Einrichten eines verwalteten Netzwerks für Microsoft Foundry Hubs (klassisch)

Gilt nur für:klassisches Foundry Portal. Dieser Artikel ist für das neue Foundry-Portal nicht verfügbar. Erfahren Sie mehr über das neue Portal.

Hinweis

Links in diesem Artikel können Inhalte in der neuen Microsoft Foundry-Dokumentation anstelle der jetzt angezeigten Foundry-Dokumentation (klassisch) öffnen.

Wichtig

Dieser Artikel bietet Unterstützung älterer Systeme für hub-basierte Projekte. Es funktioniert nicht für Foundry-Projekte. Sehen Sie , wie Sie wissen, welche Art von Projekt Sie haben?

SDK-Kompatibilitätshinweis: Codebeispiele erfordern eine bestimmte Microsoft Foundry SDK-Version. Wenn Kompatibilitätsprobleme auftreten, sollten Sie die Migration von einem hubbasierten zu einem Foundry-Projekt in Betracht ziehen.

Die Netzwerkisolation für ein hubbasiertes Projekt besteht aus zwei Teilen: zugreifen auf ein Microsoft Foundry Hub und isolieren die Computerressourcen in Ihrem Hub und Projekt (z. B. Computeinstanzen, serverlose und verwaltete Onlineendpunkte). In diesem Artikel wird letzteres behandelt. Das Diagramm hebt es hervor. Verwenden Sie die integrierte Netzwerkisolation des Hubs, um Ihre Computerressourcen zu schützen.

Richten Sie die folgenden Netzwerkisolationseinstellungen ein:

Wählen Sie einen Netzwerkisolationsmodus aus: Internetzugang zulassen oder nur genehmigte ausgehende Verbindungen zulassen.
Wenn Sie die Visual Studio Code-Integration im Modus nur genehmigte ausgehende Verbindungen zulassen verwenden, erstellen Sie FQDN-Ausgangsregeln, wie im Abschnitt Visual Studio Code verwenden beschrieben.
Wenn Sie Hugging Face-Modelle im Modus für nur genehmigten ausgehenden Datenverkehr verwenden, erstellen Sie FQDN-Ausgangsregeln, wie im Abschnitt Hugging Face Modelle nutzen beschrieben.
Wenn Sie eines der Open-Source-Modelle im Modus "nur genehmigten Ausgang erlauben" verwenden, erstellen Sie FQDN-Ausnahmeregeln wie im Abschnitt Models, die direkt über Azure verkauft werden beschrieben.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Voraussetzungen verfügen:

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Registrieren Sie den Microsoft.Network-Ressourcenanbieter für Ihr Azure-Abonnement. Der Hub verwendet diesen Anbieter, um private Endpunkte für das verwaltete virtuelle Netzwerk zu erstellen.

Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Beheben von Fehlern für die Registrierung von Ressourcenanbietern.
Verwenden Sie eine Azure Identität mit den folgenden Azure rollenbasierten Zugriffssteuerungen (Azure RBAC)Aktionen, um private Endpunkte für das verwaltete virtuelle Netzwerk zu erstellen:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Tipp

Die Azure AI Enterprise Network Connection Approver integrierte Rolle umfasst diese Berechtigungen. Weisen Sie diese Rolle der verwalteten Identität des Hubs zu, um private Endpunktverbindungen zu genehmigen.

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Die Microsoft.Network-Ressourcenanbieter muss für Ihr Azure-Abonnement registriert werden. Der Hub verwendet diesen Ressourcenanbieter beim Erstellen privater Endpunkte für das verwaltete virtuelle Netzwerk.

Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Beheben von Fehlern für die Registrierung von Ressourcenanbietern.
Verwenden Sie eine Azure Identität mit den folgenden Azure rollenbasierten Zugriffssteuerungen (Azure RBAC)Aktionen, um private Endpunkte für das verwaltete virtuelle Netzwerk zu erstellen:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Tipp

Die Azure AI Enterprise Network Connection Approver integrierte Rolle umfasst diese Berechtigungen. Weisen Sie diese Rolle der verwalteten Identität des Hubs zu, um private Endpunktverbindungen zu genehmigen.
Installieren Sie die Azure CLI und die erweiterung ml für die Azure CLI. Weitere Informationen finden Sie unter Installieren, Einrichten und Verwenden der CLI (v2).
Eine Bash-kompatible Shell zum Ausführen von CLI-Beispielen in diesem Artikel. Verwenden Sie beispielsweise ein Linux-System oder Windows-Subsystem für Linux.
Die Azure CLI Beispiele in diesem Artikel verwenden ws für den Hubnamen und rg für den Ressourcengruppennamen. Ändern Sie diese Werte nach Bedarf, wenn Sie die Befehle in Ihrem Azure-Abonnement ausführen.

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen. Probieren Sie die kostenlose oder kostenpflichtige Version aus.
Die Microsoft.Network-Ressourcenanbieter muss für Ihr Azure-Abonnement registriert werden. Der Hub verwendet diesen Ressourcenanbieter beim Erstellen privater Endpunkte für das verwaltete virtuelle Netzwerk.

Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Beheben von Fehlern für die Registrierung von Ressourcenanbietern.
Die Azure Identität, die Sie beim Bereitstellen eines verwalteten Netzwerks verwenden, erfordert die folgende Azure rollenbasierte Zugriffssteuerung (Azure RBAC)Aktionen zum Erstellen privater Endpunkte:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Tipp

Die Azure AI Enterprise Network Connection Approver integrierte Rolle umfasst diese Berechtigungen. Weisen Sie diese Rolle der verwalteten Identität des Hubs zu, um private Endpunktverbindungen zu genehmigen.
Das Azure Machine Learning Python SDK v2. Weitere Informationen zum SDK finden Sie unter Install the Python SDK v2 for Azure Machine Learning.

In den Beispielen in diesem Artikel wird davon ausgegangen, dass Ihr Code mit dem folgenden Python Code beginnt. Sie importiert die Klassen, die zum Erstellen eines Hubs mit einem verwalteten virtuellen Netzwerk erforderlich sind, legt Variablen für Ihr Azure Abonnement und die Ressourcengruppe fest und erstellt die ml_client. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID> und <RESOURCE_GROUP> durch Ihre eigenen Werte:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Konfigurieren eines verwalteten virtuellen Netzwerks, um Internet-Ausgangsverkehr zu ermöglichen.

Tipp

Foundry verschiebt das Erstellen des verwalteten virtuellen Netzwerks, bis Sie eine Computing-Ressource erstellen oder die Bereitstellung manuell starten. Bei der automatischen Erstellung kann es etwa 30 Minuten dauern, die erste Computeressource zu erstellen, da sie auch das Netzwerk bereit stellt.

Erstellen eines neuen Hubs:
1. Melden Sie sich beim portal Azure an, und wählen Sie "Findry" im Menü Ressource erstellen aus.
2. Wählen Sie + Azure AI hinzufügen aus.
3. Geben Sie die erforderlichen Informationen auf der Registerkarte " Grundlagen " ein.
4. Wählen Sie auf der Registerkarte "Netzwerk " die Option "Privat" mit "Internet ausgehend" aus.
5. Um eine ausgehende Regel hinzuzufügen, wählen Sie auf der Registerkarte "Netzwerk" die Option "Benutzerdefinierte ausgehende Regeln hinzufügen" aus. Geben Sie in der Randleiste für ausgehende Regeln die folgenden Informationen ein:
  - Regelname: Ein Name für die Regel. Der Name muss für diesen Hub eindeutig sein.
  - Zieltyp: Privater Endpunkt ist die einzige Option, wenn die Netzwerkisolation "Privat" bei ausgehendem Internet ist. Ein vom Hub verwaltetes virtuelles Netzwerk unterstützt das Erstellen privater Endpunkte für alle Azure Ressourcentypen nicht. Eine Liste der unterstützten Ressourcen finden Sie im Abschnitt "Private Endpunkte ".
  - Subscription: Das Abonnement, das die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Resource group: Die Ressourcengruppe, die die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Ressourcentyp: Der Typ der Azure-Ressource.
  - Name: Der Name der Azure Ressource.
  - Sub Resource: Die Unterressource des Azure-Ressourcentyps.
  Wählen Sie "Speichern" aus. Um weitere Regeln hinzuzufügen, wählen Sie "Benutzerdefinierte ausgehende Regeln hinzufügen" aus.
6. Fahren Sie mit der Erstellung des Hubs fort.
Aktualisieren eines vorhandenen Hubs:
1. Melden Sie sich beim portal Azure an, und wählen Sie den Hub aus, um die verwaltete virtuelle Netzwerkisolation zu aktivieren.
2. Wählen Sie "Netzwerkeinstellungen>Privat" mit "Internet-Ausgang" aus.
  - Um eine ausgehende Regelhinzuzufügen, wählen Sie auf der Registerkarte "Netzwerk" die Option "Benutzerdefinierte ausgehende Regeln hinzufügen" aus. Geben Sie auf der Randleiste für ausgehende Regeln dieselben Informationen an, wie sie beim Erstellen eines Hubs im Abschnitt "Neuen Hub erstellen" verwendet werden.
  - Um eine ausgehende Regel zu löschen , wählen Sie "Löschen " für die Regel aus.
3. Wählen Sie oben auf der Seite "Speichern" aus, um die Änderungen auf das verwaltete virtuelle Netzwerk anzuwenden.

Verwenden Sie zum Konfigurieren eines verwalteten virtuellen Netzwerks, das ausgehendes Internet zulässt, entweder den --managed-network allow_internet_outbound Parameter oder eine YAML-Konfigurationsdatei mit den folgenden Einträgen:

managed_network:
  isolation_mode: allow_internet_outbound

Definieren Sie outbound-Regeln für andere Azure Dienste, auf denen der Hub basiert. Diese Regeln definieren Private-Endpunkte, mit denen eine Azure Ressource sicher mit dem verwalteten virtuellen Netzwerk kommunizieren kann. Die folgende Regel zeigt, wie Sie einem Azure Blob Storage Konto einen privaten Endpunkt hinzufügen. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Konfigurieren Sie ein verwaltetes virtuelles Netzwerk mithilfe entweder des az ml workspace create oder des az ml workspace update Befehls.

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird ein neuer Hub erstellt. Der --managed-network allow_internet_outbound Parameter konfiguriert ein verwaltetes virtuelles Netzwerk für den Hub:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Um einen Hub mithilfe einer YAML-Datei zu erstellen, verwenden Sie den --file Parameter, und geben Sie die YAML-Datei an, die die Konfigurationseinstellungen enthält:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Im folgenden YAML-Beispiel wird ein Hub mit einem verwalteten virtuellen Netzwerk definiert:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Aktualisieren eines vorhandenen Hubs:

Warnung

Bevor Sie einen vorhandenen Arbeitsbereich für die Verwendung eines verwalteten virtuellen Netzwerks aktualisieren, müssen Sie alle Computerressourcen für den Arbeitsbereich löschen. Dazu gehören Computeinstanz, Computecluster und verwaltete Onlineendpunkte.

Im folgenden Beispiel wird ein vorhandener Hub aktualisiert. Der --managed-network allow_internet_outbound Parameter konfiguriert ein verwaltetes virtuelles Netzwerk für den Hub:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Um einen vorhandenen Hub mithilfe einer YAML-Datei zu aktualisieren, verwenden Sie den --file Parameter, und geben Sie die YAML-Datei an, die die Konfigurationseinstellungen enthält:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
Im folgenden YAML-Beispiel wird ein verwaltetes virtuelles Netzwerk für den Hub definiert. Außerdem wird gezeigt, wie Sie einer Ressource, die der Hub verwendet, eine private Endpunktverbindung hinzufügen. In diesem Beispiel wird ein privater Endpunkt für ein Azure Blob Storage-Konto hinzugefügt. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte.
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Verweise

Um ein verwaltetes virtuelles Netzwerk zu konfigurieren, das das Internet ausgehend zulässt, verwenden Sie die ManagedNetwork Klasse mit IsolationMode.ALLOW_INTERNET_OUTBOUND. Verwenden Sie dann das ManagedNetwork Objekt, um einen neuen Hub zu erstellen oder ein vorhandenes zu aktualisieren. Um Outbound-Regeln für Dienste zu definieren, die von Azure genutzt werden und auf denen der Hub basiert, verwenden Sie die PrivateEndpointDestination-Klasse, um einen neuen privaten Endpunkt für den Dienst zu erstellen.

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird ein neuer Hub mit dem Namen myhub mit einer ausgehenden Regel namens myrule erstellt, die einen privaten Endpunkt für ein Azure Blob Storage Konto hinzufügt. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Verweise

Aktualisieren eines vorhandenen Hubs:

Im folgenden Beispiel wird veranschaulicht, wie Sie ein verwaltetes virtuelles Netzwerk für einen vorhandenen Hub mit dem Namen myhuberstellen:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Verweise

Konfigurieren eines verwalteten virtuellen Netzwerks, um nur genehmigten ausgehenden Zugriff zuzulassen

Tipp

Azure richtet das verwaltete VNet automatisch ein, wenn Sie eine Computeressource erstellen. Wenn Sie die automatische Erstellung zulassen, kann die erste Computeressource etwa 30 Minuten dauern, da das Netzwerk auch eingerichtet werden muss. Wenn Sie ausgehende FQDN-Regeln konfigurieren, fügt die erste FQDN-Regel etwa 10 Minuten zur Einrichtungszeit hinzu.

Erstellen eines neuen Hubs:
1. Melden Sie sich beim portal Azure an, und wählen Sie "Findry" im Menü "Ressource erstellen" aus.
2. Wählen Sie + Neues Azure AI aus.
3. Geben Sie die erforderlichen Informationen auf der Registerkarte " Grundlagen " an.
4. Wählen Sie auf der Registerkarte "Netzwerk " die Option "Privat" mit "Genehmigt ausgehend" aus.
5. Um eine ausgehende Regel hinzuzufügen, wählen Sie auf der Registerkarte "Netzwerk" die Option "Benutzerdefinierte ausgehende Regeln hinzufügen" aus. Geben Sie auf der Randleiste für ausgehende Regeln die folgenden Informationen an:
  - Regelname: Ein Name für die Regel. Der Name muss für diesen Hub eindeutig sein.
  - Zieltyp: Privater Endpunkt, Dienst-Tag oder FQDN. Service Tag und FQDN sind nur verfügbar, wenn die Netzwerkisolation privat ist und genehmigter ausgehender Datenverkehr besteht.
  Wenn der Zieltyp "Privater Endpunkt" lautet, geben Sie die folgenden Informationen ein:
  - Subscription: Das Abonnement, das die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Resource group: Die Ressourcengruppe, die die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Ressourcentyp: Der Typ der Azure-Ressource.
  - Name: Der Name der Azure Ressource.
- Sub Resource: Die Unterressource des Azure-Ressourcentyps.
Tipp

Das verwaltete VNet des Hubs unterstützt keine privaten Endpunkte für alle Azure Ressourcentypen. Eine Liste der unterstützten Ressourcen finden Sie im Abschnitt "Private Endpunkte ".

Wenn der Zieltyp "Service Tag" lautet, geben Sie die folgenden Informationen ein:
- Servicetag: Das Servicetag, das den genehmigten Ausnahmeregelungen hinzugefügt werden soll.
- Protokoll: Das Protokoll, das das Service-Tag zulässt.
- Portbereiche: Die Portbereiche, die für die Dienstmarke zulässig sind.
Wenn der Zieltyp FQDN ist, geben Sie die folgenden Informationen ein:
- FQDN-Ziel: Der vollqualifizierte Domänenname, der den genehmigten ausgehenden Regeln hinzugefügt werden soll.
  
  Wählen Sie "Speichern" aus, um die Regel zu speichern. Wenn Sie weitere Regeln hinzufügen möchten, klicken Sie auf Erneut benutzerdefinierte ausgehende Regeln hinzufügen.
1. Fahren Sie mit der Erstellung des Hubs wie gewohnt fort.
Aktualisieren eines vorhandenen Hubs:
1. Melden Sie sich beim portal Azure an, und wählen Sie den Hub aus, für den Sie die verwaltete virtuelle Netzwerkisolation aktivieren möchten.
2. Wählen Sie Netzwerk>Privat mit genehmigtem ausgehendem Datenverkehr aus.
  - Um eine ausgehende Regelhinzuzufügen, wählen Sie auf der Registerkarte "Netzwerk" die Option "Benutzerdefinierte ausgehende Regeln hinzufügen" aus. Geben Sie auf der Randleiste für ausgehende Regeln dieselben Informationen ein wie beim Erstellen eines Hubs im vorherigen Abschnitt "Neuen Hub erstellen".
  - Um eine ausgehende Regel zu löschen , wählen Sie "Löschen " für die Regel aus.
3. Wählen Sie oben auf der Seite "Speichern" aus, um die Änderungen im verwalteten virtuellen Netzwerk zu speichern.

Um ein verwaltetes virtuelles Netzwerk zu konfigurieren, das nur genehmigte ausgehende Kommunikation zulässt, verwenden Sie entweder den --managed-network allow_only_approved_outbound Parameter oder eine YAML-Konfigurationsdatei, die die folgenden Einträge enthält:

managed_network:
  isolation_mode: allow_only_approved_outbound

Sie können auch ausgehende Regeln für genehmigte ausgehende Kommunikation definieren. Erstellen Einer ausgehenden Regel vom Typ service_tag, , fqdnoder private_endpoint. Im folgenden Beispiel wird einer Azure Blob-Ressource, einem Diensttag für Azure Data Factory und einem FQDN für pypi.org ein privater Endpunkt hinzugefügt. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre Werte.

Wichtig

Das Hinzufügen einer ausgehenden Regel für ein Servicetag oder einen FQDN ist nur gültig, wenn das verwaltete VNet allow_only_approved_outbound konfiguriert ist.
Wenn Sie ausgehende Regeln hinzufügen, kann Microsoft keinen Schutz vor Datenexfiltration garantieren.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Sie können ein verwaltetes virtuelles Netzwerk entweder mit den Befehlen az ml workspace create oder az ml workspace update konfigurieren.

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird der --managed-network allow_only_approved_outbound Parameter zum Konfigurieren des verwalteten virtuellen Netzwerks verwendet:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Die folgende YAML-Datei definiert einen Hub mit einem verwalteten virtuellen Netzwerk:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Verwenden Sie den --file Parameter, um einen Hub mithilfe der YAML-Datei zu erstellen:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Aktualisieren eines vorhandenen Hubs

Warnung

Bevor Sie einen vorhandenen Arbeitsbereich für die Verwendung eines verwalteten virtuellen Netzwerks aktualisieren, müssen Sie alle Computerressourcen für den Arbeitsbereich löschen. Dazu gehören Computeinstanz, Computecluster und verwaltete Onlineendpunkte.

Im folgenden Beispiel wird der --managed-network allow_only_approved_outbound Parameter verwendet, um das verwaltete virtuelle Netzwerk für einen vorhandenen Hub zu konfigurieren:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Die folgende YAML-Datei definiert ein verwaltetes virtuelles Netzwerk für den Hub und zeigt, wie genehmigte ausgehende Regeln hinzugefügt werden. In diesem Beispiel werden ausgehende Regeln für einen Dienst-Tag, ein FQDN und einen privaten Endpunkt hinzugefügt.
```
name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Verweise

Um ein verwaltetes virtuelles Netzwerk zu konfigurieren, das nur genehmigte ausgehende Kommunikation zulässt, verwenden Sie die ManagedNetwork Klasse zum Definieren eines Netzwerks mit IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Verwenden Sie das ManagedNetwork Objekt, um einen neuen Hub zu erstellen oder ein vorhandenes zu aktualisieren. Verwenden Sie die folgenden Klassen, um ausgehende Regeln zu definieren:

Ziel	Klasse
Azure Dienst, auf dem der Hub basiert	`PrivateEndpointDestination`
Azure-Servicetag	`ServiceTagDestination`
Vollqualifizierter Domänenname (FQDN)	`FqdnDestination`

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird ein neuer Hub namens myhub mit mehreren ausgehenden Regeln erstellt:

myrule – Fügt einen privaten Endpunkt für einen Azure Blob-Speicher hinzu.
datafactory – Fügt eine Diensttagregel für die Kommunikation mit Azure Data Factory hinzu.

Wichtig

Fügen Sie eine ausgehende Regel für ein Diensttag oder einen FQDN nur hinzu, wenn Sie das verwaltete VNet so IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDkonfigurieren.
Wenn Sie ausgehende Regeln hinzufügen, kann Microsoft keinen Schutz vor Datenexfiltration garantieren.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Verweise

Aktualisieren eines vorhandenen Hubs:

Das folgende Beispiel zeigt, wie Sie ein verwaltetes virtuelles Netzwerk für einen vorhandenen Hub mit dem Namen myhubkonfigurieren. Außerdem werden mehrere ausgehende Regeln hinzugefügt:

myrule – Fügt einen privaten Endpunkt für einen Azure Blob-Speicher hinzu.
datafactory – Fügt eine Diensttagregel für die Kommunikation mit Azure Data Factory hinzu.

Tipp

Sie können eine ausgehende Regel für einen Dienstdaten oder einen vollqualifizierten Domänenname (FQDN) nur hinzufügen, wenn Sie das verwaltete VNet zur Verwendung von IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND konfigurieren.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Verweise

Manuelle Bereitstellung eines verwalteten VNet

Das verwaltete virtuelle Netzwerk wird automatisch bereitgestellt, wenn Sie eine Computeinstanz erstellen. Wenn Sie sich auf die automatische Bereitstellung verlassen, kann es etwa 30 Minuten dauern, die erste Computeinstanz zu erstellen, da sie auch das Netzwerk bereitgestellt. Wenn Sie ausgehende FQDN-Regeln konfigurieren (nur verfügbar im genehmigten Modus), fügt die erste FQDN-Regel etwa 10 Minuten zur Bereitstellungsdauer hinzu. Wenn Sie über eine große Anzahl von ausgehenden Regeln verfügen, die im verwalteten Netzwerk bereitgestellt werden, kann es länger dauern, bis die Bereitstellung abgeschlossen ist. Die verlängerte Bereitstellungszeit kann dazu führen, dass Ihre erste Berechnungsinstanzerstellung zu einem Timeout führt.

Um die Wartezeit zu reduzieren und Timeouts zu vermeiden, richten Sie das verwaltete Netzwerk manuell ein. Warten Sie, bis die Bereitstellung abgeschlossen ist, bevor Sie eine Computeinstanz erstellen.

Alternativ können Sie das provision_network_now Flag verwenden, um das verwaltete Netzwerk während der Erstellung eines Hubs einzurichten.

Hinweis

Um ein Modell auf verwalteten Rechenressourcen bereitzustellen, müssen Sie zuerst das verwaltete Netzwerk manuell bereitstellen oder eine Recheninstanz erstellen. Das Erstellen einer Recheninstanz führt automatisch zur Bereitstellung des verwalteten Netzwerks.

Wählen Sie beim Erstellen des Arbeitsbereichs die Option Verwaltetes Netzwerk proaktiv bereitstellen aus, um das verwaltete Netzwerk einzurichten. Die Abrechnung beginnt für Netzwerkressourcen wie private Endpunkte, nachdem das virtuelle Netzwerk eingerichtet wurde. Diese Option ist nur während der Arbeitsbereicherstellung verfügbar.

Das folgende Beispiel zeigt, wie Sie während der Huberstellung ein verwaltetes virtuelles Netzwerk bereitstellen.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

Das folgende Beispiel zeigt, wie Sie ein verwaltetes virtuelles Netzwerk bereitstellen.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Bereitstellung abgeschlossen ist:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Verweise

Verwenden Sie das SDK, um ein verwaltetes virtuelles Netzwerk bereitzustellen, und überprüfen Sie dann den Status.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Verweise

Ausgehende Regeln verwalten

Melden Sie sich beim portal Azure an, und wählen Sie den Hub aus, für den Sie die verwaltete virtuelle Netzwerkisolation aktivieren möchten.
Wählen Sie "Netzwerk" aus. Im Abschnitt " Findry Outbound Access " können Sie ausgehende Regeln verwalten.

Wenn Sie eine ausgehende Regel hinzufügen möchten, wählen Sie Benutzerdefinierte ausgehende Regeln auf der Registerkarte Networking aus. Geben Sie aus der Azure KI-Ausgehende Regeln Randleiste die erforderlichen Werte ein.
Um eine Regel zu aktivieren oder zu deaktivieren , verwenden Sie die Umschaltfläche in der Aktiven Spalte.
Um eine ausgehende Regel zu löschen , wählen Sie "Löschen " für die Regel aus.

Ersetzen Sie in den folgenden Befehlen den Platzhaltertext <workspace-name>, <resource-group> und <rule-name> durch Ihre Werte. Um die ausgehenden Regeln eines verwalteten virtuellen Netzwerks für einen Hub aufzulisten, führen Sie Folgendes aus:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Führen Sie Folgendes aus, um die Details einer ausgehenden Regel eines verwalteten virtuellen Netzwerks anzuzeigen:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Um eine ausgehende Regel aus dem verwalteten virtuellen Netzwerk zu entfernen, führen Sie Folgendes aus:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Verweise

Das folgende Beispiel zeigt, wie ausgehende Regeln für einen Hub mit dem Namen myhubverwaltet werden. Ersetzen Sie im Beispiel den Platzhaltertext <some-rule-name> durch den Regelnamen:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Verweise

MLClient

Netzwerkisolationsarchitektur und Isolationsmodi

Wenn Sie die verwaltete virtuelle Netzwerkisolation aktivieren, erstellen Sie ein verwaltetes virtuelles Netzwerk für den Hub. Verwaltete Computeressourcen, die Sie für den Hub erstellen, verwenden automatisch dieses verwaltete virtuelle Netzwerk. Das verwaltete virtuelle Netzwerk kann private Endpunkte für Azure Ressourcen verwenden, die Ihr Hub verwendet, z. B. Azure Storage, Azure Key Vault und Azure Container Registry.

Wählen Sie einen von drei ausgehenden Modi für das verwaltete virtuelle Netzwerk aus:

Ausgehender Modus	Beschreibung	Szenarien
Ausgehendes Internet zulassen	Zulassen des gesamten Internet-Ausgangsverkehrs aus dem verwalteten virtuellen Netzwerk.	Sie möchten uneingeschränkten Zugriff auf Machine Learning-Ressourcen im Internet, z. B. Python Pakete oder vortrainierte Modelle.¹
Nur genehmigten ausgehenden Datenverkehr zulassen	Verwenden Sie Diensttags, um ausgehenden Datenverkehr zuzulassen.	* Sie möchten das Risiko der Datenexfiltration minimieren, aber Sie müssen alle erforderlichen maschinellen Lernartefakte in Ihrer privaten Umgebung vorbereiten. * Sie möchten den ausgehenden Zugriff auf eine genehmigte Liste von Diensten, Diensttags oder vollqualifizierten Domänennamen (FQDNs) konfigurieren.
Deaktiviert	Eingehender und ausgehender Datenverkehr ist nicht eingeschränkt.	Sie möchten öffentliche Datenzugriffe sowohl von als auch zu dem Hub.

¹ Sie können ausgehende Regeln mit dem Modus nur genehmigten ausgehenden Verkehr zulassen verwenden, um dasselbe Ergebnis wie bei der Verwendung von Internet-Ausgangsverkehr zulassen zu erzielen. Die Unterschiede sind:

Verwenden Sie immer private Endpunkte, um auf Azure Ressourcen zuzugreifen.
Sie müssen Regeln für jede ausgehende Verbindung hinzufügen, die Sie zulassen müssen.
Das Hinzufügen vollqualifizierter Domänennamen (FQDN) ausgehender Regeln erhöht Ihre Kosten, da dieser Regeltyp Azure Firewall verwendet. Wenn Sie FQDN-Ausgehende Regeln verwenden, sind Gebühren für Azure Firewall in Ihrer Abrechnung enthalten. Weitere Informationen finden Sie unter "Preise".
Die Standardregeln für nur genehmigten ausgehenden Verkehr zulassen sind so konzipiert, dass das Risiko einer Datenexfiltration minimiert wird. Alle ausgehenden Regeln, die Sie hinzufügen, können Ihr Risiko erhöhen.

Das verwaltete virtuelle Netzwerk ist mit den erforderlichen Standardregeln vorkonfiguriert. Der Hub konfiguriert außerdem private Endpunktverbindungen mit Ihrem Hub, dem Standardspeicherkonto des Hubs, der Containerregistrierung und dem Schlüsseltresor, wenn diese Ressourcen auf "Privat" festgelegt sind oder wenn der Isolationsmodus so eingestellt ist, dass nur genehmigte ausgehende Verbindungen zugelassen werden. Nachdem Sie einen Isolationsmodus ausgewählt haben, fügen Sie alle anderen von Ihnen benötigten ausgehenden Regeln hinzu.

Das folgende Diagramm zeigt ein verwaltetes virtuelles Netzwerk, das so konfiguriert ist, dass das Internet ausgehend zugelassen wird:

Das folgende Diagramm zeigt ein verwaltetes virtuelles Netzwerk, das so konfiguriert ist, dass nur genehmigte ausgehende Verbindungen zulässig sind.

Hinweis

In dieser Konfiguration werden der Speicher, der Schlüsseltresor und die Containerregistrierung, die der Hub verwendet, auf "Privat" festgelegt. Da sie privat sind, verwendet der Hub private Endpunkte, um sie zu erreichen.

Hinweis

Um von einem öffentlichen Foundry-Hub aus auf ein privates Speicherkonto zuzugreifen, verwenden Sie Foundry aus dem virtuellen Netzwerk Ihres Speicherkontos. Der Zugriff auf Foundry aus dem virtuellen Netzwerk stellt sicher, dass Sie Aktionen wie das Hochladen von Dateien in das private Speicherkonto ausführen können. Das private Speicherkonto ist unabhängig von den Netzwerkeinstellungen Ihres Foundry-Hubs. Siehe Configure Azure Storage Firewalls und virtuelle Netzwerke.

Liste der erforderlichen Regeln

Tipp

Diese Regeln werden automatisch zum verwalteten virtuellen Netzwerk (VNet) hinzugefügt.

Private Endpunkte:

Wenn Sie den Isolationsmodus für das verwaltete virtuelle Netzwerk auf Allow internet outbound festlegen, erstellt Foundry automatisch die erforderlichen ausgehenden Regeln für private Endpunkte aus dem verwalteten virtuellen Netzwerk für den Hub und zugeordnete Ressourcen mit deaktiviertem öffentlichem Netzwerkzugriff (Azure Key Vault, Speicherkonto, Azure Container Registry und Hub).
Wenn Sie den Isolationsmodus für das verwaltete virtuelle Netzwerk auf Allow only approved outbound festlegen, erstellt Foundry automatisch erforderliche ausgehende private Endpunktregeln aus dem verwalteten virtuellen Netzwerk für den Hub und die zugehörigen Ressourcen, unabhängig von der Einstellung für den Zugriff auf öffentliche Netzwerke für diese Ressourcen (Azure Key Vault, Speicherkonto, Azure Container Registry und Hub).

Foundry erfordert eine Reihe von Diensttags für private Netzwerke. Ersetzen Sie die erforderlichen Diensttags nicht. In der folgenden Tabelle werden die einzelnen erforderlichen Diensttags und deren Zweck in Foundry beschrieben.

Servicetag-Regel	Eingehend oder ausgehend	Zweck
`AzureMachineLearning`	Eingehender Datenverkehr	Erstellen, Aktualisieren und Löschen von Foundry compute instances and clusters.
`AzureMachineLearning`	Ausgang	Verwenden von Azure Machine Learning-Diensten. Python IntelliSense in Notebooks verwendet Port 18881. Das Erstellen, Aktualisieren und Löschen einer Azure Machine Learning Computeinstanz verwendet Port 5831.
`AzureActiveDirectory`	Ausgehende Daten	Authentifizierung mit Microsoft Entra ID.
`BatchNodeManagement.region`	Ausgehend	Kommunikation mit dem Azure Batch Back-End für Foundry-Computeinstanzen und Cluster.
`AzureResourceManager`	Ausgehend	Erstellen Sie Azure Ressourcen mithilfe von Foundry, Azure CLI und dem Microsoft Foundry SDK.
`AzureFrontDoor.FirstParty`	Ausgehende Verbindungen	Greifen Sie auf Docker-Images zu, die von Microsoft bereitgestellt werden.
`MicrosoftContainerRegistry`	Ausgehend	Greifen Sie auf Docker-Images zu, die von Microsoft bereitgestellt werden. Richten Sie den Foundry-Router für Azure Kubernetes Service ein.
`AzureMonitor`	Ausgehende	Senden Sie Protokolle und Metriken an Azure Monitor. Nur erforderlich, wenn Sie Azure Monitor für den Arbeitsbereich nicht gesichert haben. Diese ausgehende Regel protokolliert auch Informationen zu Supportvorfällen.
`VirtualNetwork`	Ausgehender Verkehr	Erforderlich, wenn private Endpunkte im virtuellen Netzwerk oder in peerierten virtuellen Netzwerken vorhanden sind.

Liste szenariospezifischer ausgehender Regeln

Szenario: Zugreifen auf öffentliche Machine Learning-Pakete

Um Python Pakete für Schulungen und Bereitstellung zu installieren, fügen Sie ausgehende FQDN-Regeln hinzu, um Datenverkehr mit den folgenden Hostnamen zuzulassen:

Hinweis

Diese Liste umfasst allgemeine Hosts für Python Ressourcen im Internet. Wenn Sie Zugriff auf ein GitHub Repository oder einen anderen Host benötigen, identifizieren und fügen Sie die für Ihr Szenario erforderlichen Hosts hinzu.

Hostname	Zweck
`anaconda.com` `*.anaconda.com`	Wird zum Installieren von Standardpaketen verwendet.
`*.anaconda.org`	Wird verwendet, um Repositorydaten abzurufen.
`pypi.org`	Listet Abhängigkeiten aus dem Standardindex auf, wenn die Benutzereinstellungen sie nicht überschreiben. Wenn Sie den Index überschreiben, sollten Sie auch `*.pythonhosted.org` zulassen.
`pytorch.org` `*.pytorch.org`	Wird von einigen Beispielen verwendet, die auf PyTorch basieren.
`*.tensorflow.org`	Wird von einigen Beispielen basierend auf TensorFlow verwendet.

Szenario: Verwenden von Visual Studio Code

Visual Studio Code basiert auf bestimmten Hosts und Ports, um eine Remoteverbindung herzustellen.

Hostgeräte

Verwenden Sie diese Hosts, um Visual Studio Code Pakete zu installieren und eine Remoteverbindung mit den Computeinstanzen Ihres Projekts herzustellen.

Hinweis

Diese Liste enthält nicht alle Hosts, die für alle Visual Studio Code Ressourcen im Internet erforderlich sind. Wenn Sie beispielsweise Zugriff auf ein GitHub Repository oder einen anderen Host benötigen, müssen Sie die erforderlichen Hosts für dieses Szenario identifizieren und hinzufügen. Eine vollständige Liste der Hostnamen finden Sie unter Network Connections in Visual Studio Code.

Hostname	Zweck
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Erforderlich für den Zugriff auf VS Code für das Web (vscode.dev).
`code.visualstudio.com`	Erforderlich zum Herunterladen und Installieren des VS Code-Desktops. Dieser Host ist für VS Code Web nicht erforderlich.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Lädt VS Code Server-Komponenten während der Setupskripts auf die Computeinstanz herunter.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Erforderlich zum Herunterladen und Installieren von VS Code-Erweiterungen. Diese Hosts ermöglichen die Remoteverbindung zum Berechnen von Instanzen. Weitere Informationen finden Sie unter "Erste Schritte mit Foundry-Projekten in VS Code".
`vscode.download.prss.microsoft.com`	Dient als Download-CDN für Visual Studio Code.

Ports

Netzwerkdatenverkehr zu Ports 8704 bis 8710 zulassen. Der VS Code Server wählt den ersten verfügbaren Port in diesem Bereich aus.

Szenario: Verwenden von Umarmungs-Gesichtsmodellen

Um Hugging Face-Modelle mit dem Hub zu verwenden, fügen Sie ausgehende FQDN-Regeln hinzu, um Datenverkehr zu den folgenden Hosts zu ermöglichen:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Szenario: Modelle, die direkt von Azure verkauft werden

Diese Modelle installieren Abhängigkeiten zur Laufzeit. Fügen Sie ausgehende FQDN-Regeln hinzu, um Datenverkehr zu den folgenden Hosts zuzulassen:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Private Endpunkte

Azure Dienste unterstützen derzeit private Endpunkte für die folgenden Dienste:

Gießereihub
Azure KI-Suche
Gießereiausrüstung
Azure API Management
- Unterstützt nur die klassische Ebene ohne VNet-Einfügung und die Standard-V2-Ebene mit virtueller Netzwerkintegration. Weitere Informationen zu virtuellen API-Verwaltungsnetzwerken finden Sie unter Virtual Network Concepts.
Azure Container Registry
Azure Cosmos DB (alle Unterressourcentypen)
Azure Data Factory
Azure Database for MariaDB
Azure Database for MySQL
Azure Database for PostgreSQL Single Server
Azure-Datenbank für PostgreSQL Flexible Server
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Machine Learning Registrierungen
Azure Cache for Redis
Azure SQL Server
Azure Storage (alle Unterressourcentypen)
Application Insights (über PrivateLinkScopes)

Wenn Sie einen privaten Endpunkt erstellen, geben Sie den Ressourcentyp und die Unterressource an, mit der der Endpunkt eine Verbindung herstellt. Einige Ressourcen weisen mehrere Typen und Unterressourcen auf. Weitere Informationen finden Sie unter dem, was ein privater Endpunkt ist.

Wenn Sie einen privaten Endpunkt für Hubabhängigkeitsressourcen wie Azure Storage, Azure Container Registry und Azure Key Vault erstellen, kann sich die Ressource in einem anderen Azure-Abonnement befindet. Die Ressource muss sich jedoch im selben Mandanten wie der Hub befinden.

Wenn Sie eine der zuvor als Zielressource aufgeführten Azure Ressourcen auswählen, erstellt der Dienst automatisch einen privaten Endpunkt für die Verbindung. Geben Sie eine gültige Ziel-ID für den privaten Endpunkt an. Bei einer Verbindung kann die Ziel-ID die Azure Resource Manager-ID einer übergeordneten Ressource sein. Schließen Sie die Ziel-ID in das Ziel der Verbindung oder in metadata.resourceid ein. Weitere Informationen zu Verbindungen finden Sie unter Hinzufügen einer neuen Verbindung im Foundry-Portal.

Genehmigung privater Endpunkte

Um private Endpunktverbindungen in verwalteten virtuellen Netzwerken mithilfe von Foundry einzurichten, muss die verwaltete Identität des Arbeitsbereichs (vom System zugewiesen oder vom Benutzer zugewiesen) und die Benutzeridentität, die den privaten Endpunkt erstellt, über die Berechtigung verfügen, die privaten Endpunktverbindungen für die Zielressourcen zu genehmigen. Zuvor erteilte der Foundry-Dienst diese Berechtigung über automatische Rollenzuweisungen. Aufgrund von Sicherheitsbedenken bei automatischen Rollenzuweisungen ab dem 30. April 2025 beendet der Dienst diese Logik für die automatische Berechtigungserteilung. Weisen Sie die Rolle Azure AI Enterprise Network Connection Approver oder einer benutzerdefinierten Rolle mit den erforderlichen Berechtigungen für private Endpunktverbindungen für die Zielressourcentypen zu, und gewähren Sie dieser Rolle die verwaltete Identität des Foundry-Hubs, damit Foundry private Endpunktverbindungen mit den Zielressourcen Azure Ressourcen genehmigen kann.

Hier ist die Liste der Zielressourcentypen privater Endpunkte, die von der Rolle Azure AI Enterprise Network Connection Approver erfasst werden:

Azure Application Gateway
Azure Monitor
Azure KI-Suche
Azure Event Hubs
Azure SQL-Datenbank
Azure Storage
Azure Machine Learning Arbeitsbereich
Azure Machine Learning Registrierung
Giesserei
Azure Key Vault
Azure Cosmos DB
Azure Database for MySQL
Azure Database for PostgreSQL
Gießereiausrüstung
Azure Cache for Redis
Azure Container Registry
Azure API Management

So erstellen Sie ausgehende Regeln für private Endpunkte für Zielressourcentypen, die nicht von der Azure-Rolle "AI Enterprise Network Connection Approver" abgedeckt werden - hierzu gehören beispielsweise Azure Data Factory, Azure Databricks und Azure Functions-Apps - verwenden Sie eine benutzerdefinierte, eingeschränkte Rolle, die nur durch die Aktionen definiert ist, die erforderlich sind, um private Endpunktverbindungen für die Zielressourcentypen zu genehmigen.

Um ausgehende private Endpunktregeln für Standardarbeitsbereichsressourcen zu erstellen, gewährt die Arbeitsbereichserstellung die erforderlichen Berechtigungen über Rollenzuweisungen, sodass Sie keine zusätzlichen Aktionen ausführen müssen.

Wählen Sie eine Azure Firewall Version aus, um nur genehmigte ausgehende Nachrichten zuzulassen.

Azure Firewall wird bereitgestellt, wenn Sie eine ausgehende FQDN-Regel im Modus allow only approved outbound hinzufügen. Azure Firewall Gebühren werden Zu Ihrer Rechnung hinzugefügt. Standardmäßig wird eine Standard Version von Azure Firewall erstellt. Oder wählen Sie die Standardversion aus. Ändern Sie die Firewallversion jederzeit. Um zu erfahren, welche Version Ihren Anforderungen entspricht, wechseln Sie zu Wählen Sie die richtige Azure Firewall Version aus.

Wichtig

Azure Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen. Details zu den Preisen finden Sie unter Azure Firewall-Preise und sehen Sie sich die Preise der Standardversion an.

Verwenden Sie diese Registerkarten, um zu erfahren, wie Sie die Firewallversion für Ihr verwaltetes virtuelles Netzwerk auswählen.

Nachdem Sie den Modus "allow only approved outbound" ausgewählt haben, wird die Option zum Auswählen der Azure-Firewall-Version (SKU) angezeigt. Wählen Sie "Standard" oder "Einfach" aus. Wählen Sie "Speichern" aus.

Um die Firewallversion mithilfe von Azure CLI festzulegen, verwenden Sie eine YAML-Datei, und geben Sie firewall_sku an. Im folgenden Beispiel wird die Firewall-SKU auf basic gesetzt:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Um die Firewallversion mithilfe des Python SDK festzulegen, legen Sie die eigenschaft firewall_sku des objekts ManagedNetwork fest. Im folgenden Beispiel wird die SKU der Firewall auf basic gesetzt.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Verweise

Preise

Das Feature für verwaltetes virtuelles Hubnetzwerk ist kostenlos, sie zahlen jedoch für die folgenden Ressourcen, die das verwaltete virtuelle Netzwerk verwendet:

Azure Private Link – Private Endpunkte, die die Kommunikation zwischen dem verwalteten virtuellen Netzwerk und Azure Ressourcen sichern, verwenden Azure Private Link. Preise finden Sie unter Azure Private Link pricing.
Ausgehende Regeln für FQDN – Azure Firewall erzwingt diese Regeln. Wenn Sie ausgehende FQDN-Regeln verwenden, werden Azure Firewall Gebühren auf Ihrer Rechnung angezeigt. Die Standardversion von Azure Firewall wird standardmäßig verwendet. Informationen zum Auswählen der Standardversion finden Sie unter Auswahl einer Azure Firewall Version. Azure Firewall wird pro Hub bereitgestellt.

Wichtig

Azure Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen. Wenn Sie keine FQDN-Regeln verwenden, werden Sie für Azure Firewall nicht in Rechnung gestellt. Informationen zum Preis finden Sie unter Azure Firewall pricing.

Einschränkungen

Foundry unterstützt verwaltete virtuelle Netzwerkisolation für Computeressourcen. Foundry unterstützt nicht die Verwendung eines eigenen virtuellen Netzwerks für die Rechnerisolation. Dieses Szenario unterscheidet sich von der Azure Virtual Network, die für den Zugriff auf Foundry von einem lokalen Netzwerk erforderlich ist.
Nachdem Sie die verwaltete virtuelle Netzwerkisolation aktiviert haben, können Sie sie nicht deaktivieren.
Das verwaltete virtuelle Netzwerk verwendet einen privaten Endpunkt, um eine Verbindung mit privaten Ressourcen herzustellen. Sie können keinen privaten Endpunkt und einen Dienstendpunkt auf derselben Azure Ressource verwenden, z. B. ein Speicherkonto. Verwenden Sie private Endpunkte für alle Szenarien.
Wenn Sie Foundry löschen, löscht der Dienst das verwaltete virtuelle Netzwerk.
Mit nur genehmigten ausgehenden Datenverkehr zulassen gewährleistet Foundry automatisch den Schutz vor Datenexfiltration. Wenn Sie andere ausgehende Regeln wie FQDNs hinzufügen, kann Microsoft keinen Schutz vor Datenexfiltration für diese Ziele garantieren.
FQDN-Ausgehende Regeln erhöhen die Kosten für verwaltete virtuelle Netzwerke, da sie Azure Firewall verwenden. Weitere Informationen finden Sie unter "Preise".
FQDN-Ausgehende Regeln unterstützen nur die Ports 80 und 443.
Um die öffentliche IP-Adresse einer Computeinstanz zu deaktivieren, fügen Sie einem Hub einen privaten Endpunkt hinzu.
Führen Sie az ml compute connect-ssh aus, um eine Computeinstanz in einem verwalteten Netzwerk über SSH zu verbinden.
Wenn Ihr verwaltetes Netzwerk für allow only approved outbound konfiguriert ist, können Sie keine FQDN-Regel verwenden, um auf Azure Storage Konten zuzugreifen. Verwenden Sie stattdessen einen privaten Endpunkt.

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-01

Einrichten eines verwalteten Netzwerks für Microsoft Foundry Hubs (klassisch)

Voraussetzungen

Konfigurieren eines verwalteten virtuellen Netzwerks, um Internet-Ausgangsverkehr zu ermöglichen.

Konfigurieren eines verwalteten virtuellen Netzwerks, um nur genehmigten ausgehenden Zugriff zuzulassen

Manuelle Bereitstellung eines verwalteten VNet

Ausgehende Regeln verwalten

Netzwerkisolationsarchitektur und Isolationsmodi

Liste der erforderlichen Regeln

Liste szenariospezifischer ausgehender Regeln

Szenario: Zugreifen auf öffentliche Machine Learning-Pakete

Szenario: Verwenden von Visual Studio Code

Hostgeräte

Ports

Szenario: Verwenden von Umarmungs-Gesichtsmodellen

Szenario: Modelle, die direkt von Azure verkauft werden

Private Endpunkte

Genehmigung privater Endpunkte

Wählen Sie eine Azure Firewall Version aus, um nur genehmigte ausgehende Nachrichten zuzulassen.

Preise

Einschränkungen

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen