Partager via

Sécuriser vos flux de travail RAG avec l’isolation réseau (préversion)

  • Article

Vous pouvez sécuriser vos flux RAG (Récupération augmentée) à l’aide de réseaux privés dans Azure Machine Learning avec deux options de gestion réseau. Ces options sont les suivantes : Réseau virtuel managé, qui est notre offre interne, ou « Apportez votre propre Réseau virtuel », ce qui est utile lorsque vous souhaitez un contrôle total sur la configuration de vos réseaux virtuels/sous-réseaux, pare-feu, règles de groupe de sécurité réseau, etc.

Dans l’option de réseau managé Azure Machine Learning, vous pouvez sélectionner deux sous-options sécurisées : Autoriser le trafic sortant Internet et Autoriser uniquement le trafic sortant approuvé.

Capture d’écran montrant les options de réseaux virtuels managés dans Azure Machine Learning.

En fonction de votre configuration et votre scénario, les flux de travail RAG dans Azure Machine Learning peuvent nécessiter d’autres étapes pour l’isolation réseau.

Prérequis

  • Un abonnement Azure.
  • Accès à Azure OpenAI Service.
  • Un espace de travail Azure Machine Learning sécurisé : avec le réseau virtuel géré par l’espace de travail ou avec la configuration de la méthode « Apportez votre propre Réseau virtuel ».
  • Flux d’invite activés dans votre espace de travail Azure Machine Learning. Vous pouvez activer les flux d’invite en activant Créer des solutions d’IA avec un flux d’invite dans le panneau Gérer les fonctionnalités de préversion.

Avec le réseau virtuel managé de l’espace de travail Azure Machine Learning

  1. Suivez les isolations de réseau gérées de l’espace de travail pour activer le réseau virtuel géré par le réseau virtuel.

  2. Accédez au portail Azure et sélectionnez Mise en réseau sous l’onglet Paramètres dans le menu gauche.

  3. Pour permettre à votre flux de travail RAG de communiquer avec des Azure Cognitive Services privés tels que Azure OpenAI ou Recherche Azure AI lors de la création d’index vectoriel, vous devez définir une règle de sortie de l’utilisateur lié vers une ressource liée. Sélectionnez Accès sortant géré par l’espace de travail dans la partie supérieure des paramètres de mise en réseau. Sélectionnez ensuite +Ajouter une règle de trafic sortant définie par l’utilisateur. Entrez un nom de règle. Sélectionnez ensuite la ressource à laquelle vous souhaitez ajouter la règle dans la zone de texte Nom de la ressource.

    L’espace de travail Azure Machine Learning crée un point de terminaison privé dans la ressource associée avec l’approbation automatique. Si l’état est bloqué en attente, accédez à la ressource associée pour approuver manuellement le point de terminaison privé.

    Capture d’écran montrant la localisation dans Azure Studio pour ajouter une règle de trafic sortant d’utilisateur de services cognitifs privés.

  4. Accédez aux paramètres du compte de stockage associé à votre espace de travail. Sélectionnez Access Control (IAM) dans le menu gauche. Sélectionnez Ajouter une attribution de rôle. Ajoutez les l’accès Contributeur aux données de table de stockage etContributeur aux données Blob de stockage à l’identité managée de l’espace de travail. Cela peut être effectué en saisissant Contributeur aux données de table de stockage et Contributeur aux données Blob de stockage dans la barre de recherche. Vous devez effectuer cette étape et l’étape suivante deux fois. Une fois pour contributeur Blob et la deuxième fois pour contributeur de table.

  5. Vérifiez que l’option Identité managée est sélectionnée. Puis, sélectionnez Sélectionner des membres. Sélectionnez Espace de travail Azure Machine Learning dans la liste déroulante Identité managée. Sélectionnez ensuite votre identité managée de l’espace de travail.

    Capture d’écran montrant la localisation pour ajouter une identité managée de l’espace de travail à des accès de type Blob ou Table dans le compte de stockage Azure Studio.

  6. (facultatif) Pour ajouter une règle de nom de domaine complet sortant, accédez au portail Azure, sélectionnez Mise en réseau sous l’onglet Paramètres du menu gauche. Sélectionnez Accès sortant géré par l’espace de travail dans la partie supérieure des paramètres de mise en réseau. Sélectionnez ensuite +Ajouter une règle de trafic sortant définie par l’utilisateur. Sélectionnez Règle de nom de domaine complet sous Type de destination. Entrez l’URL de votre point de terminaison dans Destination du nom de domaine complet. Pour trouver l’URL de votre point de terminaison, accédez aux points de terminaison déployés dans le Portail Azure, sélectionnez les points de terminaison souhaités et copiez l’URL du point de terminaison dans la section détails.

Si vous utilisez un espace de travail managé de réseau virtuel Autoriser uniquement les sorties approuvées et une ressource public Azure OpenAI, vous devez ajouter une règle de nom de domaine complet sortant (FQDN) pour votre point de terminaison Azure OpenAI. Cela permet d’effectuer des opérations de plan de données, qui sont nécessaires pour effectuer des incorporations dans RAG. Sans cela, l’accès à la ressource AOAI, même si elle est publique, n’est pas autorisé.

  1. (facultatif) Pour charger des fichiers de données au préalable ou utiliser le chargement de dossier local pour RAG lorsque le compte de stockage créé est privé, l’espace de travail doit être accessible à partir d’une machine virtuelle derrière un réseau virtuel et le sous-réseau doit être autorisé dans le compte de stockage. Pour ce faire, sélectionnez Compte de stockage, puis Paramètre réseau. Sélectionnez Activer pour le réseau virtuel et les adresses IP sélectionnés, puis ajoutez votre sous-réseau d’espace de travail.

    Capture d’écran montrant les exigences de configuration du stockage privé pour le chargement sécurisé de données.

    Suivez ce tutoriel pour vous connecter à un stockage privé à partir d’une machine virtuelle Azure.

Avec le réseau virtuel personnalisé BYO

  1. Sélectionnez Utiliser mon propre réseau virtuel lors de la configuration de votre espace de travail Azure Machine Learning. Dans ce scénario, il appartient à l’utilisateur de configurer correctement les règles réseau et les points de terminaison privés sur les ressources associées, car l’espace de travail ne le configure pas automatiquement.

  2. Dans l’Assistant Création d’index vectoriel, veillez à sélectionner Instance de calcul ou Cluster de calcul dans la liste déroulante options de calcul, car ce scénario n’est pas pris en charge avec le calcul serverless.

Résolution des problèmes courants

  • Si votre espace de travail rencontre des problèmes liés au réseau où votre calcul ne peut pas créer ou démarrer une opération de calcul, essayez d’ajouter une règle de nom de domaine complet d’espace réservé sous l’onglet Mise en réseau de votre espace de travail dans le portail Azure, afin de lancer une mise à jour du réseau managé. Ensuite, recréez le calcul dans l’espace de travail Azure Machine Learning.

  • Vous pouvez voir un message d’erreur lié à < Resource > is not registered with Microsoft.Network resource provider.. Dans ce cas, vous devez vous assurer que l’abonnement auquel votre ressource AOAI/ACS est enregistré auprès d’un fournisseur de ressources Microsoft Network. Pour ce faire, accédez à Abonnement, puis Fournisseurs de ressources pour le même locataire que votre espace de travail de réseau virtuel managé.

Remarque

Il est prévu qu’une première tâche serverless dans l’espace de travail soit mise en file d’attente de 10 à 15 minutes supplémentaires pendant que le réseau managé approvisionne des points de terminaison privés pour la première fois. Avec l’instance de calcul et le cluster de calcul, ce processus se produit pendant la création du calcul.

Étapes suivantes