Modelcatalogusverzamelingen gebruiken met een beheerd virtueel netwerk in de werkruimte

In dit artikel leert u hoe u de verschillende verzamelingen in de modelcatalogus in een geïsoleerd netwerk kunt gebruiken.

Het beheerde virtuele netwerk van de werkruimte is de aanbevolen manier om netwerkisolatie te ondersteunen met de modelcatalogus. Het biedt eenvoudig configuratie om uw werkruimte te beveiligen. Nadat u het beheerde virtuele netwerk op werkruimteniveau hebt ingeschakeld, gebruiken resources met betrekking tot de werkruimte in hetzelfde virtuele netwerk dezelfde netwerkinstelling op het niveau van de werkruimte. U kunt de werkruimte ook configureren voor het gebruik van een privé-eindpunt voor toegang tot andere Azure-resources, zoals Azure OpenAI. Bovendien kunt u de FQDN-regel configureren om uitgaand verkeer naar niet-Azure-resources goed te keuren. Dit is vereist voor het gebruik van een aantal verzamelingen in de modelcatalogus. Meer informatie over werkruimte beheerd netwerkisolatie om een beheerd virtueel netwerk in de werkruimte in te schakelen.

Het maken van het beheerde virtuele netwerk wordt uitgesteld totdat een rekenresource wordt gemaakt of handmatig wordt ingericht. U kunt de volgende opdracht gebruiken om handmatig netwerkinrichting te activeren.

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

Beheerd virtueel netwerk voor werkruimte om uitgaand internet toe te staan

1. Configureer een werkruimte met een beheerd virtueel netwerk om uitgaand internet toe te staan door de stappen te volgen die hier worden vermeld.

2. Als u ervoor kiest om de openbare netwerktoegang tot de werkruimte in te stellen op uitgeschakeld, kunt u op een van de volgende manieren verbinding maken met de werkruimte:

   • Azure VPN-gateway: Verbinding maken on-premises netwerken naar het virtuele netwerk via een privéverbinding. Verbinding maken wordt gemaakt via het openbare internet. Er zijn twee typen VPN-gateways die u kunt gebruiken:

     • Punt-naar-site: elke clientcomputer gebruikt een VPN-client om verbinding te maken met het virtuele netwerk.
     • Site-naar-site: een VPN-apparaat verbindt het virtuele netwerk met uw on-premises netwerk.

   • ExpressRoute: Verbinding maken on-premises netwerken via een privéverbinding in de cloud. Verbinding maken wordt gemaakt met behulp van een connectiviteitsprovider.

   • Azure Bastion : in dit scenario maakt u een virtuele Azure-machine (ook wel een jump box genoemd) in het virtuele netwerk. Vervolgens maakt u verbinding met de virtuele machine met behulp van Azure Bastion. Met Bastion kunt u verbinding maken met de virtuele machine met behulp van een RDP- of SSH-sessie vanuit uw lokale webbrowser. Vervolgens gebruikt u de jumpbox als uw ontwikkelomgeving. Omdat het zich in het virtuele netwerk bevindt, heeft het rechtstreeks toegang tot de werkruimte.

Omdat het beheerde virtuele netwerk van de werkruimte toegang heeft tot internet in deze configuratie, kunt u werken met alle verzamelingen in de modelcatalogus vanuit de werkruimte.

Door de werkruimte beheerd virtueel netwerk om alleen goedgekeurd uitgaand verkeer toe te staan

1. Configureer een werkruimte door werkruimte beheerd netwerkisolatie te volgen. Selecteer in stap 3 van de zelfstudie bij het selecteren van door werkruimte beheerde uitgaande toegang de optie Alleen goedgekeurd uitgaand verkeer toestaan.
2. Als u de openbare netwerktoegang tot de werkruimte instelt op uitgeschakeld, kunt u verbinding maken met de werkruimte met behulp van een van de methoden zoals vermeld in stap 2 van de sectie Uitgaand internet toestaan van deze zelfstudie.
3. De werkruimte beheert het virtuele netwerk is ingesteld op een alleen toegestane configuratie. U moet een overeenkomstige door de gebruiker gedefinieerde uitgaande regel toevoegen om alle relevante FQDN's toe te staan.
   1. Volg deze koppeling voor een lijst met FQDN's die vereist zijn voor de verzameling Gecureerd door Azure AI.
   2. Volg deze koppeling voor een lijst met FQDN's die vereist zijn voor de verzameling Hugging Face.

Werken met opensource-modellen gecureerd door Azure Machine Learning

Door de werkruimte beheerd virtueel netwerk om alleen goedgekeurde uitgaande verbindingen toe te staan, maakt gebruik van een service-eindpuntbeleid voor door Azure Machine Learning beheerde opslagaccounts om toegang te krijgen tot de modellen in de verzamelingen die op een out-of-the-box-manier door Azure Machine Learning zijn gecureerd. Deze werkruimteconfiguratie heeft ook standaard uitgaand naar het Microsoft Container Registry dat de docker-installatiekopieën bevat die worden gebruikt voor het implementeren van de modellen.

Taalmodellen in de verzameling Gecureerd door Azure AI

Deze modellen omvatten dynamische installatie van afhankelijkheden tijdens runtime. Als u een door de gebruiker gedefinieerde uitgaande regel wilt toevoegen, volgt u stap vier van De verzameling Gecureerd door Azure AI, moeten gebruikers door de gebruiker gedefinieerde uitgaande regels toevoegen voor de volgende FQDN's op werkruimteniveau:

• *.anaconda.org
• *.anaconda.com
• anaconda.com
• pypi.org
• *.pythonhosted.org
• *.pytorch.org
• pytorch.org

Volg stap 4 in de zelfstudie voor het beheerde virtuele netwerk om de bijbehorende door de gebruiker gedefinieerde uitgaande regels toe te voegen.

Waarschuwing

Uitgaande FQDN-regels worden geïmplementeerd met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall opgenomen in uw facturering. Ga voor meer informatie naar Prijzen.

Metaverzameling

Gebruikers kunnen met deze verzameling werken in geïsoleerde netwerkwerkruimten zonder dat andere door de gebruiker gedefinieerde uitgaande regels vereist zijn.

Notitie

Nieuwe gecureerde verzamelingen worden regelmatig toegevoegd aan de modelcatalogus. Deze documentatie wordt bijgewerkt met de ondersteuning in particuliere netwerken voor verschillende verzamelingen.

Werken met het knuffelen van gezichtsverzameling

De modelgewichten worden niet gehost in Azure als u het Hugging Face-register gebruikt. De modelgewichten worden tijdens de implementatie rechtstreeks gedownload van de Hugging Face-hub naar de online-eindpunten in uw werkruimte. Gebruikers moeten de volgende uitgaande FQDN-regels toevoegen voor Hugging Face Hub, Docker Hub en hun CDN's om verkeer naar de volgende hosts toe te staan:

• docker.io
• huggingface.co
• production.cloudflare.docker.com
• cdn-lfs.huggingface.co
• cdn.auth0.com

Volg stap 4 in de zelfstudie voor het beheerde virtuele netwerk om de bijbehorende door de gebruiker gedefinieerde uitgaande regels toe te voegen.

Volgende stappen

• Meer informatie over het oplossen van problemen met een beheerd virtueel netwerk