Zugreifen auf lokale Ressourcen über Ihr Microsoft Foundry Managed Network (klassisch)

Gilt nur für:klassisches Foundry Portal. Dieser Artikel ist für das neue Foundry-Portal nicht verfügbar. Erfahren Sie mehr über das neue Portal.

Hinweis

Links in diesem Artikel können Inhalte in der neuen Microsoft Foundry-Dokumentation anstelle der jetzt angezeigten Foundry-Dokumentation (klassisch) öffnen.

Wichtig

Dieser Artikel bietet Unterstützung älterer Systeme für hub-basierte Projekte. Es funktioniert nicht für Foundry-Projekte. Vgl. Woher weiß ich, welche Art von Projekt ich habe?

SDK-Kompatibilitätshinweis: Codebeispiele erfordern eine bestimmte Microsoft Foundry SDK-Version. Wenn Kompatibilitätsprobleme auftreten, sollten Sie die Migration von einem hubbasierten zu einem Foundry-Projekt in Betracht ziehen.

Sie können ein Azure Application Gateway konfigurieren, damit Ihr verwaltetes virtuelles Netzwerk in Microsoft Foundry nicht-Azure-Ressourcen in einem anderen virtuellen Netzwerk oder lokal erreichen kann. Das Gateway stellt einen sicheren, privaten End-to-End-Pfad zu diesen Ressourcen bereit.

Azure Application Gateway ist ein Lastenausgleichsmodul, das Routingentscheidungen basierend auf der URL einer HTTPS-Anforderung trifft. Weitere Informationen finden Sie unter What is Azure Application Gateway.

Richten Sie das Anwendungsgateway in Ihrem Azure virtuellen Netzwerk für eingehenden Zugriff auf den Foundry-Hub ein. Nachdem Sie das Gateway konfiguriert haben, erstellen Sie einen privaten Endpunkt aus dem verwalteten virtuellen Netzwerk des Hubs bis zum Gateway. Der private Endpunkt behält den gesamten End-to-End-Pfad privat und außerhalb des Internets bei.

Informationen dazu, wie Das Anwendungsgateway Verbindungen mit Ressourcen ohne Azure sichert, finden Sie unter Wie ein Anwendungsgateway funktioniert.

Voraussetzungen

• Richten Sie das verwaltete virtuelle Netzwerk des Foundry-Hubs ein, und wählen Sie einen Isolationsmodus aus: „Ausgehenden Datenverkehr zulassen“ oder „Nur genehmigten ausgehenden Datenverkehr zulassen“. Weitere Informationen finden Sie unter Verwaltete virtuelle Netzwerkisolation.
• Rufen Sie den privaten HTTP(S)-Endpunkt der Ressource ab.
• Um das Azure CLI Beispiel in diesem Artikel zu verwenden, installieren Sie die Azure CLI und die erweiterung ml (Version 2.15.0 oder höher).
• Um das Python Beispiel in diesem Artikel zu verwenden, installieren Sie die Azure SDK für Pythonpakete:
  • pip install azure-ai-ml azure-identity
• Stellen Sie sicher, dass die verwaltete Identität des Hubs private Endpunktverbindungen im Zielanwendungsgateway genehmigen kann. Weisen Sie die Rolle Azure AI Enterprise Network Connection Approver (oder eine benutzerdefinierte Rolle mit entsprechenden Berechtigungen) für die Application Gateway-Ressource zu.
• Stellen Sie sicher, dass die Identität, die Sie zum Erstellen ausgehender privater Endpunktregeln verwenden, über Berechtigungen zum Erstellen privater Endpunktverbindungen verfügt, einschließlich dieser Azure RBAC-Aktionen:
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Erstellen der ausgehenden Regel für private Endpunkte (Azure CLI oder Python)

Nachdem Sie ein Azure Application Gateway mit einer privaten Frontend-IP-Konfiguration namens appGwPrivateFrontendIpIPv4 erstellt haben, fügen Sie dem Application Gateway eine ausgehende private Endpunktregel aus dem verwalteten virtuellen Netzwerk des Foundry-Hubs hinzu.

Azure CLI

Im folgenden Beispiel wird eine ausgehende Regel für einen privaten Endpunkt zu einem Application Gateway hinzugefügt oder aktualisiert. Ersetzen Sie die Platzhalterwerte durch Ihre eigenen Werte.

az ml workspace outbound-rule set \
  --resource-group <resource-group> \
  --workspace-name <hub-name> \
  --rule <rule-name> \
  --type private_endpoint \
  --service-resource-id "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Network/applicationGateways/<APP_GW_NAME>" \
  --subresource-target appGwPrivateFrontendIpIPv4 \
  --spark-enabled false \
  --fqdns "contoso.com,contoso2.com"

Dieser Befehl erstellt oder aktualisiert eine verwaltete ausgehende Regel und beginnt mit der Erstellung der verwalteten privaten Endpunktverbindung.

Verweise

• az ml workspace outbound-rule set

Python

Im folgenden Beispiel wird ein vorhandener Hub aktualisiert und eine ausgehende Regel eines privaten Endpunkts für ein Anwendungsgateway konfiguriert. Ersetzen Sie die Platzhalterwerte durch Ihre eigenen Werte.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import PrivateEndpointDestination
from azure.identity import DefaultAzureCredential

subscription_id = "<subscription-id>"
resource_group = "<resource-group>"
hub_name = "<hub-name>"

ml_client = MLClient(
    DefaultAzureCredential(),
    subscription_id=subscription_id,
    resource_group_name=resource_group,
    workspace_name=hub_name,
)

hub = ml_client.workspaces.get(name=hub_name)

hub.managed_network.outbound_rules = [
    PrivateEndpointDestination(
        name="<rule-name>",
        service_resource_id="/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Network/applicationGateways/<APP_GW_NAME>",
        subresource_target="appGwPrivateFrontendIpIPv4",
        spark_enabled=False,
        fqdns=["contoso.com", "contoso2.com"],
    )
]

ml_client.workspaces.begin_update(hub).result()

Verweise

• MLClient
• PrivateEndpointDestination

Unterstützte Ressourcen

Das Anwendungsgateway unterstützt jede Back-End-Ressource, die HTTP oder HTTPS verwendet. Das Anwendungsgateway überprüft Verbindungen vom verwalteten virtuellen Netzwerk zu den folgenden Ressourcen:

• JFrog Artifactory
• Schneeflocke
• Private APIs

Konfigurieren von Azure Application Gateway

Folgen Sie der Schnellstartanleitung: Direkter Webdatenverkehr mithilfe des Portals. Um Ihr Anwendungsgateway für die Verwendung mit Foundry ordnungsgemäß einzurichten, verwenden Sie beim Erstellen des Anwendungsgateways die folgenden Anleitungen:

1. Überprüfen Sie auf der Registerkarte " Grundlagen " die folgenden Einstellungen, und wenden Sie sie an.

   • Stellen Sie sicher, dass sich Ihr Anwendungsgateway in derselben Region wie die ausgewählte Azure Virtual Network befindet.
   • Foundry unterstützt nur IPv4 für Anwendungsgateway.
   • Wählen Sie in Ihrem virtuellen Netzwerk ein dediziertes Subnetz für das Anwendungsgateway aus. Stellen Sie keine anderen Ressourcen in diesem Subnetz bereit.

2. Auf der Registerkarte "Frontends " unterstützt Das Anwendungsgateway nicht nur eine private Frontend-IP-Adresse. Wählen Sie daher eine öffentliche IP-Adresse aus, oder erstellen Sie sie. Fügen Sie private IP-Adressen für Back-End-Ressourcen innerhalb des subnetzbereichs hinzu, den Sie auf der Registerkarte "Grundlagen" ausgewählt haben.

3. Fügen Sie auf der Registerkarte "Back-Ends " Back-End-Ziele zu Back-End-Pools für das Routing hinzu. Erstellen Sie nach Bedarf verschiedene Pools (z. B. eine Snowflake-Datenbank).

4. Konfigurieren Sie auf der Registerkarte "Konfiguration ", wie Front-End-IPs Anforderungen empfangen und an das Back-End weiterleiten.

   • Im Listener-Abschnitt :

     • Erstellen Sie einen Listener mit HTTP oder HTTPS, und geben Sie den Überwachungsport an. Wenn Sie zwei Listener auf derselben Front-End-IP verwenden möchten, die an verschiedene Back-End-Pools weitergeleitet werden, verwenden Sie unterschiedliche Ports. Eingehende Anforderungen werden durch Port unterschieden.
     • Wählen Sie für die End-to-End-TLS-Verschlüsselung einen HTTPS-Listener aus, und laden Sie Ihr Zertifikat hoch, damit das Anwendungsgateway die vom Listener empfangene Anforderung entschlüsseln kann. Weitere Informationen finden Sie unter Enabling end to end TLS on Azure Application Gateway.
     • Richten Sie für ein vollständig privates Back-End-Ziel ohne öffentlichen Netzwerkzugriff keinen Listener für die öffentliche Frontend-IP-Adresse oder die Routingregel ein. Das Anwendungsgateway leitet nur Anforderungen weiter, die Listener auf dem angegebenen Port empfangen. Um das unbeabsichtigte Hinzufügen eines öffentlichen Frontend-IP-Listeners zu vermeiden, sehen Sie sich die Netzwerksicherheitsregeln an, um den Zugriff auf das öffentliche Netzwerk einzuschränken.

   • Wenn Sie im Abschnitt "Back-End-Ziele " HTTPS verwenden und das Zertifikat des Back-End-Servers nicht von einer bekannten Zertifizierungsstelle ausgestellt wird, laden Sie das Stammzertifikat hoch (. CER) des Back-End-Servers. Weitere Informationen finden Sie unter Konfigurieren der End-to-End-TLS-Verschlüsselung mithilfe des Portals.

5. Nachdem die Anwendungsgateway-Ressource erstellt wurde, wechseln Sie im Azure-Portal zu dieser Ressource. Wählen Sie unter "Einstellungen" den link "Privat" aus, um den privaten Zugriff über eine private Endpunktverbindung zu aktivieren. Die Konfiguration für private Verknüpfungen wird standardmäßig nicht erstellt.

   • Wählen Sie + Hinzufügen aus, um die Private Link-Konfiguration hinzuzufügen, und verwenden Sie dann die folgenden Werte, um die Konfiguration zu erstellen:
     • Name: Geben Sie einen Namen für Ihre Konfiguration für private Links an.
     • Subnetz für private Links: Wählen Sie ein Subnetz in Ihrem virtuellen Netzwerk aus.
     • Front-End-IP-Konfiguration: appGwPrivateFrontendIpIPv4
   • Um zu überprüfen, ob der private Link ordnungsgemäß eingerichtet ist, wechseln Sie zur Registerkarte "Private Endpunktverbindungen ", und wählen Sie "+Privater Endpunkt" aus. Auf der Registerkarte "Ressource" sollte die Unterressource "Ziel" der Name Ihrer privaten Frontend-IP-Konfiguration sein. appGwPrivateFrontendIpIPv4 Wenn in der Unterressource "Ziel" kein Wert angezeigt wird, ist der Anwendungsgateway-Listener nicht ordnungsgemäß konfiguriert. Weitere Informationen finden Sie unter Configure Azure Application Gateway Private Link.

Konfigurieren eines privaten Links

1. Nachdem Sie die Front-End-IP- und Back-End-Pools des Anwendungsgateways erstellt haben, konfigurieren Sie den privaten Endpunkt aus dem verwalteten virtuellen Netzwerk auf das Anwendungsgateway. Im Azure-Portal wechseln Sie zu Ihrem Foundry-Hub, wählen Sie Networking, dann Arbeitsbereichsverwalteter ausgehender Zugriff> und + Benutzerdefinierte ausgehende Regeln hinzufügen aus.

2. Im Formular für Arbeitsbereich-Ausgangsregeln legen Sie die folgenden Werte fest, um den privaten Endpunkt einzurichten:

   • Regelname: Geben Sie einen Namen für den privaten Endpunkt für das Anwendungsgateway ein.
   • Zieltyp: Privater Endpunkt
   • Abonnement- und Ressourcengruppe: Wählen Sie das Abonnement und die Ressourcengruppe aus, in der das Anwendungsgateway bereitgestellt wird.
   • Ressourcentyp: Microsoft.Network/applicationGateways
   • Ressourcenname: Der Name Ihrer Application Gateway-Ressource.
   • Teilressource: appGwPrivateFrontendIpIPv4
   • FQDNs: Geben Sie die FQDN-Aliase ein, die im Foundry-Portal verwendet werden sollen. Sie werden in die private IP-Adresse des verwalteten privaten Endpunkts für Application Gateway aufgelöst. Fügen Sie mehrere FQDNs hinzu, wenn Sie mehrere Ressourcen über das Anwendungsgateway erreichen müssen.
     • Alle hinzugefügten FQDNs verwenden dieselbe IP-Adresse für das zielorientierte Anwendungsgateway.
     • Die IP-Adresse befindet sich im verwalteten virtuellen Netzwerkbereich, nicht im VNet-Bereich des Kunden.

   Hinweis

   • Wenn Sie einen HTTPS-Listener mit einem hochgeladenen Zertifikat verwenden, stellen Sie sicher, dass der FQDN-Alias mit dem Zertifikat CN (Gemeinsamer Name) oder SAN (Alternativer Antragstellername) übereinstimmt. Andernfalls schlägt der HTTPS-Aufruf aufgrund von SNI (Server Name Indication) fehl.
   • Jeder FQDN muss mindestens drei Bezeichnungen aufweisen, um die private DNS-Zone für den privaten Endpunkt für das Anwendungsgateway zu erstellen.
   • Sie können das FQDNs-Feld bearbeiten, nachdem Sie den privaten Endpunkt mithilfe des SDK oder der CLI erstellt haben. Sie können sie nicht im Azure-Portal bearbeiten.
   • Die Benennung dynamischer Unterressourcen wird für die private Front-End-IP-Konfiguration nicht unterstützt. Der Front-End-IP-Name muss sein appGwPrivateFrontendIpIPv4.

Konfigurieren mithilfe des Python SDK und Azure CLI

Informationen zum Erstellen der ausgehenden Regel für private Endpunkte mithilfe des Azure CLI oder Python finden Sie unter Create the private endpoint outbound rule (Azure CLI or Python).

Einschränkungen

• Das Anwendungsgateway unterstützt nur HTTP(S)-Endpunkte im Back-End-Pool. Es unterstützt keinen Nicht-HTTP(S)-Netzwerkdatenverkehr. Stellen Sie sicher, dass Ressourcen das HTTP(S)-Protokoll verwenden.
• Wenn Sie eine Verbindung mit Snowflake über das Anwendungsgateway herstellen, fügen Sie FQDN-Ausgehende Regeln hinzu, um Paket- und Treiberdownloads und OCSP-Validierung zu aktivieren.
  • Der Snowflake-Treiber verwendet HTTPS, aber andere Treiber können sich unterscheiden. Stellen Sie sicher, dass Ihre Ressource das HTTP(S)-Protokoll verwendet.
• Das Anwendungsgateway unterstützt keine Spark-Szenarien wie Spark compute oder serverless Spark compute. Bei der DNS-Auflösung (z. B. bei „nslookup“) tritt ein Fehler auf, wenn ein FQDN von Spark-Compute aufgelöst wird.
• Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Anwendungsgateway.

Fehler beim Anwendungsgateway

Beheben von Verbindungsfehlern des "Application Gateway" bei Ihren Back-End-Ressourcen:

• Beheben von Backend-Integritätsproblemen im Anwendungsgateway
• Fehlerbehebung bei Gatewayfehlern im Application Gateway
• HTTP-Antwortcodes im Anwendungsgateway
• Grundlegendes zu deaktivierten Listenern

Verwandte Inhalte

• Verwaltete virtuelle Netzwerkisolation