Använda modellkatalogsamlingar med arbetsytehanterat virtuellt nätverk

I den här artikeln får du lära dig hur du använder de olika samlingarna i modellkatalogen i ett isolerat nätverk.

Arbetsytans hanterade virtuella nätverk är det rekommenderade sättet att stödja nätverksisolering med modellkatalogen. Det ger enkel konfiguration för att skydda din arbetsyta. När du har aktiverat hanterat virtuellt nätverk på arbetsytans nivå använder resurser som är relaterade till arbetsytan i samma virtuella nätverk samma nätverksinställning på arbetsytans nivå. Du kan också konfigurera arbetsytan så att den använder privat slutpunkt för att få åtkomst till andra Azure-resurser, till exempel Azure OpenAI. Dessutom kan du konfigurera FQDN-regeln för att godkänna utgående till icke-Azure-resurser, vilket krävs för att använda några av samlingarna i modellkatalogen. Se hur du hanterad nätverksisolering arbetsytan för att aktivera ett hanterat virtuellt nätverk för arbetsytan.

Skapandet av det hanterade virtuella nätverket skjuts upp tills en beräkningsresurs skapas eller etableringen startas manuellt. Du kan använda följande kommando för att manuellt utlösa nätverksetablering.

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

Arbetsytehanterat virtuellt nätverk för att tillåta utgående Internet

1. Konfigurera en arbetsyta med hanterat virtuellt nätverk för att tillåta utgående Internet genom att följa stegen här.

2. Om du väljer att ställa in åtkomsten för det offentliga nätverket till arbetsytan till inaktiverad kan du ansluta till arbetsytan med någon av följande metoder:

   • Azure VPN-gateway – Anslut lokala nätverk till det virtuella nätverket via en privat anslutning. Anslut görs via det offentliga Internet. Det finns två typer av VPN-gatewayer som du kan använda:

     • Punkt-till-plats: Varje klientdator använder en VPN-klient för att ansluta till det virtuella nätverket.
     • Plats-till-plats: En VPN-enhet ansluter det virtuella nätverket till ditt lokala nätverk.

   • ExpressRoute – Anslut lokala nätverk i molnet via en privat anslutning. Anslut ion görs med hjälp av en anslutningsprovider.

   • Azure Bastion – I det här scenariot skapar du en virtuell Azure-dator (kallas ibland en hoppruta) i det virtuella nätverket. Sedan ansluter du till den virtuella datorn med Hjälp av Azure Bastion. Med Bastion kan du ansluta till den virtuella datorn med antingen en RDP- eller SSH-session från din lokala webbläsare. Sedan använder du jump-rutan som utvecklingsmiljö. Eftersom den finns i det virtuella nätverket kan den komma åt arbetsytan direkt.

Eftersom arbetsytans hanterade virtuella nätverk kan komma åt Internet i den här konfigurationen kan du arbeta med alla samlingar i modellkatalogen från arbetsytan.

Arbetsytehanterat virtuellt nätverk för att endast tillåta godkänd utgående trafik

1. Konfigurera en arbetsyta genom att följa arbetsytans hanterad nätverksisolering. I steg 3 i självstudien när du väljer Arbetsyta hanterad utgående åtkomst väljer du Tillåt endast godkänd utgående.
2. Om du ställer in åtkomsten för det offentliga nätverket till arbetsytan till inaktiverad kan du ansluta till arbetsytan med någon av metoderna som anges i steg 2 i avsnittet Tillåt utgående Internet i den här självstudien.
3. Arbetsytan som hanterar det virtuella nätverket är inställd på en tillåten konfiguration. Du måste lägga till en motsvarande användardefinierad utgående regel för att tillåta alla relevanta FQDN:er.
   1. Följ den här länken för en lista över FQDN:er som krävs för samlingen Curated by Azure AI.
   2. Följ den här länken om du vill ha en lista över FQDN:er som krävs för samlingen Hugging Face.

Arbeta med öppen källkod modeller som har kurerats av Azure Machine Learning

Arbetsytans hanterade virtuella nätverk för att endast tillåta godkänd utgående användning av en tjänstslutpunktsprincip till hanterade Lagringskonton i Azure Machine Learning för att få åtkomst till modellerna i de samlingar som kurerats av Azure Machine Learning på ett out-of-the-box-sätt. Det här läget för konfiguration av arbetsytor har också standardutgående till Microsoft Container Registry som innehåller docker-avbildningen som används för att distribuera modellerna.

Språkmodeller i samlingen "Curated by Azure AI"

Dessa modeller omfattar dynamisk installation av beroenden vid körning. Om du vill lägga till en användardefinierad regel för utgående trafik följer du steg fyra i Om du vill använda samlingen Curated by Azure AI bör användarna lägga till användardefinierade regler för utgående trafik för följande FQDN på arbetsytenivå:

• *.anaconda.org
• *.anaconda.com
• anaconda.com
• pypi.org
• *.pythonhosted.org
• *.pytorch.org
• pytorch.org

Följ steg 4 i självstudien för hanterat virtuellt nätverk för att lägga till motsvarande användardefinierade regler för utgående trafik.

Varning

FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler ingår avgifter för Azure Firewall i din fakturering. Mer information finns i Prissättning.

Metasamling

Användare kan arbeta med den här samlingen i nätverksisolerade arbetsytor utan att några andra användardefinierade regler för utgående trafik krävs.

Kommentar

Nya utvalda samlingar läggs ofta till i modellkatalogen. Vi uppdaterar den här dokumentationen så att den återspeglar stödet i privata nätverk för olika samlingar.

Arbeta med Hugging Face-samling

Modellvikterna finns inte i Azure om du använder registret Hugging Face. Modellvikterna laddas ned direkt från Hugging Face Hub till onlineslutpunkterna på din arbetsyta under distributionen. Användarna måste lägga till följande utgående FQDN-regler för Hugging Face Hub, Docker Hub och deras CDN för att tillåta trafik till följande värdar:

• docker.io
• huggingface.co
• production.cloudflare.docker.com
• cdn-lfs.huggingface.co
• cdn.auth0.com

Följ steg 4 i självstudien för hanterat virtuellt nätverk för att lägga till motsvarande användardefinierade regler för utgående trafik.

Nästa steg

• Lär dig hur du felsöker hanterade virtuella nätverk