Freigeben über

Schützen Ihrer RAG-Workflows mit Netzwerkisolation (Vorschau)

  • Artikel

Sie können Ihre RAG-Flows (Retrieval Augmented Generation) schützen, indem Sie private Netzwerke in Azure Machine Learning mit zwei Netzwerkverwaltungsoptionen verwenden. Diese Optionen sind: Verwaltetes virtuelles Netzwerk (internes Angebot) und Verwendung eines eigenen virtuellen Netzwerks. Die zweite Option ist nützlich, wenn Sie vollständige Kontrolle über das Setup für Ihre virtuellen Netzwerke/Subnetze, Firewalls, Netzwerksicherheitsgruppen-Regeln usw. haben möchten.

Im Rahmen von „Verwaltetes Azure Machine Learning-Netzwerk“ werden zwei gesicherte Unteroptionen angeboten, unter denen Sie auswählen können: Ausgehenden Internetdatenverkehr zulassen und Nur genehmigten ausgehenden Datenverkehr zulassen.

Screenshot: Optionen für verwaltete VNets in Azure Machine Learning.

Abhängig von Ihrem Setup und Ihrem Szenario erfordern RAG-Workflows in Azure Machine Learning möglicherweise andere Schritte für die Netzwerkisolation.

Voraussetzungen

  • Ein Azure-Abonnement.
  • Zugriff auf den Azure OpenAI-Dienst.
  • Ein sicherer Azure Machine Learning-Arbeitsbereich: entweder mit einem vom Arbeitsbereich verwalteten virtuellen Netzwerk oder mit einem eigenen virtuellen Netzwerk.
  • Eingabeaufforderungsflows, die in Ihrem Azure Machine Learning-Arbeitsbereich aktiviert sind. Sie können Eingabeaufforderungsflows in Ihrem Azure Machine Learning-Arbeitsbereich aktivieren, indem Sie im Bereich Previewfunktion verwalten die Option KI-Lösungen mit Eingabeaufforderungsflow erstellen aktivieren.

Mit einem von einem Azure Machine Learning-Arbeitsbereich verwalteten VNet

  1. Befolgen Sie die Anweisungen unter Verwaltete Netzwerkisolation auf Arbeitsbereichsebene (Vorschau), um ein vom Arbeitsbereich verwaltetes VNet zu aktivieren.

  2. Navigieren Sie zum Azure-Portal, und wählen Sie im linken Menü auf der Registerkarte Einstellungen die Option Netzwerk aus.

  3. Damit Ihr RAG-Workflow während der Erstellung des Vektorindex mit privaten Azure Cognitive Services-Diensten wie Azure OpenAI oder Azure KI Search kommunizieren kann, müssen Sie eine entsprechende Benutzerausgangsregel für eine zugehörige Ressource definieren. Wählen Sie oben in den Netzwerkeinstellungen die Option Vom Arbeitsbereich verwalteter Zugriff auf ausgehenden Datenverkehr aus. Wählen Sie dann + Benutzerdefinierte Ausgangsregel hinzufügen aus. Geben Sie unter Regelname einen Namen ein. Wählen Sie dann mithilfe des Textfelds Ressourcenname Ihre Ressource aus, der Sie die Regel hinzufügen möchten.

    Der Azure Machine Learning-Arbeitsbereich erstellt einen privaten Endpunkt in der zugehörigen Ressource mit automatischer Genehmigung. Wenn als Status weiterhin „Ausstehend“ angezeigt wird, wechseln Sie zur zugehörigen Ressource, um den privaten Endpunkt manuell zu genehmigen.

    Screenshot: Ort in Azure Studio zum Hinzufügen einer Benutzerausgangsregel für private Cognitive Services-Dienste

  4. Navigieren Sie zu den Einstellungen des Speicherkontos, das Ihrem Arbeitsbereich zugeordnet ist. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus. Wählen Sie Rollenzuweisung hinzufügen aus. Fügen Sie Zugriff vom Typ Mitwirkender an Speichertabellendaten und Mitwirkender an Storage-Blobdaten zur verwalteten Identität des Arbeitsbereichs hinzu. Dazu können Sie Mitwirkender an Speichertabellendaten und Mitwirkender an Storage-Blobdaten in die Suchleiste eingeben. Sie müssen diesen Schritt und den nächsten Schritt zweimal ausführen. Einmal für Blobmitwirkende und das zweite Mal für Tabellenmitwirkende.

  5. Stellen Sie sicher, dass die Option Verwaltete Identität ausgewählt ist. Wählen Sie dann Mitglieder auswählen aus. Wählen Sie in der Dropdownliste für Verwaltete Identität die Option Azure Machine Learning-Arbeitsbereich aus. Wählen Sie dann Ihre verwaltete Identität des Arbeitsbereichs aus.

    Screenshot: Ort zum Hinzufügen einer verwalteten Arbeitsbereichsidentität für Blob- oder Tabellenzugriff im Speicherkonto von Azure Studio

  6. (Optional) Um eine FQDN-Ausgangsregel hinzuzufügen, wählen Sie im Azure-Portal im linken Menü auf der Registerkarte Einstellungen die Option Netzwerk aus. Wählen Sie oben in den Netzwerkeinstellungen die Option Vom Arbeitsbereich verwalteter Zugriff auf ausgehenden Datenverkehr aus. Wählen Sie dann + Benutzerdefinierte Ausgangsregel hinzufügen aus. Wählen Sie unter Zieltyp die Option FQDN-Regel aus. Geben Sie die Endpunkt-URL unter FQDN-Ziel ein. Um Ihre Endpunkt-URL zu ermitteln, navigieren Sie im Azure-Portal zu den bereitgestellten Endpunkten, wählen Sie die gewünschten Endpunkte aus, und kopieren Sie die Endpunkt-URL aus dem Abschnitt „Details“.

Wenn Sie einen Arbeitsbereich mit verwaltetem VNet mit der Option Nur genehmigten ausgehenden Datenverkehr zulassen und eine Azure OpenAI-Ressource vom Typ public verwenden, müssen Sie für Ihren Azure OpenAI-Endpunkt eine FQDN-Ausgangsregel hinzufügen. Dies ermöglicht Vorgänge auf Datenebene, die zum Ausführen von Einbettungen in RAG erforderlich sind. Ohne diesen Zugriff ist die Azure OpenAI Service-Ressource auch dann nicht zulässig, wenn sie öffentlich ist.

  1. (Optional) Um Datendateien im Voraus hochzuladen oder die Option Upload lokaler Ordner für RAG zu verwenden, wenn das Speicherkonto privat ist, muss von einem virtuellen Computer hinter einem VNet aus auf den Arbeitsbereich zugegriffen werden, und das Subnetz muss im Speicherkonto zugelassen sein. Wählen Sie dazu Speicherkonto und dann Netzwerkeinstellung aus. Wählen Sie Für ausgewähltes virtuelles Netzwerk und IP-Adressen aktivieren aus, und fügen Sie dann Ihr Arbeitsbereichssubnetz hinzu.

    Screenshot: Anforderungen an die Einstellungen des privaten Speichers für den sicheren Datenupload

    In diesem Tutorial erfahren Sie, wie Sie von einem virtuellen Azure-Computer aus eine Verbindung mit einem privaten Speicher herstellen.

Mit benutzerdefiniertem BYO-VNet

  1. Wählen Sie Eigenes virtuelles Netzwerk verwenden aus, wenn Sie Ihren Azure Machine Learning-Arbeitsbereich konfigurieren. In diesem Szenario liegt es am Benutzer oder der Benutzerin, die Netzwerkregeln und privaten Endpunkte ordnungsgemäß für zugehörige Ressourcen zu konfigurieren, da sie nicht automatisch vom Arbeitsbereich konfiguriert werden.

  2. Wählen Sie im Assistenten zum Erstellen von Vektorindizes in der Dropdownliste mit den Computeoptionen unbedingt die Option Compute-Instanz oder Computecluster aus, da dieses Szenario mit serverlosem Computing nicht unterstützt wird.

Behandlung häufig auftretender Probleme

  • Sollten in Ihrem Arbeitsbereich netzwerkbezogene Probleme auftreten, die dazu führen, dass Ihre Computeressource keine Computeressource erstellen oder starten kann, versuchen Sie, auf der Registerkarte Netzwerk Ihres Arbeitsbereichs im Azure-Portal einen Platzhalter für die FQDN-Regel hinzuzufügen, um eine Aktualisierung des verwalteten Netzwerks zu initiieren. Erstellen Sie dann die Computeressource im Azure Machine Learning-Arbeitsbereich neu.

  • Möglicherweise wird etwa folgende Fehlermeldung angezeigt: < Resource > is not registered with Microsoft.Network resource provider. In diesem Fall müssen Sie sicherstellen, dass das Abonnement Ihrer KI Services-/Azure OpenAI Service-Ressource bei einem Microsoft-Netzwerkressourcenanbieter registriert ist. Navigieren Sie hierzu zu Abonnement und dann für denselben Mandanten, in dem Sie auch Ihr verwalteter VNet-Arbeitsbereich befindet, zu Ressourcenanbieter.

Hinweis

Es wird erwartet, dass ein erstmaliger serverloser Auftrag im Arbeitsbereich für weitere 10 bis 15 Minuten in die Warteschlange eingereiht wird, während das verwaltete Netzwerk private Endpunkte zum ersten Mal bereit stellt. Bei Compute-Instanzen und Computeclustern erfolgt dieser Prozess während der Computeerstellung.

Nächste Schritte