Udostępnij za pośrednictwem

Zabezpieczanie przepływów pracy RAG za pomocą izolacji sieciowej (wersja zapoznawcza)

  • Artykuł

Przepływy generacji rozszerzonej (RAG) można zabezpieczyć przy użyciu sieci prywatnych w usłudze Azure Machine Learning z dwiema opcjami zarządzania siecią. Te opcje to: Zarządzana sieć wirtualna, która jest ofertą w firmie lub siecią wirtualną "Przynieś własne", co jest przydatne, gdy chcesz mieć pełną kontrolę nad konfiguracją sieci wirtualnych/ podsieci, zapór, reguł sieciowej grupy zabezpieczeń itp.

W ramach opcji sieci zarządzanej usługi Azure Machine Learning dostępne są dwie zabezpieczone podopcje, z których można wybrać: Zezwalaj na ruch wychodzący z Internetu i Zezwalaj tylko na zatwierdzony ruch wychodzący.

Zrzut ekranu przedstawiający opcje zarządzanej sieci wirtualnej w usłudze Azure Machine Learning.

W zależności od konfiguracji i scenariusza przepływy pracy RAG w usłudze Azure Machine Learning mogą wymagać innych kroków dotyczących izolacji sieci.

Wymagania wstępne

  • Subskrypcja platformy Azure.
  • Dostęp do usługi Azure OpenAI Service.
  • Bezpieczny obszar roboczy usługi Azure Machine Learning: z konfiguracją sieci wirtualnej zarządzanej przez obszar roboczy lub "Bring Your Own".
  • Monituj przepływy włączone w obszarze roboczym usługi Azure Machine Learning. Przepływy monitów można włączyć, włączając opcję Tworzenie rozwiązań sztucznej inteligencji z przepływem monitu na panelu Zarządzanie funkcjami w wersji zapoznawczej.

Zarządzana sieć wirtualna obszaru roboczego usługi Azure Machine Learning

  1. Postępuj zgodnie z zarządzana izolacja sieci obszaru roboczego, aby włączyć zarządzaną sieć wirtualną obszaru roboczego.

  2. Przejdź do witryny Azure Portal i wybierz pozycję Sieć na karcie Ustawienia w menu po lewej stronie.

  3. Aby umożliwić przepływowi pracy RAG komunikowanie się z prywatnymi usługami Azure Cognitive Services, takimi jak Azure OpenAI lub Azure AI Search podczas tworzenia indeksu wektorowego, należy zdefiniować powiązaną regułę ruchu wychodzącego użytkownika z powiązanym zasobem. Wybierz pozycję Dostęp wychodzący zarządzany przez obszar roboczy w górnej części ustawień sieci. Następnie wybierz pozycję +Dodaj regułę ruchu wychodzącego zdefiniowanego przez użytkownika. Wprowadź nazwę reguły. Następnie wybierz zasób, do którego chcesz dodać regułę przy użyciu pola tekstowego Nazwa zasobu.

    Obszar roboczy usługi Azure Machine Learning tworzy prywatny punkt końcowy w powiązanym zasobie z autoapprove. Jeśli stan jest zablokowany na etapie oczekiwania, przejdź do powiązanego zasobu, aby ręcznie zatwierdzić prywatny punkt końcowy.

    Zrzut ekranu przedstawiający lokalizację w programie Azure Studio, aby dodać prywatną regułę ruchu wychodzącego użytkowników usług Cognitive Services.

  4. Przejdź do ustawień konta magazynu skojarzonego z obszarem roboczym. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) w menu po lewej stronie. Wybierz pozycję Dodaj przypisanie roli. Dodaj dostęp współautora danych tabeli usługi Storage i współautora danych obiektu blob usługi Storage do tożsamości zarządzanej obszaru roboczego. Można to zrobić, wpisując współautor danych tabeli usługi Storage i współautor danych obiektu blob usługi Storage na pasku wyszukiwania. Musisz wykonać ten krok i kolejny krok dwa razy. Raz dla współautora obiektu blob i po raz drugi dla współautora tabeli.

  5. Upewnij się, że wybrano opcję Tożsamość zarządzana. Następnie wybierz pozycję Wybierz członków. Wybierz pozycję Obszar roboczy usługi Azure Machine Learning w obszarze listy rozwijanej Tożsamość zarządzana. Następnie wybierz tożsamość zarządzaną obszaru roboczego.

    Zrzut ekranu przedstawiający lokalizację dodawania tożsamości zarządzanej obszaru roboczego do obiektu blob lub dostępu do tabeli na koncie usługi Azure Studio.

  6. (opcjonalnie) Aby dodać wychodzącą regułę nazwy FQDN, w witrynie Azure Portal wybierz pozycję Sieć na karcie Ustawienia w menu po lewej stronie. Wybierz pozycję Dostęp wychodzący zarządzany przez obszar roboczy w górnej części ustawień sieci. Następnie wybierz pozycję +Dodaj regułę ruchu wychodzącego zdefiniowanego przez użytkownika. Wybierz pozycję Reguła nazwy FQDN w obszarze Typ docelowy. Wprowadź adres URL punktu końcowego w polu Miejsce docelowe nazwy FQDN. Aby znaleźć adres URL punktu końcowego, przejdź do wdrożonych punktów końcowych w witrynie Azure Portal, wybierz odpowiednie punkty końcowe i skopiuj adres URL punktu końcowego z sekcji szczegółów.

Jeśli używasz obszaru roboczego Zezwalaj tylko na zatwierdzone wychodzące zarządzane sieci wirtualne i public zasobu usługi Azure OpenAI, musisz dodać regułę wychodzącej nazwy FQDN dla punktu końcowego usługi Azure OpenAI. Umożliwia to wykonywanie operacji płaszczyzny danych, które są wymagane do wykonania osadzania w programie RAG. Bez tego zasób AOAI, nawet jeśli jest publiczny, nie może być dostępny.

  1. (opcjonalnie) Aby wcześniej przekazać pliki danych lub użyć funkcji Przekazywania folderu lokalnego dla programu RAG, gdy konto magazynu jest prywatne, należy uzyskać dostęp do obszaru roboczego z maszyny wirtualnej za siecią wirtualną, a podsieć musi być wymieniona na liście dozwolonych na koncie magazynu. Można to zrobić, wybierając pozycję Konto magazynu, a następnie ustawienie Sieć. Wybierz pozycję Włącz dla wybranej sieci wirtualnej i adresów IP, a następnie dodaj podsieć obszaru roboczego.

    Zrzut ekranu przedstawiający wymagania dotyczące ustawień magazynu prywatnego na potrzeby bezpiecznego przekazywania danych.

    Postępuj zgodnie z tym samouczkiem, aby dowiedzieć się, jak nawiązać połączenie z magazynem prywatnym z maszyny wirtualnej platformy Azure.

Z niestandardową siecią wirtualną BYO

  1. Wybierz pozycję Użyj własnej sieci wirtualnej podczas konfigurowania obszaru roboczego usługi Azure Machine Learning. W tym scenariuszu użytkownik musi poprawnie skonfigurować reguły sieci i prywatne punkty końcowe do powiązanych zasobów, ponieważ obszar roboczy nie konfiguruje go automatycznie.

  2. W Kreatorze tworzenia indeksu wektorowego upewnij się, że z listy rozwijanej Opcje obliczeniowe wybierz pozycję Wystąpienie obliczeniowe lub klaster obliczeniowy, ponieważ ten scenariusz nie jest obsługiwany w przypadku obliczeń bezserwerowych.

Rozwiązywanie typowych problemów

  • Jeśli w obszarze roboczym występują problemy związane z siecią, w których środowisko obliczeniowe nie może utworzyć lub uruchomić obliczeń, spróbuj dodać regułę nazwy FQDN symbolu zastępczego na karcie Sieć obszaru roboczego w witrynie Azure Portal, aby zainicjować aktualizację sieci zarządzanej. Następnie ponownie utwórz środowisko obliczeniowe w obszarze roboczym usługi Azure Machine Learning.

  • Może zostać wyświetlony komunikat o błędzie związany z < Resource > is not registered with Microsoft.Network resource provider. usługą W tym przypadku należy upewnić się, że subskrypcja, która zasób usługi AOAI/ACS jest zarejestrowana u dostawcy zasobów usługi Microsoft Network. W tym celu przejdź do obszaru Subskrypcja, a następnie pozycję Dostawcy zasobów dla tej samej dzierżawy co zarządzany obszar roboczy sieci wirtualnej.

Uwaga

Oczekuje się, że zadanie bezserwerowe po raz pierwszy w obszarze roboczym będzie kolejkowane przez dodatkowe 10–15 minut, podczas gdy sieć zarządzana aprowizować prywatne punkty końcowe po raz pierwszy. W przypadku wystąpienia obliczeniowego i klastra obliczeniowego ten proces odbywa się podczas tworzenia zasobów obliczeniowych.

Następne kroki