Azure AI hub'ı için özel bağlantı yapılandırma

Not

Azure AI Studio şu anda genel önizleme aşamasındadır. Bu önizleme, hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için önerilmez. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

İki ağ yalıtımı özelliğine sahibiz. Bunlardan biri, Azure AI hub'ına erişmek için ağ yalıtımıdır. Bir diğeri de Azure AI hub'ınızdaki bilgi işlem kaynaklarının ve işlem örnekleri, sunucusuz ve yönetilen çevrimiçi uç noktalar gibi Azure yapay zeka projelerindeki ağ yalıtımıdır. Bu makalede diyagramda vurgulanan ilk makale açıklanmaktadır. Azure AI hub'ınıza ve varsayılan kaynaklarına özel bağlantı kurmak için özel bağlantı kullanabilirsiniz. Bu makale Azure AI Studio (yapay zeka merkezi ve yapay zeka projeleri) içindir. Azure AI Hizmetleri hakkında daha fazla bilgi için Bkz . Azure AI Services belgeleri.

Kaynak grubunuzda birkaç Azure AI hub varsayılan kaynağı alırsınız. Aşağıdaki ağ yalıtımı yapılandırmalarını yapılandırmanız gerekir.

• Azure Depolama, Azure Key Vault ve Azure Container Registry gibi Azure AI hub varsayılan kaynaklarına genel ağ erişimini devre dışı bırakın.
• Azure AI hub varsayılan kaynaklarına özel uç nokta bağlantısı kurun. Varsayılan depolama hesabı için hem blob hem de dosya özel uç noktanız olmalıdır.
• Azure AI hub kaynaklarının özelse depolama hesabınıza erişmesine izin veren yönetilen kimlik yapılandırmaları .
• Azure AI Hizmetleri ve Azure AI Search genel kullanıma açık olmalıdır.

Önkoşullar

• içinde özel uç nokta oluşturmak için mevcut bir Azure Sanal Ağ sahip olmanız gerekir.

  Önemli

  Sanal ağınız için 172.17.0.0/16 IP adres aralığını kullanmanız önerilmez. Bu, Docker köprüsü ağı veya şirket içi tarafından kullanılan varsayılan alt ağ aralığıdır.

• Özel uç noktayı eklemeden önce özel uç noktalar için ağ ilkelerini devre dışı bırakın.

Özel uç nokta kullanan bir Azure AI oluşturma

Özel uç nokta içeren bir Azure AI hub kaynağı oluşturmak için aşağıdaki yöntemlerden birini kullanın. Bu yöntemlerin her biri mevcut bir sanal ağ gerektirir:

Azure portalı

1. Azure portalından Azure AI Studio'ya gidin ve + Yeni Azure AI'yi seçin.
2. Ağ sekmesinde ağ yalıtım modunu seçin.
3. Aşağı kaydırarak Çalışma Alanı Gelen erişimi'ne gelin ve + Ekle'yi seçin.
4. Gerekli alanları girin. Bölge'yi seçerken sanal ağınızla aynı bölgeyi seçin.

Azure CLI

Azure AI CLI ile Azure AI hub kaynağınızı oluşturun. Aşağıdaki komutu çalıştırın ve istemleri izleyin. Daha fazla bilgi için bkz . Azure AI CLI'yı kullanmaya başlama.

ai init

Azure AI hub'ını oluşturduktan sonra Azure ağ CLI komutlarını kullanarak Azure AI için özel bağlantı uç noktası oluşturun.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Çalışma alanının özel DNS bölgesi girdilerini oluşturmak için aşağıdaki komutları kullanın:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Azure AI hub'ına özel uç nokta ekleme

Mevcut bir Azure AI hub'ına özel uç nokta eklemek için aşağıdaki yöntemlerden birini kullanın:

Azure portalı

1. Azure portalından Azure AI hub'ınızı seçin.
2. Sayfanın sol tarafından Ağ'ı ve ardından Özel uç nokta bağlantıları sekmesini seçin.
3. Bölge'yi seçerken sanal ağınızla aynı bölgeyi seçin.
4. Kaynak türü'nü seçerken kullanınazuremlworkspace.
5. Kaynağı çalışma alanınızın adı olarak ayarlayın.

Son olarak Oluştur'u seçerek özel uç noktayı oluşturun.

Azure CLI

Azure AI hub'ı için özel bağlantı uç noktası oluşturmak için Azure ağ CLI komutlarını kullanın.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Çalışma alanının özel DNS bölgesi girdilerini oluşturmak için aşağıdaki komutları kullanın:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Özel uç noktayı kaldırma

Azure AI hub'ı için bir veya tüm özel uç noktaları kaldırabilirsiniz. Özel uç noktanın kaldırılması, uç noktanın ilişkilendirildiği Azure Sanal Ağ Azure yapay zeka hub'ını kaldırır. Özel uç noktanın kaldırılması, Azure AI hub'sının bu sanal ağdaki kaynaklara veya sanal ağdaki kaynakların çalışma alanına erişmesini engelleyebilir. Örneğin, sanal ağ genel İnternet'e veya genel İnternet'ten erişime izin vermiyorsa.

Uyarı

Yapay zeka hub'ına ait özel uç noktaların kaldırılması genel olarak erişilebilir hale gelmez. Yapay zeka hub'ını genel olarak erişilebilir hale getirmek için Genel erişimi etkinleştirme bölümündeki adımları kullanın.

Özel uç noktayı kaldırmak için aşağıdaki bilgileri kullanın:

Azure portalı

1. Azure portalından Azure AI hub'ınızı seçin.
2. Sayfanın sol tarafından Ağ'ı ve ardından Özel uç nokta bağlantıları sekmesini seçin.
3. Kaldırılacak uç noktayı ve ardından Kaldır'ı seçin.

Azure CLI

Azure CLI kullanırken, özel uç noktayı kaldırmak için aşağıdaki komutu kullanın:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Genel erişimi etkinleştirme

Bazı durumlarda, birinin sanal ağ yerine genel bir uç nokta üzerinden güvenli Azure AI hub'ınıza bağlanmasına izin vermek isteyebilirsiniz. Veya çalışma alanını sanal ağdan kaldırıp genel erişimi yeniden etkinleştirmek isteyebilirsiniz.

Önemli

Genel erişimin etkinleştirilmesi, var olan özel uç noktaları kaldırmaz. Sanal ağın arkasındaki bileşenler arasındaki özel uç noktaların bağlanıp bağlanmadığını belirten tüm iletişimler yine de güvenlidir. Herhangi bir özel uç nokta üzerinden özel erişime ek olarak yalnızca Azure AI hub'ına genel erişim sağlar.

Genel erişimi etkinleştirmek için aşağıdaki adımları kullanın:

Azure portalı

1. Azure portalından Azure AI hub'ınızı seçin.
2. Sayfanın sol tarafından Ağ'ı ve ardından Genel erişim sekmesini seçin.
3. Tüm ağlardan Etkin'i ve ardından Kaydet'i seçin.

Azure CLI

AI CLI'da kullanılamaz, ancak Azure Machine Learning CLI'yı kullanabilirsiniz. Azure Machine Learning CLI'da çalışma alanı adı olarak Azure AI hub'ınızın adını kullanın.

Yönetilen kimlik yapılandırması

Depolama hesabınızı özel hale getirirseniz, eski kimlik yapılandırması gerekir. Hizmetlerimizin, aşağıdaki yönetilen kimlik yapılandırmalarıyla güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver'i kullanarak özel depolama hesabınızdaki verileri okuması/yazması gerekir. Azure AI Hizmeti ve Azure AI Search'ün sistem tarafından atanan yönetilen kimliğini etkinleştirin, ardından yönetilen her kimlik için rol tabanlı erişim denetimini yapılandırın.

Rol	Yönetilen Kimlik	Kaynak	Amaç	Başvuru
Storage File Data Privileged Contributor	Azure AI projesi	Depolama Hesabı	Okuma/Yazma istemi akış verileri.	İstem akışı belgesi
Storage Blob Data Contributor	Azure AI Hizmeti	Depolama Hesabı	Giriş kapsayıcısından okuma, ön işleme sonucuna yazma ve çıkış kapsayıcısına yazma.	Azure OpenAI Belgesi
Storage Blob Data Contributor	Azure Yapay Zeka Arama	Depolama Hesabı	Okuma blobu ve yazma bilgi deposu	Belge arama.

Özel DNS yapılandırması

DNS iletme yapılandırmaları için Azure Machine Learning özel DNS makalesine bakın.

DNS iletme olmadan özel DNS sunucusu yapılandırmanız gerekiyorsa, gerekli A kayıtları için aşağıdaki desenleri kullanın.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Not

  Bu FQDN'nin çalışma alanı adı kesilebilir. Kesme işlemi 63 veya daha az karakterde tutmak ml-<workspace-name, truncated>-<region>-<workspace-guid> için yapılır.

• <instance-name>.<region>.instances.azureml.ms

  Not

  • İşlem örneklerine yalnızca sanal ağ içinden erişilebilir.
  • Bu FQDN'nin IP adresi işlem örneğinin IP adresi değildir . Bunun yerine, çalışma alanı özel uç noktasının özel IP adresini (girdilerin IP'sini *.api.azureml.ms ) kullanın.

• <managed online endpoint name>.<region>.inference.ml.azure.com - Yönetilen çevrimiçi uç noktalar tarafından kullanılır

A kayıtlarınızın özel IP adreslerini bulmak için Azure Machine Learning özel DNS makalesine bakın. AI-PROJECT-GUID'yi denetlemek için Azure portalına gidin, Azure AI projenizi, ayarlarınızı, özelliklerinizi seçin ve çalışma alanı kimliği görüntülenir.

Sınırlamalar

• Özel Azure AI Hizmetleri ve Azure AI Arama desteklenmez.
• Azure AI Studio oyun alanında "Verilerinizi ekleyin" özelliği özel depolama hesabını desteklemez.
• Mozilla Firefox kullanıyorsanız Azure AI hub'ınızın özel uç noktasına erişmeye çalışırken sorunlarla karşılaşabilirsiniz. Bu sorun Mozilla Firefox'ta HTTPS üzerinden DNS ile ilgili olabilir. Microsoft Edge veya Google Chrome kullanmanızı öneririz.

Sonraki adımlar

• Azure AI projesi oluşturma
• Azure AI Studio hakkında daha fazla bilgi edinin
• Azure AI hub kaynakları hakkında daha fazla bilgi edinin
• Projeye güvenli bağlantı sorunlarını giderme