Поделиться через

Настройка сети Azure OpenAI

Из этой статьи вы узнаете, как создать и подключиться к защищенному ресурсу Azure OpenAI. Действия, описанные в этой статье, используют виртуальную сеть Azure для создания границ безопасности для ресурса Azure OpenAI.

После выполнения этой статьи у вас будет следующая архитектура:

  • Виртуальная сеть Azure с подсетью, в которой будет находиться ресурс Azure OpenAI.
  • Ресурс Azure OpenAI, использующий частную конечную точку для обмена данными с помощью виртуальной сети.
  • Бастион Azure, который позволяет использовать браузер для безопасного подключения к виртуальной машине-посреднику внутри виртуальной сети.
  • Виртуальная машина Azure, к которым можно удаленно подключаться и получать доступ к ресурсам, защищенным в виртуальной сети.

Предпосылки

Знакомство с виртуальными сетями Azure и работа с IP-сетями. Если вы не знакомы, попробуйте ознакомиться с основами сетевого модуля компьютеров.

Дополнительные сведения о сети в ресурсе Azure OpenAI см. в статье "Настройка виртуальных сетей".

Создание виртуальной сети

Чтобы создать виртуальную сеть, выполните следующие действия:

  1. На портале Azure откройте меню портала в левом верхнем углу. В меню выберите + Создать ресурс, а затем введите Виртуальная сеть в поле поиска. Выберите пункт виртуальной сети и нажмите Создать.

  2. На вкладке "Основные сведения" выберите подписку Azure, используемую для этого ресурса, а затем выберите или создайте новую группу ресурсов. В разделе "Сведения об экземпляре" введите понятное название виртуальной сети и выберите регион для её создания.

    Снимок экрана: настройка виртуальной сети.

  3. Примите параметры по умолчанию для безопасности и IP-адресов. Подсеть с названием default будет создана для виртуальной сети. Рекомендуется создать другую подсеть для делегирования всех частных конечных точек.

  4. Выберите Review + create.

  5. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

Создание ресурса Azure OpenAI

  1. На портале Azure выберите меню портала в верхнем левом углу. В меню выберите +Создать ресурс и введите Azure OpenAI. Выберите запись Azure OpenAI и нажмите кнопку "Создать".
  2. На вкладке "Основные сведения" выберите подписку Azure, используемую для этого ресурса, а затем выберите или создайте новую группу ресурсов. В разделе "Сведения об экземпляре" введите удобное для вас имя ресурса и выберите регион для его создания. Ресурс Azure OpenAI не должен находиться в том же регионе, что и виртуальная сеть.
  3. Выберите Review + create.

Создание частной конечной точки и частной зоны DNS

  1. На портале Azure выберите созданный ресурс Azure OpenAI. В разделе "Управление ресурсами" перейдите на вкладку "Сеть".

  2. В разделе "Разрешить доступ" выберите "Отключено". Отключение гарантирует, что ни одна сеть не сможет получить доступ к этому ресурсу. Подключения к частной конечной точке будут эксклюзивным способом доступа к этому ресурсу. Нажмите кнопку "Сохранить", чтобы сохранить параметры.

    Снимок экрана: отключенный ПОЛЬЗОВАТЕЛЬСКИЙ интерфейс сети ресурсов.

  3. Перейдите на вкладку подключения к частной конечной точке и выберите +Частная конечная точка.

    Снимок экрана: вкладка

  4. На вкладке "Основные сведения" выберите подписку Azure, используемую для этого ресурса, а затем выберите или создайте новую группу ресурсов. В разделе "Сведения об экземпляре" введите имя ресурса и выберите регион, в котором его нужно создать. Регион, в который вы создаете частную сеть, должен совпадать с регионом, в который вы решили создать виртуальную сеть. Имя сетевого интерфейса будет автоматически использоваться и к нему добавится "-nic".

    Снимок экрана: создание частной конечной точки.

  5. На вкладке "Ресурс" тип ресурса должен быть Microsoft.CognitiveServices/accounts. Для целевого подресурса выберите учетную запись.

  6. На вкладке "Виртуальная сеть" используйте следующие значения:

    • Виртуальная сеть: созданная ранее виртуальная сеть.
    • Подсеть: по умолчанию

  7. На вкладке DNS используйте следующие значения, если вы хотите использовать Частный DNS Azure вместо пользовательского DNS:

    • Интеграция с частной зоной DNS: Да
    • Имя конфигураций: privatelink-openai-azure-com
    • Подписка: та же подписка Azure, которая содержит предыдущие ресурсы.
    • Группа ресурсов: та же группа ресурсов Azure, которая содержит предыдущие ресурсы.

    Снимок экрана: вкладка

  8. Выберите Review + create. Убедитесь, что все данные указаны правильно, а затем нажмите кнопку Создать.

  9. После создания частной конечной точки вы увидите имя подключения к частной конечной точке, состояние и описание. Вы можете выбрать ссылку на частную конечную точку и просмотреть дополнительные сведения о конфигурации DNS.

    Снимок экрана сведений о развертывании после развертывания приватной ссылки и конечной точки.

Настройка шлюза и клиента для доступа к локальной сети

Чтобы получить доступ к Azure OpenAI в Azure AI Foundry Models с локальных или корпоративных клиентских компьютеров, существуют два подхода. Одним из способов является настройка виртуальной машины, развернутой в одной виртуальной сети. Другой подход заключается в настройке VPN-шлюза Azure и VPN-клиента Azure.

Рекомендации по настройке шлюза виртуальной сети для виртуальной сети см. в руководстве по созданию VPN-шлюза и управлению ими. Сведения о добавлении конфигурации "точка — сеть" и включении проверки подлинности на основе идентификатора Microsoft Entra см. в статье "Настройка VPN-шлюза для проверки подлинности идентификатора Microsoft Entra ID ". Скачайте пакет конфигурации профиля VPN-клиента Azure, распакуйте и импортируйте файл AzureVPN/azurevpnconfig.xml в VPN-клиент Azure.

Настройте файл hosts на локальном компьютере, чтобы перенаправить имена узлов ресурсов на частные IP-адреса в вашей виртуальной сети. Файл узлов находится в папке C:\Windows\System32\drivers\etc для Windows, а также по адресу /etc/hosts в Linux. Пример: 10.0.0.5 contoso.openai.azure.com

Настройка доступа с использованием другой архитектуры типа "концентратор и спицы"

Распространенная сетевая архитектура, принятая предприятиями, — это топология сети концентратор-спица. В этой сетевой топологии концентраторная виртуальная сеть является центральной зоной для управления входящим и исходящим трафиком в Интернет, в то время как шлейфная виртуальная сеть размещает различные типы рабочих нагрузок. Затем виртуальные сети концентратора и периферийные соединены через пировое соединение. Пиринг — это сетевая функция, которая позволяет легко подключаться между двумя виртуальными сетями Azure в одном регионе или в разных регионах. Пиринг упрощает совместное использование ресурсов, данных и служб между виртуальными сетями, повышение гибкости развертывания приложений и упрощение сетевой архитектуры.

Чтобы настроить базовую архитектуру типа «концентратор-спица», выполните приведенные ниже действия.

  1. Создайте вторую виртуальную сеть в подписке Azure, периферийную виртуальную сеть. Эта виртуальная сеть не должна находиться в одном регионе.
  2. В разделе "Параметры" перейдите на вкладку "Пиринги ". Нажмите кнопку +Добавить.
  3. В разделе "Сводка по удаленной виртуальной сети" укажите имя пирингового канала и выберите виртуальную сеть, к примеру, виртуальную сеть концентратора. Убедитесь, что "Allow <hub virtual network name> to access <spoke virtual network name>" выбрано.
  4. В разделе "Сводка по виртуальной локальной сети" укажите имя пирингового соединения и убедитесь, что выбрано "Allow <hub virtual network name> to access <spoke virtual network name>". Затем нажмите кнопку "Добавить".

Настройка группы безопасности сети (NSG)

Группы безопасности сети используются для управления входящим и исходящим трафиком к сетевым интерфейсам (сетевым адаптерам), виртуальным машинам и подсетям. Необходимо настроить ГБС, чтобы обеспечить доступ к Azure OpenAI для входящего и исходящего трафика. Дополнительные сведения о настройке групп безопасности сети Azure см. в обзоре групп безопасности сети Azure.

Тестирование конфигурации

Сетевое подключение к Azure OpenAI можно проверить с помощью командлета Test-NetConnection в PowerShell. Этот командлет позволяет проверить сетевое подключение между компьютером и другим компьютером. Это полезное средство для устранения неполадок сети и отладки.

  1. Разрешение IP-адреса: используйте команду nslookup для разрешения IP-адреса конечной точки Azure OpenAI. Рассмотрим пример.

    nslookup my-openai-instance.openai.azure.com

    При этом будут возвращены общедоступные и частные IP-адреса, связанные с экземпляром Azure OpenAI. Частный IP-адрес должен совпадать с частным IP-адресом, видимым в конфигурации DNS частной конечной точки.

  2. Проверьте частную конечную точку: затем проверьте сетевое подключение к частному IP-адресу через порт 443. Рассмотрим пример.

    Test-NetConnection 10.0.0.4 -Port 443

Эта команда должна выполниться только с компьютера, который находится в той же частной сети, что и экземпляр Azure OpenAI. Если эта команда завершается ошибкой, это означает, что возникла проблема с сетью. Ниже приведены некоторые возможные причины.

  • Проблема DNS. Система доменных имен (DNS) отвечает за преобразование доменных имен в IP-адреса. Если возникла проблема с DNS, возможно, не удаётся правильно разрешить доменное имя экземпляра Azure OpenAI в его IP-адрес.

  • Компьютер не в частной сети: если компьютер, на котором выполняется команда, не находится в той же частной сети, что и экземпляр Azure OpenAI, команда завершится ошибкой, так как она не сможет получить частный IP-адрес. Убедитесь, что компьютер подключен к правильной частной сети.

  • Блокировка брандмауэра клиента. Если между компьютером и экземпляром Azure OpenAI настроен пользовательский брандмауэр, это может привести к блокировке подключения. Брандмауэры — это меры безопасности, которые управляют входящим и исходящим сетевым трафиком на основе предопределенных правил безопасности. Необходимо проверить параметры брандмауэра и убедиться, что трафик разрешен через порт 443.

Дальнейшие шаги