Поделиться через

Защита рабочих процессов RAG с помощью сетевой изоляции (предварительная версия)

  • Статья

Потоки получения дополненного поколения (RAG) можно защитить с помощью частных сетей в Машинное обучение Azure с двумя параметрами управления сетями. Эти варианты: управляемые виртуальная сеть, которые являются встроенными предложениями или "Принести собственные" виртуальная сеть, что полезно, если требуется полный контроль над настройкой для ваших виртуальная сеть / подсетей, брандмауэров, правил группы безопасности сети и т. д.

В Машинное обучение Azure управляемой сети есть два защищенных подопекции, которые можно выбрать: Разрешить исходящий интернет и разрешить только утвержденный исходящий трафик.

Screenshot of Managed Vnet Options in Azure Machine Learning.

В зависимости от настройки и сценария рабочие процессы RAG в Машинное обучение Azure могут потребовать других действий для изоляции сети.

Необходимые компоненты

  • Подписка Azure.
  • Доступ к службе Azure OpenAI.
  • Безопасная рабочая область Машинное обучение Azure: либо с управляемой рабочей областью виртуальная сеть, либо виртуальная сеть настройкой собственных приложений.
  • Потоки запросов, включенные в Машинное обучение Azure рабочей области. Потоки запросов можно включить, включив решения ИИ сборки с помощью потока запроса на панели функций "Управление предварительными версиями".

Использование управляемой виртуальной сети Машинное обучение Azure рабочей области

  1. Следуйте изоляция управляемой сети рабочей области, чтобы включить управляемую виртуальную сеть рабочей области.

  2. Перейдите к портал Azure и выберите "Сеть" на вкладке Параметры в меню слева.

  3. Чтобы рабочий процесс RAG взаимодействовал с частными Службами Azure Cognitive Services , такими как Azure OpenAI или поиск Azure AI во время создания векторного индекса, необходимо определить связанное правило исходящего трафика пользователя к связанному ресурсу. Выберите управляемый исходящий доступ рабочей области в верхней части параметров сети. Затем выберите пункт +Добавить определяемое пользователем правило исходящего трафика. Введите имя правила. Затем выберите ресурс, к которому нужно добавить правило, с помощью текстового поля "Имя ресурса".

    Рабочая область Машинное обучение Azure создает частную конечную точку в связанном ресурсе с автоматическим применением. Если состояние зависло в ожидании, перейдите к связанному ресурсу, чтобы утвердить частную конечную точку вручную.

    Screenshot showing the location in Azure Studio to add private cognitive services user outbound rule.

  4. Перейдите к параметрам учетной записи хранения, связанной с рабочей областью. Выберите контроль доступа (IAM) в меню слева. Выберите Добавить назначение ролей. Добавьте участника служба хранилища табличных данных и служба хранилища доступ участника данных BLOB-объектов к управляемому удостоверению рабочей области. Это можно сделать, введя служба хранилища участник табличных данных и служба хранилища участник данных BLOB-объектов в строке поиска. Вам потребуется выполнить этот шаг и следующий шаг дважды. Один раз для участника BLOB-объектов и во второй раз для участника таблицы.

  5. Убедитесь, что выбран параметр "Управляемое удостоверение ". Затем выберите " Выбрать участников". Выберите Машинное обучение Azure рабочую область в раскрывающемся списке для управляемого удостоверения. Затем выберите управляемое удостоверение рабочей области.

    Screenshot showing the location to add a Workspace Managed Identity to a Blob or Table access in Storage Account of the Azure Studio.

  6. (необязательно) Чтобы добавить правило исходящего полного доменного имени, в портал Azure выберите "Сеть" на вкладке Параметры в меню слева. Выберите управляемый исходящий доступ рабочей области в верхней части параметров сети. Затем выберите пункт +Добавить определяемое пользователем правило исходящего трафика. Выберите полное доменное имя в разделе "Тип назначения". Введите URL-адрес конечной точки в месте назначения FQDN. Чтобы найти URL-адрес конечной точки, перейдите к развернутыми конечным точкам в портал Azure, выберите нужные конечные точки и скопируйте URL-адрес конечной точки из раздела сведений.

Если вы используете только утвержденную рабочая область public управляемой виртуальной сети allow и ресурс Azure OpenAI, необходимо добавить правило исходящего полного доменного имени для конечной точки Azure OpenAI. Это позволяет выполнять операции плоскости данных, необходимые для выполнения внедрения в RAG. Без этого ресурс AOAI, даже если общедоступный, не разрешен доступ к ней.

  1. (необязательно) Чтобы отправить файлы данных заранее или использовать локальную отправку папок для RAG, когда учетная запись хранения является частной, рабочая область должна быть доступ к ней из виртуальной машины, а подсеть должна быть разрешена в учетной записи служба хранилища. Это можно сделать, выбрав служба хранилища учетную запись, а затем параметры сети. Выберите "Включить" для выбранной виртуальной сети и IP-адресов, а затем добавьте подсеть рабочей области.

    Screenshot showing the private storage settings requirements for secure data upload.

    Следуйте инструкциям из этого руководства, чтобы подключиться к частному хранилищу из виртуальной машины Azure.

Использование пользовательской виртуальной сети BYO

  1. При настройке рабочей области Машинное обучение Azure выберите "Использовать собственные виртуальная сеть". В этом сценарии пользователь может настроить сетевые правила и частные конечные точки для связанных ресурсов правильно, так как рабочая область не настраивает ее автоматически.

  2. В мастере создания векторного индекса обязательно выберите вычислительный экземпляр или вычислительный кластер из раскрывающегося списка параметров вычислений, так как этот сценарий не поддерживается бессерверными вычислениями.

Устранение распространенных проблем

  • Если в рабочей области возникают проблемы, связанные с сетью, когда вычислительные ресурсы не могут создать или запустить вычисление, попробуйте добавить полное доменное имя заполнителя на вкладке "Сеть" рабочей области в портал Azure, чтобы инициировать обновление управляемой сети. Затем повторно создайте вычисления в рабочей области Машинное обучение Azure.

  • В этом случае может появиться сообщение об ошибке, связанное с < Resource > is not registered with Microsoft.Network resource provider. подпиской, в которой зарегистрирован ресурс AOAI/ACS в поставщике ресурсов Microsoft Network. Для этого перейдите к подписке, а затем поставщики ресурсов для того же клиента, что и рабочая область управляемой виртуальной сети.

Примечание.

Ожидается, что первое бессерверное задание в рабочей области должно быть поставлено в очередь дополнительных 10–15 минут в то время как управляемая сеть подготавливает частные конечные точки в первый раз. При использовании вычислительного экземпляра и вычислительного кластера этот процесс происходит во время создания вычислений.

Next Steps