Настройка управляемой сети для Microsoft центров Foundry (классическая модель)

Применяется только к:Портал Foundry (классический). Эта статья недоступна для нового портала Foundry. Дополнительные сведения о новом портале.

Примечание

Содержание в новой документации Microsoft Foundry может открываться по ссылкам в этой статье вместо документации Foundry (классической версии), которую вы просматриваете сейчас.

Важно

Эта статья предоставляет устаревшую поддержку для проектов на основе концентраторов. Он не будет работать для проектов Foundry. Узнайте , какой у меня тип проекта?

примечание о совместимости SDK. Для примеров кода требуется определенная версия пакета SDK для Foundry Microsoft. При возникновении проблем совместимости рассмотрите возможность миграции из концентратора в проект Foundry.

Сетевая изоляция для центрального проекта состоит из двух частей: доступ к Microsoft Foundry концентратору и изоляции вычислительных ресурсов в концентраторе и проекте (например, вычислительных экземпляров, бессерверных и управляемых сетевых конечных точек). В этой статье рассматриваются последние. На схеме она выделена. Используйте встроенную сетевую изоляцию концентратора для защиты вычислительных ресурсов.

Настройте следующие параметры сетевой изоляции:

• Выберите режим изоляции сети: разрешить исходящий интернет или разрешить только утвержденный исходящий трафик.
• Если вы используете интеграцию Visual Studio Code в режиме разрешить только утвержденный исходящий, создайте правила исходящего трафика FQDN, как описано в разделе использование Visual Studio Code.
• Если вы используете модели Hugging Face в режиме разрешить только утвержденные исходящие, создайте правила исходящего трафика FQDN, как описано в разделе об использовании моделей Hugging Face.
• Если вы используете одну из моделей с открытым исходным кодом в режиме разрешены только утвержденные исходящие подключения, создайте правила исходящего трафика FQDN, как описано в разделе Модели Foundry, предлагаемые Azure.

Необходимые условия

Перед началом работы убедитесь, что у вас есть следующие предварительные требования:

Azure

• Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.

• Зарегистрируйте поставщика ресурсов Microsoft.Network для вашей подписки Azure. Центр использует этот поставщик для создания частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в разделе "Устранение ошибок для регистрации поставщика ресурсов".

• Используйте удостоверение Azure со следующими действиями в рамках управления доступом на основе ролей (Azure RBAC) для создания частных конечных точек в управляемой виртуальной сети.

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

  Совет

  Встроенная роль Azure AI Enterprise Network Connection Approver включает эти разрешения. Назначьте эту роль управляемой идентичности узла (hub), чтобы одобрить подключения к частной конечной точке.

Azure CLI

• Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Центр использует этот поставщик ресурсов при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в разделе "Устранение ошибок для регистрации поставщика ресурсов".

• Используйте удостоверение Azure со следующими действиями в рамках управления доступом на основе ролей (Azure RBAC) для создания частных конечных точек в управляемой виртуальной сети.

  • Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write

  Совет

  Встроенная роль Azure AI Enterprise Network Connection Approver включает эти разрешения. Назначьте эту роль управляемой идентичности узла (hub), чтобы одобрить подключения к частной конечной точке.

• Установите Azure CLI и расширение ml для Azure CLI. Дополнительные сведения см. в разделе "Установка,настройка" и использование интерфейса командной строки (версия 2).

• Оболочка, совместимая с Bash, для выполнения примеров интерфейса командной строки в этой статье. Например, используйте систему Linux или подсистема Windows для Linux.

• Примеры Azure CLI в этой статье используют ws для имени концентратора и rg для имени группы ресурсов. Измените эти значения по мере необходимости при выполнении команд в подписке Azure.

Python

• Подписка Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы. Попробуйте бесплатную или платную версию.

• Поставщик ресурсов Microsoft.Network должен быть зарегистрирован для вашей подписки Azure. Центр использует этот поставщик ресурсов при создании частных конечных точек для управляемой виртуальной сети.

  Сведения о регистрации поставщиков ресурсов см. в разделе "Устранение ошибок для регистрации поставщика ресурсов".

• Удостоверение Azure, используемое при развертывании управляемой сети, требует следующих действий Azure управления доступом на основе ролей (Azure RBAC) для создания частных конечных точек:

  • Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write

  Совет

  Встроенная роль Azure AI Enterprise Network Connection Approver включает эти разрешения. Назначьте эту роль управляемой идентичности узла (hub), чтобы одобрить подключения к частной конечной точке.

• Пакет SDK Машинное обучение Azure Python версии 2. Дополнительные сведения о пакете SDK см. в Установка пакета Python SDK версии 2 для Машинное обучение Azure.

• В примерах в этой статье предполагается, что ваш код начинается со следующего кода на Python. Он импортирует классы, необходимые для создания концентратора с управляемой виртуальной сетью, задает переменные для подписки и группы ресурсов Azure и создает ml_client. В следующем примере замените замещающий текст <SUBSCRIPTION_ID> и <RESOURCE_GROUP> собственными значениями:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

Настройка управляемой виртуальной сети для разрешения исходящего трафика через Интернет

Совет

Foundry откладывает создание управляемой виртуальной сети, пока не создадите вычислительный ресурс или не начнете подготовку вручную. При автоматическом создании может потребоваться около 30 минут , чтобы создать первый вычислительный ресурс, так как он также подготавливает сеть.

Azure

• Создайте новый концентратор:

  1. Войдите в портал Azure и выберите Foundry в меню Создать ресурс.

  2. Выберите + New Azure AI.

  3. Введите необходимые сведения на вкладке "Основные сведения".

  4. На вкладке "Сеть" выберите "Приватный" с исходящим интернетом.

  5. Чтобы добавить правило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика " на вкладке "Сеть ". На боковой панели правил исходящего трафика введите следующие сведения:

     • Имя правила: название правила. Имя должно быть уникальным для этого концентратора.
     • Тип назначения: частная конечная точка является единственным вариантом, если сетевая изоляция является частной с исходящим интернетом. Управляемая концентратором виртуальная сеть не поддерживает создание частных конечных точек для всех типов ресурсов Azure. Список поддерживаемых ресурсов см. в разделе "Частные конечные точки ".
     • Subscription: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Resource group: группа ресурсов, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Тип ресурса: тип ресурса Azure.
     • Resource name: имя ресурса Azure.
     • Sub Resource: подресурс типа ресурса Azure.

     Нажмите кнопку "Сохранить". Чтобы добавить дополнительные правила, выберите "Добавить определяемые пользователем правила исходящего трафика".

  6. Продолжить создание концентратора.

• Обновите существующий концентратор:

  1. Войдите на портал Azure и выберите концентратор, чтобы включить изоляцию управляемой виртуальной сети.

  2. Выберите Сетевое подключение>Частная сеть с выходом в Интернет.

     • Чтобы добавитьправило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика " на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите те же сведения, что и при создании концентратора в разделе "Создание нового концентратора".

     • Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы применить изменения к управляемой виртуальной сети.

Azure CLI

Чтобы настроить управляемую виртуальную сеть, которая разрешает исходящий интернет, используйте --managed-network allow_internet_outbound параметр или файл конфигурации YAML со следующими записями:

managed_network:
  isolation_mode: allow_internet_outbound

Определите правила исходящего трафика для других служб Azure, от которых зависит хаб. Эти правила определяют конечные точки private, которые позволяют ресурсу Azure безопасно взаимодействовать с управляемой виртуальной сетью. В следующем правиле показано, как добавить частную конечную точку в учетную запись Хранилище BLOB-объектов Azure. В следующем примере замените замещающий текст <SUBSCRIPTION_ID><RESOURCE_GROUP>и <STORAGE_ACCOUNT_NAME> собственными значениями.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Настройте управляемую виртуальную сеть с помощью команд az ml workspace create или az ml workspace update.

• Создайте новый концентратор:

  В следующем примере создается новый концентратор. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для концентратора:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Чтобы создать концентратор с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  В следующем примере YAML определяется концентратор с управляемой виртуальной сетью:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• Обновите существующий концентратор:

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети необходимо удалить все вычислительные ресурсы для рабочей области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые сетевые конечные точки.

  В следующем примере обновляется существующий узел. Параметр --managed-network allow_internet_outbound настраивает управляемую виртуальную сеть для концентратора:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  Чтобы обновить существующий концентратор с помощью YAML-файла, используйте --file параметр и укажите ФАЙЛ YAML, содержащий параметры конфигурации:

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  В следующем примере YAML определяется управляемая виртуальная сеть для концентратора. В нем также показано, как добавить подключение частной конечной точки к ресурсу, который использует концентратор. В этом примере добавляется частная конечная точка для учетной записи Хранилище BLOB-объектов Azure. В следующем примере замените замещающий текст <SUBSCRIPTION_ID><RESOURCE_GROUP>и <STORAGE_ACCOUNT_NAME> собственными значениями:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Ссылки

• az ml workspace create
• az ml workspace update

Python

Чтобы настроить управляемую виртуальную сеть, которая разрешает исходящий интернет-трафик, используйте ManagedNetwork класс с IsolationMode.ALLOW_INTERNET_OUTBOUND. Затем используйте ManagedNetwork объект для создания нового концентратора или обновления существующего. Чтобы определить правила outbound для Azure служб, которые использует концентратор, используйте класс PrivateEndpointDestination для определения новой частной конечной точки службы.

• Создайте новый концентратор:

  В следующем примере создается новый концентратор с именем myhub с правилом исходящего трафика с именем myrule, который добавляет частную конечную точку для учетной записи Хранилище BLOB-объектов Azure. В следующем примере замените замещающий текст <SUBSCRIPTION_ID><RESOURCE_GROUP>и <STORAGE_ACCOUNT_NAME> собственными значениями:

  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination
  
  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint to Azure Blob Storage
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound rule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

  Ссылки

  • ManagedNetwork
  • IsolationMode
  • Хаб
  • PrivateEndpointDestination

• Обновите существующий концентратор:

  В следующем примере показано, как создать управляемую виртуальную сеть для существующего концентратора с именем myhub:

  from azure.ai.ml import MLClient
  from azure.identity import DefaultAzureCredential
  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination
  
  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get(name="myhub")
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound rule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

  Ссылки

  • ManagedNetwork
  • IsolationMode
  • PrivateEndpointDestination
  • MLClient

Настройка управляемой виртуальной сети для разрешения только утвержденного исходящего трафика

Совет

Azure автоматически настраивает управляемую виртуальную сеть при создании вычислительного ресурса. Если вы разрешаете автоматическое создание, первый вычислительный ресурс может занять около 30 минут, так как сеть также должна быть настроена. При настройке правил исходящего трафика по полным доменным именам (FQDN), первое такое правило добавляет около 10 минут к времени установки.

Azure

• Создайте новый концентратор:

  1. Войдите на портал Azure и выберите Foundry в меню "Создать ресурс".

  2. Выберите + New Azure AI.

  3. Укажите необходимые сведения на вкладке "Основные сведения".

  4. На вкладке "Сеть" выберите "Приватный" с утвержденным исходящим трафиком.

  5. Чтобы добавить правило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика " на вкладке "Сеть ". На боковой панели правил исходящего трафика укажите следующие сведения:

     • Имя правила: название правила. Имя должно быть уникальным для этого концентратора.
     • Тип назначения: частная конечная точка, тег службы или полное доменное имя. Тег службы и полное доменное имя доступны только в том случае, если сетевая изоляция является частной с утвержденным исходящим трафиком.

     Если тип назначения является частной конечной точкой, введите следующие сведения:

     • Subscription: подписка, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Resource group: группа ресурсов, содержащая ресурс Azure, для которого требуется добавить частную конечную точку.
     • Тип ресурса: тип ресурса Azure.
     • Resource name: имя ресурса Azure.
  • Sub Resource: подресурс типа ресурса Azure.

  Совет

  Управляемая виртуальная сеть концентратора не поддерживает частные конечные точки для всех типов ресурсов Azure. Список поддерживаемых ресурсов см. в разделе "Частные конечные точки ".

  Если тип назначения — "Тег службы", введите следующие сведения:

  • Сервисный тег: сервисный тег, добавляемый в утвержденные правила исходящего трафика.
  • Протокол: протокол для разрешения тега службы.
  • Диапазоны портов: диапазоны портов, установленные для тега службы.

  Если тип назначения — полное доменное имя, введите следующие сведения:

  • Назначение FQDN: полное доменное имя для добавления в одобренные правила исходящего трафика.

    Нажмите кнопку "Сохранить", чтобы сохранить правило. Чтобы добавить дополнительные правила, снова нажмите кнопку "Добавить определяемые пользователем правила исходящего трафика ".

  1. Продолжайте создание концентратора, как обычно.

• Обновите существующий концентратор:

  1. Войдите на портал Azure и выберите концентратор, для которого требуется включить изоляцию управляемой виртуальной сети.

  2. Выберите "Сеть>частной" с утвержденным исходящим трафиком.

     • Чтобы добавитьправило исходящего трафика, выберите "Добавить определяемые пользователем правила исходящего трафика " на вкладке "Сеть ". На боковой панели правил исходящего трафика введите те же сведения, что и при создании концентратора в предыдущем разделе "Создание нового концентратора".

     • Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

  3. Нажмите кнопку "Сохранить " в верхней части страницы, чтобы сохранить изменения в управляемой виртуальной сети.

Azure CLI

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденный исходящий трафик, используйте --managed-network allow_only_approved_outbound параметр или файл конфигурации YAML, содержащий следующие записи:

managed_network:
  isolation_mode: allow_only_approved_outbound

Кроме того, можно определить правила исходящего трафика для разрешённого исходящего трафика. Создайте правило исходящего трафика типа service_tag, fqdnили private_endpoint. В следующем примере добавляется частная конечная точка в ресурс Azure Blob, служебный тег для Фабрика данных Azure и полное доменное имя (FQDN) для pypi.org. В следующем примере замените замещающий текст <SUBSCRIPTION_ID>, <RESOURCE_GROUP> и <STORAGE_ACCOUNT_NAME> вашими значениями.

Важно

• Добавление правила исходящего трафика для тега службы или полного доменного имени допустимо только в том случае, если управляемая виртуальная сеть настроена allow_only_approved_outbound.
• Если вы добавляете правила исходящего трафика, Microsoft не может гарантировать защиту от кражи данных.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Вы можете настроить управляемую виртуальную сеть с помощью команд az ml workspace create или az ml workspace update команд:

• Создайте новый концентратор:

  В следующем примере используется --managed-network allow_only_approved_outbound параметр для настройки управляемой виртуальной сети:

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Следующий ФАЙЛ YAML определяет концентратор с управляемой виртуальной сетью:

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  Чтобы создать концентратор с помощью YAML-файла, используйте --file параметр:

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• Обновление существующего концентратора

  Предупреждение

  Перед обновлением существующей рабочей области для использования управляемой виртуальной сети необходимо удалить все вычислительные ресурсы для рабочей области. К ним относятся вычислительный экземпляр, вычислительный кластер и управляемые сетевые конечные точки.

  В следующем примере используется --managed-network allow_only_approved_outbound параметр для настройки управляемой виртуальной сети для существующего концентратора:

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  Следующий файл YAML определяет управляемую виртуальную сеть для концентратора и показывает, как добавить утвержденные правила исходящего трафика. В этом примере правила исходящего трафика добавляются для тега службы, полного доменного имени и частной конечной точки:

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

Ссылки

• az ml workspace create
• az ml workspace update

Python

Чтобы настроить управляемую виртуальную сеть, которая разрешает только утвержденный исходящий трафик, используйте ManagedNetwork класс для определения сети с IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. ManagedNetwork Используйте объект для создания нового концентратора или обновления существующего. Чтобы определить правила исходящего трафика, используйте следующие классы:

Цель	Класс
служба Azure, на которую опирается центр	PrivateEndpointDestination
метка службы Azure	ServiceTagDestination
Полностью квалифицированное доменное имя (FQDN)	FqdnDestination

• Создайте новый концентратор:

  В следующем примере создается новый концентратор, названный myhub, с несколькими правилами для исходящего трафика.

  • myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
  • datafactory — добавляет правило тега службы для взаимодействия с Фабрика данных Azure.

  Важно

  • Добавьте правило исходящего трафика для тега службы или полного доменного имени только в том случае, если вы настраиваете управляемую виртуальную сеть IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
  • Если вы добавляете правила исходящего трафика, Microsoft не может гарантировать защиту от кражи данных.

  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination
  
  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

  Ссылки

  • ManagedNetwork
  • IsolationMode
  • Хаб
  • PrivateEndpointDestination
  • ServiceTagDestination
  • FqdnDestination

• Обновите существующий концентратор:

  В следующем примере показано, как настроить управляемую виртуальную сеть для существующего концентратора с именем myhub. Он также добавляет несколько правил для исходящего сетевого трафика:

  • myrule — добавляет частную конечную точку для хранилища BLOB-объектов Azure.
  • datafactory — добавляет правило тега службы для взаимодействия с Фабрика данных Azure.

  Совет

  Вы можете добавить правило исходящего трафика для тега службы или полного доменного имени (FQDN) только при настройке управляемой виртуальной сети для использования IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

  from azure.ai.ml import MLClient
  from azure.identity import DefaultAzureCredential
  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination
  
  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

  Ссылки

  • ManagedNetwork
  • IsolationMode
  • PrivateEndpointDestination
  • ServiceTagDestination
  • FqdnDestination
  • MLClient

Подготовка управляемой виртуальной сети вручную

Управляемая виртуальная сеть автоматически подготавливается при создании вычислительного экземпляра. При использовании процесса автоматической подготовки может потребоваться около 30 минут, чтобы создать первый вычислительный экземпляр, так как он также подготавливает сеть. Если вы настраиваете правила исходящего трафика FQDN (доступно только в режиме разрешения только утвержденных), первое правило FQDN добавляет около 10 минут к времени развертывания. Если у вас есть большой набор правил исходящего трафика, которые нужно настроить в управляемой сети, процесс может занять больше времени для завершения. Увеличение времени подготовки может привести к истечении времени ожидания создания первого вычислительного экземпляра.

Чтобы сократить время ожидания и избежать тайм-аутов, вручную настройте управляемую сеть. Дождитесь завершения подготовки перед созданием вычислительного экземпляра.

Кроме того, используйте provision_network_now флаг для настройки управляемой сети во время создания концентратора.

Примечание

Чтобы развернуть модель для управляемых вычислений, необходимо вручную подготовить управляемую сеть или сначала создать вычислительный экземпляр. Создание вычислительного экземпляра автоматически настраивает управляемую сеть.

Azure

Во время создания рабочей области выберите "Предоставить управляемую сеть заранее при создании", чтобы настроить управляемую сеть. Выставление счетов начинается для сетевых ресурсов, таких как частные конечные точки, после настройки виртуальной сети. Этот параметр доступен только во время создания рабочей области.

Azure CLI

В следующем примере показано, как подготовить управляемую виртуальную сеть во время создания концентратора.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

В следующем примере показано, как подготовить управляемую виртуальную сеть.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Чтобы убедиться, что подготовка завершена, выполните следующую команду:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Ссылки

• az ml workspace create
• az ml workspace provision-network — команда для создания сети рабочего пространства в Azure Machine Learning.
• az ml workspace show

Python

Используйте пакет SDK для подготовки управляемой виртуальной сети, а затем проверьте его состояние.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Ссылки

• MLClient
• begin_provision_network

Управление правилами исходящего трафика

Azure

1. Войдите на портал Azure и выберите концентратор, для которого требуется включить изоляцию управляемой виртуальной сети.
2. Выберите "Сеть". Раздел Foundry Outbound access позволяет управлять правилами исходящих соединений.

• Чтобы добавить правило исходящего трафика, выберите Добавить определяемые пользователем правила исходящего трафика на вкладке Networking. На боковой панели Правила исходящего трафика Azure AI введите необходимые значения.

• Чтобы включить или отключить правило, используйте переключатель в столбце "Активный ".

• Чтобы удалить правило исходящего трафика, выберите команду delete для правила.

Azure CLI

В следующих командах замените текст заполнителя <workspace-name>, <resource-group> и <rule-name> своими значениями. Чтобы перечислить правила исходящего трафика управляемой виртуальной сети для концентратора, выполните следующую команду:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Чтобы просмотреть сведения о правиле исходящего трафика управляемой виртуальной сети, выполните следующую команду:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Чтобы удалить правило исходящего трафика из управляемой виртуальной сети, выполните следующую команду:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Ссылки

• az ml workspace outbound-rule list
• az ml workspace outbound-rule show
• Удалить правило для исходящих соединений в az ml workspace

Python

В следующем примере показано, как управлять правилами исходящего трафика для концентратора с именем myhub. В примере замените текст <some-rule-name> заполнителя именем правила:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Ссылки

• MLClient

Архитектура и режимы изоляции сети

При включении изоляции управляемой виртуальной сети создается управляемая виртуальная сеть для концентратора. Управляемые вычислительные ресурсы, создаваемые для концентратора, автоматически используют эту управляемую виртуальную сеть. Управляемая виртуальная сеть может использовать частные конечные точки для Azure ресурсов, используемых центром, таких как служба хранилища Azure, Azure Key Vault и Реестр контейнеров Azure.

Выберите один из трех режимов исходящего трафика для управляемой виртуальной сети:

Исходящий режим	Описание	Сценарии
Разрешить внешний интернет-трафик	Разрешить весь исходящий трафик через Интернет из управляемой виртуальной сети.	Требуется неограниченный доступ к ресурсам машинного обучения в Интернете, например пакетам Python или предварительно обученным моделям.1
Разрешить только утвержденный исходящий трафик	Используйте теги служб, чтобы разрешить исходящий трафик.	* Вы хотите свести к минимуму риск кражи данных, но необходимо подготовить все необходимые артефакты машинного обучения в частной среде. * Необходимо настроить исходящий доступ к утвержденному списку служб, тегов служб или полных доменных имен (FQDN).
Отключен	Входящий и исходящий трафик не ограничены.	Вам требуется публичный входящий и исходящий трафик из концентратора.

¹ Правила исходящего трафика можно использовать в режиме разрешать только утвержденный исходящий трафик для достижения того же результата, что и использование разрешения исходящего трафика в Интернет. Различия:

• Всегда используйте частные конечные точки для доступа к ресурсам Azure.
• Необходимо добавить правила для каждого исходящего подключения, который необходимо разрешить.
• Добавление правил исходящего трафика для полного доменного имени (FQDN) увеличивает затраты, так как этот тип правил использует Брандмауэр Azure. Если вы используете правила для исходящего трафика с полным доменным именем (FQDN), плата за Брандмауэр Azure включается в ваш счет. Дополнительные сведения см. в разделе "Цены".
• Правила по умолчанию разрешают только утвержденный исходящий трафик , чтобы свести к минимуму риск кражи данных. Добавление любых исходящих правил может увеличить риск.

Управляемая виртуальная сеть предварительно настроена с обязательными правилами по умолчанию. Центр также настраивает подключения частной конечной точки к концентратору, учетную запись хранения по умолчанию, реестр контейнеров и хранилище ключей, если эти ресурсы заданы как закрытые или если для режима изоляции задан только утвержденный исходящий трафик. После выбора режима изоляции добавьте все другие необходимые правила для исходящего трафика.

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения исходящего трафика в Интернет:

На следующей схеме показана управляемая виртуальная сеть, настроенная для разрешения только утвержденного исходящего трафика:

Примечание

В этой конфигурации хранилище, хранилище ключей и реестр контейнеров, которые использует концентратор, имеют значение private. Так как они закрыты, концентратор использует частные конечные точки для их доступа.

Примечание

Чтобы получить доступ к частной учетной записи хранения из общедоступного центра Foundry, используйте Foundry из виртуальной сети вашей учетной записи хранения. Доступ к Foundry из виртуальной сети гарантирует, что вы можете выполнять такие действия, как отправка файлов в частную учетную запись хранения. Частная учетная запись хранения не зависит от параметров сети Центра Foundry. См. Настройка брандмауэров и виртуальных сетей служба хранилища Azure.

Список обязательных правил

Совет

Эти правила автоматически добавляются в управляемую виртуальную сеть.

Частные конечные точки:

• При настройке режима изоляции управляемой виртуальной сети Allow internet outbound, Foundry автоматически создает необходимые правила исходящего трафика частной конечной точки из управляемой виртуальной сети для концентратора и связанных ресурсов с отключенным доступом к общедоступной сети (Azure Key Vault, учетной записи хранения, Реестр контейнеров Azure и концентратора).
• При установке режима изоляции для управляемой виртуальной сети значение Allow only approved outbound, Foundry автоматически создает необходимые правила исходящего трафика из частной конечной точки управляемой виртуальной сети для концентратора и связанных ресурсов, независимо от параметра доступа к общедоступной сети для этих ресурсов (Azure Key Vault, учетная запись хранения, Реестр контейнеров Azure и концентратор).

Foundry требует набор тегов служб для частного сетевого взаимодействия. Не заменяйте необходимые служебные теги. В следующей таблице описывается каждый обязательный тег службы и его назначение в Foundry.

Правило тега службы	Входящий или исходящий трафик	Цель
AzureMachineLearning	Входящие	Создание, обновление и удаление вычислительных экземпляров и кластеров Foundry.
AzureMachineLearning	Исходящий	Использование служб Машинное обучение Azure. Python IntelliSense использует порт 18881 в ноутбуках. Создание, обновление и удаление экземпляра вычислений Машинное обучение Azure использует порт 5831.
AzureActiveDirectory	Исходящий	Проверка подлинности с помощью Microsoft Entra ID.
BatchNodeManagement.region	Исходящий	Связь с системой пакетная служба Azure для вычислительных экземпляров и кластеров Foundry.
AzureResourceManager	Исходящий	Создайте ресурсы Azure с помощью Foundry, Azure CLI и пакета SDK для Microsoft Foundry.
AzureFrontDoor.FirstParty	Исходящий	Доступ к образам Docker, предоставляемым Microsoft.
MicrosoftContainerRegistry	Исходящий	Доступ к образам Docker, предоставляемым Microsoft. Настройте маршрутизатор Foundry для Служба Azure Kubernetes.
AzureMonitor	Исходящий	Отправка журналов и метрик в Azure Monitor. Требуется только в том случае, если вы не защитили Azure Monitor для рабочего пространства. Это правило исходящего трафика также регистрирует сведения о инцидентах поддержки.
VirtualNetwork	Исходящий	Требуется, если частные конечные точки присутствуют в виртуальной сети или одноранговых виртуальных сетях.

Список правил исходящего трафика для конкретного сценария

Сценарий. Доступ к пакетам общедоступного машинного обучения

Чтобы установить пакеты Python для обучения и развертывания, добавьте правила FQDN для исходящего трафика, чтобы разрешить трафик к следующим именам узлов:

Примечание

В этом списке рассматриваются общие хосты для ресурсов Python в сети. Если вам нужен доступ к GitHub репозиторию или другому узлу, определите и добавьте узлы, необходимые для вашего сценария.

Имя узла	Цель
anaconda.com *.anaconda.com	Используется для установки пакетов по умолчанию.
*.anaconda.org	Используется для получения данных репозитория.
pypi.org	Перечисляет зависимости от индекса по умолчанию, если параметры пользователя не перезаписывают его. Если вы перезаписываете индекс, также разрешите *.pythonhosted.org.
pytorch.org *.pytorch.org	Используется в некоторых примерах, основанных на PyTorch.
*.tensorflow.org	Используется в некоторых примерах на основе TensorFlow.

Сценарий: использование Visual Studio Code

Visual Studio Code использует определенные узлы и порты для установления удаленного подключения.

Хозяева

Используйте эти узлы, чтобы установить пакеты Visual Studio Code и установить удаленное подключение к вычислительным экземплярам проекта.

Примечание

Этот список не включает все необходимые хосты для всех ресурсов Visual Studio Code в Интернете. Например, если вам нужен доступ к репозиторию GitHub или другому узлу, необходимо определить и добавить необходимые узлы для этого сценария. Полный список имен узлов см. в разделе Network Connections в Visual Studio Code.

Имя узла	Цель
*.vscode.dev *.vscode-unpkg.net *.vscode-cdn.net *.vscodeexperiments.azureedge.net default.exp-tas.com	Требуется для доступа к VS Code для Интернета (vscode.dev).
code.visualstudio.com	Требуется для скачивания и установки рабочего стола VS Code. Этот хост не требуется для VS Code Web.
update.code.visualstudio.com *.vo.msecnd.net	Загружает компоненты VS Code Server в вычислительный экземпляр во время сценариев установки.
marketplace.visualstudio.com vscode.blob.core.windows.net *.gallerycdn.vsassets.io	Требуется для скачивания и установки расширений VS Code. Эти узлы позволяют удаленному подключению к вычислительным экземплярам. Дополнительные сведения см. в статье "Начало работы с проектами Foundry" в VS Code.
vscode.download.prss.microsoft.com	Служит CDN для загрузки Visual Studio Code.

Порты

Разрешить сетевой трафик портам 8704–8710. Сервер VS Code выбирает первый доступный порт в этом диапазоне.

Сценарий: Использование моделей Hugging Face

Чтобы использовать модели Hugging Face с хабом, добавьте правила исходящего FQDN, чтобы разрешить трафик к следующим узлам:

• docker.io
• *.docker.io
• *.docker.com
• production.cloudflare.docker.com
• cdn.auth0.com
• huggingface.co
• cas-bridge.xethub.hf.co
• cdn-lfs.huggingface.co

Сценарий: модели, проданные Azure

Эти модели устанавливают зависимости во время выполнения. Добавьте правила исходящего FQDN, чтобы разрешить трафик к следующим хостам:

• *.anaconda.org
• *.anaconda.com
• anaconda.com
• pypi.org
• *.pythonhosted.org
• *.pytorch.org
• pytorch.org

Частные конечные точки

службы Azure в настоящее время поддерживают частные конечные точки для следующих служб:

• Центр литейного производства
• Поиск с использованием ИИ Azure
• Инструменты литейного производства
• Управление API в Azure
  • Поддерживает только классический уровень без внедрения виртуальной сети и уровня "Стандартный" версии 2 с интеграцией виртуальной сети. Дополнительные сведения о виртуальных сетях управления API см. в разделе виртуальная сеть Основные понятия.
• Реестр контейнеров Azure
• Azure Cosmos DB (все типы подресурсов)
• Фабрика данных Azure
• База данных Azure для MariaDB
• База данных Azure для MySQL
• База данных Azure для PostgreSQL отдельный сервер
• гибкий сервер База данных Azure для PostgreSQL
• Azure Databricks
• Центры событий Azure
• Azure Key Vault
• Машинное обучение Azure
• реестры Машинное обучение Azure
• Кэш Azure для Redis
• Azure SQL Server
• служба хранилища Azure (все типы подресурсов)
• Application Insights (через PrivateLinkScopes)

При создании частной конечной точки необходимо указать тип ресурса и подресурс , к которому подключается конечная точка. Некоторые ресурсы имеют несколько типов и подресурсов. Дополнительные сведения см. в разделе о частной конечной точке.

При создании частной конечной точки для ресурсов зависимостей концентратора, таких как служба хранилища Azure, Реестр контейнеров Azure и Azure Key Vault, ресурс может находиться в другой подписке Azure. Однако ресурс должен находиться в том же тенанте, что и концентратор.

Если выбрать один из Azure ресурсов, перечисленных ранее в качестве целевого ресурса, служба автоматически создает частную конечную точку для подключения. Укажите допустимый идентификатор целевого объекта для частной конечной точки. Для подключения целевой идентификатор может быть идентификатором Azure Resource Manager родительского ресурса. Включите идентификатор целевого объекта в целевую точку подключения или в metadata.resourceid. Дополнительные сведения о подключениях см. в статье "Добавление нового подключения на портале Foundry".

Утверждение частных конечных точек

Чтобы установить подключения к частной конечной точке в управляемых виртуальных сетях с помощью Foundry, управляемое удостоверение рабочей области (назначаемое системой или назначаемое пользователем) и удостоверение пользователя, создающее частную конечную точку, должно иметь разрешение на утверждение подключений частной конечной точки к целевым ресурсам. Ранее служба Foundry предоставила это разрешение с помощью автоматических назначений ролей. Из-за проблем безопасности с автоматическими назначениями ролей, начиная с 30 апреля 2025 г., служба прекращает эту логику автоматического предоставления разрешений. Назначьте роль Утверждающего подключения Azure AI Enterprise Network или настраиваемую роль с необходимыми разрешениями на подключение частной конечной точки к целевым типам ресурсов и предоставьте эту роль управляемому удостоверению узла Foundry, чтобы разрешить ему утверждать подключения частных конечных точек к целевым ресурсам Azure.

Ниже приведен список типов целевых ресурсов частной конечной точки, которые охватываются ролью утверждающего подключения для Azure AI Enterprise Network.

• Шлюз приложений Azure
• Azure Monitor
• Поиск с использованием ИИ Azure
• Центры событий Azure
• База данных SQL Azure
• служба хранилища Azure
• Рабочая область Машинное обучение Azure
• реестр Машинное обучение Azure
• литейное производство
• Azure Key Vault
• Azure Cosmos DB
• База данных Azure для MySQL
• База данных Azure для PostgreSQL
• Инструменты литейного производства
• Кэш Azure для Redis
• Реестр контейнеров Azure
• Управление API Azure

Чтобы создать правила исходящего трафика для частной конечной точки для целевых типов ресурсов, не охваченных ролью утверждающего сетевого подключения Azure AI Enterprise, таких как Фабрика данных Azure, Azure Databricks и Azure Functions, используйте настраиваемую роль, ограниченную только действиями, необходимыми для утверждения подключений частной конечной точки на целевых типах ресурсов.

Чтобы создать правила исходящего трафика частной конечной точки для ресурсов рабочей области по умолчанию, создание рабочей области предоставляет необходимые разрешения с помощью назначений ролей, поэтому вам не нужно предпринимать никаких дополнительных действий.

Выберите версию Брандмауэр Azure, чтобы разрешить только утвержденный исходящий трафик

Брандмауэр Azure начинает развертываться при добавлении правила FQDN для исходящего трафика в режиме разрешить только утвержденный исходящий. Расходы на Брандмауэр Azure добавляются в ваш счет. По умолчанию создается версия Брандмауэр Azure Standard. Или выберите базовую версию. В любое время измените версию брандмауэра. Чтобы узнать, какая версия соответствует вашим потребностям, перейдите по ссылке Выбор подходящей версии Брандмауэр Azure.

Важно

Брандмауэр Azure не создается, пока не будет добавлено правило исходящего полного доменного имени. Для получения сведений о ценах см. раздел цены Брандмауэр Azure и ознакомьтесь с ценами на стандартную версию.

Используйте эти вкладки, чтобы узнать, как выбрать версию брандмауэра для управляемой виртуальной сети.

Azure

Выбрав режим разрешить только утвержденные исходящие, станет доступным параметр для выбора версии Брандмауэр Azure (SKU). Выберите "Стандартный " или "Базовый". Нажмите кнопку "Сохранить".

Azure CLI

Чтобы задать версию брандмауэра с помощью Azure CLI, используйте YAML-файл и укажите firewall_sku. Следующий пример задает SKU брандмауэра следующим образом: basic

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Python

Чтобы задать версию брандмауэра с помощью пакета SDK Python, задайте свойство firewall_sku объекта ManagedNetwork. Следующий пример задает SKU брандмауэра следующим образом: basic

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Ссылки

• ManagedNetwork
• IsolationMode

Цены

Функция управляемой виртуальной сети концентратора бесплатна, но вы платите за следующие ресурсы, используемые управляемой виртуальной сетью:

• Приватный канал Azure — частные конечные точки, которые защищают обмен данными между управляемой виртуальной сетью и ресурсами Azure используют Приватный канал Azure. См. цены на Приватный канал Azure.

• Правила исходящего трафика FQDN — Брандмауэр Azure применяет эти правила. Если вы используете правила FQDN для исходящих соединений, в счете будет указана плата за Брандмауэр Azure. Стандартная версия Брандмауэр Azure используется по умолчанию. Чтобы выбрать базовую версию, см. Выбор версии Брандмауэр Azure. Брандмауэр Azure подготавливается для каждого концентратора.

  Важно

  Брандмауэр Azure не создается, пока не будет добавлено правило исходящего полного доменного имени. Если вы не используете правила FQDN, плата за Брандмауэр Azure не взимается. Сведения о ценах см. в разделе Цены на Брандмауэр Azure.

Ограничения

• Foundry поддерживает изоляцию управляемой виртуальной сети для вычислительных ресурсов. Foundry не поддерживает создание собственной виртуальной сети для изоляции вычислений. Этот сценарий отличается от необходимой виртуальной сети Azure для доступа к Foundry из локальной сети.
• После включения изоляции управляемой виртуальной сети его нельзя отключить.
• Управляемая виртуальная сеть использует частную конечную точку для подключения к частным ресурсам. Вы не можете использовать частную конечную точку и конечную точку службы в том же ресурсе Azure, например учетной записи хранения. Используйте частные конечные точки для всех сценариев.
• При удалении Foundry служба удаляет управляемую виртуальную сеть.
• С разрешением только одобренных исходящих соединений Foundry автоматически включает защиту от утечки данных. При добавлении других правил исходящего трафика, таких как полные квалифицированные доменные имена (FQDN), Microsoft не может гарантировать защиту от кражи данных к этим пунктам назначения.
• Правила исходящего трафика FQDN увеличивают стоимость управляемой виртуальной сети, поскольку они используют межсетевой экран Azure. Дополнительные сведения см. в разделе "Цены".
• Правила исходящего трафика FQDN поддерживают только порты 80 и 443.
• Чтобы отключить общедоступный IP-адрес вычислительного экземпляра, добавьте частную конечную точку в концентратор.
• Для вычислительного экземпляра в управляемой сети выполните команду az ml compute connect-ssh для подключения через SSH.
• Если управляемая сеть настроена на разрешение только утвержденного исходящего трафика, для доступа к учетным записям служба хранилища Azure нельзя использовать правило, основанное на полном доменном имени. Вместо этого используйте частную конечную точку.

Связанное содержимое

• Создание центра и проекта Foundry с помощью пакета SDK
• Доступ к локальным ресурсам из Foundry