Dela via


Så här konfigurerar du ett hanterat nätverk för Azure AI Foundry-hubbar

Vi har två aspekter av nätverksisolering. Den ena är nätverksisoleringen för åtkomst till en Azure AI Foundry-hubb. En annan är nätverksisolering av beräkningsresurser för både din hubb och ditt projekt (till exempel beräkningsinstans, serverlös och hanterad onlineslutpunkt.) Det här dokumentet förklarar det senare som är markerat i diagrammet. Du kan använda hubb inbyggd nätverksisolering för att skydda dina databehandlingsresurser.

Diagram över hubbnätverksisolering.

Du måste konfigurera följande konfigurationer för nätverksisolering.

  • Välj nätverksisoleringsläge. Du har två alternativ: tillåt utgående internetläge eller tillåt endast godkänt utgående läge.
  • Om du använder Visual Studio Code-integrering med tillåt endast godkänt utgående läge skapar du FQDN-regler för utgående trafik som beskrivs i avsnittet Använd Visual Studio Code .
  • Om du använder HuggingFace-modeller i Modeller med tillåt endast godkänt utgående läge skapar du utgående FQDN-regler som beskrivs i avsnittet Använda HuggingFace-modeller .
  • Om du använder en av modellerna med öppen källkod med tillåt endast godkänt utgående läge skapar du FQDN-regler för utgående trafik som beskrivs i avsnittet kuraterad av Azure AI .

Arkitektur och isoleringslägen för nätverksisolering

När du aktiverar isolering av hanterade virtuella nätverk skapas ett hanterat virtuellt nätverk för hubben. Hanterade beräkningsresurser som du skapar för hubben använder automatiskt det här hanterade virtuella nätverket. Det hanterade virtuella nätverket kan använda privata slutpunkter för Azure-resurser som används av din hubb, till exempel Azure Storage, Azure Key Vault och Azure Container Registry.

Det finns tre olika konfigurationslägen för utgående trafik från det hanterade virtuella nätverket:

Utgående läge beskrivning Scenarier
Tillåt utgående internet Tillåt all utgående internettrafik från det hanterade virtuella nätverket. Du vill ha obegränsad åtkomst till maskininlärningsresurser på Internet, till exempel Python-paket eller förtränad modeller.1
Tillåt endast godkänd utgående trafik Utgående trafik tillåts genom att ange tjänsttaggar. * Du vill minimera risken för dataexfiltrering, men du måste förbereda alla nödvändiga maskininlärningsartefakter i din privata miljö.
* Du vill konfigurera utgående åtkomst till en godkänd lista över tjänster, tjänsttaggar eller FQDN.
Inaktiverad Inkommande och utgående trafik är inte begränsad. Du vill ha offentlig inkommande och utgående trafik från hubben.

1 Du kan använda utgående regler med tillåt endast godkänt utgående läge för att uppnå samma resultat som med hjälp av tillåt utgående internet. Skillnaderna är:

  • Använd alltid privata slutpunkter för att komma åt Azure-resurser.
  • Du måste lägga till regler för varje utgående anslutning som du måste tillåta.
  • Om du lägger till FQDN-regler för utgående trafik ökar kostnaderna eftersom den här regeltypen använder Azure Firewall. Om du använder utgående FQDN-regler ingår avgifter för Azure Firewall i din fakturering. Mer information finns i Prissättning.
  • Standardreglerna för tillåt endast godkänd utgående trafik är utformade för att minimera risken för dataexfiltrering. Eventuella regler för utgående trafik som du lägger till kan öka risken.

Det hanterade virtuella nätverket är förkonfigurerat med nödvändiga standardregler. Den är också konfigurerad för privata slutpunktsanslutningar till hubben, hubbens standardlagring, containerregister och nyckelvalv om de är konfigurerade som privata eller hubbens isoleringsläge är inställt på att endast tillåta godkänd utgående trafik. När du har valt isoleringsläge behöver du bara överväga andra utgående krav som du kan behöva lägga till.

Följande diagram visar ett hanterat virtuellt nätverk som har konfigurerats för att tillåta utgående Internet:

Diagram över hanterad virtuell nätverksisolering som konfigurerats för utgående Internet.

Följande diagram visar ett hanterat virtuellt nätverk som konfigurerats för att endast tillåta godkänd utgående trafik:

Kommentar

I den här konfigurationen flaggas lagrings-, nyckelvalvet och containerregistret som används av hubben som privata. Eftersom de flaggas som privata används en privat slutpunkt för att kommunicera med dem.

Diagram över hanterad virtuell nätverksisolering som konfigurerats för tillåt endast godkänd utgående trafik.

Förutsättningar

Innan du följer stegen i den här artikeln kontrollerar du att du har följande förutsättningar:

  • En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

  • Resursprovidern Microsoft.Network måste vara registrerad för din Azure-prenumeration. Den här resursprovidern används av hubben när du skapar privata slutpunkter för det hanterade virtuella nätverket.

    Information om hur du registrerar resursprovidrar finns i Lösa fel för registrering av resursprovider.

  • Den Azure-identitet som du använder när du distribuerar ett hanterat nätverk kräver följande Azure-åtgärder för rollbaserad åtkomstkontroll (Azure RBAC) för att skapa privata slutpunkter:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Begränsningar

  • Azure AI Foundry stöder för närvarande inte att skapa ett eget virtuellt nätverk, utan stöder endast isolering av hanterade virtuella nätverk.
  • När du har aktiverat isolering av hanterade virtuella nätverk i Azure AI kan du inte inaktivera den.
  • Det hanterade virtuella nätverket använder en privat slutpunktsanslutning för att få åtkomst till dina privata resurser. Du kan inte ha en privat slutpunkt och en tjänstslutpunkt samtidigt för dina Azure-resurser, till exempel ett lagringskonto. Vi rekommenderar att du använder privata slutpunkter i alla scenarier.
  • Det hanterade virtuella nätverket tas bort när Azure AI tas bort.
  • Dataexfiltreringsskydd aktiveras automatiskt för det enda godkända utgående läget. Om du lägger till andra regler för utgående trafik, till exempel till FQDN, kan Microsoft inte garantera att du skyddas från dataexfiltrering till dessa utgående mål.
  • Om du använder utgående FQDN-regler ökar kostnaden för det hanterade virtuella nätverket eftersom FQDN-regler använder Azure Firewall. Mer information finns i Prissättning.
  • FQDN-regler för utgående trafik stöder endast portarna 80 och 443.
  • När du använder en beräkningsinstans med ett hanterat nätverk använder du az ml compute connect-ssh kommandot för att ansluta till beräkningen med hjälp av SSH.
  • Om ditt hanterade nätverk har konfigurerats för att endast tillåta godkänd utgående trafik kan du inte använda en FQDN-regel för åtkomst till Azure Storage-konton. Du måste använda en privat slutpunkt i stället.

Konfigurera ett hanterat virtuellt nätverk för att tillåta utgående internet

Dricks

Skapandet av det hanterade virtuella nätverket skjuts upp tills en beräkningsresurs skapas eller etableringen startas manuellt. När du tillåter automatisk skapande kan det ta cirka 30 minuter att skapa den första beräkningsresursen eftersom den även etablerar nätverket.

  • Skapa en ny hubb:

    1. Logga in på Azure Portal och välj Azure AI Foundry på menyn Skapa en resurs.

    2. Välj + Ny Azure AI.

    3. Ange nödvändig information på fliken Grundläggande .

    4. På fliken Nätverk väljer du Privat med Utgående Internet.

    5. Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . I sidofältet För utgående regler anger du följande information:

      • Regelnamn: Ett namn på regeln. Namnet måste vara unikt för den här hubben.
      • Måltyp: Privat slutpunkt är det enda alternativet när nätverksisoleringen är privat med utgående Internet. Hubbhanterat virtuellt nätverk har inte stöd för att skapa en privat slutpunkt för alla Azure-resurstyper. En lista över resurser som stöds finns i avsnittet Privata slutpunkter .
      • Prenumeration: Den prenumeration som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
      • Resursgrupp: Resursgruppen som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
      • Resurstyp: Typen av Azure-resurs.
      • Resursnamn: Namnet på Azure-resursen.
      • Underresurs: Underresursen för Azure-resurstypen.

      Välj Spara för att spara regeln. Du kan fortsätta att använda Lägg till användardefinierade utgående regler för att lägga till regler.

    6. Fortsätt att skapa hubben som vanligt.

  • Uppdatera en befintlig hubb:

    1. Logga in på Azure Portal och välj den hubb som du vill aktivera hanterad virtuell nätverksisolering för.

    2. Välj Nätverk och välj sedan Privat med Utgående Internet.

      • Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . I sidofältet För utgående regler anger du samma information som när du skapar en hubb i avsnittet Skapa en ny hubb.

      • Om du vill ta bort en regel för utgående trafik väljer du Ta bort för regeln.

    3. Välj Spara överst på sidan för att spara ändringarna i det hanterade virtuella nätverket.

Konfigurera ett hanterat virtuellt nätverk för att endast tillåta godkänd utgående trafik

Dricks

Det hanterade virtuella nätverket etableras automatiskt när du skapar en beräkningsresurs. När du tillåter automatisk skapande kan det ta cirka 30 minuter att skapa den första beräkningsresursen eftersom den även etablerar nätverket. Om du har konfigurerat utgående FQDN-regler lägger den första FQDN-regeln till cirka 10 minuter till etableringstiden.

  • Skapa en ny hubb:

    1. Logga in på Azure Portal och välj Azure AI Foundry på menyn Skapa en resurs.

    2. Välj + Ny Azure AI.

    3. Ange nödvändig information på fliken Grundläggande .

    4. På fliken Nätverk väljer du Privat med godkänd utgående trafik.

    5. Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . I sidofältet För utgående regler anger du följande information:

      • Regelnamn: Ett namn på regeln. Namnet måste vara unikt för den här hubben.
      • Måltyp: Privat slutpunkt, tjänsttagg eller FQDN. Tjänsttagg och FQDN är endast tillgängliga när nätverksisoleringen är privat med godkänd utgående trafik.

      Om måltypen är privat slutpunkt anger du följande information:

      • Prenumeration: Den prenumeration som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
      • Resursgrupp: Resursgruppen som innehåller den Azure-resurs som du vill lägga till en privat slutpunkt för.
      • Resurstyp: Typen av Azure-resurs.
      • Resursnamn: Namnet på Azure-resursen.
      • Underresurs: Underresursen för Azure-resurstypen.

      Dricks

      Det hubbhanterade virtuella nätverket stöder inte att skapa en privat slutpunkt för alla Azure-resurstyper. En lista över resurser som stöds finns i avsnittet Privata slutpunkter .

      Om måltypen är tjänsttagg anger du följande information:

      • Tjänsttagg: Tjänsttaggen som ska läggas till i de godkända reglerna för utgående trafik.
      • Protokoll: Protokollet som tillåter tjänsttaggen.
      • Portintervall: Portintervallen för att tillåta tjänsttaggen.

      Om måltypen är FQDN anger du följande information:

      • FQDN-mål: Det fullständigt kvalificerade domännamnet som ska läggas till i de godkända reglerna för utgående trafik.

      Välj Spara för att spara regeln. Du kan fortsätta att använda Lägg till användardefinierade utgående regler för att lägga till regler.

    6. Fortsätt att skapa hubben som vanligt.

  • Uppdatera en befintlig hubb:

    1. Logga in på Azure Portal och välj den hubb som du vill aktivera hanterad virtuell nätverksisolering för.

    2. Välj Nätverk och välj sedan Privat med godkänd utgående trafik.

      • Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . I sidofältet Utgående regler anger du samma information som när du skapar en hubb i föregående avsnitt "Skapa en ny hubb".

      • Om du vill ta bort en regel för utgående trafik väljer du Ta bort för regeln.

    3. Välj Spara överst på sidan för att spara ändringarna i det hanterade virtuella nätverket.

Etablera ett hanterat virtuellt nätverk manuellt

Det hanterade virtuella nätverket etableras automatiskt när du skapar en beräkningsinstans. När du förlitar dig på automatisk etablering kan det ta cirka 30 minuter att skapa den första beräkningsinstansen eftersom den även etablerar nätverket. Om du har konfigurerat utgående FQDN-regler (endast tillgängligt med endast godkänt läge) lägger den första FQDN-regeln till cirka 10 minuter till etableringstiden. Om du har en stor uppsättning utgående regler som ska etableras i det hanterade nätverket kan det ta längre tid för etableringen att slutföras. Den ökade etableringstiden kan leda till att den första beräkningsinstansen skapas.

För att minska väntetiden och undvika potentiella timeout-fel rekommenderar vi att du etablerar det hanterade nätverket manuellt. Vänta sedan tills etableringen är klar innan du skapar en beräkningsinstans.

Du kan också använda provision_network_now flaggan för att etablera det hanterade nätverket som en del av skapandet av hubben. Den här flaggan är i förhandsversion.

Kommentar

Om du vill skapa en onlinedistribution måste du etablera det hanterade nätverket manuellt eller skapa en beräkningsinstans först som automatiskt etablerar den.

När du skapar hubben väljer du Etablera ett hanterat nätverk proaktivt när du skapar det hanterade nätverket. Avgifter tillkommer från nätverksresurser, till exempel privata slutpunkter, när det virtuella nätverket har etablerats. Det här konfigurationsalternativet är endast tillgängligt när arbetsytan skapas och är i förhandsversion.

Hantera regler för utgående trafik

  1. Logga in på Azure Portal och välj den hubb som du vill aktivera hanterad virtuell nätverksisolering för.
  2. Välj Nätverk. I avsnittet Utgående åtkomst i Azure AI kan du hantera regler för utgående trafik.
  • Om du vill lägga till en regel för utgående trafik väljer du Lägg till användardefinierade regler för utgående trafik på fliken Nätverk . Ange följande information i sidofältet för utgående Regler i Azure AI:

  • Om du vill aktivera eller inaktivera en regel använder du växlingsknappen i kolumnen Aktiv.

  • Om du vill ta bort en regel för utgående trafik väljer du Ta bort för regeln.

Lista över obligatoriska regler

Dricks

Dessa regler läggs automatiskt till i det hanterade virtuella nätverket.

Privata slutpunkter:

  • När isoleringsläget för det hanterade virtuella nätverket är Allow internet outboundskapas regler för utgående privat slutpunkt automatiskt som nödvändiga regler från det hanterade virtuella nätverket för hubben och associerade resurser med offentlig nätverksåtkomst inaktiverad (Key Vault, Lagringskonto, Container Registry, hubb).
  • När isoleringsläget för det hanterade virtuella nätverket är Allow only approved outboundskapas regler för utgående privat slutpunkt automatiskt som obligatoriska regler från det hanterade virtuella nätverket för hubben och associerade resurser oavsett åtkomstläge för offentliga nätverk för dessa resurser (Key Vault, Lagringskonto, Container Registry, hubb).

Regler för utgående tjänsttagg:

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Regler för inkommande tjänsttagg:

  • AzureMachineLearning

Lista över scenariospecifika regler för utgående trafik

Scenario: Få åtkomst till offentliga maskininlärningspaket

Om du vill tillåta installation av Python-paket för träning och distribution lägger du till utgående FQDN-regler för att tillåta trafik till följande värdnamn:

Kommentar

Det här är inte en fullständig lista över de värdar som krävs för alla Python-resurser på Internet, bara de vanligaste. Om du till exempel behöver åtkomst till en GitHub-lagringsplats eller en annan värd måste du identifiera och lägga till de värdar som krävs för det scenariot.

Värdnamn Syfte
anaconda.com
*.anaconda.com
Används för att installera standardpaket.
*.anaconda.org Används för att hämta lagringsplatsdata.
pypi.org Används för att lista beroenden från standardindexet, om det finns några, och indexet skrivs inte över av användarinställningarna. Om indexet skrivs över måste du också tillåta *.pythonhosted.org.
pytorch.org
*.pytorch.org
Används av några exempel baserade på PyTorch.
*.tensorflow.org Används av några exempel som baseras på Tensorflow.

Scenario: Använda Visual Studio Code

Visual Studio Code förlitar sig på specifika värdar och portar för att upprätta en fjärranslutning.

Värdar

Om du planerar att använda Visual Studio Code med hubben lägger du till utgående FQDN-regler för att tillåta trafik till följande värdar:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Hamnar

Du måste tillåta nätverkstrafik till portarna 8704 till 8710. VS Code-servern väljer dynamiskt den första tillgängliga porten inom det här intervallet.

Scenario: Använda HuggingFace-modeller

Om du planerar att använda HuggingFace-modeller med hubben lägger du till utgående FQDN-regler för att tillåta trafik till följande värdar:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Scenario: Kuraterad av Azure AI

Dessa modeller omfattar dynamisk installation av beroenden vid körning och kräver utgående FQDN-regler för att tillåta trafik till följande värdar:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Privata slutpunkter

Privata slutpunkter stöds för närvarande för följande Azure-tjänster:

  • AI Foundry Hub
  • Azure AI-sökning
  • Azure AI-tjänster
  • Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (alla underresurstyper)
  • Azure Data Factory
  • Azure-databas för MariaDB
  • Azure Database for MySQL
  • Azure Database for PostgreSQL – enskild server
  • Flexibel Server för Azure Database for PostgreSQL
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Azure Machine Learning-register
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (alla underresurstyper)

När du skapar en privat slutpunkt anger du resurstypen och underresursen som slutpunkten ansluter till. Vissa resurser har flera typer och underresurser. Mer information finns i vad som är en privat slutpunkt.

När du skapar en privat slutpunkt för hubbberoende resurser, till exempel Azure Storage, Azure Container Registry och Azure Key Vault, kan resursen finnas i en annan Azure-prenumeration. Resursen måste dock finnas i samma klientorganisation som hubben.

En privat slutpunkt skapas automatiskt för en anslutning om målresursen är en Azure-resurs som angavs tidigare. Ett giltigt mål-ID förväntas för den privata slutpunkten. Ett giltigt mål-ID för anslutningen kan vara Azure Resource Manager-ID för en överordnad resurs. Mål-ID:t förväntas också i målet för anslutningen eller i metadata.resourceid. Mer information om anslutningar finns i Så här lägger du till en ny anslutning i Azure AI Foundry-portalen.

Välj en Azure Firewall-version för tillåten endast godkänd utgående trafik (förhandsversion)

En Azure Firewall distribueras om en utgående FQDN-regel skapas i det tillåtna endast godkända utgående läget. Avgifter för Azure Firewall ingår i din fakturering. Som standard skapas en Standard-version av AzureFirewall. Du kan också välja att använda en grundläggande version. Du kan ändra brandväggsversionen som används efter behov. Om du vill ta reda på vilken version som är bäst för dig går du till Välj rätt Azure Firewall-version.

Viktigt!

Brandväggen skapas inte förrän du lägger till en utgående FQDN-regel. Mer information om priser finns i Prissättning för Azure Firewall och visa priser för standardversionen .

Använd följande flikar för att lära dig hur du väljer brandväggsversionen för ditt hanterade virtuella nätverk.

När du har valt det tillåtna endast godkända utgående läget visas ett alternativ för att välja Azure Firewall-versionen (SKU). Välj Standard för att använda standardversionen eller Basic för att använda den grundläggande versionen. Spara konfigurationen genom att välja Spara .

Prissättning

Funktionen för hubbhanterat virtuellt nätverk är kostnadsfri. Du debiteras dock för följande resurser som används av det hanterade virtuella nätverket:

  • Azure Private Link – Privata slutpunkter som används för att skydda kommunikationen mellan det hanterade virtuella nätverket och Azure-resurser förlitar sig på Azure Private Link. Mer information om priser finns i Prissättning för Azure Private Link.

  • Utgående FQDN-regler – FQDN-regler för utgående trafik implementeras med hjälp av Azure Firewall. Om du använder utgående FQDN-regler ingår avgifter för Azure Firewall i din fakturering. En standardversion av Azure Firewall används som standard. Information om hur du väljer den grundläggande versionen finns i Välj en Azure Firewall-version. Azure Firewall etableras per hubb.

    Viktigt!

    Brandväggen skapas inte förrän du lägger till en utgående FQDN-regel. Om du inte använder FQDN-regler debiteras du inte för Azure Firewall. Mer information om priser finns i Prissättning för Azure Firewall.