Azure AI Foundry 허브에 대한 관리되는 네트워크를 설정하는 방법

• Azure 구독. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

• Azure 구독에 Microsoft.Network 대한 리소스 공급자를 등록합니다. 허브는 이 공급자를 사용하여 관리되는 가상 네트워크에 대한 프라이빗 엔드포인트를 만듭니다.

  리소스 공급자 등록에 대한 자세한 내용은 리소스 공급자 등록 오류 해결을 참조하세요.

• 다음 Azure RBAC(역할 기반 액세스 제어) 작업과 함께 Azure ID를 사용하여 관리되는 가상 네트워크에 대한 프라이빗 엔드포인트를 만듭니다.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure 구독. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

• Microsoft.Network 리소스 공급자는 Azure 구독에 등록되어 있어야 합니다. 이 리소스 공급자는 관리되는 가상 네트워크에 대한 프라이빗 엔드포인트를 만들 때 허브에서 사용됩니다.

  리소스 공급자 등록에 대한 자세한 내용은 리소스 공급자 등록 오류 해결을 참조하세요.

• 다음 Azure RBAC(역할 기반 액세스 제어) 작업과 함께 Azure ID를 사용하여 관리되는 가상 네트워크에 대한 프라이빗 엔드포인트를 만듭니다.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read (이 경로는 Microsoft Azure의 기계 학습 서비스 내의 프라이빗 엔드포인트 연결을 나타냅니다.)
  • Microsoft.MachineLearningServices/작업공간/비공개 엔드포인트 연결/쓰기

• Azure CLI 및 Azure CLI에 ml 대한 확장을 설치합니다. 자세한 내용은 CLI(v2) 설치, 설정 및 사용을 참조하세요.

• 이 문서의 CLI 예제에서는 Bash 호환 셸을 사용한다고 가정합니다. 예를 들어 Linux 시스템 또는 Linux용 Windows 하위 시스템을 사용합니다.

• 이 문서의 Azure CLI 예제는 허브 이름 및 ws 리소스 그룹 이름에 사용됩니다rg. Azure 구독에서 명령을 실행할 때 필요에 따라 이러한 값을 변경합니다.

• Azure 구독. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다. 무료 또는 유료 버전을 사용해 보세요.

• Microsoft.Network 리소스 공급자는 Azure 구독에 등록되어 있어야 합니다. 이 리소스 공급자는 관리되는 가상 네트워크에 대한 프라이빗 엔드포인트를 만들 때 허브에서 사용됩니다.

  리소스 공급자 등록에 대한 자세한 내용은 리소스 공급자 등록 오류 해결을 참조하세요.

• 프라이빗 엔드포인트를 만들려면 관리형 네트워크를 배포할 때 사용하는 Azure ID에 다음 Azure RBAC(Azure 역할 기반 액세스 제어) 작업이 필요합니다.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read (이 경로는 Microsoft Azure의 기계 학습 서비스 내의 프라이빗 엔드포인트 연결을 나타냅니다.)
  • Microsoft.MachineLearningServices/작업공간/비공개 엔드포인트 연결/쓰기

• Azure Machine Learning Python SDK v2. SDK에 대한 자세한 내용은 Azure Machine Learning용 Python SDK v2 설치를 참조하세요.

• 이 문서의 예제에서는 코드가 다음 Python 코드로 시작된다고 가정합니다. 관리되는 가상 네트워크를 사용하여 허브를 만드는 데 필요한 클래스를 가져오고, Azure 구독 및 리소스 그룹에 대한 변수를 설정하고, 해당 클래스를 ml_client만듭니다. 다음 예제에서는 자리 표시자 텍스트를 <SUBSCRIPTION_ID><RESOURCE_GROUP> 사용자 고유의 값으로 바꿉 있습니다.

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

• 새 허브을(를) 만듭니다.

  1. Azure Portal에 로그인하고 리소스 만들기 메뉴에서 Azure AI Foundry를 선택합니다.

  2. + 새 Azure AI를 선택합니다.

  3. 기본 사항 탭에 필요한 정보를 입력 합니다 .

  4. 네트워킹 탭에서 인터넷 아웃바운드를 통한 프라이빗를 선택합니다.

  5. 아웃바운드 규칙을 추가하려면 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. 아웃바운드 규칙 사이드바에서 다음 정보를 입력합니다.

     • 규칙 이름: 규칙의 이름입니다. 이름은 이 허브에 대해 고유해야 합니다.
     • 대상 유형: 네트워크 격리가 인터넷 아웃바운드를 사용한 프라이빗인 경우 프라이빗 엔드포인트는 유일한 옵션입니다. 허브 관리형 가상 네트워크는 모든 Azure 리소스 유형에 대한 프라이빗 엔드포인트 만들기를 지원하지 않습니다. 지원되는 리소스 목록은 프라이빗 엔드포인트 섹션을 참조하세요.
     • 구독: 프라이빗 엔드포인트를 추가하려는 Azure 리소스가 포함된 구독입니다.
     • 리소스 그룹: 프라이빗 엔드포인트를 추가하려는 Azure 리소스가 포함된 리소스 그룹입니다.
     • 리소스 종류: Azure 리소스의 형식입니다.
     • 리소스 이름: Azure 리소스의 이름입니다.
     • 하위 리소스: Azure 리소스 유형의 하위 리소스입니다.

     저장을 선택합니다. 규칙을 더 추가하려면 사용자 정의 아웃바운드 규칙 추가를 선택합니다.

  6. 허브를 계속 만듭니다.

• 기존 허브 을(를) 업데이트합니다.

  1. Azure Portal에 로그인하고 허브를 선택하여 관리형 가상 네트워크 격리를 사용하도록 설정합니다.

  2. 인터넷 아웃바운드> 선택합니다.

     • 아웃바운드 규칙을 추가하려면 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. 아웃바운드 규칙 사이드바에서 '새 허브 만들기' 섹션에서 허브를 만들 때 사용한 것과 동일한 정보를 제공합니다.

     • 아웃바운드 규칙을 삭제하려면 해당 규칙에 대해 삭제를 선택합니다.

  3. 페이지 맨 위에 있는 저장 을 선택하여 관리되는 가상 네트워크에 변경 내용을 적용합니다.

인터넷 아웃바운드를 허용하는 관리형 가상 네트워크를 구성하려면 다음 항목과 함께 매개 변수 또는 YAML 구성 파일을 사용합니다 --managed-network allow_internet_outbound .

managed_network:
  isolation_mode: allow_internet_outbound

허브가 사용하는 다른 Azure 서비스에 대한 아웃바운드 규칙을 정의합니다. 이러한 규칙은 Azure 리소스가 관리형 가상 네트워크와 안전하게 통신할 수 있도록 하는 프라이빗 엔드포인트 를 정의합니다. 다음 규칙은 Azure Blob Storage 계정에 프라이빗 엔드포인트를 추가하는 방법을 보여 줍니다. 다음 예제에서는 자리 표시자 텍스트를 <SUBSCRIPTION_ID><RESOURCE_GROUP><STORAGE_ACCOUNT_NAME> 사용자 고유의 값으로 바꿉 있습니다.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

다음 명령 중 az ml workspace create 하나를 az ml workspace update 사용하여 관리형 가상 네트워크를 구성합니다.

• 새 허브을(를) 만듭니다.

  다음 예제에서는 새 허브를 만듭니다. --managed-network allow_internet_outbound 매개 변수는 허브에 대한 관리형 가상 네트워크를 구성합니다.

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  대신 YAML 파일을 사용하여 허브를 만들려면 --file 매개 변수를 사용하고 구성 설정이 포함된 YAML 파일을 지정합니다.

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  다음 YAML 예제에서는 관리되는 가상 네트워크를 사용하여 허브를 정의합니다.

  name: myhub
  ___location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• 기존 허브 을(를) 업데이트합니다.

  경고

  관리되는 가상 네트워크를 사용하도록 기존 작업 영역을 업데이트하기 전에 작업 영역에 대한 모든 컴퓨팅 리소스를 삭제해야 합니다. 여기에는 컴퓨팅 인스턴스, 컴퓨팅 클러스터 및 관리되는 온라인 엔드포인트가 포함됩니다.

  다음 예제에서는 기존 허브를 업데이트합니다. --managed-network allow_internet_outbound 매개 변수는 허브에 대한 관리형 가상 네트워크를 구성합니다.

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  YAML 파일을 사용하여 기존 허브를 업데이트하려면 --file 매개 변수를 사용하고 구성 설정을 포함하는 YAML 파일을 지정합니다.

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  다음 YAML 예제에서는 허브에 대한 관리형 가상 네트워크를 정의합니다. 허브에서 사용하는 리소스에 프라이빗 엔드포인트 연결을 추가하는 방법도 보여 줍니다. 이 예제에서는 Azure Blob Storage 계정에 대한 프라이빗 엔드포인트를 추가합니다. 다음 예제에서는 자리 표시자 텍스트를 <SUBSCRIPTION_ID><RESOURCE_GROUP><STORAGE_ACCOUNT_NAME> 사용자 고유의 값으로 바꿉 있습니다.

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

인터넷 아웃바운드를 허용하는 관리형 가상 네트워크를 구성하려면 .와 함께 ManagedNetwork클래스를 IsolationMode.ALLOW_INTERNET_OUTBOUND 사용합니다. 그런 다음 개체를 ManagedNetwork 사용하여 새 허브를 만들거나 기존 허브를 업데이트합니다. 허브가 사용하는 Azure 서비스에 아웃바운드 규칙을 정의하려면 PrivateEndpointDestination 클래스를 사용하여 서비스에 대한 새 프라이빗 엔드포인트를 정의합니다.

• 새 허브을(를) 만듭니다.

  다음 예제에서는 Azure Blob Storage 계정에 대한 프라이빗 엔드포인트를 추가하는 아웃 myhub 바운드 규칙을 사용하여 명명myrule된 새 허브를 만듭니다. 다음 예제에서는 자리 표시자 텍스트를 <SUBSCRIPTION_ID><RESOURCE_GROUP><STORAGE_ACCOUNT_NAME> 사용자 고유의 값으로 바꿉 있습니다.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      ___location="eastus",
      managed_network=network
  )
  
  # Example private endpoint to Azure Blob Storage
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
      # Add the outbound rulerule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• 기존 허브 을(를) 업데이트합니다.

  다음 예제에서는 myhub(이)라고 명명된 기존 허브에 대한 관리형 가상 네트워크를 만드는 방법을 보여 줍니다.

  # Get the existing hub
      ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get(name="myhub")
  
      # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

• 새 허브을(를) 만듭니다.

  1. Azure Portal에 로그인하고 리소스 만들기 메뉴에서 Azure AI Foundry를 선택합니다.

  2. + 새 Azure AI를 선택합니다.

  3. 기본 사항 탭에 필수 정보를 입력합니다.

  4. 네트워킹 탭에서 승인된 아웃바운드가 있는 프라이빗을 선택합니다.

  5. 아웃바운드 규칙을 추가하려면, 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. 아웃바운드 규칙 사이드바에서 다음 정보를 제공합니다.

     • 규칙 이름: 규칙의 이름입니다. 이름은 이 허브에 대해 고유해야 합니다.
     • 대상 유형: 프라이빗 엔드포인트, 서비스 태그 또는 FQDN. 서비스 태그 및 FQDN은 승인된 아웃바운드를 통해 네트워크 격리가 프라이빗 경우에만 사용할 수 있습니다.

     대상 유형이 프라이빗 엔드포인트인 경우 다음 정보를 입력합니다.

     • 구독: 프라이빗 엔드포인트를 추가하려는 Azure 리소스가 포함된 구독입니다.
     • 리소스 그룹: 프라이빗 엔드포인트를 추가하려는 Azure 리소스가 포함된 리소스 그룹입니다.
     • 리소스 종류: Azure 리소스의 형식입니다.
     • 리소스 이름: Azure 리소스의 이름입니다.
  • 하위 리소스: Azure 리소스 종류의 하위 리소스입니다.

  팁 (조언)

  허브의 관리되는 VNet은 모든 Azure 리소스 유형에 대한 프라이빗 엔드포인트를 지원하지 않습니다. 지원되는 리소스 목록은 프라이빗 엔드포인트 섹션을 참조하세요.

  대상 유형이 서비스 태그인 경우 다음 정보를 입력합니다.

  • 서비스 태그: 승인된 아웃바운드 규칙에 추가할 서비스 태그입니다.
  • 프로토콜: 서비스 태그를 허용하는 프로토콜입니다.
  • 포트 범위: 서비스 태그에 허용되는 포트 범위입니다.

  대상 형식이 FQDN인 경우 다음 정보를 입력합니다.

  • FQDN 대상: 승인된 아웃바운드 규칙에 추가할 정규화된 도메인 이름입니다.

    규칙을 저장하려면 저장을 선택합니다. 규칙을 더 추가하려면 사용자 정의 아웃바운드 규칙 추가 를 다시 선택합니다.

  1. 평소와 같이 허브를 계속 만듭니다.

• 기존 허브 을(를) 업데이트합니다.

  1. Azure Portal에 로그인하고 관리형 가상 네트워크 격리를 사용하도록 설정할 허브를 선택합니다.

  2. 승인된 아웃바운드> 프라이빗을 선택합니다.

     • 아웃바운드 규칙을추가하려면 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. 아웃바운드 규칙 사이드바에서 이전 '새 허브 만들기' 섹션에서 허브를 만들 때와 동일한 정보를 입력합니다.

     • 아웃바운드 규칙을 삭제하려면 해당 규칙에 대해 삭제를 선택합니다.

  3. 페이지 맨 위에서 저장을 선택하여 변경 내용을 관리되는 가상 네트워크에 저장합니다.

승인된 아웃바운드 통신만 허용하는 관리형 가상 네트워크를 구성하려면 매개 변수 또는 다음 항목이 포함된 YAML 구성 파일을 사용합니다 --managed-network allow_only_approved_outbound .

managed_network:
  isolation_mode: allow_only_approved_outbound

승인된 아웃바운드 통신에 대한 아웃바운드 규칙을 정의할 수도 있습니다. 형식 service_tagfqdnprivate_endpoint또는 .의 아웃바운드 규칙을 만듭니다. 다음 예제에서는 Azure Blob 리소스, Azure Data Factory의 서비스 태그 및 FQDN에 프라이빗 엔드포인트를 추가합니다 pypi.org. 다음 예제에서는 자리 표시자 텍스트를 <SUBSCRIPTION_ID><RESOURCE_GROUP><STORAGE_ACCOUNT_NAME> 값으로 바꿉 있습니다.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

az ml workspace create 또는 az ml workspace update 명령을 사용하여 관리되는 가상 네트워크를 구성할 수 있습니다.

• 새 허브을(를) 만듭니다.

  다음 예제에서는 --managed-network allow_only_approved_outbound 매개 변수를 사용하여 관리되는 가상 네트워크를 구성합니다.

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  다음 YAML 파일은 관리형 가상 네트워크를 사용하여 허브를 정의합니다.

  name: myhub
  ___location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  YAML 파일을 사용하여 허브를 만들려면 --file 매개 변수를 사용합니다.

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• 기존 허브 업데이트

  경고

  관리되는 가상 네트워크를 사용하도록 기존 작업 영역을 업데이트하기 전에 작업 영역에 대한 모든 컴퓨팅 리소스를 삭제해야 합니다. 여기에는 컴퓨팅 인스턴스, 컴퓨팅 클러스터 및 관리되는 온라인 엔드포인트가 포함됩니다.

  다음 예제에서는 --managed-network allow_only_approved_outbound 매개 변수를 사용하여 기존 허브에 대해 관리되는 가상 네트워크를 구성합니다.

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  다음 YAML 파일은 허브에 대한 관리형 가상 네트워크를 정의하고 승인된 아웃바운드 규칙을 추가하는 방법을 보여 줍니다. 이 예제에서는 서비스 태그, FQDN 및 프라이빗 엔드포인트에 대한 아웃바운드 규칙이 추가됩니다.

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

승인된 아웃바운드 통신만 허용하는 관리형 가상 네트워크를 구성하려면 클래스를 ManagedNetwork 사용하여 네트워크를 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND정의합니다. 그런 다음 ManagedNetwork 개체를 사용하여 새 허브를 만들거나 기존 허브를 업데이트할 수 있습니다. 아웃바운드 규칙을 정의하려면 다음 클래스를 사용합니다.

• 새 허브을(를) 만듭니다.

  다음 예제에서는 몇 가지 아웃바운드 규칙을 사용하여 myhub(이)라는 새 허브를 만듭니다.

  • myrule - Azure Blob 스토리지에 대한 프라이빗 엔드포인트를 추가합니다.
  • datafactory - Azure Data Factory와 통신하기 위한 서비스 태그 규칙을 추가합니다.

  중요합니다

  • 서비스 태그 또는 FQDN에 대한 아웃바운드 규칙을 추가하는 것은 관리되는 VNet이 구성된 경우에만 유효합니다 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • 아웃바운드 규칙을 추가하는 경우 Microsoft는 데이터 반출에 대한 보호를 보장할 수 없습니다.

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      ___location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• 기존 허브 을(를) 업데이트합니다.

  다음 예제에서는 명명 myhub된 기존 허브에 대해 관리되는 가상 네트워크를 구성하는 방법을 보여 줍니다. 또한 다음과 같은 몇 가지 아웃바운드 규칙도 추가합니다.

  • myrule - Azure Blob 스토리지에 대한 프라이빗 엔드포인트를 추가합니다.
  • datafactory - Azure Data Factory와 통신하기 위한 서비스 태그 규칙을 추가합니다.

  팁 (조언)

  서비스 태그 또는 FQDN에 대한 아웃바운드 추가는 관리되는 VNet이 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND로 구성된 경우에만 유효합니다.

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

작업 영역을 만드는 동안 관리되는 네트워크를 만들 때 관리되는 네트워크 프로비저닝을 사전에 선택하여 관리되는 네트워크를 설정합니다. 가상 네트워크가 설정된 후 프라이빗 엔드포인트와 같은 네트워크 리소스에 대한 청구가 시작됩니다. 이 옵션은 작업 영역을 만드는 동안에만 사용할 수 있습니다.

다음 예제에서는 허브를 만드는 동안 관리되는 가상 네트워크를 프로비전하는 방법을 보여 줍니다.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

다음 예제에서는 관리되는 가상 네트워크를 프로비전하는 방법을 보여 있습니다.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

프로비전이 완료되었는지 확인하려면 다음 명령을 실행합니다.

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

SDK를 사용하여 관리되는 가상 네트워크를 프로비전한 다음 상태를 확인합니다.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

1. Azure Portal에 로그인하고 관리형 가상 네트워크 격리를 사용하도록 설정할 허브를 선택합니다.
2. 네트워킹을 선택합니다. Azure AI 아웃바운드 액세스 섹션을 사용하면 아웃바운드 규칙을 관리할 수 있습니다.

• 아웃바운드 규칙을 추가하려면 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. Azure AI 아웃바운드 규칙 사이드바에서 필요한 값을 입력합니다.

• 규칙을 사용 또는 사용하지 않도록 설정하려면 활성 열의 전환을 사용합니다.

• 아웃바운드 규칙을 삭제하려면 해당 규칙에 대해 삭제를 선택합니다.

다음 명령에서 자리 표시자 텍스트를 <workspace-name><resource-group><rule-name> 값으로 바꿉니다. 허브에 대한 관리형 가상 네트워크 아웃바운드 규칙을 나열하려면 다음을 실행합니다.

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

관리형 가상 네트워크 아웃바운드 규칙의 세부 정보를 보려면 다음을 실행합니다.

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

관리되는 가상 네트워크에서 아웃바운드 규칙을 제거하려면 다음을 실행합니다.

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

다음 예제에서는 명명된 myhub허브에 대한 아웃바운드 규칙을 관리하는 방법을 보여 줍니다. 이 예제에서 자리 표시자 텍스트를 <some-rule-name> 규칙 이름으로 바꿉 있습니다.

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

승인된 아웃바운드 모드만 허용을 선택하면 Azure Firewall 버전(SKU)을 선택하는 옵션이 나타납니다. 표준 또는 기본을 선택합니다. 저장을 선택합니다.

Azure CLI를 사용하여 방화벽 버전을 설정하려면 YAML 파일을 사용하고 지정 firewall_sku합니다. 다음 예제에서는 방화벽 SKU를 다음으로 basic설정합니다.

name: test-ws
resource_group: test-rg
___location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Python SDK를 사용하여 방화벽 버전을 설정하려면 개체의 firewall_skuManagedNetwork 속성을 설정합니다. 다음 예제에서는 방화벽 SKU를 다음으로 basic설정합니다.

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')