Sdílet prostřednictvím


Konfigurace spravované sítě pro centra Azure AI Foundry

Máme dva aspekty izolace sítě. Jednou je izolace sítě pro přístup k centru Azure AI Foundry. Další možností je izolace sítě výpočetních prostředků pro váš rozbočovač i projekt (například výpočetní instanci, bezserverový a spravovaný online koncový bod).) Tento dokument vysvětluje druhý zvýrazněný v diagramu. K ochraně výpočetních prostředků můžete použít integrovanou izolaci sítě centra.

Diagram izolace sítě rozbočovače

Je potřeba nakonfigurovat následující konfigurace izolace sítě.

  • Zvolte režim izolace sítě. Máte dvě možnosti: povolíte režim odchozích přenosů z internetu nebo povolíte jenom schválený režim odchozích přenosů.
  • Pokud používáte integraci editoru Visual Studio Code s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Použití editoru Visual Studio Code .
  • Pokud používáte modely HuggingFace v modelech s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Modely HuggingFace.
  • Pokud používáte některý z opensourcových modelů s povoleným pouze schváleným odchozím režimem, vytvořte odchozí pravidla plně kvalifikovaného názvu domény popsaná v části Kurátorovaná službou Azure AI .

Architektura izolace sítě a režimy izolace

Když povolíte izolaci spravované virtuální sítě, vytvoří se pro centrum spravovaná virtuální síť. Spravované výpočetní prostředky, které vytvoříte pro centrum, automaticky používají tuto spravovanou virtuální síť. Spravovaná virtuální síť může používat privátní koncové body pro prostředky Azure používané vaším centrem, jako je Azure Storage, Azure Key Vault a Azure Container Registry.

Pro odchozí provoz ze spravované virtuální sítě existují tři různé režimy konfigurace:

Režim odchozích přenosů Popis Scénáře
Povolit odchozí připojení k internetu Povolte veškerý odchozí provoz z internetu ze spravované virtuální sítě. Chcete neomezený přístup k prostředkům strojového učení na internetu, jako jsou balíčky Pythonu nebo předem natrénované modely.1
Povolit pouze schválené odchozí přenosy Odchozí provoz je povolený zadáním značek služeb. * Chcete minimalizovat riziko exfiltrace dat, ale musíte připravit všechny požadované artefakty strojového učení ve vašem privátním prostředí.
* Chcete nakonfigurovat odchozí přístup ke schválenému seznamu služeb, značek služeb nebo plně kvalifikovaných názvů domén.
Zakázáno Příchozí a odchozí provoz není omezený. Chcete, aby se z centra zobrazovaly veřejné příchozí a odchozí přenosy.

1 Můžete použít pravidla odchozích přenosů s povoleným režimem odchozích přenosů , abyste dosáhli stejného výsledku jako použití povolit odchozí připojení k internetu. Rozdíly jsou:

  • Pro přístup k prostředkům Azure vždy používejte privátní koncové body.
  • Musíte přidat pravidla pro každé odchozí připojení, které potřebujete povolit.
  • Přidání odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady , protože tento typ pravidla používá Službu Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.
  • Výchozí pravidla pro povolení pouze schválených odchozích přenosů jsou navržená tak, aby minimalizovala riziko exfiltrace dat. Všechna pravidla odchozích přenosů, která přidáte, můžou zvýšit riziko.

Spravovaná virtuální síť je předem nakonfigurovaná s požadovanými výchozími pravidly. Je také nakonfigurovaná pro připojení privátních koncových bodů k vašemu centru, výchozí úložiště centra, registr kontejnerů a trezor klíčů, pokud jsou nakonfigurované jako privátní nebo režim izolace centra je nastavený tak, aby umožňoval pouze schválené odchozí přenosy. Po výběru režimu izolace je potřeba vzít v úvahu jenom další odchozí požadavky, které možná budete muset přidat.

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala odchozí provoz internetu:

Diagram izolace spravované virtuální sítě nakonfigurované pro odchozí provoz internetu

Následující diagram znázorňuje spravovanou virtuální síť nakonfigurovanou tak, aby umožňovala pouze schválené odchozí přenosy:

Poznámka:

V této konfiguraci se úložiště, trezor klíčů a registr kontejnerů používaný centrem označí jako privátní. Vzhledem k tomu, že jsou označené jako soukromé, privátní koncový bod se používá ke komunikaci s nimi.

Diagram izolace spravované virtuální sítě nakonfigurované pro povolení pouze schválených odchozích přenosů

Požadavky

Než budete postupovat podle kroků v tomto článku, ujistěte se, že máte následující požadavky:

  • Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

  • Poskytovatel prostředků Microsoft.Network musí být zaregistrovaný pro vaše předplatné Azure. Tento poskytovatel prostředků používá centrum při vytváření privátních koncových bodů pro spravovanou virtuální síť.

    Informace o registraci poskytovatelů prostředků najdete v tématu Řešení chyb registrace poskytovatele prostředků.

  • Identita Azure, kterou použijete při nasazování spravované sítě, vyžaduje k vytvoření privátních koncových bodů následující akce řízení přístupu na základě role Azure (Azure RBAC ):

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Omezení

  • Azure AI Foundry v současné době nepodporuje přenesení vlastní virtuální sítě, podporuje pouze izolaci spravované virtuální sítě.
  • Jakmile povolíte izolaci spravované virtuální sítě azure AI, nemůžete ji zakázat.
  • Spravovaná virtuální síť používá pro přístup k vašim privátním prostředkům připojení privátního koncového bodu. Privátní koncový bod a koncový bod služby nemůžete mít současně pro prostředky Azure, jako je účet úložiště. Doporučujeme ve všech scénářích. používat privátní koncové body.
  • Spravovaná virtuální síť se odstraní při odstranění Azure AI.
  • Ochrana před exfiltrací dat je automaticky povolená pro jediný schválený odchozí režim. Pokud do plně kvalifikovaných názvů domén přidáte další pravidla odchozích přenosů, Microsoft nezaručuje, že jste chráněni před exfiltrací dat do těchto odchozích cílů.
  • Použití odchozích pravidel plně kvalifikovaného názvu domény zvyšuje náklady na spravovanou virtuální síť, protože pravidla plně kvalifikovaného názvu domény používají službu Azure Firewall. Další informace najdete na stránce s cenami.
  • Odchozí pravidla plně kvalifikovaného názvu domény podporují jenom porty 80 a 443.
  • Při použití výpočetní instance se spravovanou sítí se pomocí az ml compute connect-ssh příkazu připojte k výpočetnímu objektu pomocí SSH.
  • Pokud je vaše spravovaná síť nakonfigurovaná tak, aby povolovala pouze schválené odchozí přenosy, nemůžete pro přístup k účtům Azure Storage použít pravidlo plně kvalifikovaného názvu domény. Místo toho musíte použít privátní koncový bod.

Konfigurace spravované virtuální sítě pro povolení odchozích přenosů z internetu

Tip

Vytvoření spravované virtuální sítě se odloží až do ručního spuštění výpočetního prostředku nebo jeho zřízení. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť.

  • Vytvořte nové centrum:

    1. Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure AI Foundry.

    2. Vyberte + Nová AI Azure.

    3. Zadejte požadované informace na kartě Základy .

    4. Na kartě Sítě vyberte Možnost Privátní s odchozím internetovým přenosem.

    5. Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů zadejte následující informace:

      • Název pravidla: Název pravidla. Název musí být pro toto centrum jedinečný.
      • Typ cíle: Privátní koncový bod je jedinou možností, pokud je izolace sítě privátní s odchozím internetem. Virtuální síť spravovaná centrem nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .
      • Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
      • Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
      • Typ prostředku: Typ prostředku Azure.
      • Název prostředku: Název prostředku Azure.
      • Dílčí prostředek: Podnabídka typu prostředku Azure.

      Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.

    6. Pokračujte ve vytváření centra jako obvykle.

  • Aktualizace existujícího centra:

    1. Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.

    2. Vyberte Sítě a pak vyberte Privátní s odchozím internetem.

      • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů zadejte stejné informace jako při vytváření centra v části Vytvořit nové centrum.

      • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

    3. Výběrem možnosti Uložit v horní části stránky uložte změny ve spravované virtuální síti.

Konfigurace spravované virtuální sítě pro povolení pouze schválených odchozích přenosů

Tip

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetního prostředku. Když povolíte automatické vytváření, může vytvoření prvního výpočetního prostředku trvat přibližně 30 minut , protože také zřizuje síť. Pokud jste nakonfigurovali odchozí pravidla plně kvalifikovaného názvu domény, první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut .

  • Vytvořte nové centrum:

    1. Přihlaste se k webu Azure Portal a v nabídce Vytvořit prostředek zvolte Azure AI Foundry.

    2. Vyberte + Nová AI Azure.

    3. Zadejte požadované informace na kartě Základy .

    4. Na kartě Sítě vyberte Možnost Soukromá se schváleným odchozím provozem.

    5. Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě . Na bočním panelu pravidel odchozích přenosů zadejte následující informace:

      • Název pravidla: Název pravidla. Název musí být pro toto centrum jedinečný.
      • Typ cíle: Privátní koncový bod, značka služby nebo plně kvalifikovaný název domény. Značka služby a plně kvalifikovaný název domény jsou k dispozici pouze v případě, že izolace sítě je soukromá se schváleným odchozím provozem.

      Pokud je cílovým typem privátní koncový bod, zadejte následující informace:

      • Předplatné: Předplatné, které obsahuje prostředek Azure, pro který chcete přidat privátní koncový bod.
      • Skupina prostředků: Skupina prostředků obsahující prostředek Azure, pro který chcete přidat privátní koncový bod.
      • Typ prostředku: Typ prostředku Azure.
      • Název prostředku: Název prostředku Azure.
      • Dílčí prostředek: Podnabídka typu prostředku Azure.

      Tip

      Spravovaná virtuální síť centra nepodporuje vytvoření privátního koncového bodu pro všechny typy prostředků Azure. Seznam podporovaných prostředků najdete v části Privátní koncové body .

      Pokud je cílovým typem značka služby, zadejte následující informace:

      • Značka služby: Značka služby, která se má přidat do schválených odchozích pravidel.
      • Protokol: Protokol, který povoluje značku služby.
      • Rozsahy portů: Rozsahy portů, které umožňují značku služby.

      Pokud je cílový typ plně kvalifikovaný název domény, zadejte následující informace:

      • Cíl plně kvalifikovaného názvu domény: Plně kvalifikovaný název domény, který se má přidat do schválených pravidel odchozích přenosů.

      Pravidlo uložte kliknutím na tlačítko Uložit. Přidat pravidla odchozích přenosů definovaná uživatelem můžete dál používat k přidání pravidel.

    6. Pokračujte ve vytváření centra jako obvykle.

  • Aktualizace existujícího centra:

    1. Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.

    2. Vyberte Sítě a pak vyberte Soukromé se schváleným odchozím provozem.

      • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů zadejte stejné informace jako při vytváření centra v předchozí části Vytvoření nového centra.

      • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

    3. Výběrem možnosti Uložit v horní části stránky uložte změny ve spravované virtuální síti.

Ruční zřízení spravované virtuální sítě

Spravovaná virtuální síť se automaticky zřídí při vytváření výpočetní instance. Když spoléháte na automatické zřizování, může vytvoření první výpočetní instance trvat přibližně 30 minut , protože síť zřizuje. Pokud jste nakonfigurovali pravidla odchozích přenosů plně kvalifikovaného názvu domény (k dispozici pouze v povoleném režimu), první pravidlo plně kvalifikovaného názvu domény přidá do doby zřizování přibližně 10 minut . Pokud máte ve spravované síti zřízenou velkou sadu odchozích pravidel, může trvat déle, než se zřizování dokončí. Vyšší doba zřizování může způsobit vypršení časového limitu prvního vytvoření výpočetní instance.

Pokud chcete zkrátit dobu čekání a vyhnout se potenciálním chybám časového limitu, doporučujeme spravovanou síť zřídit ručně. Pak počkejte, až se zřizování dokončí, než vytvoříte výpočetní instanci.

Případně můžete příznak použít provision_network_now ke zřízení spravované sítě v rámci vytváření centra. Tento příznak je ve verzi Preview.

Poznámka:

Pokud chcete vytvořit online nasazení, musíte spravovanou síť zřídit ručně nebo nejprve vytvořit výpočetní instanci, která ji automaticky zřídí.

Během vytváření centra vyberte Proaktivně zřídit spravovanou síť při vytváření a zřizovat spravovanou síť. Po zřízení virtuální sítě se účtují poplatky za síťové prostředky, jako jsou privátní koncové body. Tato možnost konfigurace je k dispozici pouze při vytváření pracovního prostoru a je ve verzi Preview.

Správa odchozích pravidel

  1. Přihlaste se k webu Azure Portal a vyberte centrum, pro které chcete povolit izolaci spravované virtuální sítě.
  2. Vyberte Sítě. Oddíl Odchozí přístup Azure AI umožňuje spravovat pravidla odchozích přenosů.
  • Pokud chcete přidat odchozí pravidlo, vyberte Přidat pravidla odchozích přenosů definovaná uživatelem na kartě Sítě. Na bočním panelu pravidel odchozích přenosů Azure AI zadejte následující informace:

  • Pokud chcete pravidlo povolit nebo zakázat , použijte přepínač ve sloupci Aktivní .

  • Pokud chcete odstranit odchozí pravidlo, vyberte pro pravidlo odstranit .

Seznam požadovaných pravidel

Tip

Tato pravidla se automaticky přidají do spravované virtuální sítě.

Privátní koncové body:

  • Pokud je Allow internet outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako povinná pravidla ze spravované virtuální sítě pro centrum a přidružené prostředky se zakázaným přístupem k veřejné síti (Key Vault, účet úložiště, Container Registry, centrum).
  • Pokud je Allow only approved outboundrežim izolace spravované virtuální sítě , pravidla odchozích přenosů privátního koncového bodu se automaticky vytvoří jako požadovaná pravidla ze spravované virtuální sítě pro centrum a přidružené prostředky bez ohledu na režim přístupu k veřejné síti pro tyto prostředky (Key Vault, účet úložiště, Container Registry, centrum).

Pravidla značek odchozích služeb:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Pravidla značek příchozí služby:

  • AzureMachineLearning

Seznam pravidel konkrétních odchozích přenosů scénáře

Scénář: Přístup k veřejným balíčkům strojového učení

Pokud chcete povolit instalaci balíčků Pythonu pro trénování a nasazení, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolují provoz do následujících názvů hostitelů:

Poznámka:

Nejedná se o úplný seznam hostitelů požadovaných pro všechny prostředky Pythonu na internetu, pouze nejčastěji používané. Pokud například potřebujete přístup k úložišti GitHub nebo jinému hostiteli, musíte v takovém případě identifikovat a přidat požadované hostitele.

Název hostitele Účel
anaconda.com
*.anaconda.com
Slouží k instalaci výchozích balíčků.
*.anaconda.org Slouží k získání dat úložiště.
pypi.org Používá se k výpisu závislostí z výchozího indexu( pokud existuje) a index se nepřepíše uživatelským nastavením. Pokud je index přepsán, musíte také povolit *.pythonhosted.org.
pytorch.org
*.pytorch.org
Používá se v některých příkladech založených na PyTorchu.
*.tensorflow.org Používá se v některých příkladech založených na Tensorflow.

Scénář: Použití editoru Visual Studio Code

Visual Studio Code spoléhá na konkrétní hostitele a porty pro navázání vzdáleného připojení.

Hostitelé

Pokud plánujete používat Visual Studio Code s centrem, přidejte pravidla odchozího plně kvalifikovaného názvu domény , která povolí provoz do následujících hostitelů:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Porty

Musíte povolit síťový provoz na porty 8704 až 8710. Server VS Code dynamicky vybere první dostupný port v rámci tohoto rozsahu.

Scénář: Použití modelů HuggingFace

Pokud plánujete používat modely HuggingFace s centrem, přidejte pravidla odchozího plně kvalifikovaného názvu domény, která povolí provoz do následujících hostitelů:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Scénář: Kurátorovaný službou Azure AI

Tyto modely zahrnují dynamickou instalaci závislostí za běhu a vyžadují pravidla odchozího plně kvalifikovaného názvu domény , která umožňují provoz do následujících hostitelů:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Privátní koncové body

Privátní koncové body se v současné době podporují pro následující služby Azure:

  • Centrum Azure AI Foundry
  • Azure AI Vyhledávač
  • Služby Azure AI
  • Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (všechny podtypy prostředků)
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Jednoúčelový server Azure Database for PostgreSQL
  • Flexibilní server Azure Database for PostgreSQL
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Registry služby Azure Machine Learning
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (všechny podtypy prostředků)

Při vytváření privátního koncového bodu zadáte typ prostředku a podsourc , ke kterému se koncový bod připojí. Některé prostředky mají více typů a podsourců. Další informace najdete v privátním koncovém bodu.

Když vytvoříte privátní koncový bod pro prostředky závislostí centra, jako jsou Azure Storage, Azure Container Registry a Azure Key Vault, může být prostředek v jiném předplatném Azure. Prostředek však musí být ve stejném tenantovi jako centrum.

Privátní koncový bod se automaticky vytvoří pro připojení, pokud cílový prostředek je dříve uvedený prostředek Azure. Pro privátní koncový bod se očekává platné CÍLOVÉ ID. Platným ID cíle pro připojení může být ID Azure Resource Manageru nadřazeného prostředku. Cílové ID je také očekáváno v cíli připojení nebo v metadata.resourceid. Další informace o připojeních najdete v tématu Přidání nového připojení na portálu Azure AI Foundry.

Vyberte verzi služby Azure Firewall pro povolené pouze schválené odchozí přenosy (Preview).

Azure Firewall se nasadí v případě, že se vytvoří odchozí pravidlo plně kvalifikovaného názvu domény v povoleném režimu jenom pro odchozí komunikaci . Poplatky za Azure Firewall jsou součástí fakturace. Ve výchozím nastavení se vytvoří standardní verze AzureFirewallu. Volitelně můžete vybrat použití základní verze. Podle potřeby můžete změnit verzi brány firewall. Pokud chcete zjistit, která verze je pro vás nejvhodnější, přejděte na výběr správné verze služby Azure Firewall.

Důležité

Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Další informace o cenách najdete v tématu Ceny služby Azure Firewall a ceny standardní verze.

Na následujících kartách se dozvíte, jak vybrat verzi brány firewall pro spravovanou virtuální síť.

Jakmile vyberete povolený jenom schválený režim odchozích přenosů, zobrazí se možnost pro výběr verze služby Azure Firewall (SKU). Pokud chcete použít základní verzi, vyberte standard nebo Basic . Vyberte Uložit a uložte konfiguraci.

Ceny

Funkce spravované virtuální sítě centra je bezplatná. Poplatky se vám ale účtují za následující prostředky, které používá spravovaná virtuální síť:

  • Azure Private Link – Privátní koncové body používané k zabezpečení komunikace mezi spravovanou virtuální sítí a prostředky Azure závisí na službě Azure Private Link. Další informace o cenách najdete v tématu Ceny služby Azure Private Link.

  • Pravidla odchozích přenosů plně kvalifikovaného názvu domény – pravidla odchozích přenosů plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Ve výchozím nastavení se používá standardní verze služby Azure Firewall. Informace o výběru základní verze najdete v tématu Výběr verze služby Azure Firewall. Azure Firewall je zřízený pro každé centrum.

    Důležité

    Brána firewall se nevytvořila, dokud nepřidáte pravidlo odchozího plně kvalifikovaného názvu domény. Pokud nepoužíváte pravidla plně kvalifikovaného názvu domény, nebudou se vám účtovat poplatky za službu Azure Firewall. Další informace o cenách najdete v tématu o cenách služby Azure Firewall.