Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Средства безопасности Foundry предоставляют многоуровневую модель. Эта модель позволяет защитить учетные записи Foundry Tools в определенном подмножестве сетей. Если настроены правила сети, доступ к учетной записи может получить только приложения, запрашивающие данные по указанному набору сетей. Вы можете ограничить доступ к ресурсам с помощью фильтрации запросов, что позволяет запрашивать запросы, поступающие только из указанных IP-адресов, диапазонов IP-адресов или из списка подсетей в виртуальная сеть Azure.
Приложение, которое обращается к ресурсу Foundry, когда сетевые правила в силе, требует авторизации. Авторизация поддерживается с учетными данными идентификатора Microsoft Entra или допустимым ключом API.
Внимание
Включение правил брандмауэра для учетной записи Foundry Tools блокирует входящие запросы данных по умолчанию. Чтобы разрешить запросы, необходимо выполнить одно из следующих условий:
- Запрос поступает из службы, которая работает в виртуальной сети Azure в списке разрешенных подсетей целевой учетной записи Foundry Tools. Запрос конечной точки, исходящий из виртуальной сети, должен быть задан в качестве настраиваемого поддомена учетной записи Foundry Tools.
- Запрос поступает из разрешенного списка IP-адресов.
Запросы, которые блокируются, включают их из других служб Azure, из портал Azure и из служб ведения журнала и метрик.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Сценарии
Чтобы защитить ресурс Foundry Tools, необходимо сначала настроить правило, чтобы запретить доступ к трафику со всех сетей, включая интернет-трафик, по умолчанию. Затем настройте правила, предоставляющие доступ к трафику из определенных виртуальных сетей. Такая конфигурация позволяет создать для приложений границу в виде безопасной сети. Вы также можете настроить правила для предоставления доступа к трафику из выбора диапазонов общедоступных IP-адресов и включения подключений из определенного Интернета или локальных клиентов.
Правила сети применяются ко всем сетевым протоколам для средств Foundry, включая REST и WebSocket. Чтобы получить доступ к данным с помощью таких средств, как тестовые консоли Azure, необходимо настроить явные сетевые правила. Вы можете применить сетевые правила к существующим ресурсам Средств Foundry или при создании новых ресурсов Foundry Tools. После применения сетевых правил они применяются ко всем запросам.
Поддерживаемые регионы и предложения услуг
Виртуальные сети поддерживаются в регионах, где доступны средства Foundry. Средства foundry поддерживают теги служб для конфигурации сетевых правил. Перечисленные здесь службы включены в CognitiveServicesManagement тег службы.
- Детектор аномалий
- Azure OpenAI
- Модератор контента
- Настраиваемое видение
- Распознавание лиц
- Распознавание речи (LUIS)
- Персонализатор
- Служба речи
- Язык
- Создатель вопросов и ответов (QnA Maker)
- Переводчик
Примечание.
Если вы используете Azure OpenAI, LUIS, Speechs или Languages, CognitiveServicesManagement тег позволяет использовать службу только с помощью пакета SDK или REST API. Чтобы получить доступ к порталу Microsoft Foundry, порталу LUIS, Speech Studio или Language Studio из виртуальной сети, необходимо использовать следующие теги:
AzureActiveDirectoryAzureFrontDoor.FrontendAzureResourceManagerCognitiveServicesManagementCognitiveServicesFrontEnd-
Storage(только в Speech Studio)
Сведения о конфигурациях портала Foundry см. в документации по Foundry.
Изменение сетевого правила доступа по умолчанию
По умолчанию ресурсы Foundry Tools принимают подключения от клиентов в любой сети. Для ограничения доступа из выбранных сетей необходимо сначала изменить действие по умолчанию.
Предупреждение
Внесение изменений в сетевые правила может повлиять на возможность подключения приложений к средствам Foundry. Когда для сетевого правила по умолчанию указано значение deny, доступ к данным блокируется полностью, если только не применяются специальные сетевые правила, разрешающие доступ.
Прежде чем изменить правило по умолчанию, чтобы запретить доступ, обязательно предоставьте доступ к любым разрешенным сетям с помощью правил сети. Если вы разрешаете перечисление IP-адресов для локальной сети, обязательно добавьте все возможные исходящие общедоступные IP-адреса из локальной сети.
Управление правилами сетевого доступа по умолчанию
Вы можете управлять правилами доступа к сети по умолчанию для ресурсов Foundry Tools с помощью портала Azure, PowerShell или Azure CLI.
Перейдите к ресурсу средств Foundry, который вы хотите защитить.
Выберите "Управление ресурсами" , чтобы развернуть его, а затем выберите "Сеть".
Чтобы запретить доступ по умолчанию, в разделе "Брандмауэры и виртуальные сети" выберите выбранные сети и частные конечные точки.
При использовании этого параметра в одиночку без сопровождения настроенных виртуальных сетей или диапазонов адресов все доступ фактически запрещены. Если доступ запрещен, запросы, которые пытаются использовать ресурс Foundry Tools, не разрешены. Портал Azure, Azure PowerShell или Azure CLI по-прежнему можно использовать для настройки ресурса Foundry Tools.
Чтобы разрешить трафик изо всех сетей, укажите Все сети.
Нажмите кнопку Сохранить, чтобы применить изменения.
Предоставление доступа из виртуальной сети
Ресурсы Foundry Tools можно настроить, чтобы разрешить доступ только из определенных подсетей. Допустимые подсети могут принадлежать виртуальной сети в той же подписке или в другой подписке. Другая подписка может принадлежать другому клиенту Microsoft Entra. Если подсеть принадлежит другой подписке, поставщик ресурсов Microsoft.CognitiveServices также должен быть зарегистрирован для этой подписки.
Включите конечную точку службы для средств Foundry в виртуальной сети. Конечная точка службы направляет трафик из виртуальной сети с помощью оптимального пути к Средствам Foundry. Дополнительные сведения см. в статье Конечные точки служб в виртуальной сети.
В каждом запросе также передаются удостоверения подсети и виртуальной сети. Затем администраторы могут настроить сетевые правила для ресурса Foundry Tools, чтобы разрешить запросы из определенных подсетей в виртуальной сети. Клиенты, получившие доступ в соответствии с этими сетевыми правилами, должны по-прежнему отвечать требованиям авторизации ресурсу Foundry Tools для доступа к данным.
Каждый ресурс Foundry Tools поддерживает до 100 правил виртуальной сети, которые можно объединить с правилами IP-сети. Дополнительные сведения см. в статье "Предоставление доступа из диапазона IP-адресов Интернета" далее в этой статье.
Установка необходимых разрешений
Чтобы применить правило виртуальной сети к ресурсу Foundry, необходимы соответствующие разрешения для добавления подсетей. Необходимое разрешение — это роль участника по умолчанию или роль участника Cognitive Services. Необходимые разрешения также можно добавить в определения настраиваемых ролей.
Ресурс Foundry Tools и виртуальные сети, которым предоставлен доступ, могут находиться в разных подписках, включая подписки, которые являются частью другого клиента Microsoft Entra.
Примечание.
Настройка правил, которые предоставляют доступ к подсетям в виртуальных сетях, которые являются частью другого клиента Microsoft Entra, в настоящее время поддерживаются только с помощью PowerShell, Azure CLI и REST API. Эти правила можно просмотреть в портал Azure, но их нельзя настроить.
Настройка правил виртуальной сети
Правила виртуальной сети для ресурсов Foundry Tools можно управлять с помощью портала Azure, PowerShell или Azure CLI.
Чтобы предоставить доступ к виртуальной сети с существующим сетевым правилом:
Перейдите к ресурсу средств Foundry, который вы хотите защитить.
Выберите "Управление ресурсами" , чтобы развернуть его, а затем выберите "Сеть".
Убедитесь, что выбраны выбранные сети и частные конечные точки.
В разделе "Разрешить доступ" выберите "Добавить существующую виртуальную сеть".
Выберите параметры Виртуальные сети и Подсети, а затем нажмите Включить.
Примечание.
Если конечная точка службы для средств Foundry не была настроена для выбранной виртуальной сети и подсетей, ее можно настроить в рамках этой операции.
В настоящее время во время создания правила доступны только виртуальные сети, принадлежащие одному клиенту Microsoft Entra. Чтобы предоставить доступ к подсети в виртуальной сети, которая принадлежит другому клиенту, используйте PowerShell, Azure CLI или REST API.
Нажмите кнопку Сохранить, чтобы применить изменения.
Чтобы создать виртуальную сеть и предоставить ей доступ:
На той же странице, что и предыдущая процедура, выберите "Добавить новую виртуальную сеть".
Укажите сведения, необходимые для создания виртуальной сети, а затем нажмите Создать.
Нажмите кнопку Сохранить, чтобы применить изменения.
Чтобы удалить правило виртуальной сети или подсети, выполните приведенные действия.
На той же странице, что и предыдущие процедуры, выберите ... (Дополнительные параметры) Чтобы открыть контекстное меню для виртуальной сети или подсети, и нажмите кнопку "Удалить".
Нажмите кнопку Сохранить, чтобы применить изменения.
Внимание
Обязательно укажите для правила по умолчанию значение deny, иначе сетевые правила не будут действовать.
Предоставление доступа из диапазона IP-адресов в Интернете
Ресурсы Foundry Tools можно настроить, чтобы разрешить доступ из определенных диапазонов общедоступных IP-адресов в Интернете. Эта конфигурация предоставляет доступ к определенным службам и локальным сетям, которые эффективно блокируют общий интернет-трафик.
Диапазоны разрешенных ip-адресов можно указать с помощью формата CIDR (RFC 4632) в форме 192.168.0.0/16 или в виде отдельных IP-адресов, таких как 192.168.0.1.
Совет
Небольшие диапазоны адресов, использующие /31 или /32 префиксные размеры, не поддерживаются. Настройте эти диапазоны с помощью отдельных правил IP-адресов.
Правила IP-сети можно применять только для общедоступных IP-адресов в Интернете. Диапазоны IP-адресов, зарезервированные для частных сетей, не допускаются в правилах IP- адресов. К частным сетям относятся адреса, начинающиеся с 10.*, 172.16.* - 172.31.* и 192.168.*. Дополнительные сведения см. в разделе "Частное адресное пространство" (RFC 1918).
В настоящее время поддерживаются только IPv4-адреса. Каждый ресурс Foundry Tools поддерживает до 100 правил сети IP- адресов, которые можно объединить с правилами виртуальной сети.
Настройка доступа из локальных сетей
Чтобы предоставить доступ из локальных сетей ресурсу Foundry Tools с помощью правила IP-сети, определите IP-адреса, используемые вашей сетью. За помощью обращайтесь к администратору сети.
Если вы используете локальную среду Azure ExpressRoute для пиринга Майкрософт, необходимо определить IP-адреса NAT. Дополнительные сведения см. в статье "Что такое Azure ExpressRoute".
Для пиринга Майкрософт IP-адреса NAT, которые используются, предоставляются клиентом или предоставляются поставщиком услуг. Чтобы разрешить доступ к ресурсам служб, необходимо разрешить эти общедоступные IP-адреса в настройках брандмауэра IP-адресов ресурсов.
Управление правилами IP-сети
С помощью портала Azure, PowerShell или Azure CLI можно управлять правилами ip-сети для ресурсов средств Foundry.
Перейдите к ресурсу средств Foundry, который вы хотите защитить.
Выберите "Управление ресурсами" , чтобы развернуть его, а затем выберите "Сеть".
Убедитесь, что выбраны выбранные сети и частные конечные точки.
В разделе "Брандмауэры и виртуальные сети" найдите параметр диапазона адресов. Чтобы предоставить доступ к диапазону IP-адресов Интернета, введите IP-адрес или диапазон адресов (в формате CIDR). Принимаются только допустимые общедоступные IP-адреса (не зарезервированные).
Чтобы удалить правило сети IP-адресов, щелкните значок корзины рядом с диапазоном адресов.
Нажмите кнопку Сохранить, чтобы применить изменения.
Внимание
Обязательно укажите для правила по умолчанию значение deny, иначе сетевые правила не будут действовать.
Использование частных конечных точек
Вы можете использовать частные конечные точки для ресурсов Foundry Tools, чтобы разрешить клиентам в виртуальной сети безопасно получать доступ к данным через Приватный канал Azure. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для ресурса Foundry Tools. Сетевой трафик между клиентами в виртуальной сети и ресурсом проходит через виртуальную сеть и приватный канал в магистральной сети Microsoft Azure, что устраняет уязвимость из общедоступного Интернета.
Приватные конечные точки для ресурсов инструментов Foundry позволяют:
- Защитите ресурс Foundry Tools, настроив фаервол для блокировки всех подключений на публичной конечной точке Foundry Tools.
- Повысить уровень безопасности виртуальной сети благодаря предотвращению кражи данных из виртуальной сети.
- Безопасное подключение к ресурсам Foundry Tools из локальных сетей, которые подключаются к виртуальной сети с помощью VPN-шлюза Azure или ExpressRoutes с частным пирингом.
Общие сведения о частных конечных точках
Частная конечная точка — это специальный сетевой интерфейс для ресурса Azure в виртуальной сети. Создание частной конечной точки для ресурса Foundry Tools обеспечивает безопасное подключение между клиентами в виртуальной сети и ресурсом. Частной конечной точке назначается IP-адрес из диапазона IP-адресов виртуальной сети. Подключение между частной конечной точкой и средствами Foundry использует безопасную частную связь.
Приложения в виртуальной сети могут легко подключаться к службе через частную конечную точку. Подключения используют те же строка подключения и механизмы авторизации, которые они будут использовать в противном случае. Исключением является речь, для которой требуется отдельная конечная точка. Для получения дополнительной информации см. раздел «Частные конечные точки для службы речи» в данной статье. Частные конечные точки можно использовать со всеми протоколами, поддерживаемыми ресурсом Foundry Tools, включая REST.
Частные конечные точки можно создавать в подсетях, использующих конечные точки службы. Клиенты в подсети могут подключаться к одному ресурсу Foundry Tools с помощью частной конечной точки, используя конечные точки службы для доступа к другим пользователям. Дополнительные сведения см. в статье Конечные точки служб в виртуальной сети.
При создании частной конечной точки для ресурса Foundry в виртуальной сети Azure отправляет запрос согласия на утверждение владельцу ресурса Foundry Tools. Если пользователь, запрашивающий создание частной конечной точки, также является владельцем ресурса, этот запрос согласия будет автоматически утвержден.
Владельцы ресурсов Foundry Tools могут управлять запросами согласия и частными конечными точками на вкладке подключения к частной конечной точке для ресурса Foundry Tools на портале Azure.
Указание частных конечных точек
При создании частной конечной точки укажите ресурс Foundry Tools, к которому он подключается. Дополнительные сведения о создании конечной точки компонента см. в следующих разделах.
- Создание частной конечной точки с помощью портал Azure
- Создание частной конечной точки с помощью Azure PowerShell
- Создание частной конечной точки с помощью Azure CLI
Подключение к частным конечным точкам
Примечание.
Azure OpenAI в модели Foundry использует другую частную зону DNS и общедоступный сервер пересылки зон DNS, чем другие средства Foundry. Правильные имена зон и серверов пересылки см . в разделе "Конфигурация зоны DNS служб Azure".
Предупреждение
Запросы от клиентов к частной конечной точке ДОЛЖНЫ указывать настраиваемый поддомен ресурса Foundry Tools в качестве базового URL-адреса конечной точки. Не вызывайте внутренний URL-адрес *.privatelink.openai.azure.com , который является частью промежуточного разрешения CNAME внутри Azure.
Клиенты виртуальной сети, использующие частную конечную точку, используют ту же строку подключения для ресурса Foundry Tools, что и клиенты, подключающиеся к общедоступной конечной точке. Исключением является служба "Речь", для которой требуется отдельная конечная точка. Дополнительные сведения см. в разделе "Использование частных конечных точек" со службой "Речь" в этой статье. Разрешение DNS автоматически направляет подключения из виртуальной сети к ресурсу Foundry Tools по приватной ссылке.
По умолчанию Azure создает частную зону DNS, подключенную к виртуальной сети, с необходимыми обновлениями для частных конечных точек. Если вы используете собственный DNS-сервер, может потребоваться внести дополнительные изменения в конфигурацию DNS. Сведения об обновлениях, которые могут потребоваться для частных конечных точек, см . в статье "Применение изменений DNS для частных конечных точек".
Использование частных конечных точек со службой "Речь"
См. раздел "Использование службы "Речь" через частную конечную точку.
Применение изменений DNS для частных конечных точек
При создании частной конечной точки запись ресурса DNS CNAME для ресурса Foundry Tools обновляется до псевдонима в поддомене с префиксом privatelink. По умолчанию Azure также создает частную зону DNS, соответствующую privatelink поддомену, с записями ресурсов DNS A для частных конечных точек. Дополнительные сведения см. в статье "Что такое Azure Частная зона DNS".
При разрешении URL-адреса конечной точки за пределами виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку ресурса Foundry Tools. При разрешении из виртуальной сети, на котором размещена частная конечная точка, URL-адрес конечной точки разрешается в IP-адрес частной конечной точки.
Этот подход позволяет получить доступ к ресурсу Foundry Tools, используя ту же строку подключения для клиентов в виртуальной сети, где размещаются частные конечные точки и клиенты за пределами виртуальной сети.
Если в сети используется пользовательский DNS-сервер, клиенты должны иметь возможность разрешить полное доменное имя (FQDN) для конечной точки ресурса Foundry Tools на IP-адрес частной конечной точки. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети.
Совет
При использовании пользовательского или локального DNS-сервера необходимо настроить DNS-сервер для разрешения имени ресурса Foundry Tools в privatelink поддомене на IP-адрес частной конечной точки.
privatelink Делегировать поддомен частной зоне DNS виртуальной сети. Кроме того, настройте зону DNS на DNS-сервере и добавьте записи DNS A.
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих ресурсах:
- Разрешение имен с помощью собственного DNS-сервера
- DNS configuration (Настройка DNS)
Предоставление доступа к доверенным службам Azure для Azure OpenAI
Вы можете предоставить подмножество доверенных служб Azure для доступа к Azure OpenAI, сохраняя правила сети для других приложений. Затем эти доверенные службы будут использовать управляемое удостоверение для проверки подлинности службы Azure OpenAI. В следующей таблице перечислены службы, которые могут получить доступ к Azure OpenAI, если управляемое удостоверение этих служб имеет соответствующее назначение ролей.
| Услуга | Имя поставщика ресурсов |
|---|---|
| Средства foundry | Microsoft.CognitiveServices |
| Машинное обучение Azure | Microsoft.MachineLearningServices |
| Поиск Azure | Microsoft.Search |
Вы можете предоставить сетевой доступ доверенным службам Azure, создав исключение сетевого правила с помощью REST API или портал Azure:
Использование Azure CLI
accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Foundry Tools resource name>"
curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
"properties":
{
"networkAcls": {
"bypass": "AzureServices"
}
}
}
'
Чтобы отменить исключение, задайте значение networkAcls.bypassNone.
Чтобы проверить, включена ли надежная служба из портал Azure,
Использование представления JSON на странице обзора ресурсов Azure OpenAI
Выберите последнюю версию API в разделе "Версии API". Поддерживается
2023-10-01-previewтолько последняя версия API.
Использование портала Azure
Перейдите к ресурсу Azure OpenAI и выберите "Сеть " в меню навигации.
В разделе "Исключения" выберите "Разрешить службам Azure" в списке доверенных служб доступ к этой учетной записи cognitive services.
Совет
Вы можете просмотреть параметр "Исключения", выбрав выбранные сети и частные конечные точки или отключено в разделе "Разрешить доступ".
Цены
Дополнительные сведения о ценах см. на странице цен на службу "Приватный канал" Azure.
Следующие шаги
- Ознакомьтесь с различными средствами Foundry
- Дополнительные сведения о конечных точках службы виртуальная сеть