Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте частную конечную точку для защиты обмена данными. В этой статье описывается, как установить частное подключение к учетной записи Foundry и проектам с помощью частной конечной точки.
Планирование сетевой изоляции в Foundry
Что такое сетевая изоляция?
Сетевая изоляция — это стратегия безопасности, которая включает разделение сети на отдельные сегменты или подсети, каждая из которых работает как собственная небольшая сеть. Этот подход помогает повысить безопасность и производительность в более крупной сетевой структуре. Крупные предприятия требуют сетевой изоляции для защиты своих ресурсов от несанкционированного доступа, изменения или утечки данных и моделей. Они также должны соответствовать нормативным требованиям и стандартам, которые применяются к их отрасли и области.
Рассмотрите возможность изоляции сети в трех областях в Microsoft Foundry
Рассмотрите возможность изоляции сети в следующих трех областях в Microsoft Foundry:
- Inbound access к ресурсу Microsoft Foundry. Например, для специалистов по обработке и анализу данных для безопасного доступа к ресурсу.
- Outbound access из ресурса Microsoft Foundry. Например, для доступа к другим службам Azure.
- Outbound access от клиента Microsoft Foundry Agent для достижения необходимых зависимостей, таких как частные источники данных, службы PaaS Azure или утвержденные интернет-конечные точки, при этом весь трафик сохраняется в пределах сетевых границ, определяемых клиентом, через внедрение виртуальной сети.
На следующей схеме разбивается входящий и исходящий трафик.
Входящий доступ
Задайте входящий доступ к защищенному проекту Microsoft Foundry с помощью флага доступа к общедоступной сети (PNA). Параметр флага PNA определяет, требуется ли для вашего проекта частная конечная точка для доступа. Дополнительный параметр между общедоступным и частным включен из выбранных IP-адресов. Этот параметр позволяет получить доступ к проекту из указанных IP-адресов.
Исходящий доступ
Сетевая изоляция Microsoft Foundry охватывает как платформу как услугу (PaaS), так и управляемые платформой компоненты инфраструктуры. Ресурсы PaaS, такие как проект Microsoft Foundry, хранилище, Key Vault, реестр контейнеров и мониторинг, изолированы с помощью Приватный канал. Вместо того чтобы клиенты управляют вычислительными ресурсами IaaS для обучения или сетевых конечных точек, Foundry использует внедрение виртуальной сети (VNet) клиента агента. Клиент агента внедряется в подсеть виртуальной сети, управляемой заказчиком, обеспечивая исходящую связь с ресурсами Azure PaaS через частные конечные точки и Приватный канал, при этом весь трафик остается в границах сети, установленных заказчиком.
В модели частной сети службы агента клиенты не управляют отдельными вычислительными ресурсами в Foundry. Вместо этого клиент агента функционирует в делегированной подсети агента, а платформа осуществляет инъекцию контейнеров для интеграции с виртуальной сетью клиента.
Необходимые условия
Прежде чем приступить к работе, убедитесь, что у вас есть следующие предварительные требования.
- Существующая виртуальная сеть Azure.
- Разрешения Azure для создания и утверждения подключений к частной конечной точке:
- В виртуальной сети: вкладчик сети (или эквивалентный) для создания частной конечной точки.
- На ресурсе проекта Foundry: участник (или владелец) может создавать подключения к частным конечным точкам. Если у вас нет разрешений на утверждение, подключение частной конечной точки остается в состоянии ожидания , пока владелец ресурса не утвердит его.
- Если вы управляете частными DNS-зонами: Участник частной DNS-зоны (или эквивалент) для частной DNS-зоны, которую вы связываете с виртуальной сетью.
Важно
Стандартные настройки требуют использования собственных ресурсов (BYO), чтобы все данные агента оставались у арендатора Azure.
Ресурсы BYO включают: служба хранилища Azure, Поиск с использованием ИИ Azure и Azure Cosmos DB.
Все данные, обработанные службой агента Foundry, автоматически хранятся в состоянии покоя в этих ресурсах, что помогает соответствовать требованиям по соблюдению корпоративных стандартов безопасности.
Настройка пошагового руководства по входящей сетевой изоляции
В этом разделе описано, как создать ресурс Foundry с включенной сетевой изоляцией входящего трафика. Для доступа к общедоступной сети можно задать значение "Отключено " с включенной частной конечной точкой (приватным каналом) или задать для выбранных сетей , чтобы предоставить определенные IP-адреса и виртуальные сети возможность безопасного доступа к Foundry.
Создание ресурса и проекта с частной конечной точкой
При создании нового ресурса Foundry выполните следующие действия.
На портале Azure найдите Foundry и выберите Создать ресурс.
После настройки вкладки "Основные сведения" выберите вкладку "Сеть" и выберите параметр "Отключено " для общедоступного доступа.
В разделе "Частная конечная точка " выберите +Добавить частную конечную точку.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме виртуальная сеть выберите virtual network и подсеть, к которой требуется подключиться.
Примечание
В пользовательском интерфейсе портала целевой объект, в котором создается частная конечная точка, должен быть помечен как "учетная запись". При появлении запроса выберите ресурс Foundry.
Перейдите к формам, чтобы создать проект. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Добавление частной конечной точки в существующий ресурс
Если у вас есть существующий ресурс и проект Foundry и требуется добавить сетевую изоляцию:
На портале Azure выберите ресурс Foundry.
В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ". Выберите +Частная конечная точка.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме виртуальная сеть выберите virtual network и подсеть, к которой требуется подключиться.
После заполнения форм любыми другими конфигурациями сети, которые вам нужны, используйте вкладку "Проверка и создание", чтобы просмотреть параметры и выбрать "Создать", чтобы создать частную конечную точку.
Совет
После создания частной конечной точки перейдите в раздел конфигурации DNS, чтобы обеспечить надлежащее разрешение имен.
Конфигурация DNS
Клиенты виртуальной сети, использующие частную конечную точку, используют ту же строка подключения для ресурса и проектов Foundry, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение DNS автоматически направляет подключения из виртуальной сети к ресурсу Foundry и проектам по приватной ссылке.
Применение изменений DNS для частных конечных точек
При создании частной конечной точки Azure обновляет запись ресурса DNS CNAME для ресурса Foundry на псевдоним в поддомене с префиксом privatelink. По умолчанию Azure также создает частную зону DNS, соответствующую поддомену privatelink с записями ресурсов DNS A для частных конечных точек. Дополнительные сведения см. в разделе что такое Azure Частная зона DNS.
При разрешении URL-адреса конечной точки за пределами виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку ресурса Foundry. При разрешении из виртуальной сети, в которой размещена частная конечная точка, происходит разрешение на частный IP-адрес этой частной конечной точки.
Этот подход позволяет получить доступ к ресурсу Foundry с помощью той же строка подключения для клиентов в виртуальной сети, где размещаются частные конечные точки и клиенты за пределами виртуальной сети.
Если вы используете пользовательский DNS-сервер в своей сети, клиенты должны иметь возможность выполнять разрешение полного доменного имени (FQDN) для ресурсной конечной точки Foundry на IP-адрес частного соединения. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети.
Совет
При использовании настраиваемого или локального DNS-сервера настройте DNS-сервер для разрешения имени ресурса Foundry в поддомене privatelink на IP-адрес частной конечной точки. Делегируйте поддомен privatelink частной зоне DNS виртуальной сети. Кроме того, настройте зону DNS DNS-сервера и добавьте записи DNS A.
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:
Проверка конфигурации
Выполните следующие действия, чтобы убедиться, что частная конечная точка одобрена и что DNS разрешает запросы на частный IP-адрес из вашей виртуальной сети.
На портале Azure перейдите к ресурсу проекта. В разделе "Подключения> сети" убедитесь, что состояние подключения утверждено.
На виртуальной машине, подключенной к виртуальной сети (или из локального компьютера, подключенного через VPN/ExpressRoute), устраните конечную точку Foundry и убедитесь, что она разрешает частный IP-адрес частной конечной точки.
nslookup <your-foundry-endpoint-hostname>Проверьте подключение к IP-адресу частной конечной точки через порт 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Ссылки: Test-NetConnection
Управление частными конечными точками
После создания проекта Foundry, изолированного от сети, может потребоваться изменить конфигурацию сети. В этом разделе рассматриваются распространенные задачи управления.
Удаление частной конечной точки
Вы можете удалить одну или все частные конечные точки для проекта. При удалении частной конечной точки проект удаляется из Azure Virtual Network, с которым связана конечная точка. Удаление частной конечной точки может предотвратить доступ проекта к ресурсам в этой виртуальной сети или доступ ресурсов в виртуальной сети к рабочей области. Например, если виртуальная сеть не разрешает доступ к общедоступному Интернету или из нее.
Предупреждение
Удаление частных конечных точек для проекта не делает его общедоступным. Чтобы сделать проект общедоступным, выполните действия, описанные в разделе "Включение общедоступного доступа ".
Чтобы удалить частную конечную точку, выполните следующие действия.
- На портале Azure выберите проект.
- В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ".
- Выберите конечную точку для удаления и нажмите кнопку "Удалить".
Включение общедоступного доступа
В некоторых ситуациях может потребоваться разрешить кому-то подключаться к защищенному проекту через общедоступную конечную точку, а не через виртуальную сеть. Или вы можете удалить проект из виртуальной сети и повторно включить общедоступный доступ.
Важно
Включение общедоступного доступа не удаляет какие-либо частные конечные точки, которые существуют. Все связи между компонентами виртуальной сети, к которым подключаются частные конечные точки, по-прежнему защищены. Он обеспечивает общедоступный доступ только к проекту, а также частный доступ через любые частные конечные точки.
На портале Azure выберите проект.
В левой части страницы выберите "Управление ресурсами", "Сеть", а затем перейдите на вкладку "Брандмауэры" и "Виртуальные сети ".
Выберите "Все сети" и нажмите кнопку "Сохранить".
Предоставление доступа к доверенным службам Azure
Если проект Foundry ограничивает доступ к сети, предоставьте подмножество доверенных служб Azure доступ к Foundry при сохранении правил сети для других приложений. Эти доверенные службы затем используют управляемое удостоверение для проверки подлинности. В следующей таблице перечислены службы, которые могут получить доступ к Foundry, если управляемое удостоверение этих служб имеет соответствующее назначение ролей:
| Сервис | Имя поставщика ресурсов |
|---|---|
| Инструменты литейного производства | Microsoft.CognitiveServices |
| Поиск с использованием ИИ Azure | Microsoft.Search |
| Машинное обучение Azure | Microsoft.MachineLearningServices |
Предоставьте сетевой доступ доверенным службам Azure, создав исключение сетевого правила с помощью REST API или портала Azure.
Выбор метода безопасного подключения к Foundry
Чтобы получить доступ к ресурсу Foundry с отключенным доступом в общую сеть и находящимся за виртуальной сетью с частной конечной точкой, используйте один из следующих методов:
Azure Virtual Network Gateway — подключение локальных сетей к виртуальной сети по частному соединению через общедоступный Интернет. Выберите один из двух типов VPN-шлюза:
- Точка-сайт: Каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети.
- Межсетевая связь: Устройство VPN подключает виртуальную сеть к вашей локальной сети.
ExpressRoute — подключение локальных сетей к Azure через частный подключение через поставщика подключений.
Бастион Azure виртуальная машина — создайте виртуальную машину Azure (прыжковый сервер) в виртуальной сети, затем подключитесь к ней через Бастион Azure с помощью RDP или SSH из вашего веб-браузера. Используйте виртуальную машину в качестве среды разработки. Так как он находится в виртуальной сети, он может напрямую получить доступ к ресурсу.
Настройка пошагового руководства по исходящей сетевой изоляции
В этом разделе описано, как создать ресурс Foundry с включенной исходящей сетевой изоляцией. Вы можете выбрать оптимальный подход к безопасному исходящему доступу для клиента агента и оценки: внедрение виртуальной сети через собственную виртуальную сеть (виртуальную сеть BYO) или управляемую виртуальную сеть (предварительная версия). Дополнительные сведения об управляемых сетях см. в документации по управляемой сети. В этом разделе описывается сетевая изоляция с помощью пользовательской виртуальной сети (BYO).
Подробные сведения о внедрении сети для службы агента и оценки
Если вы создаете агентов, интерактивные агенты или размещенные (предварительный просмотр) агенты, проводите оценку и хотите полную сетевую изоляцию, см. статью Как использовать виртуальную сеть с службой агентов ИИ Azure. В этой статье содержатся сведения о необходимых зонах DNS, эталонной архитектуре и известных ограничениях. Для обоих типов создаваемых агентов — оперативных и размещённых агентов — применяется одинаковая инъекция сетевого трафика для исходящего трафика.
Создание нового ресурса и проекта с внедрением виртуальной сети
Вы можете создать ресурс Foundry с внедрением виртуальной сети с помощью пользовательской виртуальной сети (BYO VNet) на портале Azure. Кроме того, можно создать ресурс Foundry с внедрением виртуальной сети из шаблона Bicep или Terraform.
При создании нового ресурса Foundry выполните следующие действия.
- На портале Azure найдите Foundry и выберите Создать ресурс.
- После настройки вкладки "Основные сведения" выберите вкладку "Хранилище " и выберите "Выбрать ресурсы " в службе агента.
- Выберите или создайте новую учетную запись хранения, ресурс поиска ИИ и Azure Cosmos DB. Если вы настраиваете Foundry с внедрением виртуальной сети, необходимо также использовать собственные ресурсы хранилища, поиска ИИ и Azure Cosmos DB, создав стандартного агента с полной изоляцией виртуальной сети.
- После настройки вкладки хранилища выберите вкладку "Сеть " и выберите параметр "Отключено " для общедоступного доступа. Добавьте частную конечную точку с помощью инструкций из раздела изоляции входящего трафика.
- После настройки входящей частной конечной точки появится новый раскрывающийся список для установки внедрения виртуальной сети. Выберите свою виртуальную сеть в первом раскрывающемся списке, а затем выберите субнет, делегированную Microsoft. App/environments с размером подсети /27 или больше. Размер этой делегации и подсети необходим для внедрения.
- Продолжайте заполнять формы для создания проекта. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Примечание
Возможность создания ресурса Foundry с внедрением виртуальной сети на портале Azure отображается только в том случае, если вы выбрали собственные ресурсы для хранилища, поиска и CosmosDB, если вы выбрали доступ к общедоступной сети как отключенный. Мы не поддерживаем внедрение виртуальной сети с управляемыми ресурсами, также известное как настройка базового агента, или если у вас включен доступ к общедоступной сети.
Частные конечные точки для Поиск с использованием ИИ Azure, служба хранилища Azure и Azure CosmosDB не создаются автоматически при развертывании ресурса Foundry. Обязательно создайте частные конечные точки для этих ресурсов отдельно на страницах ресурсов на портале Azure.
Средства агента с сетевой изоляцией
Поддержка инструментов и поток трафика
Некоторые средства агента поддерживаются, когда Foundry изолирован от сети, а другие — нет. В следующей таблице показано состояние поддержки инструментов агента в изолированных от сети средах и как осуществляется поток трафика. В этой статье рассматриваются функции поддержки виртуальной сети для новых агентов API ответов, созданных с помощью пакета SDK/CLI или на новом портале Foundry, а не агенты, созданные на классическом портале Foundry.
Примеры кода для запуска этих инструментов агента в среде с защищенной сетью можно найти в шаблоне примера 19-hybrid-private-resources-agent-setup.
| Инструмент | Состояние поддержки | Поток трафика |
|---|---|---|
| Средство MCP (частный MCP) | ✅ Поддерживается | Через подсеть виртуальной сети |
| Поиск с использованием ИИ Azure | ✅ Поддерживается | Через частную конечную точку |
| Интерпретатор кода | ✅ Поддерживается | магистральная сеть Microsoft |
| Вызов функции | ✅ Поддерживается | магистральная сеть Microsoft |
| Заземление Bing | ✅ Поддерживается | Общедоступная конечная точка |
| Веб-поиск | ✅ Поддерживается | Общедоступная конечная точка |
| Основы SharePoint | ✅ Поддерживается | Общедоступная конечная точка |
| Foundry IQ (предварительная версия) | ✅ Поддерживается | Через MCP |
| Средство OpenAPI | ✅ Поддерживается | Через виртуальную сеть (VNET) |
| Функции Azure | ✅ Поддерживается | Через виртуальную сеть (VNET) |
| Агент — агент (A2A) | ✅ Поддерживается | Через виртуальную сеть (VNET) |
| Агент данных Fabric | ❌ Не поддерживается | В процессе разработки |
| Logic Apps | ❌ Не поддерживается | В процессе разработки |
| Поиск файлов | ❌ Не поддерживается | В процессе разработки |
| Автоматизация браузера | ❌ Не поддерживается | В процессе разработки |
| Использование компьютера | ❌ Не поддерживается | В процессе разработки |
| Создание образа | ❌ Не поддерживается | В процессе разработки |
Примечание
средства Public endpoint tools (Bing Grounding, Websearch, SharePoint Grounding) работают в изолированных от сети средах, но обмениваются данными через общедоступный Интернет. Эти средства не требуют частных конечных точек или конфигурации виртуальной сети. Если вашей организации требуется, чтобы весь трафик оставался в частной сети, эти средства могут не соответствовать вашим требованиям соответствия.
Требования к конфигурации по шаблону трафика
Инструменты, использующие подсеть вашей виртуальной сети (инструмент MCP, Поиск с использованием ИИ Azure, OpenAPI, A2A, Функции Azure):
Дополнительные сведения о поддержке и настройке частных MCP см. в разделе 19-hybrid-private-resources-agent-setup. Используйте этот шаблон, чтобы понять, как настроить инструменты агента с вашим сетевым изолированным ресурсом Foundry от начала до конца.
Инструменты, использующие основную сеть Microsoft (интерпретатор кода, вызов функции):
Для использования этих средств не требуется никаких частных конечных точек, и для использования этих средств не требуется дополнительная конфигурация сети. Ваш трафик остается в магистральной сетевой инфраструктуре Microsoft, обеспечивая безопасность.
Инструменты, использующие общедоступные конечные точки (Bing, Websearch, SharePoint):
Для использования этих средств не требуется никаких частных конечных точек, и для использования этих средств не требуется дополнительная конфигурация сети. Однако эти средства взаимодействуют по общедоступным конечным точкам. Если вы не хотите, чтобы пользователи в вашей организации использовали эти средства из-за характера общедоступной конечной точки, их можно заблокировать с помощью политик Azure.
Конфигурация сети концентратора и узла и брандмауэра
Чтобы защитить исходящий трафик через инъекцию в сеть, настройте Брандмауэр Azure или другое брандмауэрное решение. Эта конфигурация помогает проверять исходящий трафик и управлять им перед выходом из виртуальной сети.
Кроме того, можно использовать сетевую архитектуру концентратора и периферийной сети, в которой виртуальная сеть создается для общего брандмауэра (концентратора) и отдельной виртуальной сети для сетей Foundry (периферийный). Эти виртуальные сети затем соединены посредством пиринга.
Примечание
На предыдущей схеме показана архитектура концентратора и периферийных серверов с централизованным брандмауэром. Если вы используете автономный проект Foundry без топологии на основе концентратора, макет сети будет отличаться. Адаптируйте конфигурацию брандмауэра и пиринга, чтобы соответствовать определенной структуре виртуальной сети.
Ограничения и рекомендации
Ознакомьтесь с этими ограничениями перед реализацией сетевой изоляции для Foundry. В этом разделе объединяются все известные ограничения между частными конечными точками, интерфейсами портала, службой агента и инструментами.
Ограничения функций Foundry
Следующие функции в Foundry пока не поддерживают сетевую изоляцию.
| Функция | Состояние сетевой изоляции | Заметки |
|---|---|---|
| Генерация искусственных данных для оценки | Не поддерживается | Принесите собственные данные для выполнения вычислений. |
| Следы | Не поддерживается | Трассировки пока не поддерживают виртуальную сеть с частной службой Application Insights. |
| Агенты рабочего процесса | Частично поддерживается | Входящий доступ поддерживается в пользовательском интерфейсе, пакете SDK и CLI. Исходящий трафик с внедрением виртуальной сети в настоящее время не поддерживается для агентов рабочих процессов. |
| Шлюз ИИ (APIM) | Частично поддерживается с помощью пользовательского интерфейса Foundry | Вы можете создать шлюз искусственного интеллекта с частным ресурсом Foundry на новом портале Foundry, но этот шлюз автоматически является общедоступным. Чтобы завершить любые действия плоскости данных с помощью частного Foundry, шлюз ИИ также должен иметь сетевую изоляцию, настроенную с помощью портал Azure. Дополнительные сведения см. в разделе "Сеть для шлюза искусственного интеллекта". |
| Некоторые инструменты агента | Частично поддерживается | Дополнительные сведения о состоянии поддержки инструментов см. в средствах агента с сетевой изоляцией . |
Дополнительные ограничения сетевой изоляции службы агента см. в статье Как использовать виртуальную сеть с Azure AI Agent Service.
Сведения о других ограничениях
- Частный поиск ИИ с частным агентом Foundry. Если вы используете поиск ИИ с отключенным общедоступным сетевым доступом в качестве инструмента агента в изолированной сетевой среде Foundry, убедитесь, что вы используете новый портал Foundry для создания новых агентов. Этот сценарий не поддерживается с более старой версией службы агента на классическом портале Foundry.
- Публикация агентов в Teams/M365: Вы можете публиковать агента в Teams и M365, если в ресурсе Foundry отключен доступ к общедоступной сети. Для этого интерфейса существуют дополнительные требования к настройке. Для получения дополнительной информации, пожалуйста, следуйте этой записи блога о создании агентов пользовательских движков, когда ваш ресурс Foundry является приватным.
- Размещенные агенты с частной Реестр контейнеров Azure: Если вы хотите развернуть размещенные агенты в Foundry, убедитесь, что в Реестр контейнеров Azure включен доступ к общедоступной сети. Доступ к общедоступной сети отключен с помощью частной конечной точки Реестр контейнеров Azure еще не поддерживается с помощью частной настройки Foundry. Размещенные агенты можно развернуть на частной Foundry, настроенной используя существующие сетевые шаблоны. Вам не нужно повторно развертывать частную виртуальную сеть, внедренную Foundry.
Ограничения частной конечной точки
- Регион и подписка. Необходимо развернуть частную конечную точку в том же регионе и подписке, что и виртуальная сеть.
- Состояние подключения: только частные конечные точки в утвержденном состоянии могут отправлять трафик в ресурс приватного канала.
- Диапазон IP-адресов: не используйте диапазон IP-адресов 172.17.0.0/16 для виртуальной сети. Этот диапазон зарезервирован сетью моста Docker.
- Утверждения: Если у вас нет разрешений участника или владельца ресурса Foundry, подключения частной конечной точки остаются в состоянии ожидания до утверждения.
Устранение проблем с частным конечным узлом
Если после настройки частной конечной точки возникают проблемы с подключением, выполните следующие действия.
Проблемы с частной конечной точкой
- Частная конечная точка находится в состоянии ожидания: убедитесь, что у вас есть разрешения участника или владельца в ресурсе проекта Foundry. Если вы этого не сделаете, попросите владельца ресурса утвердить подключение на вкладке "Подключения к частной конечной точке>".
- Не удается создать частную конечную точку: убедитесь, что у вас есть роль Сетевого участника в виртуальной сети и подсети, где вы создаете конечную точку. Убедитесь, что подсеть не заполнена (IP-адреса имеются).
Проблемы с разрешением DNS
-
Разрешение DNS возвращает общедоступный IP-адрес: убедитесь, что частная зона DNS существует для
privatelinkподдомена и связана с виртуальной сетью. Запуститеnslookup <your-foundry-endpoint-hostname>внутри виртуальной сети, чтобы убедиться, что он определяется как частный IP-адрес. -
Пользовательский DNS-сервер не разрешает. Если вы используете пользовательский DNS-сервер, убедитесь, что он перенаправляет запросы для поддомена
privatelinkна Azure DNS (168.63.129.16). Дополнительные сведения см. в конфигурации DNS . - Периодические DNS-сбои: Убедитесь, что ваш DNS-сервер (настраиваемый или предоставляемый Azure) доступен из всех подсетей. Проверьте параметры DNS-сервера в виртуальной сети и отдельных сетевых адаптерах.
Проблемы с подключением
- Тайм-аут подключения на порту 443: Убедитесь, что правила группы безопасности сети (NSG) разрешают исходящий трафик к IP-адресу частной конечной точки через порт 443. Кроме того, убедитесь, что брандмауэр не блокирует подключение.
- Не удается получить доступ к Foundry из локальной среды: убедитесь, что подключение VPN или ExpressRoute или виртуальной машины активно, а таблицы маршрутизации включают адресное пространство виртуальной сети. Проверьте подключение к частному IP-адресу из локальной среды.
- 403 Запрещенные ошибки: это часто указывает на проблемы проверки подлинности, а не сети. Убедитесь, что ваши учетные данные имеют соответствующие роли RBAC в проекте Foundry.
Устранение неполадок, связанных с агентом
- Не удается запустить агент в изолированном от сети проекте: убедитесь, что вы используете развертывание агента уровня "Стандартный" (а не "Базовый"). Убедитесь, что инъекция сети настроена правильно и что подсеть имеет достаточно доступных IP-адресов.
- Agent не может получить доступ к средствам MCP. Убедитесь, что для всех Azure служб доступа к средствам MCP существуют частные конечные точки. Убедитесь, что у управляемого удостоверения есть соответствующие роли для управления доступом на основе ролей (RBAC). Проверьте, что правила брандмауэра разрешают трафик от агента к службе.
- Сбой вычислений с ошибками сети: убедитесь, что настроены все необходимые зоны DNS. Убедитесь, что вычислительная система для оценки может взаимодействовать с конечными точками Foundry и модельными конечными точками через частные каналы связи.
- Тайм-ауты агентов при вызовах внешних API: Если агенты должны вызывать внешние API, не относящиеся к Azure, убедитесь, что брандмауэр разрешает исходящие HTTPS-соединения к этим адресатам или разверните шлюз NAT для управляемого исходящего трафика.