Dela via


Så här konfigurerar du en privat länk för Azure AI Foundry-hubbar

Vi har två aspekter av nätverksisolering. Den ena är nätverksisoleringen för åtkomst till en Azure AI Foundry-hubb. En annan är nätverksisolering av beräkningsresurser i din hubb och projekt som beräkningsinstanser, serverlösa och hanterade onlineslutpunkter. I den här artikeln förklaras det förra som markerats i diagrammet. Du kan använda privat länk för att upprätta den privata anslutningen till din hubb och dess standardresurser. Den här artikeln gäller För Azure AI Foundry (hubb och projekt). Information om Azure AI-tjänster finns i dokumentationen om Azure AI-tjänster.

Diagram över nätverksisolering av Azure AI Foundry Hub.

Du får flera hubbstandardresurser i resursgruppen. Du måste konfigurera följande konfigurationer för nätverksisolering.

  • Inaktivera offentlig nätverksåtkomst för hubbstandardresurser som Azure Storage, Azure Key Vault och Azure Container Registry.
  • Upprätta en privat slutpunktsanslutning till hubbens standardresurser. Du måste ha både en privat blob- och filslutpunkt för standardlagringskontot.
  • Om ditt lagringskonto är privat tilldelar du roller för att tillåta åtkomst.

Förutsättningar

  • Du måste ha ett befintligt virtuellt Azure-nätverk för att skapa den privata slutpunkten i.

    Viktigt!

    Vi rekommenderar inte att du använder IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket eller lokalt.

  • Inaktivera nätverksprinciper för privata slutpunkter innan du lägger till den privata slutpunkten.

Skapa en hubb som använder en privat slutpunkt

Om du skapar en ny hubb använder du följande flikar för att välja hur du skapar hubben (Azure Portal eller Azure CLI.) Var och en av dessa metoder kräver ett befintligt virtuellt nätverk:

Kommentar

Informationen i det här dokumentet handlar bara om att konfigurera en privat länk. En genomgång av hur du skapar en säker hubb i portalen finns i Skapa en säker hubb i Azure Portal.

  1. Från Azure Portal söker du efter Azure AI Foundry och skapar en ny resurs genom att välja + Ny Azure AI.

  2. När du har konfigurerat flikarnaGrundläggande och Lagring väljer du fliken Nätverk och väljer alternativet Nätverksisolering som passar dina behov bäst.

    Skärmbild av skapa en hubb med alternativet att ange information om nätverksisolering.

  3. Rulla ned till Åtkomst till arbetsyta inkommande och välj + Lägg till.

    Skärmbild av avsnittet för inkommande åtkomst på arbetsytan.

  4. Ange obligatoriska fält. När du väljer Region väljer du samma region som ditt virtuella nätverk.

Lägga till en privat slutpunkt i en hubb

Använd någon av följande metoder för att lägga till en privat slutpunkt i en befintlig hubb:

  1. Från Azure Portal väljer du din hubb.

  2. Till vänster på sidan väljer du Inställningar, Nätverk och sedan fliken Privata slutpunktsanslutningar. Välj + Privat slutpunkt.

    Skärmbild av fliken privata slutpunktsanslutningar

  3. När du går igenom formulären för att skapa en privat slutpunkt måste du:

    • Från Grunderna väljer du samma region som ditt virtuella nätverk.
    • Från Resurs väljer du amlworkspace som målunderresurs.
    • I formuläret Virtuellt nätverk väljer du det virtuella nätverk och undernät som du vill ansluta till.
  4. När du har fyllt i formulären med eventuella ytterligare nätverkskonfigurationer som du behöver kan du använda fliken Granska + skapa för att granska inställningarna och välja Skapa för att skapa den privata slutpunkten.

Ta bort en privat slutpunkt

Du kan ta bort en eller alla privata slutpunkter för en hubb. Om du tar bort en privat slutpunkt tas hubben bort från det virtuella Azure-nätverk som slutpunkten var associerad med. Om du tar bort den privata slutpunkten kan det hindra hubben från att komma åt resurser i det virtuella nätverket eller resurser i det virtuella nätverket från att komma åt arbetsytan. Om det virtuella nätverket till exempel inte tillåter åtkomst till eller från det offentliga Internet.

Varning

Om du tar bort de privata slutpunkterna för en hubb blir den inte offentligt tillgänglig. Om du vill göra hubben offentligt tillgänglig använder du stegen i avsnittet Aktivera offentlig åtkomst .

Om du vill ta bort en privat slutpunkt använder du följande information:

  1. Från Azure Portal väljer du din hubb.

  2. Till vänster på sidan väljer du Inställningar, Nätverk och sedan fliken Privata slutpunktsanslutningar.

  3. Välj den slutpunkt som du vill ta bort och välj sedan Ta bort.

    Skärmbild av en vald privat slutpunkt med alternativet ta bort markerat.

Aktivera offentlig åtkomst

I vissa situationer kanske du vill tillåta att någon ansluter till din skyddade hubb via en offentlig slutpunkt i stället för via det virtuella nätverket. Eller så kanske du vill ta bort arbetsytan från det virtuella nätverket och återaktivera offentlig åtkomst.

Viktigt!

Om du aktiverar offentlig åtkomst tar du inte bort några privata slutpunkter som finns. All kommunikation mellan komponenter bakom det virtuella nätverket som de privata slutpunkterna ansluter till är fortfarande säkrad. Det ger endast offentlig åtkomst till hubben, utöver den privata åtkomsten via privata slutpunkter.

Använd följande steg för att aktivera offentlig åtkomst:

  1. Från Azure Portal väljer du din hubb.
  2. Välj Nätverk till vänster på sidan och välj sedan fliken Offentlig åtkomst.
  3. Välj Aktiverad från alla nätverk och välj sedan Spara.

Konfiguration av privat lagring

Om ditt lagringskonto är privat (använder en privat slutpunkt för att kommunicera med projektet) utför du följande steg:

  1. Våra tjänster måste läsa/skriva data i ditt privata lagringskonto med hjälp av Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot med följande hanterade identitetskonfigurationer. Aktivera den systemtilldelade hanterade identiteten för Azure AI Service och Azure AI Search och konfigurera sedan rollbaserad åtkomstkontroll för varje hanterad identitet.

    Roll Hanterad identitet Resurs Syfte Referens
    Reader Azure AI Foundry-projekt Privat slutpunkt för lagringskontot Läsa data från det privata lagringskontot.
    Storage File Data Privileged Contributor Azure AI Foundry-projekt Lagringskonto Flödesdata för läs-/skrivprompt. Prompt flow doc
    Storage Blob Data Contributor Azure AI Service Lagringskonto Läs från indatacontainer, skriv till förbearbeta resultatet till utdatacontainern. Azure OpenAI Doc
    Storage Blob Data Contributor Azure AI-sökning Lagringskonto Läs blob och skriva kunskapslager Sök i dokumentet.

    Dricks

    Ditt lagringskonto kan ha flera privata slutpunkter. Du måste tilldela Reader rollen till varje privat slutpunkt.

  2. Storage Blob Data reader Tilldela rollen till dina utvecklare. Med den här rollen kan de läsa data från lagringskontot.

  3. Kontrollera att projektets anslutning till lagringskontot använder Microsoft Entra-ID för autentisering. Om du vill visa anslutningsinformationen går du till hanteringscentret, väljer Anslutna resurser och väljer sedan anslutningarna för lagringskontot. Om autentiseringstypen inte är Etttra-ID väljer du pennikonen för att uppdatera anslutningen och anger autentiseringsmetoden till Microsoft Entra-ID.

Information om hur du skyddar lekplatschatt finns i Använda playground chat på ett säkert sätt.

Anpassad DNS-konfiguration

Mer information om DNS-vidarebefordran finns i den anpassade DNS-artikeln för Azure Machine Learning.

Om du behöver konfigurera en anpassad DNS-server utan DNS-vidarebefordran använder du följande mönster för de A-poster som krävs.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Kommentar

    Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

  • <instance-name>.<region>.instances.azureml.ms

    Kommentar

    • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
    • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)
  • <instance-name>.<region>.instances.azureml.ms – Används endast av az ml compute connect-ssh kommandot för att ansluta till datorer i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

  • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Information om hur du hittar de privata IP-adresserna för dina A-poster finns i artikeln anpassad DNS för Azure Machine Learning. Om du vill kontrollera AI-PROJECT-GUID går du till Azure Portal, väljer ditt projekt, inställningar, egenskaper och arbetsytans ID visas.

Begränsningar

  • Du kan stöta på problem med att försöka komma åt den privata slutpunkten för din hubb om du använder Mozilla Firefox. Det här problemet kan vara relaterat till DNS via HTTPS i Mozilla Firefox. Vi rekommenderar att du använder Microsoft Edge eller Google Chrome.

Nästa steg