Freigeben über


Konfigurieren eines verwalteten Netzwerks für Azure KI Studio-Hubs

Wir haben zwei Aspekte der Netzwerkisolation. Eines ist die Netzwerkisolation für den Zugriff auf einen Azure KI Studio-Hub. Ein anderes ist die Netzwerkisolation von Computingressourcen für Ihren Hub und Ihr Projekt (z. B. Compute-Instanz, serverlos und verwalteter Onlineendpunkt). Dieses Dokument erklärt den letzteren, im Diagramm hervorgehobenen Punkt. Sie können die integrierte Netzwerkisolation verwenden, um Ihre Computingressourcen zu schützen.

Diagramm der Hubnetzwerkisolation

Sie müssen die folgenden Konfigurationen für die Netzwerkisolation konfigurieren.

  • Wählen Sie den Netzwerkisolationsmodus aus. Wir haben zwei Optionen: Den Modus „ausgehenden Internetdatenverkehr zulassen“ oder den Modus „nur genehmigten ausgehenden Datenverkehr zulassen“.
  • Wenn Sie die Visual Studio Code-Integration mit dem Modus „nur genehmigten ausgehenden Datenverkehr zulassen“ verwenden, erstellen Sie FQDN-Ausgangsregeln, die im Abschnitt zur Verwendung von Video Studio Code beschrieben sind.
  • Wenn Sie Hugging Face-Modelle in Modellen mit dem Modus „nur zugelassenen ausgehenden Datenverkehr“ verwenden, erstellen Sie FQDN-Ausgangsregeln, die im Abschnitt zur Verwendung von Hugging Face-Modellen beschrieben sind.
  • Wenn Sie eines der Open-Source-Modelle mit nur genehmigtem ausgehendem Modus verwenden, erstellen Sie FQDN-Ausgehende Regeln, die im Abschnitt von Azure KI kuratiert wurden.

Netzwerkisolationsarchitektur und Isolationsmodi

Wenn Sie die Isolation verwalteter virtueller Netzwerke aktivieren, wird ein verwaltetes virtuelles Netzwerk für den Hub erstellt. Verwaltete Computeressourcen, die Sie für den Hub erstellen, verwenden automatisch dieses verwaltete virtuelle Netzwerk. Das verwaltete virtuelle Netzwerk kann private Endpunkte für Azure-Ressourcen verwenden, die von Ihrem Hub verwendet werden (z. B. Azure Storage, Azure Key Vault und Azure Container Registry).

Es gibt drei verschiedene Konfigurationsmodi für ausgehenden Datenverkehr aus dem verwalteten virtuellen Netzwerk:

Ausgehender Modus BESCHREIBUNG Szenarien
Ausgehenden Internetdatenverkehr zulassen Lassen Sie den gesamten ausgehenden Internetdatenverkehr des verwalteten virtuellen Netzwerks zu. Es empfiehlt sich der uneingeschränkte Zugriff auf Ressourcen für maschinelles Lernen im Internet, z. B. Python-Pakete oder vortrainierte Modelle.1
Nur genehmigten ausgehenden Datenverkehr zulassen Ausgehender Datenverkehr wird durch Angabe von Diensttags zugelassen. * Sie sollten das Risiko der Datenexfiltration minimieren, aber Sie müssen alle erforderlichen Artefakte des maschinellen Lernens in Ihrer privaten Umgebung vorbereiten.
* Sie sollten den ausgehenden Zugriff auf eine genehmigte Liste von Diensten, Diensttags oder FQDNs konfigurieren.
Disabled Eingehender und ausgehender Datenverkehr ist nicht eingeschränkt. Sie möchten ein- und ausgehende öffentliche Daten aus dem Hub.

1 Sie können Ausgangsregeln im Modus nur genehmigten ausgehenden Datenverkehr zulassen verwenden, um damit dasselbe Ergebnis wie im Modus „ausgehenden Internetdatenverkehr zulassen“ zu erzielen. Folgende Unterschiede bestehen:

  • Verwenden Sie immer private Endpunkte, um auf Azure-Ressourcen zuzugreifen.
  • Sie müssen Regeln für jede ausgehende Verbindung hinzufügen, die Sie zulassen müssen.
  • Das Hinzufügen von FQDN-Ausgangsregeln erhöht Ihre Kosten, da dieser Regeltyp Azure Firewall verwendet. Wenn Sie ausgehende FQDN-Regeln verwenden, sind Gebühren für Azure Firewall in Ihrer Abrechnung enthalten. Weitere Informationen finden Sie unter Preise.
  • Die Standardregeln für Nur genehmigten ausgehenden Datenverkehr zulassen sind so konzipiert, dass das Risiko einer Datenexfiltration minimiert wird. Alle Ausgangsregeln, die Sie hinzufügen, erhöhen möglicherweise das Risiko.

Das verwaltete virtuelle Netzwerk ist mit erforderlichen Standardregeln vorkonfiguriert. Es ist auch für Verbindungen mit privaten Endpunkten zu Ihrem Hub, dem Standardspeicher des Hubs, der Containerregistrierung und dem Schlüsseltresor konfiguriert, wenn diese als privat konfiguriert sind, oder der Hubisolationsmodus ist so festgelegt, dass nur genehmigter ausgehender Datenverkehr zugelassen wird. Nachdem Sie den Isolationsmodus ausgewählt haben, müssen Sie nur noch weitere Anforderungen für ausgehenden Datenverkehr berücksichtigen, die Sie möglicherweise hinzufügen müssen.

Das folgende Diagramm zeigt ein verwaltetes virtuelles Netzwerk, das für den ausgehenden Internetzugriff konfiguriert ist:

Diagramm der Isolation verwalteter virtueller Netzwerke, die für ausgehenden Internetdatenverkehr konfiguriert ist

Das folgende Diagramm zeigt ein verwaltetes virtuelles Netzwerk, das für nur genehmigtes ausgehendes Internet zulassen konfiguriert ist:

Hinweis

In dieser Konfiguration werden der vom Hub verwendete Speicher, der Schlüsseltresor und die Containerregistrierung als privat gekennzeichnet. Da sie als privat gekennzeichnet sind, wird ein privater Endpunkt für die Kommunikation mit ihnen verwendet.

Diagramm der Isolation verwalteter virtueller Netzwerke, die nur für genehmigten ausgehenden Datenverkehr konfiguriert ist

Voraussetzungen

Stellen Sie vor dem Ausführen der Schritte in diesem Artikel sicher, dass Sie über die folgenden erforderlichen Komponenten verfügen:

  • Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

  • Der Microsoft.Network-Ressourcenanbieter muss für Ihr Azure-Abonnement registriert sein. Dieser Ressourcenanbieter wird vom Hub beim Erstellen privater Endpunkte für das verwaltete virtuelle Netzwerk verwendet.

    Weitere Informationen zum Registrieren eines Ressourcenanbieters finden Sie unter Beheben von Fehlern bei der Ressourcenanbieterregistrierung.

  • Die Azure-Identität, die Sie beim Bereitstellen eines verwalteten Netzwerks verwenden, erfordert die folgenden azure role-based access control (Azure RBAC)- Aktionen zum Erstellen privater Endpunkte:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Begrenzungen

  • Azure KI Studio unterstützt derzeit keine eigenen virtuellen Netzwerke, sondern nur die Isolation verwalteter virtueller Netzwerke.
  • Die Aktivierung der Isolation verwalteter virtueller Netzwerke für Ihre Azure KI-Instanz kann nicht rückgängig gemacht werden.
  • Das verwaltete virtuelle Netzwerk verwendet eine private Endpunktverbindung, um auf Ihre privaten Ressourcen zuzugreifen. Sie können für Ihre Azure-Ressourcen (z. B. ein Speicherkonto) nicht gleichzeitig über einen privaten Endpunkt und über einen Dienstendpunkt verfügen. Es wird empfohlen, in allen Szenarien private Endpunkte zu verwenden.
  • Das verwaltete virtuelle Netzwerk wird gelöscht, wenn die Azure KI-Instanz gelöscht wird.
  • Der Schutz vor Datenexfiltration wird automatisch für den einzigen genehmigten ausgehenden Modus aktiviert. Wenn Sie andere Ausgangsregeln hinzufügen, z. B. FQDNs, kann Microsoft nicht garantieren, dass Sie vor Datenexfiltration in diese ausgehenden Ziele geschützt sind.
  • Die Verwendung von FQDN-Ausgangsregeln erhöht die Kosten des verwalteten virtuellen Netzwerks, da FQDN-Regeln Azure Firewall verwenden. Weitere Informationen finden Sie unter Preise.
  • Ausgehende FQDN-Regeln unterstützen nur die Ports 80 und 443.
  • Wenn Sie eine Compute-Instanz mit einem verwalteten Netzwerk verwenden, können Sie den Befehl az ml compute connect-ssh verwenden, um eine SSH-Verbindung mit der Compute-Instanz herzustellen.
  • Wenn Ihr verwaltetes Netzwerk mit der Einstellung Nur genehmigten ausgehenden Datenverkehr zulassen konfiguriert ist, können Sie keine FQDN-Regel (Fully Qualified Domain Name, vollqualifizierter Domänenname) verwenden, um auf Azure Storage-Konten zuzugreifen. Sie müssen stattdessen einen privaten Endpunkt verwenden.

Konfigurieren eines verwalteten virtuellen Netzwerks zum Zulassen von ausgehendem Internetdatenverkehr

Tipp

Das verwaltete VNet wird erst erstellt, nachdem eine Computeressource erstellt oder die Bereitstellung manuell gestartet wurde. Beim Zulassen der automatischen Erstellung kann es etwa 30 Minuten dauern, bis die erste Computeressource erstellt wird, da dabei auch das Netzwerk bereitgestellt wird.

  • Erstellen eines neuen Hubs:

    1. Melden Sie sich beim Azure-Portal an, und wählen Sie im Menü „Ressource erstellen“ die Option „Azure KI Studio“ aus.

    2. Wählen Sie + Neue Azure KI aus.

    3. Geben Sie die erforderlichen Informationen auf der Registerkarte Grundlagen an.

    4. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit ausgehendem Internetdatenverkehr aus.

    5. Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Seitenleiste Ausgangsregeln die folgenden Informationen an:

      • Regelname: Ein Name für die Regel. Der Name muss für diesen Hub eindeutig sein.
      • Zieltyp: Der private Endpunkt ist die einzige Option, wenn die Netzwerkisolation privat mit ausgehendem Internet ist. Das vom Hub verwaltete virtuelle Netzwerk unterstützt das Erstellen eines privaten Endpunkts für alle Azure-Ressourcentypen nicht. Eine Liste der unterstützten Ressourcen finden Sie im Abschnitt Private Endpunkte.
      • Abonnement: Das Abonnement, das die Azure-Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
      • Ressourcengruppe: Die Ressourcengruppe, die die Azure-Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
      • Ressourcentyp: Der Typ der Azure-Ressource.
      • Ressourcenname: Der Namen der Azure-Ressource.
      • Unterressource: Die Unterressource des Azure-Ressourcentyps.

      Wählen Sie Speichern aus, um die Regel zu speichern. Sie können weiterhin Benutzerdefinierte Ausgangsregeln hinzufügen verwenden, um Regeln hinzuzufügen.

    6. Fahren Sie mit der Erstellung des Hubs wie gewohnt fort.

  • Aktualisieren eines vorhandenen Hub:

    1. Melden Sie sich beim Azure-Portal an, und wählen Sie den Hub aus, für den Sie die Isolation verwalteter virtueller Netzwerke aktivieren möchten.

    2. Wählen Sie Netzwerk und dann Privat mit ausgehendem Internetdatenverkehr aus.

      • Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Seitenleiste Ausgangsregeln die gleichen Informationen an, die beim Erstellen eines Hubs im Abschnitt „Neuen Hub erstellen“ verwendet werden.

      • Um eine Ausgangsregel zu löschen, wählen Sie Löschen für die Regel aus.

    3. Wählen Sie oben auf der Seite Speichern aus, um die Änderungen im verwalteten virtuellen Netzwerk zu speichern.

Konfigurieren eines verwalteten virtuellen Netzwerks, sodass nur genehmigter ausgehender Datenverkehr zugelassen wird

Tipp

Das verwaltete VNet wird automatisch bereitgestellt, wenn Sie eine Computeressource erstellen. Beim Zulassen der automatischen Erstellung kann es etwa 30 Minuten dauern, bis die erste Computeressource erstellt wird, da dabei auch das Netzwerk bereitgestellt wird. Wenn Sie FQDN-Ausgangsregeln konfiguriert haben, verlängert die erste FQDN-Regel die Bereitstellungszeit um etwa 10 Minuten.

  • Erstellen eines neuen Hubs:

    1. Melden Sie sich beim Azure-Portal an, und wählen Sie im Menü „Ressource erstellen“ die Option „Azure KI Studio“ aus.

    2. Wählen Sie + Neue Azure KI aus.

    3. Geben Sie die erforderlichen Informationen auf der Registerkarte Grundlagen an.

    4. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit bestätigtem Internetdatenverkehr aus.

    5. Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Seitenleiste Ausgangsregeln die folgenden Informationen an:

      • Regelname: Ein Name für die Regel. Der Name muss für diesen Hub eindeutig sein.
      • Zieltyp: Privater Endpunkt, Diensttag oder FQDN. Diensttag und FQDN sind nur verfügbar, wenn die Netzwerkisolation privat mit genehmigtem ausgehendem Datenverkehr ist.

      Wenn der Zieltyp privater Endpunkt ist, geben Sie die folgenden Informationen an:

      • Abonnement: Das Abonnement, das die Azure-Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
      • Ressourcengruppe: Die Ressourcengruppe, die die Azure-Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
      • Ressourcentyp: Der Typ der Azure-Ressource.
      • Ressourcenname: Der Namen der Azure-Ressource.
      • Unterressource: Die Unterressource des Azure-Ressourcentyps.

      Tipp

      Das vom Hub verwaltete VNet unterstützt das Erstellen eines privaten Endpunkts für alle Azure-Ressourcentypen nicht. Eine Liste der unterstützten Ressourcen finden Sie im Abschnitt Private Endpunkte.

      Wenn der Zieltyp Diensttag ist, geben Sie die folgenden Informationen an:

      • Diensttag: Das Diensttag, das den genehmigten Ausgangsregeln hinzugefügt werden soll.
      • Protokoll: Das Protokoll, das für das Diensttag zugelassen werden soll.
      • Portbereiche: Die Portbereiche, die für das Diensttag zulässig sind.

      Wenn der Zieltyp FQDN ist, geben Sie die folgenden Informationen an:

      • FQDN-Ziel: Der vollqualifizierte Domänenname, der den genehmigten Ausgangsregeln hinzugefügt werden soll.

      Wählen Sie Speichern aus, um die Regel zu speichern. Sie können weiterhin Benutzerdefinierte Ausgangsregeln hinzufügen verwenden, um Regeln hinzuzufügen.

    6. Fahren Sie mit der Erstellung des Hubs wie gewohnt fort.

  • Aktualisieren eines vorhandenen Hub:

    1. Melden Sie sich beim Azure-Portal an, und wählen Sie den Hub aus, für den Sie die Isolation verwalteter virtueller Netzwerke aktivieren möchten.

    2. Wählen Sie Netzwerk und dann Privat mit genehmigtem ausgehendem Datenverkehr aus.

      • Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Seitenleiste Ausgangsregeln die gleichen Informationen wie beim Erstellen eines Hubs im vorherigen Abschnitt „Neuen Hub erstellen“ an.

      • Um eine Ausgangsregel zu löschen, wählen Sie Löschen für die Regel aus.

    3. Wählen Sie oben auf der Seite Speichern aus, um die Änderungen im verwalteten virtuellen Netzwerk zu speichern.

Manuelles Bereitstellen eines verwalteten VNet

Das verwaltete virtuelle Netzwerk wird automatisch bereitgestellt, wenn Sie eine Compute-Instanz erstellen. Wenn Sie die automatische Bereitstellung verwenden, kann es etwa 30 Minuten dauern, bis die erste Computeinstanz erstellt wurde, da auch das Netzwerk bereitgestellt wird. Wenn Sie FQDN-Ausgangsregeln konfiguriert haben (nur im Modus „Nur genehmigten ausgehenden Datenverkehr zulassen“ verfügbar), verlängert die erste FQDN-Regel die Bereitstellungszeit um etwa 10 Minuten. Wenn Sie über eine große Anzahl von ausgehenden Regeln verfügen, die im verwalteten Netzwerk bereitgestellt werden, kann es länger dauern, bis die Bereitstellung abgeschlossen ist. Die erhöhte Bereitstellungszeit kann dazu führen, dass ihre erste Berechnungsinstanzerstellung zu einem Timeout führt.

Um die Wartezeit zu verringern und potenzielle Timeoutfehler zu vermeiden, empfehlen wir die manuelle Bereitstellung des verwalteten Netzwerks. Warten Sie dann, bis die Bereitstellung abgeschlossen ist, bevor Sie eine Computeinstanz erstellen.

Alternativ können Sie das provision_network_now-Flag verwenden, um das verwaltete Netzwerk im Rahmen der Huberstellung bereitzustellen. Dieses Flag befindet sich in der Vorschau.

Hinweis

Um eine Onlinebereitstellung zu erstellen, müssen Sie das verwaltete Netzwerk manuell bereitstellen oder zuerst eine Computeinstanz erstellen, die sie automatisch bereitstellen wird.

Wählen Sie während der Erstellung des Hubs die Option Verwaltetes Netzwerk bei der Erstellung proaktiv bereitstellen aus, um das verwaltete Netzwerk bereitzustellen. Nachdem das virtuelle Netzwerk bereitgestellt wurde, fallen Gebühren für Netzwerkressourcen an (z. B. private Endpunkte). Diese Konfigurationsoption ist nur während der Erstellung eines Arbeitsbereichs verfügbar und befindet sich in der Vorschau.

Verwalten von Ausgangsregeln

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie den Hub aus, für den Sie die Isolation verwalteter virtueller Netzwerke aktivieren möchten.
  2. Wählen Sie Netzwerk aus. Im Abschnitt Ausgehender Azure KI-Zugriff können Sie Ausgangsregeln verwalten.
  • Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Seitenleiste für Azure KI-Ausgangsregeln die folgenden Informationen an:

  • Um eine Regel zu aktivieren oder zu deaktivieren, verwenden Sie die Umschaltfläche in der Spalte Aktiv.

  • Um eine Ausgangsregel zu löschen, wählen Sie Löschen für die Regel aus.

Liste der erforderlichen Regeln

Tipp

Folgende Regeln werden dem verwalteten VNet automatisch hinzugefügt:

Private Endpunkte:

  • Wenn der Isolationsmodus für das verwaltete virtuelle Netzwerk Allow internet outbound lautet, werden Ausgangsregeln für private Endpunkte automatisch als erforderliche Regeln aus dem verwalteten virtuellen Netzwerk für den Hub und die zugehörigen Ressourcen mit deaktiviertem Zugriff auf das öffentliche Netzwerk erstellt (Schlüsseltresor, Speicherkonto, Containerregistrierung, Hub).
  • Wenn der Isolationsmodus für das verwaltete virtuelle Netzwerk Allow only approved outbound lautet, werden Ausgangsregeln für private Endpunkte automatisch als erforderliche Regeln aus dem verwalteten virtuellen Netzwerk für den Hub und die zugehörigen Ressourcen unabhängig vom Zugriffsmodus auf das öffentliche Netzwerk für diese Ressourcen erstellt (Schlüsseltresor, Speicherkonto, Containerregistrierung, Hub).

Diensttagregeln für ausgehenden Datenverkehr:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Diensttagregeln für eingehenden Datenverkehr:

  • AzureMachineLearning

Liste der szenariospezifischen Ausgangsregeln

Szenario: Zugreifen auf öffentliche Machine Learning-Pakete

Um die Installation von Python-Paketen für Training und Bereitstellung zuzulassen, fügen Sie ausgehende FQDN-Regeln zum Gestatten von Datenverkehr an die folgenden Hostnamen hinzu:

Hinweis

Diese Liste ist nicht vollständig. Sie enthält nur die Hosts, die für die am häufigsten verwendeten Python-Ressourcen im Internet erforderlich sind. Wenn Sie z. B. Zugriff auf ein GitHub-Repository oder einen anderen Host benötigen, müssen Sie die erforderlichen Hosts für dieses Szenario ermitteln und hinzufügen.

Hostname Zweck
anaconda.com
*.anaconda.com
Wird verwendet, um Standardpakete zu installieren
*.anaconda.org Wird verwendet, um Repositorydaten abzurufen
pypi.org Wird zum Auflisten von Abhängigkeiten vom Standardindex verwendet, sofern vorhanden, und der Index wird nicht durch Benutzereinstellungen überschrieben. Wenn der Index überschrieben wird, müssen Sie auch *.pythonhosted.org zulassen.
pytorch.org
*.pytorch.org
Wird von einigen Beispielen verwendet, die auf PyTorch basieren.
*.tensorflow.org Wird von einigen Beispielen verwendet, die auf Tensorflow basieren.

Szenario: Verwenden von Visual Studio Code

Visual Studio Code basiert auf bestimmten Hosts und Ports, um eine Remoteverbindung herzustellen.

Hosts

Wenn Sie planen, Visual Studio Code mit dem Hub zu verwenden, fügen Sie FQDN-Ausgangsregeln hinzu, die den Datenverkehr an die folgenden Hosts zulassen:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Ports

Sie müssen den Netzwerkdatenverkehr an Ports 8704 bis 8710 zulassen. Der VS Code-Server wählt dynamisch den ersten verfügbaren Port in diesem Bereich aus.

Szenario: Verwenden von HuggingFace-Modellen

Wenn Sie planen, HuggingFace-Modelle mit dem Hub zu verwenden, fügen Sie FQDN-Ausgangsregeln hinzu, die den Datenverkehr an die folgenden Hosts zulassen:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Szenario: Kuratiert von Azure KI

Zu diesen Modellen gehören die dynamische Installation von Abhängigkeiten zur Laufzeit, und sie müssen ausgehende FQDN-Regeln abrufen, um Datenverkehr zu den folgenden Hosts zu ermöglichen:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Private Endpunkte

Private Endpunkte werden derzeit für die folgenden Azure-Dienste unterstützt:

  • KI Studio-Hub
  • Azure KI Search
  • Azure KI Services
  • Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (alle Unterressourcentypen)
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Azure Database for PostgreSQL Single Server
  • Azure Database for PostgreSQL – Flexibler Server
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Azure Machine Learning-Registrierungen
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (alle Unterressourcentypen)

Wenn Sie einen privaten Endpunkt erstellen, geben Sie den Ressourcentyp und die Unterquelle an, mit der der Endpunkt eine Verbindung herstellt. Einige Ressourcen verfügen über mehrere Typen und Unterressourcen. Weitere Informationen finden Sie unter Was ist ein privater Endpunkt?.

Wenn Sie einen privaten Endpunkt für Abhängigkeitsressourcen des Hubs wie Azure Storage, Azure Container Registry und Azure Key Vault erstellen, kann sich die Ressource in einem anderen Azure-Abonnement befinden. Die Ressource muss sich jedoch im selben Mandanten wie der Hub befinden.

Ein privater Endpunkt wird automatisch für eine Verbindung erstellt, wenn es sich bei der Zielressource um eine der oben aufgeführten Azure-Ressourcen handelt. Für den privaten Endpunkt wird eine gültige Ziel-ID erwartet. Eine gültige Ziel-ID für die Verbindung kann die Azure Resource Manager-ID einer übergeordneten Ressource sein. Die Ziel-ID wird auch im Ziel der Verbindung oder in metadata.resourceid erwartet. Weitere Informationen zu Verbindungen finden Sie unter Hinzufügen einer neuen Verbindung in Azure KI Studio.

Auswählen einer Azure Firewall-Version für „Nur genehmigten ausgehenden Datenverkehr zulassen“ (Vorschau)

Eine Azure Firewall-Instanz wird bereitgestellt, wenn eine FQDN-Ausgangsregel im Modus Nur genehmigten ausgehenden Datenverkehr zulassen erstellt wird. Die Gebühren für Azure Firewall sind in Ihrer Abrechnung enthalten. Standardmäßig wird eine Standard-Version von AzureFirewall erstellt. Optional können Sie eine Basic-Version verwenden. Sie können die verwendete Firewallversion bei Bedarf ändern. Informationen zum Ermitteln der Version, die für Sie am besten geeignet ist, finden Sie unter Auswählen der geeigneten Azure Firewall-Version.

Wichtig

Die Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen. Weitere Informationen zum Preis finden Sie unter Azure Firewall – Preise sowie bei den Preisen für die Standardversion.

Auf den folgenden Registerkarten erfahren Sie, wie Sie die richtige Firewallversion für Ihr verwaltetes virtuelles Netzwerk auswählen.

Nachdem Sie den Modus „Nur genehmigten ausgehenden Datenverkehr zulassen“ ausgewählt haben, wird eine Option zum Auswählen der Azure Firewall-Version (SKU) angezeigt. Wählen Sie Standard aus, um die Standard-Version zu verwenden, oder Basic, wenn Sie die Basic-Version verwenden möchten. Wählen Sie Speichern aus, um Ihre Konfiguration zu speichern.

Preise

Das Feature für verwaltete virtuelle Hubnetzwerke ist kostenlos. Ihnen werden jedoch die folgenden Ressourcen in Rechnung gestellt, die vom verwalteten virtuellen Netzwerk verwendet werden:

  • Azure Private Link: Private Endpunkte, die zum Schützen der Kommunikation zwischen dem verwalteten virtuellen Netzwerk und Azure-Ressourcen verwendet werden, hängen von Azure Private Link ab. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für Azure Private Link.

  • FQDN-Ausgangsregeln: FQDN-Ausgangsregeln werden mithilfe von Azure Firewall implementiert. Wenn Sie ausgehende FQDN-Regeln verwenden, sind Gebühren für Azure Firewall in Ihrer Abrechnung enthalten. Standardmäßig wird eine Standardversion von Azure Firewall verwendet. Informationen zum Auswählen der Basic-Version finden Sie unter Auswählen einer Azure Firewall-Version. Azure Firewall wird pro Hub bereitgestellt.

    Wichtig

    Die Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen. Wenn Sie keine FQDN-Regeln verwenden, wird Ihnen Azure Firewall nicht in Rechnung gestellt. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für Azure Firewall.