在Azure机器学习中将模型部署到VNet内部的托管在线端点

Question

我正在尝试将模型部署到Azure中的托管在线端点。

(按照https://learn.microsoft.com/en-us/azure/machine-learning/how-to-deploy-managed-online-endpoints的思路)。

对于公开访问的AML工作区来说，这很好，但对于我们的私有VNET中的工作区则不是这样。

对于私有VNET中的AML工作区/存储帐户，部署失败：

​

我发现这与存储帐户的网络设置直接相关。这是失败的设置。请注意，允许Azure服务并不能缓解这个问题：

​

​

这是托管端点的盲点，根本不受支持，还是这是一个bug？

这个问题可以用https://github.com/Azure/azureml-examples/tree/main/cli/endpoints/online/managed/sample上的示例代码来再现。

az ml online-deployment create --name blue -f endpoints/online/managed/sample/blue-deployment.yml

错误消息中的“故障排除”指南引用了存储帐户(和)可访问性的重要性，但不考虑usecase，其中AML位于私有VNET：https://learn.microsoft.com/en-us/azure/machine-learning/how-to-troubleshoot-online-endpoints?tabs=cli#authorization-error中。

Answer 1

如果工作区和存储是私有的，则需要禁用egress_public_network_access标志。需要此标志才能建立从托管联机部署到私有资源的专用端点连接。不要忘记批准PE连接。

用于托管在线端点网络隔离的Doc https://learn.microsoft.com/en-us/azure/machine-learning/how-to-secure-online-endpoint?tabs=model