Udostępnij za pośrednictwem

Uzyskiwanie dostępu do zasobów lokalnych z sieci zarządzanej usługi Azure AI Foundry (wersja zapoznawcza)

  • Artykuł

Aby uzyskać dostęp do zasobów spoza platformy Azure znajdujących się w innej sieci wirtualnej lub znajdujących się w całości lokalnie z zarządzanej sieci wirtualnej usługi Azure AI Foundry, należy skonfigurować usługę Application Gateway. Za pośrednictwem tej usługi Application Gateway można skonfigurować pełny dostęp do zasobów.

aplikacja systemu Azure Gateway to moduł równoważenia obciążenia, który podejmuje decyzje dotyczące routingu na podstawie adresu URL żądania HTTPS. Usługa Azure Machine Learning obsługuje bezpieczne komunikowanie się z zasobami spoza platformy Azure przy użyciu bramy aplikacji. Aby uzyskać więcej informacji na temat usługi Application Gateway, zobacz Co to jest aplikacja systemu Azure Gateway.

Aby uzyskać dostęp do lokalnych lub niestandardowych zasobów sieci wirtualnej z zarządzanej sieci wirtualnej, należy skonfigurować usługę Application Gateway w sieci wirtualnej platformy Azure. Brama aplikacji jest używana do dostępu przychodzącego do centrum portalu usługi Azure AI Foundry. Po skonfigurowaniu utworzysz prywatny punkt końcowy z zarządzanej sieci wirtualnej centrum Azure AI Foundry do usługi Application Gateway. W przypadku prywatnego punktu końcowego pełna ścieżka do końca jest zabezpieczona i nie jest kierowana przez Internet.

Diagram sieci zarządzanej używającej usługi Application Gateway do komunikowania się z zasobami lokalnymi.

Wymagania wstępne

  • Przeczytaj artykuł How an application gateway works (Jak działa brama aplikacji), aby dowiedzieć się, jak usługa Application Gateway może zabezpieczyć połączenie z zasobami spoza platformy Azure.
  • Skonfiguruj zarządzaną sieć wirtualną centrum Azure AI Foundry i wybierz tryb izolacji Zezwalaj na ruch wychodzący z Internetu lub Zezwalaj tylko na zatwierdzony ruch wychodzący. Aby uzyskać więcej informacji, zobacz Zarządzana izolacja sieci wirtualnej.
  • Uzyskaj prywatny punkt końcowy HTTP zasobu, aby uzyskać dostęp.

Obsługiwane zasoby

Usługa Application Gateway obsługuje dowolny zasób docelowy zaplecza korzystający z protokołu HTTP lub HTTPS. Połączenia z następującymi zasobami z zarządzanej sieci wirtualnej są weryfikowane:

  • Artefakt Jfrog
  • Baza danych snowflake
  • Prywatne interfejsy API

Konfigurowanie bramy aplikacja systemu Azure

Postępuj zgodnie z przewodnikiem Szybki start: bezpośredni ruch internetowy przy użyciu portalu. Aby poprawnie skonfigurować usługę Application Gateway do użycia z usługą Azure Machine Learning, skorzystaj z poniższych wskazówek podczas tworzenia usługi Application Gateway:

  1. Na karcie Podstawowe:

    • Upewnij się, że usługa Application Gateway znajduje się w tym samym regionie co wybrana sieć wirtualna platformy Azure.
    • Usługa Azure AI Foundry obsługuje tylko protokół IPv4 dla usługi Application Gateway.
    • W usłudze Azure Virtual Network wybierz jedną dedykowaną podsieć dla usługi Application Gateway. W tej podsieci nie można wdrożyć żadnych innych zasobów.

  2. Na karcie Frontends usługa Application Gateway nie obsługuje tylko prywatnego adresu IP frontonu, dlatego należy wybrać publiczne adresy IP lub utworzyć nowe. Prywatne adresy IP dla zasobów, z którymi łączy się brama, można dodać w zakresie podsieci wybranej na karcie Podstawy.

  3. Na karcie Zaplecza możesz dodać element docelowy zaplecza do puli zaplecza. Elementy docelowe zaplecza można zarządzać, tworząc różne pule zaplecza. Routing żądań jest oparty na pulach. Możesz dodać obiekty docelowe zaplecza, takie jak baza danych Snowflake.

  4. Na karcie Konfiguracja skonfiguruj sposób odbierania żądań przy użyciu adresów IP frontonu i kierowanych do zaplecza.

    • W sekcji Odbiornik:

      • Odbiornik można utworzyć przy użyciu protokołu HTTP lub HTTPS i określić port, do którego ma nasłuchiwać. Jeśli chcesz, aby dwa odbiorniki nasłuchiwania na tym samym adresie IP frontonu i routingu do różnych pul zaplecza, należy wybrać różne porty. Żądania przychodzące są rozróżniane na podstawie portów.
      • Jeśli chcesz kompleksowe szyfrowanie TLS, wybierz pozycję Odbiornik HTTPS i przekaż własny certyfikat dla usługi Application Gateway, aby odszyfrować żądanie odebrane przez odbiornik. Aby uzyskać więcej informacji, zobacz Włączanie kompleksowego protokołu TLS w usłudze aplikacja systemu Azure Gateway.
      • Jeśli chcesz mieć w pełni prywatny obiekt docelowy zaplecza bez żadnego dostępu do sieci publicznej, nie konfiguruj odbiornika na publicznym adresie IP frontonu i skojarzonej z nią regule routingu. Usługa Application Gateway przekazuje tylko żądania odbierane przez odbiorniki na określonym porcie. Jeśli chcesz uniknąć pomyłek dodawania publicznego odbiornika adresów IP frontonu, zobacz Reguły zabezpieczeń sieci, aby w pełni zablokować dostęp do sieci publicznej.

    • W sekcji Elementy docelowe zaplecza, jeśli chcesz użyć certyfikatu HTTPS i serwera zaplecza NIE jest wystawiany przez dobrze znany urząd certyfikacji, musisz przekazać certyfikat główny (. CER) serwera zaplecza. Aby uzyskać więcej informacji na temat konfigurowania przy użyciu certyfikatu głównego, zobacz Konfigurowanie kompleksowego szyfrowania TLS przy użyciu portalu.

  5. Po utworzeniu zasobu usługi Application Gateway przejdź do nowego zasobu usługi Application Gateway w witrynie Azure Portal. W obszarze Ustawienia wybierz pozycję Link prywatny, aby umożliwić sieci wirtualnej prywatny dostęp do usługi Application Gateway za pośrednictwem połączenia prywatnego punktu końcowego. Konfiguracja łącza prywatnego nie jest domyślnie tworzona.

    • Wybierz pozycję + Dodaj , aby dodać konfigurację usługi Private Link, a następnie użyj następujących wartości, aby utworzyć konfigurację:
      • Nazwa: podaj nazwę konfiguracji łącza prywatnego
      • Podsieć łącza prywatnego: wybierz podsieć w sieci wirtualnej.
      • Konfiguracja adresu IP frontonu: appGwPrivateFrontendIpIPv4
    • Aby sprawdzić, czy łącze prywatne jest poprawnie skonfigurowane, przejdź do karty Połączenia prywatnego punktu końcowego i wybierz pozycję + Prywatny punkt końcowy. Na karcie Zasób podsób docelowy powinien być nazwą konfiguracji prywatnego adresu IP frontonu. appGwPrivateFrontendIpIPv4 Jeśli w zasobie podrzędnym Target nie jest wyświetlana żadna wartość, odbiornik usługi Application Gateway nie został poprawnie skonfigurowany. Aby uzyskać więcej informacji na temat konfigurowania usługi Private Link w usłudze Application Gateway, zobacz Konfigurowanie usługi Private Link aplikacja systemu Azure Gateway.

  1. Po utworzeniu pul frontonu i zaplecza usługi Application Gateway można teraz skonfigurować prywatny punkt końcowy z zarządzanej sieci wirtualnej do usługi Application Gateway. w witrynie Azure Portal przejdź do karty Sieć centrum Azure AI Foundry. Wybierz pozycję Dostęp wychodzący zarządzany przez obszar roboczy i dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika.

  2. W formularzu Reguły ruchu wychodzącego obszaru roboczego wybierz następujące elementy, aby utworzyć prywatny punkt końcowy:

    • Nazwa reguły: podaj nazwę prywatnego punktu końcowego w usłudze Application Gateway.
    • Typ miejsca docelowego: prywatny punkt końcowy
    • Subskrypcja i grupa zasobów: wybierz subskrypcję i grupę zasobów, w której wdrożono usługę Application Gateway
    • Typ zasobu: Microsoft.Network/applicationGateways
    • Nazwa zasobu: nazwa zasobu usługi Application Gateway.
    • Zasób podrzędny: appGwPrivateFrontendIpIPv4
    • Nazwy FQDN: te nazwy FQDN to aliasy, których chcesz użyć w portalu usługi Azure AI Foundry. Są one rozpoznawane jako prywatny adres IP zarządzanego prywatnego punktu końcowego przeznaczonego dla usługi Application Gateway. Możesz uwzględnić wiele nazw FQDN w zależności od liczby zasobów, z którymi chcesz nawiązać połączenie z usługą Application Gateway.

    Uwaga

    • Jeśli używasz odbiornika HTTPS z przekazanym certyfikatem, upewnij się, że alias nazwy FQDN jest zgodny z nazwą pospolitą certyfikatu (nazwa pospolita) lub siecią SAN (alternatywna nazwa podmiotu) w przeciwnym razie wywołanie HTTPS zakończy się niepowodzeniem z nazwą serwera (wskazanie nazwy serwera).
    • Podane nazwy FQDN muszą mieć co najmniej trzy etykiety w nazwie, aby prawidłowo utworzyć prywatną strefę DNS prywatnego punktu końcowego dla usługi Application Gateway.
    • Pole FQDN można edytować po utworzeniu prywatnego punktu końcowego za pomocą zestawu SDK lub interfejsu wiersza polecenia. Pole nie jest edytowalne w witrynie Azure Portal.
    • Dynamiczne nazewnictwo zasobów podrzędnych nie jest obsługiwane w przypadku konfiguracji prywatnego adresu IP frontonu. Nazwa adresu IP frontonu musi mieć wartość appGwPrivateFrontendIpIPv4.

Konfigurowanie przy użyciu zestawu PYTHON SDK i interfejsu wiersza polecenia platformy Azure

Aby utworzyć prywatny punkt końcowy w usłudze Application Gateway z zestawem SDK, zobacz Zestaw Azure SDK dla języka Python.

Aby utworzyć prywatny punkt końcowy w usłudze Application Gateway za pomocą interfejsu wiersza polecenia platformy az ml workspace outbound-rule set Azure, użyj polecenia . Ustaw właściwości zgodnie z potrzebami konfiguracji. Aby uzyskać więcej informacji, zobacz Konfigurowanie sieci zarządzanej.

Ograniczenia

  • Usługa Application Gateway obsługuje tylko punkty końcowe HTTP w puli zaplecza. Nie ma obsługi ruchu sieciowego bez protokołu HTTP. Upewnij się, że zasoby obsługują protokół HTTP(S).
  • Aby nawiązać połączenie z usługą Snowflake przy użyciu usługi Application Gateway, należy dodać własne reguły ruchu wychodzącego nazwy FQDN, aby włączyć pobieranie pakietów/sterowników i walidację OCSP.
    • Sterownik JDBC usługi Snowflake używa wywołań HTTPS, ale różne sterowniki mogą mieć różne implementacje. Sprawdź, czy zasób używa protokołu HTTP(S), czy nie.
  • Aby uzyskać więcej informacji na temat ograniczeń, zobacz Często zadawane pytania dotyczące usługi Application Gateway.

Błędy usługi Application Gateway

W przypadku błędów związanych z połączeniem usługi Application Gateway z zasobami zaplecza postępuj zgodnie z istniejącą dokumentacją usługi Application Gateway na podstawie błędów, które otrzymujesz:

Powiązana zawartość