Azure AI Studio hub'ları için yönetilen ağ yapılandırma

Önemli

Bu makalede açıklanan özelliklerden bazıları yalnızca önizleme aşamasında kullanılabilir. Bu önizleme, hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

İki ağ yalıtımı özelliğine sahibiz. Bunlardan biri, Azure AI Studio hub'ına erişmek için ağ yalıtımıdır. Bir diğeri de hem hub'ınız hem de projeniz için bilgi işlem kaynaklarının ağ yalıtımıdır (işlem örneği, sunucusuz ve yönetilen çevrimiçi uç nokta gibi). Bu belgede, diyagramda vurgulanan ikinci belge açıklanmaktadır. Bilgi işlem kaynaklarınızı korumak için hub'ın yerleşik ağ yalıtımını kullanabilirsiniz.

Aşağıdaki ağ yalıtımı yapılandırmalarını yapılandırmanız gerekir.

• Ağ yalıtım modunu seçin. İki seçeneğiniz vardır: İnternet giden moduna izin ver veya yalnızca onaylı giden moduna izin ver.
• Visual Studio Code tümleştirmesini yalnızca onaylanan giden moduyla kullanıyorsanız, Visual Studio Code kullanma bölümünde açıklanan FQDN giden kuralları oluşturun.
• HuggingFace modellerini yalnızca onaylı giden moduna izin veren Modellerde kullanıyorsanız HuggingFace modellerini kullanma bölümünde açıklanan FQDN giden kuralları oluşturun.
• Yalnızca onaylanan giden moduna izin veren açık kaynak modellerden birini kullanıyorsanız, Azure AI tarafından seçilen bölümünde açıklanan FQDN giden kuralları oluşturun.

Ağ yalıtım mimarisi ve yalıtım modları

Yönetilen sanal ağ yalıtımını etkinleştirdiğinizde, hub için bir yönetilen sanal ağ oluşturulur. Hub için oluşturduğunuz yönetilen işlem kaynakları bu yönetilen sanal ağı otomatik olarak kullanır. Yönetilen sanal ağ, hub'ınız tarafından kullanılan Azure kaynakları için Azure Depolama, Azure Key Vault ve Azure Container Registry gibi özel uç noktaları kullanabilir.

Yönetilen sanal ağdan giden trafik için üç farklı yapılandırma modu vardır:

Giden modu	Açıklama	Senaryolar
İnternet'e gidenlere izin ver	Yönetilen sanal ağdan gelen tüm İnternet giden trafiğine izin verin.	Python paketleri veya önceden eğitilmiş modeller gibi internet üzerindeki makine öğrenmesi kaynaklarına sınırsız erişim istiyorsunuz.1
Yalnızca onaylanan gidene izin ver	Hizmet etiketleri belirtilerek giden trafiğe izin verilir.	* Veri sızdırma riskini en aza indirmek istiyorsunuz, ancak gerekli tüm makine öğrenmesi yapıtlarını özel ortamınızda hazırlamanız gerekiyor. * Onaylı bir hizmet listesine, hizmet etiketlerine veya FQDN'lere giden erişimi yapılandırmak istiyorsunuz.
Devre dışı	Gelen ve giden trafik kısıtlanmaz.	Hub'dan genel gelen ve gidenleri istiyorsunuz.

¹ İnternet'e gidene izin ver seçeneğini kullanarak aynı sonucu elde etmek için yalnızca onaylanan giden moduna izin ver ile giden kuralları kullanabilirsiniz. Farklar şunlardır:

• Azure kaynaklarına erişmek için her zaman özel uç noktaları kullanın.
• İzin vermeniz gereken her giden bağlantı için kurallar eklemeniz gerekir.
• Bu kural türü Azure Güvenlik Duvarı kullandığından FQDN giden kuralları eklemek maliyetlerinizi artırır. Giden FQDN kurallarını kullanıyorsanız Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Daha fazla bilgi için bkz. Fiyatlandırma.
• Yalnızca onaylanan gidenlere izin ver için varsayılan kurallar, veri sızdırma riskini en aza indirmek için tasarlanmıştır. Eklediğiniz tüm giden kuralları riskinizi artırabilir.

Yönetilen sanal ağ, gerekli varsayılan kurallarla önceden yapılandırılmıştır. Ayrıca hub'ınıza özel uç nokta bağlantıları, hub'ın varsayılan depolama alanı, kapsayıcı kayıt defteri ve anahtar kasası özel olarak yapılandırılmışsa veya hub yalıtım modu yalnızca onaylanan gidene izin verecek şekilde ayarlanmışsa yapılandırılır. Yalıtım modunu seçtikten sonra, yalnızca eklemeniz gerekebilecek diğer giden gereksinimleri dikkate almanız gerekir.

Aşağıdaki diyagramda İnternet'e giden İnternet'e izin verecek şekilde yapılandırılmış bir yönetilen sanal ağ gösterilmektedir:

Aşağıdaki diyagramda yalnızca onaylanan gidene izin verecek şekilde yapılandırılmış bir yönetilen sanal ağ gösterilmektedir:

Not

Bu yapılandırmada, hub tarafından kullanılan depolama, anahtar kasası ve kapsayıcı kayıt defteri özel olarak işaretlenir. Bunlar özel olarak işaretlendiğinden, onlarla iletişim kurmak için özel bir uç nokta kullanılır.

Önkoşullar

Bu makaledeki adımları takip etmeden önce aşağıdaki önkoşullara sahip olduğunuzdan emin olun:

Azure portalı

• Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken hub tarafından kullanılır.

  Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.

• Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Azure CLI

• Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

• Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken hub tarafından kullanılır.

  Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.

• Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI ve ml Azure CLI uzantısı. Daha fazla bilgi için bkz . CLI'yi (v2) yükleme, ayarlama ve kullanma.

• Bu makaledeki CLI örneklerinde Bash (veya uyumlu) kabuğu kullandığınız varsayılır. Örneğin, bir Linux sisteminden veya Linux için Windows Alt Sistemi.

• Bu makaledeki Azure CLI örnekleri, hub'ın adını ve rg kaynak grubunun adını temsil etmek için kullanılırws. Azure aboneliğinizle komutları kullanırken bu değerleri gerektiği gibi değiştirin.

Python SDK'sı

• Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun. Azure Machine Learning'in ücretsiz veya ücretli sürümünü deneyin.

• Azure aboneliğiniz için Microsoft.Network kaynak sağlayıcısının kayıtlı olması gerekir. Bu kaynak sağlayıcısı, yönetilen sanal ağ için özel uç noktalar oluştururken hub tarafından kullanılır.

  Kaynak sağlayıcılarını kaydetme hakkında bilgi için bkz . Kaynak sağlayıcısı kaydı hatalarını çözme.

• Yönetilen ağ dağıtırken kullandığınız Azure kimliği, özel uç noktalar oluşturmak için aşağıdaki Azure rol tabanlı erişim denetimi (Azure RBAC) eylemlerini gerektirir:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure Machine Learning Python SDK v2. SDK hakkında daha fazla bilgi için bkz . Azure Machine Learning için Python SDK v2'yi yükleme.

• Bu makaledeki örneklerde kodunuzun aşağıdaki Python ile başladığı varsayılır. Bu kod yönetilen sanal ağ ile hub oluştururken gereken sınıfları içeri aktarır, Azure aboneliğiniz ve kaynak grubunuz için değişkenleri ayarlar ve oluşturur ml_client:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Sınırlamalar

• Azure AI Studio şu anda kendi sanal ağınızın getirilmesini desteklemiyor, yalnızca yönetilen sanal ağ yalıtımını destekliyor.
• Azure yapay zekanızın yönetilen sanal ağ yalıtımını etkinleştirdikten sonra devre dışı bırakamazsınız.
• Yönetilen sanal ağ, özel kaynaklarınıza erişmek için özel uç nokta bağlantısını kullanır. Depolama hesabı gibi Azure kaynaklarınız için aynı anda hem özel uç noktanız hem hizmet uç noktanız olamaz. Tüm senaryolarda özel uç noktaları kullanmanızı öneririz.
• Yönetilen sanal ağ, Azure AI silindiğinde silinir.
• Veri sızdırma koruması, onaylanan tek giden mod için otomatik olarak etkinleştirilir. FQDN'ler gibi başka giden kuralları eklerseniz, Microsoft bu giden hedeflere veri sızdırmaya karşı koruma altında olduğunuzu garantileyemez.
• FQDN giden kurallarının kullanılması yönetilen sanal ağın maliyetini artırır çünkü FQDN kuralları Azure Güvenlik Duvarı kullanır. Daha fazla bilgi için bkz. Fiyatlandırma.
• FQDN giden kuralları yalnızca 80 ve 443 bağlantı noktalarını destekler.
• Yönetilen ağ ile işlem örneği kullanırken SSH kullanarak işlem bağlantısı kurmak için komutunu kullanın az ml compute connect-ssh .

İnternet giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

İpucu

Yönetilen sanal ağın oluşturulması, işlem kaynağı oluşturulana veya sağlama el ile başlatılana kadar ertelenebilir. Otomatik oluşturma işlemine izin verildiğinde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir.

Azure portalı

• Yeni bir hub oluşturun:

  1. Azure portalında oturum açın ve Kaynak oluştur menüsünden Azure AI Studio'yu seçin.

  2. + Yeni Azure AI'yi seçin.

  3. Temel Bilgiler sekmesinde gerekli bilgileri sağlayın.

  4. Ağ sekmesinden İnternet Giden ile Özel'i seçin.

  5. Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:

     • Kural adı: Kural için bir ad. Adın bu hub için benzersiz olması gerekir.
     • Hedef türü: Ağ yalıtımı İnternet giden ile özel olduğunda tek seçenek Özel Uç Noktadır. Hub tarafından yönetilen sanal ağ, tüm Azure kaynak türleri için özel uç nokta oluşturmayı desteklemez. Desteklenen kaynakların listesi için Özel uç noktalar bölümüne bakın.
     • Abonelik: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren abonelik.
     • Kaynak grubu: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren kaynak grubu.
     • Kaynak türü: Azure kaynağının türü.
     • Kaynak adı: Azure kaynağının adı.
     • Alt Kaynak: Azure kaynak türünün alt kaynağı.

     Kuralı kaydetmek için Kaydet'i seçin. Kural eklemek için Kullanıcı tanımlı giden kuralları ekleme'yi kullanmaya devam edebilirsiniz.

  6. Hub'ı normal şekilde oluşturmaya devam edin.

• Mevcut hub'ı güncelleştirme:

  1. Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz hub'ı seçin.

  2. Ağ'ı ve ardından İnternet Giden ile Özel'i seçin.

     • Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Giden kuralları kenar çubuğundan , 'Yeni hub oluşturma' bölümünde hub oluştururken kullanılanla aynı bilgileri sağlayın.

     • Giden kuralı silmek için kural için sil'i seçin.

  3. Değişiklikleri yönetilen sanal ağa kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

Azure CLI

İnternet giden iletişimlerine izin veren bir yönetilen sanal ağ yapılandırmak için, parametresini --managed-network allow_internet_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:

managed_network:
  isolation_mode: allow_internet_outbound

Hub'ın bağlı olduğu diğer Azure hizmetlerine giden kuralları da tanımlayabilirsiniz. Bu kurallar, bir Azure kaynağının yönetilen sanal ağ ile güvenli bir şekilde iletişim kurmasına olanak sağlayan özel uç noktaları tanımlar. Aşağıdaki kural, Bir Azure Blob kaynağına özel uç nokta eklemeyi gösterir.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Yönetilen bir sanal ağı veya az ml workspace update komutlarını az ml workspace create kullanarak yapılandırabilirsiniz:

• Yeni bir hub oluşturun:

  Aşağıdaki örnek yeni bir hub oluşturur. --managed-network allow_internet_outbound parametresi, hub için yönetilen bir sanal ağ yapılandırıyor:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Bunun yerine YAML dosyası kullanarak hub oluşturmak için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  Aşağıdaki YAML örneği yönetilen sanal ağa sahip bir hub'ı tanımlar:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Mevcut hub'ı güncelleştirme:

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  Aşağıdaki örnek mevcut bir hub'ı güncelleştirir. --managed-network allow_internet_outbound parametresi, hub için yönetilen bir sanal ağ yapılandırıyor:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  YAML dosyasını kullanarak var olan bir hub'ı güncelleştirmek için parametresini --file kullanın ve yapılandırma ayarlarını içeren YAML dosyasını belirtin:

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  Aşağıdaki YAML örneği, hub için yönetilen bir sanal ağ tanımlar. Ayrıca hub tarafından kullanılan bir kaynağa özel uç nokta bağlantısının nasıl ekleneceğini de gösterir; bu örnekte blob deposu için özel uç nokta:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK'sı

İnternet giden iletişimlerine izin veren bir yönetilen sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOW_INTERNET_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir hub oluşturabilir veya var olan bir hub'ı güncelleştirebilirsiniz. Hub'ın kullandığı Azure hizmetlerine giden kuralları tanımlamak için sınıfını PrivateEndpointDestination kullanarak hizmete yeni bir özel uç nokta tanımlayın.

• Yeni bir hub oluşturun:

  Aşağıdaki örnek, Azure Blob deposu için özel uç nokta ekleyen adlı myrule bir giden kuralıyla adlı myhubyeni bir hub oluşturur:

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Mevcut hub'ı güncelleştirme:

  Aşağıdaki örnekte adlı myhubmevcut bir hub için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir:

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Yalnızca onaylı giden moduna izin vermek için yönetilen bir sanal ağ yapılandırma

İpucu

Yönetilen sanal ağ, işlem kaynağı oluşturduğunuzda otomatik olarak sağlanır. Otomatik oluşturma işlemine izin verildiğinde, ağı da sağladığından ilk işlem kaynağının oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız, ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler.

Azure portalı

• Yeni bir hub oluşturun:

  1. Azure portalında oturum açın ve Kaynak oluştur menüsünden Azure AI Studio'yu seçin.

  2. + Yeni Azure AI'yi seçin.

  3. Temel Bilgiler sekmesinde gerekli bilgileri sağlayın.

  4. Ağ sekmesinden Onaylı Giden ile Özel'i seçin.

  5. Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:

     • Kural adı: Kural için bir ad. Adın bu hub için benzersiz olması gerekir.
     • Hedef türü: Özel Uç Nokta, Hizmet Etiketi veya FQDN. Hizmet Etiketi ve FQDN yalnızca ağ yalıtımı onaylanan giden ile özel olduğunda kullanılabilir.

     Hedef türü Özel Uç Nokta ise aşağıdaki bilgileri sağlayın:

     • Abonelik: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren abonelik.
     • Kaynak grubu: Özel uç nokta eklemek istediğiniz Azure kaynağını içeren kaynak grubu.
     • Kaynak türü: Azure kaynağının türü.
     • Kaynak adı: Azure kaynağının adı.
     • Alt Kaynak: Azure kaynak türünün alt kaynağı.

     İpucu

     Hub tarafından yönetilen sanal ağ, tüm Azure kaynak türleri için özel uç nokta oluşturmayı desteklemez. Desteklenen kaynakların listesi için Özel uç noktalar bölümüne bakın.

     Hedef türü Hizmet Etiketi ise aşağıdaki bilgileri sağlayın:

     • Hizmet etiketi: Onaylanan giden kurallarına eklenecek hizmet etiketi.
     • Protokol: Hizmet etiketine izin veren protokol.
     • Bağlantı noktası aralıkları: Hizmet etiketine izin vermek için bağlantı noktası aralıkları.

     Hedef türü FQDN ise aşağıdaki bilgileri sağlayın:

     • FQDN hedefi: Onaylanan giden kurallarına eklenecek tam etki alanı adı.

     Kuralı kaydetmek için Kaydet'i seçin. Kural eklemek için Kullanıcı tanımlı giden kuralları ekleme'yi kullanmaya devam edebilirsiniz.

  6. Hub'ı normal şekilde oluşturmaya devam edin.

• Mevcut hub'ı güncelleştirme:

  1. Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz hub'ı seçin.

  2. Ağ'ı ve ardından Onaylı Giden ile Özel'i seçin.

     • Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Giden kuralları kenar çubuğundan, önceki 'Yeni hub oluşturma' bölümünde hub oluştururken kullandığınız bilgileri sağlayın.

     • Giden kuralı silmek için kural için sil'i seçin.

  3. Değişiklikleri yönetilen sanal ağa kaydetmek için sayfanın üst kısmındaki Kaydet'i seçin.

Azure CLI

Yalnızca onaylanan giden iletişimlere izin veren bir yönetilen sanal ağ yapılandırmak için, parametresini --managed-network allow_only_approved_outbound veya aşağıdaki girişleri içeren bir YAML yapılandırma dosyasını kullanabilirsiniz:

managed_network:
  isolation_mode: allow_only_approved_outbound

Ayrıca, onaylanan giden iletişimini tanımlamak için giden kuralları da tanımlayabilirsiniz. , ve private_endpointtürü service_tagfqdniçin bir giden kuralı oluşturulabilir. Aşağıdaki kural bir Azure Blob kaynağına özel uç nokta, Azure Data Factory'ye hizmet etiketi ve öğesine pypi.orgFQDN eklemeyi gösterir:

Önemli

• Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak allow_only_approved_outboundyapılandırıldığında geçerlidir.
• Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Yönetilen bir sanal ağı veya az ml workspace update komutlarını az ml workspace create kullanarak yapılandırabilirsiniz:

• Yeni bir hub oluşturun:

  Aşağıdaki örnek, yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Aşağıdaki YAML dosyası yönetilen sanal ağa sahip bir hub'ı tanımlar:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  YAML dosyasını kullanarak hub oluşturmak için parametresini --file kullanın:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Mevcut hub'ı güncelleştirme

  Uyarı

  Var olan bir çalışma alanını yönetilen sanal ağ kullanacak şekilde güncelleştirmeden önce, çalışma alanının tüm bilgi işlem kaynaklarını silmeniz gerekir. Buna işlem örneği, işlem kümesi ve yönetilen çevrimiçi uç noktalar dahildir.

  Aşağıdaki örnek, mevcut bir hub için yönetilen sanal ağı yapılandırmak için parametresini kullanır --managed-network allow_only_approved_outbound :

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Aşağıdaki YAML dosyası, hub için yönetilen bir sanal ağ tanımlar. Ayrıca yönetilen sanal ağa onaylı bir gidenin nasıl ekleneceğini de gösterir. Bu örnekte, her iki hizmet etiketi için de bir giden kuralı eklenir:

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Python SDK'sı

Yalnızca onaylı giden iletişimlere izin veren bir yönetilen sanal ağ yapılandırmak için sınıfını ManagedNetwork kullanarak ile IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUNDbir ağ tanımlayın. Daha sonra nesnesini kullanarak ManagedNetwork yeni bir hub oluşturabilir veya var olan bir hub'ı güncelleştirebilirsiniz. Giden kuralları tanımlamak için aşağıdaki sınıfları kullanın:

Hedef	Sınıf
Hub'ın bağlı olduğu Azure hizmeti	PrivateEndpointDestination
Azure hizmet etiketi	ServiceTagDestination
Tam etki alanı adı (FQDN)	FqdnDestination

• Yeni bir hub oluşturun:

  Aşağıdaki örnek, birkaç giden kuralıyla adlı myhubyeni bir hub oluşturur:

  • myrule - Azure Blob deposu için özel uç nokta ekler.
  • datafactory - Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.

  Önemli

  • Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir.
  • Giden kuralları eklerseniz, Microsoft veri sızdırmayı garantileyemez.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• Mevcut hub'ı güncelleştirme:

  Aşağıdaki örnekte adlı myhubmevcut bir Azure Machine Learning hub'ı için yönetilen sanal ağın nasıl oluşturulacağı gösterilmektedir. Örnek, yönetilen sanal ağ için birkaç giden kuralı da ekler:

  • myrule - Azure Blob deposu için özel uç nokta ekler.
  • datafactory - Azure Data Factory ile iletişim kurmak için bir hizmet etiketi kuralı ekler.

  İpucu

  Hizmet etiketi veya FQDN için giden ekleme yalnızca yönetilen sanal ağ olarak IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDyapılandırıldığında geçerlidir.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

Yönetilen sanal ağı el ile sağlama

Yönetilen sanal ağ, bir işlem örneği oluşturduğunuzda otomatik olarak sağlanır. Otomatik sağlamayı kullandığınızda, ağı da sağladığından ilk işlem örneğinin oluşturulması yaklaşık 30 dakika sürebilir. FQDN giden kurallarını yapılandırdıysanız (yalnızca onaylanan moda izin ver ile kullanılabilir), ilk FQDN kuralı sağlama süresine yaklaşık 10 dakika ekler. Yönetilen ağda sağlanacak çok sayıda giden kuralınız varsa sağlamanın tamamlanması daha uzun sürebilir. Artan sağlama süresi, ilk işlem örneği oluşturma işleminizin zaman aşımına neden olabilir.

Bekleme süresini azaltmak ve olası zaman aşımı hatalarını önlemek için yönetilen ağı el ile sağlamanızı öneririz. Ardından bir işlem örneği oluşturmadan önce sağlama tamamlanana kadar bekleyin.

Not

Çevrimiçi dağıtım oluşturmak için, yönetilen ağı el ile sağlamalı veya önce otomatik olarak sağlayacak bir işlem örneği oluşturmalısınız.

Azure portalı

Yönetilen sanal ağı el ile sağlamayı öğrenmek için Azure CLI veya Python SDK sekmelerini kullanın.

Azure CLI

Aşağıdaki örnek, yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Sağlamanın tamamlandığını doğrulamak için aşağıdaki komutu kullanın:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Python SDK'sı

Aşağıdaki örnek, yönetilen bir sanal ağın nasıl sağ yapılacağını gösterir:

# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myAIHubName")

provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ai_hub_name).result()

AI Hub'ın sağlandığını doğrulamak için AI Hub bilgilerini almak için kullanın ml_client.workspaces.get() . özelliği yönetilen managed_network ağın durumunu içerir.

ws = ml_client.workspaces.get()
print(ws.managed_network.status)

Giden kurallarını yönetme

Azure portalı

1. Azure portalında oturum açın ve yönetilen sanal ağ yalıtımını etkinleştirmek istediğiniz hub'ı seçin.
2. Ağ'ı seçin. Azure AI Giden erişim bölümü, giden kurallarını yönetmenize olanak tanır.

• Giden kuralı eklemek için Ağ sekmesinden Kullanıcı tanımlı giden kuralları ekle'yi seçin. Azure AI giden kuralları kenar çubuğundan aşağıdaki bilgileri sağlayın:

• Bir kuralı etkinleştirmek veya devre dışı bırakmak için Etkin sütunundaki iki durumlu düğmeyi kullanın.

• Giden kuralı silmek için kural için sil'i seçin.

Azure CLI

Bir hub'ın yönetilen sanal ağ giden kurallarını listelemek için aşağıdaki komutu kullanın:

az ml workspace outbound-rule list --workspace-name myhub --resource-group rg

Yönetilen sanal ağ giden kuralının ayrıntılarını görüntülemek için aşağıdaki komutu kullanın:

az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg

Yönetilen sanal ağdan giden kuralı kaldırmak için aşağıdaki komutu kullanın:

az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg

Python SDK'sı

Aşağıdaki örnekte adlı myhubbir hub için giden kuralların nasıl yönetileceğini gösterilmektedir:

# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Gerekli kuralların listesi

İpucu

Bu kurallar yönetilen sanal ağa otomatik olarak eklenir.

Özel uç noktalar:

• Yönetilen sanal ağın yalıtım modu olduğundaAllow internet outbound, özel uç nokta giden kuralları, merkez için yönetilen sanal ağdan ve genel ağ erişimi devre dışı bırakılmış ilişkili kaynaklardan gerekli kurallar olarak otomatik olarak oluşturulur (Key Vault, Depolama Hesabı, Container Registry, hub).
• Yönetilen sanal ağın yalıtım modu olduğundaAllow only approved outbound, özel uç nokta giden kuralları, söz konusu kaynaklar için genel ağ erişim modundan bağımsız olarak hub ve ilişkili kaynaklar için yönetilen sanal ağdan gerekli kurallar olarak otomatik olarak oluşturulur (Key Vault, Depolama Hesabı, Container Registry, hub).

Giden hizmet etiketi kuralları:

• AzureActiveDirectory
• Azure Machine Learning
• BatchNodeManagement.region
• AzureResourceManager
• AzureFrontDoor.FirstParty
• MicrosoftContainerRegistry
• AzureMonitor

Gelen hizmet etiketi kuralları:

• AzureMachineLearning

Senaryoya özgü giden kuralların listesi

Senaryo: Genel makine öğrenmesi paketlerine erişme

Eğitim ve dağıtım için Python paketlerinin yüklenmesine izin vermek için, aşağıdaki konak adlarına gelen trafiğe izin vermek için giden FQDN kuralları ekleyin:

Not

Bu, internet üzerindeki tüm Python kaynakları için gereken konakların tam listesi değildir, yalnızca en yaygın kullanılanlardır. Örneğin, bir GitHub deposuna veya başka bir konağa erişmeniz gerekiyorsa, bu durum için gerekli konakları tanımlamanız ve eklemeniz gerekir.

Konak adı	Amaç
anaconda.com *.anaconda.com	Varsayılan paketleri yüklemek için kullanılır.
*.anaconda.org	Depo verilerini almak için kullanılır.
pypi.org	Varsa, varsayılan dizinden bağımlılıkları listelemek için kullanılır ve kullanıcı ayarları dizinin üzerine yazılmaz. Dizinin üzerine yazılırsa, dizinine de izin *.pythonhosted.orgvermelisiniz.
pytorch.org *.pytorch.org	PyTorch tabanlı bazı örnekler tarafından kullanılır.
*.tensorflow.org	Tensorflow tabanlı bazı örnekler tarafından kullanılır.

Senaryo: Visual Studio Code kullanma

Visual Studio Code, uzak bağlantı kurmak için belirli konaklara ve bağlantı noktalarına dayanır.

Ana bilgisayarlar

Hub ile Visual Studio Code kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:

• *.vscode.dev
• vscode.blob.core.windows.net
• *.gallerycdn.vsassets.io
• raw.githubusercontent.com
• *.vscode-unpkg.net
• *.vscode-cdn.net
• *.vscodeexperiments.azureedge.net
• default.exp-tas.com
• code.visualstudio.com
• update.code.visualstudio.com
• *.vo.msecnd.net
• marketplace.visualstudio.com
• pkg-containers.githubusercontent.com
• github.com

Bağlantı Noktaları

8704 ile 8710 arasında bağlantı noktalarına ağ trafiğine izin vermelisiniz. VS Code sunucusu, bu aralıktaki ilk uygun bağlantı noktasını dinamik olarak seçer.

Senaryo: HuggingFace modellerini kullanma

Hub ile HuggingFace modellerini kullanmayı planlıyorsanız, aşağıdaki konaklara trafiğe izin vermek için giden FQDN kuralları ekleyin:

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cnd.auth0.com
• cdn-lfs.huggingface.co

Senaryo: Azure AI tarafından seçilmiştir

Bu modeller çalışma zamanında bağımlılıkların dinamik olarak yüklenmesini içerir ve aşağıdaki konaklara giden trafiğe izin vermek için giden FQDN kuralları gerektirir:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Özel uç noktalar

Özel uç noktalar şu anda aşağıdaki Azure hizmetleri için desteklenmektedir:

• AI Studio hub'ı
• Azure Yapay Zeka Arama
• Azure Yapay Zeka Hizmetleri
• Azure API Management
• Azure Container Registry
• Azure Cosmos DB (tüm alt kaynak türleri)
• Azure Data Factory
• MariaDB için Azure Veritabanı
• MySQL için Azure Veritabanı
• PostgreSQL için Azure Veritabanı Tek Sunucu
• esnek sunucu PostgreSQL için Azure Veritabanı
• Azure Databricks
• Azure Event Hubs
• Azure Key Vault
• Azure Machine Learning
• Azure Machine Learning kayıt defterleri
• Azure Redis Cache
• Azure SQL Server
• Azure Depolama (tüm alt kaynak türleri)

Özel uç nokta oluşturduğunuzda, uç noktanın bağlanacağı kaynak türünü ve alt kaynağı sağlarsınız. Bazı kaynakların birden çok türü ve alt kaynağı vardır. Daha fazla bilgi için bkz . Özel uç nokta nedir?

Azure Depolama, Azure Container Registry ve Azure Key Vault gibi hub bağımlılık kaynakları için özel bir uç nokta oluşturduğunuzda, kaynak farklı bir Azure aboneliğinde olabilir. Ancak kaynağın hub ile aynı kiracıda olması gerekir.

Hedef kaynak yukarıda listelenen bir Azure kaynağıysa bağlantı için otomatik olarak bir özel uç nokta oluşturulur. Özel uç nokta için geçerli bir hedef kimliği beklenir. Bağlantı için geçerli bir hedef kimlik, üst kaynağın Azure Resource Manager kimliği olabilir. Hedef kimlik, bağlantının hedefinde veya içinde metadata.resourceidde beklenir. Bağlantılar hakkında daha fazla bilgi için bkz . Azure AI Studio'da yeni bağlantı ekleme.

Fiyatlandırma

Hub tarafından yönetilen sanal ağ özelliği ücretsizdir. Ancak, yönetilen sanal ağ tarafından kullanılan aşağıdaki kaynaklar için ücretlendirilirsiniz:

• Azure Özel Bağlantı - Yönetilen sanal ağ ile Azure kaynakları arasındaki iletişimin güvenliğini sağlamak için kullanılan özel uç noktalar Azure Özel Bağlantı dayanır. Fiyatlandırma hakkında daha fazla bilgi için bkz. fiyatlandırma Azure Özel Bağlantı.

• FQDN giden kuralları - FQDN giden kuralları Azure Güvenlik Duvarı kullanılarak uygulanır. Giden FQDN kurallarını kullanıyorsanız Azure Güvenlik Duvarı ücretleri faturanıza eklenir. Azure Güvenlik Duvarı SKU standarttır. Azure Güvenlik Duvarı hub başına sağlanır.

  Önemli

  Giden FQDN kuralı ekleyene kadar güvenlik duvarı oluşturulmaz. FQDN kurallarını kullanmıyorsanız Azure Güvenlik Duvarı için ücret alınmaz. Fiyatlandırma hakkında daha fazla bilgi için bkz. fiyatlandırma Azure Güvenlik Duvarı.

İlgili içerik

• SDK kullanarak AI Studio hub'ı ve projesi oluşturma