Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте частную конечную точку для защиты обмена данными. В этой статье описывается, как установить частное подключение к учетной записи Foundry и проектам с помощью частной конечной точки.
Планирование сетевой изоляции в Foundry
Что такое сетевая изоляция?
Сетевая изоляция — это стратегия безопасности, которая включает разделение сети на отдельные сегменты или подсети, каждая из которых работает как собственная небольшая сеть. Этот подход помогает повысить безопасность и производительность в более крупной сетевой структуре. Крупные предприятия требуют сетевой изоляции для защиты своих ресурсов от несанкционированного доступа, изменения или утечки данных и моделей. Они также должны соответствовать нормативным требованиям и стандартам, которые применяются к их отрасли и области.
Рассмотрите возможность изоляции сети в трех областях в Microsoft Foundry
Рассмотрите возможность изоляции сети в следующих трех областях в Microsoft Foundry:
- Входящий доступ к ресурсу Microsoft Foundry. Например, для специалистов по обработке и анализу данных для безопасного доступа к ресурсу.
- Исходящий доступ из ресурса Microsoft Foundry. Например, для доступа к другим службам Azure.
- Исходящий доступ от клиента Microsoft Foundry Agent для доступа к необходимым зависимостям, таким как частные источники данных, службы Azure PaaS или утвержденные конечные точки Интернета, сохраняя весь трафик в пределах определяемых клиентом границ сети с помощью внедрения виртуальной сети.
На следующей схеме разбивается входящий и исходящий трафик.
Входящий доступ
Задайте входящий доступ к защищенному проекту Microsoft Foundry с помощью флага доступа к общедоступной сети (PNA). Параметр флага PNA определяет, требуется ли для вашего проекта частная конечная точка для доступа. Дополнительная настройка между общедоступными и частными - это включение для выбранных IP-адресов. Этот параметр позволяет получить доступ к проекту из указанных IP-адресов.
Исходящий доступ
Сетевая изоляция в Microsoft Foundry охватывает как Платформу как услугу (PaaS), так и управляемые платформой инфраструктурные компоненты. Ресурсы PaaS, такие как проект Microsoft Foundry, хранилище, Key Vault, реестр контейнеров и мониторинг, изолированы с помощью приватного канала. Вместо того чтобы клиенты управляли вычислительными ресурсами IaaS для обучения или сетевых конечных узлов, Foundry использует внедрение виртуальной сети (VNet) клиента агентского приложения. Клиент агента внедряется в подсеть подсети виртуальной сети, управляемой клиентом, позволяя исходящее взаимодействие с ресурсами Azure PaaS по частным конечным точкам и приватным каналом, сохраняя весь трафик в пределах определяемых клиентом сетевых границ.
В модели частной сети службы агента клиенты не управляют отдельными вычислительными ресурсами в Foundry. Вместо этого клиент агента работает в делегированной подсети агента, а платформа предоставляет внедрение контейнеров для интеграции с виртуальной сетью клиента.
Предпосылки
Прежде чем приступить к работе, убедитесь, что у вас есть следующие предварительные требования.
- Существующая виртуальная сеть Azure.
- Разрешения Azure для создания и утверждения подключений к частной конечной точке:
- В виртуальной сети: участник сети (или эквивалентный), чтобы создать частную конечную точку.
- На ресурсе проекта Foundry: участник (или владелец) для создания подключений к частной конечной точке. Если у вас нет разрешений на утверждение, подключение частной конечной точки остается в состоянии ожидания , пока владелец ресурса не утвердит его.
- Если вы управляете зонами частные DNS: вкладчик зоны частной DNS (или эквивалент) для зоны частной DNS, которую вы связываете с виртуальной сетью.
Настройка пошагового руководства по входящей сетевой изоляции
В этом разделе описано, как создать ресурс Foundry с включенной сетевой изоляцией входящего трафика. Для доступа к общедоступной сети можно задать значение "Отключено " с включенной частной конечной точкой (приватным каналом) или задать для выбранных сетей , чтобы предоставить определенные IP-адреса и виртуальные сети возможность безопасного доступа к Foundry.
Создание ресурса и проекта с частной конечной точкой
При создании нового ресурса Foundry выполните следующие действия.
На портале Azure найдите Foundry и выберите Создать ресурс.
После настройки вкладки "Основные сведения" выберите вкладку "Сеть" и выберите параметр "Отключено " для общедоступного доступа.
В разделе "Частная конечная точка " выберите +Добавить частную конечную точку.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме Virtual Network выберите virtual network и подсеть, к которой требуется подключиться.
Замечание
В пользовательском интерфейсе портала целевой объект, в котором создается частная конечная точка, должен быть помечен как "учетная запись". При появлении запроса выберите ресурс Foundry.
Перейдите к формам, чтобы создать проект. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Добавление частной конечной точки в существующий ресурс
Если у вас есть существующий ресурс и проект Foundry и требуется добавить сетевую изоляцию:
На портале Azure выберите ресурс Foundry.
В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ". Выберите +Частная конечная точка.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме Virtual Network выберите virtual network и подсеть, к которой требуется подключиться.
После заполнения форм необходимыми конфигурациями сети используйте вкладку "Проверка и создание", чтобы просмотреть параметры и выбрать "Создать", чтобы создать частную конечную точку.
Подсказка
После создания частной конечной точки перейдите к разделу конфигурации DNS, чтобы обеспечить правильное разрешение имен.
Конфигурация DNS
Клиенты виртуальной сети, использующие частную конечную точку, используют ту же connection string для ресурса и проектов Foundry, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение DNS автоматически направляет подключения из виртуальной сети к ресурсу Foundry и проектам по приватной ссылке.
Применение изменений DNS для частных конечных точек
При создании частной конечной точки Azure обновляет запись ресурса DNS CNAME для ресурса Foundry на псевдоним в поддомене с префиксом privatelink. По умолчанию Azure также создает частную зону DNS, соответствующую поддомену privatelink с записями ресурсов DNS A для частных конечных точек. Для получения дополнительных сведений см. статью что такое Azure Private DNS.
При разрешении URL-адреса конечной точки за пределами виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку ресурса Foundry. При разрешении из виртуальной сети, на котором размещена частная конечная точка, он разрешает частный IP-адрес частной конечной точки.
Этот подход позволяет получить доступ к ресурсу Foundry с помощью той же connection string для клиентов в виртуальной сети, где размещаются частные конечные точки и клиенты за пределами виртуальной сети.
Если вы используете пользовательский DNS-сервер в своей сети, клиенты должны иметь возможность определять полное доменное имя (FQDN) конечной точки ресурса Foundry в IP-адрес частной конечной точки. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети.
Подсказка
При использовании настраиваемого или локального DNS-сервера настройте DNS-сервер для разрешения имени ресурса Foundry в поддомене privatelink на IP-адрес частной конечной точки. Перенаправьте поддомен privatelink в частную зону DNS виртуальной сети. Кроме того, настройте зону DNS DNS-сервера и добавьте записи DNS A.
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:
- Разрешение имен с помощью собственного DNS-сервера
- DNS configuration (Настройка DNS)
Проверка конфигурации
Выполните следующие действия, чтобы убедиться, что частная конечная точка утверждена и что DNS разрешает частный IP-адрес изнутри вашей виртуальной сети.
На портале Azure перейдите к ресурсу проекта. В разделе "Подключения> сети" убедитесь, что состояние подключения утверждено.
На виртуальной машине, подключенной к виртуальной сети (или из локального компьютера, подключенного через VPN/ExpressRoute), разрешите конечную точку Foundry и убедитесь, что она разрешается в частный IP-адрес частной конечной точки.
nslookup <your-foundry-endpoint-hostname>Проверьте подключение к IP-адресу частной конечной точки через порт 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Ссылки: Test-NetConnection
Управление частными конечными точками
После создания проекта Foundry, изолированного от сети, может потребоваться изменить конфигурацию сети. В этом разделе рассматриваются распространенные задачи управления.
Удаление частной конечной точки
Вы можете удалить одну или все частные конечные точки для проекта. При удалении частной конечной точки проект удаляется из Azure Virtual Network, с которым связана конечная точка. Удаление частной конечной точки может препятствовать доступу к ресурсам проекта в этой виртуальной сети или помешать ресурсам в виртуальной сети получить доступ к рабочей области. Например, если виртуальная сеть не разрешает доступ к общедоступному Интернету или из нее.
Предупреждение
Удаление частных конечных точек для проекта не делает его общедоступным. Чтобы сделать проект общедоступным, выполните действия, описанные в разделе "Включение общедоступного доступа ".
Чтобы удалить частную конечную точку, выполните следующие действия.
- На портале Azure выберите проект.
- В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ".
- Выберите конечную точку для удаления, а затем нажмите кнопку Удалить.
Включение открытого доступа
В некоторых ситуациях может потребоваться разрешить кому-то подключаться к защищенному проекту через общедоступную конечную точку, а не через виртуальную сеть. Или вы можете удалить проект из виртуальной сети и повторно включить общедоступный доступ.
Это важно
При включении общего доступа существующие частные конечные точки не удаляются. Все связи между компонентами виртуальной сети, к которым подключаются частные конечные точки, по-прежнему защищены. Он обеспечивает общедоступный доступ только к проекту, а также частный доступ через любые частные конечные точки.
На портале Azure выберите проект.
В левой части страницы выберите "Управление ресурсами", "Сеть", а затем перейдите на вкладку "Брандмауэры" и "Виртуальные сети ".
Выберите "Все сети" и нажмите кнопку "Сохранить".
Предоставление доступа к доверенным службам Azure
Если проект Foundry ограничивает доступ к сети, предоставьте подмножество доверенных служб Azure, доступ к Foundry при сохранении сетевых правил для других приложений. Эти доверенные службы затем используют управляемое удостоверение для проверки подлинности. В следующей таблице перечислены службы, которые могут получить доступ к Foundry, если управляемое удостоверение этих служб имеет соответствующее назначение ролей:
| Услуга | Имя поставщика ресурсов |
|---|---|
| Инструменты литейного производства | Microsoft.CognitiveServices |
| Azure AI Search | Microsoft.Search |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Предоставьте сетевой доступ доверенным службам Azure, создав исключение сетевого правила с помощью REST API или портала Azure.
Выбор метода безопасного подключения к Foundry
Чтобы получить доступ к ресурсу Foundry с отключенным доступом к общедоступной сети и находится за виртуальной сетью с частной конечной точкой, используйте один из следующих методов:
Шлюз виртуальной сети Azure . Подключение локальных сетей к виртуальной сети через частное подключение через общедоступный Интернет. Выберите один из двух типов VPN-шлюза:
- Точка-сайт: Каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети.
- От сайта к сайту: VPN-устройство подключает виртуальную сеть к вашей локальной сети.
ExpressRoute — подключение локальных сетей к Azure через частный подключение через поставщика подключений.
Виртуальная машина Бастиона Azure . Создайте виртуальную машину Azure (поле перехода) в виртуальной сети, а затем подключитесь к ней через Бастион Azure с помощью RDP или SSH из браузера. Используйте виртуальную машину в качестве среды разработки. Так как он находится в виртуальной сети, он может напрямую получить доступ к ресурсу.
Настройка пошагового руководства по исходящей сетевой изоляции
В этом разделе описано, как создать ресурс Foundry с включенной исходящей сетевой изоляцией. Вы можете выбрать оптимальный подход к безопасному исходящему доступу для клиента агента и оценки: внедрение виртуальной сети через собственную виртуальную сеть (виртуальную сеть BYO) или управляемую виртуальную сеть (предварительная версия). Дополнительные сведения об управляемых сетях см. в документации по управляемой сети. В этом разделе описывается сетевая изоляция с помощью пользовательской виртуальной сети (BYO).
Подробное изучение инъекции данных в сеть для службы агента и связанных оценок.
Если вы создаете агенты или выполняете оценки и хотите сквозную сетевую изоляцию, см. статью "Как использовать виртуальную сеть с службой агента ИИ Azure". В этой статье содержатся сведения о необходимых зонах DNS, эталонной архитектуре и известных ограничениях.
Создание нового ресурса и проекта с внедрением виртуальной сети
Вы можете создать ресурс Foundry с внедрением виртуальной сети с помощью пользовательской виртуальной сети (BYO VNet) на портале Azure. Кроме того, можно создать ресурс Foundry с внедрением виртуальной сети из шаблона Bicep или Terraform.
При создании нового ресурса Foundry выполните следующие действия.
- На портале Azure найдите Foundry и выберите Создать ресурс.
- После настройки вкладки "Основные сведения" выберите вкладку "Хранилище " и выберите "Выбрать ресурсы " в службе агента.
- Выберите или создайте новую учетную запись хранения, ресурс поиска ИИ и Azure Cosmos DB. Если вы настраиваете Foundry с внедрением виртуальной сети, необходимо также привлечь собственные ресурсы хранилища, поиска ИИ и Azure Cosmos DB, создав агент уровня "Стандартный" с сквозной изоляцией виртуальной сети.
- После настройки вкладки хранилища выберите вкладку "Сеть " и выберите параметр "Отключено " для общедоступного доступа. Добавьте частную конечную точку с помощью инструкций из раздела изоляции входящего трафика.
- После настройки входящей приватной конечной точки появится новый раскрывающийся список для настройки внедрения виртуальной сети. Выберите виртуальную сеть в первом раскрывающемся списке, а затем выберите подсеть , делегированную Microsoft.App/environments с размером подсети /27 или больше. Этот делегат и размер подсети требуются для внедрения.
- Продолжайте заполнять формы, чтобы создать проект. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Замечание
Возможность создания ресурса Foundry с внедрением виртуальной сети на портале Azure отображается только в том случае, если вы выбрали собственные ресурсы для хранилища, поиска и CosmosDB, если вы выбрали общедоступный сетевой доступ как отключенный. Мы не поддерживаем интеграцию виртуальной сети с управляемыми ресурсами, также называемую настройкой базового агента, или если у вас включен доступ к общедоступной сети.
Частные конечные точки в Службе поиска ИИ Azure, службы хранилища Azure и Azure CosmosDB не создаются автоматически при развертывании ресурса Foundry. Обязательно создайте частные конечные точки для этих ресурсов отдельно на страницах ресурсов на портале Azure.
Инструменты агента с сетевой изоляцией
Поддержка инструментов и поток трафика
Некоторые средства агента поддерживаются в условиях изолированной сети, а другие — нет. В следующей таблице показан статус поддержки инструментов агента в сетево-изолированных средах и как осуществляется передача трафика. В этой статье рассматриваются функции поддержки виртуальной сети для новых агентов API ответов, созданных с помощью пакета SDK/CLI или на новом портале Foundry, а не агенты, созданные на классическом портале Foundry.
| инструмент | Состояние поддержки | Поток трафика |
|---|---|---|
| Инструмент MCP (частный MCP) | ✅ Поддерживается | Через подсеть виртуальной сети |
| Azure AI Search | ✅ Поддерживается | Через частную конечную точку |
| Интерпретатор кода | ✅ Поддерживается | Магистральная сеть Майкрософт |
| Вызов функции | ✅ Поддерживается | Магистральная сеть Майкрософт |
| Bing Заземление | ✅ Поддерживается | Общедоступная конечная точка |
| Веб-поиск | ✅ Поддерживается | Общедоступная конечная точка |
| Основы SharePoint | ✅ Поддерживается | Общедоступная конечная точка |
| Foundry IQ (предварительная версия) | ✅ Поддерживается | Через MCP |
| Агент данных Fabric | ❌ Не поддерживается. | В процессе разработки |
| Логические приложения | ❌ Не поддерживается. | В процессе разработки |
| Поиск файлов | ❌ Не поддерживается. | В процессе разработки |
| Средство OpenAPI | ❌ Не поддерживается. | В процессе разработки |
| Функции Azure | ❌ Не поддерживается. | В процессе разработки |
| Автоматизация браузера | ❌ Не поддерживается. | В процессе разработки |
| Использование компьютера | ❌ Не поддерживается. | В процессе разработки |
| Генерация изображений | ❌ Не поддерживается. | В процессе разработки |
| Агент-агент (A2A) | ❌ Не поддерживается. | В процессе разработки |
Замечание
Средства общедоступной конечной точки (Bing Grounding, Websearch, SharePoint Grounding) работают в изолированных от сети средах, но взаимодействуют через общедоступный Интернет. Эти средства не требуют частных конечных точек или конфигурации виртуальной сети. Если вашей организации требуется, чтобы весь трафик оставался в частной сети, эти средства могут не соответствовать вашим требованиям соответствия.
Требования к конфигурации по шаблону трафика
Средства, использующие подсеть вашей виртуальной сети (средство MCP, поиск Azure AI):
Дополнительные сведения о поддержке и настройке частных MCP см. в разделе 19-hybrid-private-resources-agent-setup.
Средства, использующие магистральную сеть Майкрософт (интерпретатор кода, вызов функции):
Для использования этих средств не требуется никаких частных конечных точек, и для использования этих средств не требуется дополнительная конфигурация сети. Ваш трафик остается в магистральной сетевой инфраструктуре Майкрософт, обеспечивая безопасность.
Средства с общедоступными конечными точками (Bing, Websearch, SharePoint):
Для использования этих средств не требуется никаких частных конечных точек, и для использования этих средств не требуется дополнительная конфигурация сети. Однако эти средства взаимодействуют по общедоступным конечным точкам. Если вы не хотите, чтобы пользователи в вашей организации использовали эти средства из-за своей общедоступной конечной точки, их можно заблокировать с помощью политик Azure.
Конфигурация сети концентратора и узла и брандмауэра
Чтобы защитить исходящий трафик посредством сетевого внедрения, настройте брандмауэр Azure или другое решение брандмауэра. Эта конфигурация помогает проверять исходящий трафик и управлять им перед выходом из виртуальной сети.
Кроме того, можно использовать архитектуру зонтичной сети, где создается виртуальная сеть для общего брандмауэра (зонтичная сеть) и отдельная виртуальная сеть для сетей Foundry (периферийная сеть). Эти виртуальные сети затем объединяются друг с другом.
Ограничения и рекомендации
Ознакомьтесь с этими ограничениями перед реализацией сетевой изоляции для Foundry. В этом разделе объединяются все известные ограничения между частными конечными точками, интерфейсами портала, службой агента и инструментами.
Ограничения функций Foundry
Следующие функции в Foundry пока не поддерживают сетевую изоляцию.
| Функция | Состояние сетевой изоляции | Примечания |
|---|---|---|
| Размещенные агенты | Не поддерживаются | Размещенные агенты пока не имеют поддержки виртуальных сетей. |
| Публикация агента в Teams/M365 | Не поддерживаются | Требуется общедоступная конечная точка для интеграции Teams/M365. |
| Генерация искусственных данных для оценки | Не поддерживаются | Принесите собственные данные для выполнения вычислений. |
| Traces | Не поддерживаются | Следы пока не поддерживают виртуальную сеть с частным приложением Application Insights. |
| Агенты рабочего процесса | Частично поддерживается | Входящий доступ поддерживается в пользовательском интерфейсе, пакете SDK и CLI. В настоящее время не поддерживается исходящий трафик с инъекцией виртуальной сети для агентов рабочих процессов. |
| Шлюз ИИ (APIM) | Частично поддерживается | Вы можете создать шлюз искусственного интеллекта с частным ресурсом Foundry на новом портале Foundry, но этот шлюз автоматически является общедоступным. Чтобы выполнять любые операции в плоскости данных с частным Foundry, ваш шлюз ИИ должен также иметь настроенную сетевую изоляцию, осуществляемую через портал Azure. Дополнительные сведения см. в разделе "Сеть для шлюза искусственного интеллекта". |
| Некоторые инструменты агента | Частично поддерживается | См. раздел Инструменты агента с сетевой изоляцией для получения подробной информации о состоянии поддержки каждого инструмента. |
Дополнительные ограничения сетевой изоляции службы агента см. в статье "Использование виртуальной сети" со службой агента ИИ Azure.
Ограничения частной конечной точки
- Регион и подписка. Необходимо развернуть частную конечную точку в том же регионе и подписке, что и виртуальная сеть.
- Состояние подключения: только частные конечные точки в утвержденном состоянии могут отправлять трафик в ресурс приватного канала.
- Диапазон IP-адресов: не используйте диапазон IP-адресов 172.17.0.0/16 для виртуальной сети. Этот диапазон зарезервирован сетью моста Docker.
- Утверждения: Если у вас нет разрешений участника или владельца ресурса Foundry, подключения частной конечной точки остаются в ожидающем статусе до получения утверждения.
Устранение неполадок с приватной конечной точкой
Если после настройки частной конечной точки возникают проблемы с подключением, выполните следующие действия.
Проблемы с частной конечной точкой
- Частная конечная точка зависла в состоянии ожидания: убедитесь, что у вас есть разрешения участника или владельца в ресурсе проекта Foundry. Если вы этого не сделали, попросите владельца ресурса утвердить подключение на вкладке Сеть>Подключения к частным конечным точкам.
- Не удается создать частную конечную точку: убедитесь, что у вас есть роль участника сети в виртуальной сети и подсети, в которой создается конечная точка. Убедитесь, что подсеть не заполнена и доступны IP-адреса.
Проблемы с разрешением DNS
-
Разрешение DNS возвращает общедоступный IP-адрес: убедитесь, что частная зона DNS существует для
privatelinkподдомена и связана с виртуальной сетью. Запуститеnslookup <your-foundry-endpoint-hostname>из виртуальной сети, чтобы убедиться, что он разрешает частный IP-адрес. -
Настраиваемый DNS-сервер не разрешается: если вы используете пользовательский DNS-сервер, убедитесь, что он перенаправит запросы к поддомену
privatelinkAzure DNS (168.63.129.16). Дополнительные сведения см. в конфигурации DNS . - Периодические сбои DNS. Убедитесь, что DNS-сервер (настраиваемый или предоставленный Azure) доступен из всех подсетей. Проверьте параметры DNS-сервера в виртуальной сети и отдельных сетевых адаптерах.
Проблемы с подключением
- Время подключения на порт 443 истекает: убедитесь, что правила вашей группы безопасности сети (NSG) разрешают исходящий трафик на IP-адрес частной конечной точки через порт 443. Кроме того, убедитесь, что брандмауэр не блокирует подключение.
- Не удается получить доступ к Foundry из локальной среды: убедитесь, что подключение VPN или ExpressRoute или виртуальной машины активно, а таблицы маршрутизации включают адресное пространство виртуальной сети. Проверьте подключение к частному IP-адресу из локальной среды.
- 403 Запрещенные ошибки: это часто указывает на проблемы проверки подлинности, а не сети. Убедитесь, что учетные данные имеют соответствующие роли RBAC в проекте Foundry.
Устранение проблем конкретного агента
- Не удается запустить агент в изолированном от сети проекте: убедитесь, что вы используете развертывание агента уровня "Стандартный" (а не "Базовый"). Убедитесь, что сетевое внедрение настроено правильно и подсеть имеет достаточно доступных IP-адресов.
- Агент не может получить доступ к средствам MCP: убедитесь, что частные конечные точки существуют для всех служб Azure, к которым обращаются средства MCP. Убедитесь, что у управляемой идентичности (managed identity) есть соответствующие роли RBAC. Проверьте, что правила брандмауэра разрешают трафик от агента к службе.
- Ошибка выполнения проверки из-за сетевых проблем: убедитесь, что настроены все необходимые зоны DNS. Убедитесь, что вычислительные ресурсы оценки могут подключаться к конечным точкам Foundry и модели через частные ссылки.
- Таймауты агентов на внешние вызовы API: если агентам необходимо вызывать внешние (не Azure) API, убедитесь, что брандмауэр разрешает исходящий трафик HTTPS к указанным адресатам, или разверните шлюз NAT для контролируемого исходящего трафика.