Nätverksrekommendationer för AI-arbetsbelastningar i Azure
Den här artikeln innehåller nätverksrekommendationer för organisationer som kör AI-arbetsbelastningar i Azure. Den fokuserar på PaaS-lösningar (plattform som en tjänst) i Azure AI, inklusive Azure AI Foundry, Azure OpenAI, Azure Machine Learning och Azure AI Services. Den omfattar både generativa och icke-generativa AI-arbetsbelastningar.
Nätverk möjliggör säker och effektiv anslutning till viktiga AI-resurser och är grundläggande för dataintegritet och sekretess. Effektiva nätverksstrategier skyddar känsliga AI-arbetsbelastningar från obehörig åtkomst och hjälper till att optimera prestanda för AI-modellträning och distribution.
Konfigurera virtuella nätverk
Att konfigurera virtuella nätverk syftar på att konfigurera och hantera privata och säkra nätverksmiljöer för Azure AI-plattformar. Med virtuella nätverk kan organisationer isolera AI-arbetsbelastningar och skapa säkra kommunikationskanaler. Korrekt konfiguration säkerställer att endast behöriga användare och system kan komma åt viktiga AI-resurser och minimerar exponeringen för det offentliga Internet.
| AI-plattform | Rekommendationer för virtuellt nätverk |
|---|---|
| Azure AI Foundry | Konfigurera det hanterade virtuella nätverket och använd privata slutpunkter. Om det behövs ansluter du det hanterade virtuella nätverket till lokala resurser. |
| Azure OpenAI | Begränsa åtkomsten till att välja virtuella nätverk eller använda privata slutpunkter. |
| Azure Machine Learning | Skapa en säker arbetsyta med ett virtuellt nätverk. Planera för nätverksisolering. Följ metodtipsen för säkerhet för Azure Machine Learning. |
| Azure AI-tjänster | Begränsa åtkomsten till att välja virtuella nätverk eller använda privata slutpunkter. |
Azure AI Foundry och Azure Machine Learning distribuerar till Microsoft-hanterade virtuella nätverk samt distribuerar nödvändiga beroende tjänster. De hanterade virtuella nätverken använder privata slutpunkter för att få åtkomst till stöd för Azure-tjänster som Azure Storage, Azure Key Vault och Azure Container Registry. Använd länkarna för att visa nätverksarkitekturerna för dessa tjänster så att du bäst kan konfigurera ditt virtuella nätverk.
Skydda virtuella nätverk
Att skydda virtuella nätverk innebär att använda privata slutpunkter, framtvinga DNS-zoner och aktivera anpassade DNS-servrar för att skydda AI-arbetsbelastningar. Dessa strategier begränsar exponeringen av offentligt Internet och förhindrar obehörig åtkomst. Effektiv nätverkssäkerhet är avgörande för att skydda känsliga AI-modeller och säkerställa sekretessefterlevnad.
Överväg privata slutpunkter. Inga PaaS-tjänster eller AI-modellslutpunkter ska vara tillgängliga från det offentliga Internet. Privata slutpunkter för att tillhandahålla privat anslutning till Azure-tjänster i ett virtuellt nätverk. Privata slutpunkter ökar komplexiteten i distributioner och åtgärder, men säkerhetsfördelarna överväger ofta komplexiteten.
Överväg att skapa privata slutpunkter för AI-tjänstportaler. Privata slutpunkter ger säker, privat åtkomst till PaaS-portaler som Azure AI Foundry och Azure Machine Learning studioF. Konfigurera privata slutpunkter för dessa globala portaler i ett virtuellt navnätverk. Den här konfigurationen ger säker åtkomst till offentliga portalgränssnitt direkt från användarenheter.
Överväg att tillämpa privata DNS-zoner. Privat DNS zoner centralisera och skydda DNS-hantering för åtkomst till PaaS-tjänster i ditt AI-nätverk. Konfigurera Azure-principer som framtvingar privata DNS-zoner och kräver privata slutpunkter för att säkerställa säkra, interna DNS-matchningar. Om du inte har centrala Privat DNS zoner fungerar inte DNS-vidarebefordran förrän du lägger till villkorlig vidarebefordran manuellt. Se till exempel med anpassade DNS- med Azure AI Foundry Hubs och Azure Machine Learning-arbetsytan.
Aktivera anpassade DNS-servrar och privata slutpunkter för PaaS-tjänster. Anpassade DNS-servrar hanterar PaaS-anslutning i nätverket och kringgår offentlig DNS. Konfigurera privata DNS-zoner i Azure för att lösa PaaS-tjänstnamn på ett säkert sätt och dirigera all trafik via privata nätverkskanaler.
Hantera anslutning
Hantering av anslutningar styr hur AI-resurser interagerar med externa system. Tekniker som att använda en jumpbox och begränsa utgående trafik hjälper till att skydda AI-arbetsbelastningar. Korrekt anslutningshantering minimerar säkerhetsrisker och säkerställer smidiga, oavbrutna AI-åtgärder.
Använd en jumpbox för åtkomst. ÅTKOMST till AI-utveckling bör använda en jumpbox i arbetsbelastningens virtuella nätverk eller via ett virtuellt nätverk för anslutningshubben. Använd Azure Bastion för att ansluta på ett säkert sätt till virtuella datorer som interagerar med AI-tjänster. Azure Bastion tillhandahåller säker RDP/SSH-anslutning utan att exponera virtuella datorer för det offentliga Internet. Aktivera Azure Bastion för att säkerställa krypterade sessionsdata och skydda åtkomsten via TLS-baserade RDP/SSH-anslutningar.
Begränsa utgående trafik från dina AI-resurser. Genom att begränsa utgående trafik från dina AI-modellslutpunkter kan du skydda känsliga data och upprätthålla integriteten för dina AI-modeller. För att minimera risken för dataexfiltrering begränsar du utgående trafik till godkända tjänster eller fullständigt kvalificerade domännamn (FQDN) och upprätthåller en lista över betrodda källor. Du bör endast tillåta obegränsad utgående internettrafik om du behöver åtkomst till offentliga maskininlärningsresurser, men regelbundet övervaka och uppdatera dina system. Mer information finns i Azure AI-tjänster, Azure AI Foundryoch Azure Machine Learning.
Överväg en generativ AI-gateway. Överväg att använda Azure API Management (APIM) som en generativ AI-gateway i dina virtuella nätverk. En generativ AI-gateway finns mellan klientdelen och AI-slutpunkterna. Application Gateway, WAF-principer och APIM i det virtuella nätverket är en etablerad arkitektur i generativa AI-lösningar. Mer information finns i AI Hub-arkitektur och Distribuera Azure API Management-instans till flera Azure-regioner.
Använd HTTPS för internet till Azure-anslutning. Säkra anslutningar med TLS-protokoll hjälper till att skydda dataintegritet och konfidentialitet för AI-arbetsbelastningar som ansluter från Internet. Implementera HTTPS via Azure Application Gateway eller Azure Front Door. Båda tjänsterna tillhandahåller krypterade och säkra tunnlar för internetbaserade anslutningar.