Så här konfigurerar du en privat länk för Azure AI Foundry-hubbar

Vi har två aspekter av nätverksisolering. Den ena är nätverksisoleringen för åtkomst till en Azure AI Foundry-hubb. En annan är nätverksisolering av beräkningsresurser i din hubb och projekt som beräkningsinstanser, serverlösa och hanterade onlineslutpunkter. I den här artikeln förklaras det förra som markerats i diagrammet. Du kan använda privat länk för att upprätta den privata anslutningen till din hubb och dess standardresurser. Den här artikeln gäller För Azure AI Foundry (hubb och projekt). Information om Azure AI-tjänster finns i dokumentationen om Azure AI-tjänster.

Du får flera hubbstandardresurser i resursgruppen. Du måste konfigurera följande konfigurationer för nätverksisolering.

• Inaktivera offentlig nätverksåtkomst för hubbstandardresurser som Azure Storage, Azure Key Vault och Azure Container Registry.
• Upprätta en privat slutpunktsanslutning till hubbens standardresurser. Du måste ha både en privat blob- och filslutpunkt för standardlagringskontot.
• Om ditt lagringskonto är privat tilldelar du roller för att tillåta åtkomst.

Förutsättningar

• Du måste ha ett befintligt virtuellt Azure-nätverk för att skapa den privata slutpunkten i.

  Viktigt!

  Vi rekommenderar inte att du använder IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket eller lokalt.

• Inaktivera nätverksprinciper för privata slutpunkter innan du lägger till den privata slutpunkten.

Skapa en hubb som använder en privat slutpunkt

Om du skapar en ny hubb använder du följande flikar för att välja hur du skapar hubben (Azure Portal eller Azure CLI.) Var och en av dessa metoder kräver ett befintligt virtuellt nätverk:

Azure-portalen

Kommentar

Informationen i det här dokumentet handlar bara om att konfigurera en privat länk. En genomgång av hur du skapar en säker hubb i portalen finns i Skapa en säker hubb i Azure Portal.

1. Från Azure Portal söker du efter Azure AI Foundry och skapar en ny resurs genom att välja + Ny Azure AI.

2. När du har konfigurerat flikarnaGrundläggande och Lagring väljer du fliken Nätverk och väljer alternativet Nätverksisolering som passar dina behov bäst.

   

3. Rulla ned till Åtkomst till arbetsyta inkommande och välj + Lägg till.

   

4. Ange obligatoriska fält. När du väljer Region väljer du samma region som ditt virtuella nätverk.

Azure CLI

Kommentar

Informationen i det här avsnittet omfattar inte grundläggande hubbkonfiguration. Mer information finns i Skapa en hubb med Hjälp av Azure CLI.

När du har skapat hubben använder du CLI-kommandona för Azure-nätverk för att skapa en privat länkslutpunkt för hubben.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace \
    --location <location> \
    --resource-group <resource-group-name>

Om du vill skapa posterna i den privata DNS-zonen för arbetsytan använder du följande kommandon:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

Lägga till en privat slutpunkt i en hubb

Använd någon av följande metoder för att lägga till en privat slutpunkt i en befintlig hubb:

Azure-portalen

1. Från Azure Portal väljer du din hubb.

2. Till vänster på sidan väljer du Inställningar, Nätverk och sedan fliken Privata slutpunktsanslutningar. Välj + Privat slutpunkt.

   

3. När du går igenom formulären för att skapa en privat slutpunkt måste du:

   • Från Grunderna väljer du samma region som ditt virtuella nätverk.
   • Från Resurs väljer du amlworkspace som målunderresurs.
   • I formuläret Virtuellt nätverk väljer du det virtuella nätverk och undernät som du vill ansluta till.

4. När du har fyllt i formulären med eventuella ytterligare nätverkskonfigurationer som du behöver kan du använda fliken Granska + skapa för att granska inställningarna och välja Skapa för att skapa den privata slutpunkten.

Azure CLI

Använd CLI-kommandona för Azure-nätverk för att skapa en privat länkslutpunkt för hubben.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace \
    --location <location> \
    --resource-group <resource-group-name>

Om du vill skapa posterna i den privata DNS-zonen för arbetsytan använder du följande kommandon:

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

Ta bort en privat slutpunkt

Du kan ta bort en eller alla privata slutpunkter för en hubb. Om du tar bort en privat slutpunkt tas hubben bort från det virtuella Azure-nätverk som slutpunkten var associerad med. Om du tar bort den privata slutpunkten kan det hindra hubben från att komma åt resurser i det virtuella nätverket eller resurser i det virtuella nätverket från att komma åt arbetsytan. Om det virtuella nätverket till exempel inte tillåter åtkomst till eller från det offentliga Internet.

Varning

Om du tar bort de privata slutpunkterna för en hubb blir den inte offentligt tillgänglig. Om du vill göra hubben offentligt tillgänglig använder du stegen i avsnittet Aktivera offentlig åtkomst .

Om du vill ta bort en privat slutpunkt använder du följande information:

Azure-portalen

1. Från Azure Portal väljer du din hubb.

2. Till vänster på sidan väljer du Inställningar, Nätverk och sedan fliken Privata slutpunktsanslutningar.

3. Välj den slutpunkt som du vill ta bort och välj sedan Ta bort.

   

Azure CLI

När du använder Azure CLI använder du följande kommando för att ta bort den privata slutpunkten:

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

Aktivera offentlig åtkomst

I vissa situationer kanske du vill tillåta att någon ansluter till din skyddade hubb via en offentlig slutpunkt i stället för via det virtuella nätverket. Eller så kanske du vill ta bort arbetsytan från det virtuella nätverket och återaktivera offentlig åtkomst.

Viktigt!

Om du aktiverar offentlig åtkomst tar du inte bort några privata slutpunkter som finns. All kommunikation mellan komponenter bakom det virtuella nätverket som de privata slutpunkterna ansluter till är fortfarande säkrad. Det ger endast offentlig åtkomst till hubben, utöver den privata åtkomsten via privata slutpunkter.

Använd följande steg för att aktivera offentlig åtkomst:

Azure-portalen

1. Från Azure Portal väljer du din hubb.
2. Välj Nätverk till vänster på sidan och välj sedan fliken Offentlig åtkomst.
3. Välj Aktiverad från alla nätverk och välj sedan Spara.

Azure CLI

Använd följande Azure CLI-kommando för att aktivera offentlig åtkomst:

az ml workspace update --set public_network_access=Enabled -n <workspace-name> -g <resource-group-name>

Om du får ett felmeddelande om att ml kommandot inte hittas använder du följande kommandon för att installera Azure Machine Learning CLI-tillägget:

az extension add --name ml

Konfiguration av privat lagring

Om ditt lagringskonto är privat (använder en privat slutpunkt för att kommunicera med projektet) utför du följande steg:

1. Våra tjänster måste läsa/skriva data i ditt privata lagringskonto med hjälp av Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot med följande hanterade identitetskonfigurationer. Aktivera den systemtilldelade hanterade identiteten för Azure AI Service och Azure AI Search och konfigurera sedan rollbaserad åtkomstkontroll för varje hanterad identitet.

   Roll	Hanterad identitet	Resurs	Syfte	Referens
   Reader	Azure AI Foundry-projekt	Privat slutpunkt för lagringskontot	Läsa data från det privata lagringskontot.
   Storage File Data Privileged Contributor	Azure AI Foundry-projekt	Lagringskonto	Flödesdata för läs-/skrivprompt.	Prompt flow doc
   Storage Blob Data Contributor	Azure AI Service	Lagringskonto	Läs från indatacontainer, skriv till förbearbeta resultatet till utdatacontainern.	Azure OpenAI Doc
   Storage Blob Data Contributor	Azure AI-sökning	Lagringskonto	Läs blob och skriva kunskapslager	Sök i dokumentet.

   Dricks

   Ditt lagringskonto kan ha flera privata slutpunkter. Du måste tilldela Reader rollen till varje privat slutpunkt.

2. Storage Blob Data reader Tilldela rollen till dina utvecklare. Med den här rollen kan de läsa data från lagringskontot.

3. Kontrollera att projektets anslutning till lagringskontot använder Microsoft Entra-ID för autentisering. Om du vill visa anslutningsinformationen går du till hanteringscentret, väljer Anslutna resurser och väljer sedan anslutningarna för lagringskontot. Om autentiseringstypen inte är Etttra-ID väljer du pennikonen för att uppdatera anslutningen och anger autentiseringsmetoden till Microsoft Entra-ID.

Information om hur du skyddar lekplatschatt finns i Använda playground chat på ett säkert sätt.

Anpassad DNS-konfiguration

Mer information om DNS-vidarebefordran finns i den anpassade DNS-artikeln för Azure Machine Learning.

Om du behöver konfigurera en anpassad DNS-server utan DNS-vidarebefordran använder du följande mönster för de A-poster som krävs.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  Kommentar

  Arbetsytans namn för det här fullständiga domännamnet kan trunkeras. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

• <instance-name>.<region>.instances.azureml.ms

  Kommentar

  • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
  • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd i stället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för posterna *.api.azureml.ms .)

• <instance-name>.<region>.instances.azureml.ms – Används endast av az ml compute connect-ssh kommandot för att ansluta till datorer i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

• <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

Information om hur du hittar de privata IP-adresserna för dina A-poster finns i artikeln anpassad DNS för Azure Machine Learning. Om du vill kontrollera AI-PROJECT-GUID går du till Azure Portal, väljer ditt projekt, inställningar, egenskaper och arbetsytans ID visas.

Begränsningar

• Du kan stöta på problem med att försöka komma åt den privata slutpunkten för din hubb om du använder Mozilla Firefox. Det här problemet kan vara relaterat till DNS via HTTPS i Mozilla Firefox. Vi rekommenderar att du använder Microsoft Edge eller Google Chrome.

Nästa steg

• Skapa ett Azure AI Foundry-projekt
• Läs mer om Azure AI Foundry
• Läs mer om Azure AI Foundry Hubs
• Felsöka säker anslutning till ett projekt