Comment configurer une liaison privée pour le hub Azure AI

Remarque

Azure AI Studio est actuellement en préversion publique. Cette préversion est fournie sans contrat de niveau de service, nous la déconseillons dans des charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Il existe deux aspects de l’isolement réseau. L’un est l’isolement réseau pour accéder à un hub Azure AI. L’autre correspond à l’isolement réseau des ressources de calcul dans votre hub Azure AI et vos projets Azure AI : instances de calcul, serverless et points de terminaison managés en ligne, par exemple. Cet article explique ce fonctionnement mis en surbrillance dans le diagramme. Vous pouvez utiliser une liaison privée pour établir la connexion privée à votre hub Azure AI et à ses ressources par défaut. Cet article concerne Azure AI Studio (projets Hub IA et IA). Pour plus d’informations sur Azure AI Services, consultez la Documentation sur Azure AI Services.

Vous obtenez plusieurs ressources par défaut de hub Azure AI dans votre groupe de ressources. Vous devez configurer les configurations d’isolement réseau qui suivent.

• Désactivez l’accès au réseau public des ressources par défaut du hub Azure AI, telles que Stockage Azure, Azure Key Vault et Azure Container Registry.
• Établissez une connexion du point de terminaison privé aux ressources de hub Azure AI par défaut. Vous devez disposer d’un point de terminaison privé d’objet blob et de fichier pour le compte de stockage par défaut.
• Configurations d’identité managée pour autoriser l’accès des ressources Azure AI hub à votre compte de stockage s’il est privé.
• Azure AI Services et Recherche Azure AI doivent être publics.

Prérequis

• Vous devez disposer d’un réseau virtuel Azure existant dans lequel créer le point de terminaison privé.

  Important

  Nous vous déconseillons de vous servir de la plage d’adresses IP 172.17.0.0/16 pour votre réseau virtuel. Il s’agit de la plage de sous-réseaux utilisée par défaut par le réseau de pont Docker ou localement.

• Désactivez les stratégies réseau pour les points de terminaison privés avant d’ajouter le point de terminaison privé.

Créer une ressource Azure AI utilisant un point de terminaison privé

Utilisez l’une des méthodes suivantes pour créer une Azure AI hub avec un point de terminaison privé. Chacune de ces méthodes nécessite un réseau virtuel existant :

Azure portal

1. Depuis le Portail Azure, accédez à Azure AI Studio et choisissez + Nouvelle Azure AI.
2. Choisissez le mode d’isolement réseau dans l’onglet Mise en réseau.
3. Faites défiler jusqu’à Accès entrant à l’espace de travail et choisissez + Ajouter .
4. Champs obligatoires d’entrée. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.

Azure CLI

Créez votre ressource Azure AI hub avec la CLI Azure AI. Exécutez la commande suivante et suivez les instructions. Pour plus d’informations, consultez Démarrage avec la CLI Azure AI.

ai init

Après avoir créé un hub Azure AI, utilisez les commandes de l’interface CLI de mise en réseau Azure pour créer un point de terminaison de liaison privée pour l’Azure AI.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Pour créer les entrées de zone DNS privée pour l’espace de travail, utilisez les commandes suivantes :

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Ajouter un point de terminaison privé à un hub Azure AI

Utilisez l’une des méthodes suivantes pour ajouter un point de terminaison privé à un hub Azure AI existant :

Azure portal

1. Depuis le portail Azure, sélectionnez votre hub Azure AI.
2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
3. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.
4. Lorsque vous sélectionnez Type de ressource, utilisez azuremlworkspace.
5. Définissez la Ressource sur le nom de votre espace de travail.

Pour finir, sélectionnez Créer pour créer le point de terminaison privé.

Azure CLI

Utilisez les commandes de l’interface CLI de mise en réseau Azure pour créer un point de terminaison de liaison privée pour le hub Azure AI.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Pour créer les entrées de zone DNS privée pour l’espace de travail, utilisez les commandes suivantes :

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Supprimer un point de terminaison privé

Vous pouvez supprimer un ou tous les points de terminaison privés pour un hub Azure AI. Supprimer un point de terminaison privé a pour effet de supprimer le hub Azure AI du réseau virtuel Azure auquel le point de terminaison était associé. Supprimer le point de terminaison privé pourrait empêcher le hub Azure AI d’accéder aux ressources de ce réseau virtuel, ou aux ressources du réseau virtuel d’accéder à l’espace de travail. Par exemple, si le réseau virtuel n’autorise pas l’accès via l’Internet public.

Avertissement

La suppression des points de terminaison privés d’un hub IA n’a pas pour effet de rendre celui-ci publiquement accessible. Pour rendre le hub IA publiquement accessible, suivez les étapes décrites dans la section Activer l’accès public.

Pour supprimer un point de terminaison privé, utilisez les informations suivantes :

Azure portal

1. Depuis le portail Azure, sélectionnez votre hub Azure AI.
2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
3. Sélectionnez le point de terminaison à supprimer, puis Supprimer.

Azure CLI

Lorsque vous utilisez l’interface de ligne de commande Azure, utilisez la commande suivante pour supprimer le point de terminaison privé :

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Activer l’accès public

Dans certains cas, vous pourriez vouloir autoriser une personne à se connecter à votre hub Azure AI sécurisé sur un point de terminaison public, plutôt que par le biais du réseau virtuel. Ou vous pourriez également vouloir supprimer l’espace de travail du réseau virtuel et réactiver l’accès public.

Important

L’activation de l’accès public n’a pas pour effet de supprimer les points de terminaison privés existants. Toutes les communications entre les composants derrière le réseau virtuel auquel les points de terminaison privés se connectent restent sécurisées. Ceci permet un accès public au hub Azure AI uniquement, en plus de l’accès privé via les points de terminaison privés.

Pour activer l’accès public, procédez comme suit :

Azure portal

1. Depuis le portail Azure, sélectionnez votre hub Azure AI.
2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Accès public.
3. Sélectionnez Activé dans tous les réseaux, puis sélectionnez Enregistrer.

Azure CLI

Non disponible dans l’interface CLI IA, mais vous pouvez utiliser CLI d’Azure Machine Learning . Utilisez votre nom de hub Azure AI comme nom d’espace de travail dans l’interface CLI Azure Machine Learning.

Configuration d’une identité managée

Une configuration d’identité gérée est requise si vous rendez votre compte de stockage privé. Nos services doivent lire et écrire des données dans votre compte de stockage privé à l’aide de Autoriser les services Azure dans la liste des services approuvés à accéder à ce compte de stockage avec les configurations d’identité managée ci-dessous. Activez l’identité managée affectée par le système Azure AI Service et la Recherche Azure AI, puis configurez le contrôle d’accès en fonction du rôle pour chaque identité managée.

Rôle	Identité managée	Ressource	Objectif	Référence
Storage File Data Privileged Contributor	Projet Azure AI	Compte de stockage	Lecture/écriture de données en flux rapide.	Documentation de flux rapide
Storage Blob Data Contributor	Service Azure AI	Compte de stockage	Lecture à partir du conteneur d’entrée, écriture pour prétraiter le résultat dans le conteneur de sortie.	Documentation Azure OpenAI
Storage Blob Data Contributor	Azure AI Search	Compte de stockage	Lecture du blob et écriture de la base de connaissances	Documentation de recherche.

Définir une configuration DNS personnalisée

Consultez l’article DNS personnalisé Azure Machine Learning pour connaître les configurations de transfert DNS.

Si vous devez configurer un serveur DNS personnalisé sans transfert DNS, utilisez les modèles suivants pour les enregistrements A requis.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Remarque

  Le nom de l’espace de travail pour ce nom de domaine complet peut être tronqué. Cette troncation a pour but de limiter la longueur de ml-<workspace-name, truncated>-<region>-<workspace-guid> à 63 caractères.

• <instance-name>.<region>.instances.azureml.ms

  Notes

  • Les instances de calcul sont accessibles uniquement à partir du réseau virtuel.
  • L’adresse IP de ce nom de domaine complet n’est pas l’adresse IP de l’instance de calcul. Utilisez plutôt l’adresse IP privée du point de terminaison privé de l’espace de travail (l’adresse IP des entrées *.api.azureml.ms).

• <managed online endpoint name>.<region>.inference.ml.azure.com - Utilisé par les points de terminaison en ligne managés

Pour rechercher les adresses IP privées de vos enregistrements A, consultez l’article DNS personnalisé Azure Machine Learning. Pour vérifier AI-PROJECT-GUID, accédez au portail Azure, sélectionnez votre projet Azure AI, dans Paramètres, puis Propriétés, et l’ID de l’espace de travail s’affiche.

Limites

• Les services Azure AI privés et Recherche Azure AI ne sont pas pris en charge.
• La fonctionnalité « Ajouter vos données » dans le terrain de jeu Azure AI Studio ne prend pas en charge le compte de stockage privé.
• Vous pourriez rencontrer des problèmes en tentant d’accéder au point de terminaison privé de votre hub Azure AI si vous utilisez Mozilla Firefox. Ce problème pourrait être lié à DNS sur HTTPS dans Mozilla Firefox. Nous vous recommandons d’utiliser Microsoft Edge ou Google Chrome.

Étapes suivantes

• Créer un projet Azure AI
• En savoir plus sur Azure AI Studio
• En savoir plus sur les Ressources Azure AI hub
• Résoudre les problèmes de connectivité sécurisée à un projet