Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Tip
Доступна альтернативная версия этой статьи, ориентированная на Центр: настройка приватной ссылки для центра Microsoft Foundry.
При использовании проекта Foundry можно использовать приватный канал для безопасного взаимодействия с проектом. В этой статье описывается, как установить частное подключение к проекту с помощью приватного канала.
Note
Сквозная сетевая изоляция не поддерживается в новом интерфейсе портала Foundry. Используйте классический интерфейс портала Foundry или пакет SDK или CLI для безопасного доступа к проектам Foundry при включении сетевой изоляции. Дополнительные сведения об ограничениях с частными сетями в Foundry см. в разделе об ограничениях.
Prerequisites
Существующая виртуальная сеть Azure и подсеть для создания частной конечной точки.
Разрешения Azure для создания и утверждения подключений к частной конечной точке:
- В виртуальной сети: участник сети (или эквивалентный), чтобы создать частную конечную точку.
- На ресурсе проекта Foundry: участник (или владелец) для создания подключений к частной конечной точке. Если у вас нет разрешений на утверждение, подключение частной конечной точки остается в состоянии ожидания , пока владелец ресурса не утвердит его.
- Если вы управляете частными зонами DNS: вкладчик частной зоны DNS (или эквивалентный) для частной зоны DNS, которую вы связываете с виртуальной сетью.
Important
Не используйте диапазон IP-адресов 172.17.0.0/16 для виртуальной сети. Этот диапазон — это диапазон подсети по умолчанию, используемый локальной сетью моста Docker.
Безопасное подключение к Foundry
Чтобы подключиться к Foundry, защищенному виртуальной сетью, используйте один из следующих методов:
VPN-шлюз Azure . Подключение локальных сетей к виртуальной сети через частное подключение через общедоступный Интернет. Выберите один из двух типов VPN-шлюза:
- Точка — сеть. Каждый клиентский компьютер использует VPN-клиент для подключения к виртуальной сети.
- Сеть — сеть: VPN-устройство подключает виртуальную сеть к локальной сети.
ExpressRoute — подключение локальных сетей к Azure через частное подключение через поставщика подключений.
Бастион Azure . Создайте виртуальную машину Azure (поле перехода) в виртуальной сети, а затем подключитесь к ней через Бастион Azure с помощью RDP или SSH из браузера. Используйте виртуальную машину в качестве среды разработки. Так как он находится в виртуальной сети, он может напрямую получить доступ к рабочей области.
Создание проекта Foundry, использующего частную конечную точку
При создании проекта выполните следующие действия, чтобы создать проект.
На портале Azure найдите Foundry и выберите "Создать ресурс".
После настройки вкладки "Основные сведения" выберите вкладку "Сеть" , а затем параметр "Отключено ".
В разделе "Частная конечная точка " выберите +Добавить частную конечную точку.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме виртуальная сеть выберите виртуальную сеть и подсеть, к которой требуется подключиться.
Note
В пользовательском интерфейсе портала целевой объект, в котором создается частная конечная точка, может быть помечен как "учетная запись" или "ресурс". При появлении запроса выберите ресурс проекта Foundry.
Продолжайте заполнять формы, чтобы создать проект. Когда вы достигнете вкладки "Просмотр и создание ", просмотрите параметры и нажмите кнопку "Создать ", чтобы создать проект.
Добавление частной конечной точки в проект
На портале Azure выберите проект.
В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ". Выберите +Частная конечная точка.
При переходе по формам для создания частной конечной точки обязательно выполните следующие действия.
- В списке "Основы" выберите тот же регион , что и виртуальная сеть.
- В форме виртуальная сеть выберите виртуальную сеть и подсеть, к которой требуется подключиться.
Note
Портал называет целевую частную конечную точку "учетной записью" или "ресурсом". Выберите ресурс проекта Foundry в качестве целевого объекта.
После заполнения форм необходимыми конфигурациями сети используйте вкладку "Проверка и создание", чтобы просмотреть параметры и выбрать "Создать", чтобы создать частную конечную точку.
Удаление частной конечной точки из проекта
Вы можете удалить одну или все частные конечные точки для проекта. При удалении частной конечной точки проект удаляется из виртуальной сети Azure, с которым связана конечная точка. Удаление частной конечной точки может препятствовать доступу к ресурсам проекта в этой виртуальной сети или помешать ресурсам в виртуальной сети получить доступ к рабочей области. Например, если виртуальная сеть не разрешает доступ к общедоступному Интернету или из нее.
Warning
Удаление частных конечных точек для проекта не делает его общедоступным. Чтобы сделать проект общедоступным, выполните действия, описанные в разделе "Включение общедоступного доступа ".
Чтобы удалить частную конечную точку, используйте следующую информацию:
- На портале Azure выберите проект.
- В левой части страницы выберите "Управление ресурсами", "Сеть" и перейдите на вкладку "Подключения к частной конечной точке ".
- Выберите конечную точку для удаления, а затем нажмите кнопку Удалить.
Включение открытого доступа
В некоторых ситуациях может потребоваться разрешить кому-то подключаться к защищенному проекту через общедоступную конечную точку, а не через виртуальную сеть. Или вы можете удалить проект из виртуальной сети и повторно включить общедоступный доступ.
Important
При включении общего доступа существующие частные конечные точки не удаляются. Все связи между компонентами виртуальной сети, к которым подключаются частные конечные точки, по-прежнему защищены. Он обеспечивает общедоступный доступ только к проекту, а также частный доступ через любые частные конечные точки.
На портале Azure выберите проект.
В левой части страницы выберите "Управление ресурсами", "Сеть", а затем перейдите на вкладку "Брандмауэры" и "Виртуальные сети ".
Выберите "Все сети" и нажмите кнопку "Сохранить".
DNS configuration (Настройка DNS)
Клиенты виртуальной сети, использующие частную конечную точку, используют ту же строку подключения для ресурса и проектов Foundry, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение DNS автоматически направляет подключения из виртуальной сети к ресурсу Foundry и проектам по приватной ссылке.
Применение изменений DNS для частных конечных точек
При создании частной конечной точки Azure обновляет ресурсную запись DNS CNAME для ресурса Foundry, заменяя её псевдонимом в поддомене с использованием префикса privatelink. По умолчанию Azure также создает частную зону DNS, соответствующую privatelink поддомену, с записями ресурсов DNS A для частных конечных точек. Дополнительные сведения см. в статье о том, что такое Частная служба DNS Azure.
При разрешении URL-адреса конечной точки за пределами виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку ресурса Foundry. При разрешении из виртуальной сети, на котором размещена частная конечная точка, он разрешает частный IP-адрес частной конечной точки.
Этот подход позволяет получить доступ к ресурсу Foundry, используя ту же строку подключения для клиентов в виртуальной сети, где размещаются частные конечные точки и клиенты за пределами виртуальной сети.
Если вы используете пользовательский DNS-сервер в своей сети, клиенты должны иметь возможность определять полное доменное имя (FQDN) конечной точки ресурса Foundry в IP-адрес частной конечной точки. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети.
Tip
При использовании настраиваемого или локального DNS-сервера настройте DNS-сервер для разрешения имени ресурса Foundry в поддомене privatelink на IP-адрес частной конечной точки.
privatelink Делегировать поддомен частной зоне DNS виртуальной сети. Кроме того, настройте зону DNS DNS-сервера и добавьте записи DNS A.
Дополнительные сведения о настройке собственного DNS-сервера для поддержки частных конечных точек см. в следующих статьях:
- Разрешение имен с помощью собственного DNS-сервера
- DNS configuration (Настройка DNS)
Проверка конфигурации
Выполните следующие действия, чтобы убедиться, что частная конечная точка утверждена и что DNS разрешает частный IP-адрес изнутри вашей виртуальной сети.
На портале Azure перейдите к ресурсу проекта. В разделе "Подключения> сети" убедитесь, что состояние подключения утверждено.
На виртуальной машине, подключенной к виртуальной сети (или из локального компьютера, подключенного через VPN/ExpressRoute), разрешите конечную точку Foundry и убедитесь, что она разрешается в частный IP-адрес частной конечной точки.
nslookup <your-foundry-endpoint-hostname>Проверьте подключение к IP-адресу частной конечной точки через порт 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Ссылки
Предоставить доступ к доверенным службам Azure
Если проект Foundry использует Azure OpenAI и ограничивает доступ к сети, предоставьте подмножество доверенных служб Azure, доступ к Azure OpenAI при сохранении сетевых правил для других приложений. Эти доверенные службы затем используют управляемое удостоверение для проверки подлинности в Azure OpenAI. В следующей таблице перечислены службы, которые могут получить доступ к Azure OpenAI, если управляемое удостоверение этих служб имеет соответствующее назначение роли:
| Service | Имя поставщика ресурсов |
|---|---|
| Инструменты литейного производства | Microsoft.CognitiveServices |
| Поиск с использованием ИИ Azure | Microsoft.Search |
| Машинное обучение Azure | Microsoft.MachineLearningServices |
Предоставьте сетевой доступ доверенным службам Azure, создав исключение сетевого правила с помощью REST API или портала Azure.
Limitations
- Необходимо развернуть частную конечную точку в том же регионе и подписке, что и виртуальная сеть.
- Только частные конечные точки в утвержденном состоянии могут отправлять трафик в ресурс приватного канала.
- Сквозная сетевая изоляция в Foundry не поддерживается в новом интерфейсе портала Foundry. Сквозная сетевая изоляция в Foundry не поддерживается для новой версии службы агента. Используйте классический интерфейс портала Foundry с текущей версией службы агента для безопасного доступа к проектам Foundry при включении сетевой изоляции.
- При использовании изолированной сети Foundry нельзя использовать частные серверы MCP, развернутые в одной виртуальной сети. Вы можете использовать только общедоступные серверы MCP.
- Размещенные агенты в Microsoft Foundry не поддерживаются с сквозной сетевой изоляцией.
Сценарии сетевой изоляции службы агента (включая внедрение сети, сквозную изоляцию и ограничения) см. в статье "Использование виртуальной сети" со службой агента ИИ Azure.
Комплексная безопасная сетевая интеграция для службы агента Foundry и оценивания
Если вы создаете агенты или выполняете оценки и хотите сквозную сетевую изоляцию, используйте инструкции из руководства по использованию виртуальной сети со службой агента ИИ Azure. В этой статье содержатся обязательные зоны DNS, эталонная архитектура и известные ограничения.
Внедрение сети для службы агента и оценки
Сетевые агенты уровня "Стандартный" и оценочные меры поддерживают полную изоляцию сети и обеспечивают защиту от утечки данных через сетевое вмешательство. Внедрение сети поддерживает только развертывание и оценку агента уровня "Стандартный", а не развертывание агента Light.
Конфигурация брандмауэра для исходящего трафика агента и оценки
Чтобы защитить исходящий трафик через сетевую инъекцию, настройте брандмауэр Azure или другой брандмауэр. Эта конфигурация помогает проверять исходящий трафик и управлять им перед выходом из виртуальной сети.
