Udostępnij za pośrednictwem


Jak skonfigurować sieć zarządzaną dla centrów usługi Azure AI Foundry

Mamy dwa aspekty izolacji sieciowej. Jedną z nich jest izolacja sieci w celu uzyskania dostępu do centrum azure AI Foundry. Inną jest izolacja sieci zasobów obliczeniowych zarówno dla centrum, jak i projektu (na przykład wystąpienia obliczeniowego, bezserwerowego i zarządzanego punktu końcowego online). W tym dokumencie wyjaśniono tę ostatnią wyróżnioną na diagramie. Aby chronić zasoby obliczeniowe, możesz użyć wbudowanej izolacji sieciowej centrum.

Diagram izolacji sieci koncentratora.

Należy skonfigurować następujące konfiguracje izolacji sieciowej.

  • Wybierz tryb izolacji sieciowej. Dostępne są dwie opcje: zezwalaj na tryb ruchu wychodzącego z Internetu lub zezwalaj tylko na zatwierdzony tryb wychodzący.
  • Jeśli używasz integracji programu Visual Studio Code z trybem zezwalania tylko na zatwierdzone dane wychodzące, utwórz reguły ruchu wychodzącego FQDN opisane w sekcji Korzystanie z programu Visual Studio Code .
  • Jeśli używasz modeli HuggingFace w modelach z dozwolonym tylko zatwierdzonym trybem ruchu wychodzącego, utwórz reguły ruchu wychodzącego FQDN opisane w sekcji Korzystanie z modeli HuggingFace.
  • Jeśli używasz jednego z modeli typu open source z dozwolonym tylko zatwierdzonym trybem ruchu wychodzącego, utwórz reguły ruchu wychodzącego FQDN opisane w sekcji wyselekcjonowanej przez usługę Azure AI .

Architektura izolacji sieci i tryby izolacji

Po włączeniu izolacji zarządzanej sieci wirtualnej zostanie utworzona zarządzana sieć wirtualna dla centrum. Zarządzane zasoby obliczeniowe tworzone dla centrum automatycznie używają tej zarządzanej sieci wirtualnej. Zarządzana sieć wirtualna może używać prywatnych punktów końcowych dla zasobów platformy Azure używanych przez centrum, takich jak Azure Storage, Azure Key Vault i Azure Container Registry.

Istnieją trzy różne tryby konfiguracji dla ruchu wychodzącego z zarządzanej sieci wirtualnej:

Tryb wychodzący opis Scenariusze
Zezwalaj na ruch wychodzący z Internetu Zezwalaj na cały ruch wychodzący z zarządzanej sieci wirtualnej. Potrzebujesz nieograniczonego dostępu do zasobów uczenia maszynowego w Internecie, takich jak pakiety języka Python lub wstępnie wytrenowane modele.1
Zezwalaj tylko na zatwierdzony ruch wychodzący Ruch wychodzący jest dozwolony przez określenie tagów usługi. * Chcesz zminimalizować ryzyko eksfiltracji danych, ale musisz przygotować wszystkie wymagane artefakty uczenia maszynowego w środowisku prywatnym.
* Chcesz skonfigurować dostęp wychodzący do zatwierdzonej listy usług, tagów usług lub nazw FQDN.
Disabled Ruch przychodzący i wychodzący nie jest ograniczony. Chcesz użyć publicznego ruchu przychodzącego i wychodzącego z centrum.

1 Możesz użyć reguł ruchu wychodzącego z dozwolonym tylko zatwierdzonym trybem ruchu wychodzącego, aby osiągnąć taki sam wynik, jak w przypadku zezwalania na ruch wychodzący z Internetu. Różnice są następujące:

  • Zawsze używaj prywatnych punktów końcowych do uzyskiwania dostępu do zasobów platformy Azure.
  • Musisz dodać reguły dla każdego połączenia wychodzącego, które należy zezwolić.
  • Dodawanie reguł ruchu wychodzącego nazwy FQDN zwiększa koszty , ponieważ ten typ reguły używa usługi Azure Firewall. Jeśli używasz reguł wychodzącej nazwy FQDN, opłaty za usługę Azure Firewall są uwzględniane w rozliczeniach. Aby uzyskać więcej informacji, zobacz Cennik.
  • Domyślne reguły zezwalania tylko na zatwierdzone dane wychodzące zostały zaprojektowane tak, aby zminimalizować ryzyko eksfiltracji danych. Wszelkie dodane reguły ruchu wychodzącego mogą zwiększyć ryzyko.

Zarządzana sieć wirtualna jest wstępnie skonfigurowana z wymaganymi regułami domyślnymi. Jest ona również skonfigurowana dla połączeń prywatnych punktów końcowych z centrum, domyślnym magazynem centrum, rejestrem kontenerów i magazynem kluczy, jeśli są skonfigurowane jako prywatne lub tryb izolacji centrum jest ustawiony tak, aby zezwalał tylko na zatwierdzony ruch wychodzący. Po wybraniu trybu izolacji należy wziąć pod uwagę tylko inne wymagania dotyczące ruchu wychodzącego, które mogą być konieczne.

Na poniższym diagramie przedstawiono zarządzaną sieć wirtualną skonfigurowaną do zezwalania na ruch wychodzący z Internetu:

Diagram izolacji zarządzanej sieci wirtualnej skonfigurowanej dla ruchu wychodzącego z Internetu.

Na poniższym diagramie przedstawiono zarządzaną sieć wirtualną skonfigurowaną tak, aby zezwalała tylko na zatwierdzony ruch wychodzący:

Uwaga

W tej konfiguracji magazyn, magazyn kluczy i rejestr kontenerów używany przez centrum są oflagowane jako prywatne. Ponieważ są one oflagowane jako prywatne, prywatny punkt końcowy jest używany do komunikowania się z nimi.

Diagram izolacji zarządzanej sieci wirtualnej skonfigurowanej pod kątem zezwalania tylko na zatwierdzone wychodzące.

Wymagania wstępne

Przed wykonaniem kroków opisanych w tym artykule upewnij się, że masz następujące wymagania wstępne:

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

  • Dostawca zasobów Microsoft.Network musi być zarejestrowany dla subskrypcji platformy Azure. Ten dostawca zasobów jest używany przez centrum podczas tworzenia prywatnych punktów końcowych dla zarządzanej sieci wirtualnej.

    Aby uzyskać informacje na temat rejestrowania dostawców zasobów, zobacz Rozwiązywanie błędów dotyczących rejestracji dostawcy zasobów.

  • Tożsamość platformy Azure używana podczas wdrażania sieci zarządzanej wymaga następujących akcji kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu utworzenia prywatnych punktów końcowych:

    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
    • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

Ograniczenia

  • Usługa Azure AI Foundry obecnie nie obsługuje przynoszenia własnej sieci wirtualnej, ale obsługuje tylko izolację zarządzanej sieci wirtualnej.
  • Po włączeniu izolacji zarządzanej sieci wirtualnej w usłudze Azure AI nie można jej wyłączyć.
  • Zarządzana sieć wirtualna używa połączenia prywatnego punktu końcowego w celu uzyskania dostępu do zasobów prywatnych. Nie możesz mieć prywatnego punktu końcowego i punktu końcowego usługi w tym samym czasie dla zasobów platformy Azure, takich jak konto magazynu. Zalecamy używanie prywatnych punktów końcowych we wszystkich scenariuszach.
  • Zarządzana sieć wirtualna zostanie usunięta po usunięciu sztucznej inteligencji platformy Azure.
  • Ochrona przed eksfiltracją danych jest automatycznie włączona dla tylko zatwierdzonego trybu ruchu wychodzącego. Jeśli dodasz inne reguły ruchu wychodzącego, takie jak do nazw FQDN, to firma Microsoft nie będzie mogła zagwarantować ochrony przed eksfiltracją danych do celów ruchu wychodzącego.
  • Korzystanie z reguł ruchu wychodzącego nazwy FQDN zwiększa koszt zarządzanej sieci wirtualnej, ponieważ reguły FQDN używają usługi Azure Firewall. Aby uzyskać więcej informacji, zobacz Cennik.
  • Reguły ruchu wychodzącego FQDN obsługują tylko porty 80 i 443.
  • W przypadku korzystania z wystąpienia obliczeniowego z siecią zarządzaną użyj az ml compute connect-ssh polecenia , aby nawiązać połączenie z obliczeniami przy użyciu protokołu SSH.
  • Jeśli sieć zarządzana jest skonfigurowana tak, aby zezwalała tylko na zatwierdzony ruch wychodzący, nie można użyć reguły FQDN w celu uzyskania dostępu do kont usługi Azure Storage. Zamiast tego należy użyć prywatnego punktu końcowego.

Konfigurowanie zarządzanej sieci wirtualnej w celu zezwolenia na ruch wychodzący z Internetu

Napiwek

Tworzenie zarządzanej sieci wirtualnej jest odroczone do momentu utworzenia zasobu obliczeniowego lub ręcznego uruchomienia aprowizacji. W przypadku zezwalania na automatyczne tworzenie może upłynąć około 30 minut, aby utworzyć pierwszy zasób obliczeniowy, ponieważ aprowizacja sieci może potrwać około 30 minut .

  • Utwórz nowe centrum:

    1. Zaloguj się do witryny Azure Portal i wybierz pozycję Azure AI Foundry z menu Utwórz zasób.

    2. Wybierz pozycję + Nowa sztuczna inteligencja platformy Azure.

    3. Podaj wymagane informacje na karcie Podstawy .

    4. Na karcie Sieć wybierz pozycję Prywatna z internetem wychodzącym.

    5. Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika z karty Sieć. Na pasku bocznym Reguły ruchu wychodzącego podaj następujące informacje:

      • Nazwa reguły: nazwa reguły. Nazwa musi być unikatowa dla tego centrum.
      • Typ docelowy: Prywatny punkt końcowy jest jedyną opcją, gdy izolacja sieci jest prywatna z wychodzącym internetem. Zarządzana sieć wirtualna centrum nie obsługuje tworzenia prywatnego punktu końcowego dla wszystkich typów zasobów platformy Azure. Aby uzyskać listę obsługiwanych zasobów, zobacz sekcję Prywatne punkty końcowe .
      • Subskrypcja: subskrypcja zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
      • Grupa zasobów: grupa zasobów zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
      • Typ zasobu: typ zasobu platformy Azure.
      • Nazwa zasobu: nazwa zasobu platformy Azure.
      • Zasób podrzędny: zasób podrzędny typu zasobu platformy Azure.

      Wybierz Zapisz, aby zapisać zasadę. Aby dodać reguły, możesz nadal używać opcji Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika.

    6. Kontynuuj tworzenie centrum w zwykły sposób.

  • Aktualizowanie istniejącego centrum:

    1. Zaloguj się do witryny Azure Portal i wybierz centrum, dla którego chcesz włączyć izolację zarządzanej sieci wirtualnej.

    2. Wybierz pozycję Sieć, a następnie wybierz pozycję Prywatna z internetem wychodzącym.

      • Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika z karty Sieć. Na pasku bocznym Reguły ruchu wychodzącego podaj te same informacje, które są używane podczas tworzenia centrum w sekcji "Tworzenie nowego centrum".

      • Aby usunąć regułę ruchu wychodzącego, wybierz pozycję Usuń dla reguły.

    3. Wybierz pozycję Zapisz w górnej części strony, aby zapisać zmiany w zarządzanej sieci wirtualnej.

Konfigurowanie zarządzanej sieci wirtualnej tak, aby zezwalała tylko na zatwierdzony ruch wychodzący

Napiwek

Zarządzana sieć wirtualna jest automatycznie aprowizowana podczas tworzenia zasobu obliczeniowego. W przypadku zezwalania na automatyczne tworzenie może upłynąć około 30 minut, aby utworzyć pierwszy zasób obliczeniowy, ponieważ aprowizacja sieci może potrwać około 30 minut . Jeśli skonfigurowano reguły ruchu wychodzącego nazwy FQDN, pierwsza reguła FQDN dodaje około 10 minut do czasu aprowizacji.

  • Utwórz nowe centrum:

    1. Zaloguj się do witryny Azure Portal i wybierz pozycję Azure AI Foundry z menu Utwórz zasób.

    2. Wybierz pozycję + Nowa sztuczna inteligencja platformy Azure.

    3. Podaj wymagane informacje na karcie Podstawy .

    4. Na karcie Sieć wybierz pozycję Prywatna z zatwierdzonym wyjściem.

    5. Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika z karty Sieć. Na pasku bocznym Reguły ruchu wychodzącego podaj następujące informacje:

      • Nazwa reguły: nazwa reguły. Nazwa musi być unikatowa dla tego centrum.
      • Typ docelowy: prywatny punkt końcowy, tag usługi lub nazwa FQDN. Tag usługi i nazwa FQDN są dostępne tylko wtedy, gdy izolacja sieci jest prywatna z zatwierdzonym wychodzącym.

      Jeśli typem docelowym jest prywatny punkt końcowy, podaj następujące informacje:

      • Subskrypcja: subskrypcja zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
      • Grupa zasobów: grupa zasobów zawierająca zasób platformy Azure, dla którego chcesz dodać prywatny punkt końcowy.
      • Typ zasobu: typ zasobu platformy Azure.
      • Nazwa zasobu: nazwa zasobu platformy Azure.
      • Zasób podrzędny: zasób podrzędny typu zasobu platformy Azure.

      Napiwek

      Zarządzana sieć wirtualna centrum nie obsługuje tworzenia prywatnego punktu końcowego dla wszystkich typów zasobów platformy Azure. Aby uzyskać listę obsługiwanych zasobów, zobacz sekcję Prywatne punkty końcowe .

      Jeśli typem docelowym jest tag usługi, podaj następujące informacje:

      • Tag usługi: tag usługi, który ma zostać dodany do zatwierdzonych reguł ruchu wychodzącego.
      • Protokół: protokół umożliwiający tag usługi.
      • Zakresy portów: zakresy portów umożliwiające tag usługi.

      Jeśli typem docelowym jest nazwa FQDN, podaj następujące informacje:

      • Miejsce docelowe nazwy FQDN: w pełni kwalifikowana nazwa domeny do dodania do zatwierdzonych reguł ruchu wychodzącego.

      Wybierz Zapisz, aby zapisać zasadę. Aby dodać reguły, możesz nadal używać opcji Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika.

    6. Kontynuuj tworzenie centrum w zwykły sposób.

  • Aktualizowanie istniejącego centrum:

    1. Zaloguj się do witryny Azure Portal i wybierz centrum, dla którego chcesz włączyć izolację zarządzanej sieci wirtualnej.

    2. Wybierz pozycję Sieć, a następnie wybierz pozycję Prywatna z zatwierdzonym wychodzącym.

      • Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika z karty Sieć. Na pasku bocznym Reguły ruchu wychodzącego podaj te same informacje co podczas tworzenia centrum w poprzedniej sekcji "Tworzenie nowego centrum".

      • Aby usunąć regułę ruchu wychodzącego, wybierz pozycję Usuń dla reguły.

    3. Wybierz pozycję Zapisz w górnej części strony, aby zapisać zmiany w zarządzanej sieci wirtualnej.

Ręczne aprowizuj zarządzaną sieć wirtualną

Zarządzana sieć wirtualna jest automatycznie aprowizowana podczas tworzenia wystąpienia obliczeniowego. W przypadku automatycznej aprowizacji tworzenie pierwszego wystąpienia obliczeniowego może potrwać około 30 minut, ponieważ aprowizacja sieci jest również zajęła około 30 minut . Jeśli skonfigurowano reguły ruchu wychodzącego nazwy FQDN (dostępne tylko z trybem zezwalania tylko na zatwierdzenie), pierwsza reguła nazwy FQDN dodaje około 10 minut do czasu aprowizacji. Jeśli masz duży zestaw reguł ruchu wychodzącego do aprowizacji w sieci zarządzanej, ukończenie aprowizacji może potrwać dłużej. Zwiększony czas aprowizacji może spowodować przekroczenie limitu czasu utworzenia pierwszego wystąpienia obliczeniowego.

Aby skrócić czas oczekiwania i uniknąć potencjalnych błędów przekroczenia limitu czasu, zalecamy ręczne aprowizowanie sieci zarządzanej. Następnie poczekaj na zakończenie aprowizacji przed utworzeniem wystąpienia obliczeniowego.

Alternatywnie możesz użyć provision_network_now flagi , aby aprowizować sieć zarządzaną w ramach tworzenia koncentratora. Ta flaga jest dostępna w wersji zapoznawczej.

Uwaga

Aby utworzyć wdrożenie online, musisz ręcznie aprowizować sieć zarządzaną lub najpierw utworzyć wystąpienie obliczeniowe, które będzie automatycznie aprowizować.

Podczas tworzenia centrum wybierz pozycję Aprowizuj sieć zarządzaną aktywnie podczas tworzenia , aby aprowizować sieć zarządzaną. Opłaty są naliczane z zasobów sieciowych, takich jak prywatne punkty końcowe, po aprowizacji sieci wirtualnej. Ta opcja konfiguracji jest dostępna tylko podczas tworzenia obszaru roboczego i jest dostępna w wersji zapoznawczej.

Zarządzanie regułami ruchu wychodzącego

  1. Zaloguj się do witryny Azure Portal i wybierz centrum, dla którego chcesz włączyć izolację zarządzanej sieci wirtualnej.
  2. Wybierz pozycję Sieć. Sekcja Dostęp wychodzący do usługi Azure AI umożliwia zarządzanie regułami ruchu wychodzącego.
  • Aby dodać regułę ruchu wychodzącego, wybierz pozycję Dodaj reguły ruchu wychodzącego zdefiniowane przez użytkownika z karty Sieć. Na pasku bocznym reguł ruchu wychodzącego usługi Azure AI podaj następujące informacje:

  • Aby włączyć lub wyłączyć regułę, użyj przełącznika w kolumnie Aktywne .

  • Aby usunąć regułę ruchu wychodzącego, wybierz pozycję Usuń dla reguły.

Lista wymaganych reguł

Napiwek

Te reguły są automatycznie dodawane do zarządzanej sieci wirtualnej.

Prywatne punkty końcowe:

  • Gdy tryb izolacji zarządzanej sieci wirtualnej to Allow internet outbound, reguły ruchu wychodzącego prywatnego punktu końcowego są tworzone automatycznie jako wymagane reguły z zarządzanej sieci wirtualnej dla centrum i skojarzonych zasobów z wyłączonym dostępem do sieci publicznej (usługa Key Vault, konto magazynu, rejestr kontenerów, centrum).
  • Gdy tryb izolacji dla zarządzanej sieci wirtualnej to Allow only approved outbound, reguły ruchu wychodzącego prywatnego punktu końcowego są tworzone automatycznie jako wymagane reguły z zarządzanej sieci wirtualnej dla centrum i skojarzonych zasobów niezależnie od trybu dostępu do sieci publicznej dla tych zasobów (key vault, konto magazynu, rejestr kontenerów, centrum).

Reguły tagów usługi dla ruchu wychodzącego :

  • AzureActiveDirectory
  • Azure Machine Learning
  • BatchNodeManagement.region
  • AzureResourceManager
  • AzureFrontDoor.FirstParty
  • MicrosoftContainerRegistry
  • AzureMonitor

Reguły tagów usługi dla ruchu przychodzącego :

  • AzureMachineLearning

Lista reguł ruchu wychodzącego specyficznego dla scenariusza

Scenariusz: Uzyskiwanie dostępu do publicznych pakietów uczenia maszynowego

Aby umożliwić instalację pakietów języka Python na potrzeby trenowania i wdrażania, dodaj reguły wychodzącej nazwy FQDN, aby zezwolić na ruch do następujących nazw hostów:

Uwaga

Nie jest to pełna lista hostów wymaganych dla wszystkich zasobów języka Python w Internecie, tylko najczęściej używanych. Jeśli na przykład potrzebujesz dostępu do repozytorium GitHub lub innego hosta, musisz zidentyfikować i dodać hosty wymagane dla tego scenariusza.

Nazwa hosta Przeznaczenie
anaconda.com
*.anaconda.com
Służy do instalowania pakietów domyślnych.
*.anaconda.org Służy do pobierania danych repozytorium.
pypi.org Służy do wyświetlania listy zależności z domyślnego indeksu, jeśli istnieje, a indeks nie jest zastępowany przez ustawienia użytkownika. Jeśli indeks jest zastępowany, należy również zezwolić na *.pythonhosted.orgwartość .
pytorch.org
*.pytorch.org
Używane przez niektóre przykłady na podstawie PyTorch.
*.tensorflow.org Używane przez niektóre przykłady na podstawie biblioteki Tensorflow.

Scenariusz: Korzystanie z programu Visual Studio Code

Program Visual Studio Code korzysta z określonych hostów i portów w celu nawiązania połączenia zdalnego.

Hosts

Jeśli planujesz używać programu Visual Studio Code z koncentratorem, dodaj reguły wychodzącej nazwy FQDN , aby zezwolić na ruch do następujących hostów:

  • *.vscode.dev
  • vscode.blob.core.windows.net
  • *.gallerycdn.vsassets.io
  • raw.githubusercontent.com
  • *.vscode-unpkg.net
  • *.vscode-cdn.net
  • *.vscodeexperiments.azureedge.net
  • default.exp-tas.com
  • code.visualstudio.com
  • update.code.visualstudio.com
  • *.vo.msecnd.net
  • marketplace.visualstudio.com
  • pkg-containers.githubusercontent.com
  • github.com

Porty

Należy zezwolić na ruch sieciowy do portów 8704 do 8710. Serwer programu VS Code dynamicznie wybiera pierwszy dostępny port w tym zakresie.

Scenariusz: korzystanie z modeli HuggingFace

Jeśli planujesz używać modeli HuggingFace z koncentratorem, dodaj reguły wychodzącej nazwy FQDN , aby zezwolić na ruch do następujących hostów:

  • docker.io
  • *.docker.io
  • *.docker.com
  • production.cloudflare.docker.com
  • cnd.auth0.com
  • cdn-lfs.huggingface.co

Scenariusz: wyselekcjonowany przez usługę Azure AI

Te modele obejmują dynamiczną instalację zależności w czasie wykonywania i wymagają reguł wychodzącej nazwy FQDN , aby zezwolić na ruch do następujących hostów:

*.anaconda.org *.anaconda.com anaconda.com pypi.org *.pythonhosted.org *.pytorch.org pytorch.org

Prywatne punkty końcowe

Prywatne punkty końcowe są obecnie obsługiwane dla następujących usług platformy Azure:

  • Centrum znaleziono sztucznej inteligencji
  • Wyszukiwanie AI platformy Azure
  • Usługi platformy Azure AI
  • Usługa Azure API Management
  • Azure Container Registry
  • Azure Cosmos DB (wszystkie podtypy zasobów)
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Pojedynczy serwer usługi Azure Database for PostgreSQL
  • Serwer elastyczny usługi Azure Database for PostgreSQL
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Rejestry usługi Azure Machine Learning
  • Azure Redis Cache
  • Azure SQL Server
  • Azure Storage (wszystkie podtypy zasobów)

Podczas tworzenia prywatnego punktu końcowego należy podać typ zasobu i podźródło , z którym łączy się punkt końcowy. Niektóre zasoby mają wiele typów i podźródła. Aby uzyskać więcej informacji, zobacz , co to jest prywatny punkt końcowy.

Podczas tworzenia prywatnego punktu końcowego dla zasobów zależności centrum, takich jak Azure Storage, Azure Container Registry i Azure Key Vault, zasób może znajdować się w innej subskrypcji platformy Azure. Jednak zasób musi znajdować się w tej samej dzierżawie co centrum.

Prywatny punkt końcowy jest tworzony automatycznie dla połączenia, jeśli zasób docelowy jest zasobem platformy Azure wymienionym wcześniej. Prawidłowy identyfikator docelowy jest oczekiwany dla prywatnego punktu końcowego. Prawidłowy identyfikator docelowy połączenia może być identyfikatorem usługi Azure Resource Manager zasobu nadrzędnego. Identyfikator docelowy jest również oczekiwany w elemecie docelowym połączenia lub w metadata.resourceidelem. Aby uzyskać więcej informacji na temat połączeń, zobacz How to add a new connection in Azure AI Foundry portal (Jak dodać nowe połączenie w portalu usługi Azure AI Foundry).

Wybierz wersję usługi Azure Firewall dla dozwolonego tylko zatwierdzonego ruchu wychodzącego (wersja zapoznawcza)

Usługa Azure Firewall jest wdrażana, jeśli jest tworzona reguła ruchu wychodzącego nazwy FQDN w trybie zezwalania tylko na zatwierdzony ruch wychodzący . Opłaty za usługę Azure Firewall są uwzględniane w rozliczeniach. Domyślnie jest tworzona wersja Standardowa usługi AzureFirewall. Opcjonalnie możesz wybrać opcję użycia wersji Podstawowa. Możesz zmienić wersję zapory używaną w razie potrzeby. Aby dowiedzieć się, która wersja jest najlepsza dla Ciebie, odwiedź stronę Wybieranie odpowiedniej wersji usługi Azure Firewall.

Ważne

Zapora nie zostanie utworzona do momentu dodania reguły FQDN ruchu wychodzącego. Aby uzyskać więcej informacji na temat cen, zobacz Cennik usługi Azure Firewall i wyświetl ceny dla wersji standardowej.

Skorzystaj z poniższych kart, aby dowiedzieć się, jak wybrać wersję zapory dla zarządzanej sieci wirtualnej.

Po wybraniu trybu zezwalania tylko na zatwierdzony ruch wychodzący zostanie wyświetlona opcja wybrania wersji usługi Azure Firewall (SKU). Wybierz pozycję Standardowa , aby użyć wersji standardowej lub Podstawowa , aby użyć wersji podstawowej. Wybierz pozycję Zapisz , aby zapisać konfigurację.

Cennik

Funkcja zarządzanej sieci wirtualnej centrum jest bezpłatna. Opłaty są jednak naliczane za następujące zasoby, które są używane przez zarządzaną sieć wirtualną:

  • Azure Private Link — prywatne punkty końcowe używane do zabezpieczania komunikacji między zarządzaną siecią wirtualną a zasobami platformy Azure korzystają z usługi Azure Private Link. Aby uzyskać więcej informacji na temat cen, zobacz Cennik usługi Azure Private Link.

  • Reguły ruchu wychodzącego nazwy FQDN — reguły ruchu wychodzącego nazwy FQDN są implementowane przy użyciu usługi Azure Firewall. Jeśli używasz reguł wychodzącej nazwy FQDN, opłaty za usługę Azure Firewall są uwzględniane w rozliczeniach. Domyślnie używana jest standardowa wersja usługi Azure Firewall. Aby uzyskać informacje na temat wybierania wersji podstawowej, zobacz Wybieranie wersji usługi Azure Firewall. Usługa Azure Firewall jest aprowizowana na koncentrator.

    Ważne

    Zapora nie zostanie utworzona do momentu dodania reguły FQDN ruchu wychodzącego. Jeśli nie używasz reguł FQDN, nie będą naliczane opłaty za usługę Azure Firewall. Aby uzyskać więcej informacji na temat cen, zobacz Cennik usługi Azure Firewall.