Een privékoppeling configureren voor Azure AI Foundry-hubs

We hebben twee aspecten van netwerkisolatie. Een daarvan is de netwerkisolatie voor toegang tot een Azure AI Foundry-hub. Een andere is de netwerkisolatie van computingresources in uw hub en projecten, zoals rekenprocessen, serverloze en beheerde online-eindpunten. In dit artikel wordt de vorige gemarkeerd in het diagram uitgelegd. U kunt private link gebruiken om de privéverbinding met uw hub en de bijbehorende standaardbronnen tot stand te brengen. Dit artikel is bedoeld voor Azure AI Foundry (hub en projecten). Zie de documentatie voor Azure AI-services voor meer informatie over Azure AI-services.

U krijgt verschillende standaardresources voor de hub in uw resourcegroep. U moet de volgende configuraties voor netwerkisolatie configureren.

• Schakel openbare netwerktoegang van hub-standaardbronnen uit, zoals Azure Storage, Azure Key Vault en Azure Container Registry.
• Een privé-eindpuntverbinding tot stand brengen met de standaardbronnen van de hub. U moet zowel een blob- als een privé-eindpunt voor het bestand hebben voor het standaardopslagaccount.
• Als uw opslagaccount privé is, wijst u rollen toe om toegang toe te staan.

Vereisten

• U moet een bestaand virtueel Azure-netwerk hebben om het privé-eindpunt in te maken.

  Belangrijk

  Het wordt afgeraden om het IP-adresbereik 172.17.0.0/16 voor je VNet te gebruiken. Dit is het standaardsubnetbereik dat wordt gebruikt door het Docker Bridge-netwerk of on-premises.

• Schakel netwerkbeleid voor privé-eindpunten uit voordat u het privé-eindpunt toevoegt.

Een hub maken die gebruikmaakt van een privé-eindpunt

Als u een nieuwe hub maakt, gebruikt u de volgende tabbladen om te selecteren hoe u de hub maakt (Azure Portal of Azure CLI).) Voor elk van deze methoden is een bestaand virtueel netwerk vereist:

Azure-portal

Notitie

De informatie in dit document gaat alleen over het configureren van een privékoppeling. Zie Een beveiligde hub maken in Azure Portal voor een overzicht van het maken van een beveiligde hub in de portal.

1. Zoek in Azure Portal naar Azure AI Foundry en maak een nieuwe resource door + New Azure AI te selecteren.

2. Nadat u de tabbladen Basis en opslag hebt geconfigureerd, selecteert u het tabblad Netwerken en kiest u de optie Netwerkisolatie die het beste bij uw behoeften past.

   

3. Schuif omlaag naar de toegang voor inkomend verkeer van de werkruimte en kies + Toevoegen.

   

4. Vereiste velden invoeren. Wanneer u de regio selecteert, selecteert u dezelfde regio als uw virtuele netwerk.

Azure-CLI

Notitie

De informatie in deze sectie heeft geen betrekking op de basisconfiguratie van de hub. Zie Een hub maken met behulp van de Azure CLI voor meer informatie.

Nadat u de hub hebt gemaakt, gebruikt u de Azure-netwerk-CLI-opdrachten om een privékoppelingseindpunt voor de hub te maken.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace \
    --location <location> \
    --resource-group <resource-group-name>

Gebruik de volgende opdrachten om de privé-DNS-zonevermeldingen voor de werkruimte te maken:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Een privé-eindpunt toevoegen aan een hub

Gebruik een van de volgende methoden om een privé-eindpunt toe te voegen aan een bestaande hub:

Azure-portal

1. Selecteer uw hub in Azure Portal.

2. Selecteer aan de linkerkant van de pagina Instellingen, Netwerken en selecteer vervolgens het tabblad Privé-eindpuntverbindingen . Selecteer + Privé-eindpunt.

   

3. Wanneer u door de formulieren gaat om een privé-eindpunt te maken, moet u het volgende doen:

   • Selecteer in Basisinformatie dezelfde regio als uw virtuele netwerk.
   • Selecteer in Resource de optie amlworkspace als de doelsubresource.
   • Selecteer in het formulier Virtueel netwerk het virtuele netwerk en het subnet waarmee u verbinding wilt maken.

4. Nadat u de formulieren hebt ingevuld met eventuele extra netwerkconfiguraties die u nodig hebt, gebruikt u het tabblad Controleren en maken om uw instellingen te controleren en selecteert u Maken om het privé-eindpunt te maken.

Azure-CLI

Gebruik de CLI-opdrachten voor Azure-netwerken om een private link-eindpunt voor de hub te maken.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace \
    --location <location> \
    --resource-group <resource-group-name>

Gebruik de volgende opdrachten om de privé-DNS-zonevermeldingen voor de werkruimte te maken:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Een privé-eindpunt verwijderen

U kunt een of alle privé-eindpunten voor een hub verwijderen. Als u een privé-eindpunt verwijdert, wordt de hub verwijderd uit het virtuele Azure-netwerk waaraan het eindpunt is gekoppeld. Als u het privé-eindpunt verwijdert, kan de hub geen toegang krijgen tot resources in dat virtuele netwerk of resources in het virtuele netwerk toegang krijgen tot de werkruimte. Als het virtuele netwerk bijvoorbeeld geen toegang tot of vanaf het openbare internet toestaat.

Waarschuwing

Als u de privé-eindpunten voor een hub verwijdert, is deze niet openbaar toegankelijk. Als u de hub openbaar toegankelijk wilt maken, gebruikt u de stappen in de sectie Openbare toegang inschakelen.

Als u een privé-eindpunt wilt verwijderen, gebruikt u de volgende informatie:

Azure-portal

1. Selecteer uw hub in Azure Portal.

2. Selecteer aan de linkerkant van de pagina Instellingen, Netwerken en selecteer vervolgens het tabblad Privé-eindpuntverbindingen .

3. Selecteer het eindpunt dat u wilt verwijderen en selecteer vervolgens Verwijderen.

   

Azure-CLI

Wanneer u de Azure CLI gebruikt, gebruikt u de volgende opdracht om het privé-eindpunt te verwijderen:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Openbare toegang inschakelen

In sommige situaties wilt u misschien toestaan dat iemand via een openbaar eindpunt verbinding kan maken met uw beveiligde hub in plaats van via het virtuele netwerk. Of misschien wilt u de werkruimte uit het virtuele netwerk verwijderen en openbare toegang opnieuw inschakelen.

Belangrijk

Als u openbare toegang inschakelt, worden geen privé-eindpunten verwijderd die bestaan. Alle communicatie tussen onderdelen achter het virtuele netwerk waarmee de privé-eindpunten verbinding maken, worden nog steeds beveiligd. Hiermee is alleen openbare toegang tot de hub mogelijk, naast de privétoegang via privé-eindpunten.

Gebruik de volgende stappen om openbare toegang in te schakelen:

Azure-portal

1. Selecteer uw hub in Azure Portal.
2. Selecteer Netwerken aan de linkerkant van de pagina en selecteer vervolgens het tabblad Openbare toegang.
3. Selecteer Ingeschakeld in alle netwerken en selecteer Opslaan.

Azure-CLI

Gebruik de volgende Azure CLI-opdracht om openbare toegang in te schakelen:

az ml workspace update --set public_network_access=Enabled -n <workspace-name> -g <resource-group-name>

Als u een foutbericht krijgt dat de ml opdracht niet wordt gevonden, gebruikt u de volgende opdrachten om de Azure Machine Learning CLI-extensie te installeren:

az extension add --name ml

Configuratie van privéopslag

Als uw opslagaccount privé is (gebruikt een privé-eindpunt om met uw project te communiceren), voert u de volgende stappen uit:

1. Onze services moeten gegevens lezen/schrijven in uw privéopslagaccount met behulp van Azure-services toestaan in de lijst met vertrouwde services om toegang te krijgen tot dit opslagaccount met de volgende configuraties voor beheerde identiteiten. Schakel de door het systeem toegewezen beheerde identiteit van Azure AI Service en Azure AI Search in en configureer vervolgens op rollen gebaseerd toegangsbeheer voor elke beheerde identiteit.

   Role	Beheerde identiteit	Resource	Doel	Verwijzing
   Reader	Azure AI Foundry-project	Privé-eindpunt van het opslagaccount	Gegevens lezen uit het privéopslagaccount.
   Storage File Data Privileged Contributor	Azure AI Foundry-project	Opslagaccount	Stroomgegevens lezen/schrijven.	Stroomdocumenten vragen
   Storage Blob Data Contributor	Azure AI-service	Opslagaccount	Lezen van invoercontainer, schrijven naar voorverwerkingsresultaat naar uitvoercontainer.	Azure OpenAI Doc
   Storage Blob Data Contributor	Azure AI Search	Opslagaccount	Blob lezen en kennisarchief schrijven	Zoek document.

   Tip

   Uw opslagaccount kan meerdere privé-eindpunten hebben. U moet de Reader rol toewijzen aan elk privé-eindpunt.

2. Wijs de Storage Blob Data reader rol toe aan uw ontwikkelaars. Met deze rol kunnen ze gegevens lezen uit het opslagaccount.

3. Controleer of de verbinding van het project met het opslagaccount Gebruikmaakt van Microsoft Entra ID voor verificatie. Als u de verbindingsgegevens wilt weergeven, gaat u naar het beheercentrum, selecteert u Verbonden resources en selecteert u vervolgens de verbindingen van het opslagaccount. Als het referentietype geen Entra-id is, selecteert u het potloodpictogram om de verbinding bij te werken en stelt u de verificatiemethode in op Microsoft Entra-id.

Zie Speelspeeltuinchat veilig gebruiken voor informatie over het beveiligen van een speeltuinchat.

Aangepaste DNS-configuratie

Zie het aangepaste DNS-artikel van Azure Machine Learning voor de dns-doorstuurconfiguraties.

Als u aangepaste DNS-server zonder DNS-doorsturen wilt configureren, gebruikt u de volgende patronen voor de vereiste A-records.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Notitie

  De naam van de werkruimte voor deze FQDN kan worden afgekapt. Afkapping wordt gedaan om maximaal 63 tekens te behouden ml-<workspace-name, truncated>-<region>-<workspace-guid> .

• <instance-name>.<region>.instances.azureml.ms

  Notitie

  • Rekeninstanties kunnen alleen worden geopend vanuit het virtuele netwerk.
  • Het IP-adres voor deze FQDN is niet het IP-adres van het rekenproces. Gebruik in plaats daarvan het privé-IP-adres van het privé-eindpunt van de werkruimte (het IP-adres van de *.api.azureml.ms vermeldingen).)

• <instance-name>.<region>.instances.azureml.ms - Alleen gebruikt door de az ml compute connect-ssh opdracht om verbinding te maken met computers in een beheerd virtueel netwerk. Niet nodig als u geen beheerd netwerk of SSH-verbindingen gebruikt.

• <managed online endpoint name>.<region>.inference.ml.azure.com - Wordt gebruikt door beheerde online-eindpunten

Zie het aangepaste DNS-artikel van Azure Machine Learning om de privé-IP-adressen voor uw A-records te vinden. Als u AI-PROJECT-GUID wilt controleren, gaat u naar Azure Portal, selecteert u uw project, instellingen, eigenschappen en de werkruimte-id.

Beperkingen

• Mogelijk ondervindt u problemen bij het openen van het privé-eindpunt voor uw hub als u Mozilla Firefox gebruikt. Dit probleem kan te maken hebben met DNS via HTTPS in Mozilla Firefox. We raden u aan Microsoft Edge of Google Chrome te gebruiken.

Volgende stappen

• Een Azure AI Foundry-project maken
• Meer informatie over Azure AI Foundry
• Meer informatie over Azure AI Foundry-hubs
• Problemen met beveiligde connectiviteit met een project oplossen