Jak skonfigurować link prywatny dla centrów usługi Azure AI Foundry

Mamy dwa aspekty izolacji sieciowej. Jedną z nich jest izolacja sieci w celu uzyskania dostępu do centrum azure AI Foundry. Inną jest izolacja sieci zasobów obliczeniowych w centrum i projektach, takich jak wystąpienia obliczeniowe, bezserwerowe i zarządzane punkty końcowe online. W tym artykule opisano poprzednie wyróżnione na diagramie. Możesz użyć łącza prywatnego, aby nawiązać połączenie prywatne z centrum i jego domyślnymi zasobami. Ten artykuł dotyczy usługi Azure AI Foundry (centrum i projektów). Aby uzyskać informacje na temat usług Azure AI, zobacz dokumentację usług Azure AI.

W grupie zasobów uzyskasz kilka domyślnych zasobów centrum. Należy skonfigurować następujące konfiguracje izolacji sieciowej.

• Wyłącz dostęp do sieci publicznej dla domyślnych zasobów centrum, takich jak Azure Storage, Azure Key Vault i Azure Container Registry.
• Ustanów połączenie prywatnego punktu końcowego z domyślnymi zasobami centrum. Musisz mieć zarówno prywatny punkt końcowy obiektu blob, jak i prywatny plik dla domyślnego konta magazynu.
• Jeśli konto magazynu jest prywatne, przypisz role, aby zezwolić na dostęp.

Wymagania wstępne

• Aby utworzyć prywatny punkt końcowy, musisz mieć istniejącą sieć wirtualną platformy Azure.

  Ważne

  Nie zalecamy używania zakresu adresów IP 172.17.0.0/16 dla sieci wirtualnej. Jest to domyślny zakres podsieci używany przez sieć mostka platformy Docker lub lokalnie.

• Wyłącz zasady sieci dla prywatnych punktów końcowych przed dodaniem prywatnego punktu końcowego.

Tworzenie centrum korzystającego z prywatnego punktu końcowego

Użyj jednej z następujących metod, aby utworzyć centrum z prywatnym punktem końcowym. Każda z tych metod wymaga istniejącej sieci wirtualnej:

Witryna Azure Portal

1. W witrynie Azure Portal przejdź do witryny Azure AI Foundry i wybierz pozycję + Nowa sztuczna inteligencja platformy Azure.
2. Wybierz tryb izolacji sieciowej na karcie Sieć .
3. Przewiń w dół do obszaru Roboczego Dostęp przychodzący i wybierz pozycję + Dodaj.
4. Wymagane pola wejściowe. Po wybraniu pozycji Region wybierz ten sam region co sieć wirtualna.

Interfejs wiersza polecenia platformy Azure

Po utworzeniu centrum użyj poleceń interfejsu wiersza polecenia sieci platformy Azure, aby utworzyć punkt końcowy łącza prywatnego dla centrum.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Aby utworzyć wpisy prywatnej strefy DNS dla obszaru roboczego, użyj następujących poleceń:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Dodawanie prywatnego punktu końcowego do centrum

Użyj jednej z następujących metod, aby dodać prywatny punkt końcowy do istniejącego centrum:

Witryna Azure Portal

1. W witrynie Azure Portal wybierz swoje centrum.
2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Połączenia z prywatnym punktem końcowym.
3. Po wybraniu pozycji Region wybierz ten sam region co sieć wirtualna.
4. Podczas wybierania typu zasobu użyj polecenia azuremlworkspace.
5. Ustaw wartość Zasób na nazwę obszaru roboczego.

Na koniec wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

Interfejs wiersza polecenia platformy Azure

Użyj poleceń interfejsu wiersza polecenia sieci platformy Azure, aby utworzyć punkt końcowy łącza prywatnego dla centrum.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

Aby utworzyć wpisy prywatnej strefy DNS dla obszaru roboczego, użyj następujących poleceń:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Usuwanie prywatnego punktu końcowego

Możesz usunąć jeden lub wszystkie prywatne punkty końcowe dla centrum. Usunięcie prywatnego punktu końcowego spowoduje usunięcie centrum z sieci wirtualnej platformy Azure skojarzonej z punktem końcowym. Usunięcie prywatnego punktu końcowego może uniemożliwić centrum uzyskiwanie dostępu do zasobów w tej sieci wirtualnej lub zasoby w sieci wirtualnej z dostępem do obszaru roboczego. Jeśli na przykład sieć wirtualna nie zezwala na dostęp do publicznego Internetu lub z internetu.

Ostrzeżenie

Usunięcie prywatnych punktów końcowych dla centrum nie powoduje publicznego udostępnienia. Aby centrum było publicznie dostępne, wykonaj kroki opisane w sekcji Włączanie dostępu publicznego.

Aby usunąć prywatny punkt końcowy, skorzystaj z następujących informacji:

Witryna Azure Portal

1. W witrynie Azure Portal wybierz swoje centrum.
2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Połączenia z prywatnym punktem końcowym.
3. Wybierz punkt końcowy do usunięcia, a następnie wybierz pozycję Usuń.

Interfejs wiersza polecenia platformy Azure

W przypadku korzystania z interfejsu wiersza polecenia platformy Azure użyj następującego polecenia, aby usunąć prywatny punkt końcowy:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Włączanie dostępu publicznego

W niektórych sytuacjach możesz zezwolić komuś na łączenie się z zabezpieczonym koncentratorem za pośrednictwem publicznego punktu końcowego zamiast za pośrednictwem sieci wirtualnej. Możesz też usunąć obszar roboczy z sieci wirtualnej i ponownie włączyć dostęp publiczny.

Ważne

Włączenie dostępu publicznego nie powoduje usunięcia żadnych prywatnych punktów końcowych, które istnieją. Cała komunikacja między składnikami sieci wirtualnej, z którymi łączą się prywatne punkty końcowe, są nadal zabezpieczone. Umożliwia ona dostęp publiczny tylko do centrum, oprócz dostępu prywatnego za pośrednictwem jakichkolwiek prywatnych punktów końcowych.

Aby włączyć dostęp publiczny, wykonaj następujące kroki:

Witryna Azure Portal

1. W witrynie Azure Portal wybierz swoje centrum.
2. Po lewej stronie wybierz pozycję Sieć , a następnie wybierz kartę Dostęp publiczny.
3. Wybierz pozycję Włączone ze wszystkich sieci, a następnie wybierz pozycję Zapisz.

Interfejs wiersza polecenia platformy Azure

Użyj następującego polecenia interfejsu wiersza polecenia platformy Azure, aby włączyć dostęp publiczny:

az ml workspace update --set public_network_access=Enabled -n <workspace-name> -g <resource-group-name>

Jeśli wystąpi błąd, że ml polecenie nie zostanie znalezione, użyj następujących poleceń, aby zainstalować rozszerzenie interfejsu wiersza polecenia usługi Azure Machine Learning:

az extension add --name ml

Konfiguracja magazynu prywatnego

Jeśli konto magazynu jest prywatne (używa prywatnego punktu końcowego do komunikowania się z projektem), wykonaj następujące kroki:

1. Nasze usługi muszą odczytywać/zapisywać dane na prywatnym koncie magazynu przy użyciu opcji Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu przy użyciu następujących konfiguracji tożsamości zarządzanej. Włącz przypisaną przez system tożsamość zarządzaną usługi Azure AI Service i Azure AI Search, a następnie skonfiguruj kontrolę dostępu opartą na rolach dla każdej tożsamości zarządzanej.

   Rola	Tożsamość zarządzana	Zasób	Przeznaczenie	Odwołanie
   Reader	Projekt rozwiązania Azure AI Foundry	Prywatny punkt końcowy konta magazynu	Odczytywanie danych z prywatnego konta magazynu.
   Storage File Data Privileged Contributor	Projekt rozwiązania Azure AI Foundry	Konto magazynu	Odczyt/zapis danych przepływu monitu.	Dokument przepływu monitu
   Storage Blob Data Contributor	Usługa Azure AI	Konto magazynu	Odczyt z kontenera wejściowego, zapis do wstępnego przetwarzania wynik do kontenera wyjściowego.	Dokumentacja usługi Azure OpenAI
   Storage Blob Data Contributor	Wyszukiwanie AI platformy Azure	Konto magazynu	Odczytywanie obiektów blob i zapisywanie magazynu wiedzy	Wyszukaj dokument.

   Napiwek

   Konto magazynu może mieć wiele prywatnych punktów końcowych. Musisz przypisać Reader rolę do każdego prywatnego punktu końcowego.

2. Storage Blob Data reader Przypisz rolę deweloperom. Ta rola umożliwia im odczytywanie danych z konta magazynu.

3. Sprawdź, czy połączenie projektu z kontem magazynu używa identyfikatora Microsoft Entra do uwierzytelniania. Aby wyświetlić informacje o połączeniu , przejdź do centrum zarządzania, wybierz pozycję Połączone zasoby, a następnie wybierz połączenia konta magazynu. Jeśli typ poświadczeń nie jest identyfikatorem Entra, wybierz ikonę ołówka, aby zaktualizować połączenie i ustawić metodę uwierzytelniania na Wartość Microsoft Entra ID.

Aby uzyskać informacje na temat zabezpieczania czatu na placu zabaw, zobacz Bezpieczne korzystanie z czatu na placu zabaw.

Niestandardowa konfiguracja DNS

Zobacz artykuł Dotyczący niestandardowej usługi DNS usługi Azure Machine Learning, aby zapoznać się z konfiguracjami przesyłania dalej DNS.

Jeśli musisz skonfigurować niestandardowy serwer DNS bez przekazywania DNS, użyj następujących wzorców dla wymaganych rekordów A.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Uwaga

  Nazwa obszaru roboczego dla tej nazwy FQDN może zostać obcięta. Obcięcie jest wykonywane, aby zachować ml-<workspace-name, truncated>-<region>-<workspace-guid> co najmniej 63 znaki.

• <instance-name>.<region>.instances.azureml.ms

  Uwaga

  • Dostęp do wystąpień obliczeniowych można uzyskać tylko z poziomu sieci wirtualnej.
  • Adres IP tej nazwy FQDN nie jest adresem IP wystąpienia obliczeniowego. Zamiast tego użyj prywatnego adresu IP prywatnego punktu końcowego obszaru roboczego (adresu IP *.api.azureml.ms wpisów).

• <instance-name>.<region>.instances.azureml.ms — używane tylko przez az ml compute connect-ssh polecenie do łączenia się z komputerami w zarządzanej sieci wirtualnej. Nie jest to konieczne, jeśli nie używasz sieci zarządzanej ani połączeń SSH.

• <managed online endpoint name>.<region>.inference.ml.azure.com — Używane przez zarządzane punkty końcowe online

Aby znaleźć prywatne adresy IP dla rekordów A, zobacz artykuł Dotyczący niestandardowej usługi DNS usługi Azure Machine Learning. Aby sprawdzić identyfikator GUID AI-PROJECT, przejdź do witryny Azure Portal, wybierz projekt, ustawienia, właściwości i wyświetlany identyfikator obszaru roboczego.

Ograniczenia

• Jeśli używasz przeglądarki Mozilla Firefox, możesz napotkać problemy podczas próby uzyskania dostępu do prywatnego punktu końcowego centrum. Ten problem może być związany z systemem DNS za pośrednictwem protokołu HTTPS w Mozilla Firefox. Zalecamy używanie przeglądarki Microsoft Edge lub Google Chrome.

Następne kroki

• Tworzenie projektu usługi Azure AI Foundry
• Dowiedz się więcej o usłudze Azure AI Foundry
• Dowiedz się więcej o centrach usługi Azure AI Foundry
• Rozwiązywanie problemów z bezpieczną łącznością z projektem