Azure AI Foundry ハブのプライベート リンクを構成する方法

ネットワーク分離には 2 つの側面があります。 1 つは、Azure AI Foundry ハブにアクセスするためのネットワークの分離です。 もう 1 つは、ハブと、コンピューティング インスタンス、サーバーレス、マネージド オンライン エンドポイントなどのプロジェクトにおけるコンピューティング リソースのネットワーク分離です。 この記事では、図で強調表示されている前者について説明します。 プライベート リンクを使用して、ハブとその既定のリソースへのプライベート接続を確立できます。 この記事は、Azure AI Foundry (ハブとプロジェクト) を対象としています。 Azure AI サービスの詳細については、Azure AI サービスのドキュメントを参照してください。

リソース グループには、いくつかのハブの既定リソースがあります。 次のネットワーク分離構成を構成する必要があります。

• Azure Storage、Azure Key Vault、Azure Container Registry などのハブの既定のリソースのパブリック ネットワーク アクセスを無効にします。
• ハブの既定リソースへのプライベート エンドポイント接続を確立します。 既定のストレージ アカウントには BLOB とファイルのプライベート エンドポイントの両方が必要です。
• ストレージ アカウントがプライベートの場合は、ロールを割り当てることでアクセスを許可します。

前提条件

• プライベート エンドポイントを作成するには、既存の Azure Virtual Network が必要です。

  重要

  VNet の IP アドレス範囲に 172.17.0.0/16 を使用することはお勧めしません。 これは、Docker ブリッジ ネットワークまたはオンプレミスで使用される既定のサブネット範囲です。

• プライベート エンドポイントを追加する前に、プライベート エンドポイントのネットワーク ポリシーを無効にします。

プライベート エンドポイントを使用するハブを作成する

新しいハブを作成する場合は、次のタブを使用して、ハブの作成方法 (Azure portal または Azure CLI) を選択します。いずれの方法でも既存の仮想ネットワークが必要です。

Azure Portal

Note

このドキュメントの情報は、プライベート リンクの構成についてのみ説明しています。 ポータルで安全なハブを作成する手順については、「Azure portal で安全なハブを作成する」を参照してください。

1. Azure portal で、Azure AI Foundry を検索し、[+ 新しい Azure AI] を選択して新しいリソースを作成します。

2. [基本] および [ストレージ] タブを構成したら、[ネットワーク] タブを選択し、自分のニーズに最適な [ネットワーク分離] オプションを選択します。

   

3. [ワークスペース受信アクセス] まで下にスクロールし、[+ 追加] を選択します。

   

4. 必須フィールドに入力します。 [リージョン] を選択する場合は、ご使用の仮想ネットワークと同じリージョンを選択します。

Azure CLI

Note

このセクションの情報では、基本的なハブ構成については説明しません。 詳細については、Azure CLI を使用したハブの作成に関する記事を参照してください。.

ハブの作成後、Azure ネットワーク CLI コマンドを使用して、ハブのプライベート リンク エンドポイントを作成します。

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace \
    --location <location> \
    --resource-group <resource-group-name>

ワークスペースのプライベート DNS ゾーン エントリを作成するには、次のコマンドを使用します。

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

ハブにプライベート エンドポイントを追加する

次のいずれかの方法を使用して、既存のハブにプライベート エンドポイントを追加します。

Azure Portal

1. Azure portal からハブを選択します。

2. ページの左側で、[設定]、[ネットワーク] と選択してから、[プライベート エンドポイントの接続] タブを選択します。[+ プライベート エンドポイント] を選択します。

   

3. フォームを使用してプライベート エンドポイントを作成する場合は、次のようにしてください。

   • [基本] で、仮想ネットワークと同じ [リージョン] を選択します。
   • [リソース] で、ターゲット サブリソースとして amlworkspace を選択します。
   • [仮想ネットワーク] フォームで、接続する仮想ネットワークとサブネットを選択します。

4. 必要な追加のネットワーク構成をフォームに入力したら、[確認と作成] タブを使用して設定を確認し、[作成] を選択してプライベート エンドポイントを作成します。

Azure CLI

Azure ネットワーク CLI コマンドを使用して、ハブのプライベート リンク エンドポイントを作成します。

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace \
    --location <location> \
    --resource-group <resource-group-name>

ワークスペースのプライベート DNS ゾーン エントリを作成するには、次のコマンドを使用します。

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

プライベート エンドポイントを削除する

ハブの 1 つまたはすべてのプライベート エンドポイントを削除できます。 プライベート エンドポイントを削除すると、そのエンドポイントが関連付けられていた Azure Virtual Network からハブが削除されます。 プライベート エンドポイントを削除すると、ハブがその仮想ネットワーク内のリソースにアクセスできなくなったり、その仮想ネットワーク内のリソースがワークスペースにアクセスできなくなったりする可能性があります。 たとえば、仮想ネットワークとパブリック インターネットとの間でアクセスできなくなるような場合です。

警告

ハブのプライベート エンドポイントを削除しても、パブリックにアクセスできるようにはなりません。 ハブをパブリックにアクセスできるようにするには、「パブリック アクセスを有効にする」セクションの手順を使用します。

プライベート エンドポイントを削除するには、次の情報のようにします。

Azure Portal

1. Azure portal からハブを選択します。

2. ページの左側で、[設定]、[ネットワーク] と選択してから、[プライベート エンドポイントの接続] タブを選択します。

3. 削除するエンドポイントを選んで、[削除] を選びます。

   

Azure CLI

Azure CLI を使用するときは、次のコマンドを使用してプライベート エンドポイントを削除します。

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

パブリック アクセスを有効にする

状況によっては、仮想ネットワークではなくパブリック エンドポイント経由で、セキュリティで保護された自分のハブに他のユーザーが接続できるようにすることが必要になる場合があります。 または、仮想ネットワークからワークスペースを削除し、パブリック アクセスを再び有効にしたいことがあります。

重要

パブリック アクセスを有効にしても、存在するプライベート エンドポイントは削除されません。 プライベート エンドポイントが接続している仮想ネットワークの内側にあるコンポーネント間のすべての通信は、引き続きセキュリティで保護されます。 これにより、プライベート エンドポイント経由のプライベート アクセスに加えて、そのハブのみへのパブリック アクセスが有効になります。

パブリック アクセスを有効にするには、次の手順のようにします。

Azure Portal

1. Azure portal からハブを選択します。
2. ページの左側で [ネットワーク] を選んでから、[パブリック アクセス] タブを選びます。
3. [すべてのネットワークから有効] を選んでから、[保存] を選びます。

Azure CLI

パブリック アクセスを有効にするには、次の Azure CLI コマンドを使用します。

az ml workspace update --set public_network_access=Enabled -n <workspace-name> -g <resource-group-name>

ml コマンドが見つからないというエラーが表示された場合は、次のコマンドを使用して Azure Machine Learning CLI 拡張機能をインストールします。

az extension add --name ml

プライベート ストレージの構成

ストレージ アカウントがプライベートである (プライベート エンドポイントを使用してプロジェクトと通信する) 場合は、次の手順を実行します。

1. サービスでは、次のマネージド ID 構成で [信頼されたサービスの一覧にある Azure サービスがこのストレージ アカウントにアクセスすることを許可します] を使用して、プライベート ストレージ アカウント内のデータの読み取り/書き込みを行う必要があります。 Azure AI サービスと Azure AI 検索のシステム割り当てマネージド ID を有効にし、マネージド ID ごとにロールベースのアクセス制御を構成します。

   ロール	Managed Identity	リソース	目的	リファレンス
   Reader	Azure AI Foundry プロジェクト	ストレージ アカウントのプライベート エンドポイント	プライベート ストレージ アカウントからデータを読み取ります。
   Storage File Data Privileged Contributor	Azure AI Foundry プロジェクト	ストレージ アカウント	プロンプト フロー データの読み取り/書き込みを行います。	プロンプト フローに関するドキュメント
   Storage Blob Data Contributor	Azure AI サービス	ストレージ アカウント	入力コンテナーから読み取り、結果を前処理して出力コンテナーに書き込みます。	Azure OpenAI に関するドキュメント
   Storage Blob Data Contributor	Azure AI Search	ストレージ アカウント	BLOB を読み取ってナレッジ ストアに書き込みます	検索に関するドキュメント。

   ヒント

   ストレージ アカウントは、複数のプライベート エンドポイントを持つことができます。 各プライベート エンドポイントに Reader ロールを割り当てる必要があります。

2. 開発者に Storage Blob Data reader ロールを割り当てます。 このロールにより、ストレージ アカウントからデータを読み取ることができます。

3. プロジェクトのストレージ アカウントへの接続で、認証に Microsoft Entra ID が使用されていることを確認します。 接続情報を表示するには、管理センターに移動し、[接続されたリソース] を選択して、ストレージ アカウントの接続を選択します。 資格情報の種類が Entra ID でない場合は、鉛筆アイコンを選択して接続を更新し、[認証方法] を [Microsoft Entra ID] に設定します。

プレイグラウンド チャットのセキュリティ保護については、「プレイグラウンド チャットを安全に使用する」を参照してください。

カスタム DNS 構成

DNS 転送構成については、Azure Machine Learning のカスタム DNS に関する記事を参照してください。

DNS 転送なしでカスタム DNS サーバーを構成する必要がある場合は、必要とされる A レコードに次のパターンを使用します。

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Note

  この FQDN のワークスペース名は切り詰められている可能性があります。 切り詰めは ml-<workspace-name, truncated>-<region>-<workspace-guid> を 63 文字以下に維持するために行われます。

• <instance-name>.<region>.instances.azureml.ms

  注意

  • コンピューティング インスタンスには、仮想ネットワーク内からのみアクセスできます。
  • この FQDN の IP アドレスは、コンピューティング インスタンスの IP ではありません。 代わりに、ワークスペースのプライベート エンドポイントのプライベート IP アドレス (*.api.azureml.ms エントリの IP) を使用します。

• <instance-name>.<region>.instances.azureml.ms - マネージド仮想ネットワーク内のコンピューターに接続するため、az ml compute connect-ssh コマンドによってのみ使用されます。 マネージド ネットワークまたは SSH 接続を使用していない場合は不要です。

• <managed online endpoint name>.<region>.inference.ml.azure.com - マネージド オンライン エンドポイントで使用されます

A レコードのプライベート IP アドレスを見つけるには、Azure Machine Learning のカスタム DNS に関する記事を参照してください。 AI-PROJECT-GUID を確認するには、Azure portal に移動し、プロジェクト、設定、プロパティを選択すると、ワークスペース ID が表示されます。

制限事項

• Mozilla Firefox を使用している場合、ハブのプライベート エンドポイントにアクセスしようとしたときに問題が発生することがあります。 この問題は、Mozilla Firefox の DNS over HTTPS に関連している可能性があります。 Microsoft Edge または Google Chrome を使うことをお勧めします。

次のステップ

• Azure AI Foundry プロジェクトを作成する
• Azure AI Foundry の詳細について
• Azure AI Foundry ハブの詳細について
• プロジェクトへのセキュリティで保護された接続のトラブルシューティング