Настройка приватного канала для центров Azure AI Studio
Внимание
Некоторые функции, описанные в этой статье, могут быть доступны только в предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
У нас есть два аспекта сетевой изоляции. Одним из них является изоляция сети для доступа к центру Azure AI Studio. Другой — это сетевая изоляция вычислительных ресурсов в центре и проектах, таких как вычислительные экземпляры, бессерверные и управляемые сетевые конечные точки. В этой статье объясняется, что первый выделен на схеме. Вы можете использовать приватный канал, чтобы установить частное подключение к концентратору и его ресурсам по умолчанию. Эта статья предназначена для Azure AI Studio (концентратор и проекты). Дополнительные сведения о службах ИИ Azure см. в документации по службам ИИ Azure.
Вы получаете несколько ресурсов по умолчанию концентратора в группе ресурсов. Необходимо настроить следующие конфигурации сетевой изоляции.
- Отключите доступ к общедоступной сети ресурсов по умолчанию, таких как служба хранилища Azure, Azure Key Vault и Реестр контейнеров Azure.
- Установите подключение частной конечной точки к ресурсам концентратора по умолчанию. Для учетной записи хранения по умолчанию требуется как частная конечная точка BLOB-объектов, так и для файловой частной конечной точки.
- Конфигурации управляемых удостоверений, позволяющие концентраторам получать доступ к учетной записи хранения, если она закрыта.
Необходимые компоненты
Для создания частной конечной точки необходимо создать существующую виртуальная сеть Azure.
Внимание
Мы не рекомендуем использовать для виртуальной сети диапазон IP-адресов 172.17.0.0/16. Это диапазон подсети по умолчанию, используемый сетью моста Docker или локальной сетью.
Отключить сетевые политики для частных конечных точек перед добавлением частной конечной точки.
Создание концентратора, использующего частную конечную точку
Используйте один из следующих методов для создания концентратора с частной конечной точкой. Для каждого из этих методов требуется существующая виртуальная сеть:
- В портал Azure перейдите в Azure AI Studio и выберите +Создать ИИ Azure.
- Выберите режим сетевой изоляции на вкладке "Сеть ".
- Прокрутите вниз до входящего доступа к рабочей области и нажмите кнопку +Добавить.
- Обязательные поля ввода. При выборе Region (Региона)выберите тот же регион, что и для виртуальной сети.
Добавление частной конечной точки в концентратор
Используйте один из следующих методов, чтобы добавить частную конечную точку в существующий концентратор:
- В портал Azure выберите центр.
- В левой части страницы выберите Сети, а затем откройте вкладку Подключения частных конечных точек.
- При выборе Region (Региона)выберите тот же регион, что и для виртуальной сети.
- При выборе типа ресурса используйте
azuremlworkspace
. - В разделе Resource (Ресурс) укажите имя рабочей области.
Наконец, выберите Create (Создать), чтобы создать частную конечную точку.
Удаление частной конечной точки
Вы можете удалить одну или все частные конечные точки для концентратора. При удалении частной конечной точки концентратор удаляется из Виртуальная сеть Azure, с которым связана конечная точка. Удаление частной конечной точки может запретить концентратору доступ к ресурсам в этой виртуальной сети или ресурсам в виртуальной сети получать доступ к рабочей области. Например, если виртуальная сеть не разрешает доступ к общедоступному Интернету или из нее.
Предупреждение
Удаление частных конечных точек для концентратора не делает его общедоступным. Чтобы сделать концентратор общедоступным, выполните действия, описанные в разделе "Включение общедоступного доступа ".
Чтобы удалить частную конечную точку, используйте следующую информацию:
- В портал Azure выберите центр.
- В левой части страницы выберите Сети, а затем откройте вкладку Подключения частных конечных точек.
- Выберите конечную точку для удаления, а затем нажмите кнопку Удалить.
Включение открытого доступа
В некоторых ситуациях может потребоваться разрешить кому-то подключаться к защищенному концентратору через общедоступную конечную точку, а не через виртуальную сеть. Или вы можете удалить рабочую область из виртуальной сети и повторно включить общедоступный доступ.
Внимание
При включении общего доступа существующие частные конечные точки не удаляются. Все связи между компонентами виртуальной сети, к которым подключается частная конечная точка, по-прежнему защищены. Он обеспечивает общедоступный доступ только к концентратору, а также частный доступ через любые частные конечные точки.
Вот как можно включить общий доступ:
- В портал Azure выберите центр.
- В левой части страницы выберите Сети, а затем перейдите на вкладку Открытый доступ.
- Выберите "Включено" из всех сетей и нажмите кнопку "Сохранить".
Конфигурация управляемого удостоверения
При закрытии учетной записи хранения требуется конфигурация удостоверений. Наши службы должны считывать и записывать данные в частной учетной записи хранения с помощью разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения с помощью следующих конфигураций управляемых удостоверений. Включите управляемое удостоверение, назначаемое системой службы ИИ Azure и службы поиска ИИ Azure, а затем настройте управление доступом на основе ролей для каждого управляемого удостоверения.
Роль | Управляемое удостоверение | Ресурс | Назначение | Справочные материалы |
---|---|---|---|---|
Storage File Data Privileged Contributor |
Проект Azure AI Studio | Учетная запись хранения | Чтение и запись данных потока запросов. | Документация по потоку запроса |
Storage Blob Data Contributor |
Служба искусственного интеллекта Azure | Учетная запись хранения | Чтение из входного контейнера, запись в результат предварительного процесса в выходной контейнер. | Документация По Azure OpenAI |
Storage Blob Data Contributor |
Поиск с использованием ИИ Azure | Учетная запись хранения | Чтение BLOB-объектов и запись хранилища знаний | Документация по поиску. |
Настраиваемая конфигурация DNS
Дополнительные сведения о конфигурациях пересылки DNS см. в Машинное обучение Azure пользовательской статье DNS.
Если необходимо настроить пользовательский DNS-сервер без перенаправления DNS, используйте следующие шаблоны для необходимых записей A.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net
ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net
Примечание.
Имя рабочей области для этого полного доменного имени может быть усечено. Усечение выполняется для того, чтобы длина
ml-<workspace-name, truncated>-<region>-<workspace-guid>
не превышала 63 символа.<instance-name>.<region>.instances.azureml.ms
Примечание.
- Доступ к вычислительным экземплярам можно получить только в пределах виртуальной сети.
- IP-адрес для этого полного доменного имени не является IP-адресом вычислительного экземпляра. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
*.api.azureml.ms
).
<instance-name>.<region>.instances.azureml.ms
— Используется только командойaz ml compute connect-ssh
для подключения к вычислениям в управляемой виртуальной сети. Не требуется, если вы не используете управляемые сети или подключения SSH.<managed online endpoint name>.<region>.inference.ml.azure.com
— используется управляемыми подключенными конечными точками
Чтобы найти частные IP-адреса для записей A, ознакомьтесь с Машинное обучение Azure пользовательской статьей DNS. Чтобы проверить AI-PROJECT-GUID, перейдите к портал Azure, выберите проект, параметры, свойства и идентификатор рабочей области.
Ограничения
- Если вы используете Mozilla Firefox, могут возникнуть проблемы, пытающиеся получить доступ к частной конечной точке центра. Эта проблема может быть связана с DNS по протоколу HTTPS в Mozilla Firefox. Мы рекомендуем использовать Microsoft Edge или Google Chrome.