Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечание
Для этой функции необходимо использовать центральный проект . Проект Foundry не поддерживается. Смотрите Как определить тип вашего проекта? и Создать проект на основе хаба.
Чтобы получить доступ к ресурсам, отличным от Azure, расположенным в другой виртуальной сети или полностью локальной из управляемой виртуальной сети Azure AI Foundry, необходимо настроить Шлюз приложений. С помощью этого Шлюз приложений полный доступ можно настроить для ваших ресурсов.
Шлюз приложений Azure — это подсистема балансировки нагрузки, которая принимает решения о маршрутизации на основе URL-адреса HTTPS-запроса. Машинное обучение Azure поддерживает использование шлюза приложений для безопасного взаимодействия с ресурсами, отличными от Azure. Дополнительные сведения о Шлюз приложений см. в разделе "Что такое Шлюз приложений Azure".
Чтобы получить доступ к локальным или пользовательским ресурсам виртуальной сети из управляемой виртуальной сети, настройте Шлюз приложений в виртуальной сети Azure. Шлюз приложений используется для входящего доступа к центру портала Azure AI Foundry. После настройки вы создадите частную конечную точку из управляемой виртуальной сети Центра Azure AI Foundry в Шлюз приложений. При использовании частной конечной точки полный конечный путь защищен и не направляется через Интернет.
Предпосылки
- Ознакомьтесь со статьей о работе шлюза приложений, чтобы понять, как Шлюз приложений может защитить подключение к ресурсам, отличным от Azure.
- Настройте управляемую виртуальную сеть Центра Azure AI Foundry и выберите режим изоляции, разрешить исходящий интернет или разрешить только утвержденный исходящий трафик. Дополнительные сведения см. в разделе "Изоляция управляемой виртуальной сети".
- Получите частную конечную точку HTTP(S) ресурса для доступа.
Поддерживаемые ресурсы
Шлюз приложений поддерживает любой целевой ресурс серверной части, использующий протокол HTTP или HTTPS. Проверяются подключения к следующим ресурсам из управляемой виртуальной сети:
- Jfrog Artifactory
- База данных Snowflake
- Частные интерфейсы API
Настройка шлюза приложений Azure
Следуйте инструкциям из краткого руководства. Прямой веб-трафик с помощью портала. Чтобы правильно настроить Шлюз приложений для использования с Машинное обучение Azure, используйте следующие рекомендации при создании Шлюз приложений:
На вкладке "Основы" :
- Убедитесь, что Шлюз приложений находится в том же регионе, что и выбранная виртуальная сеть Azure.
- Azure AI Foundry поддерживает только IPv4 для Шлюз приложений.
- В виртуальная сеть Azure выберите одну выделенную подсеть для Шлюз приложений. Другие ресурсы не могут быть развернуты в этой подсети.
На вкладке Frontends Шлюз приложений не поддерживает частный IP-адрес внешнего интерфейса, поэтому необходимо выбрать общедоступные IP-адреса или создать новый. Частные IP-адреса для ресурсов, к которым подключается шлюз, можно добавить в диапазон подсети, выбранной на вкладке "Основные сведения".
На вкладке Backends можно добавить целевой объект серверной части в внутренний пул. Вы можете управлять целевыми объектами серверной части, создавая разные серверные пулы. Маршрутизация запросов основана на пулах. Вы можете добавить целевые объекты серверной части, такие как база данных Snowflake.
На вкладке "Конфигурация" вы настраиваете способ получения запросов с интерфейсными IP-адресами и перенаправлением на серверную часть.
В разделе прослушивателя:
- Вы можете создать прослушиватель с помощью протокола HTTP или HTTPS и указать порт, к которому он будет прослушиваться. Если вы хотите, чтобы два прослушивателя прослушивали один и тот же внешний IP-адрес и маршрутизацию в разные серверные пулы, необходимо выбрать разные порты. Входящие запросы различаются по портам.
- Если требуется сквозное шифрование TLS, выберите прослушиватель HTTPS и отправьте собственный сертификат для Шлюз приложений для расшифровки запроса, полученного прослушивателем. Дополнительные сведения см. в разделе "Включение сквозного протокола TLS" на Шлюз приложений Azure.
- Если требуется полностью частный серверный целевой объект без доступа к общедоступной сети, не настраивайте прослушиватель на общедоступном интерфейсном IP-адресе и связанном правиле маршрутизации. Шлюз приложений пересылает только запросы, которые прослушиватели получают по конкретному порту. Если вы хотите избежать добавления прослушивателя общедоступных интерфейсных IP-адресов по ошибке, ознакомьтесь с правилами безопасности сети, чтобы полностью заблокировать доступ к общедоступной сети.
В разделе целевых объектов серверной части, если вы хотите использовать сертификат HTTPS и серверной части не выдан известным ЦС, необходимо отправить корневой сертификат (. CER) внутреннего сервера. Дополнительные сведения о настройке с помощью корневого сертификата см. в разделе "Настройка сквозного шифрования TLS" с помощью портала.
После создания ресурса Шлюз приложений перейдите к новому ресурсу Шлюз приложений в портал Azure. В разделе "Параметры" выберите приватный канал, чтобы включить частную сеть для частного доступа к Шлюз приложений через подключение к частной конечной точке. Конфигурация приватного канала не создается по умолчанию.
- Нажмите кнопку +Добавить, чтобы добавить конфигурацию Приватный канал, а затем используйте следующие значения для создания конфигурации:
- Имя: укажите имя конфигурации приватного канала
- Подсеть приватного канала: выберите подсеть в виртуальной сети.
- Конфигурация ВНЕШНЕГО IP-адреса:
appGwPrivateFrontendIpIPv4
- Чтобы проверить правильность настройки приватного канала, перейдите на вкладку подключения к частной конечной точке и выберите +Частная конечная точка. На вкладке "Ресурс " подресурс целевой должен быть именем частной конфигурации IP-адресов
appGwPrivateFrontendIpIPv4
внешнего интерфейса. Если значение не отображается в подресурсе Target, то прослушиватель Шлюз приложений не настроен правильно. Дополнительные сведения о настройке приватного канала в Шлюз приложений см. в разделе "Настройка Шлюз приложений Azure Приватный канал".
- Нажмите кнопку +Добавить, чтобы добавить конфигурацию Приватный канал, а затем используйте следующие значения для создания конфигурации:
Настройка приватного канала
Теперь, когда интерфейсные IP-адреса и серверные пулы Шлюз приложений созданы, теперь можно настроить частную конечную точку из управляемой виртуальной сети в Шлюз приложений. в портал Azure перейдите на вкладку "Сеть" Центра Azure AI Foundry. Выберите управляемый исходящий доступ рабочей области и добавьте определяемые пользователем правила исходящего трафика.
В форме правил исходящего трафика рабочей области выберите следующее, чтобы создать частную конечную точку:
- Имя правила: укажите имя частной конечной точки для Шлюз приложений.
- Тип назначения: частная конечная точка
- Подписка и группа ресурсов: выберите подписку и группу ресурсов, в которой развернуты Шлюз приложений
- Тип ресурса:
Microsoft.Network/applicationGateways
- Имя ресурса: имя ресурса Шлюз приложений.
- Вложенный ресурс:
appGwPrivateFrontendIpIPv4
- Полные доменные имена. Эти полные доменные имена — это псевдонимы, которые вы хотите использовать на портале Azure AI Foundry. Они разрешаются на частный IP-адрес управляемой частной конечной точки, предназначенный для Шлюз приложений. Вы можете включить несколько полных доменных имен в зависимости от количества ресурсов, к которым вы хотите подключиться с помощью Шлюз приложений.
Замечание
- Если вы используете прослушиватель HTTPS с загруженным сертификатом, убедитесь, что псевдоним FQDN совпадает с CN сертификата (общее имя) или SAN (альтернативное имя субъекта), иначе вызов HTTPS с SNI (индикация имени сервера) завершится неудачей.
- Предоставленные полные доменные имена должны иметь по крайней мере три метки в имени, чтобы правильно создать частную зону DNS частной конечной точки для шлюза приложений.
- Поле полного доменного имени можно изменить после создания частной конечной точки с помощью пакета SDK или CLI. Поле не редактируется на портале Azure.
- Динамическое именование вложенных ресурсов не поддерживается для частной IP-конфигурации внешнего интерфейса. Имя внешнего IP-адреса должно быть
appGwPrivateFrontendIpIPv4
.
Настройка с помощью пакета SDK для Python и Azure CLI
Чтобы создать частную конечную точку для Шлюз приложений с помощью пакета SDK, см. в пакете SDK Azure для Python.
Чтобы создать частную конечную точку для Шлюз приложений с помощью Azure CLI, используйте az ml workspace outbound-rule set
команду. Задайте свойства, необходимые для конфигурации. Дополнительные сведения см. в разделе "Настройка управляемой сети".
Ограничения
- Шлюз приложений поддерживает только конечные точки HTTP в серверном пуле. Нет поддержки сетевого трафика, отличного от HTTP. Убедитесь, что ресурсы поддерживают протокол HTTP(S).
- Чтобы подключиться к Snowflake с помощью Шлюз приложений, необходимо добавить собственные правила исходящего имени полного доменного имени, чтобы включить загрузку пакета или драйвера и проверку OCSP.
- Драйвер Snowflake JDBC использует вызовы HTTPS, но разные драйверы могут иметь разные реализации. Проверьте, использует ли ресурс протокол HTTP(S) или нет.
- Шлюз приложений не поддерживается для сценариев Spark, например, вычисление Spark или бессерверная обработка данных Spark. Разрешение DNS (например, nslookup) завершается ошибкой при попытке разрешить полное доменное имя в вычислительном ресурсе Spark.
- Дополнительные сведения об ограничениях см. в разделе часто задаваемые вопросы о Шлюз приложений.
Ошибки Шлюз приложений
Для ошибок, связанных с подключением Шлюз приложений к ресурсам серверной части, следуйте существующей документации по Шлюз приложений на основе получаемых ошибок:
- Устранение проблем с работоспособностью серверной части в Шлюзе приложений
- Troubleshooting bad gateway errors in Application Gateway (Устранение ошибок "Недопустимый шлюз" в Шлюзе приложений)
- Коды http-ответов в Шлюз приложений
- Общие сведения об отключенных прослушивателях