Configurer une liaison privée pour les hubs Azure AI Studio
Il existe deux aspects de l’isolement réseau. L’un est l’isolement réseau pour accéder à un hub Azure AI Studio. L’autre correspond à l’isolement réseau des ressources de calcul dans votre hub et vos projets : instances de calcul, serverless et points de terminaison managés en ligne, par exemple. Cet article explique ce fonctionnement mis en surbrillance dans le diagramme. Vous pouvez utiliser une liaison privée pour établir la connexion privée à votre hub et à ses ressources par défaut. Cet article concerne Azure AI Studio (hub et projets). Pour plus d’informations sur Azure AI services, consultez la documentation sur Azure AI services.
Vous obtenez plusieurs ressources par défaut de hub dans votre groupe de ressources. Vous devez configurer les configurations d’isolement réseau qui suivent.
- Désactivez l’accès au réseau public des ressources par défaut du hub, telles que Stockage Azure, Azure Key Vault et Azure Container Registry.
- Établissez une connexion du point de terminaison privé aux ressources de hub par défaut. Vous devez disposer d’un point de terminaison privé d’objet blob et de fichier pour le compte de stockage par défaut.
- Configurations d’identité managée pour autoriser l’accès des hubs à votre compte de stockage s’il est privé.
Prérequis
Vous devez disposer d’un réseau virtuel Azure existant dans lequel créer le point de terminaison privé.
Important
Nous vous déconseillons de vous servir de la plage d’adresses IP 172.17.0.0/16 pour votre réseau virtuel. Il s’agit de la plage de sous-réseaux utilisée par défaut par le réseau de pont Docker ou localement.
Désactivez les stratégies réseau pour les points de terminaison privés avant d’ajouter le point de terminaison privé.
Créer un hub qui utilise un point de terminaison privé
Utilisez l’une des méthodes suivantes pour créer un hub avec un point de terminaison privé. Chacune de ces méthodes nécessite un réseau virtuel existant :
- Depuis le Portail Azure, accédez à Azure AI Studio et choisissez + Nouvelle Azure AI.
- Choisissez le mode d’isolement réseau dans l’onglet Mise en réseau.
- Faites défiler jusqu’à Accès entrant à l’espace de travail et choisissez + Ajouter .
- Champs obligatoires d’entrée. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.
Ajouter un point de terminaison privé à un hub
Utilisez l’une des méthodes suivantes pour ajouter un point de terminaison privé à un hub existant :
- Sélectionnez votre hub dans le portail Azure.
- Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
- Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.
- Lorsque vous sélectionnez Type de ressource, utilisez
azuremlworkspace
. - Définissez la Ressource sur le nom de votre espace de travail.
Pour finir, sélectionnez Créer pour créer le point de terminaison privé.
Supprimer un point de terminaison privé
Vous pouvez supprimer un ou plusieurs points de terminaison privés pour un hub. Supprimer un point de terminaison privé a pour effet de supprimer le hub du réseau virtuel Azure auquel le point de terminaison était associé. Supprimer le point de terminaison privé pourrait empêcher le hub d’accéder aux ressources de ce réseau virtuel, ou aux ressources du réseau virtuel d’accéder à l’espace de travail. Par exemple, si le réseau virtuel n’autorise pas l’accès via l’Internet public.
Avertissement
La suppression des points de terminaison privés d’un hub n’a pas pour effet de rendre celui-ci publiquement accessible. Pour rendre le hub publiquement accessible, suivez les étapes décrites dans la section Activer l’accès public.
Pour supprimer un point de terminaison privé, utilisez les informations suivantes :
- Sélectionnez votre hub dans le portail Azure.
- Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
- Sélectionnez le point de terminaison à supprimer, puis Supprimer.
Activer l’accès public
Dans certains cas, vous pourriez vouloir autoriser une personne à se connecter à votre hub sécurisé sur un point de terminaison public, plutôt que par le biais du réseau virtuel. Ou vous pourriez également vouloir supprimer l’espace de travail du réseau virtuel et réactiver l’accès public.
Important
L’activation de l’accès public n’a pas pour effet de supprimer les points de terminaison privés existants. Toutes les communications entre les composants derrière le réseau virtuel auquel les points de terminaison privés se connectent restent sécurisées. Ceci permet un accès public au hub uniquement, en plus de l’accès privé via les points de terminaison privés.
Pour activer l’accès public, procédez comme suit :
- Sélectionnez votre hub dans le portail Azure.
- Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Accès public.
- Sélectionnez Activé dans tous les réseaux, puis sélectionnez Enregistrer.
Configuration d’une identité managée
Une configuration d’identité gérée est requise si vous rendez votre compte de stockage privé. Nos services doivent lire et écrire des données dans votre compte de stockage privé à l’aide de Autoriser les services Azure dans la liste des services approuvés à accéder à ce compte de stockage avec les configurations d’identité managée ci-dessous. Activez l’identité managée affectée par le système Azure AI Service et la Recherche Azure AI, puis configurez le contrôle d’accès en fonction du rôle pour chaque identité managée.
Rôle | Identité managée | Ressource | Objectif | Référence |
---|---|---|---|---|
Storage File Data Privileged Contributor |
Projet Azure AI Studio | Compte de stockage | Lecture/écriture de données en flux rapide. | Documentation de flux rapide |
Storage Blob Data Contributor |
Service Azure AI | Compte de stockage | Lecture à partir du conteneur d’entrée, écriture pour prétraiter le résultat dans le conteneur de sortie. | Documentation Azure OpenAI |
Storage Blob Data Contributor |
Azure AI Search | Compte de stockage | Lecture du blob et écriture de la base de connaissances | Documentation de recherche. |
Définir une configuration DNS personnalisée
Consultez l’article DNS personnalisé Azure Machine Learning pour connaître les configurations de transfert DNS.
Si vous devez configurer un serveur DNS personnalisé sans transfert DNS, utilisez les modèles suivants pour les enregistrements A requis.
<AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms
<AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms
<AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms
ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net
ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net
Remarque
Le nom de l’espace de travail pour ce nom de domaine complet peut être tronqué. Cette troncation a pour but de limiter la longueur de
ml-<workspace-name, truncated>-<region>-<workspace-guid>
à 63 caractères.<instance-name>.<region>.instances.azureml.ms
Notes
- Les instances de calcul sont accessibles uniquement à partir du réseau virtuel.
- L’adresse IP de ce nom de domaine complet n’est pas l’adresse IP de l’instance de calcul. Utilisez plutôt l’adresse IP privée du point de terminaison privé de l’espace de travail (l’adresse IP des entrées
*.api.azureml.ms
).
<instance-name>.<region>.instances.azureml.ms
: utilisé uniquement par la commandeaz ml compute connect-ssh
pour se connecter aux calculs dans un réseau virtuel managé. Non nécessaire si vous n’utilisez pas de réseau managé ou de connexions SSH.<managed online endpoint name>.<region>.inference.ml.azure.com
- Utilisé par les points de terminaison en ligne managés
Pour rechercher les adresses IP privées de vos enregistrements A, consultez l’article DNS personnalisé Azure Machine Learning. Pour vérifier AI-PROJECT-GUID, accédez au portail Azure, sélectionnez votre projet, dans Paramètres, puis Propriétés, et l’ID de l’espace de travail s’affiche.
Limites
- Vous pourriez rencontrer des problèmes en tentant d’accéder au point de terminaison privé de votre hub si vous utilisez Mozilla Firefox. Ce problème pourrait être lié à DNS sur HTTPS dans Mozilla Firefox. Nous vous recommandons d’utiliser Microsoft Edge ou Google Chrome.