注
この記事の情報は ハブ ベースのプロジェクトに固有であり、 Foundry プロジェクトには適用されません。 「 自分が持っているプロジェクトの種類を確認する方法 」と 「ハブ ベースのプロジェクトを作成する」を参照してください。
マネージド仮想ネットワーク内の Azure AI Foundry ハブ、プロジェクト、マネージド リソースをセキュリティで保護することができます。 マネージド仮想ネットワークでは、受信アクセスはハブのプライベート エンドポイント経由でのみ許可されます。 送信アクセスは、すべての送信アクセスを許可するようにも、指定した送信のみを許可するようにも構成できます。 詳細については、マネージド仮想ネットワークに関するページを参照してください。
重要
マネージド仮想ネットワークは、クライアントに受信接続を提供しません。 詳細については、「ハブに接続する」セクションを参照してください。
前提条件
- Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- Azure サービスに安全に接続するために使用する Azure Virtual Network。 たとえば、Azure Bastion、VPN Gateway、または ExpressRoute を使用して、オンプレミス ネットワークから Azure Virtual Network に接続できます。 Azure Virtual Network がない場合は、仮想ネットワークの作成に関する記事の手順に従って作成できます。
ハブを作成する
Azure portal で、
Azure AI Foundryを検索します。 左側のメニューから [ AI Hubs] を選択し、[ + 作成 と ハブ] を選択します。
ハブの名前、サブスクリプション、リソース グループ、および場所の詳細を入力します。 Azure AI サービスの基本モデルの場合は、既存の AI サービス リソースを選択するか、新しいリソースを作成します。 新しい Azure AI サービスには、Speech、Content Safety、Azure OpenAI 用の複数の API エンドポイントが含まれています。
[ ストレージ ] タブを選択します。既存の ストレージ アカウント と 資格情報ストア リソースを選択するか、新しいリソースを作成します。 必要に応じて、既存の [Application insights]、およびログと Docker イメージ用の [Container Registry] を選択します。
![ストレージ リソース情報を設定するオプションを含む [ハブの作成] のスクリーンショット。](../media/how-to/network/ai-hub-storage.png)
ハブへの受信トラフィックのネットワーク分離を構成するには、[ 受信アクセス ] タブを選択します。 [パブリック ネットワーク アクセス] を [無効] に設定し、[+ 追加] を使用して、クライアントが接続する Azure Virtual Network にハブのプライベート エンドポイントを追加します。 プライベート エンドポイントを使用すると、クライアントはプライベート接続経由でハブに接続できます。 詳細については、プライベート エンドポイントに関する記事を参照してください。
![パブリック ネットワーク アクセスが無効になっている [受信アクセス] タブのスクリーンショット。](../media/how-to/network/inbound-access.png)
送信アクセスを選択して、Azure AI Foundry がハブとプロジェクトをセキュリティで保護するために使用するマネージド仮想ネットワークを構成します。 [Private with Internet Outbound] (非公開 (インターネット送信あり)) を選びます。これを使用すると、コンピューティング リソースが Python パッケージなどのリソースのためにパブリック インターネットにアクセスできます。
ヒント
ハブの作成時に仮想ネットワークをプロビジョニングするには、[ マネージド仮想ネットワークのプロビジョニング] を選択します。 このオプションが選択されていない場合、コンピューティング リソースを作成するまでネットワークはプロビジョニングされません。 詳細については、マネージド仮想ネットワークに関するページを参照してください。
![ネットワークの分離情報を設定するオプションが表示された [ハブを作成する] のスクリーンショット。](../media/how-to/network/outbound-access.png)
[確認 + 作成] を選択してから、[作成] を選択してハブを作成します。 ハブが作成されると、ハブから作成されたすべてのプロジェクトまたはコンピューティング インスタンスによってネットワーク構成が継承されます。
![ストレージ リソース情報を設定するオプションを含む [ハブの作成] のスクリーンショット。](../media/how-to/network/ai-hub-storage.png#lightbox)
![パブリック ネットワーク アクセスが無効になっている [受信アクセス] タブのスクリーンショット。](../media/how-to/network/inbound-access.png#lightbox)
![ネットワークの分離情報を設定するオプションが表示された [ハブを作成する] のスクリーンショット。](../media/how-to/network/outbound-access.png#lightbox)
ハブに接続する
マネージド仮想ネットワークは、クライアントへのアクセスを直接には提供しません。 そうではなく、"ユーザーが" 管理する Azure Virtual Network にクライアントが接続します。 その後、これらの手順で作成したプライベート エンドポイントを使用してハブにアクセスできます。
クライアントを Azure Virtual Network に接続するために使用できる方法は複数あります。 次の表に、Azure Virtual Network にクライアントが接続する一般的な方法を示します。
| メソッド | 説明 |
|---|---|
| Azure VPN Gateway | オンプレミスのネットワークをプライベート接続を介して Azure Virtual Network に接続します。 接続は、パブリック インターネットを介して行われます。 |
| ExpressRoute | オンプレミスのネットワークをプライベート接続を介してクラウドに接続します。 接続は、接続プロバイダーを使用して行われます。 |
| Azure Bastion | Web ブラウザーを使用して、Azure Virtual Network 内の仮想マシンに接続します。 |