仮想ネットワーク サービス エンドポイント経由で Speech サービスを使用する
Azure 仮想ネットワーク サービス エンドポイントでは、Azure のバックボーン ネットワーク上で最適化されたルートを介して、Azure サービスに安全に直接接続できます。 エンドポイントを使用することで、重要な Azure サービスのリソースを仮想ネットワークのみに限定してセキュリティで保護することができます。 サービス エンドポイントを使用すると、仮想ネットワーク上のパブリック IP アドレスを必要とせずに、仮想ネットワーク内のプライベート IP アドレスを Azure サービスのエンドポイントに接続できます。
この記事では、Azure AI サービスの音声サービスで仮想ネットワーク サービス エンドポイントを設定して使用する方法について説明します。
Note
始める前に、Azure AI サービスで仮想ネットワークを使用する方法に関する記事を確認してください。
この記事では、後で仮想ネットワーク サービス エンドポイントを削除しても引き続き Speech リソースを使用する方法についても説明します。
仮想ネットワーク サービス エンドポイントのシナリオ用に Speech リソースを設定するには、次のことを行う必要があります。
Note
Speech サービスのための仮想ネットワーク サービス エンドポイントの設定と使用は、プライベート エンドポイントの設定と使用に似ています。 この記事では、手順が同じ場合、プライベート エンドポイントの使用に関する記事の対応するセクションを参照します。
プライベート エンドポイントと仮想ネットワーク サービス エンドポイント
Azure では、プライベート Azure バックボーン ネットワーク経由でトンネリングするトラフィックに対して、プライベート エンドポイントと仮想ネットワーク サービス エンドポイントを提供します。 これらの種類のエンドポイントは、目的と、基になるテクノロジが似ています。 しかし、2 つのテクノロジには違いがあります。 ネットワークを設計する前に、両方の長所と短所について学習することをお勧めします。
使用するテクノロジを決定する際には、以下の点を考慮する必要があります。
- どちらのテクノロジでも、仮想ネットワークと Speech リソース間のトラフィックはパブリック インターネットを経由しません。
- プライベート エンドポイントには、音声リソースに専用のプライベート IP アドレスがあります。 この IP アドレスには、特定の仮想ネットワークとサブネット内でのみアクセスできます。 ネットワーク インフラストラクチャ内でこの IP アドレスへのアクセスを完全に制御できます。
- 仮想ネットワーク サービス エンドポイントでは、Speech リソース専用のプライベート IP アドレスは提供されません。 代わりに、Speech リソースに送信されたすべてのパケットはカプセル化され、Azure バックボーン ネットワーク経由で直接配信されます。
- どちらのテクノロジでも、オンプレミスのシナリオをサポートしています。 既定では、仮想ネットワーク サービス エンドポイントを使用する場合、仮想ネットワークでセキュリティ保護された Azure サービス リソースには、オンプレミス ネットワークからはアクセスできません。 しかし、その動作を変更できます。
- 仮想ネットワーク サービス エンドポイントは、トラフィックの発信元の仮想ネットワークに基づいて Speech リソースへのアクセスを制限するために、よく使用されます。
- Azure AI サービスの場合、仮想ネットワーク サービス エンドポイントを有効にすると、すべての Azure AI サービス リソースのトラフィックがプライベート バックボーン ネットワークを経由します。 これには、明示的なネットワーク アクセス構成が必要です。 (詳細については、「仮想ネットワークと Speech リソースのネットワーク設定を構成する」のセクションを参照してください。) プライベート エンドポイントにはこの制限はないので、ネットワーク構成をより柔軟に行うことができます。 同じ仮想ネットワークの同じサブネットを使用し、1 つのリソースにはプライベート バックボーンを介してアクセスし、もう 1 つにはパブリック インターネットを介してアクセスすることができます。
- プライベート エンドポイントには追加コストが発生します。 仮想ネットワーク サービス エンドポイントは、無料です。
- プライベート エンドポイントには、追加の DNS 構成が必要です。
- 1 つの Speech リソースが、プライベート エンドポイントと仮想ネットワーク サービス エンドポイントの両方で同時に動作する場合があります。
運用環境の設計を決定する前に、両方の種類のエンドポイントを試してみることをお勧めします。
詳細については、次のリソースを参照してください。
この記事では、Speech サービスで仮想ネットワーク サービス エンドポイントを使用する方法について説明します。 プライベート エンドポイントの詳細については、「プライベート エンドポイント経由で Speech サービスを使用する」を参照してください。
カスタム ドメイン名を作成する
仮想ネットワーク サービス エンドポイントを使用するには、Azure AI サービスのカスタム サブドメイン名が必要です。 プライベート エンドポイントに関する記事のガイダンスに従って、カスタム ドメインを作成します。 また、このセクションのすべての警告は、仮想ネットワーク サービス エンドポイントにも適用されます。
仮想ネットワークと Speech リソースのネットワーク設定を構成する
サービス エンドポイント経由のアクセスが許可されているすべての仮想ネットワークを Speech リソースのネットワーク プロパティに追加する必要があります。
Note
仮想ネットワーク サービス エンドポイント経由で Speech リソースにアクセスするには、仮想ネットワークの必要なサブネットに対して Microsoft.CognitiveServices
サービス エンドポイントの種類を有効にする必要があります。 これにより、Azure AI サービスに関連するすべてのサブネットのトラフィックがプライベート バックボーン ネットワーク経由でルーティングされます。 同じサブネットから他の Azure AI サービス リソースにアクセスする計画の場合は、これらのリソースが仮想ネットワークを許可するように構成されていることを確認します。
Speech リソースのネットワーク プロパティで "許可されている" 仮想ネットワークが追加されていない場合、Microsoft.CognitiveServices
サービス エンドポイントが仮想ネットワークに対して有効になっている場合でも、サービス エンドポイントを介して Speech リソースにアクセスすることはできません。 また、サービス エンドポイントが有効になっているが仮想ネットワークが許可されていない場合、Speech リソースの他のネットワーク セキュリティ設定に関係なく、Speech リソースでパブリック IP アドレスを使用して仮想ネットワークにアクセスすることはできません。 これは、Microsoft.CognitiveServices
エンドポイントを有効にすると、Azure AI サービスに関連するトラフィックはすべてプライベート バックボーン ネットワーク経由でルーティングされ、この場合は仮想ネットワークにリソースへのアクセスを明示的に許可する必要があるためです。 このガイダンスは、音声リソースだけでなく、Azure AI サービスのすべてのリソースに適用されます。
Azure portal に移動し、ご自分の Azure アカウントにサインインします。
Speech リソースを選択します。
左側のペインの [リソース管理] グループで、 [ネットワーク] を選択します。
[ファイアウォールと仮想ネットワーク] タブで、 [選択したネットワークとプライベート エンドポイント] を選択します。
Note
仮想ネットワーク サービス エンドポイントを使用するには、 [選択したネットワークとプライベート エンドポイント] ネットワーク セキュリティ オプションを選択する必要があります。 他のオプションはサポートされていません。 シナリオで [すべてのネットワーク] オプションを選択する必要がある場合は、3 つのネットワーク セキュリティ オプションすべてをサポートするプライベート エンドポイントを使用することを検討してください。
[既存の仮想ネットワークの追加] または [新しい仮想ネットワークの追加] を選択し、必要なパラメーターを指定します。 既存の仮想ネットワークの場合は [追加] を選択し、新しい仮想ネットワークの場合は [作成] を選択します。 既存の仮想ネットワークを追加すると、選択したサブネットに対して
Microsoft.CognitiveServices
サービス エンドポイントが自動的に有効になります。 この操作は最大 15 分かかることがあります。 このセクションの冒頭にある注意を参照してください。
既存の仮想ネットワークのサービス エンドポイントを有効にする
前のセクションで説明したように、Speech リソースに対して "許可されている" 仮想ネットワークを構成すると、Microsoft.CognitiveServices
サービス エンドポイントが自動的に有効になります。 後で無効にした場合は、手動で再び有効にして、音声リソース (および他の Azure AI サービス リソース) へのサービス エンドポイントのアクセスを復元する必要があります。
- Azure portal に移動し、ご自分の Azure アカウントにサインインします。
- 仮想ネットワークを選択します。
- 左側のペインの [設定] グループで、 [サブネット] を選択します。
- 必要なサブネットを選択します。
- ウィンドウの右側に新しいパネルが表示されます。 このパネルの [サービス エンドポイント] セクションの
Microsoft.CognitiveServices
[サービス]の一覧で を選択します。 - [保存] を選択します。
既存のアプリケーションとソリューションを調整する
カスタム ドメインが有効にされた Speech リソースでは、別の方法で Speech サービスとやりとりします。 これは、サービス エンドポイントが構成されているかどうかに関係なく、カスタム ドメイン対応の Speech リソースに当てはまります。 このセクションの情報は、両方のシナリオに該当します。
カスタム ドメイン名を持ち、仮想ネットワークが許可されている Speech リソースを使用する
このシナリオでは、Speech リソースのネットワーク設定で [選択されたネットワークとプライベート エンドポイント] オプションが選択され、少なくとも 1 つの仮想ネットワークが許可されます。 このシナリオは、カスタム ドメイン名とプライベート エンドポイントが有効になっている Speech リソースを使用する場合と同じです。
カスタム ドメイン名を持つが仮想ネットワークが許可されていない Speech リソースを使用する
このシナリオでは、プライベート エンドポイントは有効にされておらず、次のいずれかの状況に該当します。
- Speech リソースのネットワーク設定で [選択されたネットワークとプライベート エンドポイント] オプションが選択されているが、許可されている仮想ネットワークが構成されていない。
- Speech リソースのネットワーク設定で [すべてのネットワーク] オプションが選択されている。
このシナリオは、カスタム ドメイン名を持つがプライベート エンドポイントを持たない Speech リソースを使用する場合と同じです。
Speech Studio の使用
Speech Studio は、アプリケーションで Azure AI 音声サービスをビルドして統合するためのツールを備えた Web ポータルです。 Speech Studio プロジェクトで作業するときは、対応する Speech リソースへのネットワーク接続と API 呼び出しが自動的に行われます。 プライベート エンドポイント、仮想ネットワーク サービス エンドポイント、およびその他のネットワーク セキュリティ オプションを使用すると、Speech Studio 機能の可用性が制限される可能性があります。 通常は、Custom Speech、カスタム ニューラル音声、Audio Content Creation などの機能を操作するときに Speech Studio を使用します。
仮想ネットワークからの Speech Studio web ポータルへの到達
Azure 仮想ネットワーク内の仮想マシンから Speech Studio を使用するには、この仮想ネットワークに必要なサービス タグのセットへの発信接続を許可する必要があります。 詳細については、こちらを参照してください。
Speech リソース エンドポイントへのアクセスは、Speech Studio web ポータルへのアクセスと同じではありません。 プライベートまたは仮想ネットワーク サービス エンドポイント経由の Speech Studio web ポータルへのアクセスはサポートされていません。
Speech Studio プロジェクトの使用
このセクションでは、Speech リソースのさまざまなネットワーク セキュリティ オプションについて、さまざまな種類の Speech Studio プロジェクトを使用する方法について説明します。 Speech Studio への Web ブラウザーの接続が確立されていることが前提となります。 Speech リソースのネットワーク セキュリティ設定は Azure portal 上で設定されます。
- Azure portal に移動し、ご自分の Azure アカウントにサインインします。
- Speech リソースを選択します。
- 左側のウィンドウの [リソース管理] グループで、[ネットワーク]>[ファイアウォールと仮想ネットワーク] を選択します。
- [すべてのネットワーク]、[選択したネットワークとプライベート エンドポイント]、または [無効] のいずかのオプションを選択します。
Custom Speech、Custom Voice および Audio Content Creation
次の表は、Speech リソースの [ネットワーク]>[ファイアウォールおよび仮想ネットワーク] セキュリティ設定ごとの Custom Speech/Custom Voice/Audio Content Creation プロジェクトのアクセシビリティを説明したものです。
Note
[ネットワーク]>[プライベート エンドポイント接続] タブを通じてプライベート エンドポイントのみを許可する場合、Speech リソースで Speech Studio を使用することはできません。 Speech Studio の外部でも Speech リソースを使用できます。
Speech リソースのネットワーク セキュリティ設定 | Speech Studio プロジェクトのアクセシビリティ |
---|---|
すべてのネットワーク | 制限事項なし |
選択されたネットワークとプライベート エンドポイント | 許可されたパブリック IP アドレスからアクセス可能 |
無効 | アクセス不可 |
[選択したネットワークとプライベート エンドポイント] を選択すると、[仮想ネットワーク] と [ファイアウォール] のアクセスの構成オプション付きのタブが表示されます。 [ファイアウォール] セクションで、少なくとも 1 つのパブリック IP アドレスを許可し、このアドレスを Speech Studio とのブラウザー接続に使用する必要があります。
仮想ネットワーク経由のアクセスのみを許可する場合は、実際には、Speech Studio を介した Speech リソースへのアクセスは許可されません。 Speech Studio の外部でも Speech リソースを使用できます。
実稼働音声リソースに対するネットワーク アクセス制限を緩和せずに Custom Speech を使用するには、次のいずれかの回避策を検討してください。
- パブリック ネットワークで使用できる開発用の別の Speech リソースを作成します。 開発リソースの Speech Studio でカスタムモデルを準備し、そのモデルを実稼働リソースにコピーします。 Speech to text REST API を使用した Models_CopyTo REST 要求を参照してください。
- Speech Studio を Custom Speech に使用しないようにするオプションがあります。 すべての Custom Speech 操作に対して、Speech to text REST API を使用します。
実稼働の Speech リソースのネットワーク アクセス制限を緩和せずに Custom Voice を使用するには、すべての Custom Voice 操作に対して Custom Voice REST API を使用することを検討してください。
プライベート エンドポイントと Virtual Network サービス エンドポイントを同時に使用する
プライベート エンドポイントと Virtual Network サービス エンドポイントを使用して、同じ Speech リソースに同時にアクセスすることができます。 この同時使用を有効にするには、Azure portal の Speech リソースのネットワーク設定で [Selected Networks and Private Endpoints](選択したネットワークとプライベート エンドポイント) オプションを使用する必要があります。 このシナリオでは、他のオプションはサポートされていません。