Aracılığıyla paylaş


Azure OpenAI ağını yapılandırma

Bu makalede, güvenli bir Azure OpenAI kaynağı oluşturmayı ve bu kaynağa bağlanmayı öğrenin. Bu makaledeki adımlarda, Azure OpenAI kaynağınız için bir güvenlik sınırı oluşturmak üzere bir Azure Sanal Ağı kullanılır.

Bu makaleyi tamamladıktan sonra aşağıdaki mimariye sahip olacaksınız:

  • Azure OpenAI kaynağınızın bulunacağı alt ağa sahip bir Azure Sanal Ağı.
  • Sanal ağı kullanarak iletişim kurmak için özel uç nokta kullanan bir Azure OpenAI kaynağı.
  • Azure Bastion, sanal ağın içindeki atlama kutusu VM'siyle güvenli bir şekilde iletişim kurmak için tarayıcınızı kullanmanıza olanak tanır.
  • Sanal ağ içinde güvenli hale getirilen kaynaklara uzaktan bağlanabileceğiniz ve kaynaklara erişebileceğiniz bir Azure Sanal Makinesi.

Önkoşullar

Azure Sanal Ağ ve IP ağı hakkında bilgi. Bilmiyorsanız bilgisayar ağının temelleri modülünü deneyin.

Azure OpenAI kaynağında ağ iletişimi hakkında daha fazla bilgi için bkz. Sanal Ağları Yapılandırma.

Sanal ağ oluşturma

Sanal ağ oluşturmak için aşağıdaki adımları kullanın:

  1. Azure portalında, sol üst köşedeki portal menüsünü seçin. Menüden + Kaynak oluştur'u seçin ve arama alanına Sanal Ağ girin. Sanal Ağ girdisini ve ardından Oluştur'u seçin.

  2. Temel Bilgiler sekmesinde, bu kaynak için kullanılacak Azure aboneliğini seçin ve ardından yeni bir kaynak grubu seçin veya oluşturun. Örnek ayrıntıları'nın altında sanal ağınız için kolay bir ad girin ve oluşturulacak bölgeyi seçin.

    Sanal ağ kurulumunun ekran görüntüsü.

  3. Güvenlik ve IP adresleri için varsayılan ayarları kabul edin. Sanal ağınız için "varsayılan" başlıklı bir alt ağ oluşturulur. En iyi yöntem, tüm özel uç noktaları temsilci olarak atamak için başka bir alt ağ oluşturmaktır.

  4. Seçin, gözden geçir ve oluştur.

  5. Bilgilerin doğru olduğundan emin olun ve Oluştur'u seçin.

Azure OpenAI kaynağı oluşturma

  1. Azure portalında, sol üst köşedeki portal menüsünü seçin. Menüden + Kaynak oluştur'u seçin ve Ardından Azure OpenAI girin. Azure OpenAI girişini ve ardından Oluştur'u seçin.
  2. Temel Bilgiler sekmesinde, bu kaynak için kullanılacak Azure aboneliğini seçin ve ardından yeni bir kaynak grubu seçin veya oluşturun. Örnek ayrıntıları'nın altında kaynağınız için kolay bir ad girin ve kaynağın oluşturulacağı bölgeyi seçin. Azure OpenAI kaynağı sanal ağınızla aynı bölgede yer almaz.
  3. Seçin, gözden geçir ve oluştur.

Özel uç nokta ve özel DNS bölgesi oluşturma

  1. Azure portalında, oluşturduğunuz Azure OpenAI kaynağını seçin. Kaynak Yönetimi'nde Ağ sekmesine gidin.

  2. Erişime izin ver'in altında Devre dışı'yı seçin. Hiçbir ağın erişemeyeceği şekilde devre dışı bırakılması bu kaynağa erişimi engeller. Özel uç nokta bağlantıları bu kaynağa erişmenin özel yolu olacaktır. Ayarları kaydetmek için Kaydet'i seçin.

    Kaynak ağı devre dışı bırakılmış UX'in ekran görüntüsü.

  3. Özel uç nokta bağlantıları sekmesine gidin ve + Özel uç nokta'ya tıklayın.

    Özel uç nokta bağlantıları sekmesinin ekran görüntüsü.

  4. Temel Bilgiler sekmesinde, bu kaynak için kullanılacak Azure aboneliğini seçin ve ardından yeni bir kaynak grubu seçin veya oluşturun. Örnek ayrıntıları'nın altında kaynağınız için bir ad girin ve kaynağın oluşturulacağı bölgeyi seçin. Özel ağı oluşturduğunuz bölge, sanal ağınızı oluşturmak için seçtiğiniz bölgeyle aynı olmalıdır. Ağ arabirimi adı otomatik olarak adı kullanır ve "-nic" ekler.

    Özel uç nokta oluşturma ekran görüntüsü.

  5. Kaynak sekmesinde Kaynak türü olmalıdır Microsoft.CognitiveServices/accounts. Hedef alt kaynağı için hesap'ı seçin.

  6. Sanal Ağ sekmesinde aşağıdaki değerleri kullanın:

    • Sanal ağ: Daha önce oluşturduğunuz sanal ağ.
    • Alt ağ: varsayılan
  7. Dns sekmesinde, özel DNS yerine Azure Özel DNS kullanmak istiyorsanız aşağıdaki değerleri kullanın:

    • Özel DNS bölgesiyle tümleştirme: Evet
    • Yapılandırma adı: privatelink-openai-azure-com
    • Abonelik: Önceki kaynakları içeren aynı Azure aboneliği.
    • Kaynak grubu: Önceki kaynakları içeren azure kaynak grubu.

    Özel bağlantı OLUŞTUR DNS sekmesinin ekran görüntüsü.

  8. Seçin, gözden geçir ve oluştur. Bilgilerin doğru olduğundan emin olun ve Oluştur'u seçin.

  9. Özel uç nokta oluşturulduktan sonra özel uç nokta bağlantı adınızı, durumunuzu ve açıklamanızı görmeniz gerekir. Özel uç nokta bağlantısını seçebilir ve DNS yapılandırmasıyla ilgili diğer ayrıntıları görüntüleyebilirsiniz.

    Özel bağlantı ve uç nokta dağıtımı sonrası dağıtım ayrıntılarının ekran görüntüsü.

Yerel ağ erişimi için ağ geçidini ve istemciyi yapılandırma

Azure AI Foundry Modellerinde Azure OpenAI'ye yerel veya şirket içi istemci makinelerinizden erişmek için iki yaklaşım vardır. Bir yaklaşım, aynı sanal ağa dağıtılan bir sanal makineyi yapılandırmaktır. Bir diğer yaklaşım da Azure VPN Gateway ve Azure VPN İstemcisi'ni yapılandırmaktır.

Sanal ağınız için sanal ağ geçidi ayarlama yönergeleri için bkz. Öğretici – VPN ağ geçidi oluşturma ve yönetme. Noktadan siteye yapılandırma eklemek ve Microsoft Entra ID tabanlı kimlik doğrulamasını etkinleştirmek için bkz. Microsoft Entra Id kimlik doğrulaması için VPN ağ geçidi yapılandırma . Azure VPN İstemcisi profil yapılandırma paketini indirin, sıkıştırmasını açın ve AzureVPN/azurevpnconfig.xml dosyasını Azure VPN istemcinize aktarın.

Kaynaklarınızın konak adlarını sanal ağınızdaki özel IP'lere işaret etmek için yerel makine konakları dosyanızı yapılandırın. Hosts dosyası, Windows için C:\Windows\System32\drivers\etc konumunda ve Linux üzerinde /etc/hosts konumunda bulunur. Örnek: 10.0.0.5 contoso.openai.azure.com

Başka bir merkez-uç mimarisi üzerinden erişimi yapılandırın

Kuruluşlar tarafından benimsenen yaygın bir ağ mimarisi, Merkez-uç ağ topolojisidir. Bu ağ topolojisinde, ana sanal ağ, İnternet'e yönelik tüm giriş ve çıkış trafiğini denetlemek için merkezi ağ bölgesidir; konuş sanal ağları ise farklı iş yükü türlerini barındırır. Ardından merkez ve uç sanal ağları eşleştirilir. Eşleme, aynı bölgedeki veya farklı bölgelerdeki iki Azure Sanal Ağı arasında sorunsuz bağlantı sağlayan bir ağ özelliğidir. Eşleme, sanal ağlar arasında kaynak, veri ve hizmet paylaşımını kolaylaştırarak uygulama dağıtım esnekliğini artırır ve ağ mimarisini kolaylaştırır.

Temel bir merkez-uç mimarisi kurmak için:

  1. Azure Aboneliğinizde, konuşma sanal ağınız olarak ikinci bir sanal ağ oluşturun. Bu sanal ağın aynı bölgede olması gerekmez.
  2. Ayarlar'da Eşlemeler sekmesine gidin. + Ekle'yi seçin.
  3. Uzak sanal ağ özeti'nin altında bir Eşleme Bağlantısı Adı sağlayın ve eşlediğiniz sanal ağı (bu örnekte Hub sanal ağı) seçin. "Allow <hub virtual network name> to access <spoke virtual network name>" seçili olduğuna emin olun.
  4. Yerel sanal ağ özetinin altında bir Eşleme Bağlantısı Adı sağlayın ve "Allow <hub virtual network name> to access <spoke virtual network name>" seçildiğinden emin olun. Ardından Ekle'yi seçin.

Ağ Güvenlik Grubunuzu (NSG) yapılandırma

Ağ Güvenlik Grupları, ağ arabirimlerine (NIC), VM'lere ve alt ağlara gelen ve giden trafiği denetlemek için kullanılır. NSG'yi Azure OpenAI'ye gelen ve giden trafiğe izin verecek şekilde yapılandırmanız gerekir. NSG'leri yapılandırma hakkında daha fazla bilgi için bkz. Azure ağ güvenlik gruplarına genel bakış.

Yapılandırmanızı test edin

PowerShell'deki Test-NetConnection cmdlet'ini kullanarak Azure OpenAI'ye ağ bağlantısını test edebilirsiniz. Bu cmdlet, makinenizle başka bir makine arasındaki ağ bağlantısını test etmenizi sağlar. Ağ sorunlarını giderme ve hata ayıklama için kullanışlı bir araçtır.

  1. IP Adresi: Azure OpenAI uç noktanızın IP adresini çözümlemek için nslookup komutunu kullanın. Örneğin:

    nslookup my-openai-instance.openai.azure.com
    

    Bu, Azure OpenAI örneğiniz ile ilişkili hem genel hem de özel IP adreslerini döndürür. Özel IP adresiniz, özel uç noktanızın DNS yapılandırmasında görülen özel IP ile aynı olmalıdır.

  2. Özel Uç Noktayı Test Et: Ardından, 443 numaralı bağlantı noktasındaki özel IP adresine ağ bağlantısını test edin. Örneğin:

    Test-NetConnection 10.0.0.4 -Port 443
    

Bu komut yalnızca Azure OpenAI örneğiniz ile aynı özel ağda bulunan bir makineden başarılı olmalıdır. Bu komut başarısız olursa bir ağ sorunu olduğu anlamına gelir. Olası nedenler şunlardır:

  • DNS Sorunu: Etki Alanı Adı Sistemi (DNS), etki alanı adlarını IP adreslerine çevirmekle sorumludur. DNS ile ilgili bir sorun varsa, Azure OpenAI örneğinizin etki alanı adıyla IP adresi doğru şekilde eşleştirilemeyebilir.

  • Makine Özel Ağda Değil: Komutunu çalıştırdığınız makine Azure OpenAI örneğiniz ile aynı özel ağda değilse, özel IP adresine ulaşamayacağından komut başarısız olur. Makinenin doğru özel ağa bağlı olduğundan emin olun.

  • Müşteri Güvenlik Duvarı Engelleme: Makine ile Azure OpenAI örneği arasında ayarlanmış özel bir güvenlik duvarı varsa, bağlantıyı engelliyor olabilir. Güvenlik duvarları, önceden belirlenmiş güvenlik kurallarına göre gelen ve giden ağ trafiğini denetleen güvenlik önlemleridir. Güvenlik duvarı ayarlarınızı denetlemeniz ve 443 numaralı bağlantı noktası üzerindeki trafiğe izin verildiğinden emin olmanız gerekir.

Sonraki Adımlar