Partager via

Configurer une liaison privée pour les hubs Azure AI Foundry

  • Article

Il existe deux aspects de l’isolement réseau. L’un est l’isolement réseau pour accéder à un hub Azure AI Foundry. L’autre correspond à l’isolement réseau des ressources de calcul dans votre hub et vos projets : instances de calcul, serverless et points de terminaison managés en ligne, par exemple. Cet article explique ce fonctionnement mis en surbrillance dans le diagramme. Vous pouvez utiliser une liaison privée pour établir la connexion privée à votre hub et à ses ressources par défaut. Cet article concerne Azure AI Foundry (hub et projets). Pour plus d’informations sur Azure AI services, consultez la documentation sur Azure AI services.

Diagramme de l’isolement réseau du hub Azure AI Foundry.

Vous obtenez plusieurs ressources par défaut de hub dans votre groupe de ressources. Vous devez configurer les configurations d’isolement réseau qui suivent.

  • Désactivez l’accès au réseau public des ressources par défaut du hub, telles que Stockage Azure, Azure Key Vault et Azure Container Registry.
  • Établissez une connexion du point de terminaison privé aux ressources de hub par défaut. Vous devez disposer d’un point de terminaison privé d’objet blob et de fichier pour le compte de stockage par défaut.
  • Si votre compte de stockage est privé, attribuez des rôles pour autoriser l’accès.

Prérequis

  • Vous devez disposer d’un réseau virtuel Azure existant dans lequel créer le point de terminaison privé.

    Important

    Nous vous déconseillons de vous servir de la plage d’adresses IP 172.17.0.0/16 pour votre réseau virtuel. Il s’agit de la plage de sous-réseaux utilisée par défaut par le réseau de pont Docker ou localement.

  • Désactivez les stratégies réseau pour les points de terminaison privés avant d’ajouter le point de terminaison privé.

Créer un hub qui utilise un point de terminaison privé

Utilisez l’une des méthodes suivantes pour créer un hub avec un point de terminaison privé. Chacune de ces méthodes nécessite un réseau virtuel existant :

  1. Depuis le portail Azure, accédez à Azure AI Foundry et choisissez + Nouvelle Azure AI.
  2. Choisissez le mode d’isolement réseau dans l’onglet Mise en réseau.
  3. Faites défiler jusqu’à Accès entrant à l’espace de travail et choisissez + Ajouter .
  4. Champs obligatoires d’entrée. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.

Ajouter un point de terminaison privé à un hub

Utilisez l’une des méthodes suivantes pour ajouter un point de terminaison privé à un hub existant :

  1. Sélectionnez votre hub dans le portail Azure.
  2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
  3. Lorsque vous sélectionnez la Région, sélectionnez la même région que celle de votre réseau virtuel.
  4. Lorsque vous sélectionnez Type de ressource, utilisez azuremlworkspace.
  5. Définissez la Ressource sur le nom de votre espace de travail.

Pour finir, sélectionnez Créer pour créer le point de terminaison privé.

Supprimer un point de terminaison privé

Vous pouvez supprimer un ou plusieurs points de terminaison privés pour un hub. Supprimer un point de terminaison privé a pour effet de supprimer le hub du réseau virtuel Azure auquel le point de terminaison était associé. Supprimer le point de terminaison privé pourrait empêcher le hub d’accéder aux ressources de ce réseau virtuel, ou aux ressources du réseau virtuel d’accéder à l’espace de travail. Par exemple, si le réseau virtuel n’autorise pas l’accès via l’Internet public.

Avertissement

La suppression des points de terminaison privés d’un hub n’a pas pour effet de rendre celui-ci publiquement accessible. Pour rendre le hub publiquement accessible, suivez les étapes décrites dans la section Activer l’accès public.

Pour supprimer un point de terminaison privé, utilisez les informations suivantes :

  1. Sélectionnez votre hub dans le portail Azure.
  2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Connexions des points de terminaison privés.
  3. Sélectionnez le point de terminaison à supprimer, puis Supprimer.

Activer l’accès public

Dans certains cas, vous pourriez vouloir autoriser une personne à se connecter à votre hub sécurisé sur un point de terminaison public, plutôt que par le biais du réseau virtuel. Ou vous pourriez également vouloir supprimer l’espace de travail du réseau virtuel et réactiver l’accès public.

Important

L’activation de l’accès public n’a pas pour effet de supprimer les points de terminaison privés existants. Toutes les communications entre les composants derrière le réseau virtuel auquel les points de terminaison privés se connectent restent sécurisées. Ceci permet un accès public au hub uniquement, en plus de l’accès privé via les points de terminaison privés.

Pour activer l’accès public, procédez comme suit :

  1. Sélectionnez votre hub dans le portail Azure.
  2. Sur le côté gauche de la page, sélectionnez Mise en réseau, puis l’onglet Accès public.
  3. Sélectionnez Activé dans tous les réseaux, puis sélectionnez Enregistrer.

Configuration du stockage privé

Si votre compte de stockage est privé (utilise un point de terminaison privé pour communiquer avec votre projet), procédez comme suit :

  1. Nos services doivent lire et écrire des données dans votre compte de stockage privé à l’aide de Autoriser les services Azure dans la liste des services approuvés à accéder à ce compte de stockage avec les configurations d’identité managée ci-dessous. Activez l’identité managée affectée par le système Azure AI Service et la Recherche Azure AI, puis configurez le contrôle d’accès en fonction du rôle pour chaque identité managée.

    Rôle Identité managée Ressource Objectif Référence
    Reader Projet Azure AI Foundry Point de terminaison privé du compte de stockage Lire des données à partir du compte de stockage privé.
    Storage File Data Privileged Contributor Projet Azure AI Foundry Compte de stockage Lecture/écriture de données en flux rapide. Documentation de flux rapide
    Storage Blob Data Contributor Service Azure AI Compte de stockage Lecture à partir du conteneur d’entrée, écriture pour prétraiter le résultat dans le conteneur de sortie. Documentation Azure OpenAI
    Storage Blob Data Contributor Azure AI Search Compte de stockage Lecture du blob et écriture de la base de connaissances Documentation de recherche.

    Conseil

    Votre compte de stockage peut avoir plusieurs points de terminaison privés. Vous devez attribuer le rôle Reader à chaque point de terminaison privé.

  2. Attribuez le rôle Storage Blob Data reader à vos développeurs. Ce rôle leur permet de lire des données à partir du compte de stockage.

  3. Vérifiez que la connexion du projet au compte de stockage utilise Microsoft Entra ID pour l’authentification. Pour afficher les informations de connexion, accédez au Centre d’administration, sélectionnez Ressources connectées, puis les connexions de compte de stockage. Si le type d’informations d’identification n’est pas Entra ID, sélectionnez l’icône de crayon pour mettre à jour la connexion et définissez la Méthode d’authentification sur Microsoft Entra ID.

Pour plus d’informations sur la sécurisation de la conversation du terrain de jeu, consultez Utiliser en toute sécurité la conversation du terrain de jeu.

Définir une configuration DNS personnalisée

Consultez l’article DNS personnalisé Azure Machine Learning pour connaître les configurations de transfert DNS.

Si vous devez configurer un serveur DNS personnalisé sans transfert DNS, utilisez les modèles suivants pour les enregistrements A requis.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    Remarque

    Le nom de l’espace de travail pour ce nom de domaine complet peut être tronqué. Cette troncation a pour but de limiter la longueur de ml-<workspace-name, truncated>-<region>-<workspace-guid> à 63 caractères.

  • <instance-name>.<region>.instances.azureml.ms

    Notes

    • Les instances de calcul sont accessibles uniquement à partir du réseau virtuel.
    • L’adresse IP de ce nom de domaine complet n’est pas l’adresse IP de l’instance de calcul. Utilisez plutôt l’adresse IP privée du point de terminaison privé de l’espace de travail (l’adresse IP des entrées *.api.azureml.ms).

  • <instance-name>.<region>.instances.azureml.ms : utilisé uniquement par la commande az ml compute connect-ssh pour se connecter aux calculs dans un réseau virtuel managé. Non nécessaire si vous n’utilisez pas de réseau managé ou de connexions SSH.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - Utilisé par les points de terminaison en ligne managés

Pour rechercher les adresses IP privées de vos enregistrements A, consultez l’article DNS personnalisé Azure Machine Learning. Pour vérifier AI-PROJECT-GUID, accédez au portail Azure, sélectionnez votre projet, dans Paramètres, puis Propriétés, et l’ID de l’espace de travail s’affiche.

Limites

  • Vous pourriez rencontrer des problèmes en tentant d’accéder au point de terminaison privé de votre hub si vous utilisez Mozilla Firefox. Ce problème pourrait être lié à DNS sur HTTPS dans Mozilla Firefox. Nous vous recommandons d’utiliser Microsoft Edge ou Google Chrome.

Étapes suivantes