Поделиться через

Использование коллекций каталогов моделей с управляемой рабочей областью виртуальной сетью

  • Статья

Из этой статьи вы узнаете, как использовать различные коллекции в каталоге моделей в изолированной сети.

Управляемая рабочая область виртуальной сети — это рекомендуемый способ поддержки сетевой изоляции в каталоге моделей. Она обеспечивает легкое управление конфигурацией для защиты рабочей области. После включения управляемой виртуальной сети на уровне рабочей области ресурсы, связанные с рабочей областью в той же виртуальной сети, будут использовать тот же параметр сети на уровне рабочей области. Вы также можете настроить рабочую область для использования частной конечной точки для доступа к другим ресурсам Azure, таким как Azure OpenAI. Кроме того, можно настроить полное доменное имя для утверждения исходящего трафика к ресурсам, отличным от Azure, который требуется для использования некоторых коллекций в каталоге моделей. Узнайте, как изоляция управляемой сети рабочей области для включения управляемой виртуальной сети рабочей области.

Создание управляемой виртуальной сети откладывается до создания вычислительного ресурса или подготовки вручную. Следующую команду можно использовать для активации подготовки сети вручную.

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

Рабочая область, управляемая виртуальная сеть, чтобы разрешить исходящий интернет

  1. Настройте рабочую область с управляемой виртуальной сетью, чтобы разрешить исходящий интернет, выполнив описанные здесь действия.

  2. Если вы решили настроить доступ к общедоступной сети для рабочей области отключенным, вы можете подключиться к рабочей области с помощью одного из следующих методов:

    • VPN-шлюз Azure — Подключение локальные сети в виртуальную сеть через частное подключение. Подключение осуществляется через общедоступный Интернет. Доступно два типа VPN-шлюзов.

      • Точка — сеть. Каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети.
      • Сеть — сеть: VPN-устройство подключает виртуальную сеть к локальной сети.

    • ExpressRoute. Подключает локальные сети к облаку через частное подключение. Подключение устанавливается с помощью поставщика услуг подключения.

    • Бастион Azure. В этом сценарии вы создаете виртуальную машину Azure (иногда называемую полем перехода) в виртуальной сети. Затем вы подключаетесь к виртуальной машине с помощью Бастиона Azure. Бастион позволяет подключаться к виртуальной машине с помощью сеанса RDP или SSH из локального веб-браузера. Затем вы используете блок перехода в качестве среды разработки. Так как он находится в виртуальной сети, он может напрямую получить доступ к рабочей области.

Так как управляемая рабочая область может получить доступ к Интернету в этой конфигурации, вы можете работать со всеми коллекциями в каталоге моделей из рабочей области.

Управляемая рабочая область виртуальной сети позволяет разрешить только утвержденный исходящий трафик

  1. Настройте рабочую область, выполнив изоляция управляемой сети рабочей области. На шаге 3 руководства при выборе управляемого исходящего доступа рабочей области выберите "Разрешить только утвержденный исходящий трафик".
  2. Если вы установите для рабочей области доступ к общедоступной сети отключенным, вы можете подключиться к рабочей области с помощью одного из методов, перечисленных на шаге 2 раздела "Разрешить исходящий интернет" этого руководства.
  3. Рабочая область управляет виртуальной сетью, для нее задана только конфигурация разрешений. Необходимо добавить соответствующее правило исходящего трафика, определяемое пользователем, чтобы разрешить все соответствующие полные доменные имена.
    1. Следуйте этой ссылке, чтобы получить список полных доменных имен, необходимых для коллекции ИИ Azure.
    2. Следуйте этой ссылке для списка полных доменных имен, необходимых для коллекции Hugging Face.

Работа с моделями открытый код, курируемыми Машинное обучение Azure

Рабочая область, управляемая виртуальная сеть, чтобы разрешить только утвержденный исходящий трафик, использует политику конечной точки службы для Машинное обучение Azure управляемых учетных записей хранения, чтобы помочь получить доступ к моделям в коллекциях, которые курируются Машинное обучение Azure в нестандартном режиме. Этот режим конфигурации рабочей области также имеет исходящий трафик по умолчанию в реестр контейнеров Майкрософт, содержащий образ Docker, используемый для развертывания моделей.

Языковые модели в коллекции Azure AI

Эти модели включают динамическую установку зависимостей во время выполнения. Чтобы добавить определяемое пользователем правило для исходящего трафика, выполните четыре шага, чтобы использовать коллекцию ИИ Azure, пользователи должны добавить определяемые пользователем правила исходящего трафика для следующих полных доменных имен на уровне рабочей области:

  • *.anaconda.org
  • *.anaconda.com
  • anaconda.com
  • pypi.org
  • *.pythonhosted.org
  • *.pytorch.org
  • pytorch.org

Выполните шаг 4 в руководстве по управляемой виртуальной сети, чтобы добавить соответствующие пользовательские правила исходящего трафика.

Предупреждение

Правила исходящего трафика полного доменного имени реализуются с помощью Брандмауэр Azure. Если вы используете правила исходящего полного доменного имени, плата за Брандмауэр Azure включается в выставление счетов. Дополнительные сведения см. на странице цен.

Мета-коллекция

Пользователи могут работать с этой коллекцией в изолированных сетевых рабочих областях без каких-то других пользовательских правил исходящего трафика.

Примечание.

Новые курированные коллекции часто добавляются в каталог моделей. Мы обновим эту документацию, чтобы отразить поддержку в частных сетях для различных коллекций.

Работа с коллекцией hugging Face

Весы модели не размещаются в Azure, если вы используете реестр обнимаемых лиц. Весы модели загружаются непосредственно из концентратора распознавания лиц Hugging в сетевые конечные точки в рабочей области во время развертывания. Пользователям необходимо добавить следующие правила для исходящих полных доменных имен для Hugging Face Hub, Docker Hub и их CDN, чтобы разрешить трафик на следующие узлы:

  • docker.io
  • huggingface.co
  • production.cloudflare.docker.com
  • cdn-lfs.huggingface.co
  • cdn.auth0.com

Выполните шаг 4 в руководстве по управляемой виртуальной сети, чтобы добавить соответствующие пользовательские правила исходящего трафика.

Следующие шаги

  • Узнайте, как устранять неполадки с управляемой виртуальной сетью