Een privékoppeling configureren voor Azure AI Hub

Notitie

Azure AI Studio is momenteel beschikbaar als openbare preview. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

We hebben twee aspecten van netwerkisolatie. Een daarvan is de netwerkisolatie voor toegang tot een Azure AI-hub. Een andere is de netwerkisolatie van computingresources in uw Azure AI-hub en Azure AI-projecten, zoals rekenprocessen, serverloze en beheerde online-eindpunten. In dit artikel wordt de vorige gemarkeerd in het diagram uitgelegd. U kunt private link gebruiken om de privéverbinding tot stand te brengen met uw Azure AI-hub en de standaardbronnen. Dit artikel is bedoeld voor Azure AI Studio (AI-hub en AI-projecten). Zie de documentatie van Azure AI Services voor meer informatie over Azure AI Services.

U krijgt verschillende standaardresources voor Azure AI Hub in uw resourcegroep. U moet de volgende configuraties voor netwerkisolatie configureren.

• Schakel openbare netwerktoegang van standaardbronnen van Azure AI Hub uit, zoals Azure Storage, Azure Key Vault en Azure Container Registry.
• Een privé-eindpuntverbinding tot stand brengen met standaardbronnen van Azure AI Hub. U moet zowel een blob- als een privé-eindpunt voor het bestand hebben voor het standaardopslagaccount.
• Configuraties voor beheerde identiteiten om Azure AI Hub-resources toegang te geven tot uw opslagaccount als dit privé is.
• Azure AI Services en Azure AI Search moeten openbaar zijn.

Vereisten

• U moet een bestaand virtueel Azure-netwerk hebben om het privé-eindpunt in te maken.

  Belangrijk

  Het wordt afgeraden om het IP-adresbereik 172.17.0.0/16 voor je VNet te gebruiken. Dit is het standaardsubnetbereik dat wordt gebruikt door het Docker Bridge-netwerk of on-premises.

• Schakel netwerkbeleid voor privé-eindpunten uit voordat u het privé-eindpunt toevoegt.

Een Azure AI maken die gebruikmaakt van een privé-eindpunt

Gebruik een van de volgende methoden om een Azure AI-hubresource te maken met een privé-eindpunt. Voor elk van deze methoden is een bestaand virtueel netwerk vereist:

Azure-portal

1. Ga in Azure Portal naar Azure AI Studio en kies + Nieuwe Azure AI.
2. Kies de netwerkisolatiemodus op het tabblad Netwerken .
3. Schuif omlaag naar de toegang voor inkomend verkeer van de werkruimte en kies + Toevoegen.
4. Vereiste velden invoeren. Wanneer u de regio selecteert, selecteert u dezelfde regio als uw virtuele netwerk.

Azure-CLI

Maak uw Azure AI Hub-resource met de Azure AI CLI. Voer de volgende opdracht uit en volg de aanwijzingen. Zie Aan de slag met Azure AI CLI voor meer informatie.

ai init

Nadat u de Azure AI-hub hebt gemaakt, gebruikt u de Azure-netwerk-CLI-opdrachten om een privékoppelingseindpunt voor de Azure AI te maken.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Gebruik de volgende opdrachten om de privé-DNS-zonevermeldingen voor de werkruimte te maken:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Een privé-eindpunt toevoegen aan een Azure AI-hub

Gebruik een van de volgende methoden om een privé-eindpunt toe te voegen aan een bestaande Azure AI-hub:

Azure-portal

1. Selecteer uw Azure AI-hub in Azure Portal.
2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Privé-eindpuntverbindingen.
3. Wanneer u de regio selecteert, selecteert u dezelfde regio als uw virtuele netwerk.
4. Wanneer u resourcetype selecteert, gebruikt u .azuremlworkspace
5. Stel de resource in op de naam van uw werkruimte.

Selecteer Ten slotte Maken om het privé-eindpunt te maken.

Azure-CLI

Gebruik de CLI-opdrachten voor Azure-netwerken om een privékoppelingseindpunt te maken voor de Azure AI-hub.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Gebruik de volgende opdrachten om de privé-DNS-zonevermeldingen voor de werkruimte te maken:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Een privé-eindpunt verwijderen

U kunt een of alle privé-eindpunten voor een Azure AI-hub verwijderen. Als u een privé-eindpunt verwijdert, wordt de Azure AI-hub verwijderd uit het virtuele Azure-netwerk waaraan het eindpunt is gekoppeld. Als u het privé-eindpunt verwijdert, kan de Azure AI-hub geen toegang krijgen tot resources in dat virtuele netwerk of resources in het virtuele netwerk toegang krijgen tot de werkruimte. Als het virtuele netwerk bijvoorbeeld geen toegang tot of vanaf het openbare internet toestaat.

Waarschuwing

Als u de privé-eindpunten voor een AI-hub verwijdert, is deze niet openbaar toegankelijk. Als u de AI-hub openbaar toegankelijk wilt maken, gebruikt u de stappen in de sectie Openbare toegang inschakelen.

Als u een privé-eindpunt wilt verwijderen, gebruikt u de volgende informatie:

Azure-portal

1. Selecteer uw Azure AI-hub in Azure Portal.
2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Privé-eindpuntverbindingen.
3. Selecteer het eindpunt dat u wilt verwijderen en selecteer vervolgens Verwijderen.

Azure-CLI

Wanneer u de Azure CLI gebruikt, gebruikt u de volgende opdracht om het privé-eindpunt te verwijderen:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Openbare toegang inschakelen

In sommige situaties wilt u mogelijk toestaan dat iemand verbinding kan maken met uw beveiligde Azure AI-hub via een openbaar eindpunt, in plaats van via het virtuele netwerk. Of misschien wilt u de werkruimte uit het virtuele netwerk verwijderen en openbare toegang opnieuw inschakelen.

Belangrijk

Als u openbare toegang inschakelt, worden geen privé-eindpunten verwijderd die bestaan. Alle communicatie tussen onderdelen achter het virtuele netwerk waarmee de privé-eindpunten verbinding maken, worden nog steeds beveiligd. Het maakt openbare toegang alleen mogelijk tot de Azure AI-hub, naast de privétoegang via privé-eindpunten.

Gebruik de volgende stappen om openbare toegang in te schakelen:

Azure-portal

1. Selecteer uw Azure AI-hub in Azure Portal.
2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Openbare toegang.
3. Selecteer Ingeschakeld in alle netwerken en selecteer Opslaan.

Azure-CLI

Niet beschikbaar in AI CLI, maar u kunt Azure Machine Learning CLI gebruiken. Gebruik de naam van uw Azure AI-hub als werkruimtenaam in Azure Machine Learning CLI.

Configuratie van beheerde identiteit

Een beheerde identiteitsconfiguratie is vereist als u uw opslagaccount privé maakt. Onze services moeten gegevens lezen/schrijven in uw privéopslagaccount met behulp van Azure-services toestaan in de lijst met vertrouwde services om toegang te krijgen tot dit opslagaccount met de volgende configuraties voor beheerde identiteiten. Schakel de door het systeem toegewezen beheerde identiteit van Azure AI Service en Azure AI Search in en configureer vervolgens op rollen gebaseerd toegangsbeheer voor elke beheerde identiteit.

Role	Beheerde identiteit	Resource	Doel	Verwijzing
Storage File Data Privileged Contributor	Azure AI-project	Opslagaccount	Stroomgegevens lezen/schrijven.	Stroomdocumenten vragen
Storage Blob Data Contributor	Azure AI-service	Opslagaccount	Lezen van invoercontainer, schrijven naar voorverwerkingsresultaat naar uitvoercontainer.	Azure OpenAI Doc
Storage Blob Data Contributor	Azure AI Search	Opslagaccount	Blob lezen en kennisarchief schrijven	Zoek document.

Aangepaste DNS-configuratie

Zie het aangepaste DNS-artikel van Azure Machine Learning voor de dns-doorstuurconfiguraties.

Als u aangepaste DNS-server zonder DNS-doorsturen wilt configureren, gebruikt u de volgende patronen voor de vereiste A-records.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Notitie

  De naam van de werkruimte voor deze FQDN kan worden afgekapt. Afkapping wordt gedaan om maximaal 63 tekens te behouden ml-<workspace-name, truncated>-<region>-<workspace-guid> .

• <instance-name>.<region>.instances.azureml.ms

  Notitie

  • Rekeninstanties kunnen alleen worden geopend vanuit het virtuele netwerk.
  • Het IP-adres voor deze FQDN is niet het IP-adres van het rekenproces. Gebruik in plaats daarvan het privé-IP-adres van het privé-eindpunt van de werkruimte (het IP-adres van de *.api.azureml.ms vermeldingen).)

• <managed online endpoint name>.<region>.inference.ml.azure.com - Wordt gebruikt door beheerde online-eindpunten

Zie het aangepaste DNS-artikel van Azure Machine Learning om de privé-IP-adressen voor uw A-records te vinden. Als u AI-PROJECT-GUID wilt controleren, gaat u naar Azure Portal, selecteert u uw Azure AI-project, instellingen, eigenschappen en de werkruimte-id.

Beperkingen

• Privé-Azure AI Services en Azure AI Search worden niet ondersteund.
• De functie 'Uw gegevens toevoegen' in de Azure AI Studio-speeltuin biedt geen ondersteuning voor een privéopslagaccount.
• Mogelijk ondervindt u problemen bij het openen van het privé-eindpunt voor uw Azure AI-hub als u Mozilla Firefox gebruikt. Dit probleem kan te maken hebben met DNS via HTTPS in Mozilla Firefox. We raden u aan Microsoft Edge of Google Chrome te gebruiken.

Volgende stappen

• Een Azure AI-project maken
• Meer informatie over Azure AI Studio
• Meer informatie over Azure AI Hub-resources
• Problemen met beveiligde connectiviteit met een project oplossen