Bagikan melalui


Cara mengonfigurasi jaringan terkelola untuk hub Azure AI Foundry

Nota

Anda harus menggunakan proyek berbasis hub untuk fitur ini. Proyek Foundry tidak didukung. Lihat Bagaimana cara mengetahui jenis proyek mana yang saya miliki? dan Membuat proyek berbasis hub.

Isolasi jaringan untuk proyek berbasis hub memiliki dua aspek. Salah satunya adalah isolasi jaringan untuk mengakses hub Azure AI Foundry . Lainnya adalah isolasi jaringan sumber daya komputasi untuk hub dan proyek Anda (seperti instans komputasi, titik akhir online tanpa server dan terkelola.) Dokumen ini menjelaskan yang terakhir disorot dalam diagram. Anda dapat menggunakan isolasi jaringan bawaan hub untuk melindungi sumber daya komputasi Anda.

Diagram konfigurasi isolasi jaringan hub dengan Azure AI Foundry.

Anda perlu mengonfigurasi konfigurasi isolasi jaringan berikut.

  • Pilih mode isolasi jaringan. Anda memiliki dua opsi: izinkan mode keluar internet atau izinkan hanya mode keluar yang disetujui.
  • Jika Anda menggunakan integrasi Visual Studio Code dengan hanya mengizinkan mode keluar yang disetujui, buat aturan keluar FQDN yang dijelaskan di bagian gunakan Visual Studio Code .
  • Jika Anda menggunakan model HuggingFace di Model dengan hanya mengizinkan mode keluar yang disetujui, buat aturan keluar FQDN yang dijelaskan di bagian gunakan model HuggingFace.
  • Jika Anda menggunakan salah satu model sumber terbuka dengan hanya mengizinkan mode keluar yang disetujui, buat aturan keluar FQDN yang dijelaskan di bagian Model Yang Dijual Langsung oleh Azure .

Arsitektur isolasi jaringan dan mode isolasi

Saat Anda mengaktifkan isolasi jaringan virtual terkelola, jaringan virtual terkelola dibuat untuk hub. Sumber daya komputasi terkelola yang Anda buat untuk hub secara otomatis menggunakan jaringan virtual terkelola ini. Jaringan virtual terkelola dapat menggunakan titik akhir privat untuk sumber daya Azure yang digunakan oleh hub Anda, seperti Azure Storage, Azure Key Vault, dan Azure Container Registry.

Ada tiga mode konfigurasi yang berbeda untuk lalu lintas keluar dari jaringan virtual terkelola:

Mode keluar Deskripsi Skenario
Izinkan akses internet keluar Izinkan semua lalu lintas keluar internet dari jaringan virtual terkelola. Anda ingin akses tak terbatas ke sumber daya pembelajaran mesin di internet, seperti paket python atau model yang telah dilatih sebelumnya.1
Izinkan hanya lalu lintas keluar yang disetujui Lalu lintas keluar diizinkan dengan menentukan tag layanan. * Anda ingin meminimalkan risiko penyelundupan data, tetapi Anda perlu menyiapkan semua artefak pembelajaran mesin yang diperlukan di lingkungan pribadi Anda.
* Anda ingin mengonfigurasi akses keluar ke daftar layanan, tag layanan, atau FQDN yang disetujui.
Penyandang Disabilitas Lalu lintas masuk dan keluar tidak dibatasi. Anda ingin masuk dan keluar publik dari hub.

1 Anda dapat menggunakan aturan keluar dengan hanya mengizinkan mode keluar yang disetujui untuk mencapai hasil yang sama seperti menggunakan izinkan internet keluar. Perbedaannya adalah:

  • Selalu gunakan titik akhir privat untuk mengakses sumber daya Azure.
  • Anda harus menambahkan aturan untuk setiap koneksi keluar yang perlu Anda izinkan.
  • Menambahkan aturan keluar FQDN meningkatkan biaya Anda karena jenis aturan ini menggunakan Azure Firewall. Jika Anda menggunakan aturan FQDN keluar, biaya untuk Azure Firewall disertakan dalam tagihan Anda. Untuk informasi selengkapnya, lihat Harga.
  • Aturan default untuk hanya mengizinkan lalu lintas keluar yang disetujui dirancang untuk meminimalkan risiko eksfiltrasi data. Setiap aturan keluar yang Anda tambahkan dapat meningkatkan risiko Anda.

Jaringan virtual terkelola telah dikonfigurasi sebelumnya dengan aturan default yang diperlukan. Ini juga dikonfigurasi untuk koneksi titik akhir privat ke hub Anda, penyimpanan default hub, registri kontainer, dan brankas kunci jika dikonfigurasi sebagai mode isolasi privat atau hub diatur untuk hanya mengizinkan keluar yang disetujui. Setelah memilih mode isolasi, Anda hanya perlu mempertimbangkan persyaratan keluar lainnya yang mungkin perlu Anda tambahkan.

Diagram berikut menunjukkan jaringan virtual terkelola yang dikonfigurasi untuk mengizinkan lalu lintas internet keluar:

Diagram isolasi jaringan virtual terkelola yang dikonfigurasi untuk lalu lintas keluar internet.

Diagram berikut menunjukkan jaringan virtual yang dikelola yang dikonfigurasi untuk mengizinkan hanya lalu lintas keluar yang disetujui:

Nota

Dalam konfigurasi ini, penyimpanan, brankas kunci, dan registri kontainer yang digunakan oleh hub ditandai sebagai privat. Karena mereka ditandai sebagai privat, antarmuka privat digunakan untuk berkomunikasi dengan mereka.

Diagram isolasi jaringan virtual terkelola yang dikonfigurasi untuk mengizinkan hanya lalu lintas keluar yang disetujui.

Nota

Saat mengakses akun penyimpanan privat dari hub AI Foundry publik, Anda harus mengakses AI Foundry dari dalam jaringan virtual akun penyimpanan Anda. Mengakses AI Foundry dari dalam jaringan virtual memastikan bahwa Anda dapat memanggil tindakan seperti mengunggah file ke akun penyimpanan privat. Akun penyimpanan privat tidak bergantung pada pengaturan jaringan hub AI Foundry Anda. Untuk informasi selengkapnya tentang pengaturan jaringan virtual akun penyimpanan privat Anda, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual.

Prasyarat

Sebelum mengikuti langkah-langkah dalam artikel ini, pastikan Anda memiliki prasyarat berikut:

  • Sebuah langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum memulai.

  • Penyedia sumber daya Microsoft.Network harus terdaftar untuk langganan Azure Anda. Penyedia sumber daya ini digunakan oleh hub saat membuat titik akhir privat untuk jaringan virtual terkelola.

    Untuk informasi selengkapnya tentang cara mendaftarkan penyedia sumber daya, lihat Mengatasi kesalahan untuk pendaftaran penyedia sumber daya.

  • Identitas Azure yang Anda gunakan saat menyebarkan jaringan terkelola memerlukan tindakan kontrol akses berbasis peran Azure (Azure RBAC) berikut untuk membuat titik akhir privat:

    • Microsoft.MachineLearningServices/workspaces/koneksiPrivateEndpoint/baca
    • Microsoft.LayananPembelajaranMesin/ruangkerja/koneksiEndpointPribadi/menulis

Keterbatasan

  • Azure AI Foundry mendukung isolasi jaringan virtual terkelola untuk mengamankan sumber daya komputasi Anda. Azure AI Foundry tidak mendukung bawa jaringan virtual Anda sendiri untuk mengamankan sumber daya komputasi. Perhatikan bahwa membawa jaringan virtual Anda sendiri untuk mengamankan komputasi berbeda dari jaringan virtual Azure Anda yang diperlukan untuk mengakses Azure AI Foundry dari jaringan lokal Anda.
  • Setelah mengaktifkan isolasi jaringan virtual terkelola azure AI, Anda tidak dapat menonaktifkannya.
  • Jaringan virtual terkelola menggunakan koneksi titik akhir privat untuk mengakses sumber daya privat Anda. Anda tidak dapat memiliki titik akhir privat dan titik akhir layanan secara bersamaan untuk sumber daya Azure Anda, seperti akun penyimpanan. Sebaiknya gunakan titik akhir privat di semua skenario.
  • Jaringan virtual terkelola dihapus saat Azure AI dihapus.
  • Perlindungan penyelundupan data diaktifkan secara otomatis untuk satu-satunya mode keluar yang disetujui. Jika Anda menambahkan aturan keluar lainnya, seperti ke FQDN, Microsoft tidak dapat menjamin bahwa Anda terlindungi dari penyelundupan data ke tujuan keluar tersebut.
  • Menggunakan aturan keluar FQDN meningkatkan biaya jaringan virtual terkelola karena aturan FQDN menggunakan Azure Firewall. Untuk informasi selengkapnya, lihat Harga.
  • Aturan keluar FQDN hanya mendukung port 80 dan 443.
  • Jika Anda ingin menonaktifkan IP Publik instans komputasi, Anda harus menambahkan titik akhir privat ke hub.
  • Saat menggunakan instans komputasi dengan jaringan terkelola, gunakan az ml compute connect-ssh perintah untuk menyambungkan ke komputasi menggunakan SSH.
  • Jika jaringan terkelola Anda dikonfigurasi untuk hanya mengizinkan keluar yang disetujui, Anda tidak dapat menggunakan aturan FQDN untuk mengakses Akun Azure Storage. Anda harus menggunakan titik akhir privat sebagai gantinya.

Konfigurasikan jaringan virtual terkelola untuk mengizinkan akses keluar ke internet

Petunjuk / Saran

Pembuatan VNet yang terkelola ditunda hingga sumber daya komputasi dibuat atau penyediaan dimulai secara manual. Ketika Anda mengizinkan pembuatan otomatis, dibutuhkan waktu sekitar 30 menit untuk membuat sumber daya komputasi pertama karena juga menyediakan jaringan.

  • Buat hub baru:

    1. Masuk ke portal Azure, dan pilih Azure AI Foundry dari menu Buat sumber daya.

    2. Pilih + Azure AI baru.

    3. Berikan informasi yang diperlukan pada tab Dasar .

    4. Dari tab Jaringan, pilih Privat dengan Internet Keluar.

    5. Untuk menambahkan aturan keluar, pilih Tambahkan aturan keluar yang ditentukan pengguna dari tab Jaringan . Dari bilah sisi Aturan keluar, berikan informasi berikut:

      • Nama aturan: Nama untuk aturan. Nama harus unik untuk hub ini.
      • Jenis tujuan: Titik Akhir Privat merupakan satu-satunya pilihan ketika isolasi jaringan bersifat privat dengan lalu lintas internet keluar. Jaringan virtual terkelola hub tidak mendukung pembuatan titik akhir privat ke semua jenis sumber daya Azure. Untuk daftar sumber daya yang didukung, lihat bagian Endpoint privat.
      • Langganan: Langganan yang berisi sumber daya Azure yang ingin Anda tambahkan titik akhir privat.
      • Grup sumber daya: Grup sumber daya yang berisi sumber daya Azure yang ingin Anda tambahkan sebagai titik akhir privat.
      • Jenis sumber daya: Jenis sumber daya Azure.
      • Nama sumber daya: Nama sumber daya Azure.
      • Sumber Daya Sub: Sumber daya sub dari tipe sumber daya Azure.

      Pilih Simpan untuk menyimpan aturan. Anda dapat terus menggunakan Menambahkan aturan outbound yang ditentukan pengguna untuk menambahkan aturan.

    6. Lanjutkan membuat hub seperti biasa.

  • Perbarui hub yang sudah ada:

    1. Masuk ke portal Azure, dan pilih hub yang ingin Anda aktifkan isolasi jaringan virtual terkelolanya.

    2. Pilih Jaringan, lalu pilih Privat dengan Internet Keluar.

      • Untuk menambahkanaturan keluar, pilih Tambahkan aturan keluar yang ditentukan pengguna dari tab Jaringan . Dari bilah sisi Aturan keluar, berikan informasi yang sama seperti yang digunakan saat membuat hub di bagian 'Buat hub baru'.

      • Untuk menghapus aturan keluar, pilih opsi hapus untuk aturan tersebut.

    3. Pilih Simpan di bagian atas halaman untuk menyimpan perubahan ke jaringan virtual terkelola.

Konfigurasikan jaringan virtual terkelola untuk hanya mengizinkan lalu lintas keluar yang disetujui

Petunjuk / Saran

VNet terkelola secara otomatis disediakan saat Anda membuat sumber daya komputasi. Ketika Anda mengizinkan pembuatan otomatis, dibutuhkan waktu sekitar 30 menit untuk membuat sumber daya komputasi pertama karena juga menyediakan jaringan. Jika Anda mengonfigurasi aturan keluar FQDN, aturan FQDN pertama menambahkan sekitar 10 menit ke waktu provisi.

  • Buat hub baru:

    1. Masuk ke portal Azure, dan pilih Azure AI Foundry dari menu Buat sumber daya.

    2. Pilih + Azure AI baru.

    3. Berikan informasi yang diperlukan pada tab Dasar .

    4. Dari tab Jaringan, pilih Privat dengan Keluar yang Disetujui.

    5. Untuk menambahkan aturan keluar, pilih Tambahkan aturan keluar yang ditentukan pengguna dari tab Jaringan . Dari bilah sisi Aturan keluar, berikan informasi berikut:

      • Nama aturan: Nama untuk aturan. Nama harus unik untuk hub ini.
      • Jenis tujuan: Titik Akhir Privat, Tag Layanan, atau FQDN. Tag Layanan dan FQDN hanya tersedia ketika isolasi jaringan bersifat privat dengan keluar yang disetujui.

      Jika jenis tujuan adalah Endpoint Pribadi, berikan informasi berikut:

      • Langganan: Langganan yang berisi sumber daya Azure yang ingin Anda tambahkan titik akhir privat.
      • Grup sumber daya: Grup sumber daya yang berisi sumber daya Azure yang ingin Anda tambahkan sebagai titik akhir privat.
      • Jenis sumber daya: Jenis sumber daya Azure.
      • Nama sumber daya: Nama sumber daya Azure.
      • Sumber Daya Sub: Sumber daya sub dari tipe sumber daya Azure.

      Petunjuk / Saran

      VNet yang dikelola hub tidak mendukung pembuatan titik akhir privat ke semua jenis sumber daya Azure. Untuk daftar sumber daya yang didukung, lihat bagian Endpoint privat.

      Jika jenis tujuan adalah Tag Layanan, berikan informasi berikut:

      • Tag servis: Tag servis yang akan ditambahkan ke aturan keluar yang disetujui.
      • Protokol: Protokol untuk mengizinkan tag layanan.
      • Rentang port: Rentang port untuk memungkinkan tag layanan.

      Jika jenis tujuan adalah FQDN, berikan informasi berikut:

      • Destinasi FQDN: Nama domain lengkap untuk ditambahkan ke ketentuan keluar yang disetujui.

      Pilih Simpan untuk menyimpan aturan. Anda dapat terus menggunakan Menambahkan aturan outbound yang ditentukan pengguna untuk menambahkan aturan.

    6. Lanjutkan membuat hub seperti biasa.

  • Perbarui hub yang sudah ada:

    1. Masuk ke portal Azure, dan pilih hub yang ingin Anda aktifkan isolasi jaringan virtual terkelolanya.

    2. Pilih Jaringan, lalu pilih Privat dengan Keluar yang Disetujui.

      • Untuk menambahkanaturan keluar, pilih Tambahkan aturan keluar yang ditentukan pengguna dari tab Jaringan . Dari bilah sisi Aturan keluar, berikan informasi yang sama seperti saat membuat hub di bagian 'Buat hub baru' sebelumnya.

      • Untuk menghapus aturan keluar, pilih opsi hapus untuk aturan tersebut.

    3. Pilih Simpan di bagian atas halaman untuk menyimpan perubahan ke jaringan virtual terkelola.

Memprovisikan VNet terkelola secara manual

Jaringan virtual terkelola secara otomatis disediakan saat Anda membuat instans komputasi. Ketika Anda mengandalkan provisi otomatis, diperlukan waktu sekitar 30 menit untuk membuat instans komputasi pertama karena juga menyediakan jaringan. Jika Anda mengonfigurasi aturan keluar FQDN (hanya tersedia dalam mode hanya izinkan yang disetujui), aturan FQDN pertama menambahkan sekitar 10 menit ke waktu penyediaan. Jika Anda memiliki sekumpulan besar aturan keluar yang akan disediakan di jaringan terkelola, diperlukan waktu lebih lama agar provisi selesai. Peningkatan waktu provisi dapat menyebabkan pembuatan instans komputasi pertama Anda kehabisan waktu.

Untuk mengurangi waktu tunggu dan menghindari potensi kesalahan waktu habis, sebaiknya provisikan jaringan terkelola secara manual. Kemudian tunggu hingga penyediaan selesai sebelum Anda membuat instans komputasi.

Atau, Anda dapat menggunakan provision_network_now bendera untuk menyediakan jaringan terkelola sebagai bagian dari pembuatan hub.

Nota

Untuk membuat penyebaran online, Anda harus menyediakan jaringan terkelola secara manual, atau membuat instans komputasi terlebih dahulu. Membuat instans komputasi secara otomatis menyediakannya.

Selama pembuatan hub, pilih Provisikan jaringan terkelola secara proaktif saat pembuatan untuk menyediakan jaringan terkelola. Biaya dikeluarkan dari sumber daya jaringan, seperti titik akhir privat, setelah jaringan virtual disediakan. Opsi konfigurasi ini hanya tersedia selama pembuatan ruang kerja.

Mengelola aturan eksternal

  1. Masuk ke portal Azure, dan pilih hub yang ingin Anda aktifkan isolasi jaringan virtual terkelolanya.
  2. Pilih Jaringan. Bagian Akses keluar Azure AI memungkinkan Anda mengelola aturan keluar.
  • Untuk menambahkanaturan keluar, pilih Tambahkan aturan keluar yang ditentukan pengguna dari tab Jaringan . Dari bilah sisi aturan keluar Azure AI, berikan informasi berikut:

  • Untuk mengaktifkan atau menonaktifkan aturan, gunakan tombol di kolom Aktif .

  • Untuk menghapus aturan keluar, pilih opsi hapus untuk aturan tersebut.

Daftar aturan yang diperlukan

Petunjuk / Saran

Aturan ini secara otomatis ditambahkan ke VNet terkelola.

Titik akhir privat:

  • Ketika mode isolasi untuk jaringan virtual terkelola adalah Allow internet outbound, aturan keluar titik akhir privat secara otomatis dibuat sebagai aturan yang diperlukan dari jaringan virtual terkelola untuk hub dan sumber daya terkait dengan akses jaringan publik yang dinonaktifkan (Key Vault, Akun Penyimpanan, Container Registry, hub).
  • Ketika mode isolasi untuk jaringan virtual terkelola adalah Allow only approved outbound, aturan keluar titik akhir privat secara otomatis dibuat sebagai aturan yang diperlukan dari jaringan virtual terkelola untuk hub dan sumber daya terkait terlepas dari mode akses jaringan publik untuk sumber daya tersebut (Key Vault, Akun Penyimpanan, Container Registry, hub).

Agar Azure AI Foundry berjalan dengan jaringan privat, ada sekumpulan tag layanan yang diperlukan. Tidak ada alternatif untuk mengganti tag layanan yang diperlukan. Tabel berikut ini menjelaskan setiap tag layanan yang diperlukan dan tujuannya dalam Azure AI Foundry.

Aturan tag layanan Masuk atau Keluar Tujuan
AzureMachineLearning Masukan Membuat, memperbarui, dan menghapus instans/kluster komputasi Azure AI Foundry.
AzureMachineLearning Ke Luar Menggunakan Azure Machine Learning service. Python IntelliSense dalam notebook menggunakan port 18881. Membuat, memperbarui, dan menghapus instans komputasi Azure Pembelajaran Mesin menggunakan port 5831.
AzureActiveDirectory Ke Luar Autentikasi menggunakan Microsoft Entra ID..
BatchNodeManagement.region Ke Luar Komunikasi dengan sistem pendukung Azure Batch untuk instans/kluster komputasi di Azure AI Foundry.
AzureResourceManager Ke Luar Pembuatan sumber daya Azure dengan Azure AI Foundry, Azure CLI, dan Azure AI Foundry SDK.
AzureFrontDoor.FirstParty Ke Luar Mengakses gambar docker yang disediakan oleh Microsoft.
MicrosoftContainerRegistry Ke Luar Mengakses gambar docker yang disediakan oleh Microsoft. Penyiapan router Azure AI Foundry untuk Azure Kubernetes Service.
AzureMonitor Ke Luar Digunakan untuk mencatat pemantauan dan metrik ke Azure Monitor. Hanya diperlukan jika Anda belum mengamankan Azure Monitor untuk ruang kerja. Outbound ini juga digunakan untuk mencatat informasi untuk insiden dukungan.
VirtualNetwork Ke Luar Diperlukan saat titik akhir privat ada di jaringan virtual atau jaringan virtual terkait.

Daftar skenario aturan keluar tertentu

Skenario: Mengakses paket pembelajaran mesin publik

Untuk memperbolehkan penginstalan paket Python untuk pelatihan dan penyebaran, tambahkan aturan FQDN keluar agar lalu lintas diizinkan ke nama host berikut:

Nota

Ini bukan daftar lengkap host yang diperlukan untuk semua sumber daya Python di internet, hanya yang paling umum digunakan. Misalnya, jika Anda memerlukan akses ke repositori GitHub atau host lain, Anda harus mengidentifikasi dan menambahkan host yang diperlukan untuk skenario tersebut.

Nama host Tujuan
anaconda.com
*.anaconda.com
Digunakan untuk menginstal paket default.
*.anaconda.org Digunakan untuk mendapatkan data repositori.
pypi.org Digunakan untuk mencantumkan dependensi dari indeks default, jika ada, dan indeks tersebut tidak terpengaruh oleh pengaturan pengguna. Jika indeks ditulis ulang, Anda juga harus mengizinkan *.pythonhosted.org.
pytorch.org
*.pytorch.org
Digunakan dalam beberapa contoh yang didasarkan pada PyTorch.
*.tensorflow.org Digunakan oleh beberapa contoh berbasis TensorFlow.

Skenario: Menggunakan Visual Studio Code

Visual Studio Code bergantung pada host dan port tertentu untuk membuat koneksi jarak jauh.

Para Tuan Rumah

Host di bagian ini digunakan untuk menginstal paket Visual Studio Code untuk membuat koneksi jarak jauh antara Visual Studio Code dan instans komputasi untuk proyek Anda.

Nota

Ini bukan daftar lengkap host yang diperlukan untuk semua sumber daya Visual Studio Code di internet, hanya yang paling umum digunakan. Misalnya, jika Anda memerlukan akses ke repositori GitHub atau host lain, Anda harus mengidentifikasi dan menambahkan host yang diperlukan untuk skenario tersebut. Untuk daftar lengkap nama host, lihat Koneksi Jaringan di Visual Studio Code.

Nama host Tujuan
*.vscode.dev
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
Harus mengakses vscode.dev (Visual Studio Code versi Web)
code.visualstudio.com Harus mengunduh dan menginstal Visual Studio Code versi desktop. Host ini tidak diperlukan untuk Web Visual Studio Code.
update.code.visualstudio.com
*.vo.msecnd.net
Digunakan untuk mengambil bit server VS Code yang diinstal pada instans komputasi melalui skrip penyetelan.
marketplace.visualstudio.com
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
Harus mengunduh dan menginstal ekstensi Visual Studio Code. Host ini memungkinkan koneksi jarak jauh ke instans komputasi. Untuk informasi selengkapnya, lihat Mulai menggunakan proyek Azure AI Foundry di Visual Studio Code.
vscode.download.prss.microsoft.com CDN yang digunakan untuk mengunduh Visual Studio Code

Pelabuhan

Anda harus mengizinkan lalu lintas jaringan ke port 8704 hingga 8710. Server Visual Studio Code secara dinamis memilih port pertama yang tersedia dalam rentang ini.

Skenario: Menggunakan model HuggingFace

Jika Anda berencana menggunakan model HuggingFace dengan hub, tambahkan aturan FQDN keluar untuk memungkinkan lalu lintas ke host berikut:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cdn.auth0.com
  • cdn-lfs.huggingface.co

Skenario: Model Yang Dijual Langsung oleh Azure

Model ini melibatkan penginstalan dependensi dinamis pada runtime, dan memerlukan aturan FQDN keluar untuk memungkinkan lalu lintas ke host berikut:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Titik akhir pribadi

Titik akhir privat saat ini didukung untuk layanan Azure berikut:

  • Azure AI Foundry Hub
  • Pencarian dengan Azure AI
  • Layanan Azure AI
  • Azure API Management
    • Hanya mendukung tingkat Klasik tanpa injeksi VNET dan tingkat Standard V2 dengan integrasi jaringan virtual. Untuk informasi selengkapnya tentang jaringan virtual API Management, lihat Konsep Virtual Network
  • Azure Container Registry (Pendaftaran Kontainer Azure)
  • Azure Cosmos DB (semua jenis sub sumber daya)
  • Azure Data Factory
  • Basis Data Azure untuk MariaDB
  • Basis Data Azure untuk MySQL
  • Azure Database for PostgreSQL - Server Tunggal
  • Database Azure untuk Server Fleksibel PostgreSQL
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Pembelajaran Mesin Azure
  • Registri Azure Pembelajaran Mesin
  • Azure Redis Cache (Layanan Cache Redis dari Azure)
  • Azure SQL Server
  • Azure Storage (semua jenis sub sumber daya)
  • Application Insights (Melalui PrivateLinkScopes)

Saat membuat titik akhir privat, Anda menyediakan jenis sumber daya dan sub sumber daya tempat titik akhir tersambung. Beberapa sumber daya memiliki beberapa jenis dan sub sumber daya. Untuk informasi selengkapnya, lihat apa itu endpoint privat.

Saat Anda membuat titik akhir privat untuk sumber daya dependensi hub, seperti Azure Storage, Azure Container Registry, dan Azure Key Vault, sumber daya dapat berada di langganan Azure yang berbeda. Namun, sumber daya harus berada di penyewa yang sama dengan hub.

Titik akhir privat secara otomatis dibuat untuk koneksi jika sumber daya target adalah sumber daya Azure yang tercantum sebelumnya. ID target yang valid diharapkan untuk titik akhir privat. ID target yang valid untuk koneksi dapat menjadi ID Azure Resource Manager dari sumber daya induk. ID target juga diharapkan dalam target koneksi atau di metadata.resourceid. Untuk informasi selengkapnya tentang koneksi, lihat Cara menambahkan koneksi baru di portal Azure AI Foundry.

Persetujuan Titik Akhir Pribadi

Untuk membuat koneksi Titik Akhir Privat di jaringan virtual terkelola menggunakan Azure AI Foundry, identitas terkelola ruang kerja, baik yang ditetapkan sistem atau ditetapkan pengguna, dan identitas pengguna yang memulai pembuatan titik akhir privat, harus memiliki izin untuk menyetujui koneksi Titik Akhir Privat pada sumber daya target. Sebelumnya, ini dilakukan melalui penetapan peran otomatis oleh layanan Azure AI Foundry. Namun, ada kekhawatiran keamanan tentang penetapan peran otomatis. Untuk meningkatkan keamanan, mulai 30 April 2025, kami akan menghentikan logika pemberian izin otomatis ini. Sebaiknya tetapkan peran Pemberi Persetujuan Koneksi Jaringan Azure AI Enterprise atau peran kustom dengan izin koneksi Titik Akhir Privat yang diperlukan pada jenis sumber daya target dan berikan peran ini ke identitas terkelola hub Foundry untuk memungkinkan layanan Azure AI Foundry menyetujui koneksi Titik Akhir Privat ke sumber daya Azure target.

Berikut adalah daftar jenis sumber daya target titik akhir privat yang dicakup oleh peran Pemberi Persetujuan Koneksi Jaringan Perusahaan Azure AI:

  • Azure Application Gateway
  • Azure Monitor
  • Pencarian dengan Azure AI
  • Pusat Aktivitas
  • Azure SQL Database
  • Azure Storage
  • Ruang kerja Azure Machine Learning
  • Registri Azure Machine Learning
  • Azure AI Foundry
  • Azure Key Vault
  • Azure CosmosDB (layanan basis data terdistribusi dari Microsoft)
  • Basis Data Azure untuk MySQL
  • Basis Data Azure untuk PostgreSQL
  • Layanan Azure AI
  • Cache Azure untuk Redis (Azure Cache for Redis)
  • Registri Kontainer
  • API Management

Untuk membuat aturan keluar Titik Akhir Privat ke jenis sumber daya target yang tidak dicakup oleh peran Pemberi Persetujuan Koneksi Jaringan Azure AI Enterprise, seperti Azure Data Factory, Azure Databricks, dan Azure Function Apps, peran tercakup kustom direkomendasikan, hanya ditentukan oleh tindakan yang diperlukan untuk menyetujui koneksi titik akhir privat pada jenis sumber daya target.

Untuk membuat aturan keluar Titik Akhir Privat ke sumber daya ruang kerja default, izin yang diperlukan sudah secara otomatis dicakup oleh penetapan peran yang diberikan selama pembuatan ruang kerja, sehingga tidak diperlukan tindakan tambahan lagi.

Pilih versi Azure Firewall untuk diizinkan hanya lalu lintas keluar yang disetujui.

Azure Firewall disebarkan jika aturan FQDN keluar dibuat saat dalam mode izinkan hanya keluar yang disetujui. Biaya untuk Azure Firewall disertakan dalam tagihan Anda. Secara default, versi Standar AzureFirewall dibuat. Secara opsional, Anda dapat memilih untuk menggunakan versi Dasar . Anda dapat mengubah versi firewall yang digunakan sesuai kebutuhan. Untuk mengetahui versi mana yang terbaik untuk Anda, kunjungi Memilih versi Azure Firewall yang tepat.

Penting

Firewall belum dibuat sampai Anda menambahkan aturan FQDN eksternal. Untuk informasi selengkapnya tentang harga, lihat Harga Azure Firewall dan lihat harga untuk versi standar .

Gunakan tab berikut untuk mempelajari cara memilih versi firewall untuk jaringan virtual terkelola Anda.

Setelah memilih mode keluar yang diizinkan hanya disetujui, opsi untuk memilih versi Azure Firewall (SKU) muncul. Pilih Standar untuk menggunakan versi standar atau Dasar untuk menggunakan versi dasar. Pilih Simpan untuk menyimpan konfigurasi Anda.

Penetapan Harga

Fitur jaringan virtual terkelola hub gratis. Namun, Anda dikenakan biaya untuk sumber daya berikut yang digunakan oleh jaringan virtual terkelola:

  • Azure Private Link - Titik akhir privat yang digunakan untuk mengamankan komunikasi antara jaringan virtual terkelola dan sumber daya Azure bergantung pada Azure Private Link. Untuk informasi selengkapnya tentang harga, lihat Harga Azure Private Link.

  • Aturan keluar FQDN - Aturan keluar FQDN diterapkan menggunakan Azure Firewall. Jika Anda menggunakan aturan FQDN keluar, biaya untuk Azure Firewall disertakan dalam tagihan Anda. Versi standar Azure Firewall digunakan secara default. Untuk informasi tentang memilih versi dasar, lihat Memilih versi Azure Firewall. Azure Firewall disediakan per hub.

    Penting

    Firewall belum dibuat sampai Anda menambahkan aturan FQDN eksternal. Jika Anda tidak menggunakan aturan FQDN, Anda tidak akan dikenakan biaya untuk Azure Firewall. Untuk informasi selengkapnya tentang harga, lihat Harga Azure Firewall.