備註
本文中的資訊專屬於 中樞型專案,不適用於 Foundry 專案。 請參閱 如何知道我所擁有的項目類型? 和 建立中樞型專案。
您可以在受控虛擬網路中保護您的 Azure AI Foundry 中樞、專案和受控資源。 使用受控虛擬網路時,只有透過中樞的私人端點才允許輸入存取。 輸出存取可以設定為允許所有輸出存取,或只允許您指定的輸出。 如需詳細資訊,請參閱受控虛擬網路。
這很重要
受控虛擬網路不會為您的用戶端提供輸入連線。 如需詳細資訊,請參閱連接到中樞 一節。
先決條件
- Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
- 用來安全連接到 Azure 服務的 Azure 虛擬網路。 例如,您可以使用 Azure Bastion、 VPN 閘道 或 ExpressRoute ,從內部部署網路連接到 Azure 虛擬網路。 如果您沒有 Azure 虛擬網路,您可以遵循建立虛擬網路中的指示來建立虛擬網路。
建立樞紐
從 Azure 入口網站搜尋
Azure AI Foundry。 從左側功能表中,選取 [AI 中樞],然後選取 [ + 建立 ] 和 [ 中樞]。
輸入您的中樞名稱、訂用帳戶、資源群組和位置詳細資料。 針對 Azure AI 服務基底模型,選取現有的 AI 服務資源或建立新的資源。 Azure AI 服務包含多個用於語音、內容安全性和 Azure OpenAI 的 API 端點。
選取 [ 記憶體] 索引標籤。選取現有的 記憶體帳戶 和 認證存放區 資源,或建立新的儲存體帳戶。 或者,選擇現有 Application Insights,並為記錄和 docker 映像選擇 Container Registry。
![[建立中樞] 的螢幕擷取畫面,其中包含設定儲存體資源資訊的選項。](../media/how-to/network/ai-hub-storage.png)
選取 入站存取 索引標籤,來配置中樞輸入流量的網路隔離。 將 [公用網络存取 ] 設定為 [已停用],然後使用 [+ 新增 ] 將中樞的私人端點新增至用戶端所連線的 Azure 虛擬網络。 私人端點可讓您的用戶端透過私人連線連線連線至中樞。 如需詳細資訊,請參閱私人端點。
選取 [輸出存取 ] 以設定 Azure AI Foundry 用來保護其中樞和專案的受控虛擬網路。 選取「私人與網際網路輸出」,讓計算資源可以存取公用網際網路的資源,例如 Python 套件。
小提示
若要在中樞建立期間佈建虛擬網路,請選取 [ 布建受控虛擬網络]。 如果未選取此選項,則在您建立計算資源之前,不會布建網路。 如需詳細資訊,請參閱受控虛擬網路。
![[建立中樞] 的螢幕擷取畫面,其中包含設定網路隔離資訊的選項。](../media/how-to/network/outbound-access.png)
選取「檢閱 + 建立」,然後選取「建立」以建立中樞。 建立中樞之後,從中樞建立的任何專案或計算實例都會繼承網路組態。
![[建立中樞] 的螢幕擷取畫面,其中包含設定儲存體資源資訊的選項。](../media/how-to/network/ai-hub-storage.png#lightbox)
![[建立中樞] 的螢幕擷取畫面,其中包含設定網路隔離資訊的選項。](../media/how-to/network/outbound-access.png#lightbox)
連接到中樞
受控虛擬網路不會直接提供用戶端的存取權。 您的用戶端會改為連接至您受控的 Azure 虛擬網路。 然後,他們可以使用您在這些步驟中建立的私人端點來存取中樞。
您可以使用多個方法將用戶端連接到 Azure 虛擬網路。 下表列出用戶端連接到 Azure 虛擬網路的常見方式:
| 方法 | 說明 |
|---|---|
| Azure VPN 閘道 | 透過私人連線,將內部部署網路連線到 Azure 虛擬網路。 連線是透過公用網際網路所建立。 |
| ExpressRoute | 透過私人連線,將內部部署網路連線到雲端。 連線是透過連線提供者所建立。 |
| Azure Bastion | 使用網頁瀏覽器連線到 Azure 虛擬網路內的虛擬機器。 |