使用網路隔離來保護 RAG 工作流程 (預覽)

  • 發行項

您可以使用 Azure Machine Learning 中的專用網搭配兩個網路管理選項,來保護擷取擴增產生 (RAG) 流程。 這些選項包括:[受控虛擬網路],此為內部供應項目,或 [自備虛擬網路],若想要完全控制虛擬網路/子網路、防火牆、網路安全性群組規則等的設定,此選項非常實用。

在 Azure Machine Learning 受控網路選項中,有兩個安全的子選項可供您選取:[允許網際網路輸出] 和 [僅允許核准的輸出]

螢幕擷取畫面:Azure Machine Learning 中的受控 Vnet 選項。

根據您的設定和案例,Azure Machine Learning 中的 RAG 工作流程可能需要其他步驟來進行網路隔離。

必要條件

  • Azure 訂用帳戶。
  • Azure OpenAI 服務的存取權。
  • 安全的 Azure Machine Learning 工作區:使用工作區受控虛擬網路或「自攜」虛擬網路設定。
  • 您的 Azure Machine Learning 工作區上已啟用提示流程。 您可以在 [管理預覽功能] 面板上開啟 [使用提示流程建置 AI 解決方案],以啟用提示流程。

使用 Azure Machine Learning 工作區受控 VNet

  1. 遵循工作區受控網路隔離,以啟用工作區受控 VNet。

  2. 瀏覽至 Azure 入口網站,然後在左側功能表中的 [設定] 索引標籤下選取 [網絡]

  3. 若要讓 RAG 工作流程在建立向量索引期間,與 Azure OpenAI 或 Azure AI 搜尋服務等私人 Azure 認知服務通訊,您必須對相關資源定義相關的使用者輸出規則。 在網路設定的頂端,選取 [工作區受控輸出存取]。 然後選取 [+新增使用者定義的輸出規則]。 輸入 [規則名稱]。 然後使用 [資源名稱] 文字輸入框,選取您要新增規則的資源。

    若使用自動核准,則 Azure Machine Learning 工作區會在相關的資源中建立私人端點。 如果狀態停滯在擱置狀態,請移至相關資源以手動核准私人端點。

    螢幕擷取畫面:顯示 Azure Studio 中用來新增私人認知服務使用者輸出規則的位置。

  4. 瀏覽至與工作區相關聯之儲存體帳戶的設定。 在左測功能表中,選取 [存取控制 (IAM)]。 選取 [新增角色指派]。 將 [儲存體資料表資料參與者] 和 [儲存體 Blob 資料參與者] 存取權新增至工作區受控識別。 只要在搜尋列中輸入儲存體資料表資料參與者儲存體 Blob 資料參與者即可。 您必須完成此步驟和下一個步驟兩次。 一次用於 Blob 參與者,第二次用於資料表參與者。

  5. 確定已選取 [受控識別] 選項。 然後選取 [選取成員]。 選取 [受控識別] 下拉式清單下的 [Azure Machine Learning 工作區]。 然後選取工作區的受控識別。

    此螢幕擷取畫面顯示在 Azure Studio 儲存體帳戶中將工作區受控識別新增至 Blob 或資料表存取的位置。

  6. (選擇性) 若要新增傳出 FQDN 規則,請在 Azure 入口網站中,選取左側功能表 [設定] 索引標籤下的 [網路]。 在網路設定的頂端,選取 [工作區受控輸出存取]。 然後選取 [+新增使用者定義的輸出規則]。 選取 [目的地類型] 下的 [FQDN 規則]。 在 [FQDN 目的地] 中輸入端點 URL。 若要尋找端點 URL,請瀏覽至 Azure 入口網站中已部署的端點,選取所需的端點,然後從詳細資料區段複製端點 URL。

如果您使用僅允許核准的輸出受控 VNet 工作區和 public Azure OpenAI 資源,您必須為 Azure OpenAI 端點新增傳出 FQDN 規則。 這可啟用資料平面作業,此為在 RAG 中執行內嵌所需的作業。 如果沒有,則不允許存取 AOAI 資源,即使是公用資源也不行。

  1. (選擇性) 若要事先上傳資料檔案,或在儲存體帳戶設為私人時使用 RAG 的本機資料夾上傳,則必須從 VNet 後面的虛擬機器存取工作區,且子網路必須列在儲存體帳戶中。 只要選取 [儲存體帳戶],然後選取 [網路設定] 即可完成此作業。 選取 [針對選定虛擬網路和 IP 啟用],然後新增工作區子網路。

    此螢幕擷取畫面顯示安全資料上傳的私人儲存體設定需求。

    請遵循本教學課程,了解如何從 Azure 虛擬機器連線至私人儲存體

使用 BYO 自訂 VNet

  1. 設定 Azure Machine Learning 工作區時,選取 [使用我自己的虛擬網路]。 在此案例中,使用者必須正確地將網路規則和私人端點設定至相關資源,因為工作區並不會自動設定。

  2. 在向量索引建立精靈中,請務必從 [計算選項] 下拉式清單中選取 [計算執行個體] 或 [計算叢集],因為無伺服器計算不支援此案例。

疑難排解常見問題

  • 如果工作區發生網路相關問題,導致計算無法建立或啟動計算,則請在 Azure 入口網站中,嘗試在工作區的 [網路] 索引標籤中,新增預留位置 FQDN 規則,以初始化受控網路更新。 然後,在 Azure Machine Learning 工作區中重新建立計算。

  • 您可能會看到與 < Resource > is not registered with Microsoft.Network resource provider. 相關的錯誤訊息。在此情況下,您應該確定 AOAI/ACS 資源已向 Microsoft 網路資源提供者註冊訂用帳戶。 若要這樣做,請瀏覽至 [訂用帳戶],然後瀏覽至與受控 VNet 工作區相同租用戶的 [資源提供者]

注意

在受控網路第一次佈建私人端點時,工作區中首次執行的無伺服器作業應該額外排入佇列 10-15 分鐘。 使用計算執行個體和計算叢集,則此流程會在建立計算期間發生。

後續步驟