Så här konfigurerar du en privat länk för Azure AI Hub
Kommentar
Azure AI Studio är för närvarande i offentlig förhandsversion. Den här förhandsversionen tillhandahålls utan ett serviceavtal och vi rekommenderar det inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
Vi har två aspekter av nätverksisolering. Det ena är nätverksisoleringen för åtkomst till en Azure AI-hubb. En annan är nätverksisolering av databehandlingsresurser i azure AI-hubben och Azure AI-projekt som beräkningsinstanser, serverlösa och hanterade onlineslutpunkter. I den här artikeln förklaras det förra som markerats i diagrammet. Du kan använda privat länk för att upprätta den privata anslutningen till din Azure AI-hubb och dess standardresurser. Den här artikeln gäller För Azure AI Studio (AI-hubb- och AI-projekt). Mer information om Azure AI Services finns i dokumentationen om Azure AI Services.
Du får flera Standardresurser för Azure AI Hub i din resursgrupp. Du måste konfigurera följande konfigurationer för nätverksisolering.
- Inaktivera offentlig nätverksåtkomst för Standardresurser för Azure AI Hub, till exempel Azure Storage, Azure Key Vault och Azure Container Registry.
- Upprätta en privat slutpunktsanslutning till Standardresurser för Azure AI Hub. Du måste ha både en privat blob- och filslutpunkt för standardlagringskontot.
- Hanterade identitetskonfigurationer för att ge Azure AI Hub-resurser åtkomst till ditt lagringskonto om det är privat.
- Azure AI Services och Azure AI Search bör vara offentliga.
Förutsättningar
Du måste ha ett befintligt virtuellt Azure-nätverk för att skapa den privata slutpunkten i.
Viktigt!
Vi rekommenderar inte att du använder IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket eller lokalt.
Inaktivera nätverksprinciper för privata slutpunkter innan du lägger till den privata slutpunkten.
Skapa en Azure AI som använder en privat slutpunkt
Använd någon av följande metoder för att skapa en Azure AI Hub-resurs med en privat slutpunkt. Var och en av dessa metoder kräver ett befintligt virtuellt nätverk:
- Från Azure-portalen går du till Azure AI Studio och väljer + Ny Azure AI.
- Välj nätverksisoleringsläge på fliken Nätverk.
- Rulla ned till Åtkomst till arbetsyta inkommande och välj + Lägg till.
- Ange obligatoriska fält. När du väljer Region väljer du samma region som ditt virtuella nätverk.
Lägga till en privat slutpunkt i en Azure AI-hubb
Använd någon av följande metoder för att lägga till en privat slutpunkt i en befintlig Azure AI-hubb:
- Från Azure-portalen väljer du din Azure AI-hubb.
- Välj Nätverk till vänster på sidan och välj sedan fliken Privata slutpunktsanslutningar.
- När du väljer Region väljer du samma region som ditt virtuella nätverk.
- När du väljer Resurstyp använder du
azuremlworkspace. - Ange resursen till namnet på arbetsytan.
Slutligen väljer du Skapa för att skapa den privata slutpunkten.
Ta bort en privat slutpunkt
Du kan ta bort en eller alla privata slutpunkter för en Azure AI-hubb. Om du tar bort en privat slutpunkt tas Azure AI-hubben bort från det virtuella Azure-nätverk som slutpunkten var associerad med. Om du tar bort den privata slutpunkten kan det hindra Azure AI-hubben från att komma åt resurser i det virtuella nätverket eller resurser i det virtuella nätverket från att komma åt arbetsytan. Om det virtuella nätverket till exempel inte tillåter åtkomst till eller från det offentliga Internet.
Varning
Om du tar bort de privata slutpunkterna för en AI-hubb blir den inte offentligt tillgänglig. Om du vill göra AI-hubben offentligt tillgänglig använder du stegen i avsnittet Aktivera offentlig åtkomst .
Om du vill ta bort en privat slutpunkt använder du följande information:
Aktivera offentlig åtkomst
I vissa situationer kanske du vill tillåta att någon ansluter till din skyddade Azure AI-hubb via en offentlig slutpunkt i stället för via det virtuella nätverket. Eller så kanske du vill ta bort arbetsytan från det virtuella nätverket och återaktivera offentlig åtkomst.
Viktigt!
Om du aktiverar offentlig åtkomst tar du inte bort några privata slutpunkter som finns. All kommunikation mellan komponenter bakom det virtuella nätverket som de privata slutpunkterna ansluter till är fortfarande säkrad. Den ger endast offentlig åtkomst till Azure AI-hubben, utöver den privata åtkomsten via privata slutpunkter.
Använd följande steg för att aktivera offentlig åtkomst:
Konfiguration av hanterad identitet
En hanterad identitetskonfiguration krävs om du gör ditt lagringskonto privat. Våra tjänster måste läsa/skriva data i ditt privata lagringskonto med hjälp av Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot med följande hanterade identitetskonfigurationer. Aktivera den systemtilldelade hanterade identiteten för Azure AI Service och Azure AI Search och konfigurera sedan rollbaserad åtkomstkontroll för varje hanterad identitet.
| Roll | Hanterad identitet | Resurs | Syfte | Referens |
|---|---|---|---|---|
Storage File Data Privileged Contributor |
Azure AI-projekt | Lagringskonto | Flödesdata för läs-/skrivprompt. | Prompt flow doc |
Storage Blob Data Contributor |
Azure AI Service | Lagringskonto | Läs från indatacontainer, skriv till förbearbeta resultatet till utdatacontainern. | Azure OpenAI Doc |
Storage Blob Data Contributor |
Azure AI-sökning | Lagringskonto | Läs blob och skriva kunskapslager | Sök i dokumentet. |
Anpassad DNS-konfiguration
Mer information om DNS-vidarebefordran finns i den anpassade DNS-artikeln för Azure Machine Learning.
Om du behöver konfigurera en anpassad DNS-server utan DNS-vidarebefordran använder du följande mönster för de A-poster som krävs.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms<AI-PROJECT-GUID>.workspace.<region>.api.azureml.msml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.netml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.netKommentar
Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla
ml-<workspace-name, truncated>-<region>-<workspace-guid>högst 63 tecken.<instance-name>.<region>.instances.azureml.msKommentar
- Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
- IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna
*.api.azureml.ms.)
<managed online endpoint name>.<region>.inference.ml.azure.com– Används av hanterade onlineslutpunkter
Information om hur du hittar de privata IP-adresserna för dina A-poster finns i artikeln anpassad DNS för Azure Machine Learning. Om du vill kontrollera AI-PROJECT-GUID går du till Azure-portalen, väljer ditt Azure AI-projekt, inställningar, egenskaper och arbetsytans ID visas.
Begränsningar
- Privata Azure AI-tjänster och Azure AI Search stöds inte.
- Funktionen "Lägg till dina data" i Azure AI Studio Playground stöder inte privat lagringskonto.
- Du kan stöta på problem med att försöka komma åt den privata slutpunkten för din Azure AI-hubb om du använder Mozilla Firefox. Det här problemet kan vara relaterat till DNS via HTTPS i Mozilla Firefox. Vi rekommenderar att du använder Microsoft Edge eller Google Chrome.