共用方式為


如何設定 Azure AI Foundry 中樞的私人連結

我們提供兩個網路隔離層面。 其中一個是存取 Azure AI Foundry 中樞的網路隔離。 另一個是中樞和專案中計算資源的網路隔離,例如計算執行個體、無伺服器和受控線上端點。 本文在下圖中反白顯示前者並加以說明。 您可以使用私人連結來建立與您的中樞及其預設資源的私人連線。 本文適用於 Azure AI Foundry(中樞和專案)。 如需更多 Azure AI 服務的詳細資訊,請參閱 Azure AI 服務文件

AI Foundry 中樞網路隔離的圖表。

您會在資源群組中取得數個中樞預設資源。 您必須設定下列網路隔離設定。

  • 停用中樞預設資源 (例如 Azure 儲存體、Azure Key Vault 和 Azure Container Registry) 的公用網路存取。
  • 建立中樞預設資源的私人端點連線。 您需要有預設儲存體帳戶的 blob 和檔案私人端點。
  • 如果您的記憶體帳戶是私人帳戶, 請指派角色 以允許存取。

必要條件

  • 您必須擁有現有的 Azure 虛擬網路,才能在其中建立私人端點。

    重要

    不建議針對 VNet 使用 172.17.0.0/16 IP 位址範圍。 這是 Docker 橋接器網路或內部部署所使用的預設子網路範圍。

  • 在新增私人端點之前,請先停用私人端點的網路原則。

建立使用私人端點的中樞

使用下列其中一個方法來建立具有私人端點的中樞。 這兩種方法都需要現有的虛擬網路

  1. 從 Azure 入口網站,移至 [Azure AI Foundry],然後選擇 [+ 新增 Azure AI]。
  2. 在 [網路] 索引標籤中選擇網路隔離模式。
  3. 向下捲動至 [工作區輸入存取],然後選擇 [+ 新增]
  4. 輸入必要的欄位。 選取 [區域] 時,請選取與您的虛擬網路相同的區域。

將私人端點新增至中樞

使用下列其中一個方法,將私人端點新增至現有的中樞:

  1. Azure 入口網站選取您的中樞。
  2. 從頁面左側選取 [網路功能],然後選取 [私人端點連線] 索引標籤。
  3. 選取 [區域] 時,請選取與您的虛擬網路相同的區域。
  4. 選取 [資源類型] 時,請使用 azuremlworkspace
  5. 將 [資源] 設定為您的工作區名稱。

最後,選取 [建立] 以建立私人端點。

移除私人端點

您可以移除中樞的一個或所有私人端點。 移除私人端點會從與端點相關聯的 Azure 虛擬網路中移除中樞。 移除私人端點可能會讓中樞無法存取該虛擬網路中的資源,或虛擬網路中的資源無法存取工作區。 例如,如果虛擬網路不允許存取公用網際網路或從公用網際網路存取。

警告

移除工作區的私人中樞並不會讓它可公開存取。 若要讓中樞可供公開存取,請使用 [啟用公用存取] 區段中的步驟。

若要移除私人端點,請使用下列資訊:

  1. Azure 入口網站選取您的中樞。
  2. 從頁面左側選取 [網路功能],然後選取 [私人端點連線] 索引標籤。
  3. 選取要移除的端點,然後選取 [移除]

啟用公用存取

在某些情況下,您可能想要允許某人透過公用端點 (而不是透過虛擬網路) 連接到您的安全中樞。 或者,您可能想要從虛擬網路中移除工作區,然後重新啟用公用存取。

重要

啟用公用存取並不會移除任何存在的私人端點。 私人端點連接到的虛擬網路背後元件之間的所有通訊,仍會受到保護。 除了透過任何私人端點的私人存取之外,它也可讓您僅啟用對中樞的公用存取。

若要啟用公用存取,請使用下列步驟:

  1. Azure 入口網站選取您的中樞。
  2. 從頁面左側選取 [網路功能],然後選取 [公用存取] 索引標籤。
  3. 選取 [從所有網路上啟用],然後選取 [儲存]

私人記憶體組態

如果您的記憶體帳戶是私人的(使用私人端點與您的項目通訊),請執行下列步驟:

  1. 我們的服務需要使用 [允許信任服務清單上的 Azure 服務存取此儲存體帳戶],並使用下列受控識別設定來讀取/寫入私人儲存體帳戶中的資料。 啟用 Azure AI 服務和 Azure AI 搜尋服務的系統指派受控識別,接著為每個受控識別設定角色型存取控制。

    角色 受控識別 資源 用途 參考
    Reader Azure AI Foundry 專案 記憶體帳戶的私人端點 從私人記憶體帳戶讀取數據。
    Storage File Data Privileged Contributor Azure AI Foundry 專案 儲存體帳戶 讀取/寫入提示流程資料。 提示流程文件
    Storage Blob Data Contributor Azure AI 服務 儲存體帳戶 從輸入容器讀取,將前置處理結果寫入至輸出容器。 Azure OpenAI 文件
    Storage Blob Data Contributor Azure AI 搜尋服務 儲存體帳戶 讀取 Blob 和寫入知識存放區 搜尋文件

    提示

    您的記憶體帳戶可能有多個私人端點。 您必須將 Reader 角色指派給每個私人端點。

  2. Storage Blob Data reader 角色指派給您的開發人員。 此角色可讓他們從記憶體帳戶讀取數據。

  3. 確認專案與記憶體帳戶的連線使用 Microsoft Entra ID 進行驗證。 若要檢視連線資訊,請移至 管理中心,選取 [ 已連線的資源],然後選取記憶體帳戶連線。 如果認證類型不是 Entra ID,請選取鉛筆圖示以更新連線,並將 Authentication 方法設定Microsoft Entra ID

如需保護遊樂場聊天的資訊,請參閱 安全地使用遊樂場聊天

自訂 DNS 設定

如需 DNS 轉送設定,請參閱 Azure Machine Learning 自訂 DNS 一文。

如果您需要設定自訂 DNS 伺服器而不進行 DNS 轉送,請針對所需的 A 記錄使用下列模式。

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    注意

    此 FQDN 的工作區名稱可能會被截斷。 已完成截斷以保留 ml-<workspace-name, truncated>-<region>-<workspace-guid> 63 個字元或更少。

  • <instance-name>.<region>.instances.azureml.ms

    注意

    • 您只能從虛擬網路內計算執行個體。
    • 此 FQDN 的 IP 位址是計算執行個體的 IP 位址。 相反地,請使用工作區私人端點的私人 IP 位址 (*.api.azureml.ms 項目的 IP)。
  • <instance-name>.<region>.instances.azureml.ms - 只有命令用來 az ml compute connect-ssh 連線到受控虛擬網路中的電腦。 如果您未使用受控網路或 SSH 連線,則不需要。

  • <managed online endpoint name>.<region>.inference.ml.azure.com - 更新受控線上端點

若要尋找 A 記錄的私人 IP 位址,請參閱 Azure Machine Learning 自訂 DNS 一文。 若要檢查 AI-PROJECT-GUID,請前往 Azure 入口網站,選取您的專案、設定、屬性,以及顯示工作區識別碼。

限制

  • 如果您使用 Mozilla Firefox,在嘗試存取中樞的私人端點時可能會遇到問題。 此問題可能與 Mozilla Firefox 中透過 HTTPS 的 DNS 有關。 建議您使用 Microsoft Edge 或 Google Chrome。

下一步