando l'interfaccia della riga di comando di Azure
Connessione agli endpoint privati
Nota
Il servizio OpenAI di Azure usa una zona DNS privata diversa e un server d'inoltro della zona DNS pubblico rispetto ad altri servizi di Intelligenza artificiale di Azure. Per i nomi di zona e server d'inoltro corretti, vedere Configurazione della zona DNS dei servizi di Azure.
I client in una rete virtuale che usano l'endpoint privato usano la stessa stringa di connessione per la risorsa dei servizi di intelligenza artificiale di Azure come client che si connettono all'endpoint pubblico. L'eccezione è il servizio Voce, che richiede un endpoint separato. Per altre informazioni, vedere Usare endpoint privati con il servizio Voce in questo articolo. La risoluzione DNS instrada automaticamente le connessioni dalla rete virtuale alla risorsa dei servizi di intelligenza artificiale di Azure tramite un collegamento privato.
Per impostazione predefinita, Azure crea una zona DNS privata collegata alla rete virtuale con gli aggiornamenti necessari per gli endpoint privati. Se si usa il proprio server DNS, potrebbe essere necessario apportare altre modifiche alla configurazione DNS. Per gli aggiornamenti che potrebbero essere necessari per gli endpoint privati, vedere Applicare le modifiche DNS per gli endpoint privati in questo articolo.
Usare endpoint privati con il servizio Voce
Vedere Usare il servizio Voce tramite un endpoint privato.
Applicare le modifiche DNS per gli endpoint privati
Quando si crea un endpoint privato, il record di risorse DNS CNAME per la risorsa dei servizi di intelligenza artificiale di Azure viene aggiornato a un alias in un sottodominio con il prefisso privatelink. Per impostazione predefinita, Azure crea anche una zona DNS privata che corrisponde al privatelink sottodominio, con i record di risorse DNS A per gli endpoint privati. Per altre informazioni, vedere Che cos'è Azure DNS privato.
Quando si risolve l'URL dell'endpoint dall'esterno della rete virtuale con l'endpoint privato, viene risolto nell'endpoint pubblico della risorsa dei servizi di intelligenza artificiale di Azure. Quando viene risolto dalla rete virtuale che ospita l'endpoint privato, l'URL dell'endpoint viene risolto nell'indirizzo IP dell'endpoint privato.
Questo approccio consente l'accesso alla risorsa dei servizi di intelligenza artificiale di Azure usando la stessa stringa di connessione per i client nella rete virtuale che ospita gli endpoint privati e i client all'esterno della rete virtuale.
Se si usa un server DNS personalizzato nella rete, i client devono essere in grado di risolvere il nome di dominio completo (FQDN) per l'endpoint della risorsa di Servizi di intelligenza artificiale di Azure all'indirizzo IP dell'endpoint privato. Configurare il server DNS per delegare il sottodominio di collegamento privato alla zona DNS privata per la rete virtuale.
Suggerimento
Quando si usa un server DNS personalizzato o locale, è necessario configurare il server DNS per risolvere il nome della risorsa dei servizi di intelligenza artificiale di Azure nel sottodominio nell'indirizzo privatelink IP dell'endpoint privato. Delegare il privatelink sottodominio alla zona DNS privata della rete virtuale. In alternativa, configurare la zona DNS nel server DNS e aggiungere i record DNS A.
Per altre informazioni sulla configurazione del proprio server DNS per supportare gli endpoint privati, vedere le risorse seguenti:
Concedere l'accesso ai servizi di Azure attendibili per Azure OpenAI
È possibile concedere a un subset di servizi di Azure attendibili l'accesso ad Azure OpenAI, mantenendo al contempo le regole di rete per altre app. Questi servizi attendibili useranno quindi l'identità gestita per autenticare il servizio Azure OpenAI. La tabella seguente elenca i servizi che possono accedere ad Azure OpenAI se l'identità gestita di tali servizi ha l'assegnazione di ruolo appropriata.
| Servizio | Nome provider di risorse |
|---|---|
| Servizi di intelligenza artificiale per Azure | Microsoft.CognitiveServices |
| Azure Machine Learning | Microsoft.MachineLearningServices |
| Azure AI Search | Microsoft.Search |
È possibile concedere l'accesso di rete ai servizi di Azure attendibili creando un'eccezione di regola di rete usando l'API REST:
accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Azure AI resource name>"
curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
"properties":
{
"networkAcls": {
"bypass": "AzureServices"
}
}
}
'
Nota
La funzionalità del servizio attendibile è disponibile solo usando la riga di comando descritta in precedenza e non può essere eseguita usando il portale di Azure.
Per revocare l'eccezione, impostare su networkAcls.bypassNone.
Per verificare se il servizio attendibile è stato abilitato dal portale di Azure,
Usare la visualizzazione JSON dalla pagina di panoramica della risorsa OpenAI di Azure
Scegliere la versione più recente dell'API in Versioni API. È supportata solo la versione più recente dell'API.
2023-10-01-preview
Prezzi
Per informazioni dettagliate sui prezzi, vedere Prezzi di Collegamento privato di Azure.
Passaggi successivi
- Esplorare i vari servizi di intelligenza artificiale di Azure
- Altre informazioni sugli endpoint di servizio Rete virtuale