Udostępnij za pośrednictwem

Jak utworzyć bezpieczne centrum usługi Azure AI Foundry i projekt za pomocą zarządzanej sieci wirtualnej

Uwaga / Notatka

Informacje zawarte w tym artykule są specyficzne dla projektu opartego na centrum i nie dotyczą projektu Foundry. Zobacz Jak sprawdzić, jaki typ projektu mam? i Utwórz projekt oparty na centrum.

Centrum, projekty i zarządzane zasoby usługi Azure AI Foundry można zabezpieczyć w zarządzanej sieci wirtualnej. W przypadku zarządzanej sieci wirtualnej dostęp przychodzący jest dozwolony tylko za pośrednictwem prywatnego punktu końcowego dla centrum. Dostęp wychodzący można skonfigurować tak, aby zezwalał na cały ruch wychodzący albo tylko na ruch, który wyraźnie określisz. Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna.

Ważne

Zarządzana sieć wirtualna nie zapewnia łączności przychodzącej dla klientów. Aby uzyskać więcej informacji, zobacz sekcję Łączenie z centrum .

Wymagania wstępne

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.
  • Sieć wirtualna platformy Azure używana do bezpiecznego łączenia się z usługami platformy Azure. Możesz na przykład użyć usługi Azure Bastion, usługi VPN Gateway lub usługi ExpressRoute , aby nawiązać połączenie z siecią wirtualną platformy Azure z sieci lokalnej. Jeśli nie masz sieci wirtualnej platformy Azure, możesz go utworzyć, postępując zgodnie z instrukcjami w temacie Tworzenie sieci wirtualnej.

Utwórz koncentrator

  1. W witrynie Azure Portal wyszukaj ciąg Azure AI Foundry. W menu po lewej stronie wybierz pozycję Centra sztucznej inteligencji, a następnie wybierz pozycję + Utwórz i centrum.

    Zrzut ekranu przedstawiający portal usługi Azure AI Foundry.

  2. Wprowadź nazwę centrum, subskrypcję, grupę zasobów i szczegóły lokalizacji. W przypadku modeli podstawowych usług AI platformy Azure wybierz istniejący zasób usług sztucznej inteligencji lub utwórz nowy. Usługi azure AI obejmują wiele punktów końcowych interfejsu API dla mowy, bezpieczeństwa zawartości i usługi Azure OpenAI.

    Zrzut ekranu przedstawiający opcję ustawiania podstawowych informacji centrum.

  3. Wybierz kartę Magazyn . Wybierz istniejące konto magazynu i zasób magazynu poświadczeń lub utwórz nowe. Opcjonalnie wybierz istniejącą usługę Application Insights i Usługę Container Registry dla dzienników i obrazów platformy Docker.

    Zrzut ekranu przedstawiający opcję Utwórz centrum z opcją ustawiania informacji o zasobie magazynu.

  4. Wybierz kartę Dostęp przychodzący , aby skonfigurować izolację sieci dla ruchu przychodzącego do centrum. Ustaw opcję Dostęp do sieci publicznej na wartość Wyłączone, a następnie użyj polecenia + Dodaj , aby dodać prywatny punkt końcowy dla centrum do sieci wirtualnej platformy Azure, z którą łączą się klienci. Prywatny punkt końcowy umożliwia klientom łączenie się z koncentratorem za pośrednictwem połączenia prywatnego. Aby uzyskać więcej informacji, zobacz Prywatne punkty końcowe.

    Zrzut ekranu przedstawiający zakładkę dostępu przychodzącego z wyłączonym dostępem do sieci publicznej.

  5. Wybierz dostęp wychodzący , aby skonfigurować zarządzaną sieć wirtualną używaną przez usługę Azure AI Foundry do zabezpieczania swoich centrów i projektów. Wybierz pozycję Prywatna z internetem wychodzącym, która umożliwia zasobom obliczeniowym dostęp do publicznego Internetu dla zasobów, takich jak pakiety języka Python.

    Wskazówka

    Aby aprowizować sieć wirtualną podczas tworzenia centrum, wybierz pozycję Aprowizuj zarządzaną sieć wirtualną. Jeśli ta opcja nie zostanie wybrana, sieć nie zostanie aprowizowana do momentu utworzenia zasobu obliczeniowego. Aby uzyskać więcej informacji, zobacz Zarządzana sieć wirtualna.

    Zrzut ekranu przedstawiający opcję Utwórz centrum z opcją ustawiania informacji o izolacji sieciowej.

  6. Wybierz pozycję Przejrzyj i utwórz, a następnie Utwórz, aby utworzyć hub. Po utworzeniu centrum wszystkie projekty lub wystąpienia obliczeniowe utworzone na podstawie centrum dziedziczą konfigurację sieci.

Nawiązywanie połączenia z koncentratorem

Zarządzana sieć wirtualna nie zapewnia bezpośrednio dostępu do klientów. Zamiast tego klienci łączą się z wirtualną siecią platformy Azure, którą zarządzasz. Następnie mogą uzyskać dostęp do centrum przy użyciu prywatnego punktu końcowego utworzonego w tych krokach.

Istnieje wiele metod, których można użyć do łączenia klientów z siecią wirtualną platformy Azure. W poniższej tabeli wymieniono typowe sposoby łączenia klientów z siecią wirtualną platformy Azure:

Metoda Opis
Brama sieci VPN platformy Azure Łączy sieci lokalne z siecią wirtualną platformy Azure za pośrednictwem połączenia prywatnego. Połączenie odbywa się za pośrednictwem publicznego Internetu.
ExpressRoute Łączy sieci lokalne z chmurą za pomocą prywatnego połączenia. Połączenie jest wykonywane przy użyciu dostawcy łączności.
Azure Bastion Nawiązuje połączenie z maszyną wirtualną w sieci wirtualnej platformy Azure przy użyciu przeglądarki internetowej.

Dalsze kroki