Konfigurieren eines privaten Links für Azure KI Studio-Hubs
Wir haben zwei Aspekte der Netzwerkisolation. Der eine ist die Netzwerkisolation für den Zugriff auf einen Azure KI Studio-Hub. Der andere ist die Netzwerkisolation von Computeressourcen in Ihrem Hub und Ihren Projekten wie „Compute-Instanzen“, „Serverlos“ und „Verwalteter Onlineendpunkt“. In diesem Artikel wird der vorherige, im Diagramm hervorgehobene Punkt erklärt. Sie können eine private Verbindung verwenden, um die private Verbindung mit Ihrem Hub und seinen Standardressourcen herzustellen. In diesem Artikel erfahren Sie mehr über Azure KI Studio (Hub und Projekte). Informationen zu Azure KI Services finden Sie in der Dokumentation zu Azure KI Services.
Sie erhalten mehrere Hub-Standardressourcen in Ihrer Ressourcengruppe. Sie müssen die folgenden Konfigurationen für die Netzwerkisolation konfigurieren.
- Deaktivieren Sie den öffentlichen Netzwerkzugriff von Hub-Standardressourcen wie Azure Storage, Azure Key Vault und Azure Container Registry.
- Richten Sie eine private Endpunktverbindung mit den Hub-Standardressourcen ein. Sie müssen sowohl einen privaten Blob- und als auch einen privaten Endpunkt für das Standardspeicherkonto besitzen.
- Konfigurationen der verwalteten Identität, um Hubs den Zugriff auf Ihr Speicherkonto zu ermöglichen, wenn dieses privat ist.
Voraussetzungen
Sie benötigen ein vorhandenes Azure Virtual Network, in dem der private Endpunkt erstellt werden soll.
Wichtig
Es wird nicht empfohlen, den IP-Adressbereich 172.17.0.0/16 für Ihr VNet zu verwenden. Dies ist der Standardsubnetzbereich, der vom Docker-Brückennetzwerk oder lokal verwendet wird.
Sie müssen die privaten Endpunkt-Netzwerkrichtlinien deaktivieren bevor sie private Endpunkte hinzufügen.
Erstellen eines Hubs, der einen privaten Endpunkt verwendet
Verwenden Sie eine der folgenden Methoden, um einen Hub mit einem privaten Endpunkt zu erstellen. Jede dieser Methoden erfordert ein vorhandenes virtuelles Netzwerk:
- Wechseln Sie im Azure-Portal zu Azure KI Studio, und wählen Sie + Neue Azure KI-Instanz aus.
- Wählen Sie den Netzwerkisolationsmodus auf der Registerkarte Netztechnologie aus.
- Scrollen Sie nach unten zum Eingehenden Zugriff des Arbeitsbereichs, und wählen Sie + Hinzufügen aus.
- Geben Sie die erforderlichen Felder ein. Wählen Sie beim Festlegen von Region die gleiche Region wie für Ihr virtuelles Netzwerk aus.
Hinzufügen eines privaten Endpunkts zu einem Hub
Verwenden Sie eine der folgenden Methoden, um einem vorhandenen Hub einen privaten Endpunkt hinzuzufügen:
- Wählen Sie Ihren Hub im Azure-Portal aus.
- Wählen Sie links auf der Seite die Option Netzwerk und dann die Registerkarte Private Endpunktverbindungen aus.
- Wählen Sie beim Festlegen von Region die gleiche Region wie für Ihr virtuelles Netzwerk aus.
- Verwenden Sie beim Auswählen des Ressourcentyps den Wert
azuremlworkspace
. - Legen Sie Ressource auf den Namen des Arbeitsbereichs fest.
Wählen Sie abschließend Erstellen aus, um den privaten Endpunkt zu erstellen.
Entfernen eines privaten Endpunkts
Sie können einen oder alle privaten Endpunkte für einen Hub entfernen. Wenn Sie einen privaten Endpunkt entfernen, wird der Hub aus dem Azure Virtual Network entfernt, dem der Endpunkt zugeordnet war. Das Entfernen des privaten Endpunkts kann den Hub daran hindern, auf Ressourcen in diesem virtuellen Netzwerk zuzugreifen, oder Ressourcen im virtuellen Netzwerk daran hindern, auf den Arbeitsbereich zuzugreifen. Wenn das virtuelle Netzwerk z. B. keinen Zugriff auf das öffentliche Internet oder vom öffentlichen Internet gestattet.
Warnung
Wenn Sie die privaten Endpunkte für einen Hub entfernen, wird dieser nicht öffentlich zugänglich. Um den Hub öffentlich zugänglich zu machen, verwenden Sie die Schritte im Abschnitt Aktivieren des öffentlichen Zugriffs.
Verwenden Sie die folgenden Informationen, um einen privaten Endpunkt zu entfernen:
- Wählen Sie Ihren Hub im Azure-Portal aus.
- Wählen Sie links auf der Seite die Option Netzwerk und dann die Registerkarte Private Endpunktverbindungen aus.
- Wählen Sie den zu entfernende Endpunkt und dann Entfernen aus.
Aktivieren des öffentlichen Zugriffs
Es kann Situationen geben, in denen Sie jemandem ermöglichen möchten, eine Verbindung mit Ihrem geschützten Hub über einen öffentlichen Endpunkt herzustellen anstatt über das virtuelle Netzwerk. Alternativ könnten Sie den Arbeitsbereich aus dem virtuellen Netzwerk entfernen und den öffentlichen Zugriff erneut aktivieren.
Wichtig
Die Aktivierung des öffentlichen Zugriffs entfernt keine vorhandenen privaten Endpunkte. Die gesamte Kommunikation zwischen den Komponenten hinter dem virtuellen Netzwerk, mit dem die privaten Endpunkte verbunden sind, ist weiterhin gesichert. Der öffentliche Zugriff wird nur für den Hub ermöglicht, zusätzlich zum privaten Zugriff über alle privaten Endpunkte.
Verwenden Sie die folgenden Schritte, um den öffentlichen Zugriff zu aktivieren:
- Wählen Sie Ihren Hub im Azure-Portal aus.
- Wählen Sie links auf der Seite die Option Netzwerk und dann die Registerkarte Öffentlicher Zugriff aus.
- Wählen Sie Aus allen Netzwerken aktiviert und dann Speichern aus.
Konfiguration der verwalteten Identität
Eine Konfiguration mit verwalteter Identität ist erforderlich, wenn Sie Ihr Speicherkonto als privat festlegen. Unsere Dienste müssen Daten in Ihrem privaten Speicherkonto lesen/schreiben, indem Erlauben Sie Azure-Diensten auf der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto. mit den folgenden Konfigurationen verwalteter Identitäten verwendet wird. Aktivieren Sie die systemseitig zugewiesene verwaltete Identität von Azure KI Services und Azure KI Search, und konfigurieren Sie dann die rollenbasierte Zugriffssteuerung für jede verwaltete Identität.
Role | Verwaltete Identität | Ressource | Zweck | Verweis |
---|---|---|---|---|
Storage File Data Privileged Contributor |
Azure KI Studio-Projekt | Speicherkonto | prompt flow-Daten für Lese-/Schreibzugriff | prompt flow-Dokumentation |
Storage Blob Data Contributor |
Azure KI Services | Speicherkonto | Lesen aus dem Eingabecontainer, Schreiben des vorverarbeiteten Ergebnisses in den Ausgabecontainer. | Azure OpenAI-Dokumentation |
Storage Blob Data Contributor |
Azure KI Cognitive Search | Speicherkonto | Lesen von Blobs und Schreiben in den Wissensspeicher | Dokumentation zu Suchdiensten. |
Benutzerdefinierte DNS-Konfiguration
Informationen zu den DNS-Weiterleitungskonfigurationen finden Sie im Azure Machine Learning-Artikel für benutzerdefiniertes DNS.
Wenn Sie einen benutzerdefinierten DNS-Server ohne DNS-Weiterleitung konfigurieren müssen, verwenden Sie die folgenden Muster für die erforderlichen A-Einträge.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net
ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net
Hinweis
Der Arbeitsbereichsname für diesen FQDN wird unter Umständen abgeschnitten. Hierdurch wird das Limit von 63 Zeichen oder weniger für
ml-<workspace-name, truncated>-<region>-<workspace-guid>
eingehalten.<instance-name>.<region>.instances.azureml.ms
Hinweis
- Auf Compute-Instanzen kann nur innerhalb des virtuellen Netzwerks zugegriffen werden.
- Die IP-Adresse für diesen vollqualifizierten Domänennamen ist nicht die IP-Adresse der Compute-Instanz. Verwenden Sie stattdessen die private IP-Adresse des privaten Arbeitsbereichsendpunkts (die IP-Adresse der
*.api.azureml.ms
-Einträge).
<instance-name>.<region>.instances.azureml.ms
: wird nur vom Befehlaz ml compute connect-ssh
verwendet, um eine Verbindung mit Computern in einem verwalteten virtuellen Netzwerk herzustellen. Nicht erforderlich, wenn Sie kein verwaltetes Netzwerk oder SSH-Verbindungen verwenden.<managed online endpoint name>.<region>.inference.ml.azure.com
: Wird von verwalteten Onlineendpunkten verwendet.
Informationen zu den privaten IP-Adressen für Ihre A-Einträge finden Sie im Azure Machine Learning-Artikel für benutzerdefiniertes DNS. Um die AI-PROJECT-GUID zu überprüfen, wechseln Sie zum Azure-Portal, wählen Sie Ihr Projekt, Einstellungen und Eigenschaften aus, und die Arbeitsbereichs-ID wird angezeigt.
Begrenzungen
- Wenn Sie Mozilla Firefox verwenden, treten möglicherweise Probleme beim Zugriff auf den privaten Endpunkt für Ihren Hub auf. Dieses Problem kann im Zusammenhang mit DNS über HTTPS in Mozilla Firefox stehen. Es wird empfohlen, Microsoft Edge oder Google Chrome zu verwenden.