共用方式為

如何為 Microsoft Foundry(Foundry 專案)設定私有連結

小提示

本文有另一個以樞紐為主題的版本: 如何為 Microsoft Foundry 樞紐設定私人連結。

使用 Foundry 專案時,您可以使用私人連結來確保與專案的通訊安全。 本文說明如何使用私人連結建立與專案的私人連線。

先決條件

這很重要

新的 Foundry 入口網站體驗尚未支援端對端網路隔離。 當啟用網路隔離時,請使用經典的 Foundry 入口網站體驗或 SDK 或 CLI,安全地存取你的 Foundry 專案。 關於 Foundry 中私有網路的更多限制,請參見限制。 私有 MCP 現已支援網路隔離型 Foundry。 想了解更多關於私有 MCP 設定的資訊,請參閱 Foundry 範例範本。

  • 一個現有的 Azure 虛擬網路和子網路來建立私有端點。

  • Azure 權限用於建立及批准私有端點連線:

    • 在虛擬網路上: Network Contributor (或等效者)用來建立私有端點。
    • 在 Foundry 專案資源中,貢獻者(或 擁有者)以建立私有端點連線。 如果你沒有核准權限,私有端點連線會一直處於 待處理 狀態,直到資源擁有者核准為止。
    • 如果你管理私有 DNS 區域:私有 DNS 區域貢獻者(或同等角色)用於你連結到虛擬網路的私有 DNS 區域。

    這很重要

    不要用 172.17.0.0/16 的虛擬網路 IP 範圍。 此範圍為 Docker 橋接網路本地使用的預設子網範圍。

選擇安全的連線方式

若要連線到受虛擬網路保護的 Foundry,請使用下列其中一種方法:

  • Azure VPN 閘道 - 透過公共網際網路的私人連線將內部部署網路連接到虛擬網路。 從兩種 VPN 閘道類型中進行選擇:

    • 點對站: 每部用戶端電腦都會使用 VPN 用戶端連線到虛擬網路。
    • 站對站: VPN 裝置會將虛擬網路連線到您的內部部署網路。

  • ExpressRoute - 透過連接服務提供商的私人連線,將本地網路連接到Azure。

  • Azure Bastion - 在虛擬網路中建立一台Azure虛擬機(跳板盒),然後透過瀏覽器的 RDP 或 SSH 透過 Azure Bastion 連接。 使用 VM 作為您的開發環境。 因為它位於虛擬網路中,所以它可以直接存取工作區。

建立 Foundry 專案

建立新專案時,請使用下列步驟來建立專案。

  1. Azure 入口網站,搜尋 Foundry,選擇 Create a resource

  2. 設定 [基本] 標籤 之後,請選取 [網絡] 標籤,然後選取 [已停用] 選項。

  3. 從 [私人端點] 區段,選取 [+ 新增私人端點]。

  4. 當您透過表單建立私人端點時,請務必:

    • 從 [基本] 中,選取與虛擬網路相同的 區域 。
    • 虛擬網路 表單中,選擇你想連接的virtual network和子網路。

    備註

    在入口網站介面中,建立私有端點的目標可能會標示為「帳號」或「資源」。 在提示時選擇您的 Foundry 專案資源。

  5. 繼續完成表單以建立專案。 當您到達 [ 檢閱 + 建立] 索引標籤時,請檢閱您的設定,然後選取 [ 建立 ] 以建立專案。

在資源中新增一個私有端點

  1. Azure 入口網站 選擇你的專案。

  2. 從頁面左側,選取 [ 資源管理]、[ 網络],然後選取 [ 私人端點連線 ] 索引標籤。選取 [+ 私人端點]。

  3. 當您透過表單建立私人端點時,請務必:

    • 從 [基本] 中,選取與虛擬網路相同的 區域 。
    • 虛擬網路 表單中,選擇你想連接的virtual network和子網路。

  4. 在你填滿其他需要的網路設定後,使用 「檢視 + 建立 」標籤檢視你的設定,然後選擇 「建立 」來建立私有端點。

從項目移除私人端點

您可以移除專案的一或所有私人端點。 移除私有端點會將該專案從該端點所關聯的 Azure 虛擬網路 中移除。 拿掉私人端點可能會防止專案存取該虛擬網路中的資源,或虛擬網路中的資源無法存取工作區。 例如,如果虛擬網路不允許存取公用網際網路或從公用網際網路存取。

警告

移除專案的私人端點 不會讓其可公開存取。 若要公開存取專案,請使用 啟用公用存取 一節中的步驟。

若要移除私人端點,請使用下列資訊:

  1. Azure 入口網站 選擇你的專案。
  2. 從頁面左側,選取 [ 資源管理]、[ 網络],然後選取 [ 私人端點連線 ] 索引標籤。
  3. 選取要移除的端點,然後選取 [移除]。

啟用公用存取

在某些情況下,您可能想要允許某人透過公用端點連線到受保護的專案,而不是透過虛擬網路。 或者,您可能想要從虛擬網路移除專案,並重新啟用公用存取。

這很重要

啟用公用存取並不會移除任何存在的私人端點。 私有端點所連接的虛擬網路後方元件間的所有通訊仍然受到保護。 除了透過任何私人端點的私人存取之外,它也可讓您僅啟用對專案的公用存取。

  1. Azure 入口網站 選擇你的專案。

  2. 從頁面左側,選取 [資源管理]、[ 網络],然後選取 [ 防火牆和虛擬網络] 索引標籤 。

  3. 選取 [所有網络],然後選取 [ 儲存]。

    防火牆和虛擬網路索引卷標的螢幕快照,其中已選取 [所有網络] 選項。

DNS 設定

虛擬網路中使用私有端點的用戶端,其 Foundry 資源與專案的連接字串,與連接至公用端點的用戶端所使用者相同。 DNS 解析會自動將虛擬網路的連線路由至 Foundry 資源與專案,透過私有連結。

將 DNS 變更套用至私人端點

當你建立私有端點時,Azure會將 Foundry 資源的 DNS CNAME 資源記錄更新為子網域中的別名,前綴為 privatelink。 預設情況下,Azure也會建立一個私有 DNS 區域,對應於 privatelink 子網域,並包含 DNS A 資源記錄給私有端點。 更多資訊請參見什麼是Azure 私用 DNS

當您從虛擬網路外部使用私有端點解析端點 URL 時,它會解析到 Foundry 資源的公開端點。 當你從虛擬網路中解析私有端點時,它會解析到該私有端點的私有 IP 位址。

此方法允許虛擬網路中承載私有端點的用戶端及虛擬網路外用戶端,使用相同的 連接字串 存取 Foundry 資源。

如果你在網路上使用自訂 DNS 伺服器,客戶端必須能夠將 Foundry 資源端點的完全限定網域名稱(FQDN)解析為私有端點的 IP 位址。 將您的 DNS 伺服器設定為將私人連結子域委派給虛擬網路的私人 DNS 區域。

小提示

當你使用自訂或本地 DNS 伺服器時,請設定你的 DNS 伺服器,將子網域中的 Foundry 資源名稱解析為私有端點的 IP 位址。 將 子域委派給虛擬網路的私人 DNS 區域。 或者,設定 DNS 伺服器的 DNS 區域,並新增 DNS A 記錄。

如需設定您自己的 DNS 伺服器以支援私人端點的詳細資訊,請使用下列文章:

  • 使用專屬 DNS 伺服器的名稱解析
  • DNS 組態

驗證設定

請使用以下步驟來驗證你的私人端點是否已核准,且 DNS 是否從虛擬網路內部解析到該私有 IP 位址。

  1. 在 Azure 入口網站,前往你的專案資源。 在網路專用端點連線中,確認連線狀態為核准。

  2. 從連接到虛擬網路的虛擬機(或透過 VPN/ExpressRoute 連接的本地機器)解析你的 Foundry 端點,並確認它解析到該私有端點的私有 IP 位址。

    nslookup <your-foundry-endpoint-hostname>

  3. 在連接埠 443 上測試私用端點 IP 位址的連線。

    Test-NetConnection <private-endpoint-ip-address> -Port 443

參考資料

  • Test-NetConnection

授予可信賴的 Azure 服務存取權

如果你的 Foundry 專案使用 Azure OpenAI,且限制網路存取,請授權部分受信任的 Azure 服務存取 Azure OpenAI,同時保留其他應用程式的網路規則。 這些受信任服務接著使用受管理身份驗證至 Azure OpenAI。 若這些服務的管理身份具有適當的角色指派,下表列出可存取 Azure OpenAI 的服務:

服務 資源提供者名稱
鑄造工具 Microsoft.CognitiveServices
Azure AI 搜尋服務 Microsoft.Search
Azure Machine Learning Microsoft.MachineLearningServices

透過使用 REST API 或 Azure 入口網站建立網路規則例外,授權可信賴的 Azure 服務存取網路。

局限性

  • 你必須在與虛擬網路相同的區域和訂閱中部署私有端點。
  • 只有處於 核准 狀態的私有端點才能將流量傳送到私有連結資源。
  • Foundry 的新入口網站體驗不支援端對端網路隔離。 Foundry 的新版本代理服務不支援端對端網路隔離。 當啟用網路隔離時,使用經典的 Foundry 入口網站體驗搭配目前版本的代理服務,安全存取您的 Foundry 專案。
  • Microsoft Foundry 中的託管代理程式不支援端對端網路隔離。

關於代理服務網路隔離情境(包括網路注入、端對端隔離及限制),請參見如何使用虛擬網路搭配Azure AI 代理服務

為 Foundry 代理服務和評估提供端到端的安全網路連接

如果你正在建置代理或進行評估,並且想要端到端的網路隔離,請參考 如何用 Azure AI 代理服務使用虛擬網路 中的指引。 該文章包含了所需的 DNS 區域、參考架構以及已知的限制。

Foundry 推薦網路隔離的示意圖。

代理服務的網路注入與評估

網路安全的標準代理程式與評估支援完整的網路隔離,並防止透過網路入侵進行資料外洩。 網路注入僅支援標準代理部署與評估,不支援輕代理部署。

Agent 與評估的傳出防火牆組態

為了透過網路注入保護出口(出站)流量,請設定 Azure 防火牆 或其他防火牆。 此配置有助於在流量離開虛擬網路前檢查並控制其出站流量。

Foundry 專案與代理程式出口流量防火牆配置示意圖。

如果你在設定私有端點後遇到連線問題,請嘗試以下步驟:

  • 私有端點卡在待處理狀態:確認你擁有對 Foundry 專案資源的 Contributor 或 Owner 權限。 如果沒有,請資源擁有者從 網路專用端點連線 標籤中核准連線。
  • DNS 解析會回傳一個公有 IP 位址:確認子網域是否 存在私有 DNS 區域,並且連結到你的虛擬網路。 從虛擬網路內部執行 以確認是否解析到私人 IP。
  • 連線在連接埠 443 上逾時:請檢查您的網路安全性群組 (NSG) 規則是否允許輸出流量至連接埠 443 上的私人端點 IP。 也要確認沒有防火牆阻擋連線。
  • 自訂 DNS 伺服器無法解析:如果你使用自訂 DNS 伺服器,請確保它能將 privatelink 子網域的查詢轉發到 Azure 私人 DNS 區域。 詳情請參見 DNS 設定 。

後續步驟

  • 建立鑄造廠專案
  • 了解更多關於 Foundry 的資訊
  • Last updated on