Çevrimiçi uç noktalara gizli dizi ekleme (önizleme)

ŞUNLAR IÇIN GEÇERLIDIR: Azure CLI ml uzantısı v2 (geçerli)Python SDK azure-ai-ml v2 (geçerli)

Çevrimiçi uç nokta bağlamında gizli dizi ekleme, gizli dizileri (API anahtarları gibi) gizli dizi depolarından alma ve bunları çevrimiçi dağıtım içinde çalışan kullanıcı kapsayıcınıza ekleme işlemidir. Gizli dizilere, puanlama betiğinizi çalıştıran çıkarım sunucusu veya KCG (kendi kapsayıcınızı getirin) dağıtım yaklaşımıyla getirdiğiniz çıkarım yığını tarafından kullanılan ortam değişkenleri aracılığıyla güvenli bir şekilde erişilir.

Önemli

Bu özellik şu anda genel önizlemededir. Bu önizleme sürümü hizmet düzeyi sözleşmesi olmadan sağlanır ve üretim iş yükleri için bu sürümü önermeyiz. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir.

Daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri Ek Kullanım Koşulları.

Sorun bildirimi

Çevrimiçi dağıtım oluşturduğunuzda, dış hizmetlere erişmek için dağıtımın içinden gizli dizileri kullanmak isteyebilirsiniz. Bu dış hizmetlerden bazıları Microsoft Azure OpenAI hizmeti, Azure AI Hizmetleri ve Azure AI İçerik Güvenliği'ni içerir.

Gizli dizileri kullanmak için, bunları dağıtımın içinde çalışan kullanıcı kapsayıcınıza güvenli bir şekilde geçirmenin bir yolunu bulmanız gerekir. Bu uygulama dağıtım tanımındaki gizli dizileri kullanıma sunmadığından, dağıtım tanımının bir parçası olarak gizli dizileri dahil etmenizi önermeyiz.

Gizli dizileri gizli dizi depolarında depolamak ve sonra bunları dağıtım içinden güvenli bir şekilde almak daha iyi bir yaklaşımdır. Ancak bu yaklaşım kendi zorluğu doğurmaktadır: dağıtımın gizli dizileri almak için gizli dizi depolarında kimliğini nasıl doğrulaması gerektiği. Çevrimiçi dağıtım, yönetilen kimlik olan uç nokta kimliğini kullanarak kullanıcı kapsayıcınızı çalıştırdığından, uç nokta kimliğinin izinlerini denetlemek ve uç noktanın gizli dizi depolarından gizli dizileri almasına izin vermek için Azure RBAC kullanabilirsiniz. Bu yaklaşımı kullanmak için aşağıdaki görevleri gerçekleştirmeniz gerekir:

  • Gizli dizi depolarından gizli dizileri okuyabilmesi için uç nokta kimliğine doğru rolleri atayın.
  • Gizli dizi depolarından gizli dizileri almak için uç noktanın yönetilen kimliğini kullanması için dağıtım için puanlama mantığını uygulayın.

Yönetilen kimlik kullanmanın bu yaklaşımı gizli dizileri alıp eklemenin güvenli bir yolu olsa da, gizli dizi ekleme özelliği aracılığıyla gizli dizi ekleme, çalışma alanı bağlantıları ve anahtar kasaları için gizli dizileri alma işlemini daha da basitleştirir.

Uç noktayla ilişkili yönetilen kimlik

Çevrimiçi dağıtım, kullanıcı kapsayıcınızı uç noktayla ilişkilendirilmiş yönetilen kimlikle çalıştırır. Uç nokta kimliği olarak adlandırılan bu yönetilen kimlik, Azure RBAC'yi destekleyen bir Microsoft Entra Kimliğidir. Bu nedenle, işlemleri gerçekleştirmek için gereken izinleri denetlemek için kimliğe Azure rolleri atayabilirsiniz. Uç nokta kimliği, sistem tarafından atanan bir kimlik (SAI) veya kullanıcı tarafından atanan kimlik (UAI) olabilir. Uç noktayı oluştururken bu tür kimliklerden hangisini kullanacağınıza karar vekleyebilirsiniz.

  • Sistem tarafından atanan bir kimlik için, uç noktayı oluşturduğunuzda kimlik otomatik olarak oluşturulur ve temel izinlere sahip roller (Azure Container Registry çekme izni ve depolama blobu veri okuyucusu gibi) otomatik olarak atanır.
  • Kullanıcı tarafından atanan bir kimlik için önce kimliği oluşturmanız ve ardından uç noktayı oluştururken bunu uç noktayla ilişkilendirmeniz gerekir. Ayrıca gerektiğinde UAI'ye uygun rolleri atamak sizin sorumluluğundadır.

Bir uç noktanın yönetilen kimliklerini kullanma hakkında daha fazla bilgi için bkz. Yönetilen kimliklere sahip uç noktalardan kaynaklara erişme ve dış hizmetlerle etkileşime geçmek için yönetilen kimlikleri kullanma örneği.

Uç nokta kimliğine rol ataması

Gizli dizi depoları için aşağıdaki roller gereklidir:

Gizli dizi eklemenin uygulanması

Gizli diziler (API anahtarları gibi) gizli dizi depolarından alındıktan sonra, bunları çevrimiçi dağıtımın içinde çalışan bir kullanıcı kapsayıcısına eklemenin iki yolu vardır:

  • Yönetilen kimlikleri kullanarak gizli dizileri kendiniz ekleme.
  • Gizli dizi ekleme özelliğini kullanarak gizli dizileri ekleyin.

Bu yaklaşımların her ikisi de iki adımdan oluşur:

  1. İlk olarak, uç nokta kimliğini kullanarak gizli dizi depolarından gizli dizileri alın.
  2. İkincisi, gizli dizileri kullanıcı kapsayıcınıza ekler.

Yönetilen kimliklerin kullanımı yoluyla gizli dizi ekleme

Dağıtım tanımınızda, gizli dizi depolarından API'leri çağırmak için uç nokta kimliğini kullanmanız gerekir. Bu mantığı puanlama betiğinizde veya BYOC kapsayıcınızda çalıştırdığınız kabuk betiklerinde uygulayabilirsiniz. Yönetilen kimlikleri kullanarak gizli dizi ekleme uygulamak için, dış hizmetlerle etkileşimde bulunan yönetilen kimlikleri kullanma örneğine bakın.

Gizli dizi ekleme özelliği aracılığıyla gizli dizi ekleme

Gizli dizi ekleme özelliğini kullanmak için dağıtım tanımınızda çalışma alanı bağlantılarından veya Key Vault'tan gelen gizli dizileri (başvurmak istediğiniz) ortam değişkenleriyle eşleyin. Bu yaklaşım, puanlama betiğinizde veya BYOC kapsayıcınızda çalıştırdığınız kabuk betiklerinde kod yazmanızı gerektirmez. Çalışma alanı bağlantılarından veya Key Vault'tan gelen gizli dizileri ortam değişkenlerine eşlemek için aşağıdaki koşulların karşılanması gerekir:

  • Uç nokta oluşturma sırasında, varsayılan gizli dizi depolarına (geçerli çalışma alanı altındaki çalışma alanı bağlantıları) erişimi zorunlu kılmak için bir çevrimiçi uç nokta tanımlanmışsa, uç nokta altında dağıtımı oluşturan kullanıcı kimliğiniz çalışma alanı bağlantılarından gizli dizileri okuma izinlerine sahip olmalıdır.
  • Dağıtımın kullandığı uç nokta kimliği, dağıtım tanımında belirtildiği gibi çalışma alanı bağlantılarından veya Key Vault'tan gizli dizileri okuma izinlerine sahip olmalıdır.

Not

  • Uç nokta bir SAI ile başarıyla oluşturulduysa ve bayrak varsayılan gizli dizi depolarına erişimi zorunlu kılmak üzere ayarlandıysa, uç nokta otomatik olarak çalışma alanı bağlantıları için izinlere sahip olur.
  • Uç noktanın bir UAI kullandığı veya varsayılan gizli dizi depolarına erişimi zorunlu kılmak için bayrağının ayarlanmadığı durumlarda, uç nokta kimliği çalışma alanı bağlantıları için izinlere sahip olmayabilir. Böyle bir durumda, çalışma alanı bağlantılarının rolünü uç nokta kimliğine el ile atamanız gerekir.
  • Uç nokta kimliği, dış Key Vault için otomatik olarak izin almaz. Anahtar Kasası'nı gizli dizi deposu olarak kullanıyorsanız Key Vault rolünü uç nokta kimliğine el ile atamanız gerekir.

Gizli dizi ekleme kullanma hakkında daha fazla bilgi için bkz . Gizli dizi ekleme (önizleme) ile makine öğrenmesi modellerini çevrimiçi uç noktalara dağıtma.