Настройка управляемой сети для центров Microsoft Foundry (классическая модель)

Применяется только к:Портал Foundry (классический). Эта статья недоступна для нового портала Foundry. Дополнительные сведения о новом портале.

Замечание

Некоторые ссылки в этой статье могут открывать содержимое в новой документации Microsoft Foundry, а не в классической версии Foundry, которую вы просматриваете сейчас.

Это важно

Эта статья предоставляет устаревшую поддержку для проектов на основе концентраторов. Он не будет работать для проектов Foundry. См. Как мне узнать, какой тип проекта у меня есть?

Примечание о совместимости пакета SDK. Для примеров кода требуется определенная версия пакета SDK Для Microsoft Foundry. Если возникают проблемы совместимости, рассмотрите возможность перехода с проекта на базе концентратора на проект Foundry.

Сетевая изоляция для проекта на основе концентратора состоит из двух частей: доступ к Microsoft Foundry и изоляция вычислительных ресурсов в вашем концентраторе и проекте (например, вычислительных экземпляров, бессерверных решений и управляемых сетевых конечных точек). В этой статье рассматриваются последние. На схеме она выделена. Используйте встроенную сетевую изоляцию концентратора для защиты вычислительных ресурсов.

Настройте следующие параметры сетевой изоляции:

Выберите режим изоляции сети: разрешить исходящий интернет или разрешить только утвержденный исходящий трафик.
Если вы используете интеграцию Visual Studio Code в режиме разрешать только одобренный исходящий трафик, создайте правила FQDN для исходящего трафика, как описано в разделе использование Visual Studio Code.
Если вы используете модели Hugging Face в режиме, разрешающем только утвержденные исходящие подключения, создайте правила исходящего трафика FQDN, как описано в разделе использования моделей Hugging Face.
Если вы используете одну из моделей с открытым исходным кодом в режиме разрешить только утвержденные исходящие, создайте правила исходящего трафика по полным доменным именам (FQDN), как описано в разделе Модели, продаваемые непосредственно Azure.

Предпосылки

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.
Зарегистрируйте поставщика ресурсов Microsoft.Network для вашей подписки Azure. Центр использует этого поставщика для создания частных конечных точек для управляемой виртуальной сети.

Сведения о регистрации поставщиков ресурсов см. в разделе Устранение ошибок при регистрации поставщиков ресурсов.
Используйте удостоверение Azure со следующими действиями управления доступом на основе ролей (Azure RBAC) для создания частных конечных точек для управляемой виртуальной сети.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Подсказка

Встроенная роль Утверждающее лицо подключения к сети Azure ИИ Enterprise включает следующие разрешения. Назначьте эту роль управляемому удостоверению концентратора для утверждения подключений к частной конечной точке.

Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.
Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для подписки Azure. Центр использует этого поставщика ресурсов при создании частных конечных точек для управляемой виртуальной сети.

Сведения о регистрации поставщиков ресурсов см. в разделе Устранение ошибок при регистрации поставщиков ресурсов.
Используйте удостоверение Azure со следующими действиями управления доступом на основе ролей (Azure RBAC) для создания частных конечных точек для управляемой виртуальной сети.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/запись
Подсказка

Встроенная роль Утверждающее лицо подключения к сети Azure ИИ Enterprise включает следующие разрешения. Назначьте эту роль управляемому удостоверению концентратора для утверждения подключений к частной конечной точке.
Установите Azure CLI и расширение ml для Azure CLI. Дополнительные сведения см. в разделе Install, настройка и использование интерфейса командной строки (версии 2).
Оболочка, совместимая с Bash, для запуска примеров командной строки в этой статье. Например, используйте систему Linux или Windows Subsystem for Linux.
Примеры Azure CLI в этой статье используют ws для имени концентратора и rg для имени группы ресурсов. Измените эти значения по мере необходимости при выполнении команд в подписке Azure.

Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы. Попробуйте версию free или платную версию.
Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для подписки Azure. Центр использует этого поставщика ресурсов при создании частных конечных точек для управляемой виртуальной сети.

Сведения о регистрации поставщиков ресурсов см. в разделе Устранение ошибок при регистрации поставщиков ресурсов.
Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий для ролевого управления доступом Azure (Azure RBAC) для создания частных конечных точек:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/запись
Подсказка

Встроенная роль Утверждающее лицо подключения к сети Azure ИИ Enterprise включает следующие разрешения. Назначьте эту роль управляемому удостоверению концентратора для утверждения подключений к частной конечной точке.
Пакет SDK для Python версии 2 Azure Machine Learning. Дополнительные сведения о SDK см. в документе Установка Python SDK v2 для Azure Machine Learning.
В примерах этой статьи предполагается, что код начинается со следующего кода Python. Он импортирует классы, необходимые для создания концентратора с управляемой виртуальной сетью, задает переменные для вашей подписки и группы ресурсов Azure и создает ml_client. В следующем примере замените замещающий текст <SUBSCRIPTION_ID> и <RESOURCE_GROUP> собственными значениями:
```
from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
```

Настройте управляемую виртуальную сеть для разрешения исходящего трафика в Интернет.

Подсказка

Foundry откладывает создание управляемой виртуальной сети до тех пор, пока вы не создадите вычислительный ресурс или не начнете подготовку вручную. При автоматическом создании может потребоваться около 30 минут , чтобы создать первый вычислительный ресурс, так как он также подготавливает сеть.

Создайте новый концентратор:
1. Войдите в Azure portal и выберите Foundry в меню Create a resource.
2. Выберите + New Azure AI.
3. Введите необходимые сведения на вкладке "Основные сведения".
4. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом.
5. Чтобы добавить правило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика " на вкладке "Сеть ". На боковой панели правил исходящего трафика введите следующие сведения:
  - Имя правила: название для правила. Имя должно быть уникальным для этого концентратора.
  - Тип назначения: частная конечная точка является единственным вариантом, если сетевая изоляция является частной с исходящим интернетом. Управляемая узлом виртуальная сеть не поддерживает создание частных конечных точек для всех типов ресурсов Azure. См. список поддерживаемых ресурсов в разделе «Частные конечные точки».
  - Subscription: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
  - Resource group: группа ресурсов, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
  - Тип ресурса: тип ресурса Azure.
  - Resource name: имя ресурса Azure.
  - Sub Resource: подресурс типа ресурса Azure.
  Нажмите Сохранить. Чтобы добавить дополнительные правила, выберите "Добавить определяемые пользователем правила исходящего трафика".
6. Продолжить создание концентратора.
Обновите существующий концентратор:
1. Войдите в Azure portal и выберите узел, чтобы включить изоляцию управляемой виртуальной сети.
2. Выберите Сетевое подключение>Частная с доступом к Интернету для исходящего трафика.
  - Чтобы добавитьправило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите те же сведения, что и при создании концентратора в разделе "Создание нового концентратора".
  - Чтобы удалить правило исходящего трафика, выберите команду delete для правила.
3. Выберите Save в верхней части страницы, чтобы применить изменения к управляемому virtual network.

Чтобы настроить управляемый virtual network, который разрешает исходящий интернет, используйте параметр --managed-network allow_internet_outbound или файл конфигурации YAML со следующими записями:

managed_network:
  isolation_mode: allow_internet_outbound

Определите исходящие правила outbound для других служб Azure, от которых зависит узел. Эти правила определяют частные конечные точки, которые позволяют ресурсу Azure безопасно взаимодействовать с управляемой виртуальной сетью. В следующем правиле показано, как добавить частную конечную точку в учетную запись Azure Blob Storage. В следующем примере замените замещающий текст <SUBSCRIPTION_ID><RESOURCE_GROUP>и <STORAGE_ACCOUNT_NAME> собственными значениями.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Настройте управляемый virtual network с помощью команд az ml workspace create или az ml workspace update:

Создайте новый концентратор:

В следующем примере создается новый концентратор. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для концентратора:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Чтобы создать концентратор с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
В следующем примере YAML задается концентратор с управляемой виртуальной сетью.
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Обновите существующий концентратор:

Предупреждение

Перед обновлением существующей рабочей области для использования управляемой виртуальной сети, необходимо удалить все вычислительные ресурсы рабочей области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

В следующем примере обновляется существующий концентратор. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для концентратора:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Чтобы обновить существующий концентратор с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
В следующем примере YAML определяется управляемая виртуальная сеть для концентратора. В нем также показано, как добавить подключение частной конечной точки к ресурсу, который использует концентратор. В этом примере добавляется частная конечная точка для учетной записи Azure Blob Storage. В следующем примере замените замещающий текст <SUBSCRIPTION_ID><RESOURCE_GROUP>и <STORAGE_ACCOUNT_NAME> собственными значениями:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Ссылки

az ml workspace create (создать рабочую область)
az ml workspace update

Чтобы настроить управляемую виртуальную сеть, которая разрешает доступ в интернет, используйте класс ManagedNetwork с IsolationMode.ALLOW_INTERNET_OUTBOUND. Затем используйте ManagedNetwork объект для создания нового концентратора или обновления существующего. Чтобы определить правила outbound для Azure служб, которые использует концентратор, используйте класс PrivateEndpointDestination для определения новой частной конечной точки службы.

Создайте новый концентратор:

В следующем примере создается новый концентратор с именем myhub с правилом исходящего трафика с именем myrule, который добавляет частную конечную точку для учетной записи Azure Blob Storage. В следующем примере замените замещающий текст <SUBSCRIPTION_ID><RESOURCE_GROUP>и <STORAGE_ACCOUNT_NAME> собственными значениями:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Ссылки

Обновите существующий концентратор:

В следующем примере показано, как создать управляемый virtual network для существующего концентратора с именем myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Ссылки

Настройка управляемой виртуальной сети для разрешения только утвержденного исходящего трафика

Подсказка

Azure автоматически настраивает управляемую виртуальную сеть при создании вычислительного ресурса. Если вы разрешаете автоматическое создание, первый вычислительный ресурс может занять около 30 минут, так как сеть также должна быть настроена. При настройке правил исходящего трафика с полным доменным именем (FQDN) первое из этих правил добавляет около 10 минут к времени установки.

Создайте новый концентратор:
1. Войдите в Azure portal и выберите Foundry в меню "Создать ресурс".
2. Выберите + New Azure AI.
3. Укажите необходимые сведения на вкладке "Основные сведения".
4. На вкладке "Сеть" выберите "Приватный" с утвержденным исходящим трафиком.
5. Чтобы добавить правило исходящего трафика, выберите " Добавить определяемые пользователем правила исходящего трафика" на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите следующие сведения:
  - Имя правила: название для правила. Имя должно быть уникальным для этого концентратора.
  - Тип назначения: частная конечная точка, тег службы или полное доменное имя. Тег службы и полное доменное имя доступны только в том случае, если сетевая изоляция является частной с утвержденным исходящим трафиком.
  Если тип назначения является частной конечной точкой, введите следующие сведения:
  - Subscription: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
  - Resource group: группа ресурсов, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
  - Тип ресурса: тип ресурса Azure.
  - Resource name: имя ресурса Azure.
- Sub Resource: подресурс типа ресурса Azure.
Подсказка

Управляемая виртуальная сеть концентратора не поддерживает частные конечные точки для всех типов ресурсов Azure. См. список поддерживаемых ресурсов в разделе «Частные конечные точки».

Если тип назначения — "Тег службы", введите следующие сведения:
- Тег службы: тег службы, добавляемый в утвержденные правила исходящих соединений.
- Протокол: протокол для тега службы.
- Диапазоны портов: диапазоны портов, которые разрешаются для тега службы.
Если тип назначения — полное доменное имя, введите следующие сведения:
- Назначение полного доменного имени: полное доменное имя для добавления в утвержденные правила исходящего трафика.
  
  Выберите Сохранить, чтобы сохранить правило. Чтобы добавить дополнительные правила, снова нажмите кнопку "Добавить определяемые пользователем правила исходящего трафика ".
1. Продолжайте создавать концентратор как обычно.
Обновите существующий концентратор:
1. Войдите в Azure portal, и выберите концентратор, который вы хотите включить для изоляции управляемой виртуальной сети.
2. Выберите Сетевые настройки>Частная с утвержденным исходящим трафиком.
  - Чтобы добавитьправило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика " на вкладке "Сеть ". На боковой панели правил исходящего трафика введите те же сведения, что и при создании концентратора в предыдущем разделе "Создание нового концентратора".
  - Чтобы удалить правило исходящего трафика, выберите команду delete для правила.
3. Выберите Сохранить наверху страницы, чтобы сохранить изменения в управляемой виртуальной сети.

Чтобы настроить управляемый virtual network, который разрешает только утвержденный исходящий трафик, используйте параметр --managed-network allow_only_approved_outbound или файл конфигурации YAML, содержащий следующие записи:

managed_network:
  isolation_mode: allow_only_approved_outbound

Вы также можете определить правила исходящего трафика для утвержденной исходящей связи. Создайте правило исходящего трафика типа service_tag, fqdnили private_endpoint. В следующем примере добавляется частная конечная точка в ресурс Azure Blob, тег службы для Azure Data Factory и полное доменное имя для pypi.org. В следующем примере замените замещающий текст <SUBSCRIPTION_ID>, <RESOURCE_GROUP> и <STORAGE_ACCOUNT_NAME> на ваши значения.

Это важно

Добавление правила исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена allow_only_approved_outbound.
Если вы добавляете правила исходящего трафика, корпорация Майкрософт не может гарантировать защиту от кражи данных.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Управляемую виртуальную сеть можно настроить с помощью команд az ml workspace create или az ml workspace update:

Создайте новый концентратор:

В следующем примере используется параметр --managed-network allow_only_approved_outbound для настройки управляемой виртуальной сети.
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Следующий файл YAML определяет концентратор с управляемой виртуальной сетью.
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Чтобы создать концентратор с помощью YAML-файла, используйте --file параметр:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Обновление существующего концентратора

Предупреждение

Перед обновлением существующей рабочей области для использования управляемой виртуальной сети, необходимо удалить все вычислительные ресурсы рабочей области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые подключенные конечные точки.

В следующем примере используется параметр --managed-network allow_only_approved_outbound для настройки управляемой виртуальной сети для существующего концентратора.
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Следующий файл YAML определяет управляемую виртуальную сеть для хаба и показывает, как добавить утвержденные правила исходящих соединений. В этом примере правила исходящего трафика добавляются для тега службы, полного доменного имени и частной конечной точки:
```
name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Ссылки

az ml workspace create (создать рабочую область)
az ml обновление рабочей области

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденные исходящие сообщения, используйте класс ManagedNetwork для определения сети с IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. ManagedNetwork Используйте объект для создания нового концентратора или обновления существующего. Чтобы определить правила исходящего трафика, используйте следующие классы:

Место назначения	Класс
служба Azure, на которую опирается узел	`PrivateEndpointDestination`
тег службы Azure	`ServiceTagDestination`
Полное доменное имя (FQDN)	`FqdnDestination`

Создайте новый концентратор:

В следующем примере создается новый концентратор с именем myhub, с несколькими правилами исходящего трафика.

myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
datafactory — добавляет правило тега службы для взаимодействия с Azure Data Factory.

Это важно

Добавьте правило для исходящего трафика для тега службы или полного доменного имени только при настройке управляемой виртуальной сети IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Если вы добавляете правила исходящего трафика, корпорация Майкрософт не может гарантировать защиту от кражи данных.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Ссылки

Обновите существующий концентратор:

В следующем примере показано, как настроить управляемый virtual network для существующего концентратора с именем myhub. Он также добавляет несколько правил исходящего трафика:

myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
datafactory — добавляет правило тега службы для взаимодействия с Azure Data Factory.

Подсказка

Правило исходящего трафика для тега службы или публичного доменного имени можно добавить только при настройке управляемой виртуальной сети для использования IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Ссылки

Подготовка управляемой виртуальной сети вручную

Управляемая виртуальная сеть автоматически создается при создании вычислительного экземпляра. При использовании автоматического предоставления ресурсов может потребоваться около 30 минут, чтобы создать первый вычислительный экземпляр, поскольку одновременно подготавливается и сеть. Если вы настраиваете правила исходящего трафика FQDN (доступно только в режиме разрешения только утвержденных), первое правило FQDN добавляет около 10 минут к времени развертывания. Если у вас есть большой набор правил исходящего трафика, который должен быть настроен в управляемой сети, настройка может занять больше времени. Увеличение времени подготовки может привести к истечении времени ожидания создания первого вычислительного экземпляра.

Чтобы сократить время ожидания и избежать тайм-аутов, вручную настройте конфигурируемую сеть. Дождитесь завершения подготовки перед созданием вычислительного экземпляра.

Кроме того, используйте provision_network_now флаг для настройки управляемой сети во время создания концентратора.

Замечание

Чтобы развернуть модель для управляемых вычислений, необходимо вручную подготовить управляемую сеть или сначала создать вычислительный экземпляр. Создание вычислительного экземпляра автоматически подготавливает управляемую сеть.

Во время создания рабочей области выберите "Создать управляемую сеть заблаговременно", чтобы настроить управляемую сеть. Выставление счетов начинается для сетевых ресурсов, таких как частные конечные точки, после настройки виртуальной сети. Этот параметр доступен только во время создания рабочей области.

В следующем примере показано, как подготовить управляемую виртуальную сеть во время создания узла.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

В следующем примере показано, как создать управляемую виртуальную сеть.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Чтобы убедиться, что подготовка завершена, выполните следующую команду:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Ссылки

az ml workspace create (создать рабочую область)
az ml workspace provision-network (Создание сети рабочей области в Azure ML)
az ml workspace show

Используйте пакет SDK для создания управляемой виртуальной сети, а затем проверьте её состояние.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Ссылки

Управление правилами исходящего трафика

Войдите в Azure portal, и выберите концентратор, который вы хотите включить для изоляции управляемой виртуальной сети.
Выберите Сети. Раздел Foundry Outbound access позволяет управлять правилами исходящего трафика.

Чтобы добавить правило исходящего трафика, выберите Добавить пользовательские правила исходящего трафика на вкладке Networking. На боковой панели Правила исходящего трафика Azure AI введите необходимые значения.
Чтобы включить или отключить правило, используйте переключатель в столбце "Активный".
Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

В следующих командах замените заполнители <workspace-name>, <resource-group> и <rule-name> на ваши значения. Для отображения списка управляемых правил исходящего трафика виртуальной сети для концентратора выполните следующую команду:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Чтобы просмотреть сведения об управляемом правиле исходящего трафика виртуальной сети, выполните следующую команду:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Чтобы удалить правило исходящего трафика из управляемой виртуальной сети, выполните команду:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Ссылки

az ml workspace outbound-rule list - выводит список правил исходящего трафика для рабочей области ml.
az ml workspace outbound-rule show
az ml workspace outbound-rule remove

В следующем примере показано, как управлять правилами исходящего трафика для концентратора с именем myhub. В примере замените заполнитель <some-rule-name> именем правила.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Ссылки

MLClient

Архитектура и режимы изоляции сети

При включении изоляции управляемой виртуальной сети создается управляемая виртуальная сеть для узла. Управляемые вычислительные ресурсы, создаваемые для концентратора, автоматически используют эту управляемую виртуальную сеть. Управляемая виртуальная сеть может использовать частные конечные точки для ресурсов Azure, которые использует ваш хаб, таких как Azure Storage, Azure Key Vault и Azure Container Registry.

Выберите один из трех режимов исходящего трафика для управляемой виртуальной сети.

Исходящий режим	Description	Сценарии
Разрешить исходящее подключение к интернету	Разрешить весь исходящий трафик в Интернет из управляемой виртуальной сети.	Вы хотите иметь неограниченный доступ к ресурсам машинного обучения в интернете, таким как пакеты Python или предобученные модели.¹
Разрешить только утвержденный исходящий трафик	Используйте теги служб, чтобы разрешить исходящий трафик.	* Вы хотите свести к минимуму риск кражи данных, но необходимо подготовить все артефакты машинного обучения в вашей частной среде. * Вы хотите конфигурировать исходящий доступ к утвержденному списку служб, тегов служб или полностью квалифицированных доменных имен (FQDN).
Disabled	Входящий и исходящий трафик не ограничены.	Требуется общедоступный входящий и исходящий трафик из концентратора.

¹ . Вы можете использовать правила исходящего трафика в режиме разрешать только утвержденные исходящие для достижения того же результата, что и использование режима разрешать исходящий трафик в Интернет. Различия описаны ниже.

Всегда используйте частные конечные точки для доступа к ресурсам Azure.
Необходимо добавить правила для каждого исходящего подключения, который необходимо разрешить.
Добавление исходящих правил с полным доменным именем (FQDN) увеличивает затраты, поскольку этот тип правила использует Azure Firewall. Если вы используете правила для исходящего трафика, использующие полное доменное имя (FQDN), плата за Azure Firewall включена в ваш счет. Дополнительные сведения см. на странице цен.
Правила по умолчанию разрешают только утвержденный исходящий трафик , чтобы свести к минимуму риск кражи данных. Любые добавленные правила для исходящего трафика могут увеличить риск.

Управляемая виртуальная сеть предварительно настроена с требуемыми правилами по умолчанию . Центр также настраивает подключения к частной конечной точке к концентратору, учетную запись хранения по умолчанию концентратора, реестр контейнеров и хранилище ключей, если эти ресурсы установлены как частные или если для режима изоляции установлен режим разрешения только утвержденного исходящего трафика. После выбора режима изоляции добавьте все другие необходимые правила для исходящего трафика.

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения исходящего доступа в интернет.

На следующей схеме показана управляемая виртуальная сеть, настроенная на разрешение только утвержденного исходящего трафика.

Замечание

В этой конфигурации хранилище, хранилище ключей и реестр контейнеров, которые использует концентратор, установлены как приватные. Так как они закрыты, концентратор использует частные конечные точки для их доступа.

Диаграмма с управляемой виртуальной сетью, настроенной для разрешения только утвержденного исходящего трафика.

Замечание

Чтобы получить доступ к частной учетной записи хранилища из общедоступного центра Foundry, используйте Foundry из виртуальной сети вашей учетной записи хранилища. Доступ к Foundry из виртуальной сети гарантирует, что вы можете выполнять такие действия, как загрузка файлов в частную учетную запись хранилища. Частная учетная запись хранилища не зависит от сетевых настроек вашего узла Foundry. См. настройку брандмауэров и виртуальных сетей Azure Storage.

Список обязательных правил

Подсказка

Эти правила автоматически добавляются в управляемую виртуальную сеть (VNet).

Частные конечные точки

При настройке режима изоляции для управляемой виртуальной сети на значение Allow internet outbound, Foundry автоматически создает необходимые правила исходящего трафика для частной конечной точки из управляемой виртуальной сети для концентратора и связанных ресурсов с отключенным доступом к общедоступной сети (Azure Key Vault, учетная запись хранения, Azure Container Registry и концентратор).
При установке режима изоляции для управляемой виртуальной сети значение Allow only approved outbound, Foundry автоматически создает необходимые правила исходящего трафика для частных конечных точек из управляемой виртуальной сети для концентратора и связанных ресурсов, независимо от настройки доступа к общедоступной сети для этих ресурсов (Azure Key Vault, учетной записи хранилища, Azure Container Registry и концентратора).

Система Foundry требует набор тегов служб для частной сети. Не заменяйте необходимые сервисные теги. В следующей таблице описывается каждый обязательный тег службы и его назначение в Foundry.

Правило тега сервиса	Входящий или исходящий трафик	Цель
`AzureMachineLearning`	Входящий трафик	Создание, обновление и удаление вычислительных экземпляров и кластеров Foundry.
`AzureMachineLearning`	исходящий	Использование служб Azure Machine Learning. Python IntelliSense в записных книжках использует порт 18881. Создание, обновление и удаление экземпляра вычислений Azure Machine Learning использует порт 5831.
`AzureActiveDirectory`	исходящий	Проверка подлинности с помощью Microsoft Entra ID.
`BatchNodeManagement.region`	исходящий	Обмен данными с обратным концом Azure Batch для вычислительных экземпляров и кластеров Foundry.
`AzureResourceManager`	исходящий	Создайте ресурсы Azure с помощью Foundry, Azure CLI и пакета SDK Microsoft Foundry.
`AzureFrontDoor.FirstParty`	исходящий	Получите доступ к образам Docker, предоставляемым корпорацией Майкрософт.
`MicrosoftContainerRegistry`	исходящий	Получите доступ к образам Docker, предоставляемым корпорацией Майкрософт. Настройте маршрутизатор Foundry для Azure Kubernetes Service.
`AzureMonitor`	исходящий	Отправка журналов и метрик в Azure Monitor. Требуется только в том случае, если вы не обеспечили защиту Azure Monitor для рабочей области. Это исходящее правило также регистрирует сведения об инцидентах поддержки.
`VirtualNetwork`	исходящий	Требуется, если частные конечные точки присутствуют в виртуальной сети или в одноранговых виртуальных сетях.

Список правил исходящего трафика для конкретного сценария

Сценарий: Доступ к общедоступным пакетам машинного обучения

Чтобы установить пакеты Python для обучения и развертывания, добавьте правила FQDN для исходящего трафика, чтобы разрешить доступ к следующим именам узлов:

Замечание

В этом списке перечислены распространенные платформы для размещения Python-ресурсов в Интернете. Если вам требуется доступ к репозиторию GitHub или другому хосту, определите и добавьте хосты, необходимые для вашего сценария.

Имя хоста	Purpose
`anaconda.com` `*.anaconda.com`	Используется для установки пакетов по умолчанию.
`*.anaconda.org`	Используется для получения данных репозитория.
`pypi.org`	Перечисляет зависимости от индекса по умолчанию, если параметры пользователя не перезаписывают его. При перезаписи индекса также разрешите `*.pythonhosted.org`.
`pytorch.org` `*.pytorch.org`	Используется в примерах, основанных на PyTorch.
`*.tensorflow.org`	Используется в некоторых примерах на основе TensorFlow.

Сценарий. Использование кода Visual Studio

Visual Studio Код использует определенные узлы и порты для установления удаленного подключения.

Hosts

Используйте эти узлы, чтобы установить пакеты Visual Studio Code и для установления удаленного соединения с вычислительными экземплярами вашего проекта.

Замечание

Этот список не включает все узлы, необходимые для всех ресурсов кода Visual Studio в Интернете. Например, если вам требуется доступ к репозиторию GitHub или другому хосту, необходимо идентифицировать и добавить необходимые хосты для этого сценария. Полный список имен узлов см. в разделе Network Connections in Visual Studio Code.

Имя хоста	Purpose
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Требуется для доступа к VS Code для работы в Интернете (vscode.dev).
`code.visualstudio.com`	Требуется скачать и установить настольную версию Visual Studio Code. Этот хост не требуется для веб-версии VS Code.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Загружает компоненты VS Code Server в вычислительный экземпляр во время сценариев установки.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Требуется для скачивания и установки расширений приложения Visual Studio Code. Эти узлы позволяют удаленному подключению к вычислительным экземплярам. Дополнительные сведения см. в разделе Начните работу с проектами Foundry в VS Code.
`vscode.download.prss.microsoft.com`	Служит как CDN для скачивания Visual Studio Code.

Ports

Разрешить сетевой трафик портам 8704–8710. Сервер VS Code выбирает первый доступный порт в этом диапазоне.

Сценарий: Использование моделей Hugging Face

Чтобы использовать модели Hugging Face с хабом, добавьте правила для исходящего трафика на следующие узлы, разрешив полные доменные имена (FQDN).

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Сценарий: модели, проданные напрямую Azure

Эти модели устанавливают зависимости во время выполнения. Добавьте исходящие правила FQDN, чтобы разрешить трафик на следующие узлы:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Частные конечные точки

службы Azure в настоящее время поддерживают частные конечные точки для следующих служб:

Литейный центр
Azure AI Search
Инструменты литейного производства
Управление API в Azure
- Поддерживает только классический уровень без внедрения виртуальной сети и стандартный уровень версии 2 с интеграцией виртуальной сети. Дополнительные сведения о виртуальных сетях API Management см. в разделе Концепции виртуальной сети.
Azure Container Registry
Azure Cosmos DB (все типы подресурсов)
Azure Data Factory
База данных Azure для MariaDB
Azure Database for MySQL
Azure Database for PostgreSQL Стандартный сервер
гибкий сервер Azure Database for PostgreSQL
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
реестры Azure Machine Learning
Azure Cache for Redis
Azure SQL Server
Azure Storage (все типы подресурсов)
Application Insights (через PrivateLinkScopes)

При создании частной конечной точки необходимо указать тип ресурса и подресурс , к которому подключается конечная точка. Некоторые ресурсы имеют несколько типов и подресурсов. Дополнительные сведения см. в разделе что такое частная конечная точка.

При создании частной конечной точки для ресурсов зависимостей концентратора, таких как Azure Storage, Azure Container Registry и Azure Key Vault, ресурс может находиться в другой подписке Azure. Однако ресурс должен находиться в том же арендаторе, что и концентратор.

Если выбрать один из Azure ресурсов, перечисленных ранее в качестве целевого ресурса, служба автоматически создает частную конечную точку для подключения. Укажите допустимый идентификатор целевого объекта для частной конечной точки. Для подключения целевой идентификатор может быть идентификатором Azure Resource Manager родительского ресурса. Включите идентификатор целевого объекта в целевой объект подключения или в metadata.resourceid. Дополнительные сведения о подключениях см. в статье "Добавление нового подключения на портале Foundry".

Утверждение частных конечных точек

Чтобы установить подключения к частной конечной точке в управляемых виртуальных сетях с помощью Foundry, управляемое удостоверение рабочей области (назначаемое системой или назначаемое пользователем) и удостоверение пользователя, создающее частную конечную точку, должно иметь разрешение на утверждение подключений частной конечной точки к целевым ресурсам. Ранее служба Foundry предоставила это разрешение с помощью автоматических назначений ролей. Из-за проблем безопасности с автоматическими назначениями ролей, начиная с 30 апреля 2025 г., служба прекращает эту логику автоматического предоставления разрешений. Назначьте роль Утверждающий сетевых подключений Azure AI Enterprise или настройте пользовательскую роль с необходимыми правами для подключения частных конечных точек к целевым типам ресурсов, и предоставьте эту роль управляемой сущности удостоверения Foundry, чтобы разрешить Foundry утверждать подключения частных конечных точек к целевым ресурсам Azure.

Ниже приведен список типов целевых ресурсов частной конечной точки, охватываемых ролью утверждающего подключения к сети Azure AI Enterprise.

Azure Application Gateway
монитор Azure
Azure AI Search
Azure Event Hubs
Azure SQL Database
Azure Storage
Рабочая область Azure Machine Learning
реестр Azure Machine Learning
Литейный завод
Azure Key Vault
Azure Cosmos DB
Azure Database for MySQL
База данных Azure для PostgreSQL
Инструменты литейного производства
Azure Cache for Redis
Azure Container Registry
Управление API Azure

Чтобы создать правила исходящего трафика для частной конечной точки для целевых типов ресурсов, которые не охватываются ролью утверждающего сетевого подключения Azure AI Enterprise, таких как Azure Data Factory, Azure Databricks и приложения Azure Functions, используйте настраиваемую роль с ограниченными возможностями, определяемую только действиями, необходимыми для утверждения подключений частной конечной точки к целевым типам ресурсов.

Чтобы создать правила исходящего трафика частной конечной точки для ресурсов рабочей области по умолчанию, создание рабочей области предоставляет необходимые разрешения с помощью назначений ролей, поэтому вам не нужно предпринимать никаких дополнительных действий.

Выберите версию Azure Firewall, чтобы разрешить только утвержденный исходящий трафик

Azure Firewall развертывается при добавлении правила FQDN для исходящего трафика в режиме разрешать только одобренный исходящий трафик. Затраты на Azure Firewall добавляются в ваш счет. По умолчанию создается версия Azure Firewall Standard. Или выберите базовую версию. В любое время измените версию брандмауэра. Чтобы узнать, какая версия соответствует вашим потребностям, перейдите на страницу Выбор правильной версии Azure Firewall.

Это важно

Azure Firewall не создается, пока не будет добавлено правило FQDN для исходящего трафика. Для получения информации о ценах см. раздел Цены на Azure Firewall и ознакомьтесь с ценами на стандартную версию.

Используйте эти вкладки, чтобы выбрать версию межсетевого экрана для управляемой виртуальной сети.

Выбрав режим разрешить только утвержденный исходящий, появится параметр выбора версии Azure Firewall (SKU). Выберите "Стандартный " или "Базовый". Нажмите Сохранить.

Чтобы задать версию брандмауэра с помощью Azure CLI, используйте YAML-файл и укажите firewall_sku. Следующий пример устанавливает SKU брандмауэра в basic.

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Чтобы задать версию брандмауэра с помощью пакета SDK для Python, задайте firewall_sku свойство ManagedNetwork объекта. Следующий пример устанавливает SKU брандмауэра в basic.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Ссылки

Pricing

Функция концентратора управляемой виртуальной сети предоставляется бесплатно, но вы платите за следующие ресурсы, которые использует управляемая виртуальная сеть:

Azure Private Link — частные конечные точки, которые обеспечивают безопасный обмен данными между управляемой виртуальной сетью и ресурсами Azure, используя Azure Private Link. С информацией о цене см. раздел Цены на Azure Private Link.
Правила исходящего трафика FQDN — Azure Firewall применяет эти правила. Если вы используете правила исходящего FQDN, плата Azure Firewall будет указана в вашем счете. Стандартная версия Azure Firewall используется по умолчанию. Чтобы выбрать базовую версию, ознакомьтесь с Выбор версии Azure Firewall. Azure Firewall подготавливается для каждого концентратора.

Это важно

Azure Firewall не создается, пока не будет добавлено правило FQDN для исходящего трафика. Если вы не используете правила FQDN, плата за Azure Firewall не взимается. Сведения о ценах см. на странице стоимости Azure Firewall.

Ограничения

Foundry поддерживает изоляцию управляемых виртуальных сетей для вычислительных ресурсов. Foundry не поддерживает использование собственных виртуальных сетей для изоляции вычислительных процессов. Этот сценарий отличается от виртуальной сети Azure, необходимой для доступа к Foundry из локальной сети.
После включения управляемой virtual network изоляции его нельзя отключить.
Управляемая виртуальная сеть использует частную конечную точку для подключения к частным ресурсам. Вы не можете использовать частную конечную точку и конечную точку службы в том же ресурсе Azure, например учетную запись storage. Используйте частные конечные точки для всех сценариев.
При удалении Foundry служба удаляет управляемую виртуальную сеть.
При разрешении только утвержденного исходящего трафика Foundry автоматически включает защиту от утечки данных. При добавлении других правил исходящего трафика, таких как полные доменные имена, корпорация Майкрософт не может гарантировать защиту от кражи данных в эти места назначения.
Правила исходящего трафика FQDN увеличивают затраты на управляемые виртуальные сети, так как они используют Azure Firewall. Дополнительные сведения см. на странице цен.
Правила исходящего трафика FQDN поддерживают только порты 80 и 443.
Чтобы отключить общедоступный IP-адрес вычислительного экземпляра, добавьте частную конечную точку в концентратор.
Для вычислительного экземпляра в управляемой сети выполните команду az ml compute connect-ssh для подключения через SSH.
Если управляемая сеть настроена на разрешать только утвержденный исходящий трафик, нельзя использовать правило FQDN для доступа к учетным записям Azure Storage. Вместо этого используйте частную конечную точку.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-11

Поделиться через

Настройка управляемой сети для центров Microsoft Foundry (классическая модель)

Предпосылки

Настройте управляемую виртуальную сеть для разрешения исходящего трафика в Интернет.

Настройка управляемой виртуальной сети для разрешения только утвержденного исходящего трафика

Подготовка управляемой виртуальной сети вручную

Управление правилами исходящего трафика

Архитектура и режимы изоляции сети

Список обязательных правил

Список правил исходящего трафика для конкретного сценария

Сценарий: Доступ к общедоступным пакетам машинного обучения

Сценарий. Использование кода Visual Studio

Hosts

Ports

Сценарий: Использование моделей Hugging Face

Сценарий: модели, проданные напрямую Azure

Частные конечные точки

Утверждение частных конечных точек

Выберите версию Azure Firewall, чтобы разрешить только утвержденный исходящий трафик

Pricing

Ограничения

Связанный контент

Обратная связь

Дополнительные ресурсы