Delen via


Een beheerd netwerk configureren voor Azure AI Studio-hubs

Belangrijk

Sommige van de functies die in dit artikel worden beschreven, zijn mogelijk alleen beschikbaar in de preview-versie. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

We hebben twee aspecten van netwerkisolatie. Een daarvan is de netwerkisolatie voor toegang tot een Azure AI Studio-hub. Een andere is de netwerkisolatie van computingresources voor uw hub en project (zoals rekenproces, serverloos en beheerd online-eindpunt.) In dit document wordt de laatste uitgelegd die in het diagram is gemarkeerd. U kunt ingebouwde netwerkisolatie van de hub gebruiken om uw computerresources te beveiligen.

Diagram van hubnetwerkisolatie.

U moet de volgende configuraties voor netwerkisolatie configureren.

  • Kies de netwerkisolatiemodus. U hebt twee opties: uitgaande internetmodus toestaan of alleen goedgekeurde uitgaande modus toestaan.
  • Als u Visual Studio Code-integratie gebruikt met alleen goedgekeurde uitgaande modus, maakt u uitgaande FQDN-regels die worden beschreven in de sectie Visual Studio Code .
  • Als u HuggingFace-modellen gebruikt in modellen met alleen goedgekeurde uitgaande modus, maakt u uitgaande FQDN-regels die worden beschreven in de sectie HuggingFace-modellen gebruiken.
  • Als u een van de opensource-modellen met alleen goedgekeurde uitgaande modus toestaat, maakt u uitgaande FQDN-regels die worden beschreven in de sectie Gecureerd door Azure AI .

Architectuur en isolatiemodi voor netwerkisolatie

Wanneer u isolatie van beheerde virtuele netwerken inschakelt, wordt er een beheerd virtueel netwerk gemaakt voor de hub. Beheerde rekenresources die u voor de hub maakt, maken automatisch gebruik van dit beheerde virtuele netwerk. Het beheerde virtuele netwerk kan privé-eindpunten gebruiken voor Azure-resources die worden gebruikt door uw hub, zoals Azure Storage, Azure Key Vault en Azure Container Registry.

Er zijn drie verschillende configuratiemodi voor uitgaand verkeer van het beheerde virtuele netwerk:

Uitgaande modus Beschrijving Scenario's
Uitgaand internet toestaan Sta al het uitgaande internetverkeer van het beheerde virtuele netwerk toe. U wilt onbeperkte toegang tot machine learning-resources op internet, zoals Python-pakketten of vooraf getrainde modellen.1
Alleen goedgekeurd uitgaand verkeer toestaan Uitgaand verkeer is toegestaan door servicetags op te geven. * U wilt het risico op gegevensexfiltratie minimaliseren, maar u moet alle vereiste machine learning-artefacten in uw privéomgeving voorbereiden.
* U wilt uitgaande toegang configureren tot een goedgekeurde lijst met services, servicetags of FQDN's.
Uitgeschakeld Binnenkomend en uitgaand verkeer is niet beperkt. U wilt openbare inkomende en uitgaande verbindingen van de hub.

1 U kunt uitgaande regels gebruiken waarbij alleen de goedgekeurde uitgaande modus is toegestaan om hetzelfde resultaat te bereiken als het gebruik van uitgaand internet toestaan. De verschillen zijn:

  • Gebruik altijd privé-eindpunten voor toegang tot Azure-resources.
  • U moet regels toevoegen voor elke uitgaande verbinding die u moet toestaan.
  • Door uitgaande FQDN-regels toe te voegen, worden uw kosten verhoogd omdat dit regeltype gebruikmaakt van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Ga voor meer informatie naar Prijzen.
  • De standaardregels voor het toestaan van alleen goedgekeurde uitgaande verbindingen zijn ontworpen om het risico van gegevensexfiltratie te minimaliseren. Uitgaande regels die u toevoegt, kunnen uw risico verhogen.

Het beheerde virtuele netwerk is vooraf geconfigureerd met de vereiste standaardregels. Het is ook geconfigureerd voor privé-eindpuntverbindingen met uw hub, de standaardopslag, het containerregister en de sleutelkluis van de hub als deze zijn geconfigureerd als privé- of hubisolatiemodus is ingesteld om alleen goedgekeurde uitgaande verbindingen toe te staan. Nadat u de isolatiemodus hebt gekozen, hoeft u alleen rekening te houden met andere uitgaande vereisten die u mogelijk moet toevoegen.

In het volgende diagram ziet u een beheerd virtueel netwerk dat is geconfigureerd om uitgaand internet toe te staan:

Diagram van de isolatie van beheerde virtuele netwerken die is geconfigureerd voor uitgaand internet.

In het volgende diagram ziet u een beheerd virtueel netwerk dat is geconfigureerd om alleen goedgekeurde uitgaande verbindingen toe te staan:

Notitie

In deze configuratie worden de opslag, sleutelkluis en containerregister die door de hub worden gebruikt, gemarkeerd als privé. Omdat ze als privé worden gemarkeerd, wordt er een privé-eindpunt gebruikt om met hen te communiceren.

Diagram van de isolatie van beheerde virtuele netwerken die is geconfigureerd voor alleen goedgekeurde uitgaande verbindingen.

Vereisten

Voordat u de stappen in dit artikel volgt, moet u ervoor zorgen dat u over de volgende vereisten beschikt:

  • Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

  • De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de hub gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

    Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

  • Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Beperkingen

  • Azure AI Studio biedt momenteel geen ondersteuning voor het meenemen van uw eigen virtuele netwerk, maar biedt alleen ondersteuning voor isolatie van beheerde virtuele netwerken.
  • Zodra u beheerde isolatie van virtuele netwerken van uw Azure AI hebt ingeschakeld, kunt u deze niet uitschakelen.
  • Beheerd virtueel netwerk maakt gebruik van een privé-eindpuntverbinding voor toegang tot uw persoonlijke resources. U kunt geen privé-eindpunt en een service-eindpunt tegelijk hebben voor uw Azure-resources, zoals een opslagaccount. Wij adviseren u om privé-eindpunten in alle scenario's te gebruiken.
  • Het beheerde virtuele netwerk wordt verwijderd wanneer de Azure AI wordt verwijderd.
  • Beveiliging tegen gegevensexfiltratie wordt automatisch ingeschakeld voor de enige goedgekeurde uitgaande modus. Als u andere uitgaande regels toevoegt, zoals FQDN's, kan Microsoft niet garanderen dat u bent beveiligd tegen gegevensexfiltratie naar die uitgaande bestemmingen.
  • Door uitgaande FQDN-regels te gebruiken, worden de kosten van het beheerde virtuele netwerk verhoogd omdat FQDN-regels Gebruikmaken van Azure Firewall. Ga voor meer informatie naar Prijzen.
  • Uitgaande FQDN-regels ondersteunen alleen poorten 80 en 443.
  • Wanneer u een rekenproces met een beheerd netwerk gebruikt, gebruikt u de az ml compute connect-ssh opdracht om verbinding te maken met de berekening met behulp van SSH.

Een beheerd virtueel netwerk configureren om uitgaand internet toe te staan

Tip

Het maken van het beheerde VNet wordt uitgesteld totdat een rekenresource wordt gemaakt of handmatig wordt ingericht. Wanneer automatisch maken is toegestaan, kan het ongeveer 30 minuten duren voordat de eerste rekenresource wordt gemaakt, omdat het netwerk ook wordt ingericht.

  • Een nieuwe hub maken:

    1. Meld u aan bij Azure Portal en kies Azure AI Studio in het menu Een resource maken.

    2. Selecteer + Nieuwe Azure AI.

    3. Geef de vereiste informatie op op het tabblad Basisinformatie .

    4. Selecteer Privé met uitgaand internet op het tabblad Netwerken.

    5. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken . Geef in de zijbalk voor uitgaande regels de volgende informatie op:

      • Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze hub.
      • Doeltype: Privé-eindpunt is de enige optie wanneer de netwerkisolatie privé is met uitgaand internet. Het beheerde virtuele hubnetwerk biedt geen ondersteuning voor het maken van een privé-eindpunt voor alle Azure-resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.
      • Abonnement: het abonnement met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
      • Resourcegroep: de resourcegroep met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
      • Resourcetype: het type Azure-resource.
      • Resourcenaam: de naam van de Azure-resource.
      • Subresource: de subresource van het Azure-resourcetype.

      Als u de regel wilt opslaan, selecteert u Opslaan. U kunt door de gebruiker gedefinieerde uitgaande regels blijven gebruiken om regels toe te voegen.

    6. Ga door met het maken van de hub als normaal.

  • Een bestaande hub bijwerken:

    1. Meld u aan bij Azure Portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.

    2. Selecteer Netwerken en selecteer Vervolgens Privé met Uitgaand internet.

      • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels dezelfde informatie op als die wordt gebruikt bij het maken van een hub in de sectie Een nieuwe hub maken.

      • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

    3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde virtuele netwerk.

Een beheerd virtueel netwerk configureren om alleen goedgekeurde uitgaande verbindingen toe te staan

Tip

Het beheerde VNet wordt automatisch ingericht wanneer u een rekenresource maakt. Wanneer automatisch maken is toegestaan, kan het ongeveer 30 minuten duren voordat de eerste rekenresource wordt gemaakt, omdat het netwerk ook wordt ingericht. Als u uitgaande FQDN-regels hebt geconfigureerd, wordt de eerste FQDN-regel ongeveer 10 minuten toegevoegd aan de inrichtingstijd.

  • Een nieuwe hub maken:

    1. Meld u aan bij Azure Portal en kies Azure AI Studio in het menu Een resource maken.

    2. Selecteer + Nieuwe Azure AI.

    3. Geef de vereiste informatie op op het tabblad Basisinformatie .

    4. Selecteer Privé met goedgekeurd uitgaand verkeer op het tabblad Netwerken.

    5. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken . Geef in de zijbalk voor uitgaande regels de volgende informatie op:

      • Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze hub.
      • Doeltype: privé-eindpunt, servicetag of FQDN. Servicetag en FQDN zijn alleen beschikbaar wanneer de netwerkisolatie privé is met goedgekeurd uitgaand verkeer.

      Als het doeltype privé-eindpunt is, geeft u de volgende informatie op:

      • Abonnement: het abonnement met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
      • Resourcegroep: de resourcegroep met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
      • Resourcetype: het type Azure-resource.
      • Resourcenaam: de naam van de Azure-resource.
      • Subresource: de subresource van het Azure-resourcetype.

      Tip

      Het beheerde VNet van de hub biedt geen ondersteuning voor het maken van een privé-eindpunt voor alle Azure-resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.

      Als het doeltype servicetag is, geeft u de volgende informatie op:

      • Servicetag: de servicetag die moet worden toegevoegd aan de goedgekeurde uitgaande regels.
      • Protocol: het protocol dat de servicetag toestaat.
      • Poortbereiken: de poortbereiken waarmee de servicetag kan worden toegestaan.

      Als het doeltype FQDN is, geeft u de volgende informatie op:

      • FQDN-bestemming: de volledig gekwalificeerde domeinnaam die moet worden toegevoegd aan de goedgekeurde uitgaande regels.

      Als u de regel wilt opslaan, selecteert u Opslaan. U kunt door de gebruiker gedefinieerde uitgaande regels blijven gebruiken om regels toe te voegen.

    6. Ga door met het maken van de hub als normaal.

  • Een bestaande hub bijwerken:

    1. Meld u aan bij Azure Portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.

    2. Selecteer Netwerken en selecteer vervolgens Privé met Goedgekeurd uitgaand verkeer.

      • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels dezelfde informatie op als bij het maken van een hub in de vorige sectie 'Een nieuwe hub maken'.

      • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

    3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde virtuele netwerk.

Handmatig een beheerd VNet inrichten

Het beheerde VNet wordt automatisch ingericht wanneer u een rekenproces maakt. Wanneer u afhankelijk bent van automatische inrichting, kan het ongeveer 30 minuten duren voordat het eerste rekenproces wordt gemaakt, omdat het netwerk ook wordt ingericht. Als u uitgaande FQDN-regels hebt geconfigureerd (alleen beschikbaar met alleen goedgekeurde modus toestaan), voegt de eerste FQDN-regel ongeveer 10 minuten toe aan de inrichtingstijd. Als u een grote set uitgaande regels hebt die moeten worden ingericht in het beheerde netwerk, kan het langer duren voordat het inrichten is voltooid. De toegenomen inrichtingstijd kan ertoe leiden dat er een time-out optreedt voor uw eerste rekenproces.

Als u de wachttijd wilt verminderen en mogelijke time-outfouten wilt voorkomen, raden we u aan het beheerde netwerk handmatig in te richten. Wacht vervolgens totdat het inrichten is voltooid voordat u een rekenproces maakt.

Notitie

Als u een onlineimplementatie wilt maken, moet u het beheerde netwerk handmatig inrichten of eerst een rekenproces maken dat het automatisch inricht.

Gebruik de tabbladen Azure CLI of Python SDK om te leren hoe u het beheerde VNet handmatig inricht.

Regels voor uitgaand verkeer beheren

  1. Meld u aan bij Azure Portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.
  2. Selecteer Netwerken. Met de sectie Uitgaande toegang van Azure AI kunt u uitgaande regels beheren.
  • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels van Azure AI de volgende informatie op:

  • Als u een regel wilt in- of uitschakelen , gebruikt u de wisselknop in de kolom Actief .

  • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

Lijst met vereiste regels

Tip

Deze regels worden automatisch toegevoegd aan het beheerde VNet.

Privé-eindpunten:

  • Wanneer de isolatiemodus voor het beheerde virtuele netwerk is Allow internet outbound, worden uitgaande regels voor privé-eindpunten automatisch gemaakt als vereiste regels van het beheerde virtuele netwerk voor de hub en gekoppelde resources waarvoor openbare netwerktoegang is uitgeschakeld (Key Vault, Opslagaccount, Container Registry, hub).
  • Wanneer de isolatiemodus voor het beheerde virtuele netwerk is Allow only approved outbound, worden uitgaande regels voor privé-eindpunten automatisch gemaakt als vereiste regels van het beheerde virtuele netwerk voor de hub en gekoppelde resources , ongeacht de openbare netwerktoegangsmodus voor deze resources (Key Vault, Opslagaccount, Container Registry, hub).

Regels voor uitgaande servicetags:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Regels voor binnenkomende servicetags:

  • AzureMachineLearning

Lijst met scenariospecifieke uitgaande regels

Scenario: Toegang krijgen tot openbare machine learning-pakketten

Als u installatie van Python-pakketten voor training en implementatie wilt toestaan, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hostnamen toe te staan:

Notitie

Dit is geen volledige lijst met de hosts die vereist zijn voor alle Python-resources op internet, alleen de meest gebruikte. Als u bijvoorbeeld toegang nodig hebt tot een GitHub-opslagplaats of andere host, moet u de vereiste hosts voor dat scenario identificeren en toevoegen.

Hostnaam Doel
anaconda.com
*.anaconda.com
Wordt gebruikt om standaardpakketten te installeren.
*.anaconda.org Wordt gebruikt om opslagplaatsgegevens op te halen.
pypi.org Wordt gebruikt om afhankelijkheden van de standaardindex weer te geven, indien aanwezig, en de index wordt niet overschreven door gebruikersinstellingen. Als de index wordt overschreven, moet u ook toestaan *.pythonhosted.org.
pytorch.org
*.pytorch.org
Wordt gebruikt door enkele voorbeelden op basis van PyTorch.
*.tensorflow.org Wordt gebruikt door enkele voorbeelden op basis van Tensorflow.

Scenario: Visual Studio Code gebruiken

Visual Studio Code is afhankelijk van specifieke hosts en poorten om een externe verbinding tot stand te brengen.

Hosts

Als u Visual Studio Code wilt gebruiken met de hub, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Poorten

U moet netwerkverkeer toestaan naar poorten 8704 tot 8710. De VS Code-server selecteert dynamisch de eerst beschikbare poort binnen dit bereik.

Scenario: HuggingFace-modellen gebruiken

Als u HuggingFace-modellen wilt gebruiken met de hub, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Scenario: Gecureerd door Azure AI

Deze modellen hebben betrekking op dynamische installatie van afhankelijkheden tijdens runtime en vereisen uitgaande FQDN-regels om verkeer naar de volgende hosts toe te staan:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Privé-eindpunten

Privé-eindpunten worden momenteel ondersteund voor de volgende Azure-services:

  • AI Studio-hub
  • Azure AI Search
  • Azure AI-services
  • Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (alle subresourcetypen)
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Azure Database for PostgreSQL Single Server
  • Flexibele azure Database for PostgreSQL-server
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Azure Machine Learning-registers
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (alle subresourcetypen)

Wanneer u een privé-eindpunt maakt, geeft u het resourcetype en de subresource op waarmee het eindpunt verbinding maakt. Sommige resources hebben meerdere typen en subresources. Zie wat een privé-eindpunt is voor meer informatie.

Wanneer u een privé-eindpunt maakt voor hubafhankelijkheidsresources, zoals Azure Storage, Azure Container Registry en Azure Key Vault, kan de resource zich in een ander Azure-abonnement bevinden. De resource moet echter zich in dezelfde tenant bevinden als de hub.

Er wordt automatisch een privé-eindpunt gemaakt voor een verbinding als de doelresource een Azure-resource is die hierboven wordt vermeld. Er wordt een geldige doel-id verwacht voor het privé-eindpunt. Een geldige doel-id voor de verbinding kan de Azure Resource Manager-id van een bovenliggende resource zijn. De doel-id wordt ook verwacht in het doel van de verbinding of in metadata.resourceid. Zie Een nieuwe verbinding toevoegen in Azure AI Studio voor meer informatie over verbindingen.

Prijzen

De hub beheerde virtuele netwerkfunctie is gratis. Er worden echter kosten in rekening gebracht voor de volgende resources die worden gebruikt door het beheerde virtuele netwerk:

  • Azure Private Link: privé-eindpunten die worden gebruikt om communicatie tussen het beheerde virtuele netwerk en Azure-resources te beveiligen, is afhankelijk van Azure Private Link. Zie prijzen voor Azure Private Link voor meer informatie over prijzen.

  • Uitgaande FQDN-regels: uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Azure Firewall-SKU is standaard. Azure Firewall wordt ingericht per hub.

    Belangrijk

    De firewall wordt pas gemaakt als u een uitgaande FQDN-regel toevoegt. Als u geen FQDN-regels gebruikt, worden er geen kosten in rekening gebracht voor Azure Firewall. Zie Prijzen voor Azure Firewall voor meer informatie over prijzen.