Configuración de una red administrada para centros de Microsoft Foundry (clásico)

Solo se aplica a:portal Foundry (clásico). Este artículo no está disponible para el nuevo portal de Foundry. Obtenga más información sobre el nuevo portal.

Nota

Los vínculos de este artículo pueden abrir contenido en la nueva documentación de Microsoft Foundry en lugar de la documentación de Foundry (clásico) que está viendo ahora.

Importante

En este artículo se proporciona soporte heredado para proyectos basados en concentradores. No funcionará para proyectos de Foundry. Vea ¿Cómo sé qué tipo de proyecto tengo?

SDK nota de compatibilidad: Los ejemplos de código requieren una versión específica del SDK de Microsoft Foundry. Si encuentra problemas de compatibilidad, considere migrar de un proyecto basado en hub a un proyecto Foundry.

El aislamiento de red para un proyecto basado en concentrador tiene dos partes: acceder a un Microsoft Foundry hub y aislar los recursos informáticos del centro y el proyecto (como instancias de proceso, sin servidor y puntos de conexión en línea administrados). En este artículo se trata este último. El diagrama lo resalta. Use el aislamiento de red integrado del centro para proteger los recursos informáticos.

Configure las siguientes opciones de aislamiento de red:

Elija un modo de aislamiento de red: permita la salida de Internet o permita solo la salida aprobada.
Si usa la integración de Visual Studio Code en el modo de permitir solo salidas aprobadas, cree y configure reglas de salida de FQDN como se describe en la sección de uso de Visual Studio Code.
Si usa modelos de Hugging Face en permitir solo salida aprobada, cree reglas de salida de FQDN como se describe en la sección de uso de modelos de Hugging Face.
Si usa uno de los modelos de código abierto en permitir solo salidas aprobadas, cree reglas de salida de FQDN como se describe en la sección Modelos vendidos directamente por Azure.

Requisitos previos

Antes de empezar, asegúrese de que tiene estos requisitos previos:

Una suscripción Azure. Si no tiene una suscripción Azure, cree una cuenta gratuita antes de comenzar.
Registre el proveedor de recursos Microsoft.Network para la suscripción de Azure. El centro usa este proveedor para crear puntos de conexión privados para la red virtual administrada.

Para obtener información sobre cómo registrar proveedores de recursos, consulte Resolución de errores para el registro del proveedor de recursos.
Use una identidad de Azure con las siguientes acciones Azure control de acceso basado en rol (Azure RBAC) para crear puntos de conexión privados para la red virtual administrada:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Propina

El rol integrado Azure AI Enterprise Network Connection Approver incluye los siguientes permisos. Asigne este rol a la identidad administrada del centro para aprobar conexiones de punto de conexión privado.

Una suscripción Azure. Si no tiene una suscripción Azure, cree una cuenta gratuita antes de comenzar.
El proveedor de recursos Microsoft.Network debe estar registrado en su suscripción de Azure. El centro usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

Para obtener información sobre cómo registrar proveedores de recursos, consulte Resolución de errores para el registro del proveedor de recursos.
Use una identidad de Azure con las siguientes acciones Azure control de acceso basado en rol (Azure RBAC) para crear puntos de conexión privados para la red virtual administrada:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Propina

El rol integrado Azure AI Enterprise Network Connection Approver incluye los siguientes permisos. Asigne este rol a la identidad administrada del hub para aprobar conexiones de endpoint privado.
Instale la extensión CLI de Azure y la extensión ml para el CLI de Azure. Para obtener más información, consulte Instalación, configuración y uso de la CLI (v2).
Un shell compatible con Bash para ejecutar los ejemplos de la CLI de este artículo. Por ejemplo, use un sistema Linux o Subsistema de Windows para Linux.
Los ejemplos de CLI de Azure de este artículo usan ws para el nombre del centro y rg para el nombre del grupo de recursos. Cambie estos valores según sea necesario cuando ejecute los comandos en la suscripción de Azure.

Una suscripción Azure. Si no tiene una suscripción Azure, cree una cuenta gratuita antes de comenzar. Pruebe la versión gratuita o de pago.
El proveedor de recursos Microsoft.Network debe estar registrado en su suscripción de Azure. El centro usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

Para obtener información sobre cómo registrar proveedores de recursos, consulte Resolución de errores para el registro del proveedor de recursos.
La identidad de Azure que tú utilizas para desplegar una red administrada requiere las siguientes acciones de control de acceso basado en roles de Azure (Azure RBAC) para crear puntos de conexión privados:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Propina

El rol integrado Azure AI Enterprise Network Connection Approver incluye los siguientes permisos. Asigne este rol a la identidad administrada del centro para aprobar conexiones de punto de conexión privado.
Sdk de Azure Machine Learning Python v2. Para obtener más información sobre el SDK, consulte Install the Python SDK v2 for Azure Machine Learning.

En los ejemplos de este artículo se supone que el código empieza con el siguiente código Python. Importa las clases necesarias para crear un centro con una red virtual administrada, establece variables para la suscripción y el grupo de recursos de Azure y crea el ml_client. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID> del marcador de posición y <RESOURCE_GROUP> por sus propios valores:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Configura una red virtual administrada para permitir salida hacia Internet

Propina

Foundry aplaza la creación de la red virtual administrada hasta que se crea un recurso de proceso o se inicia el aprovisionamiento manualmente. Con la creación automática, puede tardar unos 30 minutos en crear el primer recurso de proceso porque también aprovisiona la red.

Cree un nuevo centro:
1. Inicie sesión en el portal Azure y seleccione Foundry en el menú Crear un recurso.
2. Seleccione + New Azure AI.
3. Escriba la información necesaria en la pestaña Aspectos básicos .
4. En la pestaña Redes , seleccione Privado con Salida a Internet.
5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes . En la barra lateral Reglas de salida , escriba la siguiente información:
  - Nombre de la regla: Un nombre para la regla. El nombre debe ser único para este centro.
  - Tipo de destino: el punto de conexión privado es la única opción cuando el aislamiento de red es Privado con salida a Internet. Una red virtual administrada por concentrador no admite la creación de puntos de conexión privados para todos los tipos de recursos Azure. Para obtener una lista de los recursos admitidos, consulte la sección Puntos de conexión privados .
  - Subscription: la suscripción que contiene el recurso Azure para el que desea agregar un punto de conexión privado.
  - Resource group: el grupo de recursos que contiene el recurso Azure para el que desea agregar un punto de conexión privado.
  - tipo de recurso: tipo del recurso de Azure.
  - Nombre de origen: nombre del recurso de Azure.
  - Sub Resource: subrecurso del tipo de recurso Azure.
  Seleccione Guardar. Para agregar más reglas, seleccione Agregar reglas de salida definidas por el usuario.
6. Continúe creando el centro.
Actualice un centro existente:
1. Inicie sesión en el portal Azure y seleccione el centro para habilitar el aislamiento de red virtual administrada.
2. Seleccione Networking>Redes privadas con Internet Saliente).
  - Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes . En la barra lateral Reglas de salida , proporcione la misma información que usó al crear un centro en la sección "Crear un nuevo centro".
  - Para eliminar una regla de salida, seleccione Eliminar para la regla.
3. Seleccione Guardar en la parte superior de la página para aplicar los cambios a la red virtual administrada.

Para configurar una red virtual administrada que permita la salida de Internet, use el --managed-network allow_internet_outbound parámetro o un archivo de configuración de YAML con las siguientes entradas:

managed_network:
  isolation_mode: allow_internet_outbound

Defina reglas de salida a otros servicios de Azure en los que se basa el centro. Estas reglas definen puntos de conexión private que permiten que un recurso de Azure se comunique de forma segura con la red virtual administrada. En la siguiente regla se muestra cómo agregar un punto de conexión privado a una cuenta de Azure Blob Storage. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID>del marcador de posición , <RESOURCE_GROUP>y <STORAGE_ACCOUNT_NAME> por sus propios valores.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configure una red virtual administrada mediante los az ml workspace create comandos o az ml workspace update :

Cree un nuevo centro:

En el ejemplo siguiente se crea un nuevo centro. El --managed-network allow_internet_outbound parámetro configura una red virtual administrada para el centro:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para crear un centro mediante un archivo YAML, use el --file parámetro y especifique el archivo YAML que contiene los valores de configuración:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
En el ejemplo de YAML siguiente se define un centro con una red virtual administrada:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Actualice un centro existente:

Advertencia

Antes de actualizar un área de trabajo existente para usar una red virtual administrada, debe eliminar todos los recursos informáticos del área de trabajo. Esto incluye instancias de proceso, clúster de proceso y puntos de conexión en línea administrados.

En el ejemplo siguiente se actualiza un centro existente. El --managed-network allow_internet_outbound parámetro configura una red virtual administrada para el centro:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para actualizar un centro existente mediante un archivo YAML, use el parámetro --file y especifique el archivo YAML que contiene los valores de configuración:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
En el ejemplo de YAML siguiente se define una red virtual administrada para el centro. También se muestra cómo agregar una conexión de endpoint privado a un recurso que utiliza el hub. En este ejemplo, agrega un punto de conexión privado para una cuenta de Azure Blob Storage. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID>del marcador de posición , <RESOURCE_GROUP>y <STORAGE_ACCOUNT_NAME> por sus propios valores:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Referencias

Para configurar una red virtual administrada que permita la salida de Internet, use la ManagedNetwork clase con IsolationMode.ALLOW_INTERNET_OUTBOUND. A continuación, use el ManagedNetwork objeto para crear un nuevo centro o actualizar uno existente. Para definir reglas de salida para Azure servicios en los que se basa el centro, use la clase PrivateEndpointDestination para definir un nuevo punto de conexión privado al servicio.

Cree un nuevo centro:

En el ejemplo siguiente se crea un nuevo centro denominado myhub, con una regla de salida denominada myrule que agrega un punto de conexión privado para una cuenta de Azure Blob Storage. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID>del marcador de posición , <RESOURCE_GROUP>y <STORAGE_ACCOUNT_NAME> por sus propios valores:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referencias

Actualice un centro existente:

En el ejemplo siguiente se muestra cómo crear una red virtual administrada para un centro existente denominado myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Referencias

Configurar una red virtual administrada para permitir solo el tráfico saliente aprobado

Propina

Azure configura automáticamente la red virtual administrada al crear un recurso de proceso. Si permite la creación automática, el primer recurso de proceso puede tardar unos 30 minutos en crearse porque la red también debe configurarse. Si configura reglas de salida de FQDN, la primera regla de FQDN agrega aproximadamente 10 minutos al tiempo de configuración.

Cree un nuevo centro:
1. Inicie sesión en el portal Azure y elija Foundry en el menú Crear un recurso.
2. Seleccione + New Azure AI.
3. Proporcione la información necesaria en la pestaña Aspectos básicos .
4. En la pestaña Redes , seleccione Privado con salida aprobada.
5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes . En la barra lateral Reglas de salida , proporcione la siguiente información:
  - Nombre de la regla: Un nombre para la regla. El nombre debe ser único para este centro.
  - Tipo de destino: punto de conexión privado, etiqueta de servicio o FQDN. La etiqueta de servicio y el FQDN solo están disponibles cuando el aislamiento de red es privado con salida aprobada.
  Si el tipo de destino es Punto de conexión privado, escriba la siguiente información:
  - Subscription: la suscripción que contiene el recurso Azure para el que desea agregar un punto de conexión privado.
  - Resource group: el grupo de recursos que contiene el recurso Azure para el que desea agregar un punto de conexión privado.
  - tipo de recurso: tipo del recurso de Azure.
  - Nombre de origen: nombre del recurso de Azure.
- Sub Resource: subrecurso del tipo de recurso Azure.
Propina

La red virtual administrada del centro no admite puntos de conexión privados para todos los tipos de recursos de Azure. Para obtener una lista de los recursos admitidos, consulte la sección Puntos de conexión privados .

Si el tipo de destino es Etiqueta de servicio, escriba la siguiente información:
- Etiqueta de servicio: etiqueta de servicio que se va a agregar a las reglas de salida aprobadas.
- Protocolo: El protocolo que se permite para la etiqueta de servicio.
- Rangos de puertos: Los rangos de puertos permitidos para la etiqueta de servicio.
Si el tipo de destino es FQDN, escriba la siguiente información:
- Destino FQDN: El nombre de dominio completamente calificado que se va a agregar a las reglas de salida aprobadas.
  
  Seleccione Guardar para guardar la regla. Para agregar más reglas, seleccione Agregar reglas de salida definidas por el usuario de nuevo.
1. Siga creando el centro como lo hace habitualmente.
Actualice un centro existente:
1. Inicie sesión en el portal Azure y seleccione el centro para el que desea habilitar el aislamiento de red virtual administrado.
2. Seleccione Conexión de red>Privada con salida aprobada.
  - Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes . En la barra lateral Reglas de salida , escriba la misma información que al crear un centro en la sección anterior "Crear un nuevo centro".
  - Para eliminar una regla de salida, seleccione Eliminar para la regla.
3. Seleccione Guardar en la parte superior de la página para guardar los cambios en la red virtual administrada.

Para configurar una red virtual administrada que solo permita la comunicación saliente aprobada, use el --managed-network allow_only_approved_outbound parámetro o un archivo de configuración de YAML que contenga las siguientes entradas:

managed_network:
  isolation_mode: allow_only_approved_outbound

También puede definir reglas de salida para la comunicación saliente aprobada. Cree una regla de salida de tipo service_tag, fqdno private_endpoint. En el ejemplo siguiente se agrega un punto de conexión privado a un recurso de blob de Azure, una etiqueta de servicio para Azure Data Factory y un FQDN para pypi.org. En el ejemplo siguiente, reemplace los marcadores de posición <SUBSCRIPTION_ID>, <RESOURCE_GROUP> y <STORAGE_ACCOUNT_NAME> con sus valores.

Importante

Agregar una regla de salida para una etiqueta de servicio o FQDN solo es válida cuando la red virtual administrada está configurada en allow_only_approved_outbound.
Si agrega reglas de salida, Microsoft no puede garantizar la protección contra la filtración de datos.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Puede configurar una red virtual administrada mediante los az ml workspace create comandos o az ml workspace update :

Cree un nuevo centro:

En el ejemplo siguiente se usa el --managed-network allow_only_approved_outbound parámetro para configurar la red virtual administrada:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
El siguiente archivo YAML define un centro con una red virtual administrada:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Para crear un centro mediante el archivo YAML, use el --file parámetro :
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Actualización de un centro existente

Advertencia

Antes de actualizar un área de trabajo existente para usar una red virtual administrada, debe eliminar todos los recursos informáticos del área de trabajo. Esto incluye instancias de proceso, clúster de proceso y puntos de conexión en línea administrados.

En el ejemplo siguiente se usa el --managed-network allow_only_approved_outbound parámetro para configurar la red virtual administrada para un centro existente:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
El siguiente archivo YAML define una red virtual administrada para el centro y muestra cómo agregar reglas de salida aprobadas. En este ejemplo, se agregan reglas de salida para una etiqueta de servicio, un FQDN y un punto de conexión privado:
```
name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Referencias

Para configurar una red virtual administrada que permita solo la comunicación saliente aprobada, use la ManagedNetwork clase para definir una red con IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Use el ManagedNetwork objeto para crear un nuevo centro o actualizar uno existente. Para definir reglas de salida, use las siguientes clases:

Destino	Clase
Servicio de Azure en el que se basa el hub	`PrivateEndpointDestination`
etiqueta de servicio Azure	`ServiceTagDestination`
Nombre de dominio completo (FQDN)	`FqdnDestination`

Cree un nuevo centro:

En el ejemplo siguiente se crea un nuevo centro denominado myhub, con varias reglas de salida:

myrule - Agrega un terminal privado para un almacén de blobs de Azure.
datafactory: agrega una regla de etiqueta de servicio para comunicarse con Azure Data Factory.

Importante

Agregue una regla de salida para una etiqueta de servicio o un FQDN solo cuando configure la red virtual administrada en IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Si agrega reglas de salida, Microsoft no puede garantizar la protección contra la filtración de datos.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referencias

Actualice un centro existente:

En el ejemplo siguiente se muestra cómo configurar una red virtual administrada para un centro existente denominado myhub. También agrega varias reglas de salida:

myrule: agrega un punto de conexión privado para un almacenamiento de blobs en Azure.
datafactory: agrega una regla de etiqueta de servicio para comunicarse con Azure Data Factory.

Propina

Puede agregar una regla de salida para una etiqueta de servicio o FQDN solo cuando configure la red virtual administrada para que use IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Referencias

Aprovisionar manualmente una red virtual administrada

La red virtual administrada se aprovisiona automáticamente al crear una instancia de proceso. Cuando se basa en el aprovisionamiento automático, puede tardar unos 30 minutos en crear la primera instancia de proceso, ya que también aprovisiona la red. Si configura reglas de salida de FQDN (solo disponibles con el modo de permitir solo lo aprobado), la primera regla de FQDN agrega aproximadamente 10 minutos al tiempo de aprovisionamiento. Si tiene un gran conjunto de reglas de salida que se van a aprovisionar en la red administrada, puede tardar más tiempo en completarse el aprovisionamiento. El aumento del tiempo de aprovisionamiento puede causar que la creación de su primera instancia de cómputo se agote por tiempo.

Para reducir el tiempo de espera y evitar tiempos de espera, configure manualmente la red administrada. Espere a que se complete el aprovisionamiento antes de crear una instancia de cómputo.

Como alternativa, use la provision_network_now marca para configurar la red administrada durante la creación del hub.

Nota

Para implementar un modelo en un proceso administrado, debe aprovisionar manualmente la red administrada o crear primero una instancia de proceso. La creación de una instancia de computación aprovisiona automáticamente la red administrada.

Durante la creación del área de trabajo, seleccione Aprovisionar red administrada de forma proactiva al crear para configurar la red administrada. La facturación se inicia para los recursos de red, como los puntos de conexión privados, una vez configurada la red virtual. Esta opción solo está disponible durante la creación del área de trabajo.

En el ejemplo siguiente se muestra cómo aprovisionar una red virtual administrada durante la creación del centro de conectividad.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

En el ejemplo siguiente se muestra cómo aprovisionar una red virtual administrada.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Para comprobar que el aprovisionamiento está completo, ejecute el siguiente comando:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Referencias

Use el SDK para aprovisionar una red virtual administrada y, a continuación, compruebe su estado.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Referencias

Gestionar reglas de salida

Inicie sesión en el portal Azure y seleccione el centro para el que desea habilitar el aislamiento de red virtual administrado.
Seleccione Redes. La sección Acceso saliente de Foundry le permite gestionar las reglas salientes.

Para agregar una regla de salida, seleccione Add reglas de salida definidas por el usuario en la pestaña Networking. En la barra lateral Azure ai outbound rules, escriba los valores necesarios.
Para habilitar o deshabilitar una regla, use el botón de alternancia en la columna Activo .
Para eliminar una regla de salida, seleccione Eliminar para la regla.

En los siguientes comandos, reemplace el texto de marcador de posición <workspace-name>, <resource-group> y <rule-name> con sus valores. Para enumerar las reglas de salida de red virtual administradas para un centro, ejecute:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Para ver los detalles de una regla de salida de red virtual administrada, ejecute:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Para quitar una regla de salida de la red virtual administrada, ejecute:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Referencias

az ml workspace outbound-rule list - Lista de reglas de salida del espacio de trabajo de Azure Machine Learning
az ml workspace outbound-rule show
az ml workspace outbound-rule remove

En el ejemplo siguiente se muestra cómo administrar reglas de salida para un centro denominado myhub. En el ejemplo, reemplace el texto <some-rule-name> del marcador de posición por el nombre de la regla:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Referencias

MLClient

Arquitectura de aislamiento de red y modos de aislamiento

Al habilitar el aislamiento de red virtual administrada, se crea una red virtual administrada para el centro. Los recursos de proceso administrados que cree para el centro usan automáticamente esta red virtual administrada. La red virtual administrada puede usar puntos de conexión privados para recursos de Azure que tu centro usa, como Azure Storage, Azure Key Vault y Azure Container Registry.

Elija uno de los tres modos de salida para la red virtual administrada:

Modo de salida	Descripción	Escenarios
Permitir salida a Internet	Permitir todo el tráfico saliente de Internet desde la red virtual administrada.	Quiere acceso sin restricciones a los recursos de aprendizaje automático en Internet, como paquetes de Python o modelos entrenados previamente.¹
Permitir solo tráfico saliente autorizado	Use etiquetas de servicio para permitir el tráfico saliente.	* Quiere minimizar el riesgo de filtración de datos, pero debe preparar todos los artefactos de aprendizaje automático necesarios en su entorno privado. * Desea configurar el acceso saliente a una lista aprobada de servicios, etiquetas de servicio o nombres de dominio completos (FQDN).
Deshabilitado	El tráfico entrante y saliente no está restringido.	Quieres tráfico público entrante y saliente desde el hub.

¹ Puede usar reglas de salida con el permitir solo la salida aprobada para lograr el mismo resultado que el uso de permitir salida a Internet. Las diferencias son:

Use siempre puntos de conexión privados para acceder a los recursos de Azure.
Debe agregar reglas para cada conexión saliente que necesite permitir.
Agregar reglas de salida de nombre de dominio completo (FQDN) aumenta los costos porque este tipo de regla usa Azure Firewall. Si usa reglas de salida de FQDN, los cargos por Azure Firewall se incluyen en la facturación. Para obtener más información, consulte Precios.
Las reglas predeterminadas para permitir solo la salida aprobada están diseñadas para minimizar el riesgo de filtración de datos. Las reglas de salida que agregue podrían aumentar el riesgo.

La red virtual administrada está preconfigurada con las reglas predeterminadas necesarias. El centro también configura las conexiones de punto de conexión privado a tu centro, a la cuenta de almacenamiento predeterminada del centro, al registro de contenedor y al almacén de claves cuando dichos recursos están establecidos en modo privado o cuando el modo de aislamiento está configurado para permitir únicamente conexiones salientes aprobadas. Después de elegir un modo de aislamiento, agregue cualquier otra regla de salida que necesite.

En el diagrama siguiente se muestra una red virtual administrada configurada para permitir la salida de Internet:

En el diagrama siguiente se muestra una red virtual administrada configurada para permitir solo la salida aprobada:

Nota

En esta configuración, el almacenamiento, el almacén de claves y el registro de contenedores que utiliza el centro se configuran como privados. Dado que son privados, el centro usa puntos de conexión privados para llegar a ellos.

Nota

Para acceder a una cuenta de almacenamiento privada desde un hub público de Foundry, use Foundry desde la red virtual de su cuenta de almacenamiento. El acceso a Foundry desde dentro de la red virtual garantiza que puede realizar acciones como cargar archivos en la cuenta de almacenamiento privada. La cuenta de almacenamiento privada es independiente de la configuración de red del centro de Foundry. Consulte Configurar Azure Storage firewalls y redes virtuales.

Lista de reglas necesarias

Propina

Estas reglas se agregan automáticamente a la red virtual administrada (VNet).

Puntos de conexión privados:

Al establecer el modo de aislamiento de la red virtual administrada en Allow internet outbound, Foundry crea automáticamente las reglas de salida del punto de conexión privado necesarias desde la red virtual administrada para el concentrador y los recursos asociados, con el acceso a la red pública deshabilitado (Azure Key Vault, cuenta de almacenamiento, Azure Container Registry y hub).
Al establecer el modo de aislamiento de la red virtual administrada en Allow only approved outbound, Foundry crea automáticamente reglas de salida de punto de conexión privado necesarias desde la red virtual administrada para el centro y los recursos asociados, independientemente de la configuración de acceso a la red pública para esos recursos (Azure Key Vault, cuenta de almacenamiento, Azure Container Registry y concentrador).

Foundry requiere un conjunto de etiquetas de servicio para redes privadas. No reemplace las etiquetas de servicio necesarias. En la tabla siguiente se describen cada etiqueta de servicio necesaria y su propósito en Foundry.

Regla de etiquetas de servicio	Entrada o salida	Propósito
`AzureMachineLearning`	Entrante	Cree, actualice y elimine instancias y clústeres de proceso de Foundry.
`AzureMachineLearning`	Saliente	Uso de servicios Azure Machine Learning. Python IntelliSense en cuadernos usa el puerto 18881. La creación, actualización y eliminación de una instancia de proceso de Azure Machine Learning usa el puerto 5831.
`AzureActiveDirectory`	Saliente	Autenticación mediante Microsoft Entra ID.
`BatchNodeManagement.region`	Saliente	Comunicación con el back-end de Azure Batch para instancias y clústeres de proceso de Foundry.
`AzureResourceManager`	Saliente	Cree Azure recursos mediante Foundry, CLI de Azure y el SDK de Microsoft Foundry.
`AzureFrontDoor.FirstParty`	Saliente	Acceda a las imágenes de Docker proporcionadas por Microsoft.
`MicrosoftContainerRegistry`	Saliente	Acceda a las imágenes de Docker proporcionadas por Microsoft. Configure el enrutador Foundry para Azure Kubernetes Service.
`AzureMonitor`	Saliente	Envíe registros y métricas a Azure Monitor. Solo es necesario si no ha protegido Azure Monitor para el área de trabajo. Esta regla de salida también registra información sobre incidentes de soporte técnico.
`VirtualNetwork`	Saliente	Obligatorio cuando los puntos de conexión privados están presentes en la red virtual o en las redes virtuales emparejadas.

Lista de reglas de salida específicas del escenario

Escenario: Acceso a paquetes de aprendizaje automático públicos

Para instalar paquetes de Python para el entrenamiento y la implementación, agregue reglas salientes para FQDN para permitir el tráfico a los siguientes nombres de host:

Nota

Esta lista abarca los alojamientos comunes para los recursos de Python en Internet. Si necesita acceso a un repositorio de GitHub u otro host, identifique y agregue los hosts necesarios para su escenario.

Nombre de host	Propósito
`anaconda.com` `*.anaconda.com`	Se usa para instalar paquetes predeterminados.
`*.anaconda.org`	Se usa para obtener datos del repositorio.
`pypi.org`	Enumera las dependencias del índice predeterminado si la configuración del usuario no la sobrescribe. Si sobrescribe el índice, permita también `*.pythonhosted.org`.
`pytorch.org` `*.pytorch.org`	Se usa en algunos ejemplos basados en PyTorch.
`*.tensorflow.org`	Usado por algunos ejemplos basados en TensorFlow.

Escenario: Uso de Visual Studio Code

Visual Studio Code se basa en hosts y puertos específicos para establecer una conexión remota.

Servidores

Use estos hosts para instalar paquetes Visual Studio Code y establecer una conexión remota a las instancias de proceso del proyecto.

Nota

Esta lista no incluye todos los hosts necesarios para todos los recursos de Visual Studio Code en Internet. Por ejemplo, si necesita acceso a un repositorio de GitHub u otro host, debe identificar y agregar los hosts necesarios para ese escenario. Para obtener una lista completa de los nombres de host, consulte Network Connections in Visual Studio Code.

Nombre de host	Propósito
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Necesario para acceder a VS Code para web (vscode.dev).
`code.visualstudio.com`	Necesario para descargar e instalar el escritorio de VS Code. Este host no es necesario para VS Code Web.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Descarga componentes de VS Code Server en la instancia de proceso durante los scripts de instalación.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Necesario para descargar e instalar extensiones de VS Code. Estos hosts permiten la conexión remota a instancias de cómputo. Para obtener más información, consulte Introducción a los proyectos de Foundry en VS Code.
`vscode.download.prss.microsoft.com`	Actúa como la red CDN de descarga Visual Studio Code.

Puertos

Permita el tráfico de red a los puertos 8704 a 8710. Vs Code Server selecciona el primer puerto disponible en este intervalo.

Escenario: Uso de modelos de Hugging Face

Para usar los modelos de Hugging Face con el centro, agregue reglas FQDN de salida para permitir el tráfico a los hosts siguientes:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Escenario: modelos vendidos directamente por Azure

Estos modelos instalan dependencias en tiempo de ejecución. Agregue reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Puntos de conexión privados

Azure servicios admiten actualmente puntos de conexión privados para los siguientes servicios:

Centro de fundición
Búsqueda de Azure AI
Herramientas de fundición
Azure API Management
- Solo admite el nivel clásico sin inyección de red virtual y el nivel Estándar V2 con integración de red virtual. Para más información sobre las redes virtuales de API Management, consulte Virtual Network Concepts.
Azure Container Registry
Azure Cosmos DB (todos los tipos de subrecursos)
Azure Data Factory
Azure Database for MariaDB
Azure Database para MySQL
Azure Database for PostgreSQL servidor único
Servidor Flexible de Base de Datos de Azure para PostgreSQL
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
registros de Azure Machine Learning
Azure Cache para Redis
Azure SQL Server
Azure Storage (todos los tipos de subrecursos)
Application Insights (mediante PrivateLinkScopes)

Al crear un punto de conexión privado, especifique el tipo de recurso y el subrecurso al que se conecta el punto de conexión. Algunos recursos tienen varios tipos y subrecursos. Para obtener más información, consulte qué es un punto de conexión privado.

Al crear un punto de conexión privado para los recursos de dependencia del centro, como Azure Storage, Azure Container Registry y Azure Key Vault, el recurso puede estar en una suscripción de Azure diferente. Sin embargo, el recurso debe estar en el mismo inquilino que el centro.

Si selecciona uno de los recursos de Azure enumerados anteriormente como recurso de destino, el servicio crea automáticamente un punto de conexión privado para la conexión. Proporcione un identificador de destino válido para el punto de conexión privado. Para una conexión, el identificador de destino puede ser el identificador de Azure Resource Manager de un recurso primario. Incluya el identificador de destino en el destino de la conexión o en metadata.resourceid. Para más información sobre las conexiones, consulte Incorporación de una nueva conexión en el portal de Foundry.

Aprobación de puntos de conexión privados

Para establecer conexiones de punto de conexión privado en redes virtuales administradas mediante Foundry, la identidad administrada del área de trabajo (asignada por el sistema o asignada por el usuario) y la identidad de usuario que crea el punto de conexión privado debe tener permiso para aprobar las conexiones de punto de conexión privado en los recursos de destino. Anteriormente, el servicio Foundry concedió este permiso a través de asignaciones de roles automáticas. Debido a problemas de seguridad con las asignaciones automáticas de roles, a partir del 30 de abril de 2025, el servicio interrumpe esta lógica de concesión automática de permisos. Asigne el rol Azure AI Enterprise Network Connection Approver o un rol personalizado con los permisos necesarios de conexión de endpoints privados en los tipos de recursos de destino y conceda este rol a la identidad administrada del hub de Foundry para permitir que Foundry apruebe las conexiones de endpoints privados con los recursos de Azure de destino.

Esta es la lista de tipos de recursos de destino de punto de conexión privado que abarca el rol de Aprobador de Conexiones de Red Empresarial de Azure AI.

Azure Application Gateway
Azure Monitor
Búsqueda de Azure AI
Azure Event Hubs
Azure SQL Database
Azure Storage
área de trabajo de Azure Machine Learning
Registro de Azure Machine Learning
Fábrica
Azure Key Vault
Azure Cosmos DB
Azure Database para MySQL
Base de Datos Azure para PostgreSQL
Herramientas de fundición
Azure Cache para Redis
Azure Container Registry
Azure API Management

Para crear reglas de salida de punto de conexión privado para los tipos de recursos de destino no cubiertos por el rol aprobador de conexión de red empresarial de Azure AI, como Azure Data Factory, Azure Databricks y Azure Function Apps, use un rol personalizado y con ámbito definido únicamente para las acciones necesarias para aprobar las conexiones de punto de conexión privado en los tipos de recursos de destino.

Para crear reglas de salida para puntos de conexión privados utilizados por los recursos predeterminados del área de trabajo, la creación del área de trabajo concede los permisos necesarios mediante asignaciones de roles, por lo que no se requiere ninguna acción adicional.

Seleccione un modelo de Azure Firewall para permitir solo el tráfico saliente aprobado.

Azure Firewall se implementa al agregar una regla FQDN de salida en el modo permitir solo salidas aprobadas. Azure Firewall cargos se agregan a la factura. De forma predeterminada, se crea una versión Standard de Azure Firewall. O bien, seleccione la versión Básica . Cambie la versión del firewall en cualquier momento. Para obtener información sobre qué versión se ajusta a sus necesidades, vaya a Choose la versión Azure Firewall correcta.

Importante

Azure Firewall no se crea hasta que se agrega una regla de FQDN de salida. Para obtener más información sobre los precios, consulte precios Azure Firewall y vea los precios de la versión Estándar.

Use estas pestañas para ver cómo seleccionar la versión del firewall para la red virtual administrada.

Después de seleccionar el modo permitir solo salidas aprobadas, aparece la opción para seleccionar la versión de Azure Firewall (SKU). Seleccione Estándar o Básico. Seleccione Guardar.

Para establecer la versión del firewall mediante CLI de Azure, use un archivo YAML y especifique firewall_sku. En el ejemplo siguiente se establece la SKU del firewall en basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Para establecer la versión del firewall mediante el SDK de Python, establezca la propiedad firewall_sku del objeto ManagedNetwork. En el ejemplo siguiente se establece la SKU del firewall en basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Referencias

Precios

La característica de red virtual administrada por concentrador es gratuita, pero paga por los siguientes recursos que usa la red virtual administrada:

Azure Private Link: los puntos de conexión privados que protegen la comunicación entre la red virtual administrada y los recursos de Azure usan Azure Private Link. Para obtener información sobre los precios, consulte Azure Private Link.
Reglas de salida de FQDN: Azure Firewall aplica estas reglas. Si usa reglas de FQDN de salida, aparecerán cargos por Azure Firewall en la factura. La versión estándar de Azure Firewall se usa de forma predeterminada. Para seleccionar la versión básica, consulte Seleccionar una versión de Azure Firewall. Azure Firewall se aprovisiona por centro.

Importante

Azure Firewall no se crea hasta que se agrega una regla de FQDN de salida. Si no usa reglas de FQDN, no se le cobrará por Azure Firewall. Para consultar los precios, vea la sección de Azure Firewall.

Limitaciones

Foundry admite el aislamiento de redes virtuales gestionadas para los recursos de computación. Foundry no admite el uso de su propia red virtual para el aislamiento de cómputo. Este escenario difiere de la Azure Virtual Network necesaria para acceder a Foundry desde una red local.
Después de habilitar el aislamiento de red virtual administrada, no se puede deshabilitar.
La red virtual administrada usa un punto de conexión privado para conectarse a recursos privados. No puede usar un punto de conexión privado y un punto de conexión de servicio en el mismo recurso Azure, como una cuenta de almacenamiento. Use puntos de conexión privados para todos los escenarios.
Al eliminar Foundry, el servicio elimina la red virtual administrada.
Con permitir solo la salida aprobada, Foundry habilita automáticamente la protección contra la filtración de datos. Si agrega otras reglas de salida, como FQDN, Microsoft no puede garantizar la protección contra la filtración de datos a esos destinos.
Las reglas de salida de FQDN aumentan el costo de la red virtual administrada porque usan Azure Firewall. Para obtener más información, consulte Precios.
Las reglas de salida de FQDN solo admiten los puertos 80 y 443.
Para deshabilitar la dirección IP pública de una instancia de cómputo, agregue un punto de conexión privado a un hub.
Para una instancia de proceso en una red administrada, ejecute az ml compute connect-ssh para conectarse a través de SSH.
Si la red administrada está configurada para permitir solo el tráfico saliente aprobado, no puede usar una regla de FQDN para acceder a las cuentas de almacenamiento de Azure. Use un punto de conexión privado en su lugar.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-01

Configuración de una red administrada para centros de Microsoft Foundry (clásico)

Requisitos previos

Configura una red virtual administrada para permitir salida hacia Internet

Configurar una red virtual administrada para permitir solo el tráfico saliente aprobado

Aprovisionar manualmente una red virtual administrada

Gestionar reglas de salida

Arquitectura de aislamiento de red y modos de aislamiento

Lista de reglas necesarias

Lista de reglas de salida específicas del escenario

Escenario: Acceso a paquetes de aprendizaje automático públicos

Escenario: Uso de Visual Studio Code

Servidores

Puertos

Escenario: Uso de modelos de Hugging Face

Escenario: modelos vendidos directamente por Azure

Puntos de conexión privados

Aprobación de puntos de conexión privados

Seleccione un modelo de Azure Firewall para permitir solo el tráfico saliente aprobado.

Precios

Limitaciones

Contenido relacionado

Comentarios

Recursos adicionales