Настройка приватного канала для Центра искусственного интеллекта Azure
Примечание.
Azure AI Studio в настоящее время находится в общедоступной предварительной версии. Эта предварительная версия предоставляется без соглашения об уровне обслуживания, и мы не рекомендуем ее для рабочих нагрузок. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. Дополнительные сведения см. в статье Дополнительные условия использования Предварительных версий Microsoft Azure.
У нас есть два аспекта сетевой изоляции. Одним из них является сетевая изоляция для доступа к центру искусственного интеллекта Azure. Другой — это сетевая изоляция вычислительных ресурсов в центре ИИ Azure и проектах ИИ Azure, таких как вычислительные экземпляры, бессерверные и управляемые сетевые конечные точки. В этой статье объясняется, что первый выделен на схеме. Вы можете использовать приватный канал, чтобы установить частное подключение к центру искусственного интеллекта Azure и его ресурсам по умолчанию. Эта статья предназначена для Azure AI Studio (центр ИИ и проекты ИИ). Дополнительные сведения о службах ИИ Azure см. в документации по Службам искусственного интеллекта Azure.
Вы получаете несколько ресурсов центра искусственного интеллекта Azure по умолчанию в группе ресурсов. Необходимо настроить следующие конфигурации сетевой изоляции.
- Отключите доступ к общедоступной сети ресурсов центра искусственного интеллекта Azure по умолчанию, таких как служба хранилища Azure, Azure Key Vault и Реестр контейнеров Azure.
- Установите подключение частной конечной точки к ресурсам центра искусственного интеллекта Azure по умолчанию. Для учетной записи хранения по умолчанию требуется как частная конечная точка BLOB-объектов, так и для файловой частной конечной точки.
- Конфигурации управляемых удостоверений, чтобы разрешить ресурсам Центра искусственного интеллекта Azure доступ к учетной записи хранения, если она закрыта.
- Службы ИИ Azure и поиск Azure должны быть общедоступными.
Необходимые компоненты
Для создания частной конечной точки необходимо создать существующую виртуальная сеть Azure.
Внимание
Мы не рекомендуем использовать для виртуальной сети диапазон IP-адресов 172.17.0.0/16. Это диапазон подсети по умолчанию, используемый сетью моста Docker или локальной сетью.
Отключить сетевые политики для частных конечных точек перед добавлением частной конечной точки.
Создание ИИ Azure, использующего частную конечную точку
Используйте один из следующих методов для создания ресурса Центра искусственного интеллекта Azure с частной конечной точкой. Для каждого из этих методов требуется существующая виртуальная сеть:
- В портал Azure перейдите в Azure AI Studio и выберите +Создать ИИ Azure.
- Выберите режим сетевой изоляции на вкладке "Сеть ".
- Прокрутите вниз до входящего доступа к рабочей области и нажмите кнопку +Добавить.
- Обязательные поля ввода. При выборе Region (Региона)выберите тот же регион, что и для виртуальной сети.
Добавление частной конечной точки в центр искусственного интеллекта Azure
Используйте один из следующих методов, чтобы добавить частную конечную точку в существующий центр искусственного интеллекта Azure:
- В портал Azure выберите центр ИИ Azure.
- В левой части страницы выберите Сети, а затем откройте вкладку Подключения частных конечных точек.
- При выборе Region (Региона)выберите тот же регион, что и для виртуальной сети.
- При выборе типа ресурса используйте
azuremlworkspace. - В разделе Resource (Ресурс) укажите имя рабочей области.
Наконец, выберите Create (Создать), чтобы создать частную конечную точку.
Удаление частной конечной точки
Вы можете удалить одну или все частные конечные точки для центра искусственного интеллекта Azure. При удалении частной конечной точки центр искусственного интеллекта Azure удаляется из виртуальная сеть Azure, с которым связана конечная точка. Удаление частной конечной точки может предотвратить доступ к ресурсам в этой виртуальной сети или ресурсам в виртуальной сети от доступа к рабочей области концентратора ИИ Azure. Например, если виртуальная сеть не разрешает доступ к общедоступному Интернету или из нее.
Предупреждение
Удаление частных конечных точек для концентратора ИИ не делает его общедоступным. Чтобы сделать центр ИИ общедоступным, выполните действия, описанные в разделе "Включение общедоступного доступа ".
Чтобы удалить частную конечную точку, используйте следующую информацию:
- В портал Azure выберите центр ИИ Azure.
- В левой части страницы выберите Сети, а затем откройте вкладку Подключения частных конечных точек.
- Выберите конечную точку для удаления, а затем нажмите кнопку Удалить.
Включение открытого доступа
В некоторых ситуациях может потребоваться разрешить кому-то подключаться к защищенному центру ИИ Azure через общедоступную конечную точку, а не через виртуальную сеть. Или вы можете удалить рабочую область из виртуальной сети и повторно включить общедоступный доступ.
Внимание
При включении общего доступа существующие частные конечные точки не удаляются. Все связи между компонентами виртуальной сети, к которым подключается частная конечная точка, по-прежнему защищены. Он обеспечивает общедоступный доступ только к центру искусственного интеллекта Azure, а также к частному доступу через любые частные конечные точки.
Вот как можно включить общий доступ:
- В портал Azure выберите центр ИИ Azure.
- В левой части страницы выберите Сети, а затем перейдите на вкладку Открытый доступ.
- Выберите "Включено" из всех сетей и нажмите кнопку "Сохранить".
Конфигурация управляемого удостоверения
При закрытии учетной записи хранения требуется конфигурация удостоверений. Наши службы должны считывать и записывать данные в частной учетной записи хранения с помощью разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения с помощью следующих конфигураций управляемых удостоверений. Включите управляемое удостоверение, назначаемое системой службы ИИ Azure и службы поиска ИИ Azure, а затем настройте управление доступом на основе ролей для каждого управляемого удостоверения.
| Роль | Управляемое удостоверение | Ресурс | Назначение | Справочные материалы |
|---|---|---|---|---|
Storage File Data Privileged Contributor |
Проект Azure AI | Учетная запись хранения | Чтение и запись данных потока запросов. | Документация по потоку запроса |
Storage Blob Data Contributor |
Служба искусственного интеллекта Azure | Учетная запись хранения | Чтение из входного контейнера, запись в результат предварительной обработки в выходной контейнер. | Документация По Azure OpenAI |
Storage Blob Data Contributor |
Поиск с использованием ИИ Azure | Учетная запись хранения | Чтение BLOB-объектов и запись хранилища знаний | Документация по поиску. |
Настраиваемая конфигурация DNS
Дополнительные сведения о конфигурациях пересылки DNS см. в Машинное обучение Azure пользовательской статье DNS.
Если необходимо настроить пользовательский DNS-сервер без перенаправления DNS, используйте следующие шаблоны для необходимых записей A.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms<AI-PROJECT-GUID>.workspace.<region>.api.azureml.msml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.netml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.netПримечание.
Имя рабочей области для этого полного доменного имени может быть усечено. Усечение выполняется для того, чтобы длина
ml-<workspace-name, truncated>-<region>-<workspace-guid>не превышала 63 символа.<instance-name>.<region>.instances.azureml.msПримечание.
- Доступ к вычислительным экземплярам можно получить только в пределах виртуальной сети.
- IP-адрес для этого полного доменного имени не является IP-адресом вычислительного экземпляра. Вместо этого используйте частный IP-адрес частной конечной точки рабочей области (IP-адреса записей
*.api.azureml.ms).
<managed online endpoint name>.<region>.inference.ml.azure.com— используется управляемыми подключенными конечными точками
Чтобы найти частные IP-адреса для записей A, ознакомьтесь с Машинное обучение Azure пользовательской статьей DNS. Чтобы проверка AI-PROJECT-GUID, перейдите к портал Azure, выберите проект, параметры, свойства и идентификатор рабочей области.
Ограничения
- Частные службы ИИ Azure и поиск Azure ИИ не поддерживаются.
- Функция "Добавить данные" на игровой площадке Azure AI Studio не поддерживает частную учетную запись хранения.
- При использовании Mozilla Firefox могут возникнуть проблемы, пытающиеся получить доступ к частной конечной точке для центра искусственного интеллекта Azure. Эта проблема может быть связана с DNS по протоколу HTTPS в Mozilla Firefox. Мы рекомендуем использовать Microsoft Edge или Google Chrome.