Частные конечные точки Azure OpenAI: подключение через виртуальные сети

Введение в частные конечные точки Azure OpenAI:

Частные конечные точки Azure OpenAI становятся ключевым решением в экосистеме Azure. Эти конечные точки играют жизненно важную роль в укреплении соединения между вашими ресурсами Azure и службами OpenAI, обеспечивая защиту передачи данных от публичного доступа в Интернет. Устанавливая частное соединение, частные конечные точки Azure OpenAI обеспечивают безопасный и эффективный канал для передачи данных между вашей инфраструктурой и службой OpenAI, снижая потенциальные уязвимости безопасности, связанные с традиционными общедоступными конечными точками. В этом сообщении блога вы совершите комплексное путешествие, раскрывающее сложные процессы, связанные с установкой, настройкой и оптимизацией частных конечных точек Azure OpenAI, а также проливает свет на их незаменимую роль в защите конфиденциальных данных в современном взаимосвязанном цифровом мире.

Архитектура:

Руководство по настройке среды:

Шаг 1. Создайте виртуальную сеть.

• Идти к https://portal.azure.com
• Войдите, если у вас уже есть учетная запись, в противном случае создайте ее.
• Создать новую подписку
• Создайте новую виртуальную сеть Azure, используя шаблон ARM или создав его вручную. Шаблоны Azure ARM (Azure Resource Manager) позволяют декларативно создавать и развертывать всю инфраструктуру Azure.
• Создайте подсеть в каждой виртуальной сети, где будет находиться виртуальная машина со сценарием Azure OpenAI.

Шаг 2. Портал Azure. Создайте виртуальную машину в каждой виртуальной сети или подсети, на которой будет размещаться сценарий OpenAI.

• Создайте новый ресурс: нажмите кнопку «Создать ресурс» в левой части портала Azure.
• Создайте виртуальную машину (ВМ) в Azure:
  • Выберите виртуальную машину: на панели «Новое» найдите «Виртуальная машина» и выберите «Виртуальная машина» из списка доступных вариантов.
  • Выберите вариант развертывания: Azure предлагает две модели развертывания виртуальных машин: Resource Manager и Classic. Выберите модель развертывания Resource Manager, чтобы получить доступ к новейшим функциям и возможностям.
  • Настройте базовые сведения. Предоставьте необходимую информацию, такую ​​как подписка, группа ресурсов и имя виртуальной машины. Выберите регион, в котором вы хотите развернуть виртуальную машину.
  • Выберите образ. Выберите образ операционной системы для вашей виртуальной машины, например Windows или Linux. Вы можете выбрать один из множества предварительно настроенных образов, доступных в Azure Marketplace.
  • Выберите размер. Выберите размер виртуальной машины в соответствии с вашими требованиями, учитывая такие факторы, как ЦП, память и емкость хранилища.
  • Настройте дополнительные функции: настройте дополнительные параметры, такие как сеть, хранилище, параметры доступности и параметры управления, в соответствии с вашими потребностями. При необходимости вы также можете настроить дополнительные параметры.
  • Настройте аутентификацию: укажите имя пользователя и пароль или ключ SSH для учетных данных для входа в виртуальную машину. Это будет использоваться для удаленного доступа к виртуальной машине.
  • Просмотрите и создайте: дважды проверьте все сделанные вами конфигурации и нажмите кнопку «Создать», чтобы начать процесс развертывания.
  • Развертывание монитора. Azure начнет подготовку виртуальной машины в соответствии с вашими спецификациями. Вы можете отслеживать ход выполнения на портале Azure.
  • Доступ к виртуальной машине и управление ею. После завершения развертывания вы можете получить доступ к виртуальной машине и управлять ею через портал Azure, Azure CLI, PowerShell или любой другой предпочтительный метод.

Шаг 3. Обновите и настройте виртуальные машины

• Судо-обновление
• Установить Python PIP
  • Sudo apt-get установить python3-pip
• Установите Azure OpenAI для использования сценариев Python.

Настройка пиринга виртуальной сети между виртуальными сетями:

Пиринг виртуальных сетей (VNet) в Azure — это сетевая функция, которая обеспечивает бесперебойное подключение между двумя виртуальными сетями Azure в одном или разных регионах. Пиринг виртуальных сетей позволяет ресурсам внутри этих виртуальных сетей взаимодействовать так, как если бы они находились в одной сети, без необходимости использования каких-либо шлюзовых устройств или дополнительного оборудования. Это безопасное соединение с малой задержкой облегчает совместное использование ресурсов, данных и услуг между виртуальными сетями, повышая гибкость развертывания приложений и оптимизируя сетевую архитектуру.

• На портале Azure выберите Виртуальные сети.
• Выберите виртуальную сеть, к которой вы хотите подключиться.
• В разделе «Настройки» выберите «Пиринги».

• Назовите свои пиринговые соединения как локальными, так и удаленными.

• Выберите удаленную виртуальную сеть (ту же подписку или другую подписку), поскольку в конфигурации нет разницы.

• Нажмите кнопку Добавить.
• Когда статус пиринга изменится на «Подключено», вы готовы продолжить.

Настройте частную конечную точку OpenAI:

• На портале Azure выберите Azure OpenAI.
• Выберите свой экземпляр Azure OpenAI.

Обратите внимание на конечную точку. Эту конечную точку следует использовать даже после создания частной конечной точки, поскольку DNS для целевой виртуальной сети будет обновляться автоматически, как показано ниже.

Регионы Azure не обязательно должны быть одинаковыми. Azure OpenAI может находиться в одном регионе, а целевая виртуальная сеть — в другом регионе.

• Выберите «Сеть» в разделе «Управление ресурсами».

• Первый раздел — «Брандмауэры и виртуальные сети».

Если вы намерены разрешить доступ к этой службе только с использованием частной конечной точки и ничего больше, установите для этого параметра значение «Отключено». Любое другое соединение НЕ будет разрешено (отключено).

• Нажмите + Частная конечная точка.

• Выберите подписку
• Ресурсная группа
• Введите имя частной конечной точки
• Имя интерфейса автоматически будет использовать это имя и добавит «-nic».
• Это сетевой интерфейс, который будет создан в целевой виртуальной сети/подсети (этому интерфейсу будет назначен IP-адрес в этой подсети).
• Выберите регион для конечной точки. Это должно быть то же самое, где находится целевая виртуальная сеть.

Целевой подресурс — аккаунт.

• Выберите целевую виртуальную сеть и подсеть. (В этой подсети будет создан сетевой интерфейс и назначен внутренний IP-адрес)
• Если вы не видите нужную виртуальную сеть или подсеть, проверьте регион.

• По умолчанию при создании частной конечной точки будут обновлены параметры DNS целевой виртуальной сети. Это означает, что вы можете продолжать использовать имя конечной точки (а не имя частной ссылки), и «обычная» конечная точка будет правильно разрешаться во внутренний IP-адрес IE 10.2.0.10.

• Нажмите «Просмотреть и создать».
• Затем проверьте внутренний IP-адрес, присвоенный частной конечной точке.

• Вы увидите виртуальную сеть/подсеть и интерфейс, нажмите «Сетевой интерфейс».

• Вы увидите частный IP-адрес, присвоенный частной конечной точке.

Вы можете использовать это на своем собственном DNS-сервере или в локальном файле хостов.

• При доступе к службе Azure OpenAI из той же виртуальной сети, где была создана конечная точка, не требуется выполнять никаких дополнительных действий.
• Однако для одноранговой виртуальной сети необходимо либо обновить DNS, чтобы он указывал на внутренний IP-адрес, либо обновить файл Hosts.
• Пример файла Hosts для рабочей станции Linux

Другие соображения по поводу сети:

При доступе к этой частной конечной точке из любого другого места вам необходимо следовать этому примеру DNS или использовать внутренний IP-адрес для подключения к конечной точке.

Чтобы дополнительно защитить доступ к этой конечной точке, вы можете настроить группу сетевой безопасности, назначенную подсети, в которой была создана конечная точка. Просто убедитесь, что группа безопасности назначена подсети, как показано ниже:

Настройка правил безопасности для входящего трафика или правил безопасности для исходящего трафика.