Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте частную конечную точку для защиты обмена данными. В этой статье описывается, как установить частное подключение к учетной записи Foundry и проектам с помощью частной конечной точки.
Планирование сетевой изоляции в Foundry
Что такое сетевая изоляция?
Сетевая изоляция — это стратегия безопасности, которая включает разделение сети на отдельные сегменты или подсети, каждая из которых работает как собственная небольшая сеть. Этот подход помогает повысить безопасность и производительность в более крупной сетевой структуре. Крупные предприятия требуют сетевой изоляции для защиты своих ресурсов от несанкционированного доступа, изменения или утечки данных и моделей. Они также должны соответствовать нормативным требованиям и стандартам, которые применяются к их отрасли и области.
Рассмотрите возможность изоляции сети в трех областях в Microsoft Foundry
Рассмотрите возможность изоляции сети в следующих трех областях в Microsoft Foundry:
- Inbound access к ресурсу Microsoft Foundry. Например, для специалистов по обработке и анализу данных для безопасного доступа к ресурсу.
- Outbound access из ресурса Microsoft Foundry. Например, для доступа к другим службам Azure.
- Outbound access от клиентского приложения Microsoft Foundry Agent для доступа к необходимым зависимостям, таким как частные источники данных, службы PaaS Azure или утвержденные интернет-узлы, сохраняя при этом весь трафик в пределах определяемых заказчиком границ сети через внедрение виртуальной сети.
На следующей схеме разбивается входящий и исходящий трафик.
Входящий доступ
Задайте входящий доступ к защищенному проекту Microsoft Foundry с помощью флага доступа к общедоступной сети (PNA). Параметр флага PNA определяет, требуется ли для вашего проекта частная конечная точка для доступа. Дополнительный параметр между общедоступным и частным доступом - доступ с выбранных IP-адресов. Этот параметр позволяет получить доступ к проекту из указанных IP-адресов.
Исходящий доступ
Изоляция сети Microsoft Foundry охватывает как платформу как услуга (PaaS), так и компоненты инфраструктуры, управляемые платформой. Ресурсы PaaS, такие как проект Microsoft Foundry, хранилище, Key Vault, реестр контейнеров и мониторинг, изолированы с помощью Приватный канал. Вместо того чтобы клиенты управляли вычислительными ресурсами IaaS для обучения или сетевых конечных точек, Foundry использует внедрение виртуальной сети (VNet) клиента агента. Клиент агента внедряется в подсеть виртуальной сети, управляемой клиентом, что позволяет выполнять исходящие соединения к ресурсам Azure PaaS через частные конечные точки и Приватный канал, при этом весь трафик остается в пределах сети, определенных клиентом.
В модели частной сети службы агента клиенты не управляют отдельными вычислительными ресурсами в Foundry. Вместо этого клиент Agent работает в делегированной подсети агента, а платформа предоставляет инъекцию контейнеров для интеграции с виртуальной сетью клиента.
Необходимые условия
Прежде чем приступить к работе, убедитесь, что у вас есть следующие предварительные требования.
- Существующая виртуальная сеть Azure.
- Разрешения Azure для создания и утверждения подключений к частной конечной точке:
- В виртуальной сети: Сетевой участник (или эквивалентный) для создания частной конечной точки.
- На ресурсе проекта Foundry: контрибьютор (или собственник) для создания подключений к приватной конечной точке. Если у вас нет разрешений на утверждение, подключение частной конечной точки остается в состоянии ожидания , пока владелец ресурса не утвердит его.
- Если вы управляете частными зонами DNS: Участник частной DNS зоны (или эквивалент) для частной DNS зоны, которую вы связываете с виртуальной сетью.
Важно
Стандартные настройки требуют использовать ресурсы BYO, чтобы все данные агента оставались в вашем арендаторе Azure.
Ресурсы BYO включают: служба хранилища Azure, Поиск с использованием ИИ Azure и Azure Cosmos DB.
Все данные, обработанные службой агента Foundry, автоматически хранятся в этих ресурсах, позволяя соответствовать требованиям и корпоративным стандартам безопасности.
Настройка пошагового руководства по входящей сетевой изоляции
В этом разделе описано, как создать ресурс Foundry с включенной сетевой изоляцией входящего трафика. Для доступа к общедоступной сети можно задать значение "Отключено " с включенной частной конечной точкой (приватным каналом) или задать для выбранных сетей , чтобы предоставить определенные IP-адреса и виртуальные сети возможность безопасного доступа к Foundry.
Создание ресурса и проекта с частной конечной точкой
При создании нового ресурса Foundry выполните следующие действия.
На портале Azure найдите Foundry и выберите Создать ресурс.
После настройки вкладки "Основные сведения" выберите вкладку "Сеть" и выберите параметр "Отключено " для общедоступного доступа.
В разделе "Частная конечная точка " выберите +Добавить частную конечную точку.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме виртуальная сеть выберите virtual network и подсеть, к которой требуется подключиться.
Примечание
В пользовательском интерфейсе портала целевой объект, в котором создается частная конечная точка, должен быть помечен как "учетная запись". При появлении запроса выберите ресурс Foundry.
Перейдите к формам, чтобы создать проект. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Добавление частной конечной точки в существующий ресурс
Если у вас есть существующий ресурс и проект Foundry и требуется добавить сетевую изоляцию:
На портале Azure выберите ресурс Foundry.
В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ". Выберите +Частная конечная точка.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме виртуальная сеть выберите virtual network и подсеть, к которой требуется подключиться.
После заполнения форм любой другой необходимой конфигурацией сети используйте вкладку Проверка и создание, чтобы просмотреть параметры и выбрать Создать, чтобы создать частную конечную точку.
Совет
После создания приватной конечной точки перейдите к разделу конфигурации DNS, чтобы обеспечить надлежащее разрешение имен.
Конфигурация DNS
Клиенты виртуальной сети, использующие частную конечную точку, используют ту же строка подключения для ресурса и проектов Foundry, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение DNS автоматически направляет подключения из виртуальной сети к ресурсу Foundry и проектам по приватной ссылке.
Применение изменений DNS для частных конечных точек
При создании частной конечной точки Azure обновляет запись ресурса DNS CNAME для ресурса Foundry на псевдоним в поддомене с префиксом privatelink. По умолчанию Azure также создает частную зону DNS, соответствующую поддомену privatelink с записями ресурсов DNS A для частных конечных точек. Дополнительные сведения см. в статье что такое Azure Частная зона DNS.
При разрешении URL-адреса конечной точки за пределами виртуальной сети с использованием частной конечной точки он преобразуется в общедоступную конечную точку ресурса Foundry. При разрешении из виртуальной сети, на которой размещена частная конечная точка, он указывает на частный IP-адрес этой частной конечной точки.
Этот подход позволяет получить доступ к ресурсу Foundry с помощью той же строка подключения для клиентов в виртуальной сети, где размещаются частные конечные точки и клиенты за пределами виртуальной сети.
Если вы используете пользовательский DNS-сервер в сети, клиенты должны иметь возможность разрешать полное доменное имя (FQDN) для конечной точки ресурса Foundry до IP-адреса частной конечной точки. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети.
Совет
При использовании настраиваемого или локального DNS-сервера настройте DNS-сервер для разрешения имени ресурса Foundry в поддомене privatelink на IP-адрес частной конечной точки.
privatelink Делегировать поддомен частной зоне DNS виртуальной сети. Кроме того, настройте зону DNS DNS-сервера и добавьте записи DNS A.
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:
Проверка конфигурации
Выполните следующие действия, чтобы убедиться, что частная конечная точка проверена и что DNS разрешает частный IP-адрес изнутри вашей виртуальной сети.
На портале Azure перейдите к ресурсу проекта. В разделе "Подключения> сети" убедитесь, что состояние подключения утверждено.
На виртуальной машине, подключенной к виртуальной сети (или из локального компьютера, подключенного через VPN/ExpressRoute), устраните конечную точку Foundry и убедитесь, что она разрешает частный IP-адрес частной конечной точки.
nslookup <your-foundry-endpoint-hostname>Проверьте подключение к IP-адресу частной конечной точки через порт 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Ссылки: Test-NetConnection
Управление частными конечными точками
После создания проекта Foundry, изолированного от сети, может потребоваться изменить конфигурацию сети. В этом разделе рассматриваются распространенные задачи управления.
Удаление частной конечной точки
Вы можете удалить одну или все частные конечные точки для проекта. При удалении частной конечной точки проект удаляется из Azure Virtual Network, с которым связана конечная точка. Удаление частной конечной точки может препятствовать доступу проекта к ресурсам в этой виртуальной сети или доступа ресурсов виртуальной сети к рабочей области. Например, если виртуальная сеть не разрешает доступ к общедоступному Интернету или из нее.
Предупреждение
Удаление частных конечных точек для проекта не делает его общедоступным. Чтобы сделать проект общедоступным, выполните действия, описанные в разделе "Включение общедоступного доступа ".
Чтобы удалить частную конечную точку, выполните следующие действия.
- На портале Azure выберите проект.
- В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ".
- Выберите конечную точку для удаления и нажмите кнопку "Удалить".
Включение общедоступного доступа
В некоторых ситуациях может потребоваться разрешить кому-то подключаться к защищенному проекту через общедоступную конечную точку, а не через виртуальную сеть. Или вы можете удалить проект из виртуальной сети и повторно включить общедоступный доступ.
Важно
Включение общедоступного доступа не удаляет какие-либо частные конечные точки, которые существуют. Все связи между компонентами виртуальной сети, к которым подключаются частные конечные точки, по-прежнему защищены. Он обеспечивает общедоступный доступ только к проекту, а также частный доступ через любые частные конечные точки.
На портале Azure выберите проект.
В левой части страницы выберите "Управление ресурсами", "Сеть", а затем перейдите на вкладку "Брандмауэры" и "Виртуальные сети ".
Выберите "Все сети" и нажмите кнопку "Сохранить".
Предоставление доступа к доверенным службам Azure
Если проект Foundry ограничивает доступ к сети, предоставьте подмножество доверенных служб Azure доступ к Foundry при сохранении правил сети для других приложений. Эти доверенные службы затем используют управляемое удостоверение для проверки подлинности. В следующей таблице перечислены службы, которые могут получить доступ к Foundry, если управляемое удостоверение этих служб имеет соответствующее назначение ролей:
| Служба | Имя поставщика ресурсов |
|---|---|
| Инструменты для литья | Microsoft.CognitiveServices |
| Поиск с использованием ИИ Azure | Microsoft.Search |
| Машинное обучение Azure | Microsoft.MachineLearningServices |
Предоставьте сетевой доступ доверенным службам Azure, создав исключение сетевого правила с помощью REST API или портала Azure.
Выбор метода безопасного подключения к Foundry
Чтобы получить доступ к ресурсу Foundry с отключенным доступом к общедоступной сети и находится за виртуальной сетью с частной конечной точкой, используйте один из следующих методов:
Azure Virtual Network Gateway — подключение локальных сетей к виртуальной сети по частному подключению через общедоступный Интернет. Выберите один из двух типов VPN-шлюза:
- Точка — сеть. Каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети.
- Межсетевой VPN: устройство VPN соединяет виртуальную сеть с вашей локальной сетью.
ExpressRoute — подключение локальных сетей к Azure через частный подключение через поставщика подключений.
виртуальная машина Бастион Azure — создайте виртуальную машину Azure (прыжковую машину) в виртуальной сети, а затем подключитесь к ней через Бастион Azure с помощью RDP или SSH из браузера. Используйте виртуальную машину в качестве среды разработки. Так как он находится в виртуальной сети, он может напрямую получить доступ к ресурсу.
Настройка пошагового процесса для изоляции исходящих сетевых соединений
В этом разделе описано, как создать ресурс Foundry с включенной исходящей сетевой изоляцией. Вы можете выбрать оптимальный подход к безопасному исходящему доступу для клиента агента и оценки: внедрение виртуальной сети через собственную виртуальную сеть (виртуальную сеть BYO) или управляемую виртуальную сеть (предварительная версия). Дополнительные сведения об управляемых сетях см. в документации по управляемой сети. В этом разделе описывается сетевая изоляция с помощью пользовательской виртуальной сети (BYO).
Подробные сведения о внедрении сети для службы агента и оценки
Если вы создаете агентов, агентов с подсказками или размещенных агентов (предварительной версии), или выполняете оценки и хотите сквозную сетевую изоляцию, см. статью Как использовать виртуальную сеть с службой Azure AI Agent. В этой статье содержатся сведения о необходимых зонах DNS, эталонной архитектуре и известных ограничениях. Одно и то же использование инъекции сетевого трафика для исходящего трафика применяется к обоим типам агентов, которых вы создаёте: быстрым агентам и хостинг-агентам.
Создание нового ресурса и проекта с внедрением виртуальной сети
Вы можете создать ресурс Foundry с внедрением виртуальной сети с помощью пользовательской виртуальной сети (BYO VNet) на портале Azure. Кроме того, можно создать ресурс Foundry с внедрением виртуальной сети из шаблона Bicep или Terraform.
При создании нового ресурса Foundry выполните следующие действия.
- На портале Azure найдите Foundry и выберите Создать ресурс.
- После настройки вкладки "Основные сведения" выберите вкладку "Хранилище " и выберите "Выбрать ресурсы " в службе агента.
- Выберите или создайте новую учетную запись хранения, ресурс поиска ИИ и Azure Cosmos DB. Если вы настраиваете Foundry с инъекцией виртуальной сети, вам также необходимо предоставить собственные ресурсы для хранилища, поиск на основе ИИ и ресурсы Azure Cosmos DB, создав стандартный агент со сквозной изоляцией виртуальной сети.
- После настройки вкладки хранилища выберите вкладку "Сеть " и выберите параметр "Отключено " для общедоступного доступа. Добавьте частную конечную точку с помощью инструкций из раздела изоляции входящего трафика.
- После настройки входной частной конечной точки появится новый выпадающий список для настройки внедрения виртуальной сети. Выберите свою виртуальную сеть в первом раскрывающемся списке, а затем выберите субнет, делегированную Microsoft. App/environments с размером подсети /27 или больше. Этот размер делегирования и подсети требуются для внедрения.
- Продолжайте заполнять формы, чтобы создать проект. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Примечание
Возможность создания ресурса Foundry с внедрением виртуальной сети на портале Azure отображается только в том случае, если вы выбрали собственные ресурсы для хранилища, поиска и CosmosDB, если вы выбрали доступ к общедоступной сети как отключенный. Мы не поддерживаем внедрение виртуальной сети с управляемыми ресурсами, также известными как базовая конфигурация агента, или если у вас включен доступ к общедоступной сети.
Частные конечные точки для Поиск с использованием ИИ Azure, служба хранилища Azure и Azure CosmosDB не создаются автоматически при развертывании ресурса Foundry. Обязательно создайте частные конечные точки для этих ресурсов отдельно на страницах ресурсов на портале Azure.
Агентские инструменты с сетевой изоляцией
Поддержка инструментов и поток трафика
Некоторые инструменты агента поддерживаются, когда Foundry находится в изоляции сети, а другие — нет. В следующей таблице показано состояние поддержки инструментов агента в изолированных от сети средах и как осуществляется поток трафика. Поддержка инструментов за VNET распространяется только на новых агентов API ответов, созданных через SDK/CLI или на новом портале Foundry, а не на агентов, созданных в классической среде портала Foundry.
Примеры кода для запуска этих средств агента в условиях защищенной сетевой настройки можно найти в примере шаблона 19-hybrid-private-resources-agent-setup.
| Инструмент | Состояние поддержки | Поток трафика |
|---|---|---|
| Инструмент MCP (частный MCP) | ✅ Поддерживается | Через подсеть виртуальной сети |
| Поиск с использованием ИИ Azure | ✅ Поддерживается | Через частную конечную точку |
| Интерпретатор кода | ✅ Поддерживается | магистральная сеть Microsoft |
| Вызов функции | ✅ Поддерживается | магистральная сеть Microsoft |
| Заземление Bing | ✅ Поддерживается | Общедоступная конечная точка |
| Веб-поиск | ✅ Поддерживается | Общедоступная конечная точка |
| Основы SharePoint | ✅ Поддерживается | Общедоступная конечная точка |
| Foundry IQ (предварительная версия) | ✅ Поддерживается | Через MCP |
| Средство OpenAPI | ✅ Поддерживается | Через вашу подсеть виртуальной сети |
| Функции Azure | ✅ Поддерживается | Через вашу подсеть VNet |
| Агент — агент (A2A) | ✅ Поддерживается | Через подсеть виртуальной сети |
| Агент данных Fabric | ❌ Не поддерживается | Fabric ресурс должен иметь доступ к общедоступной сети (приватный канал уровня рабочей области Fabric не поддерживается) |
| Logic Apps | ❌ Не поддерживается | В процессе разработки |
| Поиск файлов | ❌ Не поддерживается | В процессе разработки |
| Автоматизация браузера | ❌ Не поддерживается | В процессе разработки |
| Использование компьютера | ❌ Не поддерживается | В процессе разработки |
| Создание образа | ❌ Не поддерживается | В процессе разработки |
Примечание
средства Public endpoint tools (Bing Grounding, Websearch, SharePoint Grounding) работают в изолированных от сети средах, но обмениваются данными через общедоступный Интернет. Эти средства не требуют частных конечных точек или конфигурации виртуальной сети. Если вашей организации требуется, чтобы весь трафик оставался в частной сети, эти средства могут не соответствовать вашим требованиям соответствия.
Требования к конфигурации по шаблону трафика
Инструменты, использующие подсеть вашей виртуальной сети (средство MCP, Поиск с использованием ИИ Azure, OpenAPI, A2A, Функции Azure)
Для получения более детальной информации о поддержке и настройке частных MCP см. раздел 19-hybrid-private-resources-agent-setup. Используйте этот шаблон, чтобы понять, как настроить инструменты агента с помощью изолированного сетевого ресурса Foundry.
Инструменты на основе магистральной сети Microsoft (интерпретатор кода, вызов функции):
Для использования этих средств не требуется никаких частных конечных точек, и для использования этих средств не требуется дополнительная конфигурация сети. Ваш трафик остается в магистральной сетевой инфраструктуре Microsoft, обеспечивая безопасность.
Инструменты, использующие общедоступные конечные точки (Bing, Websearch, SharePoint):
Для использования этих средств не требуется никаких частных конечных точек, и для использования этих средств не требуется дополнительная конфигурация сети. Однако эти средства взаимодействуют по общедоступным конечным точкам. Если вы не хотите, чтобы пользователи в вашей организации использовали эти средства из-за характера общедоступной конечной точки, их можно заблокировать с помощью политик Azure.
Конфигурация сети концентратора и узла и брандмауэра
Чтобы защитить исходящий трафик (исходящий) через внедрение сети, настройте Брандмауэр Azure или другое решение брандмауэра. Эта конфигурация помогает проверять исходящий трафик и управлять им перед выходом из виртуальной сети.
Кроме того, можно использовать сетевую архитектуру концентратора и периферийной сети, в которой виртуальная сеть создается для общего брандмауэра (концентратора) и отдельной виртуальной сети для сетей Foundry (периферийный). Эти виртуальные сети затем объединяются.
Примечание
На предыдущей схеме показана архитектура концентратора и периферийных серверов с централизованным брандмауэром. Если вы используете автономный проект Foundry без топологии на основе концентратора, макет сети будет отличаться. Адаптируйте конфигурацию брандмауэра и пиринга, чтобы соответствовать определенной структуре виртуальной сети.
Ограничения и рекомендации
Ознакомьтесь с этими ограничениями перед реализацией сетевой изоляции для Foundry. В этом разделе объединяются все известные ограничения между частными конечными точками, интерфейсами портала, службой агента и инструментами.
Ограничения функций Foundry
Следующие функции в Foundry пока не поддерживают сетевую изоляцию.
| Функция | Состояние сетевой изоляции | Заметки |
|---|---|---|
| Создание искусственных данных для оценки | Не поддерживается | Принесите собственные данные для выполнения вычислений. |
| Следы | Не поддерживается | Трассы пока не имеют поддержки виртуальной сети с частной службой Application Insights. |
| Агенты рабочего процесса | Частично поддерживается | Входящий доступ поддерживается в пользовательском интерфейсе, пакете SDK и CLI. Исходящий трафик с внедрением виртуальной сети в настоящее время не поддерживается для агентов рабочих процессов. |
| Шлюз ИИ (APIM) | Частично поддерживается с помощью пользовательского интерфейса Foundry | Вы можете создать шлюз искусственного интеллекта с частным ресурсом Foundry на новом портале Foundry, но этот шлюз автоматически является общедоступным. Чтобы завершить любые действия на уровне данных с частным Foundry, ваш шлюз искусственного интеллекта также должен иметь сетевую изоляцию, настроенную через портал Azure. Дополнительные сведения см. в разделе "Сеть для шлюза искусственного интеллекта". |
| Некоторые инструменты агента | Частично поддерживается | Подробную информацию о статусе поддержки инструментов по отдельности см. в разделе Средства агента с сетевой изоляцией. |
Дополнительные ограничения сетевой изоляции службы агента см. в статье Как использовать виртуальную сеть с службой агент AI Azure.
Дополнительные ограничения
- Частный поиск ИИ с помощью средства частного агента Foundry: Если вы используете отключённый от сетевого доступа поиск ИИ в качестве средства агента с изолированным ресурсом Foundry, убедитесь, что вы используете новый портал Foundry для создания новых агентов. Этот сценарий не поддерживается с более старой версией службы агента на классическом портале Foundry.
- Публикация агентов в Teams/M365: Вы можете опубликовать агент в Teams и M365, если у ресурса Foundry отключен доступ к общедоступной сети. Для этого интерфейса существуют дополнительные требования к настройке. Дополнительные сведения см. в этой записи блога о создании агентов пользовательских механизмов, когда ресурс Foundry является частным.
- Hosted Agents with private Реестр контейнеров Azure. Если вы хотите развернуть размещенные агенты на Foundry, убедитесь, что Реестр контейнеров Azure имеет общедоступный сетевой доступ. Доступ к публичной сети отключен при использовании частной конечной точки Реестр контейнеров Azure еще не поддерживается в приватной инфраструктуре Foundry. Размещённых агентов можно развернуть на закрытой платформе Foundry, настроенной с использованием существующих сетевых шаблонов. Вам не нужно повторно развертывать частную виртуальную сеть, внедренную Foundry.
- Изменение или обновление исходящей сети. В настоящее время нельзя обновить параметры исходящей сети. Если у вас есть подсеть, делегированная для ресурса Foundry, вы не можете изменить делегированную подсеть на новую. Вы не можете взять свое существующее развертывание Foundry и добавить инъекцию исходящей виртуальной сети. Чтобы добавить исходящие сети, необходимо повторно развернуть Foundry.
Список разрешений брандмауэра
При развертывании Foundry с внедрением виртуальной сети можно создать брандмауэр для управления исходящим трафиком. Ниже приведен список доверенных полных доменных имен (FQDN) для разрешенного списка в брандмауэре в зависимости от сценария или компонента в Foundry.
| Сценарий | Полные доменные имена | Описание |
|---|---|---|
| Агенты |
*.identity.azure.net, login.microsoftonline.com, *.login.microsoftonline.com, *.login.microsoft.com или тег службы AAD |
Требуется для делегирования услуг Azure Container App для службы "Agent". |
| Оценки и трассировки |
*.blob.core.windows.net, settings.sdk.monitor.azure.com |
Используется для каталога оценщиков и отправки результатов в связанный ресурс Application Insights. |
| Тонкая настройка | raw.githubusercontent.com |
Используется для тонкой настройки, когда пользователь выбирает проверенный образец набора данных на портале Foundry. |
Ограничения частной конечной точки
- Регион и подписка. Необходимо развернуть частную конечную точку в том же регионе и подписке, что и виртуальная сеть.
- Состояние подключения: только частные конечные точки в утвержденном состоянии могут отправлять трафик в ресурс приватного канала.
- Диапазон IP-адресов: не используйте диапазон IP-адресов 172.17.0.0/16 для виртуальной сети. Этот диапазон зарезервирован сетью моста Docker.
- Утверждения: Если у вас нет разрешений участника или владельца ресурса Foundry, подключения приватной конечной точки остаются в ожидающем состоянии до утверждения.
Устранение неполадок
Если после настройки частной конечной точки возникают проблемы с подключением, выполните следующие действия.
Проблемы с частной конечной точкой
- Частная конечная точка застряла в состоянии "Ожидание": убедитесь, что у вас есть разрешения Участника или Владельца в ресурсе проекта Foundry. Если вы этого еще не сделали, попросите владельца ресурса утвердить подключение на вкладке Сеть>Подключения к частным конечным точкам.
- Не удается создать частную конечную точку: убедитесь, что у вас есть роль "Network Contributor" в виртуальной сети и подсети, в которой создается эта конечная точка. Убедитесь, что подсеть не заполнена (доступны IP-адреса).
Проблемы с разрешением DNS
-
Разрешение DNS возвращает общедоступный IP-адрес: убедитесь, что частная зона DNS существует для
privatelinkподдомена и связана с виртуальной сетью. Запуститеnslookup <your-foundry-endpoint-hostname>из виртуальной сети, чтобы убедиться, что он сопоставляется с частным IP-адресом. -
Пользовательский DNS-сервер не выполняет разрешение: Если вы используете пользовательский DNS-сервер, убедитесь, что он перенаправляет запросы для поддомена
privatelinkв Azure DNS (168.63.129.16). Дополнительные сведения см. в конфигурации DNS . - Периодические сбои DNS: Убедитесь, что DNS-сервер (настраиваемый или предоставляемый Azure) доступен из всех подсетей. Проверьте параметры DNS-сервера в виртуальной сети и отдельных сетевых адаптерах.
Проблемы с подключением
- Время ожидания соединения на порту 443 истекло: Убедитесь, что правила группы безопасности сети (NSG) разрешают исходящий трафик на IP-адрес частной конечной точки на порту 443. Кроме того, убедитесь, что брандмауэр не блокирует подключение.
- Не удается получить доступ к Foundry из локальной среды: убедитесь, что подключение VPN или ExpressRoute или виртуальной машины активно, а таблицы маршрутизации включают адресное пространство виртуальной сети. Проверьте подключение к частному IP-адресу из локальной среды.
- 403 Запрещенные ошибки: это часто указывает на проблемы проверки подлинности, а не сети. Убедитесь, что ваши учетные данные имеют соответствующие роли RBAC в проекте Foundry.
Устранение неполадок, специфичных для агента.
- Не удается запустить агент в изолированном от сети проекте: убедитесь, что вы используете развертывание агента уровня "Стандартный" (а не "Базовый"). Убедитесь, что внедрение сети настроено правильно и подсеть имеет достаточно доступных IP-адресов.
- Agent не может получить доступ к средствам MCP. Убедитесь, что для всех Azure служб доступа к средствам MCP существуют частные конечные точки. Убедитесь, что управляемое удостоверение имеет соответствующие роли RBAC. Проверьте, разрешают ли правила брандмауэра трафик от агента к службе.
- Тестовые запуски завершились сбоем из-за сетевых ошибок: убедитесь, что настроены все необходимые зоны DNS. Убедитесь, что вычислительные ресурсы оценки могут достигать конечных точек Foundry и конечных точек модели с помощью частных ссылок.
- Тайм-ауты агента на внешние вызовы API: Если агенты должны вызывать внешние API (не связанные с Azure), убедитесь, что брандмауэр разрешает исходящие HTTPS к этим назначениям, или разверните шлюз NAT для контролируемого выхода.