Использование службы "Речь" с конечной точки службы для виртуальной сети
Конечная точка службы для виртуальной сети Azure обеспечивает возможность безопасного и прямого подключения к службам Azure по оптимизированному маршруту через магистральную сеть Azure. Конечные точки позволяют защищать критически важные ресурсы служб Azure в пределах отдельных виртуальных сетей. Через конечные точки служб частные IP-адреса в виртуальной сети могут достигать конечную точку службы Azure без необходимости использовать общедоступный IP-адрес в виртуальной сети.
В этой статье объясняется, как настроить и использовать конечные точки службы виртуальная сеть с службой "Речь" в службах ИИ Azure.
Примечание.
Прежде чем начать, ознакомьтесь с тем, как использовать виртуальные сети со службами ИИ Azure.
В этой статье также описано, как удалить конечные точки для виртуальной сети, но при этом продолжать использовать службы "Речь".
Чтобы настроить ресурс службы "Речь" для сценариев конечной точки для службы виртуальной сети, необходимо выполнить следующие действия.
- Создайте пользовательское доменное имя для ресурса службы "Речь".
- Настройте виртуальные сети и параметры сети для ресурса службы "Речь.
- Настройка существующих приложений и решений
Примечание.
Настройка и использование конечных точек службы виртуальной сети для службы "Речь" аналогична настройке и использованию частных конечных точек. В этой статье приведены соответствующие разделы статьи об использовании частных конечных точек для тех случаев, когда используются те же процедуры.
Частные конечные точки и конечные точки службы виртуальной сети
Azure предоставляет частные конечные точки и конечные точки службы виртуальной сети для трафика, который туннелируется через частную магистральную сеть Azure. Назначение и базовые технологии, используемые для этих типов конечных точек, похожи. Однако между ними есть и различия. Перед проектированием сети рекомендуется ознакомиться с преимуществами и недостатками обоих вариантов.
При выборе технологии необходимо учитывать следующие моменты.
- Обе технологии гарантируют, что трафик между виртуальной сетью и ресурсом службы "Речь" не передается через общедоступный Интернет.
- Частная конечная точка предоставляет выделенный частный IP-адрес для вашего ресурса службы "Речь". Этот IP-адрес доступен только внутри конкретной виртуальной сети и подсети. Вы полностью контролируете доступ к нему в своей сетевой инфраструктуре.
- Конечные точки службы виртуальной сети не предоставляют выделенный частный IP-адрес для ресурса службы "Речь". Вместо этого они инкапсулируют все пакеты, отправленные в ресурс службы "Речь", и доставляют их непосредственно через магистральную сеть Azure.
- Обе технологии поддерживают локальное размещение. По умолчанию при использовании конечных точек службы виртуальной сети нельзя получить доступ к ресурсам служб Azure, защищенным в виртуальных сетях, из локальных сетей. Однако можно изменить это поведение.
- Конечные точки службы виртуальной сети часто используются для ограничения доступа к ресурсу службы "Речь" в зависимости виртуальных сетей, из которых исходит трафик.
- Для служб ИИ Azure, что позволяет конечной точке службы виртуальная сеть принудительно использовать трафик для всех ресурсов служб ИИ Azure для передачи через частную магистральную сеть. Для этого требуется явно настроить доступ к сети. (Дополнительные сведения см. в разделе Настройка виртуальных сетей и параметры сетевых ресурсов службы "Речь"). Частные конечные точки не предполагают такого ограничения и дают больше гибких возможностей для настройки сети. Вы можете получить доступ к одному ресурсу через частную магистраль, а к другому — через общедоступный Интернет, используя одну и ту же подсеть одной и той же виртуальной сети.
- Использование частных конечных точек требует дополнительных затрат. Конечные точки служб для виртуальной сети не требуют дополнительных затрат.
- Для частных конечных точек нужна дополнительная настройка DNS.
- Один ресурс службы "Речь" может одновременно работать и с частными конечными точками, и с конечными точками службы виртуальной сети.
Перед тем как делать окончательный выбор для рабочей среды, рекомендуем опробовать оба варианта.
Дополнительные сведения см. в следующих ресурсах:
- Документация по Приватному каналу Azure и частным конечным точкам
- Документация по конечным точкам служб для виртуальной сети
В этой статье описывается, как использовать конечные точки службы для виртуальной сети со службой "Речь". Сведения о частных конечных точках см. в статье Использование службы "Речь" с помощью частной конечной точки.
Создание пользовательского доменного имени
для конечных точек службы виртуальная сеть требуется пользовательское имя поддомена для служб ИИ Azure. Создайте пользовательский домен, следуя инструкциям в статье о частных конечных точках. Все предупреждения в разделе также применяются к конечным точкам службы для виртуальной сети.
Настройка виртуальных сетей и параметров сети для ресурса службы "Речь"
Необходимо добавить все виртуальные сети, которым разрешен доступ через конечную точку службы к сетевым свойствам ресурсов службы "Речь".
Примечание.
Чтобы получить доступ к ресурсу службы "Речь" через конечную точку службы для виртуальной сети, необходимо включить поддержку типа конечной точки службы Microsoft.CognitiveServices
для необходимых подсетей в виртуальной сети. Это приведет к маршрутизации всего трафика подсети, связанного со службами ИИ Azure, через частную магистральную сеть. Если вы планируете получить доступ к любым другим ресурсам служб ИИ Azure из той же подсети, убедитесь, что эти ресурсы настроены для разрешения виртуальной сети.
Если виртуальная сеть не добавлена как разрешенная в свойствах сети для ресурса службы "Речь", она не будет иметь доступа к ресурсу посредством конечной точки службы, даже если для виртуальной сети включена конечная точка службы Microsoft.CognitiveServices
. Если конечная точка службы включена, но виртуальная сеть не разрешена, то ресурс службы "Речь" не будет доступен для виртуальной сети через общедоступный IP-адрес, независимо от того, какие еще параметры безопасности настроены для этого ресурса службы "Речь". Это связано с тем, что включение Microsoft.CognitiveServices
конечной точки направляет весь трафик, связанный со службами ИИ Azure, через частную магистральную сеть, и в этом случае виртуальная сеть должна быть явно разрешена для доступа к ресурсу. Это руководство применяется ко всем ресурсам служб ИИ Azure, а не только для ресурсов службы "Речь".
Откройте портал Azure и войдите в свою учетную запись Azure.
Выберите ресурс службы "Речь".
В группе Управление ресурсами на левой панели выберите Сеть.
На вкладке Брандмауэры и виртуальные сети выберите Выбранные сети и частные конечные точки.
Примечание.
Чтобы использовать конечные точки службы для виртуальной сети, необходимо выбрать параметр безопасности сети Выбранные сети и частные конечные точки. Другие способы не поддерживаются. Если для вашего сценария требуется параметр Все сети, рассмотрите возможность использования частных конечных точек, поддерживающих все три параметра сетевой безопасности.
Выберите Добавить существующую виртуальную сеть или Добавить новую виртуальную сеть и укажите требуемые параметры. Выберите Добавить для существующей виртуальной сети или Создать, чтобы создать новую сеть. При добавлении существующей виртуальной сети
Microsoft.CognitiveServices
конечная точка службы автоматически включается для выбранных подсетей. Выполнение операции может занять до 15 минут. См. также примечание в начале этого раздела.
Включение конечной точки службы для существующей виртуальной сети
Как описано в предыдущем разделе, при настройке виртуальной сети со значением разрешено для ресурса службы "Речь" конечная точка службы Microsoft.CognitiveServices
включается автоматически. Если вы позже отключите его, необходимо повторно включить его вручную, чтобы восстановить доступ конечной точки службы к ресурсу службы "Речь" (а также к другим ресурсам служб искусственного интеллекта Azure):
- Откройте портал Azure и войдите в свою учетную запись Azure.
- Выберите виртуальную сеть.
- В группе Параметры на левой панели выберите Подсети.
- Выберите нужную подсеть.
- В правой части окна отобразится новая панель. На этой панели выберите
Microsoft.CognitiveServices
в разделе Конечные точки службы в списке Службы. - Выберите Сохранить.
Настройка существующих приложений и решений
Ресурс службы "Речь", для которого включен пользовательский домен, взаимодействует со службой "Речь" иначе. Это также относится к ресурсу службы "Речь" с поддержкой пользовательских доменов независимо от того, настроены ли конечные точки службы. Сведения в этом разделе относятся к обоим сценариям.
Использование ресурса службы "Речь" с пользовательским доменным именем и настройкой разрешений для виртуальных сетей
В этом сценарии выбран параметр Выбранные сети и частные конечные точки в разделе параметров сети ресурса службы "Речь", и разрешена хотя бы одна виртуальная сеть. Этот сценарий равноценен использованию ресурса службы "Речь" с пользовательским доменным именем и включенной частной конечной точкой.
Использование ресурса службы "Речь" с пользовательским доменным именем, но без настроенных разрешений для виртуальных сетей
В этом сценарии частные конечные точки не включены, и верно одно из следующих утверждений.
- Параметр Выбранные сети и частные конечные точки выбран в разделе параметров сети для ресурса службы "Речь", но разрешенные виртуальные сети не настроены.
- В разделе параметров сети ресурса службы "Речь" выбран параметр Все сети.
Этот сценарий равноценен использованию ресурса службы "Речь" с пользовательским доменным именем, для которого не включена частная конечная точка.
Использование Speech Studio
Speech Studio — это веб-портал с инструментами для создания и интеграции службы распознавания речи ИИ Azure в приложении. При работе в проектах в Speech Studio сетевые подключения и вызовы API к соответствующему ресурсу службы "Речь" выполняются от вашего имени. Работа с частными конечными точками, конечными точками службы виртуальной сети и другими параметрами безопасности сети может ограничить доступность функций Speech Studio. Обычно вы используете Speech Studio при работе с функциями, такими как настраиваемая речь, пользовательское нейронное голосовое и звуковое содержимое.
Доступ к веб-порталу Speech Studio из виртуальной сети
Чтобы работать со Speech Studio с виртуальной машины в виртуальной сети Azure, вы должны разрешить исходящие подключения к нужному набору тегов службы для этой виртуальной сети. Дополнительные сведения см. здесь.
Доступ к конечной точке ресурса службы "Речь" и доступ к веб-порталу Speech Studio — не одно и то же. Доступ к веб-порталу Speech Studio через частные конечные точки или конечные точки службы виртуальной сети не поддерживается.
Работа с проектами Speech Studio
В этом разделе описывается работа с различными видами проектов Speech Studio для различных параметров сетевой безопасности ресурса службы "Речь". Предполагается, что веб-браузер подключен к Speech Studio. Параметры безопасности сети для ресурсов службы "Речь" задаются на портале Azure.
- Откройте портал Azure и войдите в свою учетную запись Azure.
- Выберите ресурс службы "Речь".
- В области слева в группе Управление ресурсами выберите Сеть>Брандмауэры и виртуальные сети.
- Выберите один из вариантов: Все сети, Выбранные сети и частные конечные точки или Отключенные.
Пользовательское распознавание речи, создание пользовательского голосового и звукового содержимого
В следующей таблице описаны специальные возможности для создания голосового и звукового содержимого для каждого параметра безопасности сетевых брандмауэров ресурсов >службы "Речь" и "Виртуальные сети".
Примечание.
Если вы разрешите только частные конечные точки с помощью вкладки Сеть>Подключения к частной конечной точке, вы не сможете использовать Speech Studio с ресурсом службы "Речь". Вы по-прежнему можете использовать ресурс службы "Речь" за пределами Speech Studio.
Параметры безопасности сети для ресурсов службы "Речь" | Специальные возможности проекта Speech Studio |
---|---|
Все сети | Без ограничений |
Выбранные сети и частные конечные точки | Доступно с разрешенных общедоступных IP-адресов |
Выключено | Недоступно |
Если щелкнуть Выбранные сети и частные конечные точки, появится вкладка с параметрами настройки доступа к виртуальным сетям и брандмауэру. В разделе Брандмауэр необходимо разрешить хотя бы один общедоступный IP-адрес и использовать его для подключения браузера к Speech Studio.
Если вы разрешаете доступ только через виртуальную сеть, значит, вы не разрешаете доступ к ресурсу службы "Речь" с помощью Speech Studio. Вы по-прежнему можете использовать ресурс службы "Речь" за пределами Speech Studio.
Чтобы использовать пользовательское распознавание речи, не смягчая ограничения доступа к сети, установленные для рабочего ресурса службы "Речь", рассмотрите один из этих обходных путей.
- Создайте еще один ресурс службы "Речь" для разработки, который можно использовать в общедоступной сети. Подготовьте пользовательскую модель в Speech Studio в ресурсе разработки, а затем скопируйте ее в рабочий ресурс. См. Models_CopyTo запрос REST с речью на текстовый REST API.
- Вы можете не использовать Speech Studio для пользовательского распознавания речи. Используйте REST API преобразования речи в текст для всех пользовательских операций речи.
Чтобы использовать пользовательский голос без ограничений доступа к сети в рабочей среде службы "Речь", рекомендуется использовать ИНТЕРФЕЙС REST API пользовательской голосовой связи для всех пользовательских операций голосовых операций.
Одновременное использование частных конечных точек и конечных точек службы виртуальной сети
Частные конечные точки и конечные точки службы виртуальной сети можно одновременно использовать для доступа к одному и тому же ресурсу службы "Речь". Однако для этого необходимо выбрать вариант Выбранные сети и частные конечные точки в параметрах сети для ресурса службы "Речь" на портале Azure. Другие варианты для этого сценария не поддерживаются.