マネージド仮想ネットワークを使用してセキュリティで保護された Azure AI Studio ハブとプロジェクトを作成する方法
重要
この記事で "(プレビュー)" と付記されている項目は、現在、パブリック プレビュー段階です。 このプレビューはサービス レベル アグリーメントなしで提供されており、運用環境ではお勧めしません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
マネージド仮想ネットワーク内の Azure AI Studio ハブ、プロジェクト、および管理対象リソースをセキュリティで保護できます。 マネージド仮想ネットワークでは、受信アクセスはハブのプライベート エンドポイント経由でのみ許可されます。 送信アクセスは、すべての送信アクセスを許可するようにも、指定した送信のみを許可するようにも構成できます。 詳細については、マネージド仮想ネットワークに関するページを参照してください。
重要
マネージド仮想ネットワークは、クライアントに受信接続を提供しません。 詳細については、「ハブに接続する」セクションを参照してください。
前提条件
- Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- Azure サービスに安全に接続するために使用する Azure Virtual Network。 たとえば、Azure Bastion、VPN Gateway、または ExpressRoute を使用して、オンプレミス ネットワークから Azure Virtual Network に接続できます。 Azure Virtual Network がない場合は、仮想ネットワークの作成に関する記事の手順に従って作成できます。
ハブを作成する
Azure portal で、
Azure AI Studioを検索し、[+ 新しい Azure AI] を選択して新しいリソースを作成します。ハブの名前、サブスクリプション、リソース グループ、および場所の詳細を入力します。 既存の [Azure AI サービス] リソースを選択するか、新しく作成します。
[Next:Storage](次へ: ストレージ) を選択します。 既存の[ストレージ アカウント] および [キー コンテナー] リソースを選択するか、新しく作成します。 必要に応じて、既存の [Application insights]、およびログと Docker イメージ用の [Container Registry] を選択します。
![リソース情報を設定するオプションが表示された [ハブを作成する] のスクリーンショット。](../media/how-to/network/ai-hub-resources.png)
[次へ: ネットワーク] を選択して、AI Studio がそのハブとプロジェクトをセキュリティで保護するために使用するマネージド仮想ネットワークを構成します。
[Private with Internet Outbound] (非公開 (インターネット送信あり)) を選びます。これを使用すると、コンピューティング リソースが Python パッケージなどのリソースのためにパブリック インターネットにアクセスできます。
![ネットワークの分離情報を設定するオプションが表示された [ハブを作成する] のスクリーンショット。](../media/how-to/network/ai-hub-networking.png)
クライアントが Azure Virtual Network 経由でハブに接続できるようにするには、次の手順を使用してプライベート エンドポイントを追加します。
[ネットワーク] タブの [ワークスペース受信アクセス] セクションで、[+ 追加] を選びます。[プライベート エンドポイントの作成] フォームが表示されます。
![[ワークスペース受信アクセス] セクションのスクリーンショット。](../media/how-to/network/workspace-inbound-access.png)
[名前] フィールドに、一意の値を入力します。 クライアントの接続対象の [仮想ネットワーク] (Azure Virtual Network) を選びます。 プライベート エンドポイントの接続対象の [サブネット] を選びます。
![[プライベート エンドポイントを作成する] フォームのスクリーンショット。](../media/how-to/network/ai-hub-create-private-endpoint.png)
[OK] を選択してエンドポイント構成を保存します。
[確認 + 作成] を選択してから、[作成] を選択してハブを作成します。 ハブが作成されると、ハブから作成されたすべてのプロジェクトまたはコンピューティング インスタンスがネットワーク構成を継承します。
![リソース情報を設定するオプションが表示された [ハブを作成する] のスクリーンショット。](../media/how-to/network/ai-hub-resources.png#lightbox)
![ネットワークの分離情報を設定するオプションが表示された [ハブを作成する] のスクリーンショット。](../media/how-to/network/ai-hub-networking.png#lightbox)
![[ワークスペース受信アクセス] セクションのスクリーンショット。](../media/how-to/network/workspace-inbound-access.png#lightbox)
![[プライベート エンドポイントを作成する] フォームのスクリーンショット。](../media/how-to/network/ai-hub-create-private-endpoint.png#lightbox)
ハブに接続する
マネージド仮想ネットワークは、クライアントへのアクセスを直接には提供しません。 そうではなく、"ユーザーが" 管理する Azure Virtual Network にクライアントが接続します。 クライアントを Azure Virtual Network に接続するために使用できる方法は複数あります。 次の表に、Azure Virtual Network にクライアントが接続する一般的な方法を示します。
| Method | 説明 |
|---|---|
| Azure VPN Gateway | オンプレミスのネットワークをプライベート接続を介して Azure Virtual Network に接続します。 接続は、パブリック インターネットを介して行われます。 |
| ExpressRoute | オンプレミスのネットワークをプライベート接続を介してクラウドに接続します。 接続は、接続プロバイダーを使用して行われます。 |
| Azure Bastion | Web ブラウザーを使用して、Azure Virtual Network 内の仮想マシンに接続します。 |