如何設定 Azure AI 中樞的私人連結
注意
Azure AI Studio 目前處於公開預覽。 提供此預覽時並無搭配服務等級協定,因此我們不建議將其用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
我們提供兩個網路隔離層面。 其中一個是存取 Azure AI 中樞的網路隔離。 另一個是 Azure AI 中樞和 Azure AI 專案中計算資源的網路隔離,例如計算實例、無伺服器和受控在線端點。 本文說明圖表中醒目提示的前者。 您可以使用私人連結來建立 Azure AI 中樞及其預設資源的私人連線。 本文適用於 Azure AI Studio(AI 中樞和 AI 專案)。 如需 Azure AI 服務的資訊,請參閱 Azure AI 服務檔。
您會在資源群組中取得數個 Azure AI 中樞預設資源。 您必須設定下列網路隔離設定。
- 停用 Azure AI 中樞預設資源的公用網路存取,例如 Azure 儲存體、Azure 金鑰保存庫 和 Azure Container Registry。
- 建立 Azure AI 中樞預設資源的私人端點連線。 您需要有預設記憶體帳戶的 Blob 和檔案私人端點。
- 受控識別設定 可讓 Azure AI 中樞資源在私人的情況下存取您的記憶體帳戶。
- Azure AI 服務和 Azure AI 搜尋應為公用。
必要條件
您必須有現有的 Azure 虛擬網絡,才能在 中建立私人端點。
重要
不建議針對 VNet 使用 172.17.0.0/16 IP 位址範圍。 這是 Docker 網橋網路或內部部署所使用的預設子網範圍。
在新增私人端點之前,請先停用私人端點的網路原則。
建立使用私人端點的 Azure AI
使用下列其中一種方法來建立具有私人端點的 Azure AI 中樞資源。 這兩種方法都需要現有的虛擬網路:
- 從 Azure 入口網站,移至 Azure AI Studio,然後選擇 [+ 新增 Azure AI]。
- 在 [網络] 索引標籤中選擇網路隔離模式。
- 向下捲動至 [ 工作區輸入存取 ],然後選擇 [ + 新增]。
- 輸入必要的欄位。 選取 [區域] 時,請選取與您的虛擬網路相同的區域。
將私人端點新增至 Azure AI 中樞
使用下列其中一種方法,將私人端點新增至現有的 Azure AI 中樞:
- 從 Azure 入口網站 中,選取您的 Azure AI 中樞。
- 從頁面左側選取 [網路功能],然後選取 [私人端點連線] 索引標籤。
- 選取 [區域] 時,請選取與您的虛擬網路相同的區域。
- 選擇 [資源類型] 時,請使用
azuremlworkspace。 - 將 [資源] 設定為您的工作區名稱。
最後,選取 [建立] 以建立私人端點。
移除私人端點
您可以移除 Azure AI 中樞的一或所有私人端點。 拿掉私人端點會從與端點相關聯的 Azure 虛擬網絡 移除 Azure AI 中樞。 拿掉私人端點可能會防止 Azure AI 中樞存取該虛擬網路中的資源,或虛擬網路中的資源無法存取工作區。 例如,如果虛擬網路不允許存取或從公用因特網存取。
警告
拿掉 AI 中樞 的私人端點並不會公開存取。 若要讓 AI 中樞可供公開存取,請使用啟用公用存取一節中的步驟。
若要移除私人端點,請使用下列資訊:
- 從 Azure 入口網站,選取您的 Azure AI 中樞。
- 從頁面左側選取 [網路功能],然後選取 [私人端點連線] 索引標籤。
- 選取要移除的端點,然後選取 [移除]。
啟用公用存取
在某些情況下,您可能想要允許有人透過公用端點連線到受保護的 Azure AI 中樞,而不是透過虛擬網路。 或者,您可能想要從虛擬網路移除工作區,然後重新啟用公用存取。
重要
啟用公用存取並不會移除任何存在的私人端點。 私人端點所連線之虛擬網路後方元件之間的所有通訊仍會受到保護。 除了透過任何私人端點的私人存取之外,它只允許公用存取 Azure AI 中樞。
若要啟用公用存取,請使用下列步驟:
- 從 Azure 入口網站 中,選取您的 Azure AI 中樞。
- 從頁面左側選取 [網路功能],然後選取 [公用存取] 索引標籤。
- 選取 [從所有網路上啟用],然後選取 [儲存]。
受控識別組態
如果您將記憶體帳戶設為私人,則需要受管理身分識別設定。 我們的服務需要使用 [允許受信任服務列表中的 Azure 服務] 存取此儲存器帳戶,並使用下列受控識別設定來讀取/寫入私人記憶體帳戶中的數據。 啟用系統指派的 Azure AI 服務和 Azure AI 搜尋的受控識別,然後為每個受控識別設定角色型訪問控制。
| 角色 | 受控識別 | 資源 | 用途 | 參考 |
|---|---|---|---|---|
Storage File Data Privileged Contributor |
Azure AI 專案 | 儲存體帳戶 | 讀取/寫入提示流程數據。 | 提示流程檔 |
Storage Blob Data Contributor |
Azure AI 服務 | 儲存體帳戶 | 從輸入容器讀取,寫入至前置處理結果至輸出容器。 | Azure OpenAI Doc |
Storage Blob Data Contributor |
Azure AI 搜尋服務 | 儲存體帳戶 | 讀取 Blob 和寫入知識存放區 | 搜尋檔。 |
自定義 DNS 組態
如需 DNS 轉送組態,請參閱 Azure 機器學習 自定義 DNS 一文。
如果您需要設定自定義 DNS 伺服器而不使用 DNS 轉送,請使用下列模式來取得所需的 A 記錄。
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms<AI-PROJECT-GUID>.workspace.<region>.api.azureml.msml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.netml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net注意
此 FQDN 的工作區名稱可能會遭到截斷。 已完成截斷以保留
ml-<workspace-name, truncated>-<region>-<workspace-guid>63 個字元或更少。<instance-name>.<region>.instances.azureml.ms注意
- 您只能從虛擬網路內計算執行個體。
- 此 FQDN 的 IP 位址不是計算執行個體的 IP 位址。 相反地,請使用工作區私人端點的私人 IP 位址 (
*.api.azureml.ms項目的 IP)。
<managed online endpoint name>.<region>.inference.ml.azure.com- 更新受控線上端點
若要尋找 A 記錄的私人 IP 位址,請參閱 Azure 機器學習 自定義 DNS 一文。 若要檢查 AI-PROJECT-GUID,請移至 Azure 入口網站,選取您的 Azure AI 專案、設定、屬性,並顯示工作區標識碼。
限制
- 不支援私人 Azure AI 服務和 Azure AI 搜尋。
- Azure AI Studio 遊樂場中的「新增資料」功能不支援私人儲存體帳戶。
- 如果您使用Mozilla Firefox,嘗試存取 Azure AI 中樞的私人端點時,可能會遇到問題。 此問題可能與 Mozilla Firefox 中的 HTTPS 上的 DNS 相關。 建議您使用 Microsoft Edge 或 Google Chrome。