Dela via

Så här konfigurerar du en privat länk för Azure AI Foundry

Anmärkning

Det finns en alternativ foundry-projektfokuserad version: Så här konfigurerar du en privat länk för Azure AI Foundry-projekt.

När du använder ett hubbbaserat projekt finns det två aspekter av nätverksisolering att tänka på:

  • Nätverksisolering för åtkomst till en Azure AI Foundry-hubb: Det här är fokus i den här artikeln. Den beskriver hur du upprättar en privat anslutning till din hubb och dess standardresurser med hjälp av en privat länk.
  • Nätverksisolering av databehandlingsresurser i din hubb och dina projekt: Detta inkluderar beräkningsinstanser, serverlösa och hanterade onlineslutpunkter. Mer information finns i artikeln Konfigurera hanterade nätverk för Azure AI Foundry Hubs .

Diagram över nätverksisolering av Azure AI Foundry Hub.

Du får flera standardresurser för hubben i din resursgrupp. Du måste konfigurera följande konfigurationer för nätverksisolering:

  • Inaktivera offentlig nätverksåtkomst för hubbstandardresurser som Azure Storage, Azure Key Vault och Azure Container Registry.
  • Upprätta en privat slutpunktsanslutning till hubbens standardresurser. Du måste ha både en privat blob- och filslutpunkt för standardlagringskontot.
  • Om ditt lagringskonto är privat tilldelar du roller för att tillåta åtkomst.

Förutsättningar

  • Du måste ha ett befintligt virtuellt Azure-nätverk för att skapa den privata slutpunkten i.

    Viktigt!

    Vi rekommenderar inte att du använder IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket lokalt.

Anslut säkert till Foundry

Om du vill ansluta till Foundry som skyddas av ett virtuellt nätverk använder du någon av följande metoder:

  • Azure VPN Gateway-Connect lokala nätverk till det virtuella nätverket via en privat anslutning på det offentliga Internet. Välj mellan två TYPER av VPN-gateway:

    • Punkt-till-plats: Varje klientdator använder en VPN-klient för att ansluta till det virtuella nätverket.
    • Plats-till-plats: En VPN-enhet ansluter det virtuella nätverket till ditt lokala nätverk.

  • ExpressRoute-Connect lokala nätverk till Azure via en privat anslutning via en anslutningsleverantör.

  • Azure Bastion–Skapa en virtuell Azure-dator (en hoppruta) i det virtuella nätverket och anslut sedan till den via Azure Bastion med RDP eller SSH från webbläsaren. Använd den virtuella datorn som utvecklingsmiljö. Eftersom den finns i det virtuella nätverket kan den komma åt arbetsytan direkt.

Skapa en hubb som använder en privat slutpunkt

Om du skapar en ny hubb använder du följande metoder för att skapa hubben (Azure-portalen eller Azure CLI). Var och en av dessa metoder kräver ett befintligt virtuellt nätverk:

Anmärkning

Informationen i det här dokumentet handlar bara om att konfigurera en privat länk. En genomgång av hur du skapar en säker hubb i portalen finns i Skapa en säker hubb i Azure Portal.

  1. Från Azure-portalen söker du efter Azure AI Foundry. Välj AI Hubs på den vänstra menyn och välj sedan + Skapa och hubb.

    Skärmbild av Azure AI Foundry-portalen.

  2. När du har konfigurerat flikarna Grundläggande och Lagring väljer du fliken Inkommande åtkomst och väljer sedan + Lägg till. När du uppmanas till det anger du data för Azure Virtual Network och undernätet för den privata slutpunkten. När du väljer Region väljer du samma region som ditt virtuella nätverk.

    Skärmbild av fliken inkommande åtkomst med åtkomst till offentligt nätverk inaktiverad.

  3. Välj fliken Utgående åtkomst och välj alternativet Nätverksisolering som passar dina behov bäst.

    Skärmbild av skapa en hubb med alternativet att ange information om nätverksisolering.

Lägga till en privat slutpunkt i en hubb

Använd någon av följande metoder för att lägga till en privat slutpunkt i en befintlig hubb:

  1. Från Azure Portal väljer du din hubb.

  2. Till vänster på sidan väljer du Inställningar, Nätverk och sedan fliken Privata slutpunktsanslutningar. Välj + Privat slutpunkt.

    Skärmbild av fliken privata slutpunktsanslutningar.

  3. När du går igenom formulären för att skapa en privat slutpunkt, se till att:

    • Välj samma region som ditt virtuella nätverk i Grunderna.
    • Från Resurs väljer du amlworkspace som målunderresurs.
    • I formuläret Virtuellt nätverk väljer du det virtuella nätverk och undernät som du vill ansluta till.

  4. När du har fyllt i formulären med andra nätverkskonfigurationer som du behöver kan du använda fliken Granska + skapa för att granska inställningarna och välja Skapa för att skapa den privata slutpunkten.

Ta bort en privat slutpunkt

Du kan ta bort en eller alla privata slutpunkter för en hubb. Om du tar bort en privat slutpunkt tas hubben bort från det virtuella Azure-nätverk som slutpunkten var associerad med. Om du tar bort den privata slutpunkten kan det hindra hubben från att komma åt resurser i det virtuella nätverket eller resurser i det virtuella nätverket från att komma åt arbetsytan. Om det virtuella nätverket till exempel inte tillåter åtkomst till eller från det offentliga Internet.

Varning

Om du tar bort de privata slutpunkterna för en hubb blir den inte offentligt tillgänglig. Om du vill göra hubben offentligt tillgänglig använder du stegen i avsnittet Aktivera offentlig åtkomst .

Om du vill ta bort en privat slutpunkt använder du följande information:

  1. Från Azure Portal väljer du din hubb.

  2. Till vänster på sidan väljer du Inställningar, Nätverk och sedan fliken Privata slutpunktsanslutningar.

  3. Välj den slutpunkt som du vill ta bort och välj sedan Ta bort.

    Skärmbild av en vald privat slutpunkt med alternativet ta bort markerat.

Aktivera offentlig åtkomst

I vissa situationer kanske du vill tillåta att någon ansluter till din skyddade hubb via en offentlig slutpunkt i stället för via det virtuella nätverket. Eller så kanske du vill ta bort arbetsytan från det virtuella nätverket och återaktivera offentlig åtkomst.

Viktigt!

Om du aktiverar offentlig åtkomst tar du inte bort några privata slutpunkter som finns. All kommunikation mellan komponenter bakom det virtuella nätverket som de privata slutpunkterna ansluter till är fortfarande säkrad. Det ger endast offentlig åtkomst till hubben, utöver den privata åtkomsten via privata slutpunkter.

Använd följande steg för att aktivera offentlig åtkomst:

  1. Från Azure Portal väljer du din hubb.
  2. Välj Nätverk till vänster på sidan och välj sedan fliken Offentlig åtkomst.
  3. Välj Aktiverad från alla nätverk och välj sedan Spara.

Aktivera endast offentlig åtkomst från INTERNET-IP-intervall (förhandsversion)

Du kan använda IP-nätverksregler för att tillåta åtkomst till din skyddade hubb från specifika offentliga IP-adressintervall för Internet genom att skapa IP-nätverksregler. Varje Azure AI Foundry-hubb stöder upp till 200 regler. Dessa regler ger åtkomst till specifika Internetbaserade tjänster och lokala nätverk och blockerar allmän Internettrafik. Den här funktionen är för närvarande i förhandsversion.

Varning

  • Aktivera åtkomstflaggan för slutpunktens offentliga nätverk om du vill tillåta åtkomst till slutpunkten från specifika offentliga IP-adressintervall för Internet.
  • Du kan bara använda IPv4-adresser.
  • Om arbetsytan går från Aktivera från valda IP-adresser till Inaktiverad eller Aktiverad återställs IP-intervallen.
  1. I Azure-portalen väljer du din Azure Machine AI Foundry-hubb.
  2. Välj Nätverk till vänster på sidan och välj sedan fliken Offentlig åtkomst.
  3. Välj Aktiverad från valda IP-adresser, indataadressintervall och välj sedan Spara.

Du kan också använda klassen Workspace från Azure Machine Learning Python SDK för att definiera vilka IP-adresser som tillåts inkommande åtkomst:

class Workspace(Resource):
    """Azure ML workspace.
    :param public_network_access: Whether to allow public endpoint connectivity
        when a workspace is private link enabled.
    :type public_network_access: str
    :param network_acls: The network access control list (ACL) settings of the workspace.
    :type network_acls: ~azure.ai.ml.entities.NetworkAcls
 
    def __init__(
        self,
        *,
        public_network_access: Optional[str] = None,
        network_acls: Optional[NetworkAcls] = None,

Begränsningar för IP-nätverksregler

Följande begränsningar gäller för IP-adressintervall:

  • IP-nätverksregler tillåts endast för offentliga IP-adresser på Internet .

    Reserverade IP-adressintervall tillåts inte i IP-regler som privata adresser som börjar med 10, 172.16 till 172.31 och 192.168.

  • Du måste ange tillåtna internetadressintervall med hjälp av CIDR-notation i formuläret 16.17.18.0/24 eller som enskilda IP-adresser som 16.17.18.19.

  • Endast IPv4-adresser stöds för konfiguration av lagringsbrandväggsregler.

  • När den här funktionen är aktiverad kan du testa offentliga slutpunkter med alla klientverktyg som Curl, men verktyget Slutpunktstest i portalen stöds inte.

  • Du kan bara ange IP-adresserna för AI Foundry-hubben när hubben har skapats.

Konfiguration av privat lagring

Om ditt lagringskonto är privat (använder en privat slutpunkt för att kommunicera med projektet) utför du följande steg:

  1. Våra tjänster måste läsa/skriva data i ditt privata lagringskonto med hjälp av Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot med följande hanterade identitetskonfigurationer. Aktivera den systemtilldelade hanterade identiteten för Azure AI Service och Azure AI Search och konfigurera sedan rollbaserad åtkomstkontroll för varje hanterad identitet.

    Role Hanterad identitet Resource Avsikt Hänvisning
    Reader Azure AI Foundry-projekt Privat slutpunkt för lagringskontot Läsa data från det privata lagringskontot.
    Storage File Data Privileged Contributor Azure AI Foundry-projekt Lagringskonto Flödesdata för läs-/skrivprompt. Dokument om promptflöde
    Storage Blob Data Contributor Azure AI Service Lagringskonto Läs från indatacontainern och skriv förbearbetningsresultatet till utdatacontainern. Azure OpenAI Doc
    Storage Blob Data Contributor Azure AI-sökning Lagringskonto Läs blob och skriva kunskapslager Sök i dokumentet.

    Tips/Råd

    Ditt lagringskonto kan ha flera privata slutpunkter. Du måste tilldela rollen Reader till varje privat slutpunkt för den hanterade identiteten av ditt Azure AI Foundry-projekt.

  2. Storage Blob Data reader Tilldela rollen till dina utvecklare. Med den här rollen kan de läsa data från lagringskontot.

  3. Kontrollera att projektets anslutning till lagringskontot använder Microsoft Entra-ID för autentisering. Om du vill visa anslutningsinformationen går du till hanteringscentret, väljer Anslutna resurser och väljer sedan anslutningarna för lagringskontot. Om autentiseringstypen inte är Etttra-ID väljer du pennikonen för att uppdatera anslutningen och anger autentiseringsmetoden till Microsoft Entra-ID.

Information om hur du skyddar lekplatschatt finns i Använda playground chat på ett säkert sätt.

DNS-konfiguration

Mer information om DNS-vidarebefordran finns i den anpassade DNS-artikeln för Azure Machine Learning.

Om du behöver konfigurera en anpassad DNS-server utan DNS-vidarebefordran använder du följande mönster för de A-poster som krävs.

  • <AI-HUB-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-HUB-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-HUB-GUID>.<region>.notebooks.azure.net

    Anmärkning

    Namnet på arbetsytan för detta fullständiga domännamn kan bli avkortat. Trunkering görs för att behålla ml-<workspace-name, truncated>-<region>-<workspace-guid> högst 63 tecken.

  • <instance-name>.<region>.instances.azureml.ms

    Anmärkning

    • Beräkningsinstanser kan endast nås inifrån det virtuella nätverket.
    • IP-adressen för det här fullständiga domännamnet är inte IP-adressen för beräkningsinstansen. Använd istället den privata IP-adressen för arbetsytans privata slutpunkt (IP-adressen för *.api.azureml.ms-posterna).

  • <instance-name>-22.<region>.instances.azureml.ms – Används endast av az ml compute connect-ssh kommandot för att ansluta till datorer i ett hanterat virtuellt nätverk. Behövs inte om du inte använder ett hanterat nätverk eller SSH-anslutningar.

  • <managed online endpoint name>.<region>.inference.ml.azure.com – Används av hanterade onlineslutpunkter

  • models.ai.azure.com – Används för serverlös API-distribution

Information om hur du hittar de privata IP-adresserna för dina A-poster finns i artikeln anpassad DNS för Azure Machine Learning.

Anmärkning

Projektarbetsytor återanvänder FQDN:er från de associerade hubbarbetsytorna. Det finns ingen anledning att konfigurera separata poster för projektarbetsytornas GUID:er.

Begränsningar

  • Du kan stöta på problem med att försöka komma åt den privata slutpunkten för din hubb om du använder Mozilla Firefox. Det här problemet kan vara relaterat till DNS via HTTPS i Mozilla Firefox. Vi rekommenderar att du använder Microsoft Edge eller Google Chrome.

Nästa steg