Comment configurer un réseau managé pour Microsoft hubs Foundry (classique)

S’applique uniquement au :Portail Foundry (classique). Cet article n’est pas disponible pour le nouveau portail Foundry. En savoir plus sur le nouveau portail.

Note

Les liens de cet article peuvent ouvrir du contenu dans la nouvelle documentation Microsoft Foundry au lieu de la documentation Foundry (classique) que vous affichez maintenant.

Important

Cet article fournit un support hérité pour les projets basés sur le hub. Elle ne fonctionnera pas pour les projets Foundry. Découvrez comment savoir quel type de projet j’ai ?

note de compatibilité SDK : les exemples de code nécessitent une version spécifique du SDK Foundry Microsoft. Si vous rencontrez des problèmes de compatibilité, envisagez de migrer d’un hub vers un projet Foundry.

L’isolation réseau pour un projet hub comporte deux parties : l’accès à un Microsoft Foundry hub et l’isolation des ressources informatiques dans votre hub et votre projet (comme les instances de calcul, les points de terminaison serverless et gérés en ligne). Cet article traite de ce dernier. Le diagramme le met en surbrillance. Utilisez l’isolation réseau intégrée du hub pour protéger vos ressources informatiques.

Configurez les paramètres d’isolation réseau suivants :

Choisissez un mode d’isolation réseau : autorisez le trafic sortant Internet ou autorisez uniquement le trafic sortant approuvé.
Si vous utilisez l'intégration de Visual Studio Code en mode autoriser uniquement les flux sortants approuvés, créez des règles de flux sortants FQDN comme décrit dans la section utilisation de Visual Studio Code.
Si vous utilisez des modèles Hugging Face en mode "sortant approuvé uniquement," créez des règles de trafic sortant FQDN, comme cela est décrit dans la section Utiliser les modèles Hugging Face.
Si vous utilisez l’un des modèles à source ouverte en mode n'autoriser que les sorties approuvées, créez des règles de trafic sortant FQDN comme décrit dans la section Modèles vendus directement par Azure.

Conditions préalables

Avant de commencer, vérifiez que vous disposez des conditions préalables suivantes :

portail Azure
Azure CLI
sdk Python

Un abonnement Azure. Si vous n'avez pas d'abonnement Azure, créez un compte gratuit avant de commencer.
Inscrivez le fournisseur de ressources Microsoft.Network pour votre abonnement Azure. Le hub utilise ce fournisseur pour créer des points de terminaison privés pour le réseau virtuel managé.

Pour plus d’informations sur l’inscription des fournisseurs de ressources, consultez Résoudre les erreurs d’inscription du fournisseur de ressources.
Utilisez une identité Azure avec les actions suivantes Azure contrôle d’accès en fonction du rôle (Azure RBAC) pour créer des points de terminaison privés pour le réseau virtuel managé :
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Conseil

L’approbateur de connexion Azure AI Enterprise Network Connection Appr inclut ces autorisations. Attribuez ce rôle à l’identité managée du hub pour approuver les connexions de point de terminaison privé.

Un abonnement Azure. Si vous n'avez pas d'abonnement Azure, créez un compte gratuit avant de commencer.
Le fournisseur de ressources Microsoft.Network doit être enregistré dans votre abonnement Azure. Le hub utilise ce fournisseur de ressources lors de la création de points de terminaison privés pour le réseau virtuel managé.

Pour plus d’informations sur l’inscription des fournisseurs de ressources, consultez Résoudre les erreurs d’inscription du fournisseur de ressources.
Utilisez une identité Azure avec les actions suivantes Azure contrôle d’accès en fonction du rôle (Azure RBAC) pour créer des points de terminaison privés pour le réseau virtuel managé :
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Conseil

L'approbateur de connexion Azure AI Enterprise Network Connection Approver inclut ces autorisations. Attribuez ce rôle à l’identité managée du hub pour approuver les connexions de point de terminaison privé.
Installez la Azure CLI et l’extension ml pour le Azure CLI. Pour plus d’informations, consultez Installer, configurer et utiliser l’interface CLI (v2).
Un interpréteur de commandes compatible Bash pour l’exécution des exemples CLI dans cet article. Par exemple, utilisez un système Linux ou Sous-système Windows pour Linux.
Les exemples Azure CLI de cet article utilisent ws pour le nom du hub et rg pour le nom du groupe de ressources. Modifiez ces valeurs si nécessaire lorsque vous exécutez les commandes dans votre abonnement Azure.

Un abonnement Azure. Si vous n'avez pas d'abonnement Azure, créez un compte gratuit avant de commencer. Essayez la version gratuite ou payante.
Le fournisseur de ressources Microsoft.Network doit être enregistré sur votre abonnement Azure. Le hub utilise ce fournisseur de ressources lors de la création de points de terminaison privés pour le réseau virtuel managé.

Pour plus d’informations sur l’inscription des fournisseurs de ressources, consultez Résoudre les erreurs d’inscription du fournisseur de ressources.
L’identité Azure que vous utilisez lors du déploiement d’un réseau managé nécessite les actions suivantes Azure contrôle d’accès en fonction du rôle (Azure RBAC) pour créer des points de terminaison privés :
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Conseil

L'approbateur de la connexion du réseau d'entreprise Azure AI inclut ces autorisations. Attribuez ce rôle à l’identité managée du hub pour approuver les connexions de point de terminaison privé.
Kit de développement logiciel (SDK) Azure Machine Learning Python v2. Pour plus d’informations sur le Kit de développement logiciel (SDK), consultez Installer le sdk Python v2 pour Azure Machine Learning.

Les exemples de cet article supposent que votre code commence par le code Python suivant. Il importe les classes requises pour créer un hub avec un réseau virtuel managé, définit des variables pour votre abonnement et groupe de ressources Azure, puis crée le ml_client. Dans l’exemple suivant, remplacez le texte <SUBSCRIPTION_ID> de l’espace réservé et <RESOURCE_GROUP> par vos propres valeurs :

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Configurer un réseau virtuel managé pour autoriser le trafic sortant Internet

Conseil

Foundry reporte la création du réseau virtuel managé jusqu’à ce que vous créiez une ressource de calcul ou démarrez l’approvisionnement manuellement. Avec la création automatique, la mise en place de la première ressource de calcul peut prendre environ 30 minutes, car elle configure également le réseau.

portail Azure
Azure CLI
sdk Python

Créez un hub :
1. Connectez-vous au portail Azure, puis sélectionnez Foundry dans le menu Create a resource.
2. Sélectionnez + Nouveau IA Azure.
3. Entrez les informations requises sous l’onglet Informations de base .
4. Sous l’onglet Mise en réseau , sélectionnez Privé avec Internet Sortant.
5. Pour ajouter une règle de trafic sortant, sélectionnez Ajouter des règles sortantes définies par l’utilisateur à partir de l’onglet Mise en réseau . Dans la barre latérale des règles de trafic sortant , entrez les informations suivantes :
  - Nom de la règle : nom de la règle. Le nom doit être unique pour ce hub.
  - Type de destination : le point de terminaison privé est la seule option lorsque l’isolation réseau est privée avec Internet Sortant. Un réseau virtuel géré par hub ne prend pas en charge la création de points de terminaison privés pour tous les types de ressources Azure. Pour obtenir la liste des ressources prises en charge, consultez la section Points de terminaison privés .
  - Subscription : abonnement qui contient la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
  - Resource group : groupe de ressources contenant la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
  - Resource type : type de la ressource Azure.
  - Resource name : nom de la ressource Azure.
  - Sub Resource : sous-ressource du type de ressource Azure.
  Sélectionnez Enregistrer. Pour ajouter d’autres règles, sélectionnez Ajouter des règles sortantes définies par l’utilisateur.
6. Continuez à créer le hub.
Mettez à jour un hub existant :
1. Connectez-vous au portail Azure, puis sélectionnez le hub pour activer l’isolation du réseau virtuel managé.
2. Sélectionnez Réseautage>Privé avec trafic Internet sortant.
  - Pour ajouter une règle de trafic sortant, sélectionnez Ajouter des règles sortantes définies par l’utilisateur à partir de l’onglet Mise en réseau . Dans la barre latérale des règles de trafic sortant , fournissez les mêmes informations que celles utilisées lors de la création d’un hub dans la section « Créer un hub ».
  - Pour supprimer une règle de trafic sortant, sélectionnez Supprimer pour la règle.
3. Sélectionnez Enregistrer en haut de la page pour appliquer les modifications au réseau virtuel managé.

Pour configurer un réseau virtuel managé qui autorise le trafic sortant Internet, utilisez le --managed-network allow_internet_outbound paramètre ou un fichier de configuration YAML avec les entrées suivantes :

managed_network:
  isolation_mode: allow_internet_outbound

Définissez règles de trafic sortant à d’autres services Azure sur lesquels le hub s’appuie. Ces règles définissent des points de terminaison private qui permettent à une ressource Azure de communiquer en toute sécurité avec le réseau virtuel managé. La règle suivante montre comment ajouter un point de terminaison privé à un compte Stockage Blob Azure. Dans l’exemple suivant, remplacez le texte <SUBSCRIPTION_ID>de l’espace réservé, <RESOURCE_GROUP>et <STORAGE_ACCOUNT_NAME> par vos propres valeurs.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configurez un réseau virtuel managé en utilisant soit la commande az ml workspace create soit la commande az ml workspace update.

Créez un hub :

L’exemple suivant crée un hub. Le --managed-network allow_internet_outbound paramètre configure un réseau virtuel managé pour le hub :
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Pour créer un hub à l’aide d’un fichier YAML, utilisez le --file paramètre et spécifiez le fichier YAML qui contient les paramètres de configuration :
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
L’exemple YAML suivant définit un hub avec un réseau virtuel managé :
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Mettez à jour un hub existant :

Avertissement

Avant de mettre à jour un espace de travail existant pour utiliser un réseau virtuel managé, vous devez supprimer toutes les ressources informatiques de l’espace de travail. Cela inclut l’instance de calcul, le cluster de calcul et les points de terminaison en ligne gérés.

L’exemple suivant met à jour un hub existant. Le --managed-network allow_internet_outbound paramètre configure un réseau virtuel managé pour le hub :
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Pour mettre à jour un hub existant à l’aide d’un fichier YAML, utilisez le --file paramètre et spécifiez le fichier YAML qui contient les paramètres de configuration :
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
L’exemple YAML suivant définit un réseau virtuel managé pour le hub. Il montre également comment ajouter une connexion de point de terminaison privé à une ressource utilisée par le hub. Dans cet exemple, il ajoute un point de terminaison privé pour un compte Stockage Blob Azure. Dans l’exemple suivant, remplacez le texte <SUBSCRIPTION_ID>de l’espace réservé, <RESOURCE_GROUP>et <STORAGE_ACCOUNT_NAME> par vos propres valeurs :
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Références

Pour configurer un réseau virtuel managé qui autorise le trafic sortant Internet, utilisez la ManagedNetwork classe avec IsolationMode.ALLOW_INTERNET_OUTBOUND. Utilisez ensuite l’objet ManagedNetwork pour créer un hub ou mettre à jour un hub existant. Pour définir règles de trafic sortant pour Azure services sur lesquels le hub s’appuie, utilisez la classe PrivateEndpointDestination pour définir un nouveau point de terminaison privé au service.

Créez un hub :

L’exemple suivant crée un hub nommé myhub, avec une règle sortante nommée myrule qui ajoute un point de terminaison privé pour un compte Stockage Blob Azure. Dans l’exemple suivant, remplacez le texte <SUBSCRIPTION_ID>de l’espace réservé, <RESOURCE_GROUP>et <STORAGE_ACCOUNT_NAME> par vos propres valeurs :

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Références

Mettez à jour un hub existant :

L’exemple suivant montre comment créer un réseau virtuel managé pour un hub existant nommé myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Références

Configurer un réseau virtuel managé pour autoriser uniquement le trafic sortant approuvé

Conseil

Azure configure automatiquement le réseau virtuel managé lorsque vous créez une ressource de calcul. Si vous autorisez la création automatique, la première ressource de calcul peut prendre environ 30 minutes pour créer, car le réseau doit également être configuré. Si vous configurez des règles de trafic sortant FQDN, la première règle FQDN ajoute environ 10 minutes au temps de configuration.

portail Azure
Azure CLI
sdk Python

Créez un hub :
1. Connectez-vous au portail Azure et choisissez Foundry dans le menu Créer une ressource.
2. Sélectionnez + Nouvelle IA Azure.
3. Fournissez les informations requises sous l’onglet Informations de base .
4. Sous l’onglet Mise en réseau , sélectionnez Privé avec trafic sortant approuvé.
5. Pour ajouter une règle de trafic sortant, sélectionnez Ajouter des règles sortantes définies par l’utilisateur à partir de l’onglet Mise en réseau . Dans la barre latérale des règles de trafic sortant , fournissez les informations suivantes :
  - Nom de la règle : nom de la règle. Le nom doit être unique pour ce hub.
  - Type de destination : point de terminaison privé, balise de service ou nom de domaine complet. L’étiquette de service et le nom de domaine complet (FQDN) ne sont disponibles que lorsque l’isolation réseau est privée avec le trafic sortant autorisé.
  Si le type de destination est Private Endpoint, entrez les informations suivantes :
  - Subscription : abonnement qui contient la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
  - Resource group : groupe de ressources contenant la ressource Azure pour laquelle vous souhaitez ajouter un point de terminaison privé.
  - Resource type : type de la ressource Azure.
  - Resource name : nom de la ressource Azure.
- Sub Resource : sous-ressource du type de ressource Azure.
Conseil

Le réseau virtuel managé du hub ne prend pas en charge les points de terminaison privés pour tous les types de ressources Azure. Pour obtenir la liste des ressources prises en charge, consultez la section Points de terminaison privés .

Si le type de destination est Une balise de service, entrez les informations suivantes :
- Étiquette de service : L'étiquette de service à ajouter aux règles de trafic sortant approuvées.
- Protocole : protocole permettant l’étiquette de service.
- Plages de ports : plages de ports à autoriser pour la balise de service.
Si le type de destination est FQDN, entrez les informations suivantes :
- FQDN de destination: Le nom de domaine complet à ajouter aux règles de trafic sortant approuvées.
  
  Sélectionnez Enregistrer pour enregistrer la règle. Pour ajouter d’autres règles, sélectionnez à nouveau ajouter des règles sortantes définies par l’utilisateur .
1. Continuez à créer le hub comme d’habitude.
Mettez à jour un hub existant :
1. Connectez-vous au portail Azure et sélectionnez le hub pour lequel vous souhaitez activer l’isolation du réseau virtuel managé.
2. Sélectionnez Réseau>privé avec trafic sortant approuvé.
  - Pour ajouter une règle de trafic sortant, sélectionnez Ajouter des règles sortantes définies par l’utilisateur à partir de l’onglet Mise en réseau . Dans la barre latérale des règles de trafic sortant , entrez les mêmes informations que lors de la création d’un hub dans la section précédente « Créer un hub ».
  - Pour supprimer une règle de trafic sortant, sélectionnez Supprimer pour la règle.
3. Sélectionnez Enregistrer en haut de la page pour enregistrer les modifications apportées au réseau virtuel managé.

Pour configurer un réseau virtuel managé qui autorise uniquement les communications sortantes approuvées, utilisez le --managed-network allow_only_approved_outbound paramètre ou un fichier de configuration YAML qui contient les entrées suivantes :

managed_network:
  isolation_mode: allow_only_approved_outbound

Vous pouvez également définir des règles de trafic sortant pour la communication sortante approuvée. Créez une règle sortante de type service_tag, fqdn, ou private_endpoint. L’exemple suivant ajoute un point de terminaison privé à une ressource Blob Azure, une balise de service pour Azure Data Factory et un nom de domaine complet pour pypi.org. Dans l’exemple suivant, remplacez le texte <SUBSCRIPTION_ID>de l’espace réservé, <RESOURCE_GROUP>et <STORAGE_ACCOUNT_NAME> par vos valeurs.

Important

L’ajout d’une règle de trafic sortant pour une balise de service ou un nom de domaine complet n’est valide que lorsque le réseau virtuel managé est configuré sur allow_only_approved_outbound.
Si vous ajoutez des règles de trafic sortant, Microsoft ne pouvez pas garantir la protection contre l'exfiltration des données.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Vous pouvez configurer un réseau virtuel géré à l’aide des commandes az ml workspace create ou az ml workspace update.

Créez un hub :

L’exemple suivant utilise le --managed-network allow_only_approved_outbound paramètre pour configurer le réseau virtuel managé :
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Le fichier YAML suivant définit un hub avec un réseau virtuel managé :
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Pour créer un hub à l’aide du fichier YAML, utilisez le --file paramètre :
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Mettre à jour un hub existant

Avertissement

Avant de mettre à jour un espace de travail existant pour utiliser un réseau virtuel managé, vous devez supprimer toutes les ressources informatiques de l’espace de travail. Cela inclut l’instance de calcul, le cluster de calcul et les points de terminaison en ligne gérés.

L’exemple suivant utilise le --managed-network allow_only_approved_outbound paramètre pour configurer le réseau virtuel managé pour un hub existant :
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Le fichier YAML suivant définit un réseau virtuel managé pour le hub et montre comment ajouter des règles de trafic sortant approuvées. Dans cet exemple, les règles de trafic sortant sont ajoutées pour une balise de service, un nom de domaine complet et un point de terminaison privé :
```
name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Références

Pour configurer un réseau virtuel managé qui autorise uniquement les communications sortantes approuvées, utilisez la ManagedNetwork classe pour définir un réseau avec IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Utilisez l’objet ManagedNetwork pour créer un hub ou mettre à jour un hub existant. Pour définir des règles de trafic sortant, utilisez les classes suivantes :

Destination	Classe
Azure service sur lequel le hub s’appuie	`PrivateEndpointDestination`
Balise de service Azure	`ServiceTagDestination`
Nom de domaine complet (FQDN)	`FqdnDestination`

Créez un hub :

L’exemple suivant crée un hub nommé myhub, avec plusieurs règles de trafic sortant :

myrule - ajoute un point de terminaison privé pour un compte de stockage Azure Blob.
datafactory : ajoute une règle d’étiquette de service pour communiquer avec Azure Data Factory.

Important

Ajoutez une règle de trafic sortant pour une balise de service ou un nom de domaine complet uniquement lorsque vous configurez le réseau virtuel managé sur IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Si vous ajoutez des règles de trafic sortant, Microsoft ne pouvez pas garantir la protection contre l'exfiltration des données.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Références

Mettez à jour un hub existant :

L’exemple suivant montre comment configurer un réseau virtuel managé pour un hub existant nommé myhub. Il ajoute également plusieurs règles sortantes :

myrule : ajoute un point de terminaison privé pour un stockage Blob Azure.
datafactory : ajoute une règle d’étiquette de service pour communiquer avec Azure Data Factory.

Conseil

Vous pouvez ajouter une règle de trafic sortant pour une balise de service ou un nom de domaine complet uniquement lorsque vous configurez le réseau virtuel géré pour utiliser IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Références

Provisionner manuellement un réseau virtuel managé

Le réseau virtuel managé est automatiquement approvisionné lorsque vous créez une instance de calcul. Lorsque vous vous appuyez sur l’approvisionnement automatique, la création de la première instance de calcul peut prendre environ 30 minutes , car elle provisionne également le réseau. Si vous configurez des règles de trafic sortant FQDN (disponibles uniquement avec le mode approuvé uniquement), la première règle de nom de domaine complet ajoute environ 10 minutes au temps de configuration. Si vous disposez d’un grand ensemble de règles de trafic sortant à provisionner dans le réseau managé, l’approvisionnement peut prendre plus de temps. Le temps d’approvisionnement accru peut entraîner l’interruption de la création de votre première instance de calcul.

Pour réduire le temps d’attente et éviter les délais d’attente, configurez manuellement le réseau managé. Attendez la fin de l’approvisionnement avant de créer une instance de calcul.

Vous pouvez également utiliser l’indicateur provision_network_now pour configurer le réseau managé lors de la création du hub.

Note

Pour déployer un modèle sur un calcul managé, vous devez provisionner manuellement le réseau managé ou créer une instance de calcul en premier. La création d’une instance de calcul provisionne automatiquement le réseau managé.

portail Azure
Azure CLI
sdk Python

Lors de la création de l’espace de travail, sélectionnez Provisionner un réseau managé de manière proactive lors de la création pour configurer le réseau managé. La facturation démarre pour les ressources réseau, telles que les points de terminaison privés, une fois le réseau virtuel configuré. Cette option est disponible uniquement lors de la création de l’espace de travail.

L’exemple suivant montre comment provisionner un réseau virtuel managé lors de la création du hub.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

L’exemple suivant montre comment provisionner un réseau virtuel managé.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Pour vérifier que l’approvisionnement est terminé, exécutez la commande suivante :

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Références

Utilisez le Kit de développement logiciel (SDK) pour provisionner un réseau virtuel managé, puis vérifiez son état.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Références

Gérer les règles de trafic sortant

portail Azure
Azure CLI
sdk Python

Connectez-vous au portail Azure et sélectionnez le hub pour lequel vous souhaitez activer l’isolation du réseau virtuel managé.
Sélectionnez Mise en réseau. La section Accès sortant Foundry vous permet de gérer les règles de trafic sortant.

Pour ajouter une règle de trafic sortant, sélectionnez Règles sortantes définies par l’utilisateur sous l’onglet Networking. À partir de la Azure règles de trafic sortant IA, entrez les valeurs requises.
Pour activer ou désactiver une règle, utilisez le bouton bascule dans la colonne Active .
Pour supprimer une règle de trafic sortant, sélectionnez Supprimer pour la règle.

Dans les commandes suivantes, remplacez le texte <workspace-name>de l’espace réservé, <resource-group>et <rule-name> par vos valeurs. Pour répertorier les règles de trafic sortant de réseau virtuel managé pour un hub, exécutez :

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Pour afficher les détails d’une règle de trafic sortant de réseau virtuel managé, exécutez :

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Pour supprimer une règle de trafic sortant du réseau virtuel managé, exécutez :

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Références

La commande az ml workspace outbound-rule list est utilisée pour lister les règles de sortie dans un espace de travail Azure Machine Learning.
Afficher la règle sortante de l'espace de travail avec az ml workspace outbound-rule show
az ml workspace outbound-rule remove - Commande pour supprimer une règle sortante du workspace Azure Machine Learning

L’exemple suivant montre comment gérer les règles de trafic sortant pour un hub nommé myhub. Dans l’exemple, remplacez le texte <some-rule-name> de l’espace réservé par le nom de votre règle :

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Références

MLClient

Architecture d’isolation réseau et modes d’isolation

Lorsque vous activez l’isolation du réseau virtuel managé, vous créez un réseau virtuel managé pour le hub. Les ressources de calcul managées que vous créez pour le hub utilisent automatiquement ce réseau virtuel managé. Le réseau virtuel managé peut utiliser des points de terminaison privés pour les ressources Azure que votre hub utilise, comme stockage Azure, Azure Key Vault et Azure Container Registry.

Choisissez l’un des trois modes sortants pour le réseau virtuel managé :

Mode sortant	Description	Scénarios
Autoriser le trafic Internet sortant	Autorisez tout le trafic sortant Internet à partir du réseau virtuel managé.	Vous souhaitez un accès illimité aux ressources Machine Learning sur Internet, telles que des packages Python ou des modèles préentraînés.¹
Autoriser uniquement le trafic sortant approuvé	Utilisez des balises de service pour autoriser le trafic sortant.	* Vous souhaitez réduire le risque d’exfiltration des données, mais vous devez préparer tous les artefacts Machine Learning requis dans votre environnement privé. * Vous souhaitez configurer l’accès sortant à une liste approuvée de services, de balises de service ou de noms de domaine complets (FQDN).
Handicapés	Le trafic entrant et sortant n’est pas limité.	Vous souhaitez un trafic entrant et sortant public à partir du hub.

¹ Vous pouvez utiliser des règles de trafic sortant avec le mode autoriser uniquement le trafic sortant approuvé pour obtenir le même résultat que l’utilisation de l'autorisation du trafic Internet sortant. Les différences sont les suivantes :

Utilisez toujours des points de terminaison privés pour accéder aux ressources Azure.
Vous devez ajouter des règles pour chaque connexion sortante que vous devez autoriser.
L’ajout de règles sortantes de nom de domaine complet (FQDN) augmente vos coûts, car ce type de règle utilise Pare-feu Azure. Si vous utilisez des règles de trafic sortant FQDN, les frais de Pare-feu Azure sont inclus dans votre facturation. Pour plus d’informations, consultez Tarification.
Les règles par défaut pour autoriser uniquement le trafic sortant approuvé sont conçues pour réduire le risque d’exfiltration des données. Toutes les règles de trafic sortant que vous ajoutez peuvent augmenter votre risque.

Le réseau virtuel managé est préconfiguré avec les règles par défaut requises. Le hub configure également les connexions de point de terminaison privé à votre hub, le compte de stockage par défaut du hub, le registre de conteneurs et le coffre de clés lorsque ces ressources sont définies sur privée ou lorsque le mode d’isolation est défini pour autoriser uniquement le trafic sortant approuvé. Après avoir choisi un mode d’isolation, ajoutez les autres règles de trafic sortant dont vous avez besoin.

Le diagramme suivant montre un réseau virtuel managé configuré pour autoriser le trafic sortant Internet :

Le diagramme suivant montre un réseau virtuel managé configuré pour autoriser uniquement le trafic sortant approuvé :

Note

Dans cette configuration, le stockage, le coffre de clés et le registre de conteneurs que le hub utilise sont définis sur privé. Comme ils sont privés, le hub utilise des points de terminaison privés pour les atteindre.

Note

Pour accéder à un compte de stockage privé à partir d’un hub Foundry public, utilisez Foundry à partir du réseau virtuel de votre compte de stockage. L’accès à Foundry à partir du réseau virtuel garantit que vous pouvez effectuer des actions telles que le chargement de fichiers sur le compte de stockage privé. Le compte de stockage privé est indépendant des paramètres réseau de votre hub Foundry. Consultez Configurer les pare-feux et les réseaux virtuels de stockage Azure.

Liste des règles requises

Conseil

Ces règles sont automatiquement ajoutées au réseau virtuel managé.

Points de terminaison privés :

Lorsque vous définissez le mode d’isolation du réseau virtuel géré sur Allow internet outbound, Foundry crée automatiquement les règles de trafic sortant de point de terminaison privé requises à partir du réseau virtuel managé pour le hub et les ressources associées avec l’accès réseau public désactivé (Azure Key Vault, compte de stockage, Azure Container Registry et hub).
Lorsque vous définissez le mode d’isolation du réseau virtuel managé sur Allow only approved outbound, Foundry crée automatiquement les règles de trafic sortant de point de terminaison privé requises à partir du réseau virtuel managé pour le hub et les ressources associées, quel que soit le paramètre d’accès réseau public pour ces ressources (Azure Key Vault, compte de stockage, Azure Container Registry et hub).

Foundry nécessite un ensemble d’étiquettes de service pour la mise en réseau privée. Ne remplacez pas les balises de service requises. Le tableau suivant décrit chaque balise de service requise et son objectif dans Foundry.

Règle d’étiquette de service	Entrant ou sortant	Objectif
`AzureMachineLearning`	Entrée	Créez, mettez à jour et supprimez des instances de calcul et des clusters Foundry.
`AzureMachineLearning`	En sortie	Utilisation de services Azure Machine Learning. Python IntelliSense dans les notebooks utilise le port 18881. La création, la mise à jour et la suppression d’une instance de calcul Azure Machine Learning utilise le port 5831.
`AzureActiveDirectory`	Sortant	Authentification à l’aide de Microsoft Entra ID.
`BatchNodeManagement.region`	Sortants	Communication avec le serveur principal Azure Batch pour les instances de calcul et les clusters Foundry.
`AzureResourceManager`	Sortant	Créez des ressources Azure à l’aide de Foundry, Azure CLI et du SDK Microsoft Foundry.
`AzureFrontDoor.FirstParty`	Sortant	Accédez aux images Docker fournies par Microsoft.
`MicrosoftContainerRegistry`	Sortie	Accédez aux images Docker fournies par Microsoft. Configurez le routeur Foundry pour Azure Kubernetes Service.
`AzureMonitor`	Sortants	Envoyez des journaux et des métriques à Azure Monitor. Nécessaire uniquement si vous n'avez pas sécurisé Azure Monitor pour l'espace de travail. Cette règle de trafic sortant consigne également des informations pour la prise en charge des incidents.
`VirtualNetwork`	Sortant	Obligatoire lorsque des points de terminaison privés sont présents dans le réseau virtuel ou les réseaux virtuels appairés.

Liste des règles de trafic sortant spécifiques au scénario

Scénario : Accéder aux packages Machine Learning publics

Pour installer des packages Python pour l’entraînement et le déploiement, ajoutez des règles FQDN sortantes pour autoriser le trafic vers les noms d’hôtes suivants :

Note

Cette liste couvre les hôtes courants pour les ressources Python sur Internet. Si vous avez besoin d’accéder à un dépôt GitHub ou à un autre hôte, identifiez et ajoutez les hôtes requis pour votre scénario.

Nom d’hôte	Objectif
`anaconda.com` `*.anaconda.com`	Utilisé pour installer les packages par défaut.
`*.anaconda.org`	Permet d’obtenir des données de repo.
`pypi.org`	Répertorie les dépendances de l’index par défaut si les paramètres utilisateur ne le remplacent pas. Si vous remplacez l’index, autorisez `*.pythonhosted.org`également .
`pytorch.org` `*.pytorch.org`	Utilisé par certains exemples basés sur PyTorch.
`*.tensorflow.org`	Utilisé par certains exemples basés sur TensorFlow.

Scénario : Utiliser Visual Studio Code

Visual Studio Code s’appuie sur des hôtes et des ports spécifiques pour établir une connexion distante.

Hôtes

Utilisez ces hôtes pour installer Visual Studio Code packages et établir une connexion distante aux instances de calcul de votre projet.

Note

Cette liste n'inclut pas tous les hôtes requis pour toutes les ressources Visual Studio Code sur Internet. Par exemple, si vous avez besoin d’accéder à un référentiel GitHub ou à un autre hôte, vous devez identifier et ajouter les hôtes requis pour ce scénario. Pour obtenir la liste complète des noms d’hôtes, consultez Network Connections in Visual Studio Code.

Nom d’hôte	But
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Requis pour accéder à VS Code pour le web (vscode.dev).
`code.visualstudio.com`	Requis pour télécharger et installer VS Code Desktop. Cet hôte n’est pas requis pour le web VS Code.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Télécharge les composants VS Code Server sur l’instance de calcul pendant les scripts d’installation.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Requis pour télécharger et installer des extensions VS Code. Ces hôtes activent la connexion distante aux instances de calcul. Pour plus d’informations, consultez Prise en main des projets Foundry dans VS Code.
`vscode.download.prss.microsoft.com`	Sert de CDN pour le téléchargement de Visual Studio Code.

Ports

Autoriser le trafic réseau vers les ports 8704 à 8710. Le serveur VS Code sélectionne le premier port disponible dans cette plage.

Scénario : Utiliser des modèles Hugging Face

Pour utiliser les modèles Hugging Face avec le hub, ajoutez des règles FQDN sortantes pour autoriser le trafic vers les hôtes suivants :

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Scénario : Modèles vendus directement par Azure

Ces modèles installent des dépendances au moment de l’exécution. Ajoutez des règles de nom de domaine complet sortant pour autoriser le trafic vers les hôtes suivants :

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Points de terminaison privés

Azure services prennent actuellement en charge les points de terminaison privés pour les services suivants :

Centre de fonderie
Recherche Azure AI
Outils de fonderie
Gestion des API Azure
- Prend uniquement en charge le niveau Classic sans injection de réseau virtuel et le niveau V2 Standard avec l’intégration de réseau virtuel. Pour plus d’informations sur les réseaux virtuels Gestion des API, consultez Réseau virtuel Concepts.
Azure Registre de Conteneurs
Azure Cosmos DB (tous les types de sous-ressources)
Azure Data Factory
Azure Database pour MariaDB
Azure Database pour MySQL
Azure Database pour PostgreSQL serveur unique
Azure Database pour PostgreSQL - serveur flexible
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
registres Azure Machine Learning
Azure Cache pour Redis (système de mise en cache pour améliorer les performances des applications)
Azure SQL Server
stockage Azure (tous les types de sous-ressources)
Application Insights (via PrivateLinkScopes)

Lorsque vous créez un point de terminaison privé, vous spécifiez le type de ressource et la sous-ressource auxquels le point de terminaison se connecte. Certaines ressources ont plusieurs types et sous-ressources. Pour plus d’informations, consultez ce qu’est un point de terminaison privé.

Lorsque vous créez un point de terminaison privé pour les ressources de dépendance hub, telles que stockage Azure, Azure Container Registry et Azure Key Vault, la ressource peut se trouver dans un autre abonnement Azure. Toutefois, la ressource doit se trouver dans le même tenant que le hub.

Si vous sélectionnez l’une des ressources Azure répertoriées précédemment comme ressource cible, le service crée automatiquement un point de terminaison privé pour la connexion. Fournissez un ID cible valide pour le point de terminaison privé. Pour une connexion, l’ID cible peut être l’ID Azure Resource Manager d’une ressource parente. Incluez l’ID cible dans la cible de la connexion ou dans metadata.resourceid. Pour plus d’informations sur les connexions, consultez Comment ajouter une nouvelle connexion dans le portail Foundry.

Approbation des points de terminaison privés

Pour établir des connexions de point de terminaison privé dans des réseaux virtuels managés à l’aide de Foundry, l’identité managée de l’espace de travail (affectée par le système ou affectée par l’utilisateur) et l’identité utilisateur qui crée le point de terminaison privé doit avoir l’autorisation d’approuver les connexions de point de terminaison privé sur les ressources cibles. Auparavant, le service Foundry a accordé cette autorisation par le biais d’attributions de rôles automatiques. En raison des problèmes de sécurité liés aux attributions de rôles automatiques, à compter du 30 avril 2025, le service interrompt cette logique d’octroi automatique d’autorisations. Attribuez le rôle Azure AI Enterprise Network Connection Approbateur ou un rôle personnalisé avec les autorisations nécessaires de connexion de points de terminaison privés sur les types de ressources cibles, et accordez ce rôle à l'identité managée du hub Foundry pour que Foundry puisse approuver les connexions de points de terminaison privés aux ressources Azure cibles.

Voici la liste des types de ressources cibles de point de terminaison privé couverts par le rôle d'approbateur de connexion du réseau d'entreprise Azure AI :

Azure Application Gateway
Azure Monitor
Recherche Azure AI
Azure Event Hubs
Azure SQL Database
stockage Azure
espace de travail Azure Machine Learning
Registre Azure Machine Learning
Fonderie
Azure Key Vault
Azure Cosmos DB
Azure Database pour MySQL
Azure Database pour PostgreSQL
Outils de fonderie
Azure Cache pour Redis (système de mise en cache pour améliorer les performances des applications)
Azure Registre de Conteneurs
Gestion des API Azure

Pour créer des règles de trafic sortant de point de terminaison privé pour les types de ressources cibles non couverts par le rôle approbateur de connexion réseau d’entreprise IA Azure, tel que Azure Data Factory, Azure Databricks et Azure Function Apps, utilisez un rôle personnalisé et limité défini uniquement par les actions nécessaires pour approuver les connexions de point de terminaison privé sur les types de ressources cibles.

Pour créer des règles de trafic sortant de point de terminaison privé pour les ressources d’espace de travail par défaut, la création de l’espace de travail accorde les autorisations requises via les attributions de rôles. Vous n’avez donc pas besoin d’effectuer d’action supplémentaire.

Sélectionnez une version Pare-feu Azure pour autoriser uniquement le trafic sortant approuvé

Pare-feu Azure se déploie lorsque vous ajoutez une règle FQDN sortante dans le mode autoriser uniquement les connexions sortantes approuvées. Les frais d'Pare-feu Azure sont ajoutés à votre facture. Par défaut, une version Standard de Pare-feu Azure est créée. Ou sélectionnez la version de base . Modifiez la version du pare-feu à tout moment. Pour savoir quelle version répond à vos besoins, accédez à Choose la version Pare-feu Azure appropriée.

Important

Pare-feu Azure n'est pas configuré tant que vous n'avez pas ajouté de règle FQDN sortante. Pour plus d’informations sur la tarification, consultez Pare-feu Azure tarification et affichez les prix pour la version Standard.

Utilisez ces onglets pour voir comment sélectionner la version du pare-feu pour votre réseau virtuel managé.

portail Azure
Azure CLI
sdk Python

Après avoir sélectionné le mode autoriser uniquement les flux sortants approuvés, l’option permettant de sélectionner la version (SKU) d'Pare-feu Azure s’affiche. Sélectionnez Standard ou De base. Sélectionnez Enregistrer.

Pour définir la version du pare-feu à l’aide de Azure CLI, utilisez un fichier YAML et spécifiez firewall_sku. L’exemple suivant définit la référence SKU du pare-feu sur basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Pour définir la version du pare-feu à l’aide du SDK Python, définissez la propriété firewall_sku de l’objet ManagedNetwork. L’exemple suivant définit la référence SKU du pare-feu sur basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Références

Prix

La fonctionnalité de réseau virtuel managé hub est gratuite, mais vous payez les ressources suivantes que le réseau virtuel managé utilise :

Azure Private Link : les points de terminaison privés qui sécurisent la communication entre le réseau virtuel managé et les ressources Azure utilisent Azure Private Link. Pour connaître la tarification, consultez Azure Private Link tarification.
Règles de trafic sortant FQDN : Pare-feu Azure applique ces règles. Si vous utilisez des règles de FQDN sortantes, les frais d'Pare-feu Azure figurent sur votre facture. La version standard de Pare-feu Azure est utilisée par défaut. Pour sélectionner la version de base, consultez Select an Pare-feu Azure version. Pare-feu Azure est provisionné par hub.

Important

Pare-feu Azure n'est pas configuré tant que vous n'avez pas ajouté de règle FQDN sortante. Si vous n'utilisez pas de règles de nom de domaine complet, vous n'êtes pas facturé pour Pare-feu Azure. Pour connaître les tarifs, consultez Pare-feu Azure tarification.

Limitations

Foundry prend en charge l’isolation du réseau virtuel managé pour les ressources de calcul. Foundry ne prend pas en charge l’apport de votre propre réseau virtuel pour l’isolation du calcul. Ce scénario diffère de la Réseau virtuel Azure requise pour accéder à Foundry à partir d’un réseau local.
Après avoir activé l’isolation du réseau virtuel managé, vous ne pouvez pas la désactiver.
Le réseau virtuel managé utilise un point de terminaison privé pour se connecter aux ressources privées. Vous ne pouvez pas utiliser un point de terminaison privé et un point de terminaison de service sur la même ressource Azure, comme un compte de stockage. Utilisez des points de terminaison privés pour tous les scénarios.
Lorsque vous supprimez Foundry, le service supprime le réseau virtuel managé.
Avec autoriser uniquement le trafic sortant approuvé, Foundry active automatiquement la protection contre l’exfiltration des données. Si vous ajoutez d'autres règles de trafic sortant, telles que les noms de domaine complets, Microsoft ne pouvez pas garantir la protection contre l'exfiltration des données à ces destinations.
Les règles sortantes FQDN augmentent le coût du réseau virtuel managé, car elles utilisent Pare-feu Azure. Pour plus d’informations, consultez Tarification.
Les règles de trafic sortant FQDN ne supportent que les ports 80 et 443.
Pour désactiver l’adresse IP publique d’une instance de calcul, ajoutez un point de terminaison privé à un hub.
Pour une instance de calcul dans un réseau managé, exécutez-la az ml compute connect-ssh pour vous connecter via SSH.
Si votre réseau managé est configuré pour autoriser uniquement le trafic sortant approuvé, vous ne pouvez pas utiliser de règle FQDN pour accéder aux comptes stockage Azure. Utilisez plutôt un point de terminaison privé.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-01

Comment configurer un réseau managé pour Microsoft hubs Foundry (classique)

Conditions préalables

Configurer un réseau virtuel managé pour autoriser le trafic sortant Internet

Configurer un réseau virtuel managé pour autoriser uniquement le trafic sortant approuvé

Provisionner manuellement un réseau virtuel managé

Gérer les règles de trafic sortant

Architecture d’isolation réseau et modes d’isolation

Liste des règles requises

Liste des règles de trafic sortant spécifiques au scénario

Scénario : Accéder aux packages Machine Learning publics

Scénario : Utiliser Visual Studio Code

Hôtes

Ports

Scénario : Utiliser des modèles Hugging Face

Scénario : Modèles vendus directement par Azure

Points de terminaison privés

Approbation des points de terminaison privés

Sélectionnez une version Pare-feu Azure pour autoriser uniquement le trafic sortant approuvé

Prix

Limitations

Contenu connexe

Commentaires

Ressources supplémentaires