Configurer une liaison privée pour les hubs Azure AI Studio

Important

Certaines des fonctionnalités décrites dans cet article peuvent uniquement être disponibles en préversion. Cette préversion est fournie sans contrat de niveau de service, nous la déconseillons dans des charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Il existe deux aspects de l’isolement réseau. L’un est l’isolement réseau pour accéder à un hub Azure AI Studio. L’autre correspond à l’isolement réseau des ressources de calcul dans votre hub et vos projets : instances de calcul, serverless et points de terminaison managés en ligne, par exemple. Cet article explique ce fonctionnement mis en surbrillance dans le diagramme. Vous pouvez utiliser une liaison privée pour établir la connexion privée à votre hub et à ses ressources par défaut. Cet article concerne Azure AI Studio (hub et projets). Pour plus d’informations sur Azure AI services, consultez la documentation sur Azure AI services.

Diagramme de l’isolement réseau du hub AI Studio.

Vous obtenez plusieurs ressources par défaut de hub dans votre groupe de ressources. Vous devez configurer les configurations d’isolement réseau qui suivent.

  • Désactivez l’accès au réseau public des ressources par défaut du hub, telles que Stockage Azure, Azure Key Vault et Azure Container Registry.
  • Établissez une connexion du point de terminaison privé aux ressources de hub par défaut. Vous devez disposer d’un point de terminaison privé d’objet blob et de fichier pour le compte de stockage par défaut.
  • Configurations d’identité managée pour autoriser l’accès des hubs à votre compte de stockage s’il est privé.

Prérequis

  • Vous devez disposer d’un réseau virtuel Azure existant dans lequel créer le point de terminaison privé.

    Important

    Nous vous déconseillons de vous servir de la plage d’adresses IP 172.17.0.0/16 pour votre réseau virtuel. Il s’agit de la plage de sous-réseaux utilisée par défaut par le réseau de pont Docker ou localement.

  • Désactivez les stratégies réseau pour les points de terminaison privés avant d’ajouter le point de terminaison privé.

Créer un hub qui utilise un point de terminaison privé

Utilisez l’une des méthodes suivantes pour créer un hub avec un point de terminaison privé. Chacune de ces méthodes nécessite un réseau virtuel existant :

  1. Depuis le Portail Azure, accédez à Azure AI Studio et choisissez + Nouvelle Azure AI.
  2. Choisissez le mode d’isolement réseau dans l’onglet Mise en réseau.
  3. Faites défiler jusqu’à Accès entrant à l’espace de travail et choisissez + Ajouter .
  4. Champs obligatoires d’entrée. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.

Ajouter un point de terminaison privé à un hub

Utilisez l’une des méthodes suivantes pour ajouter un point de terminaison privé à un hub existant :

  1. Sélectionnez votre hub dans le portail Azure.
  2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
  3. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.
  4. Lorsque vous sélectionnez Type de ressource, utilisez azuremlworkspace.
  5. Définissez la Ressource sur le nom de votre espace de travail.

Pour finir, sélectionnez Créer pour créer le point de terminaison privé.

Supprimer un point de terminaison privé

Vous pouvez supprimer un ou plusieurs points de terminaison privés pour un hub. Supprimer un point de terminaison privé a pour effet de supprimer le hub du réseau virtuel Azure auquel le point de terminaison était associé. Supprimer le point de terminaison privé pourrait empêcher le hub d’accéder aux ressources de ce réseau virtuel, ou aux ressources du réseau virtuel d’accéder à l’espace de travail. Par exemple, si le réseau virtuel n’autorise pas l’accès via l’Internet public.

Avertissement

La suppression des points de terminaison privés d’un hub n’a pas pour effet de rendre celui-ci publiquement accessible. Pour rendre le hub publiquement accessible, suivez les étapes décrites dans la section Activer l’accès public.

Pour supprimer un point de terminaison privé, utilisez les informations suivantes :

  1. Sélectionnez votre hub dans le portail Azure.
  2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
  3. Sélectionnez le point de terminaison à supprimer, puis Supprimer.

Activer l’accès public

Dans certains cas, vous pourriez vouloir autoriser une personne à se connecter à votre hub sécurisé sur un point de terminaison public, plutôt que par le biais du réseau virtuel. Ou vous pourriez également vouloir supprimer l’espace de travail du réseau virtuel et réactiver l’accès public.

Important

L’activation de l’accès public n’a pas pour effet de supprimer les points de terminaison privés existants. Toutes les communications entre les composants derrière le réseau virtuel auquel les points de terminaison privés se connectent restent sécurisées. Ceci permet un accès public au hub uniquement, en plus de l’accès privé via les points de terminaison privés.

Pour activer l’accès public, procédez comme suit :

  1. Sélectionnez votre hub dans le portail Azure.
  2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Accès public.
  3. Sélectionnez Activé dans tous les réseaux, puis sélectionnez Enregistrer.

Configuration d’une identité managée

Une configuration d’identité gérée est requise si vous rendez votre compte de stockage privé. Nos services doivent lire et écrire des données dans votre compte de stockage privé à l’aide de Autoriser les services Azure dans la liste des services approuvés à accéder à ce compte de stockage avec les configurations d’identité managée ci-dessous. Activez l’identité managée affectée par le système Azure AI Service et la Recherche Azure AI, puis configurez le contrôle d’accès en fonction du rôle pour chaque identité managée.

Rôle Identité managée Ressource Objectif Référence
Storage File Data Privileged Contributor Projet Azure AI Studio Compte de stockage Lecture/écriture de données en flux rapide. Documentation de flux rapide
Storage Blob Data Contributor Service Azure AI Compte de stockage Lecture à partir du conteneur d’entrée, écriture pour prétraiter le résultat dans le conteneur de sortie. Documentation Azure OpenAI
Storage Blob Data Contributor Azure AI Search Compte de stockage Lecture du blob et écriture de la base de connaissances Documentation de recherche.

Définir une configuration DNS personnalisée

Consultez l’article DNS personnalisé Azure Machine Learning pour connaître les configurations de transfert DNS.

Si vous devez configurer un serveur DNS personnalisé sans transfert DNS, utilisez les modèles suivants pour les enregistrements A requis.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Remarque

    Le nom de l’espace de travail pour ce nom de domaine complet peut être tronqué. Cette troncation a pour but de limiter la longueur de ml-<workspace-name, truncated>-<region>-<workspace-guid> à 63 caractères.

  • <instance-name>.<region>.instances.azureml.ms

    Notes

    • Les instances de calcul sont accessibles uniquement à partir du réseau virtuel.
    • L’adresse IP de ce nom de domaine complet n’est pas l’adresse IP de l’instance de calcul. Utilisez plutôt l’adresse IP privée du point de terminaison privé de l’espace de travail (l’adresse IP des entrées *.api.azureml.ms).
  • <instance-name>.<region>.instances.azureml.ms : utilisé uniquement par la commande az ml compute connect-ssh pour se connecter aux calculs dans un réseau virtuel managé. Non nécessaire si vous n’utilisez pas de réseau managé ou de connexions SSH.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - Utilisé par les points de terminaison en ligne managés

Pour rechercher les adresses IP privées de vos enregistrements A, consultez l’article DNS personnalisé Azure Machine Learning. Pour vérifier AI-PROJECT-GUID, accédez au portail Azure, sélectionnez votre projet, dans Paramètres, puis Propriétés, et l’ID de l’espace de travail s’affiche.

Limites

  • Vous pourriez rencontrer des problèmes en tentant d’accéder au point de terminaison privé de votre hub si vous utilisez Mozilla Firefox. Ce problème pourrait être lié à DNS sur HTTPS dans Mozilla Firefox. Nous vous recommandons d’utiliser Microsoft Edge ou Google Chrome.

Étapes suivantes