從 Azure AI Foundry 受控網路存取內部部署資源 （預覽）

若要從 Azure AI Foundry 的受控虛擬網路存取位於不同虛擬網路或完全位於內部部署的非 Azure 資源，必須設定 應用程式閘道。 透過此 應用程式閘道，您可以設定資源的完整端對端存取。

Azure 應用程式閘道 是負載平衡器，可根據 HTTPS 要求的 URL 做出路由決策。 Azure 機器學習 支援使用應用程式閘道安全地與非 Azure 資源通訊。 如需 應用程式閘道 的詳細資訊，請參閱什麼是 Azure 應用程式閘道。

若要從受控虛擬網路存取內部部署或自定義虛擬網路資源，請在 Azure 虛擬網路上設定 應用程式閘道。 應用程式閘道用於 Azure AI Foundry 入口網站的中樞輸入存取。 設定之後，您會從 Azure AI Foundry 中樞的受控虛擬網路建立私人端點至 應用程式閘道。 使用私人端點時，完整端對端路徑會受到保護，且不會透過因特網路由傳送。

必要條件

• 請閱讀應用程式閘道的運作方式一文，以瞭解 應用程式閘道 如何保護您的非 Azure 資源的連線。
• 設定 Azure AI Foundry 中樞的受控虛擬網路，並選取隔離模式，允許因特網輸出或只允許核准的輸出。 如需詳細資訊，請參閱受控虛擬網路隔離。
• 取得要存取之資源的私人 HTTP（S） 端點。

支援的資源

應用程式閘道 支援任何使用 HTTP 或 HTTPS 通訊協定的後端目標資源。 已驗證從受控虛擬網路連線到下列資源的連線：

• Jfrog Artifactory
• Snowflake 資料庫
• 私人 API

設定 Azure 應用程式閘道

遵循快速入門：使用入口網站引導 Web 流量。 若要正確設定您的 應用程式閘道 以搭配 Azure 機器學習 使用，請在建立 應用程式閘道 時使用下列指引：

1. 從 [ 基本] 索引標籤 ：

   • 請確定您的 應用程式閘道 與選取的 Azure 虛擬網絡 位於相同的區域中。
   • Azure AI Foundry 僅支援適用於 應用程式閘道 的 IPv4。
   • 使用 Azure 虛擬網絡，為您的 應用程式閘道 選取一個專用子網。 此子網中無法部署任何其他資源。

2. 從 [前端] 索引標籤中，應用程式閘道 僅支援私人前端 IP 位址，因此必須選取公用 IP 位址或建立新的 IP 位址。 網關所連線之資源的私人IP位址可以在您在 [基本] 索引標籤上選取的子網範圍內新增。

3. 您可以從 [ 後端] 索引 標籤，將後端目標新增至後端集區。 您可以建立不同的後端集區來管理後端目標。 要求路由是以集區為基礎。 您可以新增後端目標，例如 Snowflake 資料庫。

4. 從 [組態] 索引標籤中，您會設定使用前端 IP 接收要求的方式，並路由傳送至後端。

   • 在 [ 接聽程式] 區段中：

     • 您可以使用 HTTP 或 HTTPS 通訊協定建立接聽程式，並指定要接聽的埠。 如果您想要在相同的前端IP位址上接聽兩個接聽程式，並路由至不同的後端集區，您必須選擇不同的埠。 傳入要求會根據埠來區分。
     • 如果您想要端對端 TLS 加密，請選取 [HTTPS 接聽程式] 並上傳您自己的憑證，以將接聽程式收到的要求解密 應用程式閘道。 如需詳細資訊，請參閱在 Azure 應用程式閘道 上啟用端對端 TLS。
     • 如果您想要沒有任何公用網路存取的完整私人後端目標，請勿在公用前端IP位址及其相關聯的路由規則上設定接聽程式。 應用程式閘道 只會轉送接聽程式在特定埠接收的要求。 如果您想要避免不小心新增公用前端IP接聽程式，請參閱 網路安全性規則 以完全鎖定公用網路存取。

   • 在 [ 後端目標] 區 段中，如果您想要使用 HTTPS 和後端伺服器的憑證不是由已知的 CA 簽發，則必須上傳跟證書 （。後端伺服器的 CER。 如需使用跟證書進行設定的詳細資訊，請參閱 使用入口網站設定端對端 TLS 加密。

5. 建立 應用程式閘道 資源之後，流覽至 Azure 入口網站 中的新 應用程式閘道 資源。 在 [設定] 底下，選取 [私人] 連結，讓虛擬網络能夠透過私人端點連線私下存取 應用程式閘道。 預設不會建立 Private 連結組態。

   • 選取 [+ 新增 ] 以新增 Private Link 組態，然後使用下列值來建立組態：
     • 名稱：提供私人連結組態的名稱
     • 私人連結子網：選取虛擬網路中的子網。
     • 前端IP組態： appGwPrivateFrontendIpIPv4
   • 若要確認 [私人] 鏈接已正確設定，請流覽至 [私人端點連線 ] 索引卷標，然後選取 [+ 私人端點]。 在 [資源] 索引卷標上，[目標] 子資源應該是私人前端 IP 組態的名稱。 appGwPrivateFrontendIpIPv4 如果目標子資源中沒有出現任何值，則 應用程式閘道 接聽程式未正確設定。 如需在 應用程式閘道 中設定 Private 連結的詳細資訊，請參閱設定私人連結 Azure 應用程式閘道。

設定私人連結

1. 既然您已建立 應用程式閘道 的前端IP和後端集區，您現在可以將私人端點從受控虛擬網路設定為 應用程式閘道。 在 [Azure 入口網站] 中，流覽至 Azure AI Foundry 中樞的 [網络] 索引標籤。選取 [工作區管理的輸出存取]，[+ 新增使用者定義的輸出規則]。

2. 在 [ 工作區輸出規則 ] 表單中，選取下列專案以建立您的私人端點：

   • 規則名稱：提供私人端點的名稱以 應用程式閘道。
   • 目的地類型：私人端點
   • 訂用帳戶和資源群組：選取部署 應用程式閘道 的訂用帳戶和資源群組
   • 資源類型： Microsoft.Network/applicationGateways
   • 資源名稱：應用程式閘道 資源的名稱。
   • 子資源： appGwPrivateFrontendIpIPv4
   • FQDN：這些 FQDN 是您想要在 Azure AI Foundry 入口網站內使用的別名。 其會解析為受控私人端點的私人IP位址，以應用程式閘道為目標。 視您想要使用 應用程式閘道 連線到多少資源而定，您可能會包含多個 FQDN。

   注意

   • 如果您使用 HTTPS 接聽程式搭配上傳的憑證，請確定 FQDN 別名與憑證的 CN（一般名稱）或 SAN（主體別名）相符，否則 HTTPS 呼叫將會失敗，並顯示 SNI（伺服器名稱指示）。
   • 提供的 FQDN 名稱中必須至少有三個標籤，才能正確建立 應用程式閘道 私人端點的私人 DNS 區域。
   • 在透過 SDK 或 CLI 建立私人端點之後，可以編輯 FQDN 字段。 欄位無法在 Azure 入口網站 中編輯。
   • 私人前端IP組態不支援動態子資源命名。 前端 IP 名稱必須是 appGwPrivateFrontendIpIPv4。

使用 Python SDK 和 Azure CLI 進行設定

若要使用 SDK 建立私人端點來 應用程式閘道，請參閱適用於 Python 的 Azure SDK。

若要使用 Azure CLI 建立要 應用程式閘道 的私人端點，請使用 az ml workspace outbound-rule set 命令。 視需要設定屬性。 如需詳細資訊，請參閱 設定受控網路。

限制

• 應用程式閘道 僅支援後端集區中的 HTTP 端點。 不支援非 HTTP（s） 網路流量。 請確定您的資源支援 HTTP（S） 通訊協定。
• 若要使用 應用程式閘道 連線到 Snowflake，您應該新增自己的 FQDN 輸出規則，以啟用套件/驅動程式下載和 OCSP 驗證。
  • Snowflake JDBC 驅動程式會使用 HTTPS 呼叫，但不同的驅動程式可能會有不同的實作。 檢查您的資源是否使用 HTTP（S） 通訊協定。
• 如需限制的詳細資訊，請參閱有關 應用程式閘道 的常見問題。

應用程式閘道 錯誤

如需與後端資源 應用程式閘道 連線相關的錯誤，請根據您收到的錯誤，遵循現有的 應用程式閘道 檔：

• 針對應用程式閘道中的後端健康情況問題進行疑難排解
• 針對應用程式閘道中閘道不正確的錯誤進行疑難排解
• 應用程式閘道 中的 HTTP 回應碼
• 瞭解已停用的接聽程式

相關內容

• 受控虛擬網路隔離