Aracılığıyla paylaş

Kullanıcı tarafından yönetilen kimlikle yeni bir ağ güvenliği ortamı oluşturma

Azure AI Foundry Agent Service, kendi (BYO) özel sanal ağınızı getirmenizi sağlayan özel ağ ortamı kurulumu ile Standart Kurulum sunar. Bu kurulum, ağ altyapınız üzerinde tam denetim sağlarken verilere güvenli bir şekilde erişmenizi ve eylemler gerçekleştirmenizi sağlayan yalıtılmış bir ağ ortamı oluşturur. Bu kılavuz, kurulum işleminin adım adım izlenecek bir adım adım kılavuzunu sağlar ve tüm gerekli gereksinimleri özetler.

Güvenlik özellikleri

Varsayılan olarak, Özel Ağ Yalıtımı ile Standart Kurulum şunları sağlar:

  • Genel çıkış yok: Temel altyapı, güvenilir hizmet atlama işlemi yapmanıza gerek kalmadan aracılarınız ve araçlarınız için doğru kimlik doğrulamasını ve güvenliğini sağlar.

  • Kapsayıcı ekleme: Platform ağının API'leri barındırmasına ve ağınıza bir alt ağ eklemesine olanak tanıyarak aynı sanal ağ içindeki Azure kaynaklarınızın yerel iletişimini sağlar.

  • Özel kaynak erişimi: Kaynaklarınız İnternet'ten özel ve keşfedilemez olarak işaretlenirse, platform ağı gerekli kimlik bilgileri ve yetkilendirmenin sağlanması koşuluyla bunlara erişmeye devam edebilir.

Mevcut sanal ağı olmayan müşteriler için, Özel Ağ ile Standart Kurulum şablonu, gerekli ağ altyapılarını otomatik olarak sağlayarak dağıtımı basitleştirir.

Mimari diyagramı

Sanal ağ mimarisini gösteren diyagram.

Bilinen sınırlamalar

  • Alt ağ IP adresi sınırlaması: Her iki alt ağın da IP aralıkları 172.16.0.0/12 veya 192.168.0.0/16 içinde olmalıdır; yani, özel ağlar için ayrılmış B veya C sınıfı adres aralıkları.
  • Azure Blob Depolama: Dosya Arama aracıyla Azure Blob Depolama dosyalarının kullanılması desteklenmez.

Önkoşullar

  • Azure aboneliği - Ücretsiz bir abonelik oluşturun.

  • Hesabı ve projeyi oluşturan kişinin abonelik kapsamında Azure AI Hesabı Sahibi rolüne sahip olduğundan emin olun

  • Şablonu dağıtan kişinin gerekli kaynaklara (Cosmos DB, Arama, Depolama) rol atama izinleri de olmalıdır.

    • Gereken yerleşik rol, Rol Tabanlı Erişim Yöneticisi'dir.
    • Alternatif olarak, abonelik düzeyinde Sahip rolüne sahip olmak da bu gereksinimi karşılar.
    • Gereken temel izin: Microsoft.Authorization/roleAssignments/write

  • Python 3.8 veya üzeri

  • Aracı ortamı yapılandırıldıktan sonra aracı oluşturmak veya düzenlemek için Aracı Oyun Alanı'nı veya SDK'yı kullanmak isteyen her ekip üyesine proje için yerleşik Azure AI KullanıcıRBAC rolü atandığından emin olun.

    • Gereken en düşük izin kümesi: aracılar/*/okuma, aracılar/*/eylem, aracılar/*/delete

  • Sağlayıcıları kaydedin. Aşağıdaki sağlayıcıların kaydedilmesi gerekir:

    • Microsoft.KeyVault
    • Microsoft.CognitiveServices
    • Microsoft.Storage
    • Microsoft.MachineLearningServices
    • Microsoft.Search
    • Microsoft.Network
    • Microsoft.App
    • Microsoft.ContainerService
    • Bing Arama aracını kullanmak için: Microsoft.Bing
       az provider register --namespace 'Microsoft.KeyVault'
   az provider register --namespace 'Microsoft.CognitiveServices'
   az provider register --namespace 'Microsoft.Storage'
   az provider register --namespace 'Microsoft.MachineLearningServices'
   az provider register --namespace 'Microsoft.Search'
   # only to use Grounding with Bing Search tool
   az provider register --namespace 'Microsoft.Bing'

Ağ ile güvenli yeni bir ortam yapılandırma

Ağ güvenlikli kurulum: Aracılar müşteriye ait, tek kiracılı arama ve depolama kaynaklarını kullanır. Bu kurulumla, bu kaynaklar üzerinde tam denetime ve görünürlüğe sahip olursunuz, ancak kullanımınıza göre maliyetler doğurabilirsiniz. Aşağıdaki bicep şablonu aşağıdakileri sağlar:

  • Bir hesap ve proje oluşturulur.
  • Bir GPT-4o modeli dağıtılır.
  • Mevcut kaynaklar sağlanmazsa müşteri verilerini depolamak için Azure kaynakları (Azure Depolama, Azure Cosmos DB ve Azure AI Search) otomatik olarak oluşturulur.
  • Bu kaynaklar dosyaları, iş parçacıklarını ve vektör verilerini depolamak için projenize bağlanır.
  • Microsoft tarafından yönetilen bir anahtar kasası varsayılan olarak kullanılır.

Bicep şablonunu el ile dağıtın

Uyarı

Azure AI Foundry Agent Service için ağ güvenliğine sahip bir ortam dağıtmanın tek yolu Bicep şablonunu kullanmaktır.

  1. Bicep şablonlarını dağıtmak ve özelleştirmek için GitHub'dan şablonu indirin. private-network-standard-agent-setup klasöründen aşağıdakileri indirin:

    1. main-create.bicep
    2. azuredeploy.parameters.json
    3. modules-network-secured folder

  2. Azure CLI'dan Azure aboneliğinizde kimlik doğrulaması yapmak için aşağıdaki komutu kullanın:

    az login

  3. Kaynak grubu oluşturma:

    az group create --name {my_resource_group} --location eastus

    Oluşturduğunuz kaynak grubu için Azure AI Geliştirici rolüne sahip olduğunuzdan emin olun.

  4. Önceki adımda oluşturduğunuz kaynak grubunu ve şablon dosyalarından birini ()private-network-standard-agent-setup kullanarak aşağıdaki komutlardan birini çalıştırın:

    1. Varsayılan kaynak adlarını kullanmak için şunu çalıştırın:

      az deployment group create --resource-group {my_resource_group} --template-file main-create.bicep

  5. abonelik kimliğinizi, kaynak grubu adınızı ve yeni dağıtılan AI Services hesabı kaynak adınızı eklemek için CheckCapabilityHostReadiness.ps1 çalıştırın ve komutunu düzenleyin.

    .\CheckCapabilityHostReadiness.ps1 -subscriptionId "<your-sub-id>" -resourcegroup "<new-rg-name>" -accountname "<your-aiservices-name>"

    PowerShell betiğini çalıştırmak istemiyorsanız, bunun yerine dosya CheckCapabilityHostReadiness.sh bir bash betiği çalıştırabilirsiniz. Aşağıdaki iki komutu çalıştırın:

    chmod +x CheckCapabilityHostReadiness.sh
./CheckCapabilityHostReadiness.sh "<your-sub-id>" "<new-rg-name>" "<your-aiservices-name>"

  6. main-project-caphost-create.bicep dosyasını dağıtın

    az deployment group create --resource-group <new-rg-name> --template-file main-project-caphost-create.bicep

    Bu betiği çalıştırdıktan sonra aşağıdaki değerleri girmeniz gerekir:

    Please provide string value for 'accountName' (? for help): <your-account-name>
Please provide string value for 'projectName' (? for help): <your-project-name>
Please provide string value for 'aiSearchName' (? for help): <your-search-name>
Please provide string value for 'azureStorageName' (? for help): <your-storage-name>
Please provide string value for 'cosmosDBName' (? for help): <your-cosmosdb-name>

Daha fazla ayrıntı için bkz. README.

Uyarı

Güvenli ağ kurulumuyla Foundry kaynağınızı ve Standart Aracınızı silmek istiyorsanız en son AI Foundry kaynağınızı ve sanal ağınızı silin. Sanal ağı silmeden önce AI Foundry kaynağınızı silip temizlediğinizden emin olun. Silinen kaynakları yönet'e gidin, ardından aboneliğinizi ve temizlemek istediğiniz Dökümhane kaynağını seçin.

Derinlemesine İnceleme Standart Kurulum ile Özel Ağ Şablonu

Özel Ağ Aracısı Şablonu ile Standart Kurulum'u kullandığınızda, kendiniz getirmediğiniz sürece aşağıdakiler otomatik olarak sağlanır:

Ağ Altyapısı

  • Sanal Ağ (192.168.0.0/16) oluşturuldu
  • Aracı Alt Ağı (192.168.0.0/24): Konak Aracısı istemcisi
  • Özel uç nokta Alt Ağı (192.168.1.0/24): Özel uç noktaları barındırıyor

Özel DNS Bölgeleri Aşağıdaki DNS bölgeleri yapılandırılır:

  • privatelink.blob.core.windows.net
  • privatelink.cognitiveservices.azure.com
  • privatelink.documents.azure.com
  • privatelink.file.core.windows.net
  • privatelink.openai.azure.com
  • privatelink.search.windows.net
  • privatelink.services.ai.azure.com

Sanal ağ (Vnet) özellikleri

Sanal ağlar, kaynaklarınıza hangi uç noktaların API çağrıları gerçekleştirebileceğini belirtmenizi sağlar. Azure hizmeti, tanımlı ağınızın dışındaki cihazlardan yapılan API çağrılarını otomatik olarak reddeder. formül tabanlı tanımları kullanarak veya izin verilen uç noktaların kapsamlı bir listesini oluşturarak izin verilen ağlar oluşturabilirsiniz. Bu güvenlik katmanı, gelişmiş koruma için diğer güvenlik önlemleriyle birleştirilebilir.

Ağ kuralları

Tüm hesaplar ve ilgili projeleri varsayılan olarak Genel ağ erişimi Devre Dışı bayrağıyla korunur ve özel uç noktalar üzerinden erişime izin vermek için açık yapılandırma gerekir.

Bu kurallar REST ve WebSocket dahil olmak üzere tüm protokoller için geçerlidir. Azure portalının test konsolları gibi iç test araçları bile hesabınıza ve alt kaynaklarına erişmek için açık izin gerektirir ve tüm aracı projelerinde tam güvenlik sağlar.

Özel uç noktalar

Aracılar için özel uç noktalar, aşağıdaki Azure kaynakları için güvenli, yalnızca iç bağlantı sağlar:

  • Azure Yapay Zeka Atölyesi
  • Azure Yapay Zeka Arama
  • Azure Depolama
  • Azure Cosmos DB veritabanı

DNS bölgesi yapılandırmaları özeti

Özel Bağlantı Kaynak Türü Alt Kaynak Özel DNS Bölge Adı Genel DNS Bölgesi İleticileri
Azure AI Foundry hesap privatelink.cognitiveservices.azure.com
privatelink.openai.azure.com
privatelink.services.ai.azure.com		 cognitiveservices.azure.com
openai.azure.com
services.ai.azure.com
Azure AI Arama Hizmeti aramaServisi privatelink.search.windows.net search.windows.net
Azure Cosmos DB SQL privatelink.documents.azure.com documents.azure.com
Azure Depolama yığın privatelink.blob.core.windows.net blob.core.windows.net

DNS Sunucusunda Azure DNS Sanal Sunucusu'na koşullu iletici oluşturmak için yukarıdaki tabloda belirtilen bölgelerin listesini kullanın. Azure DNS Sanal Sunucusu IP adresi 168.63.129.16'dır.

Güvenli aracılarınıza erişin

Şablon dağıtımınız tamamlandıktan sonra, aşağıdaki yöntemlerden birini kullanarak bir sanal ağın arkasındaki Foundry projenize erişebilirsiniz:

  • Azure VPN Gateway: Şirket içi ağları özel bir bağlantı üzerinden sanal ağa bağlar. Bağlantı genel İnternet üzerinden yapılır. Kullanabileceğiniz iki tür VPN ağ geçidi vardır:
    • Noktadan siteye: Her istemci bilgisayar, sanal ağa bağlanmak için bir VPN istemcisi kullanır.
    • Siteden siteye: VPN cihazı, sanal ağı şirket içi ağınıza bağlar.
  • ExpressRoute: Şirket içi ağları özel bir bağlantı üzerinden buluta bağlar. Bağlantı, bir bağlantı sağlayıcısı kullanılarak yapılır.
  • Azure Bastion: Bu senaryoda, sanal ağ içinde bir Azure Sanal Makinesi (bazen atlama kutusu olarak adlandırılır) oluşturursunuz. Ardından Azure Bastion kullanarak VM'ye bağlanırsınız. Bastion, yerel web tarayıcınızdan RDP veya SSH oturumu kullanarak VM'ye bağlanmanızı sağlar. Ardından atlama kutusunu geliştirme ortamınız olarak kullanırsınız. Sanal ağın içinde olduğundan çalışma alanına doğrudan erişebilir.

Özet

Standart Aracı Kurulumu için Özel Ağ , kurumsal düzeyde yalıtım ve denetim sağlar:

  • ✅ Tüm gelen ve giden trafik genel İnternet'ten yalıtılıp kalır
  • ✅ Ayrılmış özel uç noktalar tüm müşteri verilerinizin güvenliğini sağlar
  • ✅ Sorunsuz iç erişim için otomatik özel DNS çözümlemesi
  • ✅ Maksimum güvenlik için varsayılan olarak reddetmeye yönelik katı ağ kuralları

Bu kurulum yapay zeka aracılarının tamamen ayrılmış, yalıtılmış bir sanal ağ içinde çalışmasına olanak tanır. Kuruluşlar, özel ağ yalıtımını (BYO VNet) kullanarak özel güvenlik ilkelerini zorunlu kılabilir ve yapay zeka aracılarının güvenilir altyapılarında çalışmasını sağlayabilir.

Hedefimiz, kritik güvenlik gereksinimlerinden ödün vermeden yapay zeka aracılarının geliştirilmesini ve dağıtımını hızlandırmaktır. Bicep ve ARM şablonlarımız sayesinde aracı ortamınızı hızlı bir şekilde ayarlayabilir ve ağ ve verileri üzerinde tam denetim sahibi olmaya devam edebilirsiniz.

Sırada ne var?

Bir Ağ Güvenli Hesabı ve projesini başarıyla yapılandırdıysanız, ilk aracınızı oluşturmak için hızlı başlangıcı kullanın.