次の方法で共有


ワークスペースのマネージド仮想ネットワークでモデル カタログ コレクションを使用する

この記事では、分離されたネットワーク内でモデル カタログのさまざまなコレクションを使う方法について説明します。

ワークスペースのマネージド仮想ネットワークは、モデル カタログでネットワークの分離をサポートするための唯一の方法です。 これにより、ワークスペースをセキュリティで保護するための構成が簡単に提供されます。 ワークスペース レベルでマネージド仮想ネットワークを有効にすると、同じ仮想ネットワーク内のワークスペースに関連するリソースで、ワークスペース レベルで同じネットワーク設定が使用されます。 また、プライベート エンドポイントを使用して、Azure OpenAI などの他の Azure リソースにアクセスするようにワークスペースを構成することもできます。 さらに、Azure 以外のリソースへの送信を承認するように FQDN 規則を構成できます。これは、モデル カタログ内の一部のコレクションを使うために必要です。 「ワークスペースのマネージド ネットワーク分離」を参照してワークスペースのマネージド仮想ネットワークを有効にしてください。

マネージド仮想ネットワークの作成は、コンピューティング リソースが作成されるか、プロビジョニングが手動で開始されるまで延期されます。 次のコマンドを使用すると、ネットワーク プロビジョニングを手動でトリガーできます。

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

インターネット送信を許可するワークスペース マネージド仮想ネットワーク

  1. こちらの手順に従って、インターネット送信を許可するようにマネージド仮想ネットワークを使用するワークスペースを構成します。

  2. ワークスペースへのパブリック ネットワーク アクセスを無効に設定する場合は、次のいずれかの方法を使用してワークスペースに接続できます。

    • Azure VPN ゲートウェイ - オンプレミスのネットワークをプライベート接続を介して仮想ネットワークに接続します。 接続は、パブリック インターネットを介して行われます。 使用できる VPN ゲートウェイには、次の 2 種類があります。

      • ポイント対サイト: 各クライアント コンピューターは、VPN クライアントを使用して仮想ネットワークに接続します。
      • サイト間: VPN デバイスにより、仮想ネットワークがオンプレミス ネットワークに接続されます。
    • ExpressRoute - オンプレミスのネットワークをプライベート接続を介してクラウドに接続します。 接続は、接続プロバイダーを使用して行われます。

    • Azure Bastion - このシナリオでは、仮想ネットワーク内に Azure 仮想マシン (ジャンプ ボックスと呼ばれることもある) を作成します。 次に、Azure Bastion を使用して VM に接続します。 Bastion を使用すると、ローカル Web ブラウザーから RDP または SSH セッションを使用して VM に接続できます。 続いて、開発環境としてジャンプ ボックスを使用します。 これは仮想ネットワーク内にあるため、ワークスペースに直接アクセスできます。

この構成ではワークスペースのマネージド仮想ネットワークはインターネットにアクセスできるため、ワークスペース内からモデル カタログ内のすべてのコレクションを操作できます。

承認された送信のみを許可するワークスペースのマネージド仮想ネットワーク

  1. ワークスペースのマネージド ネットワーク分離に従ってワークスペースを構成します。 チュートリアルの手順 3 で [Workspace managed outbound access] (ワークスペース管理の送信アクセス) を選ぶときに、[Allow Only Approved Outbound] (承認された送信のみを許可する) を選びます。
  2. ワークスペースへのパブリック ネットワーク アクセスを無効に設定する場合、このチュートリアルのインターネット送信を許可するセクションの手順 2 に記載されているいずれかの方法を使ってワークスペースに接続できます。
  3. ワークスペースは、許可のみの構成に設定されている仮想ネットワークを管理します。 関連するすべての FQDN を許可するには、対応するユーザー定義のアウトバウンド規則を追加する必要があります。
    1. Azure AI によってキュレーションされたコレクションに必要な FQDN の一覧については、このリンク先を参照してください。
    2. Hugging Face コレクションに必要な FQDN の一覧については、このリンク先を参照してください。

Azure Machine Learning によってキュレーションされたオープンソース モデルを操作する

承認された送信のみを許可するワークスペース マネージド仮想ネットワークでは、Azure Machine Learning マネージド ストレージ アカウントに対するサービス エンドポイント ポリシーが使用され、すぐに使用できる方法で Azure Machine Learning によってキュレーションされたコレクション内のモデルにアクセスできます。 このワークスペース構成モードには、モデルのデプロイに使われる Docker イメージを含む Microsoft Container Registry への既定の送信も含まれています。

"Azure AI によってキュレーションされた" コレクションの言語モデル

これらのモデルでは実行時に依存関係が動的にインストールされます。 ユーザー定義のアウトバウンド規則を追加するには、Azure AI によってキュレーションされたコレクションの使用に関する記事の手順 4 に従って、ワークスペース レベルで次の FQDN に対してユーザー定義のアウトバウンド規則を追加する必要があります。

  • *.anaconda.org
  • *.anaconda.com
  • anaconda.com
  • pypi.org
  • *.pythonhosted.org
  • *.pytorch.org
  • pytorch.org

マネージド仮想ネットワークに関するチュートリアルの手順 4 に従って、対応するユーザー定義のアウトバウンド規則を追加します。

警告

FQDN アウトバウンド規則は Azure Firewall を使って実装されます。 FQDN アウトバウンド規則を使用する場合は、Azure Firewall の料金が請求に含まれます。 詳細については、価格に関するページをご覧ください。

メタ コレクション

ユーザーは、他のユーザー定義のアウトバウンド規則を必要とせず、ネットワーク分離ワークスペースでこのコレクションを操作できます。

Note

新しいキュレーションされたコレクションが頻繁にモデル カタログに追加されます。 このドキュメントは、さまざまなコレクションのプライベート ネットワークでのサポートを反映して更新されます。

Hugging Face コレクションを操作する

Hugging Face レジストリを使用している場合、モデルの重みは Azure でホスティングされません。 モデルの重みは、デプロイ時に、Hugging Face ハブからお使いのワークスペース内のオンライン エンドポイントに直接ダウンロードされます。 ユーザーは、次のホストへのトラフィックを許可するために、Face Hub、Docker Hub、および CDN に対する次の送信 FQDN 規則を追加する必要があります。

  • docker.io
  • huggingface.co
  • production.cloudflare.docker.com
  • cdn-lfs.huggingface.co
  • cdn.auth0.com

マネージド仮想ネットワークに関するチュートリアルの手順 4 に従って、対応するユーザー定義のアウトバウンド規則を追加します。

次のステップ