Udostępnij za pośrednictwem


Jak skonfigurować link prywatny dla centrów usługi Azure AI Studio

Ważne

Niektóre funkcje opisane w tym artykule mogą być dostępne tylko w wersji zapoznawczej. Ta wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Mamy dwa aspekty izolacji sieciowej. Jedną z nich jest izolacja sieciowa w celu uzyskania dostępu do centrum usługi Azure AI Studio. Inną jest izolacja sieci zasobów obliczeniowych w centrum i projektach, takich jak wystąpienia obliczeniowe, bezserwerowe i zarządzane punkty końcowe online. W tym artykule opisano poprzednie wyróżnione na diagramie. Możesz użyć łącza prywatnego, aby nawiązać połączenie prywatne z centrum i jego domyślnymi zasobami. Ten artykuł dotyczy usługi Azure AI Studio (centrum i projektów). Aby uzyskać informacje na temat usług Azure AI, zobacz dokumentację usług Azure AI.

Diagram izolacji sieci centrum AI Studio.

W grupie zasobów uzyskasz kilka domyślnych zasobów centrum. Należy skonfigurować następujące konfiguracje izolacji sieciowej.

  • Wyłącz dostęp do sieci publicznej dla domyślnych zasobów centrum, takich jak Azure Storage, Azure Key Vault i Azure Container Registry.
  • Ustanów połączenie prywatnego punktu końcowego z domyślnymi zasobami centrum. Musisz mieć zarówno prywatny punkt końcowy obiektu blob, jak i prywatny plik dla domyślnego konta magazynu.
  • Konfiguracje tożsamości zarządzanej umożliwiające koncentratorom dostęp do konta magazynu, jeśli są prywatne.

Wymagania wstępne

  • Aby utworzyć prywatny punkt końcowy, musisz mieć istniejącą sieć wirtualną platformy Azure.

    Ważne

    Nie zalecamy używania zakresu adresów IP 172.17.0.0/16 dla sieci wirtualnej. Jest to domyślny zakres podsieci używany przez sieć mostka platformy Docker lub lokalnie.

  • Wyłącz zasady sieci dla prywatnych punktów końcowych przed dodaniem prywatnego punktu końcowego.

Tworzenie centrum korzystającego z prywatnego punktu końcowego

Użyj jednej z następujących metod, aby utworzyć centrum z prywatnym punktem końcowym. Każda z tych metod wymaga istniejącej sieci wirtualnej:

  1. W witrynie Azure Portal przejdź do usługi Azure AI Studio i wybierz pozycję + Nowa sztuczna inteligencja platformy Azure.
  2. Wybierz tryb izolacji sieciowej na karcie Sieć .
  3. Przewiń w dół do obszaru Roboczego Dostęp przychodzący i wybierz pozycję + Dodaj.
  4. Wymagane pola wejściowe. Po wybraniu pozycji Region wybierz ten sam region co sieć wirtualna.

Dodawanie prywatnego punktu końcowego do centrum

Użyj jednej z następujących metod, aby dodać prywatny punkt końcowy do istniejącego centrum:

  1. W witrynie Azure Portal wybierz swoje centrum.
  2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Połączenia z prywatnym punktem końcowym.
  3. Po wybraniu pozycji Region wybierz ten sam region co sieć wirtualna.
  4. Podczas wybierania typu zasobu użyj polecenia azuremlworkspace.
  5. Ustaw wartość Zasób na nazwę obszaru roboczego.

Na koniec wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Usuwanie prywatnego punktu końcowego

Możesz usunąć jeden lub wszystkie prywatne punkty końcowe dla centrum. Usunięcie prywatnego punktu końcowego spowoduje usunięcie centrum z sieci wirtualnej platformy Azure skojarzonej z punktem końcowym. Usunięcie prywatnego punktu końcowego może uniemożliwić centrum uzyskiwanie dostępu do zasobów w tej sieci wirtualnej lub zasoby w sieci wirtualnej z dostępem do obszaru roboczego. Jeśli na przykład sieć wirtualna nie zezwala na dostęp do publicznego Internetu lub z internetu.

Ostrzeżenie

Usunięcie prywatnych punktów końcowych dla centrum nie powoduje publicznego udostępnienia. Aby centrum było publicznie dostępne, wykonaj kroki opisane w sekcji Włączanie dostępu publicznego.

Aby usunąć prywatny punkt końcowy, skorzystaj z następujących informacji:

  1. W witrynie Azure Portal wybierz swoje centrum.
  2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Połączenia z prywatnym punktem końcowym.
  3. Wybierz punkt końcowy do usunięcia, a następnie wybierz pozycję Usuń.

Włączanie dostępu publicznego

W niektórych sytuacjach możesz zezwolić komuś na łączenie się z zabezpieczonym koncentratorem za pośrednictwem publicznego punktu końcowego zamiast za pośrednictwem sieci wirtualnej. Możesz też usunąć obszar roboczy z sieci wirtualnej i ponownie włączyć dostęp publiczny.

Ważne

Włączenie dostępu publicznego nie powoduje usunięcia żadnych prywatnych punktów końcowych, które istnieją. Cała komunikacja między składnikami sieci wirtualnej, z którymi łączą się prywatne punkty końcowe, są nadal zabezpieczone. Umożliwia ona dostęp publiczny tylko do centrum, oprócz dostępu prywatnego za pośrednictwem jakichkolwiek prywatnych punktów końcowych.

Aby włączyć dostęp publiczny, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz swoje centrum.
  2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Dostęp publiczny.
  3. Wybierz pozycję Włączone ze wszystkich sieci, a następnie wybierz pozycję Zapisz.

Konfiguracja tożsamości zarządzanej

Jeśli konto magazynu jest prywatne, wymagana jest konfiguracja tożsamości zarządzanej. Nasze usługi muszą odczytywać/zapisywać dane na prywatnym koncie magazynu przy użyciu opcji Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu przy użyciu następujących konfiguracji tożsamości zarządzanej. Włącz przypisaną przez system tożsamość zarządzaną usługi Azure AI Service i Azure AI Search, a następnie skonfiguruj kontrolę dostępu opartą na rolach dla każdej tożsamości zarządzanej.

Rola Tożsamość zarządzana Zasób Przeznaczenie Odwołanie
Storage File Data Privileged Contributor Projekt usługi Azure AI Studio Konto magazynu Odczyt/zapis danych przepływu monitu. Dokument przepływu monitu
Storage Blob Data Contributor Usługa Azure AI Konto magazynu Odczyt z kontenera wejściowego, zapis do wyniku procesu wstępnego do kontenera wyjściowego. Dokumentacja usługi Azure OpenAI
Storage Blob Data Contributor Wyszukiwanie AI platformy Azure Konto magazynu Odczytywanie obiektów blob i zapisywanie magazynu wiedzy Wyszukaj dokument.

Niestandardowa konfiguracja DNS

Zobacz artykuł Dotyczący niestandardowej usługi DNS usługi Azure Machine Learning, aby zapoznać się z konfiguracjami przesyłania dalej DNS.

Jeśli musisz skonfigurować niestandardowy serwer DNS bez przekazywania DNS, użyj następujących wzorców dla wymaganych rekordów A.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Uwaga

    Nazwa obszaru roboczego dla tej nazwy FQDN może zostać obcięta. Obcięcie jest wykonywane, aby zachować ml-<workspace-name, truncated>-<region>-<workspace-guid> co najmniej 63 znaki.

  • <instance-name>.<region>.instances.azureml.ms

    Uwaga

    • Dostęp do wystąpień obliczeniowych można uzyskać tylko z poziomu sieci wirtualnej.
    • Adres IP tej nazwy FQDN nie jest adresem IP wystąpienia obliczeniowego. Zamiast tego użyj prywatnego adresu IP prywatnego punktu końcowego obszaru roboczego (adresu IP *.api.azureml.ms wpisów).
  • <instance-name>.<region>.instances.azureml.ms — używane tylko przez az ml compute connect-ssh polecenie do łączenia się z obliczeniami w zarządzanej sieci wirtualnej. Nie jest to konieczne, jeśli nie używasz sieci zarządzanej ani połączeń SSH.

  • <managed online endpoint name>.<region>.inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

Aby znaleźć prywatne adresy IP dla rekordów A, zobacz artykuł Dotyczący niestandardowej usługi DNS usługi Azure Machine Learning. Aby sprawdzić identyfikator GUID AI-PROJECT, przejdź do witryny Azure Portal, wybierz projekt, ustawienia, właściwości i wyświetlany identyfikator obszaru roboczego.

Ograniczenia

  • Jeśli używasz przeglądarki Mozilla Firefox, możesz napotkać problemy podczas próby uzyskania dostępu do prywatnego punktu końcowego centrum. Ten problem może być związany z systemem DNS za pośrednictwem protokołu HTTPS w Mozilla Firefox. Zalecamy używanie przeglądarki Microsoft Edge lub Google Chrome.

Następne kroki