Sdílet prostřednictvím

Použití kolekcí katalogu modelů se spravovanou virtuální sítí pracovního prostoru

  • Článek

V tomto článku se dozvíte, jak používat různé kolekce v katalogu modelů v izolované síti.

Spravovaná virtuální síť pracovního prostoru je jediným způsobem, jak podporovat izolaci sítě pomocí katalogu modelů. Poskytuje snadnou konfiguraci pro zabezpečení pracovního prostoru. Po povolení spravované virtuální sítě na úrovni pracovního prostoru budou prostředky související s pracovním prostorem ve stejné virtuální síti používat stejné nastavení sítě na úrovni pracovního prostoru. Pracovní prostor můžete také nakonfigurovat tak, aby používal privátní koncový bod pro přístup k dalším prostředkům Azure, jako je Azure OpenAI. Kromě toho můžete nakonfigurovat pravidlo plně kvalifikovaného názvu domény tak, aby schvalovat odchozí provoz na prostředky mimo Azure, které je nutné použít některé kolekce v katalogu modelů. Podívejte se, jak spravovaná izolace sítě pracovního prostoru povolit virtuální síť spravovanou pracovním prostorem.

Vytvoření spravované virtuální sítě se odloží, dokud se nevytvořil výpočetní prostředek nebo se ručně nespravuje zřizování. K ruční aktivaci zřizování sítě můžete použít následující příkaz.

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

Virtuální síť spravovaná pracovním prostorem pro povolení odchozího připojení k internetu

  1. Nakonfigurujte pracovní prostor se spravovanou virtuální sítí tak, aby umožňoval odchozí provoz internetu podle zde uvedených kroků.

  2. Pokud se rozhodnete nastavit přístup k veřejné síti k pracovnímu prostoru tak, aby byl zakázaný, můžete se k tomuto pracovnímu prostoru připojit jedním z následujících způsobů:

    • Azure VPN Gateway – Připojuje místní sítě k virtuální síti přes privátní připojení. Připojení se provádí přes veřejný internet. Existují dva typy bran VPN, které můžete použít:

      • Point-to-site: Každý klientský počítač používá klienta VPN pro připojení k virtuální síti.
      • Site-to-site: Zařízení VPN připojí virtuální síť k místní síti.

    • ExpressRoute – Připojuje místní sítě k cloudu přes privátní připojení. Připojení se provádí pomocí poskytovatele připojení.

    • Azure Bastion – V tomto scénáři vytvoříte virtuální počítač Azure (někdy označovaný jako jump box) ve virtuální síti. Pak se k virtuálnímu počítači připojíte pomocí služby Azure Bastion. Bastion umožňuje připojení k virtuálnímu počítači pomocí relace RDP nebo SSH z místního webového prohlížeče. Pak jako vývojové prostředí použijete jump box. Vzhledem k tomu, že se nachází ve virtuální síti, má přímý přístup k pracovnímu prostoru.

Vzhledem k tomu, že spravovaná virtuální síť pracovního prostoru má přístup k internetu v této konfiguraci, můžete pracovat se všemi kolekcemi v katalogu modelů z pracovního prostoru.

Virtuální síť spravovaná pracovním prostorem pro povolení pouze schválených odchozích přenosů

  1. Nakonfigurujte pracovní prostor podle spravovaná izolace sítě pracovního prostoru. V kroku 3 kurzu při výběru přístupu spravovaného odchozího přístupu pracovního prostoru vyberte Povolit pouze schválené odchozí přenosy.
  2. Pokud nastavíte přístup k veřejné síti k pracovnímu prostoru tak, aby byl zakázaný, můžete se k tomuto pracovnímu prostoru připojit pomocí jedné z metod uvedených v kroku 2 tohoto kurzu pro odchozí internetové přenosy.
  3. Virtuální síť spravovaná pracovním prostorem je nastavená na konfiguraci povolit pouze. Musíte přidat odpovídající uživatelem definované odchozí pravidlo, které povolí všechny relevantní plně kvalifikované názvy domén.
    1. Na tomto odkazu najdete seznam plně kvalifikovaných názvů domén požadovaných pro kolekci kurátorovanou službou Azure AI.
    2. Na tomto odkazu najdete seznam plně kvalifikovaných názvů domén požadovaných pro kolekci Hugging Face.

Práce s opensourcovými modely kurátorovanými službou Azure Machine Learning

Virtuální síť spravovaná pracovním prostorem umožňující pouze schválené odchozí přenosy používá zásady koncového bodu služby k účtům spravovaného úložiště služby Azure Machine Learning, které pomáhají přistupovat k modelům v kolekcích kurátorovaných službou Azure Machine Learning předem. Tento režim konfigurace pracovního prostoru má také výchozí odchozí provoz do služby Microsoft Container Registry, která obsahuje image Dockeru použitou k nasazení modelů.

Jazykové modely v kolekci Kurátorované podle Azure AI

Tyto modely zahrnují dynamickou instalaci závislostí za běhu. Pokud chcete přidat pravidlo definované uživatelem pro odchozí provoz, postupujte podle kroku 4: Pokud chcete použít kurátorovanou kolekci Azure AI, měli by uživatelé na úrovni pracovního prostoru přidat uživatelsky definovaná odchozí pravidla pro následující plně kvalifikované názvy domén:

  • *.anaconda.org
  • *.anaconda.com
  • anaconda.com
  • pypi.org
  • *.pythonhosted.org
  • *.pytorch.org
  • pytorch.org

Podle kroku 4 v kurzu spravované virtuální sítě přidejte odpovídající pravidla odchozích přenosů definovaná uživatelem.

Upozorňující

Odchozí pravidla plně kvalifikovaného názvu domény se implementují pomocí služby Azure Firewall. Pokud používáte pravidla odchozího plně kvalifikovaného názvu domény, poplatky za službu Azure Firewall se zahrnou do fakturace. Další informace najdete na stránce s cenami.

Metasbídka

Uživatelé můžou s touto kolekcí pracovat v izolovaných pracovních prostorech sítě bez dalších pravidel definovaných uživatelem odchozích přenosů.

Poznámka:

Do katalogu modelů se často přidávají nové kurátorované kolekce. Tuto dokumentaci aktualizujeme tak, aby odrážela podporu v privátních sítích pro různé kolekce.

Práce s kolekcí Hugging Face

Váhy modelu nejsou hostované v Azure, pokud používáte registr Hugging Face. Váhy modelu se během nasazení stahují přímo z rozbočovače Hugging Face do koncových bodů online v pracovním prostoru. Uživatelé musí přidat následující pravidla odchozích plně kvalifikovaných názvů domén pro Hugging Face Hub, Docker Hub a jejich sítě CDN, aby povolili provoz do následujících hostitelů:

  • docker.io
  • huggingface.co
  • production.cloudflare.docker.com
  • cdn-lfs.huggingface.co
  • cdn.auth0.com

Podle kroku 4 v kurzu spravované virtuální sítě přidejte odpovídající pravidla odchozích přenosů definovaná uživatelem.

Další kroky