通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将模型目录集合与工作区托管的虚拟网络配合使用

  • 项目

本文介绍了如何在隔离网络中使用模型目录中的各种集合。

只能使用工作区托管的虚拟网络以通过模型目录支持网络隔离。 它提供轻松的配置来保护工作区。 在工作区级别启用托管虚拟网络后,与同一虚拟网络中的工作区相关的资源将在工作区级别使用相同的网络设置。 还可以将工作区配置为使用专用终结点来访问其他 Azure 资源,例如 Azure OpenAI。 此外,可以将 FQDN 规则配置为批准出站到非 Azure 资源,这是在模型目录中使用某些集合所必需的。 请参阅如果将工作区托管的网络隔离以启用工作区托管的虚拟网络。

托管虚拟网络的创建将推迟到创建计算资源或手动启动预配后。 可以使用以下命令手动触发网络预配。

az ml workspace provision-network --subscription <sub_id> -g <resource_group_name> -n <workspace_name>

工作区托管的虚拟网络以允许 Internet 出站

  1. 按照此处列出的步骤配置具有托管虚拟网络的工作区以允许 Internet 出站。

  2. 如果选择将公共网络访问工作区的权限设置为禁用,则可以使用以下方法之一连接到工作区:

    • Azure VPN 网关 - 通过专用连接将本地网络连接到虚拟网络。 通过公共 Internet 建立连接。 可以使用两种类型的 VPN 网关:

      • 点到站点:每台客户端计算机使用 VPN 客户端连接到虚拟网络。
      • 站点到站点:VPN 设备将虚拟网络连接到本地网络。

    • ExpressRoute - 通过专用连接将本地网络连接到云。 通过连接提供商建立连接。

    • Azure Bastion - 在此方案中,将在虚拟网络内部创建一个 Azure 虚拟机(有时称作 Jump Box)。 然后使用 Azure Bastion 连接到 VM。 Bastion 允许在本地 Web 浏览器中使用 RDP 或 SSH 会话连接到 VM。 然后使用 Jump Box 作为开发环境。 由于它位于虚拟网络内部,因此可以直接访问工作区。

由于工作区托管的虚拟网络在此配置中可以访问 Internet,因此你可以在工作区中使用模型目录中的所有集合。

工作区托管的虚拟网络仅允许已批准的出站

  1. 按照“工作区托管网络隔离”配置工作区。 在本教程的步骤 3 中选择“工作区托管的出站访问”时,选择“仅允许已批准的出站”。
  2. 如果将公共网络访问工作区的权限设置为禁用,则可以使用本教程的允许 Internet 出站的步骤 2中列出的方法之一连接到工作区。
  3. 工作区管理虚拟网络设置为仅允许配置。 必须添加相应的用户定义的出站规则,以允许所有相关的 FQDN。
    1. 请通过此链接获取“Curated by Azure AI 集合”所需的 FQDN 列表。
    2. 请通过此链接获取“Hugging Face 集合”所需的 FQDN 列表。

使用由 Azure 机器学习策展的开源模型

工作区托管的虚拟网络,仅允许批准的出站使用服务终结点策略连接到 Azure 机器学习托管存储帐户,帮助以现成的方式访问由 Azure 机器学习策展的集合中的模型。 此工作区配置模式还默认出站到 Microsoft 容器注册表,该注册表包含用于部署模型的 Docker 映像。

“由 Azure AI 策展”的集合中的语言模型

这些模型需要在运行时动态安装依赖项。 若要添加用户定义的出站规则,请按照“使用 Curated by Azure AI 集合”的第四步操作,用户应在工作区级别为以下 FQDN 添加用户定义的出站规则:

  • *.anaconda.org
  • *.anaconda.com
  • anaconda.com
  • pypi.org
  • *.pythonhosted.org
  • *.pytorch.org
  • pytorch.org

按照“托管虚拟网络教程中”的步骤 4 添加相应的用户定义的出站规则。

警告

FQDN 出站规则是使用 Azure 防火墙实现的。 如果使用出站 FQDN 规则,则 Azure 防火墙费用将包含在计费中。 有关详细信息,请参阅定价

元数据集合

用户可以在网络隔离工作区中使用此集合,而无需其他用户定义的出站规则。

注意

新的策展集合经常会添加到模型目录。 我们将会更新本文档,以反映在专用网络中对各种集合的支持。

使用 Hugging Face 集合

如果正在使用 Hugging Face 注册表,则模型权重不会托管在 Azure 上。 在部署期间,模型权重直接从 Hugging Face 中心下载到工作区中的联机终结点。 用户需要为 Hugging Face 中心、Docker Hub 及其 CDN 添加以下出站 FQDN 规则,以允许流量流向以下主机:

  • docker.io
  • huggingface.co
  • production.cloudflare.docker.com
  • cdn-lfs.huggingface.co
  • cdn.auth0.com

按照“托管虚拟网络教程中”的步骤 4 添加相应的用户定义的出站规则。

后续步骤