Azure Virtual Network服务终结点有助于通过Azure主干网络上的优化路由提供与Azure服务的安全直接连接。 终结点可帮助你将关键的 Azure 服务资源安全地限制在您的虚拟网络中。 服务终结点允许虚拟网络中的专用 IP 地址访问Azure服务的终结点,而无需虚拟网络上的公共 IP 地址。
本文介绍如何在 Azure AI 服务中配置和使用虚拟网络服务终结点及语音服务。
注意
在开始之前,请查看 如何通过 Azure AI services 使用虚拟网络。
本文还介绍了如何稍后删除Virtual Network服务终结点,但仍使用语音资源。
若要为 Virtual Network 服务终结点方案设置用于语音的 AI Services 资源,需要:
注意
设置和使用语音服务的Virtual Network服务终结点类似于设置和使用专用终结点。 在本文中,当程序相同时,我们会参考有关使用专用终结点的文章中的相应部分。
专用终结点和Virtual Network服务终结点
Azure为通过Private Azure主干网络隧道的流量提供专用终结点和虚拟网络服务终结点。 这些终结点类型的用途和基础技术类似。 但这两种技术之间存在差异。 建议在设计网络之前了解这两种方法的优缺点。
确定要使用的技术时,需要考虑以下事项:
- 这两种技术都可确保虚拟网络和语音资源之间的流量不会通过公共 Internet 传输。
- 专用终结点为语音资源提供专门的专用 IP 地址。 只有在特定的虚拟网络和子网中可以访问此 IP 地址。 你可以完全控制你的网络基础结构中对此 IP 地址的访问权限。
- Virtual Network服务终结点不提供语音资源的专用 IP 地址。 相反,它们封装发送到语音资源的所有数据包,并直接通过Azure主干网络传送这些数据包。
- 这两种技术都支持本地方案。 默认情况下,使用Virtual Network服务终结点时,从本地网络无法访问安全地连接到虚拟网络中的Azure服务资源。 但你可以更改此行为。
- 虚拟网络服务端点通常用于根据虚拟网络流量来源控制 AI 服务资源的语音访问权限。
- 对于Azure AI services,启用Virtual Network服务终结点会强制所有Azure AI services资源的流量通过专用主干网络。 这需要显式网络访问配置。 (有关详细信息,请参阅配置虚拟网络和语音资源网络设置。)专用终结点没有此限制,可为你的网络配置提供更大的灵活性。 通过使用同一虚拟网络的同一子网,可以实现通过专用主干访问一项资源,同时可以通过公共 Internet 访问另一项资源。
- 专用终结点会产生额外的费用。 Virtual Network服务终结点是免费的。
- 专用终结点需要额外的 DNS 配置。
- 一个语音资源可与专用终结点和Virtual Network服务终结点同时工作。
建议先试用这两种终结点类型,再决定生产设计。
有关详细信息,请参阅以下资源:
本文介绍如何将Virtual Network服务终结点与语音服务配合使用。 有关专用终结点的信息,请参阅通过专用终结点使用语音服务。
创建自定义域名
虚拟网络服务终结点需要自定义的 Azure AI 服务子域名称。 按照“专用终结点”一文的指导创建自定义域。 本节中的所有警告也适用于Virtual Network服务终结点。
配置虚拟网络和语音资源网络设置
需要将允许通过服务终结点访问的所有虚拟网络添加到语音资源的网络属性中。
注意
若要通过 Virtual Network 服务终结点访问用于语音的 AI Services 资源,需要为virtual network的所需子网启用 Microsoft.CognitiveServices 服务终结点类型。 这样做将通过专用主干网络路由与Azure AI services相关的所有子网流量。 如果想要从同一子网访问任何其他Azure AI services资源,请确保这些资源配置为允许虚拟网络。
如果未在语音资源网络属性中将虚拟网络添加为 allowed,则即使为虚拟网络启用了 Microsoft.CognitiveServices 服务终结点,也无法访问语音资源。 如果启用了服务终结点但不允许虚拟网络,则无论语音资源的其他网络安全设置是什么,虚拟网络都无法通过公共 IP 地址访问语音资源。 这是因为启用 Microsoft.CognitiveServices 终结点会通过专用主干网络路由与Azure AI services相关的所有流量,在这种情况下,应显式允许虚拟网络访问资源。 本指南适用于所有Azure AI services资源,而不仅仅是语音资源。
转到 Azure 门户并登录到Azure帐户。
选择语音资源。
在左窗格的“资源管理”组中,选择“网络” 。
在“防火墙和虚拟网络”选项卡上,选择“选定的网络和专用终结点” 。
注意
若要使用Virtual Network服务终结点,需要选择所选网络和专用终结点网络安全选项。 不支持其他选项。 如果你的场景需要“所有网络”选项,请考虑使用支持所有三个网络安全选项的专用终结点。
选择“添加现有虚拟网络”或“添加新的虚拟网络”并提供所需参数 。 选择“添加”现有虚拟网络或“创建”新的虚拟网络 。 如果添加现有虚拟网络,则会自动为所选子网启用
Microsoft.CognitiveServices服务终结点。 此操作最多可能需要 15 分钟。 另请参阅本部分开头的注释。
为现有虚拟网络启用服务端点
如上一部分所述,当您将语音资源的虚拟网络配置为 allowed 时,Microsoft.CognitiveServices 服务终结点会自动启用。 如果稍后将其禁用,则需要手动启用它以还原服务终结点对语音资源的访问权限(以及其他Azure AI services资源):
- 转到 Azure 门户并登录到Azure帐户。
- 选择虚拟网络。
- 在左窗格的“设置”组中,选择“子网” 。
- 选择所需子网。
- 窗口右侧将显示一个新面板。 在此面板中,在 Service Endpoints 部分中,在
Microsoft.CognitiveServices列表中选择 。 - 选择“保存”。
调整现有应用程序和解决方案
针对语音的 AI 服务资源在启用了自定义域后,与语音服务的交互方式会有所不同。 无论是否配置服务终结点,对于启用了自定义域的语音资源都是如此。 此节中的信息适用于这两种方案。
使用一个用于语音的 AI 服务资源,该资源具有自定义域名并允许虚拟网络
在此场景中,在语音资源的网络设置中选择了“选定的网络和专用终结点”选项,并且至少允许一个虚拟网络。 此方案等同于使用启用自定义域名和专用终结点的 AI 服务资源进行语音处理。
使用具有自定义域名但未配置为允许虚拟网络的语音 AI 服务资源
在此场景中,未启用专用终结点,并且以下陈述中有一条为真:
- 在语音资源的网络设置中选择了“选定的网络和专用终结点”选项,但未配置允许的虚拟网络。
- 在语音资源的网络设置中选择了“所有网络”选项。
此方案等效于 使用一个自定义域名且不含专用终结点的语音 AI 服务资源。
使用 Speech Studio
Speech Studio 是一个 Web 门户,用于在应用程序中构建和集成Azure语音服务。 当你在 Speech Studio 项目中工作时,将代表你进行对相应语音资源的网络连接和 API 调用。 使用专用终结点、虚拟网络服务终结点和其他网络安全选项可能会限制 Speech Studio 功能的可用性。 使用 自定义语音 和 音频内容创建等功能时,通常使用 Speech Studio。
从虚拟网络访问 Speech Studio
若要从Azure虚拟网络中的虚拟机使用 Speech Studio,请允许与该虚拟网络所需的 service tags 集建立传出连接。 请参阅 支持的区域和服务产品/服务中的详细信息。
对语音资源端点的访问 不 等于访问 Speech Studio 门户。 不支持通过专用或 VNet 服务终结点访问 Speech Studio。
在 Speech Studio 项目中工作
本部分描述如何使用不同类型的 Speech Studio 项目来应对语音资源的不同网络安全配置。 预期已建立 Web 浏览器与 Speech Studio 的连接。 在Azure门户中或使用 CLI 设置语音资源网络安全:
Azure CLI
# View current network settings
az cognitiveservices account show \
--name <your-speech-resource-name> \
--resource-group <your-resource-group-name> \
--query "{publicAccess:properties.publicNetworkAccess, networkRules:properties.networkAcls}" \
-o json
# Change public network access (options: Enabled, Disabled)
az cognitiveservices account update \
--name <your-speech-resource-name> \
--resource-group <your-resource-group-name> \
--public-network-access Enabled
Azure 门户
- 转到 Azure 门户并登录到Azure帐户。
- 选择语音资源。
- 在左侧窗格的“资源管理”组中,选择“网络”“防火墙和虚拟网络”。
- 从“所有网络”、“选定的网络和专用终结点”或“禁用”中选择一个选项。
自定义语音和音频内容创建
下表介绍了基于每个语音服务资源的网络>防火墙和虚拟网络安全设置的自定义语音/音频内容创建项目的可访问性。
注意
如果仅允许专用终结点通过 “网络>专用终结点连接 ”选项卡,则不能将 Speech Studio 与语音资源一起使用。 仍可以在 Speech Studio 外部使用语音资源。
| 语音资源网络安全设置 | Speech Studio 项目可访问性 |
|---|---|
| 所有网络 | 无限制 |
| 所选网络和专用终结点 | 可从允许的公共 IP 地址访问 |
| 已禁用 | 不可访问 |
如果选择“ 所选网络”和“专用终结点”,则会看到包含 虚拟网络 和 防火墙 访问配置选项的选项卡。 在“防火墙”部分,必须允许至少一个公共 IP 地址,并将该地址用于浏览器与 Speech Studio 的连接。
若要在不放宽对生产语音资源的网络访问限制的情况下使用自定义语音,请考虑以下解决方法之一:
- 为开发创建另一个可在公共网络上使用的语音资源。 在开发资源上的 Speech Studio 中准备自定义模型,然后将该模型复制到你的生产资源。 请参阅Models_CopyTo REST 请求和语音转文本 REST API。
- 可以对所有自定义语音操作(而不是 Speech Studio)使用 语音转文本 REST API 。
若要在不放宽对生产语音资源的网络访问限制的情况下使用自定义语音,请考虑以下解决方法之一:
- 为开发创建另一个可在公共网络上使用的语音资源。 在开发资源的 Speech Studio 中准备自定义模型,然后提交 Azure 支持请求,请求协助将模型复制到生产资源。
同时使用专用终结点和Virtual Network服务终结点
可以使用私有终结点和虚拟网络服务终结点来同时访问相同的语音资源。 若要启用此同时使用,需要在 Azure 门户中语音资源的网络设置中使用 Selected Networks and Private Endpoints 选项。 此场景不支持其他选项。