Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use un punto de conexión privado para proteger la comunicación. En este artículo se describe cómo establecer una conexión privada a su cuenta y proyectos de Foundry mediante un punto de conexión privado.
Planear el aislamiento de red en Foundry
¿Qué es el aislamiento de red?
El aislamiento de red es una estrategia de seguridad que implica dividir una red en segmentos o subredes independientes, cada una de ellas funciona como su propia red pequeña. Este enfoque ayuda a mejorar la seguridad y el rendimiento dentro de una estructura de red mayor. Las principales empresas requieren aislamiento de red para proteger sus recursos frente al acceso, manipulación o pérdida de datos y modelos no autorizados. También necesitan cumplir los reglamentos y estándares que se aplican a su sector y dominio.
Considere el aislamiento de red en tres áreas dentro de Microsoft Foundry
Considere el aislamiento de red en las tres áreas siguientes dentro de Microsoft Foundry:
- Inbound access al recurso Microsoft Foundry. Por ejemplo, para que los científicos de datos accedan de forma segura al recurso.
- Acceso saliente del recurso de Microsoft Foundry. Por ejemplo, para acceder a otros servicios de Azure.
- Acceso saliente desde el cliente Microsoft Foundry Agent para alcanzar dependencias requeridas—como fuentes de datos privadas, servicios Azure PaaS o puntos finales de internet aprobados—manteniendo todo el tráfico dentro de los límites de red definidos por el cliente mediante inyección virtual de red.
En el diagrama siguiente se desglosa la comunicación entrante y saliente.
Acceso entrante
Establezca el acceso entrante a un proyecto de Microsoft Foundry protegido mediante la marca de acceso a la red pública (PNA). La configuración de marca PNA determina si el proyecto requiere un punto de conexión privado para el acceso. Una configuración adicional entre pública y privada es Habilitada desde direcciones IP seleccionadas. Esta configuración permite el acceso al proyecto desde las direcciones IP que especifique.
Acceso saliente
El aislamiento de red de Microsoft Foundry abarca tanto la Plataforma como Servicio (PaaS) como los componentes de infraestructura gestionados por la plataforma. Los recursos de PaaS, como el proyecto de Microsoft Foundry, el almacenamiento, el Key Vault, el registro de contenedor y la supervisión, se aíslan mediante Private Link. En lugar de que los clientes administren recursos de proceso de IaaS para puntos de conexión de entrenamiento o en línea, Foundry usa la inyección de red virtual (VNet) del cliente de agente. El cliente del agente se inserta en una subred de red virtual administrada por el cliente, lo que permite la comunicación saliente a recursos de PaaS de Azure a través de puntos de conexión privados y Private Link mientras mantiene todo el tráfico dentro de los límites de red definidos por el cliente.
En el modelo de red privada del servicio de agente, los clientes no gestionan recursos separados de "computación" en Foundry. En su lugar, el cliente de agente funciona dentro de la subred del agente delegado y la plataforma proporciona inyección de contenedores para integrarse con la red virtual del cliente.
Requisitos previos
Antes de empezar, asegúrese de que tiene los siguientes requisitos previos configurados.
- Una red virtual Azure existente.
- Permisos de Azure para crear y aprobar conexiones de extremo privado.
- En la red virtual: Colaborador de red (o equivalente) para crear el punto de conexión privado.
- En el recurso del proyecto Foundry: Colaborador (o Propietario) para crear conexiones de punto de acceso privado. Si no tiene permisos de aprobación, la conexión del punto de conexión privado permanece en estado Pendiente hasta que el propietario del recurso la apruebe.
- Si administra zonas de DNS privadas: Colaborador de Zonas de DNS Privadas (o equivalente) para la zona de DNS privada que vincule a la red virtual.
Importante
Las configuraciones estándar requieren que proporcione sus propios recursos (BYO) para que todos los datos del agente permanezcan en su inquilino de Azure.
Los recursos BYO incluyen: Azure Storage, Búsqueda de Azure AI y Azure Cosmos DB.
Todos los datos procesados por foundry Agent Service se almacenan automáticamente en reposo en estos recursos, lo que le ayuda a cumplir los requisitos de cumplimiento y a los estándares de seguridad de la empresa.
Guía paso a paso para la configuración del aislamiento de red entrante
Esta sección le guía en la creación de un nuevo recurso Foundry con el aislamiento de red entrante habilitado. El acceso a la red pública se puede establecer en Deshabilitado con un punto de conexión privado (vínculo privado) habilitado, o bien establecer en Redes seleccionadas para conceder direcciones IP específicas y redes virtuales la capacidad de acceder a Foundry de forma segura.
Creación de un nuevo recurso y proyecto con un punto de conexión privado
Al crear un nuevo recurso foundry, siga estos pasos:
En el portal Azure, busque Foundry y seleccione Crear un recurso.
Después de configurar la pestaña Aspectos básicos , seleccione la pestaña Redes y, a continuación, seleccione la opción Deshabilitado para el acceso público.
En la sección Punto de conexión privado , seleccione + Agregar punto de conexión privado.
Al pasar por los formularios para crear un punto de conexión privado, asegúrese de:
- En Aspectos básicos, seleccione la misma región que la red virtual.
- En el formulario Virtual Network, seleccione la virtual network y la subred a las que desea conectarse.
Nota
En la interfaz de usuario del portal, el destino al que crea el punto de conexión privado debe etiquetarse como una "cuenta". Seleccione el recurso Foundry cuando se le solicite.
Continúe con los formularios para crear el proyecto. Cuando llegue a la pestaña Revisar y crear , revise la configuración y seleccione Crear para crear el proyecto.
Adición de un punto de conexión privado a un recurso existente
Si tiene un recurso y un proyecto de Foundry existentes y desea agregar aislamiento de red:
En el portal Azure, seleccione el recurso Foundry.
En el lado izquierdo de la página, seleccione Administración de recursos, Redes y, a continuación, seleccione la pestaña Conexiones de puntos de conexión privados. Seleccione + Punto de conexión privado.
Al pasar por los formularios para crear un punto de conexión privado, asegúrese de:
- En Aspectos básicos, seleccione la misma región que la red virtual.
- En el formulario Virtual Network, seleccione la virtual network y la subred a las que desea conectarse.
Después de rellenar los formularios con cualquier otra configuración de red que necesite, use la pestaña Revisar y crear para revisar la configuración y seleccione Crear para crear el punto de conexión privado.
Sugerencia
Después de crear el punto de conexión privado, continúe con la sección configuración de DNS para garantizar la resolución de nombres adecuada.
Configuración de DNS
Los clientes de una red virtual que usan el punto de conexión privado usan la misma cadena de conexión para el recurso y los proyectos Foundry, igual que los clientes que se conectan al punto de conexión público. La resolución DNS enruta automáticamente las conexiones de la red virtual al recurso y los proyectos de Foundry a través de un vínculo privado.
Aplicación de cambios de DNS para puntos de conexión privados
Al crear un punto de conexión privado, Azure actualiza el registro de recursos CNAME de DNS para el recurso Foundry en un alias de un subdominio con el prefijo privatelink. De forma predeterminada, Azure también crea una zona DNS privada que corresponde al subdominio />
Al resolver la URL del punto de conexión desde fuera de la red virtual mediante el punto de conexión privado, esta se resuelve en el punto de conexión público del recurso Foundry. Al resolverlo desde la red virtual que hospeda el punto de conexión privado, se resuelve en la dirección IP privada del punto de conexión privado.
Este enfoque permite el acceso al recurso Foundry mediante el mismo cadena de conexión para los clientes de la red virtual que hospedan los puntos de conexión privados y los clientes fuera de la red virtual.
Si usa un servidor DNS personalizado en la red, los clientes deben poder resolver el nombre de dominio completo (FQDN) para el punto de conexión del recurso Foundry a la dirección IP del punto de conexión privado. Configure el servidor DNS para delegar el subdominio private link a la zona DNS privada de la red virtual.
Sugerencia
Cuando utilice un servidor DNS personalizado o local, configure su servidor DNS para resolver el nombre del recurso Foundry en el subdominio privatelink a la dirección IP del punto de conexión privado. Delegue el privatelink subdominio a la zona DNS privada de la red virtual. Como alternativa, configure la zona DNS de su servidor DNS y agregue los registros DNS A.
Para obtener más información sobre cómo configurar su propio servidor DNS para admitir puntos de conexión privados, use los siguientes artículos:
Validación de la configuración
Siga estos pasos para validar que el punto de conexión privado ha sido aprobado y que DNS resuelve a la dirección IP privada desde dentro de la red virtual.
En el portal de Azure, vaya al recurso del proyecto. En Red>Conexiones de punto de conexión privado, confirme que el estado de la conexión es Aprobado.
Desde una máquina virtual conectada a la red virtual (o desde una máquina local conectada a través de VPN/ExpressRoute), resuelva el punto de conexión de Foundry y confirme que se resuelve en la dirección IP privada del punto de conexión privado.
nslookup <your-foundry-endpoint-hostname>Pruebe la conectividad con la dirección IP del punto de conexión privado en el puerto 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Referencias: Test-NetConnection
Administración de puntos de conexión privados
Después de crear un proyecto Foundry aislado en red, es posible que tenga que modificar la configuración de la red. En esta sección se tratan las tareas comunes de administración.
Eliminación de un punto de conexión privado
Puede quitar uno o todos los puntos de conexión privados de un proyecto. Al quitar un punto de conexión privado, se quita el proyecto de la Azure Virtual Network a la que estaba asociado el punto de conexión. Quitar el punto de conexión privado podría impedir que el proyecto acceda a los recursos de esa red virtual o a los recursos de la red virtual para acceder al área de trabajo. Por ejemplo, si la red virtual no permite el acceso a o desde la red pública de Internet.
Advertencia
Quitar los puntos de conexión privados de un proyecto no hace que sea accesible públicamente. Para que el proyecto sea accesible públicamente, siga los pasos descritos en la sección Habilitar acceso público .
Para quitar un punto de conexión privado, siga estos pasos:
- En el portal Azure, seleccione el proyecto.
- En el lado izquierdo de la página, seleccione Administración de recursos, Redes y, a continuación, seleccione la pestaña Conexiones de puntos de conexión privados.
- Seleccione el punto de conexión que desea quitar y, a continuación, seleccione Quitar.
Habilitación del acceso público
En algunas situaciones, es posible que quiera permitir que alguien se conecte al proyecto protegido a través de un punto de conexión público, en lugar de a través de la red virtual. O bien, es posible que quiera quitar el proyecto de la red virtual y volver a habilitar el acceso público.
Importante
La habilitación del acceso público no quita ningún punto de conexión privado que exista. Todas las comunicaciones entre los componentes detrás de la red virtual a la que se conectan los puntos de conexión privados siguen protegidos. Habilita el acceso público solo al proyecto, además del acceso privado a través de cualquier punto de conexión privado.
En el portal Azure, seleccione el proyecto.
En el lado izquierdo de la página, seleccione Administración de recursos, Redes y, a continuación, seleccione la pestaña Firewalls y redes virtuales .
Seleccione Todas las redes y, a continuación, seleccione Guardar.
Concesión de acceso a servicios de Azure de confianza
Si el proyecto foundry restringe el acceso a la red, conceda a foundry un subconjunto de servicios de Azure de confianza al tiempo que mantiene las reglas de red para otras aplicaciones. A continuación, estos servicios de confianza usan la identidad administrada para autenticarse. En la tabla siguiente se enumeran los servicios que pueden acceder a Foundry si la identidad administrada de esos servicios tiene la asignación de roles adecuada:
| Servicio | Nombre del proveedor de recursos |
|---|---|
| Herramientas de fundición | Microsoft.CognitiveServices |
| Búsqueda de Azure AI | Microsoft.Search |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Conceda acceso de red a servicios de Azure de confianza mediante la creación de una excepción de regla de red mediante la API REST o Azure portal.
Elección de un método de conexión seguro para Foundry
Para acceder al recurso foundry que tiene deshabilitado el acceso a la red pública y está detrás de una red virtual con un punto de conexión privado, use uno de estos métodos:
Azure Virtual Network Gateway: conecte redes locales a la red virtual a través de una conexión privada en la red pública de Internet. Elija entre dos tipos de puerta de enlace de VPN:
- Punto a sitio: cada equipo cliente usa un cliente VPN para conectarse a la red virtual.
- Sitio a sitio: un dispositivo VPN conecta la red virtual a la red local.
ExpressRoute: conecte redes locales a Azure a través de una conexión privada a través de un proveedor de conectividad.
Azure Bastion VM: cree una máquina virtual Azure (jump box) en la red virtual y conéctese a ella a través de Azure Bastion mediante RDP o SSH desde el explorador. Use la máquina virtual como entorno de desarrollo. Dado que está en la red virtual, puede acceder al recurso directamente.
Guía paso a paso para la configuración del aislamiento de red externa
Esta sección le guía en la creación de un nuevo recurso Foundry con aislamiento de red saliente habilitado. Puede elegir el mejor enfoque para proteger el acceso saliente para el cliente de agente y evaluaciones: inyección de red virtual a través de su propia red virtual (traiga su propia red virtual) o red virtual administrada (versión preliminar). Para más información sobre las redes administradas, consulte la documentación de red administrada. En esta sección se describe el aislamiento de red con una red virtual personalizada (BYO).
Profundización en la inyección de red para el servicio de agentes y evaluaciones
Si está creando agentes, ya sea agentes basados en indicaciones o agentes hospedados (en versión preliminar), o ejecutando evaluaciones y desea aislamiento de red de un extremo a otro, consulte Cómo usar una red virtual con el servicio de agente de IA de Azure. En este artículo se proporcionan detalles sobre las zonas DNS necesarias, la arquitectura de referencia y las limitaciones conocidas. La misma integración de red para el tráfico saliente se aplica a ambos tipos de agentes que cree: agentes de instrucciones y agentes hospedados.
Creación de un nuevo recurso y proyecto con inyección de red virtual
Puede crear un recurso Foundry con inyección de red virtual mediante su red virtual personalizada (BYO VNet) desde el portal de Azure. Como alternativa, puede crear un recurso Foundry con inyección de red virtual a partir de una plantilla de Bicep o Terraform.
Al crear un nuevo recurso foundry, siga estos pasos:
- En el portal Azure, busque Foundry y seleccione Crear un recurso.
- Después de configurar la pestaña Aspectos básicos , seleccione la pestaña Almacenamiento y, a continuación, seleccione Seleccionar recursos en Servicio del agente.
- Seleccione o cree una cuenta de almacenamiento, un recurso de BÚSQUEDA de IA y Azure Cosmos DB. Si va a configurar Foundry con inyección de red virtual, también debe traer sus propios recursos de Storage, AI Search y Azure Cosmos DB, creando un agente estándar con aislamiento de red virtual de un extremo a otro.
- Después de configurar la pestaña Almacenamiento , seleccione la pestaña Red y, a continuación, seleccione la opción Deshabilitado para el acceso público. Agregue su punto de conexión privado siguiendo las instrucciones de la sección de aislamiento de red de entrada.
- Después de establecer el punto de conexión privado de entrada, aparece una nueva lista desplegable para establecer la inserción de red virtual. Seleccione la red virtual en la primera lista desplegable y, a continuación, seleccione la subred delegada a Microsoft. App/environments con un tamaño de subred de /27 o superior. Este tamaño de delegación y subred son necesarios para la inyección.
- Continúe con los formularios para crear el proyecto. Cuando llegue a la pestaña Revisar y crear , revise la configuración y seleccione Crear para crear el proyecto.
Nota
La capacidad de crear un recurso Foundry con inyección de red virtual en el portal de Azure solo aparece si ha seleccionado primero recursos propios para Storage, Search y CosmosDB Y si ha seleccionado el acceso a la red pública como deshabilitado. No admitimos la inyección de redes virtuales con recursos administrados, también conocida como la configuración del agente básico, ni cuando se tiene habilitado el acceso a la red pública.
Los puntos de conexión privados para Búsqueda de Azure AI, Azure Storage y Azure CosmosDB no se crean automáticamente al implementar el recurso Foundry. Asegúrese de crear puntos de conexión privados para estos recursos por separado en sus páginas de recursos en el portal de Azure.
Herramientas para agentes con el aislamiento de red
Compatibilidad con herramientas y flujo de tráfico
Algunas herramientas del Agente se admiten cuando Foundry está aislada de red, mientras que otras no. En la tabla siguiente se muestra el estado de compatibilidad con las herramientas del agente en entornos aislados de red y cómo fluye el tráfico. Esto se refiere únicamente a la compatibilidad de las herramientas detrás de una VNET para los nuevos agentes de la API de respuestas creados a través del SDK/CLI o en el nuevo portal de Foundry, y no a los agentes creados en la experiencia clásica del portal de Foundry.
En la plantilla de ejemplo 19-hybrid-private-resources-agent-setup se pueden encontrar ejemplos de código para ejecutar estas herramientas del agente dentro de una configuración segura de red.
| Herramienta | Estado de soporte técnico | Flujo de tráfico |
|---|---|---|
| Herramienta MCP (MCP privado) | ✅ Soportado | A través de la subred de VNet |
| Búsqueda de Azure AI | ✅ Soportado | A través del punto de conexión privado |
| Intérprete de código | ✅ Soportado | red troncal de Microsoft |
| Llamada de funciones | ✅ Soportado | red troncal de Microsoft |
| Fundamentos de Bing | ✅ Soportado | Punto de conexión público |
| Búsqueda en la web | ✅ Soportado | Punto de conexión público |
| Fundamentos de SharePoint | ✅ Soportado | Punto de conexión público |
| Foundry IQ (versión preliminar) | ✅ Soportado | A través de MCP |
| Herramienta OpenAPI | ✅ Soportado | A través de tu VNET |
| Azure Functions | ✅ Soportado | A través de tu VNET |
| Agente a agente (A2A) | ✅ Soportado | A través de tu VNET |
| agente de datos de Fabric | ❌ No es compatible | En desarrollo |
| Logic Apps | ❌ No es compatible | En desarrollo |
| Búsqueda de archivos | ❌ No es compatible | En desarrollo |
| Automatización del explorador | ❌ No es compatible | En desarrollo |
| Uso del equipo | ❌ No es compatible | En desarrollo |
| Generación de imágenes | ❌ No es compatible | En desarrollo |
Nota
Public endpoint tools (Bing Grounding, Websearch, SharePoint Grounding) funcionan en entornos aislados de red, pero se comunican a través de la red de Internet pública. Estas herramientas no requieren puntos de conexión privados ni configuración de red virtual. Si su organización requiere que todo el tráfico permanezca dentro de una red privada, es posible que estas herramientas no cumplan sus requisitos de cumplimiento.
Requisitos de configuración por patrón de tráfico
Herramientas que utilizan la subred de la red virtual (herramienta MCP, Búsqueda de Azure AI, OpenAPI, A2A, Azure Functions):
Para obtener más información sobre la compatibilidad y configuración de MCP privada, consulte 19-hybrid-private-resources-agent-setup. Utilice esta plantilla para saber cómo configurar las herramientas del agente con el recurso de Foundry aislado en una red de un extremo a otro.
Herramientas que utilizan la red troncal de Microsoft (intérprete de código, llamada a funciones):
No se requieren puntos de conexión privados y no es necesaria ninguna configuración de red adicional para usar estas herramientas. El tráfico permanece dentro de la infraestructura de red troncal de Microsoft, lo que garantiza la seguridad.
Herramientas con puntos de conexión públicos (Bing, Búsqueda web, SharePoint):
No se requieren puntos de conexión privados y no es necesaria ninguna configuración de red adicional para usar estas herramientas. Sin embargo, estas herramientas se comunican a través de puntos de conexión públicos. Si no quiere que los usuarios de la empresa usen estas herramientas debido a su naturaleza de punto de conexión público, puede bloquearlas mediante directivas de Azure.
Configuración de red tipo hub-and-spoke y de firewall
Para proteger el tráfico de salida (saliente) a través de la inyección de red, configure una Azure Firewall u otra solución de firewall. Esta configuración ayuda a inspeccionar y controlar el tráfico saliente antes de salir de la red virtual.
Además, puede usar una arquitectura de red de tipo hub-and-spoke en la que se crea una red virtual para un firewall compartido (el punto central) y una red virtual independiente para la red Foundry (un periférico). Estas redes virtuales se emparejan entre sí.
Nota
El diagrama anterior refleja una arquitectura hub-and-spoke con un firewall centralizado. Si utiliza un proyecto Foundry independiente sin una topología basada en hub, la disposición de la red será diferente. Ajuste la configuración del firewall y del peering para que coincida con su diseño específico de red virtual.
Limitaciones y consideraciones
Comprenda estas limitaciones antes de implementar el aislamiento de red para Foundry. En esta sección se consolidan todas las restricciones conocidas entre puntos de conexión privados, experiencias del portal, servicio del agente y herramientas.
Limitaciones de características de Foundry
Las siguientes características de Foundry aún no admiten el aislamiento de red.
| Característica | Estado de aislamiento de red | Notas |
|---|---|---|
| Generación de datos sintéticos para evaluaciones | No se admite | Traiga sus propios datos para ejecutar evaluaciones. |
| Seguimientos | No se admite | Los seguimientos aún no tienen soporte de red virtual con una instancia de Application Insights privada. |
| Agentes de flujo de trabajo | Soporte parcial | El acceso entrante se admite en la interfaz de usuario, el SDK y la CLI. Actualmente, la salida con inyección de red virtual no es compatible con los agentes de flujo de trabajo. |
| Puerta de enlace de AI (APIM) | Se admite parcialmente a través de la interfaz de usuario de Foundry | Puede crear una nueva puerta de enlace AI utilizando su recurso privado de Foundry en el nuevo portal de Foundry, pero esta puerta de enlace se configura automáticamente como pública. Para completar cualquier acción de plano de datos con un Foundry privado, tu Gateway de IA también debe tener el aislamiento de red configurado, que se configura a través del Portal de Azure. Para obtener más información, consulte Redes para puerta de enlace de IA. |
| Determinadas herramientas del agente | Soporte parcial | Consulte Herramientas de agentes con aislamiento de red para obtener el estado detallado del soporte técnico de cada herramienta. |
Para obtener más limitaciones de aislamiento de red del servicio de agente, consulte Cómo usar una red virtual con el servicio de agente de IA de Azure.
Detalles sobre otras limitaciones
- Herramienta AI Search privada con agente de Foundry privado: Si utiliza la herramienta AI Search as an Agent con el acceso a la red pública desactivado y un recurso de Foundry aislado de la red, asegúrese de utilizar el nuevo portal de Foundry para crear sus nuevos agentes. Este escenario no se admite con la versión anterior del servicio Agente en el portal clásico de Foundry.
- Publicar agentes en Teams/M365: puede publicar el agente en Teams y M365 cuando el recurso Foundry tenga deshabilitado el acceso a la red pública. Hay requisitos de configuración adicionales para esta experiencia. Para obtener más información, siga esta entrada de blog sobre la creación de agentes de motor personalizados cuando el recurso foundry sea privado.
- Hosted Agents with private Azure Container Registry: Si desea implementar agentes hospedados en Foundry, asegúrese de que el Azure Container Registry tenga habilitado el acceso a la red pública. El acceso a la red pública está desactivado con un punto de conexión privado. Azure Container Registry aún no se admite con una configuración privada de Foundry. Los agentes hospedados se pueden implementar en una instancia privada de Foundry que se configuró mediante las plantillas de red existentes. No es necesario volver a implementar la instancia de Foundry privada e insertada en la red virtual.
Limitaciones del punto de conexión privado
- Región y suscripción: debe implementar el punto de conexión privado en la misma región y suscripción que la red virtual.
- Estado de conexión: solo los puntos de conexión privados en un estado Aprobado pueden enviar tráfico a un recurso de vínculo privado.
- Intervalo de direcciones IP: no use el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este intervalo está reservado por las redes de puente de Docker.
- Aprobaciones: si no tiene permisos de colaborador o propietario en el recurso Foundry, las conexiones de punto de conexión privado permanecen en estado Pendiente hasta que se aprueben.
Solución de problemas de puntos de conexión privados
Si experimenta problemas de conectividad después de configurar un punto de conexión privado, pruebe estos pasos:
Problemas de punto de conexión privado
- Punto de conexión privado bloqueado en estado Pendiente: compruebe que tiene permisos de colaborador o propietario en el recurso del proyecto Foundry. Si no lo hace, pida al propietario del recurso que apruebe la conexión desde la pestaña Red>Conexiones de puntos de conexión privados.
- Error en la creación de punto de conexión privado: asegúrese de tener el rol Colaborador de red en el VNET y la subred donde está creando el punto de conexión. Compruebe que la subred no está completa (las direcciones IP están disponibles).
Problemas de resolución de DNS
-
La resolución DNS devuelve una dirección IP pública: confirme que existe una zona DNS privada para el
privatelinksubdominio y que está vinculada a la red virtual. Ejecutenslookup <your-foundry-endpoint-hostname>desde dentro de la red virtual para comprobar que se resuelve en la dirección IP privada. -
El servidor DNS personalizado no está resolviendo: si usa un servidor DNS personalizado, asegúrese de reenviar las consultas para el subdominio
privatelinka Azure DNS (168.63.129.16). Consulte Configuración de DNS para obtener más información. - Errores de DNS intermitentes: Compruebe que el servidor DNS (personalizado o proporcionado por Azure) sea accesible desde todas las subredes. Compruebe la configuración del servidor DNS en la red virtual y las NIC individuales.
Problemas de conectividad
- El tiempo de conexión se agota en el puerto 443: compruebe que las reglas del grupo de seguridad de red (NSG) permiten el tráfico saliente a la dirección IP del punto de conexión privado en el puerto 443. Compruebe también que ningún firewall esté bloqueando la conexión.
- No se puede acceder a Foundry desde el entorno local: compruebe que la conexión VPN o ExpressRoute o vm esté activa y que las tablas de enrutamiento incluyan el espacio de direcciones de la red virtual. Pruebe la conectividad a la dirección IP privada desde el entorno local.
- 403 Errores prohibidos: esto suele indicar problemas de autenticación en lugar de redes. Compruebe que las credenciales tienen los roles de RBAC adecuados en el proyecto de Foundry.
Solución de problemas específica del agente
- No se puede iniciar el agente en el proyecto aislado de red: Asegúrate de que estás usando la implementación del Agente Estándar (no Básico). Compruebe que la inserción de red está configurada correctamente y que la subred tiene suficientes direcciones IP disponibles.
- Agent no puede acceder a las herramientas de MCP: asegúrese de que existen puntos de conexión privados para todos los servicios de Azure que las herramientas de MCP necesitan acceder. Compruebe que la identidad administrada tiene los roles de RBAC adecuados. Compruebe que las reglas del firewall permiten el tráfico del agente → al servicio.
- Las ejecuciones de evaluación producen errores de red: confirme que todas las zonas DNS necesarias están configuradas. Compruebe que el cómputo de evaluación puede alcanzar tanto los puntos de conexión de Foundry como los del modelo a través de vínculos privados.
- Tiempos de espera del agente en llamadas a API externas: si los agentes necesitan realizar llamadas a API externas (que no son de Azure), asegúrese de que su firewall permita HTTPS saliente a esos destinos, o implemente una NAT Gateway para una salida controlada.