Używanie kolekcji katalogu modeli z zarządzaną siecią wirtualną obszaru roboczego

  • Artykuł

Z tego artykułu dowiesz się, jak używać różnych kolekcji w wykazie modeli w izolowanej sieci.

Zarządzana sieć wirtualna obszaru roboczego to jedyny sposób obsługi izolacji sieci z wykazem modeli. Zapewnia łatwą konfigurację w celu zabezpieczenia obszaru roboczego. Po włączeniu zarządzanej sieci wirtualnej na poziomie obszaru roboczego zasoby związane z obszarem roboczym w tej samej sieci wirtualnej będą używać tego samego ustawienia sieci na poziomie obszaru roboczego. Obszar roboczy można również skonfigurować tak, aby używał prywatnego punktu końcowego do uzyskiwania dostępu do innych zasobów platformy Azure, takich jak Azure OpenAI. Ponadto można skonfigurować regułę nazwy FQDN tak, aby zatwierdzała ruch wychodzący do zasobów spoza platformy Azure, co jest wymagane do używania niektórych kolekcji w wykazie modeli. Zobacz, jak zarządzana izolacja sieci obszaru roboczego, aby włączyć zarządzaną sieć wirtualną obszaru roboczego.

Tworzenie zarządzanej sieci wirtualnej jest odroczone do momentu utworzenia zasobu obliczeniowego lub ręcznego uruchomienia aprowizacji. Aby ręcznie wyzwolić aprowizację sieci, możesz użyć następującego polecenia.

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

Zarządzana sieć wirtualna obszaru roboczego zezwala na ruch wychodzący z Internetu

  1. Skonfiguruj obszar roboczy z zarządzaną siecią wirtualną, aby zezwolić na ruch wychodzący z Internetu, wykonując kroki wymienione tutaj.

  2. Jeśli zdecydujesz się ustawić dostęp do sieci publicznej do obszaru roboczego na wyłączone, możesz nawiązać połączenie z obszarem roboczym przy użyciu jednej z następujących metod:

    • Brama sieci VPN platformy Azure — łączy sieci lokalne z siecią wirtualną za pośrednictwem połączenia prywatnego. Połączenie odbywa się za pośrednictwem publicznego Internetu. Istnieją dwa typy bram sieci VPN, których można użyć:

      • Punkt-lokacja: każdy komputer kliencki używa klienta sieci VPN do łączenia się z siecią wirtualną.
      • Lokacja-lokacja: urządzenie sieci VPN łączy sieć wirtualną z siecią lokalną.

    • ExpressRoute — łączy sieci lokalne z chmurą za pośrednictwem połączenia prywatnego. Połączenie jest wykonywane przy użyciu dostawcy łączności.

    • Azure Bastion — w tym scenariuszu tworzysz maszynę wirtualną platformy Azure (czasami nazywaną serwerem przesiadkowym) w sieci wirtualnej. Następnie połączysz się z maszyną wirtualną przy użyciu usługi Azure Bastion. Usługa Bastion umożliwia nawiązywanie połączenia z maszyną wirtualną przy użyciu sesji protokołu RDP lub SSH z lokalnej przeglądarki internetowej. Następnie użyjesz pola przesiadkowego jako środowiska programistycznego. Ponieważ znajduje się ona wewnątrz sieci wirtualnej, może bezpośrednio uzyskać dostęp do obszaru roboczego.

Ponieważ zarządzana sieć wirtualna obszaru roboczego może uzyskiwać dostęp do Internetu w tej konfiguracji, możesz pracować ze wszystkimi kolekcjami w katalogu modeli z poziomu obszaru roboczego.

Zarządzana sieć wirtualna obszaru roboczego zezwala na ruch wychodzący tylko zatwierdzony

  1. Skonfiguruj obszar roboczy, postępując zgodnie z zarządzana izolacja sieci obszaru roboczego. W kroku 3 samouczka podczas wybierania dostępu wychodzącego zarządzanego przez obszar roboczy wybierz pozycję Zezwalaj tylko na zatwierdzony ruch wychodzący.
  2. Jeśli ustawisz dostęp do sieci publicznej do obszaru roboczego na wyłączony, możesz nawiązać połączenie z obszarem roboczym przy użyciu jednej z metod wymienionych w kroku 2 sekcji Zezwalaj na ruch wychodzący z Internetu w tym samouczku.
  3. Ustawiona konfiguracja zarządzanej sieci wirtualnej obszaru roboczego dopuszcza jedynie zezwalanie. Aby zezwolić na wszystkie odpowiednie nazwy FQDN, należy dodać odpowiednią regułę ruchu wychodzącego zdefiniowaną przez użytkownika.
    1. Użyj tego linku, aby uzyskać listę nazw FQDN wymaganych dla kolekcji Curated by Azure AI.
    2. Użyj tego linku, aby uzyskać listę nazw FQDN wymaganych dla kolekcji Hugging Face.

Praca z modelami open source nadzorowanymi przez usługę Azure Machine Learning

Zarządzana sieć wirtualna obszaru roboczego, aby zezwolić tylko na zatwierdzone dane wychodzące, używa zasad punktu końcowego usługi do kont magazynu zarządzanego usługi Azure Machine Learning, aby ułatwić dostęp do modeli w kolekcjach wyselekcjonowanych przez usługę Azure Machine Learning w sposób wbudowany. Ten tryb konfiguracji obszaru roboczego ma również domyślny ruch wychodzący do usługi Microsoft Container Registry, która zawiera obraz platformy Docker używany do wdrażania modeli.

Modele językowe w kolekcji "Wyselekcjonowane przez sztuczną inteligencję platformy Azure"

Te modele obejmują dynamiczną instalację zależności w czasie wykonywania. Aby dodać regułę ruchu wychodzącego zdefiniowaną przez użytkownika, wykonaj krok czwarty sekcji Aby użyć kolekcji Curated by Azure AI, użytkownicy powinni dodać reguły ruchu wychodzącego zdefiniowane przez użytkownika dla następujących nazw FQDN na poziomie obszaru roboczego:

  • *.anaconda.org
  • *.anaconda.com
  • anaconda.com
  • pypi.org
  • *.pythonhosted.org
  • *.pytorch.org
  • pytorch.org

Wykonaj krok 4 w samouczku dotyczącym zarządzanej sieci wirtualnej, aby dodać odpowiednie reguły ruchu wychodzącego zdefiniowane przez użytkownika.

Ostrzeżenie

Reguły ruchu wychodzącego nazwy FQDN są implementowane przy użyciu usługi Azure Firewall. Jeśli używasz reguł wychodzącej nazwy FQDN, opłaty za usługę Azure Firewall są uwzględniane w rozliczeniach. Aby uzyskać więcej informacji, zobacz Cennik.

Kolekcja metadanych

Użytkownicy mogą pracować z tą kolekcją w sieciowych izolowanych obszarach roboczych bez wymaganych innych reguł ruchu wychodzącego zdefiniowanych przez użytkownika.

Uwaga

Nowe wyselekcjonowane kolekcje są często dodawane do wykazu modeli. Zaktualizujemy tę dokumentację w celu odzwierciedlenia obsługi w sieciach prywatnych dla różnych kolekcji.

Praca z kolekcją Przytulanie twarzy

Wagi modelu nie są hostowane na platformie Azure, jeśli używasz rejestru Hugging Face. Wagi modeli są pobierane bezpośrednio z huba Hugging Face do punktów końcowych online w obszarze roboczym podczas wdrażania. Użytkownicy muszą dodać następujące reguły wychodzących nazw FQDN dla funkcji Hugging Face Hub, Docker Hub i ich sieci CDN, aby zezwolić na ruch do następujących hostów:

  • docker.io
  • huggingface.co
  • production.cloudflare.docker.com
  • cdn-lfs.huggingface.co
  • cdn.auth0.com

Wykonaj krok 4 w samouczku dotyczącym zarządzanej sieci wirtualnej, aby dodać odpowiednie reguły ruchu wychodzącego zdefiniowane przez użytkownika.

Następne kroki