Så här konfigurerar du en privat länk för Azure AI Studio-hubbar

Viktigt!

Vissa av de funktioner som beskrivs i den här artikeln kanske bara är tillgängliga i förhandsversionen. Den här förhandsversionen tillhandahålls utan ett serviceavtal och vi rekommenderar det inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.

Vi har två aspekter av nätverksisolering. Det ena är nätverksisoleringen för åtkomst till en Azure AI Studio-hubb. En annan är nätverksisolering av beräkningsresurser i din hubb och projekt som beräkningsinstanser, serverlösa och hanterade onlineslutpunkter. I den här artikeln förklaras det förra som markerats i diagrammet. Du kan använda privat länk för att upprätta den privata anslutningen till din hubb och dess standardresurser. Den här artikeln gäller för Azure AI Studio (hubb och projekt). Information om Azure AI-tjänster finns i dokumentationen om Azure AI-tjänster.

Du får flera hubbstandardresurser i resursgruppen. Du måste konfigurera följande konfigurationer för nätverksisolering.

• Inaktivera offentlig nätverksåtkomst för hubbstandardresurser som Azure Storage, Azure Key Vault och Azure Container Registry.
• Upprätta en privat slutpunktsanslutning till hubbens standardresurser. Du måste ha både en privat blob- och filslutpunkt för standardlagringskontot.
• Hanterade identitetskonfigurationer för att ge hubbar åtkomst till ditt lagringskonto om det är privat.
• Azure AI Search bör vara offentligt.

Förutsättningar

• Du måste ha ett befintligt virtuellt Azure-nätverk för att skapa den privata slutpunkten i.

  Viktigt!

  Vi rekommenderar inte att du använder IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket eller lokalt.

• Inaktivera nätverksprinciper för privata slutpunkter innan du lägger till den privata slutpunkten.

Skapa en hubb som använder en privat slutpunkt

Använd någon av följande metoder för att skapa en hubb med en privat slutpunkt. Var och en av dessa metoder kräver ett befintligt virtuellt nätverk:

Azure-portalen

1. Från Azure-portalen går du till Azure AI Studio och väljer + Ny Azure AI.
2. Välj nätverksisoleringsläge på fliken Nätverk.
3. Rulla ned till Åtkomst till arbetsyta inkommande och välj + Lägg till.
4. Ange obligatoriska fält. När du väljer Region väljer du samma region som ditt virtuella nätverk.

Azure CLI

När du har skapat hubben använder du CLI-kommandona för Azure-nätverk för att skapa en privat länkslutpunkt för hubben.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Om du vill skapa posterna i den privata DNS-zonen för arbetsytan använder du följande kommandon:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Lägga till en privat slutpunkt i en hubb

Använd någon av följande metoder för att lägga till en privat slutpunkt i en befintlig hubb:

Azure-portalen

1. Välj din hubb i Azure-portalen.
2. Välj Nätverk till vänster på sidan och välj sedan fliken Privata slutpunktsanslutningar.
3. När du väljer Region väljer du samma region som ditt virtuella nätverk.
4. När du väljer Resurstyp använder du azuremlworkspace.
5. Ange resursen till namnet på arbetsytan.

Slutligen väljer du Skapa för att skapa den privata slutpunkten.

Azure CLI

Använd CLI-kommandona för Azure-nätverk för att skapa en privat länkslutpunkt för hubben.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Om du vill skapa posterna i den privata DNS-zonen för arbetsytan använder du följande kommandon:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Ta bort en privat slutpunkt

Du kan ta bort en eller alla privata slutpunkter för en hubb. Om du tar bort en privat slutpunkt tas hubben bort från det virtuella Azure-nätverk som slutpunkten var associerad med. Om du tar bort den privata slutpunkten kan det hindra hubben från att komma åt resurser i det virtuella nätverket eller resurser i det virtuella nätverket från att komma åt arbetsytan. Om det virtuella nätverket till exempel inte tillåter åtkomst till eller från det offentliga Internet.

Varning

Om du tar bort de privata slutpunkterna för en hubb blir den inte offentligt tillgänglig. Om du vill göra hubben offentligt tillgänglig använder du stegen i avsnittet Aktivera offentlig åtkomst .

Om du vill ta bort en privat slutpunkt använder du följande information:

Azure-portalen

1. Välj din hubb i Azure-portalen.
2. Välj Nätverk till vänster på sidan och välj sedan fliken Privata slutpunktsanslutningar.
3. Välj den slutpunkt som du vill ta bort och välj sedan Ta bort.

Azure CLI

När du använder Azure CLI använder du följande kommando för att ta bort den privata slutpunkten:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Aktivera offentlig åtkomst

I vissa situationer kanske du vill tillåta att någon ansluter till din skyddade hubb via en offentlig slutpunkt i stället för via det virtuella nätverket. Eller så kanske du vill ta bort arbetsytan från det virtuella nätverket och återaktivera offentlig åtkomst.

Viktigt!

Om du aktiverar offentlig åtkomst tar du inte bort några privata slutpunkter som finns. All kommunikation mellan komponenter bakom det virtuella nätverket som de privata slutpunkterna ansluter till är fortfarande säkrad. Det ger endast offentlig åtkomst till hubben, utöver den privata åtkomsten via privata slutpunkter.

Använd följande steg för att aktivera offentlig åtkomst:

Azure-portalen

1. Välj din hubb i Azure-portalen.
2. Välj Nätverk till vänster på sidan och välj sedan fliken Offentlig åtkomst.
3. Välj Aktiverad från alla nätverk och välj sedan Spara.

Azure CLI

Använd följande Azure CLI-kommando för att aktivera offentlig åtkomst:

az ml workspace update \
    --set public_network_access=Enabled \
    -n <workspace-name> \
    -g <resource-group-name>

Om du får ett felmeddelande om att ml kommandot inte hittas använder du följande kommandon för att installera Azure Machine Learning CLI-tillägget:

az extension add --name ml

Konfiguration av hanterad identitet

En hanterad identitetskonfiguration krävs om du gör ditt lagringskonto privat. Våra tjänster måste läsa/skriva data i ditt privata lagringskonto med hjälp av Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot med följande hanterade identitetskonfigurationer. Aktivera den systemtilldelade hanterade identiteten för Azure AI Service och Azure AI Search och konfigurera sedan rollbaserad åtkomstkontroll för varje hanterad identitet.

Roll	Hanterad identitet	Resurs	Syfte	Referens
Storage File Data Privileged Contributor	Azure AI Studio-projekt	Lagringskonto	Flödesdata för läs-/skrivprompt.	Prompt flow doc
Storage Blob Data Contributor	Azure AI Service	Lagringskonto	Läs från indatacontainer, skriv till förprocessresultat till utdatacontainer.	Azure OpenAI Doc
Storage Blob Data Contributor	Azure AI-sökning	Lagringskonto	Läs blob och skriva kunskapslager	Sök i dokumentet.

Anpassad DNS-konfiguration

Mer information om DNS-vidarebefordran finns i den anpassade DNS-artikeln för Azure Machine Learning.

Om du behöver konfigurera en anpassad DNS-server utan DNS-vidarebefordran använder du följande mönster för de A-poster som krävs.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Kommentar

  Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.ms

  Kommentar

  • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
  • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <instance-name>.<region>.instances.azureml.ms – Används endast av az ml compute connect-ssh kommandot för att ansluta till beräkningar i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

• <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Information om hur du hittar de privata IP-adresserna för dina A-poster finns i artikeln anpassad DNS för Azure Machine Learning. Om du vill kontrollera AI-PROJECT-GUID går du till Azure-portalen, väljer ditt projekt, dina inställningar, egenskaper och arbetsytans ID visas.

Begränsningar

• Privata Azure AI-tjänster och Azure AI Search stöds inte.
• Funktionen "Lägg till dina data" i Azure AI Studio Playground stöder inte privat lagringskonto.
• Du kan stöta på problem med att försöka komma åt den privata slutpunkten för din hubb om du använder Mozilla Firefox. Det här problemet kan vara relaterat till DNS via HTTPS i Mozilla Firefox. Vi rekommenderar att du använder Microsoft Edge eller Google Chrome.

Nästa steg

• Skapa ett Azure AI Studio-projekt
• Läs mer om Azure AI Studio
• Läs mer om Azure AI Studio-hubbar
• Felsöka säker anslutning till ett projekt