Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Tip
Versi alternatif yang berfokus pada hub artikel ini tersedia: Cara mengonfigurasi tautan privat untuk hub Microsoft Foundry.
Saat menggunakan proyek Foundry, Anda dapat menggunakan tautan privat untuk mengamankan komunikasi dengan proyek Anda. Artikel ini menjelaskan cara membuat koneksi privat ke proyek Anda menggunakan tautan privat.
Note
Isolasi jaringan end-to-end tidak didukung dalam pengalaman portal Foundry baru. Gunakan pengalaman portal Foundry klasik atau SDK atau CLI untuk mengakses proyek Foundry Anda dengan aman saat isolasi jaringan diaktifkan. Untuk informasi selengkapnya tentang batasan dengan jaringan privat di Foundry, lihat batasan.
Prerequisites
Jaringan virtual dan subnet Azure yang ada untuk membuat titik akhir privat.
Izin Azure untuk membuat dan menyetujui koneksi titik akhir privat:
- Pada jaringan virtual: Kontributor Jaringan (atau setara) untuk membuat endpoint privat.
- Pada sumber daya proyek Foundry: Kontributor (atau Pemilik) untuk membuat koneksi titik akhir privat. Jika Anda tidak memiliki izin persetujuan, koneksi titik akhir privat tetap dalam status Tertunda hingga pemilik sumber daya menyetujuinya.
- Jika Anda mengelola zona DNS privat: Kontributor Zona DNS Privat (atau setara) untuk zona DNS privat yang Anda tautkan ke jaringan virtual.
Important
Jangan gunakan rentang alamat IP 172.17.0.0/16 untuk jaringan virtual Anda. Rentang ini adalah rentang subnet default yang digunakan oleh jaringan jembatan Docker lokal.
Sambungkan dengan aman ke Foundry
Untuk menyambungkan ke Foundry yang diamankan oleh jaringan virtual, gunakan salah satu metode berikut:
Azure VPN Gateway - Menyambungkan jaringan lokal ke jaringan virtual melalui koneksi privat di internet publik. Pilih dari dua jenis gateway VPN:
- Titik-ke-situs: Setiap komputer klien menggunakan klien VPN untuk terhubung ke jaringan virtual.
- Situs-ke-situs: Perangkat VPN menyambungkan jaringan virtual ke jaringan lokal Anda.
ExpressRoute - Menyambungkan jaringan lokal ke Azure melalui koneksi privat melalui penyedia konektivitas.
Azure Bastion - Buat komputer virtual Azure (jump box) di jaringan virtual, lalu sambungkan melalui Azure Bastion menggunakan RDP atau SSH dari browser Anda. Gunakan VM sebagai lingkungan pengembangan Anda. Karena berada di jaringan virtual, ia dapat mengakses ruang kerja secara langsung.
Membuat proyek Foundry
Saat membuat proyek baru, gunakan langkah-langkah berikut untuk membuat proyek.
Dari portal Microsoft Azure, cari Foundry dan pilih Buat sumber daya.
Setelah mengonfigurasi tab Dasar , pilih tab Jaringan lalu opsi Dinonaktifkan .
Dari bagian Titik akhir privat , pilih + Tambahkan titik akhir privat.
Saat Anda mengisi formulir untuk membuat titik akhir privat, pastikan untuk:
- Dari Dasar, pilih Wilayah yang sama dengan jaringan virtual Anda.
- Dari formulir Virtual Network , pilih jaringan virtual dan subnet yang ingin Anda sambungkan.
Note
Di UI portal, target tempat Anda membuat titik akhir privat mungkin diberi label sebagai "akun" atau "sumber daya". Pilih sumber daya proyek Foundry Anda saat diminta.
Lanjutkan melalui formulir untuk membuat proyek. Saat Anda mencapai tab Tinjau + buat , tinjau pengaturan Anda dan pilih Buat untuk membuat proyek.
Menambahkan titik akhir privat ke sumber daya
Dari portal Microsoft Azure, pilih proyek Anda.
Dari sisi kiri halaman, pilih Manajemen Sumber Daya, Jaringan, lalu pilih tab Koneksi titik akhir privat . Pilih + Titik akhir privat.
Saat Anda mengisi formulir untuk membuat titik akhir privat, pastikan untuk:
- Dari Dasar, pilih Wilayah yang sama dengan jaringan virtual Anda.
- Dari formulir Virtual Network , pilih jaringan virtual dan subnet yang ingin Anda sambungkan.
Note
Portal mengacu pada target titik akhir privat sebagai "akun" atau "sumber daya". Pilih sumber daya Foundry Anda sebagai target.
Setelah Anda mengisi formulir dengan konfigurasi jaringan lain yang Anda butuhkan, gunakan tab Tinjau + buat untuk meninjau pengaturan Anda dan pilih Buat untuk membuat titik akhir privat.
Menghapus titik akhir privat dari proyek
Anda dapat menghapus satu atau semua titik akhir privat dari sebuah proyek. Menghapus titik akhir privat akan menghapus proyek dari Azure Virtual Network yang terkait dengan titik akhir tersebut. Menghapus titik akhir privat mungkin mencegah proyek mengakses sumber daya di jaringan virtual tersebut, atau sumber daya di jaringan virtual mengakses ruang kerja. Misalnya, jika jaringan virtual tidak mengizinkan akses ke atau dari internet publik.
Warning
Menghapus titik akhir privat untuk proyek tidak membuatnya dapat diakses secara publik. Untuk membuat proyek dapat diakses secara publik, gunakan langkah-langkah di bagian Aktifkan akses publik .
Untuk menghapus titik akhir privat, gunakan informasi berikut:
- Dari portal Microsoft Azure, pilih proyek Anda.
- Dari sisi kiri halaman, pilih Manajemen Sumber Daya, Jaringan, lalu pilih tab Koneksi titik akhir privat .
- Pilih titik akhir yang akan dihapus lalu pilih Hapus.
Mengaktifkan akses publik
Dalam beberapa situasi, Anda mungkin ingin mengizinkan seseorang untuk terhubung ke proyek aman Anda melalui titik akhir publik, alih-alih melalui jaringan virtual. Atau Anda mungkin ingin menghapus proyek dari jaringan virtual dan mengaktifkan kembali akses publik.
Important
Mengaktifkan akses publik tidak akan menghapus titik akhir privat yang ada. Semua komunikasi antar komponen di belakang jaringan virtual yang terhubung dengan titik akhir privat masih diamankan. Ini memungkinkan akses publik hanya ke proyek, selain akses privat melalui titik akhir privat apa pun.
Dari portal Microsoft Azure, pilih proyek Anda.
Dari sisi kiri halaman, pilih Manajemen Sumber Daya, Jaringan, lalu pilih tab Firewall dan jaringan virtual .
Pilih Semua jaringan, lalu pilih Simpan.
Konfigurasi DNS
Klien di jaringan virtual yang menggunakan titik akhir privat menggunakan string koneksi yang sama untuk sumber daya dan proyek Foundry sebagai klien yang terhubung ke titik akhir publik. Resolusi DNS secara otomatis merutekan koneksi dari jaringan virtual ke sumber daya dan proyek Foundry melalui tautan privat.
Menerapkan perubahan DNS untuk titik akhir privat
Saat Anda membuat titik akhir privat, Azure memperbarui catatan sumber daya DNS CNAME untuk sumber daya Foundry ke alias di subdomain dengan awalan privatelink. Secara default, Azure juga membuat zona DNS privat yang sesuai dengan privatelink subdomain, dengan catatan sumber daya DNS A untuk titik akhir privat. Untuk informasi selengkapnya, lihat apa itu Azure Private DNS.
Saat Anda menyelesaikan URL titik akhir dari luar jaringan virtual dengan titik akhir privat, URL tersebut diselesaikan ke titik akhir publik sumber daya Foundry. Ketika Anda menyelesaikannya dari jaringan virtual yang menghosting titik akhir privat, maka akan diarahkan ke alamat IP privat dari titik akhir tersebut.
Pendekatan ini memungkinkan akses ke sumber daya Foundry menggunakan string koneksi yang sama untuk klien di jaringan virtual yang menghosting titik akhir privat, dan klien di luar jaringan virtual.
Jika Anda menggunakan server DNS kustom di jaringan Anda, klien harus dapat memetakan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk titik akhir sumber daya Foundry menjadi alamat IP titik akhir privat. Konfigurasikan server DNS Anda untuk mendelegasikan subdomain tautan privat Anda ke zona DNS privat untuk jaringan virtual.
Tip
Saat Anda menggunakan server DNS kustom atau lokal, konfigurasikan server DNS Anda untuk memetakan nama sumber daya Foundry pada subdomain privatelink menjadi alamat IP titik akhir privat. Delegasikan privatelink subdomain ke zona DNS privat jaringan virtual. Atau, konfigurasikan zona DNS server DNS Anda dan tambahkan catatan DNS A.
Untuk informasi selengkapnya tentang mengonfigurasi server DNS Anda sendiri untuk mendukung titik akhir privat, gunakan artikel berikut:
Memvalidasi pengaturan
Gunakan langkah-langkah berikut untuk memvalidasi bahwa titik akhir privat Anda disetujui dan DNS diselesaikan ke alamat IP privat dari dalam jaringan virtual Anda.
Di portal Microsoft Azure, buka sumber daya proyek Anda. Di bawah Jaringan>Koneksi titik akhir privat, konfirmasikan status koneksi Disetujui.
Dari VM yang terhubung ke jaringan virtual (atau dari komputer lokal yang terhubung melalui VPN/ExpressRoute), selesaikan endpoint Foundry Anda dan pastikan itu mengarah ke alamat IP privat dari endpoint privat tersebut.
nslookup <your-foundry-endpoint-hostname>Uji konektivitas ke alamat IP titik akhir privat pada port 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Referensi
Berikan akses ke layanan Azure tepercaya
Jika proyek Foundry Anda menggunakan Azure OpenAI dan Anda membatasi akses jaringan, berikan subset akses layanan Azure tepercaya ke Azure OpenAI sambil mempertahankan aturan jaringan untuk aplikasi lain. Layanan tepercaya ini kemudian menggunakan identitas terkelola untuk mengautentikasi ke Azure OpenAI. Tabel berikut mencantumkan layanan yang dapat mengakses Azure OpenAI jika identitas terkelola layanan tersebut memiliki penetapan peran yang sesuai:
| Service | Nama penyedia sumber daya |
|---|---|
| Alat Pengecoran | Microsoft.CognitiveServices |
| Pencarian Azure AI | Microsoft.Search |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Berikan akses jaringan ke layanan Azure tepercaya dengan membuat pengecualian aturan jaringan menggunakan REST API atau portal Microsoft Azure.
Limitations
- Anda harus menyebarkan endpoint privat di wilayah dan langganan jaringan yang sama dengan jaringan virtual.
- Hanya titik akhir privat dalam status Disetujui yang dapat mengirim lalu lintas ke sumber daya tautan privat.
- Isolasi jaringan end-to-end di Foundry tidak didukung dalam pengalaman portal Foundry yang baru. Isolasi jaringan end-to-end di Foundry tidak didukung untuk versi baru layanan Agen. Gunakan pengalaman portal Foundry klasik dengan versi layanan Agen saat ini untuk mengakses proyek Foundry Anda dengan aman saat isolasi jaringan diaktifkan.
- Saat Anda menggunakan Foundry terisolasi jaringan, Anda tidak dapat menggunakan server MCP privat yang disebarkan di jaringan virtual yang sama. Anda hanya dapat menggunakan server MCP yang dapat diakses publik.
- Agen yang Dihosting di Microsoft Foundry tidak didukung dengan isolasi jaringan end-to-end.
Untuk skenario isolasi jaringan Agent Service (termasuk injeksi jaringan, isolasi end-to-end, dan batasan), lihat Cara menggunakan jaringan virtual dengan Azure AI Agent Service.
Jaringan aman end-to-end untuk Foundry Agent Service dan evaluasi
Jika Anda membangun agen atau menjalankan evaluasi dan ingin isolasi jaringan end-to-end, gunakan panduan dalam Cara menggunakan jaringan virtual dengan Azure AI Agent Service. Artikel tersebut mencakup zona DNS yang diperlukan, arsitektur referensi, dan batasan yang diketahui.
Injeksi jaringan untuk Layanan Agen dan evaluasi
Agen dan evaluasi Standar yang diamankan jaringan mendukung isolasi jaringan penuh dan melindungi dari eksfiltrasi data melalui injeksi jaringan. Injeksi jaringan hanya mendukung penyebaran dan evaluasi Agen Standar, bukan penyebaran Agen Ringan.
Konfigurasi firewall untuk keluarnya agen dan evaluasi
Untuk mengamankan lalu lintas keluar (keluar) melalui injeksi jaringan, konfigurasikan Azure Firewall atau firewall lain. Konfigurasi ini membantu memeriksa dan mengontrol lalu lintas keluar sebelum meninggalkan jaringan virtual Anda.
