Een beheerd netwerk configureren voor Azure AI Studio-hubs

Belangrijk

Sommige van de functies die in dit artikel worden beschreven, zijn mogelijk alleen beschikbaar in de preview-versie. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

We hebben twee aspecten van netwerkisolatie. Een daarvan is de netwerkisolatie voor toegang tot een Azure AI Studio-hub. Een andere is de netwerkisolatie van computingresources voor uw hub en project (zoals rekenproces, serverloos en beheerd online-eindpunt.) In dit document wordt de laatste uitgelegd die in het diagram is gemarkeerd. U kunt ingebouwde netwerkisolatie van de hub gebruiken om uw computerresources te beveiligen.

U moet de volgende configuraties voor netwerkisolatie configureren.

• Kies de netwerkisolatiemodus. U hebt twee opties: uitgaande internetmodus toestaan of alleen goedgekeurde uitgaande modus toestaan.
• Maak uitgaande regels voor privé-eindpunten voor uw persoonlijke Azure-resources. Privé Azure AI Search wordt nog niet ondersteund.
• Als u Visual Studio Code-integratie gebruikt met alleen goedgekeurde uitgaande modus, maakt u uitgaande FQDN-regels die worden beschreven in de sectie Visual Studio Code .
• Als u HuggingFace-modellen gebruikt in modellen met alleen goedgekeurde uitgaande modus, maakt u uitgaande FQDN-regels die worden beschreven in de sectie HuggingFace-modellen gebruiken.

Architectuur en isolatiemodi voor netwerkisolatie

Wanneer u isolatie van beheerde virtuele netwerken inschakelt, wordt er een beheerd virtueel netwerk gemaakt voor de hub. Beheerde rekenresources die u voor de hub maakt, maken automatisch gebruik van dit beheerde virtuele netwerk. Het beheerde virtuele netwerk kan privé-eindpunten gebruiken voor Azure-resources die worden gebruikt door uw hub, zoals Azure Storage, Azure Key Vault en Azure Container Registry.

Er zijn drie verschillende configuratiemodi voor uitgaand verkeer van het beheerde virtuele netwerk:

Uitgaande modus	Beschrijving	Scenario's
Uitgaand internet toestaan	Sta al het uitgaande internetverkeer van het beheerde virtuele netwerk toe.	U wilt onbeperkte toegang tot machine learning-resources op internet, zoals Python-pakketten of vooraf getrainde modellen.1
Alleen goedgekeurd uitgaand verkeer toestaan	Uitgaand verkeer is toegestaan door servicetags op te geven.	* U wilt het risico op gegevensexfiltratie minimaliseren, maar u moet alle vereiste machine learning-artefacten in uw privéomgeving voorbereiden. * U wilt uitgaande toegang configureren tot een goedgekeurde lijst met services, servicetags of FQDN's.
Uitgeschakeld	Binnenkomend en uitgaand verkeer is niet beperkt.	U wilt openbare inkomende en uitgaande verbindingen van de hub.

¹ U kunt uitgaande regels gebruiken waarbij alleen de goedgekeurde uitgaande modus is toegestaan om hetzelfde resultaat te bereiken als het gebruik van uitgaand internet toestaan. De verschillen zijn:

• Gebruik altijd privé-eindpunten voor toegang tot Azure-resources.

  Belangrijk

  Hoewel u een privé-eindpunt voor Azure AI Search kunt maken, moeten de verbonden services openbare netwerken toestaan. Zie Connectiviteit met andere services voor meer informatie.

• U moet regels toevoegen voor elke uitgaande verbinding die u moet toestaan.

• Door uitgaande FQDN-regels toe te voegen, worden uw kosten verhoogd omdat dit regeltype gebruikmaakt van Azure Firewall.

• De standaardregels voor het toestaan van alleen goedgekeurde uitgaande verbindingen zijn ontworpen om het risico van gegevensexfiltratie te minimaliseren. Uitgaande regels die u toevoegt, kunnen uw risico verhogen.

Het beheerde virtuele netwerk is vooraf geconfigureerd met de vereiste standaardregels. Het is ook geconfigureerd voor privé-eindpuntverbindingen met uw hub, de standaardopslag, het containerregister en de sleutelkluis van de hub als deze zijn geconfigureerd als privé- of hubisolatiemodus is ingesteld om alleen goedgekeurde uitgaande verbindingen toe te staan. Nadat u de isolatiemodus hebt gekozen, hoeft u alleen rekening te houden met andere uitgaande vereisten die u mogelijk moet toevoegen.

In het volgende diagram ziet u een beheerd virtueel netwerk dat is geconfigureerd om uitgaand internet toe te staan:

In het volgende diagram ziet u een beheerd virtueel netwerk dat is geconfigureerd om alleen goedgekeurde uitgaande verbindingen toe te staan:

Notitie

In deze configuratie worden de opslag, sleutelkluis en containerregister die door de hub worden gebruikt, gemarkeerd als privé. Omdat ze als privé worden gemarkeerd, wordt er een privé-eindpunt gebruikt om met hen te communiceren.

Vereisten

Voordat u de stappen in dit artikel volgt, moet u ervoor zorgen dat u over de volgende vereisten beschikt:

Azure-portal

• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

• De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de hub gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

  Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

• Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Azure-CLI

• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

• De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de hub gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

  Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

• Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• De Azure CLI en de ml extensie voor de Azure CLI. Zie De CLI (v2) installeren, instellen en gebruiken voor meer informatie.

• In de CLI-voorbeelden in dit artikel wordt ervan uitgegaan dat u de Bash-shell (of compatibele) shell gebruikt. Bijvoorbeeld vanuit een Linux-systeem of Windows-subsysteem voor Linux.

• De Azure CLI-voorbeelden in dit artikel gebruiken ws om de naam van de hub weer te geven en rg om de naam van de resourcegroep weer te geven. Wijzig deze waarden indien nodig wanneer u de opdrachten met uw Azure-abonnement gebruikt.

Python SDK

• Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint. Probeer de gratis of betaalde versie van Azure Machine Learning.

• De Microsoft.Network-resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. Deze resourceprovider wordt door de hub gebruikt bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

  Zie Fouten oplossen voor de registratie van de resourceprovider voor informatie over het registreren van resourceproviders.

• Voor de Azure-identiteit die u gebruikt bij het implementeren van een beheerd netwerk, zijn de volgende azure RBAC-acties (op rollen gebaseerd toegangsbeheer) vereist om privé-eindpunten te maken:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• De Azure Machine Learning Python SDK v2. Zie De Python SDK v2 voor Azure Machine Learning installeren voor meer informatie over de SDK.

• In de voorbeelden in dit artikel wordt ervan uitgegaan dat uw code begint met de volgende Python. Met deze code worden de klassen geïmporteerd die vereist zijn bij het maken van een hub met een beheerd virtueel netwerk, stelt u variabelen in voor uw Azure-abonnement en -resourcegroep en maakt u het ml_clientvolgende:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Beperkingen

• Azure AI Studio biedt momenteel geen ondersteuning voor het meenemen van uw eigen virtuele netwerk, maar biedt alleen ondersteuning voor isolatie van beheerde virtuele netwerken.
• Zodra u beheerde isolatie van virtuele netwerken van uw Azure AI hebt ingeschakeld, kunt u deze niet uitschakelen.
• Beheerd virtueel netwerk maakt gebruik van een privé-eindpuntverbinding voor toegang tot uw persoonlijke resources. U kunt geen privé-eindpunt en een service-eindpunt tegelijk hebben voor uw Azure-resources, zoals een opslagaccount. U wordt aangeraden privé-eindpunten in alle scenario's te gebruiken.
• Het beheerde virtuele netwerk wordt verwijderd wanneer de Azure AI wordt verwijderd.
• Beveiliging tegen gegevensexfiltratie wordt automatisch ingeschakeld voor de enige goedgekeurde uitgaande modus. Als u andere uitgaande regels toevoegt, zoals FQDN's, kan Microsoft niet garanderen dat u bent beveiligd tegen gegevensexfiltratie naar die uitgaande bestemmingen.
• Door uitgaande FQDN-regels te gebruiken, worden de kosten van het beheerde virtuele netwerk verhoogd omdat FQDN-regels Gebruikmaken van Azure Firewall. Ga voor meer informatie naar Prijzen.
• Uitgaande FQDN-regels ondersteunen alleen poorten 80 en 443.
• Wanneer u een rekenproces met een beheerd netwerk gebruikt, gebruikt u de az ml compute connect-ssh opdracht om verbinding te maken met de berekening met behulp van SSH.

Connectiviteit met andere services

• Azure AI Search moet openbaar zijn met uw ingerichte privé-Azure AI Studio-hub.
• De functie 'Uw gegevens toevoegen' in de Azure AI Studio-speeltuin biedt geen ondersteuning voor het gebruik van een virtueel netwerk of privé-eindpunt op de volgende resources:
  • Azure AI Search
  • Azure OpenAI
  • Opslagresource

Een beheerd virtueel netwerk configureren om uitgaand internet toe te staan

Tip

Het maken van het beheerde VNet wordt uitgesteld totdat een rekenresource wordt gemaakt of handmatig wordt ingericht. Wanneer automatisch maken is toegestaan, kan het ongeveer 30 minuten duren voordat de eerste rekenresource wordt gemaakt, omdat het netwerk ook wordt ingericht.

Azure-portal

• Een nieuwe hub maken:

  1. Meld u aan bij Azure Portal en kies Azure AI Studio in het menu Een resource maken.

  2. Selecteer + Nieuwe Azure AI.

  3. Geef de vereiste informatie op op het tabblad Basisinformatie .

  4. Selecteer Privé met uitgaand internet op het tabblad Netwerken.

  5. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken . Geef in de zijbalk voor uitgaande regels de volgende informatie op:

     • Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze hub.
     • Doeltype: Privé-eindpunt is de enige optie wanneer de netwerkisolatie privé is met uitgaand internet. Het beheerde virtuele hubnetwerk biedt geen ondersteuning voor het maken van een privé-eindpunt voor alle Azure-resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.
     • Abonnement: het abonnement met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcegroep: de resourcegroep met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcetype: het type Azure-resource.
     • Resourcenaam: de naam van de Azure-resource.
     • Subresource: de subresource van het Azure-resourcetype.

     Als u de regel wilt opslaan, selecteert u Opslaan. U kunt door de gebruiker gedefinieerde uitgaande regels blijven gebruiken om regels toe te voegen.

  6. Ga door met het maken van de hub als normaal.

• Een bestaande hub bijwerken:

  1. Meld u aan bij Azure Portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.

  2. Selecteer Netwerken en selecteer Vervolgens Privé met Uitgaand internet.

     • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels dezelfde informatie op als die wordt gebruikt bij het maken van een hub in de sectie Een nieuwe hub maken.

     • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

  3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde virtuele netwerk.

Azure-CLI

Als u een beheerd virtueel netwerk wilt configureren dat uitgaande internetcommunicatie toestaat, kunt u de --managed-network allow_internet_outbound parameter of een YAML-configuratiebestand gebruiken dat de volgende vermeldingen bevat:

managed_network:
  isolation_mode: allow_internet_outbound

U kunt ook uitgaande regels definiëren voor andere Azure-services waarvoor de hub afhankelijk is. Deze regels definiëren privé-eindpunten waarmee een Azure-resource veilig kan communiceren met het beheerde virtuele netwerk. De volgende regel laat zien hoe u een privé-eindpunt toevoegt aan een Azure Blob-resource.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

U kunt een beheerd virtueel netwerk configureren met behulp van de az ml workspace create of az ml workspace update opdrachten:

• Een nieuwe hub maken:

  In het volgende voorbeeld wordt een nieuwe hub gemaakt. De --managed-network allow_internet_outbound parameter configureert een beheerd virtueel netwerk voor de hub:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Als u in plaats daarvan een hub wilt maken met behulp van een YAML-bestand, gebruikt u de --file parameter en geeft u het YAML-bestand op dat de configuratie-instellingen bevat:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  In het volgende YAML-voorbeeld wordt een hub gedefinieerd met een beheerd virtueel netwerk:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Een bestaande hub bijwerken:

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  In het volgende voorbeeld wordt een bestaande hub bijgewerkt. De --managed-network allow_internet_outbound parameter configureert een beheerd virtueel netwerk voor de hub:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Als u een bestaande hub wilt bijwerken met behulp van het YAML-bestand, gebruikt u de --file parameter en geeft u het YAML-bestand op dat de configuratie-instellingen bevat:

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  In het volgende YAML-voorbeeld wordt een beheerd virtueel netwerk voor de hub gedefinieerd. Ook wordt gedemonstreerd hoe u een privé-eindpuntverbinding toevoegt aan een resource die door de hub wordt gebruikt; in dit voorbeeld een privé-eindpunt voor een blobarchief:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Als u een beheerd virtueel netwerk wilt configureren waarmee uitgaande internetcommunicatie mogelijk is, gebruikt u de ManagedNetwork klasse om een netwerk met IsolationMode.ALLOW_INTERNET_OUTBOUNDte definiëren. Vervolgens kunt u het ManagedNetwork object gebruiken om een nieuwe hub te maken of een bestaande hub bij te werken. Als u uitgaande regels wilt definiëren voor Azure-services waarvoor de hub afhankelijk is, gebruikt u de PrivateEndpointDestination klasse om een nieuw privé-eindpunt voor de service te definiëren.

• Een nieuwe hub maken:

  In het volgende voorbeeld wordt een nieuwe hub met de naam myhubGemaakt, met een uitgaande regel die myrule een privé-eindpunt toevoegt voor een Azure Blob-archief:

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Een bestaande hub bijwerken:

  In het volgende voorbeeld ziet u hoe u een beheerd virtueel netwerk maakt voor een bestaande hub met de naam myhub:

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Een beheerd virtueel netwerk configureren om alleen goedgekeurde uitgaande verbindingen toe te staan

Tip

Het beheerde VNet wordt automatisch ingericht wanneer u een rekenresource maakt. Wanneer automatisch maken is toegestaan, kan het ongeveer 30 minuten duren voordat de eerste rekenresource wordt gemaakt, omdat het netwerk ook wordt ingericht. Als u uitgaande FQDN-regels hebt geconfigureerd, wordt de eerste FQDN-regel ongeveer 10 minuten toegevoegd aan de inrichtingstijd.

Azure-portal

• Een nieuwe hub maken:

  1. Meld u aan bij Azure Portal en kies Azure AI Studio in het menu Een resource maken.

  2. Selecteer + Nieuwe Azure AI.

  3. Geef de vereiste informatie op op het tabblad Basisinformatie .

  4. Selecteer Privé met goedgekeurd uitgaand verkeer op het tabblad Netwerken.

  5. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken . Geef in de zijbalk voor uitgaande regels de volgende informatie op:

     • Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze hub.
     • Doeltype: privé-eindpunt, servicetag of FQDN. Servicetag en FQDN zijn alleen beschikbaar wanneer de netwerkisolatie privé is met goedgekeurd uitgaand verkeer.

     Als het doeltype privé-eindpunt is, geeft u de volgende informatie op:

     • Abonnement: het abonnement met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcegroep: de resourcegroep met de Azure-resource waarvoor u een privé-eindpunt wilt toevoegen.
     • Resourcetype: het type Azure-resource.
     • Resourcenaam: de naam van de Azure-resource.
     • Subresource: de subresource van het Azure-resourcetype.

     Tip

     Het beheerde VNet van de hub biedt geen ondersteuning voor het maken van een privé-eindpunt voor alle Azure-resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.

     Als het doeltype servicetag is, geeft u de volgende informatie op:

     • Servicetag: de servicetag die moet worden toegevoegd aan de goedgekeurde uitgaande regels.
     • Protocol: het protocol dat de servicetag toestaat.
     • Poortbereiken: de poortbereiken waarmee de servicetag kan worden toegestaan.

     Als het doeltype FQDN is, geeft u de volgende informatie op:

     Waarschuwing

     Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Ga voor meer informatie naar Prijzen.

     • FQDN-bestemming: de volledig gekwalificeerde domeinnaam die moet worden toegevoegd aan de goedgekeurde uitgaande regels.

     Als u de regel wilt opslaan, selecteert u Opslaan. U kunt door de gebruiker gedefinieerde uitgaande regels blijven gebruiken om regels toe te voegen.

  6. Ga door met het maken van de hub als normaal.

• Een bestaande hub bijwerken:

  1. Meld u aan bij Azure Portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.

  2. Selecteer Netwerken en selecteer vervolgens Privé met Goedgekeurd uitgaand verkeer.

     • Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels dezelfde informatie op als bij het maken van een hub in de vorige sectie 'Een nieuwe hub maken'.

     • Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

  3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde virtuele netwerk.

Azure-CLI

Als u een beheerd virtueel netwerk wilt configureren dat alleen goedgekeurde uitgaande communicatie toestaat, kunt u de --managed-network allow_only_approved_outbound parameter of een YAML-configuratiebestand gebruiken dat de volgende vermeldingen bevat:

managed_network:
  isolation_mode: allow_only_approved_outbound

U kunt ook uitgaande regels definiëren om goedgekeurde uitgaande communicatie te definiëren. Er kan een uitgaande regel worden gemaakt voor een type service_tag, fqdnen private_endpoint. De volgende regel laat zien hoe u een privé-eindpunt toevoegt aan een Azure Blob-resource, een servicetag aan Azure Data Factory en een FQDN aan pypi.org:

Belangrijk

• Het toevoegen van een uitgaande servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor allow_only_approved_outbound.
• Als u uitgaande regels toevoegt, kan Microsoft geen gegevensexfiltratie garanderen.

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

U kunt een beheerd virtueel netwerk configureren met behulp van de az ml workspace create of az ml workspace update opdrachten:

• Een nieuwe hub maken:

  In het volgende voorbeeld wordt de --managed-network allow_only_approved_outbound parameter gebruikt om het beheerde virtuele netwerk te configureren:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Het volgende YAML-bestand definieert een hub met een beheerd virtueel netwerk:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Als u een hub wilt maken met behulp van het YAML-bestand, gebruikt u de --file parameter:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Een bestaande hub bijwerken

  Waarschuwing

  Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-endpoints.

  In het volgende voorbeeld wordt de --managed-network allow_only_approved_outbound parameter gebruikt om het beheerde virtuele netwerk voor een bestaande hub te configureren:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Het volgende YAML-bestand definieert een beheerd virtueel netwerk voor de hub. Ook wordt gedemonstreerd hoe u een goedgekeurd uitgaand netwerk toevoegt aan het beheerde virtuele netwerk. In dit voorbeeld wordt een uitgaande regel toegevoegd voor zowel een servicetag:

  Waarschuwing

  Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK

Als u een beheerd virtueel netwerk wilt configureren dat alleen goedgekeurde uitgaande communicatie toestaat, gebruikt u de ManagedNetwork klasse om een netwerk te definiëren met IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND. Vervolgens kunt u het ManagedNetwork object gebruiken om een nieuwe hub te maken of een bestaande hub bij te werken. Gebruik de volgende klassen om uitgaande regels te definiëren:

Bestemming	Klas
Azure-service waarvoor de hub afhankelijk is	PrivateEndpointDestination
Azure-servicetag	ServiceTagDestination
FQDN (Fully Qualified Domain Name)	FqdnDestination

• Een nieuwe hub maken:

  In het volgende voorbeeld wordt een nieuwe hub gemaakt met de naam myhub, met verschillende uitgaande regels:

  • myrule - Voegt een privé-eindpunt toe voor een Azure Blob-archief.
  • datafactory - Voegt een servicetagregel toe om te communiceren met Azure Data Factory.

  Belangrijk

  • Het toevoegen van een uitgaande servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Als u uitgaande regels toevoegt, kan Microsoft geen gegevensexfiltratie garanderen.

  Waarschuwing

  Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Een bestaande hub bijwerken:

  In het volgende voorbeeld ziet u hoe u een beheerd virtueel netwerk maakt voor een bestaande Azure Machine Learning-hub met de naam myhub. In het voorbeeld worden ook verschillende uitgaande regels toegevoegd voor het beheerde virtuele netwerk:

  • myrule - Voegt een privé-eindpunt toe voor een Azure Blob-archief.
  • datafactory - Voegt een servicetagregel toe om te communiceren met Azure Data Factory.

  Tip

  Het toevoegen van een uitgaande servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  Waarschuwing

  Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall toegevoegd aan uw facturering. Ga voor meer informatie naar Prijzen.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Regels voor uitgaand verkeer beheren

Azure-portal

1. Meld u aan bij Azure Portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.
2. Selecteer Netwerken. Met de sectie Uitgaande toegang van Azure AI kunt u uitgaande regels beheren.

• Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels van Azure AI de volgende informatie op:

• Als u een regel wilt in- of uitschakelen , gebruikt u de wisselknop in de kolom Actief .

• Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

Azure-CLI

Gebruik de volgende opdracht om de uitgaande regels voor een beheerd virtueel netwerk voor een hub weer te geven:

az ml workspace outbound-rule list --workspace-name myhub --resource-group rg

Gebruik de volgende opdracht om de details van een uitgaande regel voor een beheerd virtueel netwerk weer te geven:

az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg

Als u een uitgaande regel uit het beheerde virtuele netwerk wilt verwijderen, gebruikt u de volgende opdracht:

az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg

Python SDK

In het volgende voorbeeld ziet u hoe u uitgaande regels voor een hub met de naam myhubbeheert:

# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Lijst met vereiste regels

Tip

Deze regels worden automatisch toegevoegd aan het beheerde VNet.

Privé-eindpunten:

• Wanneer de isolatiemodus voor het beheerde virtuele netwerk is Allow internet outbound, worden uitgaande regels voor privé-eindpunten automatisch gemaakt als vereiste regels van het beheerde virtuele netwerk voor de hub en gekoppelde resources waarvoor openbare netwerktoegang is uitgeschakeld (Key Vault, Opslagaccount, Container Registry, hub).
• Wanneer de isolatiemodus voor het beheerde virtuele netwerk is Allow only approved outbound, worden uitgaande regels voor privé-eindpunten automatisch gemaakt als vereiste regels van het beheerde virtuele netwerk voor de hub en gekoppelde resources , ongeacht de openbare netwerktoegangsmodus voor deze resources (Key Vault, Opslagaccount, Container Registry, hub).

Regels voor uitgaande servicetags:

• AzureActiveDirectory
• Azure Machine Learning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Regels voor binnenkomende servicetags:

• AzureMachineLearning

Lijst met scenariospecifieke uitgaande regels

Scenario: Toegang krijgen tot openbare machine learning-pakketten

Als u installatie van Python-pakketten voor training en implementatie wilt toestaan, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hostnamen toe te staan:

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Ga voor meer informatie naar Prijzen.

Notitie

Dit is geen volledige lijst met de hosts die vereist zijn voor alle Python-resources op internet, alleen de meest gebruikte. Als u bijvoorbeeld toegang nodig hebt tot een GitHub-opslagplaats of andere host, moet u de vereiste hosts voor dat scenario identificeren en toevoegen.

Hostnaam	Doel
anaconda.com *.anaconda.com	Wordt gebruikt om standaardpakketten te installeren.
*.anaconda.org	Wordt gebruikt om opslagplaatsgegevens op te halen.
pypi.org	Wordt gebruikt om afhankelijkheden van de standaardindex weer te geven, indien aanwezig, en de index wordt niet overschreven door gebruikersinstellingen. Als de index wordt overschreven, moet u ook toestaan *.pythonhosted.org.
pytorch.org *.pytorch.org	Wordt gebruikt door enkele voorbeelden op basis van PyTorch.
*.tensorflow.org	Wordt gebruikt door enkele voorbeelden op basis van Tensorflow.

Scenario: Visual Studio Code gebruiken

Visual Studio Code is afhankelijk van specifieke hosts en poorten om een externe verbinding tot stand te brengen.

Hosts

Als u Visual Studio Code wilt gebruiken met de hub, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Ga voor meer informatie naar Prijzen.

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• pkg-containers.githubusercontent.com
• github.com

Poorten

U moet netwerkverkeer toestaan naar poorten 8704 tot 8710. De VS Code-server selecteert dynamisch de eerst beschikbare poort binnen dit bereik.

Scenario: HuggingFace-modellen gebruiken

Als u HuggingFace-modellen wilt gebruiken met de hub, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Ga voor meer informatie naar Prijzen.

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cnd.auth0.com
• cdn-lfs.huggingface.co

Privé-eindpunten

Privé-eindpunten worden momenteel ondersteund voor de volgende Azure-services:

• AI Studio-hub
• Azure Machine Learning
• Azure Machine Learning-registers
• Azure Storage (alle subresourcetypen)
• Azure Container Registry
• Azure Key Vault
• Azure AI-services
• Azure AI Search
• Azure SQL Server
• Azure Data Factory
• Azure Cosmos DB (alle subresourcetypen)
• Azure Event Hubs
• Azure Redis Cache
• Azure Databricks
• Azure Database for MariaDB
• Azure Database for PostgreSQL Single Server
• Azure Database for MySQL
• Azure SQL Managed Instance
• Azure API Management

Belangrijk

Hoewel u een privé-eindpunt voor Azure AI-services en Azure AI Search kunt maken, moeten de verbonden services openbare netwerken toestaan. Zie Connectiviteit met andere services voor meer informatie.

Wanneer u een privé-eindpunt maakt, geeft u het resourcetype en de subresource op waarmee het eindpunt verbinding maakt. Sommige resources hebben meerdere typen en subresources. Zie wat een privé-eindpunt is voor meer informatie.

Wanneer u een privé-eindpunt maakt voor hubafhankelijkheidsresources, zoals Azure Storage, Azure Container Registry en Azure Key Vault, kan de resource zich in een ander Azure-abonnement bevinden. De resource moet echter zich in dezelfde tenant bevinden als de hub.

Er wordt automatisch een privé-eindpunt gemaakt voor een verbinding als de doelresource een Azure-resource is die hierboven wordt vermeld. Er wordt een geldige doel-id verwacht voor het privé-eindpunt. Een geldige doel-id voor de verbinding kan de Azure Resource Manager-id van een bovenliggende resource zijn. De doel-id wordt ook verwacht in het doel van de verbinding of in metadata.resourceid. Zie Een nieuwe verbinding toevoegen in Azure AI Studio voor meer informatie over verbindingen.

Prijzen

De hub beheerde virtuele netwerkfunctie is gratis. Er worden echter kosten in rekening gebracht voor de volgende resources die worden gebruikt door het beheerde virtuele netwerk:

• Azure Private Link: privé-eindpunten die worden gebruikt om communicatie tussen het beheerde virtuele netwerk en Azure-resources te beveiligen, is afhankelijk van Azure Private Link. Zie prijzen voor Azure Private Link voor meer informatie over prijzen.

• Uitgaande FQDN-regels: uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Azure Firewall-SKU is standaard. Azure Firewall wordt ingericht per hub.

  Belangrijk

  De firewall wordt pas gemaakt als u een uitgaande FQDN-regel toevoegt. Als u geen FQDN-regels gebruikt, worden er geen kosten in rekening gebracht voor Azure Firewall. Zie Prijzen voor Azure Firewall voor meer informatie over prijzen.

Gerelateerde inhoud

• Ai Studio-hub en -project maken met behulp van de SDK