Konfigurace privátního propojení pro centra Azure AI Studio

  • Článek

Důležité

Některé funkce popsané v tomto článku můžou být dostupné jenom ve verzi Preview. Tato verze Preview je poskytována bez smlouvy o úrovni služeb a nedoporučujeme ji pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Máme dva aspekty izolace sítě. Jednou z nich je izolace sítě pro přístup k centru Azure AI Studio. Další možností je izolace sítě výpočetních prostředků v centru a projektech, jako jsou výpočetní instance, bezserverové a spravované online koncové body. Tento článek vysvětluje dříve zvýrazněný diagram. Privátní propojení můžete použít k navázání privátního připojení k centru a jeho výchozím prostředkům. Tento článek je určený pro Azure AI Studio (centrum a projekty). Informace o službách Azure AI najdete v dokumentaci ke službám Azure AI.

Diagram izolace sítě centra AI Studio

Ve skupině prostředků získáte několik výchozích prostředků centra. Je potřeba nakonfigurovat následující konfigurace izolace sítě.

  • Zakažte přístup k veřejné síti výchozích prostředků centra, jako jsou Azure Storage, Azure Key Vault a Azure Container Registry.
  • Vytvořte připojení privátního koncového bodu k výchozím prostředkům centra. Pro výchozí účet úložiště musíte mít privátní koncový bod objektu blob i souboru.
  • Konfigurace spravovaných identit, které umožňují rozbočovačům přístup k vašemu účtu úložiště, pokud jsou privátní.

Požadavky

  • Abyste mohli vytvořit privátní koncový bod, musíte mít existující virtuální síť Azure.

    Důležité

    pro virtuální síť nedoporučujeme používat rozsah IP adres 172.17.0.0/16. Toto je výchozí rozsah podsítě používaný sítí mostu Docker nebo místním prostředím.

  • Před přidáním privátního koncového bodu zakažte zásady sítě pro privátní koncové body.

Vytvoření centra, které používá privátní koncový bod

K vytvoření centra s privátním koncovým bodem použijte jednu z následujících metod. Každá z těchto metod vyžaduje existující virtuální síť:

  1. Na webu Azure Portal přejděte do Azure AI Studia a zvolte + Nová azure AI.
  2. Na kartě Sítě zvolte režim izolace sítě.
  3. Posuňte se dolů na příchozí přístup k pracovnímu prostoru a zvolte + Přidat.
  4. Vstupní povinná pole Při výběru oblasti vyberte stejnou oblast jako vaše virtuální síť.

Přidání privátního koncového bodu do centra

K přidání privátního koncového bodu do existujícího centra použijte jednu z následujících metod:

  1. Na webu Azure Portal vyberte své centrum.
  2. Na levé straně stránky vyberte Sítě a pak vyberte kartu Připojení privátního koncového bodu.
  3. Při výběru oblasti vyberte stejnou oblast jako vaše virtuální síť.
  4. Při výběru typu prostředku použijte azuremlworkspace.
  5. Nastavte prostředek na název pracovního prostoru.

Nakonec vyberte Vytvořit a vytvořte privátní koncový bod.

Odebrání privátního koncového bodu

Pro centrum můžete odebrat jeden nebo všechny privátní koncové body. Odebrání privátního koncového bodu odebere centrum z virtuální sítě Azure, ke které byl koncový bod přidružený. Odebráním privátního koncového bodu může zabránit rozbočovači v přístupu k prostředkům v dané virtuální síti nebo prostředkům ve virtuální síti přístup k pracovnímu prostoru. Pokud například virtuální síť nepovoluje přístup k veřejnému internetu nebo z veřejného internetu.

Upozorňující

Odebrání privátních koncových bodů pro centrum nezpřístupní veřejně. Pokud chcete, aby centrum bylo veřejně přístupné, postupujte podle kroků v části Povolit veřejný přístup .

Pokud chcete odebrat privátní koncový bod, použijte následující informace:

  1. Na webu Azure Portal vyberte své centrum.
  2. Na levé straně stránky vyberte Sítě a pak vyberte kartu Připojení privátního koncového bodu.
  3. Vyberte koncový bod, který chcete odebrat, a pak vyberte Odebrat.

Povolení veřejného přístupu

V některých situacích můžete chtít někomu umožnit připojení k vašemu zabezpečenému centru přes veřejný koncový bod místo přes virtuální síť. Nebo můžete chtít odebrat pracovní prostor z virtuální sítě a znovu povolit veřejný přístup.

Důležité

Povolení veřejného přístupu neodebere žádné privátní koncové body, které existují. Veškerá komunikace mezi komponentami za virtuální sítí, ke kterým se privátní koncové body připojují, jsou stále zabezpečené. Kromě privátního přístupu prostřednictvím všech privátních koncových bodů umožňuje veřejný přístup pouze k centru.

Pokud chcete povolit veřejný přístup, postupujte takto:

  1. Na webu Azure Portal vyberte své centrum.
  2. Na levé straně stránky vyberte Sítě a pak vyberte kartu Veřejný přístup .
  3. Vyberte Povoleno ze všech sítí a pak vyberte Uložit.

Konfigurace spravované identity

Pokud nastavíte účet úložiště jako soukromý, je potřeba konfigurace mangované identity. Naše služby musí číst a zapisovat data ve vašem privátním účtu úložiště pomocí možnosti Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště s využitím následujících konfigurací spravované identity. Povolte spravovanou identitu přiřazenou systémem služby Azure AI a Azure AI Search a pak nakonfigurujte řízení přístupu na základě role pro každou spravovanou identitu.

Role Spravovaná identita Prostředek Účel Reference
Storage File Data Privileged Contributor Projekt Azure AI Studio Účet úložiště Čtení a zápis dat toku výzvy. Dokumentace k toku výzvy
Storage Blob Data Contributor Služba Azure AI Účet úložiště Čtení ze vstupního kontejneru, zápis do výsledku předběžného zpracování do výstupního kontejneru Azure OpenAI Doc
Storage Blob Data Contributor Azure AI Vyhledávač Účet úložiště Čtení objektů blob a úložiště znalostí pro zápis Prohledat dokument

Vlastní konfigurace DNS

Informace o konfiguracích předávání DNS najdete v článku o vlastním DNS ve službě Azure Machine Learning.

Pokud potřebujete nakonfigurovat vlastní server DNS bez předávání DNS, použijte pro požadované záznamy A následující vzory.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Poznámka:

    Název pracovního prostoru pro tento plně kvalifikovaný název domény může být zkrácen. Zkrácení se provádí tak, aby se zachovalo ml-<workspace-name, truncated>-<region>-<workspace-guid> o 63 znaků nebo méně.

  • <instance-name>.<region>.instances.azureml.ms

    Poznámka:

    • K výpočetním instancím je možné přistupovat pouze z virtuální sítě.
    • IP adresa pro tento plně kvalifikovaný název domény není IP adresou výpočetní instance. Místo toho použijte privátní IP adresu privátního koncového bodu pracovního prostoru (IP adresy *.api.azureml.ms položek).)

  • <instance-name>.<region>.instances.azureml.ms – Slouží pouze k az ml compute connect-ssh připojení k výpočetním prostředkům ve spravované virtuální síti. Není potřeba, pokud nepoužíváte spravovaná připojení nebo připojení SSH.

  • <managed online endpoint name>.<region>.inference.ml.azure.com – Používá se spravovanými online koncovými body.

Pokud chcete najít privátní IP adresy pro záznamy A, přečtěte si článek o vlastním DNS ve službě Azure Machine Learning. Pokud chcete zkontrolovat AI-PROJECT-GUID, přejděte na web Azure Portal, vyberte projekt, nastavení, vlastnosti a zobrazí se ID pracovního prostoru.

Omezení

  • Pokud používáte Mozilla Firefox, může dojít k problémům při pokusu o přístup k privátnímu koncovému bodu vašeho centra. Tento problém může souviset s DNS přes HTTPS v Mozilla Firefoxu. Doporučujeme používat Microsoft Edge nebo Google Chrome.

Další kroky