Delen via


Een privékoppeling configureren voor Azure AI Studio-hubs

Belangrijk

Sommige van de functies die in dit artikel worden beschreven, zijn mogelijk alleen beschikbaar in de preview-versie. Deze preview wordt aangeboden zonder een service level agreement en we raden deze niet aan voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

We hebben twee aspecten van netwerkisolatie. Een daarvan is de netwerkisolatie voor toegang tot een Azure AI Studio-hub. Een andere is de netwerkisolatie van computingresources in uw hub en projecten, zoals rekenprocessen, serverloze en beheerde online-eindpunten. In dit artikel wordt de vorige gemarkeerd in het diagram uitgelegd. U kunt private link gebruiken om de privéverbinding met uw hub en de bijbehorende standaardbronnen tot stand te brengen. Dit artikel is bedoeld voor Azure AI Studio (hub en projecten). Zie de documentatie voor Azure AI-services voor meer informatie over Azure AI-services.

Diagram van netwerkisolatie van AI Studio Hub.

U krijgt verschillende standaardresources voor de hub in uw resourcegroep. U moet de volgende configuraties voor netwerkisolatie configureren.

  • Schakel openbare netwerktoegang van hub-standaardbronnen uit, zoals Azure Storage, Azure Key Vault en Azure Container Registry.
  • Een privé-eindpuntverbinding tot stand brengen met de standaardbronnen van de hub. U moet zowel een blob- als een privé-eindpunt voor het bestand hebben voor het standaardopslagaccount.
  • Configuraties van beheerde identiteiten om hubs toegang te geven tot uw opslagaccount als het privé is.

Vereisten

  • U moet een bestaand virtueel Azure-netwerk hebben om het privé-eindpunt in te maken.

    Belangrijk

    Het wordt afgeraden om het IP-adresbereik 172.17.0.0/16 voor je VNet te gebruiken. Dit is het standaardsubnetbereik dat wordt gebruikt door het Docker Bridge-netwerk of on-premises.

  • Schakel netwerkbeleid voor privé-eindpunten uit voordat u het privé-eindpunt toevoegt.

Een hub maken die gebruikmaakt van een privé-eindpunt

Gebruik een van de volgende methoden om een hub met een privé-eindpunt te maken. Voor elk van deze methoden is een bestaand virtueel netwerk vereist:

  1. Ga in Azure Portal naar Azure AI Studio en kies + Nieuwe Azure AI.
  2. Kies de netwerkisolatiemodus op het tabblad Netwerken .
  3. Schuif omlaag naar de toegang voor inkomend verkeer van de werkruimte en kies + Toevoegen.
  4. Vereiste velden invoeren. Wanneer u de regio selecteert, selecteert u dezelfde regio als uw virtuele netwerk.

Een privé-eindpunt toevoegen aan een hub

Gebruik een van de volgende methoden om een privé-eindpunt toe te voegen aan een bestaande hub:

  1. Selecteer uw hub in Azure Portal.
  2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Privé-eindpuntverbindingen.
  3. Wanneer u de regio selecteert, selecteert u dezelfde regio als uw virtuele netwerk.
  4. Wanneer u resourcetype selecteert, gebruikt u .azuremlworkspace
  5. Stel de resource in op de naam van uw werkruimte.

Selecteer Ten slotte Maken om het privé-eindpunt te maken.

Een privé-eindpunt verwijderen

U kunt een of alle privé-eindpunten voor een hub verwijderen. Als u een privé-eindpunt verwijdert, wordt de hub verwijderd uit het virtuele Azure-netwerk waaraan het eindpunt is gekoppeld. Als u het privé-eindpunt verwijdert, kan de hub geen toegang krijgen tot resources in dat virtuele netwerk of resources in het virtuele netwerk toegang krijgen tot de werkruimte. Als het virtuele netwerk bijvoorbeeld geen toegang tot of vanaf het openbare internet toestaat.

Waarschuwing

Als u de privé-eindpunten voor een hub verwijdert, is deze niet openbaar toegankelijk. Als u de hub openbaar toegankelijk wilt maken, gebruikt u de stappen in de sectie Openbare toegang inschakelen.

Als u een privé-eindpunt wilt verwijderen, gebruikt u de volgende informatie:

  1. Selecteer uw hub in Azure Portal.
  2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Privé-eindpuntverbindingen.
  3. Selecteer het eindpunt dat u wilt verwijderen en selecteer vervolgens Verwijderen.

Openbare toegang inschakelen

In sommige situaties wilt u misschien toestaan dat iemand via een openbaar eindpunt verbinding kan maken met uw beveiligde hub in plaats van via het virtuele netwerk. Of misschien wilt u de werkruimte uit het virtuele netwerk verwijderen en openbare toegang opnieuw inschakelen.

Belangrijk

Als u openbare toegang inschakelt, worden geen privé-eindpunten verwijderd die bestaan. Alle communicatie tussen onderdelen achter het virtuele netwerk waarmee de privé-eindpunten verbinding maken, worden nog steeds beveiligd. Hiermee is alleen openbare toegang tot de hub mogelijk, naast de privétoegang via privé-eindpunten.

Gebruik de volgende stappen om openbare toegang in te schakelen:

  1. Selecteer uw hub in Azure Portal.
  2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Openbare toegang.
  3. Selecteer Ingeschakeld in alle netwerken en selecteer Opslaan.

Configuratie van beheerde identiteit

Een beheerde identiteitsconfiguratie is vereist als u uw opslagaccount privé maakt. Onze services moeten gegevens lezen/schrijven in uw privéopslagaccount met behulp van Azure-services toestaan in de lijst met vertrouwde services om toegang te krijgen tot dit opslagaccount met de volgende configuraties voor beheerde identiteiten. Schakel de door het systeem toegewezen beheerde identiteit van Azure AI Service en Azure AI Search in en configureer vervolgens op rollen gebaseerd toegangsbeheer voor elke beheerde identiteit.

Role Beheerde identiteit Resource Doel Verwijzing
Storage File Data Privileged Contributor Azure AI Studio-project Opslagaccount Stroomgegevens lezen/schrijven. Stroomdocumenten vragen
Storage Blob Data Contributor Azure AI-service Opslagaccount Lezen van invoercontainer, schrijven naar resultaat vooraf verwerken naar uitvoercontainer. Azure OpenAI Doc
Storage Blob Data Contributor Azure AI Search Opslagaccount Blob lezen en kennisarchief schrijven Zoek document.

Aangepaste DNS-configuratie

Zie het aangepaste DNS-artikel van Azure Machine Learning voor de dns-doorstuurconfiguraties.

Als u aangepaste DNS-server zonder DNS-doorsturen wilt configureren, gebruikt u de volgende patronen voor de vereiste A-records.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Notitie

    De naam van de werkruimte voor deze FQDN kan worden afgekapt. Afkapping wordt gedaan om maximaal 63 tekens te behouden ml-<workspace-name, truncated>-<region>-<workspace-guid> .

  • <instance-name>.<region>.instances.azureml.ms

    Notitie

    • Rekeninstanties kunnen alleen worden geopend vanuit het virtuele netwerk.
    • Het IP-adres voor deze FQDN is niet het IP-adres van het rekenproces. Gebruik in plaats daarvan het privé-IP-adres van het privé-eindpunt van de werkruimte (het IP-adres van de *.api.azureml.ms vermeldingen).)
  • <instance-name>.<region>.instances.azureml.ms - Alleen gebruikt door de az ml compute connect-ssh opdracht om verbinding te maken met berekeningen in een beheerd virtueel netwerk. Niet nodig als u geen beheerd netwerk of SSH-verbindingen gebruikt.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - Wordt gebruikt door beheerde online-eindpunten

Zie het aangepaste DNS-artikel van Azure Machine Learning om de privé-IP-adressen voor uw A-records te vinden. Als u AI-PROJECT-GUID wilt controleren, gaat u naar Azure Portal, selecteert u uw project, instellingen, eigenschappen en de werkruimte-id.

Beperkingen

  • Mogelijk ondervindt u problemen bij het openen van het privé-eindpunt voor uw hub als u Mozilla Firefox gebruikt. Dit probleem kan te maken hebben met DNS via HTTPS in Mozilla Firefox. We raden u aan Microsoft Edge of Google Chrome te gebruiken.

Volgende stappen