エンジニアのみっつーです!
今回はAzure AI Studio上の特定のプロジェクトへのプライベートネットワークアクセスを構成する方法についてご紹介します。
Azure AI Studioにはマネージド仮想ネットワークの仕組みがあり、AIハブやコンピューティングリソースのパブリック/プライベート設定を容易に切り替えることが可能です。
今回はAIハブに対してプライベート化設定を行う手順とポイントを見ていきたいと思います。
今回実施する手順
- 踏み台用VM・Bastionの作成
- AIハブの作成・プライベートネットワーク設定
- 動作確認
1. 踏み台用VM・Bastionの作成
今回はBastionを用いてRDPアクセスするため、VMのOSをWindowsにするか、Linuxにしたい場合は後でBastionのSKUをStandardに変更してください。
SKUの違いは↓ドキュメント参照
VM作成後、VMの「接続」メニュー内Bastion設定画面からBastionを有効化します。
2. AIハブ作成・プライベートネットワーク設定
Azure AI Studioのマネージド仮想ネットワーク設定は、AIハブ単位に行います。
新規AIハブ/既存AIハブのどちらに対しても設定可能です。
(もし既存AIハブの設定変更する場合、コンピューティングリソースを一度全て削除する必要がある点ご注意ください。)
AIハブ作成時の場合は「ネットワークの分離」欄で、「インターネット送信で非公開」または「承認済み送信で非公開」を選択します。
(既存AIハブの設定変更の場合は「ワークスペースマネージド送信アクセス」欄から変更可能です。それぞれで微妙に文言が違いますが詳細文を読んでもらえればOKかと思います)
また、AIハブ作成時の場合は「ワークスペースの受信アクセス」欄の追加ボタンから、既存AIハブの設定変更の場合は「プライベートエンドポイント接続」欄から、使用するVNetを選択する形でプライベートエンドポイントを作成します。
今回はVM作成時に一緒に作ったVNetを使用します。
3. 動作確認
まずは普通におうちのインターネッツからAIプロジェクトへアクセスすると拒否されることを確認します。
(もし既存リソースの設定を変更した場合は、プライベート化反映までに多少時間がかかるかもしれませんのでご注意ください。)
今度はBastionでRDP接続したVMからブラウザ経由でアクセスします。Azure AI Studioから該当AIハブ・プロジェクトへアクセスできれば動作OKです。
ここまで確認出来たらAIハブがプライベート化されたことはひとまずわかるので、他の関連リソースの状態を確認していくことになるかと思いますが今回は割愛します。
ポイントとおまけ
- 公開設定はAIハブ単位で行われます
- なので、Azure AI Studioのハブ一覧画面を開くと、該当ハブ名の横にプライベートという表示が出たりします(2024/6現在)
- 作成済みリソースに対しては、Azureポータル側からAIハブリソースを選択することで、「ネットワーク」設定から切り替えが可能です
- Azure AI Studioのマネージドエンドポイント(プロンプトフローの呼び出しなどに使用)をプライベートにしたい場合も、マネージド仮想ネットワークによるAIハブのプライベート化が必要です
- マネージドエンドポイントはプライベート化するとAzure AI Studio上のテストタブからは試せずCLIから叩く必要があったかと思うのでこちらもご注意
- プライベートにするとVSCodeアクセスもリモートデスクトップ上のVSCode/ブラウザからのみアクセス可能となります
- これを回避したい場合の追加設定内容がドキュメントに足されているようでした早い learn.microsoft.com
最後に
Azure AI Studio内で各種操作をしているときに、プライベート化起因で発生するエラーがあるかと思いますが、エラーメッセージだけでは何が原因かわからないことが多いかと思います。
そういった場合は、プライベートエンドポイントやVNetリソースの設定内容をドキュメントと照らし合わせつつ、↓ページの情報が参考になるかと思います(整合性取れなかったら作り直してくれとか書いてあることもあるので)。
以上、Azure AI Studioのプロジェクト(を持っているハブ)をプライベート化する手順とポイントについてのご紹介でした。
プライベート化の内容や方法が気になっている方にご参考いただけますと幸いです。
サービス一覧 www.alterbooth.com cloudpointer.tech www.alterbooth.com