Configurer un réseau virtuel managé pour Microsoft projets Foundry

Cet article explique comment configurer un réseau virtuel managé pour votre ressource Foundry. Le réseau virtuel managé simplifie et automatise l’isolation du réseau pour votre ressource Foundry en approvisionnant un réseau virtuel géré par Microsoft qui sécurise le calcul sous-jacent du service Agents dans vos projets Foundry. Lorsqu’il est activé, le trafic réseau sortant des agents est sécurisé par cette limite de réseau managé et le mode d’isolation que vous choisissez régit tout le trafic. Vous pouvez créer les points de terminaison privés requis pour les services de Azure dépendants et appliquer les règles de réseau nécessaires, ce qui vous donne une valeur par défaut sécurisée sans avoir à créer ou à gérer votre propre réseau virtuel. Ce réseau managé limite ce que vos agents peuvent accéder, ce qui permet d’empêcher l’exfiltration des données tout en autorisant la connectivité à des ressources Azure approuvées.

Le réseau virtuel managé prend désormais en charge les services Prompt et Hosted Agent avec la nouvelle API Réponses et dans le nouveau portail Foundry. Les régions actuellement prises en charge pour le réseau virtuel géré avec le nouveau service Agent et le nouveau portail Foundry sont les suivantes : USA Est, USA Est2, Japon Est, France Centre, ÉMIRATS ARABES UNIS Nord, Brésil Sud, Espagne Centre, Allemagne Centre Ouest, Italie Nord, USA Centre Sud, Australie Est, Suède Centre, Canada Est, Afrique du Sud Nord, USA Ouest, USA Ouest 3, Inde Sud et Royaume-Uni Sud. Prise en charge supplémentaire de la région à suivre bientôt.

Avant de continuer, tenez compte des limitations de l’offre et passez en revue les conditions préalables.

Comprendre les modes d’isolation

Lorsque vous activez l’isolation du réseau virtuel géré, vous créez un réseau virtuel géré pour le compte Foundry, qui est créé dans l'environnement locataire de Microsoft. Tout nouvel agent que vous générez dans vos projets utilise automatiquement le réseau virtuel managé pour le trafic sortant. Le réseau virtuel managé peut utiliser des points de terminaison privés pour Azure ressources que vos agents utilisent, telles que stockage Azure, Azure Cosmos DB et Recherche Azure AI.

Note

Les diagrammes de cet article représentent uniquement la connectivité logique. Les points de terminaison privés managés dans un réseau virtuel managé Foundry ne créent pas d’interfaces réseau visibles par le client. Contrairement aux points de terminaison privés de réseau virtuel standard qui créent une carte réseau avec une adresse IP privée dans votre sous-réseau, les points de terminaison privés managés sont entièrement gérés par Microsoft et extraits des ressources de réseau virtuel du client. Vous ne verrez pas ces points de terminaison ou cartes réseau associées dans votre abonnement.

Deux modes de configuration différents existent pour le trafic sortant à partir du réseau virtuel managé :

Mode sortant	Description	Scénarios
Autoriser le trafic sortant Internet	Autorise tout le trafic sortant vers Internet.	L’accès sortant illimité est acceptable ; connectivité étendue requise.
Autoriser uniquement le trafic sortant approuvé	Limite le trafic sortant à l’aide de balises de service, de points de terminaison privés et de règles de nom de domaine complet facultatives (ports 80, 443) appliquées via Pare-feu Azure.	Réduire le risque d’exfiltration des données ; nécessite une liste organisée de destinations.
Handicapés	L’isolation du réseau virtuel managé n’est pas activée, sauf si un réseau virtuel personnalisé est utilisé.	Vous avez besoin d’un trafic sortant public ou d’un plan pour fournir votre propre réseau virtuel.

Le diagramme d’architecture suivant montre un réseau managé en allow internet outbound mode.

Le diagramme d’architecture suivant montre un réseau managé en allow only approved outbound mode.

Après avoir configuré un réseau virtuel managé Foundry pour autoriser le trafic sortant Internet, vous ne pouvez pas reconfigurer la ressource à désactiver. De même, après avoir configuré une ressource de réseau virtuel managé pour autoriser uniquement le trafic sortant approuvé, vous ne pouvez pas reconfigurer la ressource pour autoriser le trafic sortant Internet.

Conditions préalables

Avant de suivre les étapes décrites dans cet article, vérifiez que vous disposez des conditions préalables suivantes :

Un abonnement Azure. Si vous n'avez pas d'abonnement Azure, créez un compte gratuit avant de commencer.
Azure CLI installé. Obligatoire pour créer des règles de trafic sortant à partir du réseau managé.
Les Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search et Microsoft.ContainerService fournisseurs de ressources inscrits pour votre abonnement Azure. Pour plus d’informations, consultez Inscrire le fournisseur de ressources.
Autorisations pour déployer une ressource réseau managée. Azure AI Account Owner sur l'étendue des ressources Foundry est nécessaire pour la création d'un compte et d'un projet Foundry. Owner ou Role Based Access Administrator est nécessaire pour affecter RBAC aux ressources requises. Azure AI User sur l’étendue du projet est nécessaire pour créer et générer des agents.
Quota suffisant pour toutes les ressources de votre région cible Azure. Si aucun paramètre n’est passé, ce modèle crée une ressource Foundry, un projet Foundry, Azure Cosmos DB pour NoSQL, Recherche Azure AI et stockage Azure compte.

Limitations

Tenez compte des limitations suivantes avant d’activer l’isolation réseau managée pour votre ressource Foundry.

Vous pouvez déployer une ressource Foundry de réseau managé de trois façons.
modèle Bicep dans le dossier 18-managed-virtual-network dans les échantillons de fonderie
Modèle Terraform dans le dossier 18-managed-virtual-network dans foundry-samples
az rest et commandes Azure CLI az cognitiveservices. Plus d’informations sur Azure CLI support dans cet article ci-dessous.
Il n’existe aucune prise en charge de l’interface utilisateur Portail Azure pour créer le réseau managé. Le soutien sera bientôt disponible.
Une fois votre ressource Foundry créée, vérifiez que vous avez affecté l'identité managée de la ressource Foundry au rôle intégré de Azure AI Enterprise Network Connection Approver (ID de rôle : b556d68e-0be0-4f35-a333-ad7ee1ce17ea) pour vous assurer que le point de terminaison privé requis à la ressource Foundry est créé et approuvé.
Vous ne pouvez pas désactiver l’isolation du réseau virtuel managé après l’avoir activée. Il n’existe aucun chemin de mise à niveau de la configuration de réseau virtuel personnalisé vers un réseau virtuel managé. Un redéploiement de ressources Foundry est nécessaire. La suppression de votre ressource Foundry supprime le réseau virtuel managé.
La prise en charge du réseau virtuel géré se trouve uniquement dans les régions suivantes : USA Est, USA Est2, Japon Est, France Centre, Émirats Arabes Unis Nord, Brésil Sud, Espagne Centre, Allemagne Centre Ouest, Italie Nord, USA Centre Sud, Australie Est, Suède Centre, Canada Est, Afrique du Sud Nord, USA Ouest, USA Ouest 3, Inde Sud et Royaume-Uni Sud. Prise en charge supplémentaire de la région à suivre bientôt.
Si vous avez besoin d’un accès privé aux ressources locales pour votre ressource Foundry, utilisez Application Gateway pour configurer l’accès local. La même configuration avec un point de terminaison privé pour Application Gateway et la configuration des pools principaux est prise en charge. Le trafic L4 et L7 sont désormais pris en charge avec Application Gateway en disponibilité générale.
Si vous créez des règles de trafic sortant pour un FQDN lorsque le réseau virtuel managé se trouve en mode Autoriser uniquement le trafic sortant approuvé, un pare-feu Azure managé est créé, ce qui entraîne des coûts de pare-feu associés. Pour plus d’informations sur la tarification, consultez Tarification. Les règles de trafic sortant du nom de domaine complet prennent uniquement en charge les ports 80 et 443.
Vous ne pouvez pas apporter votre propre Pare-feu Azure au réseau virtuel managé. Un pare-feu managé est automatiquement créé pour votre compte Foundry lorsque vous utilisez le mode Autoriser uniquement le mode sortant approuvé .
Vous ne pouvez pas réutiliser le même pare-feu managé pour plusieurs comptes Foundry. Chaque compte Foundry crée son propre pare-feu managé lorsque vous utilisez le mode Autoriser uniquement le mode sortant approuvé .
Si vous créez des projets au sein de votre ressource Foundry avec un réseau virtuel managé activé, vous devez recréer l’hôte de capacité de projet, ainsi que pour vous assurer que le projet utilise les ressources BYO et le réseau managé. Vous trouverez d’autres instructions dans le fichier README pour la configuration du réseau managé dans le référentiel foundry-samples.

Déployer le mode d’isolation du réseau virtuel managé

Pour commencer à déployer une ressource Foundry de réseau virtuel managé, suivez les étapes ci-dessous.

Azure CLI
Bicep / Terraform

Étape 1 : Créer le compte AI Services avec des injections de réseau

Le compte doit être créé avec customSubDomainName, allowProjectManagementet networkInjections défini au moment de la création. Ces propriétés ne peuvent pas être ajoutées une fois le compte créé.

Important

Vous devez utiliser az rest commandes pour la création de compte avec des injections de réseau, car le Azure CLI ne prend pas encore en charge la création d’une ressource Foundry avec injection de réseau.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2025-10-01-preview" \
  --body '{
    "location": "{region}",
    "kind": "AIServices",
    "sku": { "name": "S0" },
    "identity": { "type": "SystemAssigned" },
    "properties": {
      "allowProjectManagement": true,
      "customSubDomainName": "{account-name}",
      "networkInjections": [
        {
          "scenario": "agent",
          "subnetArmId": "",
          "useMicrosoftManagedNetwork": true
        }
      ],
      "disableLocalAuth": false
    }
  }' \
  --headers "Content-Type=application/json"

Attendez d’atteindre provisioningStateSucceeded avant de continuer :

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2025-10-01-preview" \
  --query "properties.provisioningState" -o tsv

Étape 2 : Obtenir l’ID du principal d’identité managée

Récupérez l'ID principal de l'identité gérée attribuée par le système à partir du compte :

az cognitiveservices account show \
  --resource-group {resource-group} \
  --name {account-name} \
  --query identity.principalId -o tsv

Étape 3 : Attribuer le rôle Approbateur de connexion réseau

Affectez le rôle Approbateur de connexion réseau d'entreprise Azure AI (ID de rôle : b556d68e-0be0-4f35-a333-ad7ee1ce17ea) à l'identité managée du compte Foundry. Cela permet aux points de terminaison privés de réseau managé d’être approuvés automatiquement.

az role assignment create \
  --assignee-object-id {principal-id} \
  --assignee-principal-type ServicePrincipal \
  --role "b556d68e-0be0-4f35-a333-ad7ee1ce17ea" \
  --scope /subscriptions/{subscription-id}/resourceGroups/{resource-group}

Note

Si vos ressources cibles (Stockage, Cosmos DB, Recherche IA) se trouvent dans un autre groupe de ressources, étendez l’attribution de rôle à ce groupe de ressources ou à l’abonnement.

Étape 4 : Créer le réseau managé

Créez la ressource enfant du réseau managé sur le compte. Cela établit le mode d’isolation réseau et provisionne l’infrastructure réseau.

Pour créer un réseau managé avec Autoriser le trafic sortant Internet :

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_internet_outbound

Pour créer un réseau managé avec Autoriser uniquement le trafic sortant approuvé :

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_only_approved_outbound \
  --firewall-sku Standard

Vous pouvez déployer à l’aide des modèles Bicep ou Terraform dans le référentiel foundry-samples :

Bicep : 18-managed-virtual-network
Terraform : 18-managed-virtual-network

Pour Bicep :

Clonez ou téléchargez le foundry-samples référentiel.
Ouvrez le managed-network.bicep modèle dans le dossier modules-network-secured.
Définissez le paramètre IsolationMode du mode d’isolation en fonction du mode d’isolation sélectionné : AllowInternetOutbound ou AllowOnlyApprovedOutbound.
Dans le fichier README.md, sélectionnez le bouton Deploy to Azure . Cette action ouvre le modèle dans le portail Azure pour un déploiement rapide.
Terminez tous vos paramètres avant de déployer, comme la région, le groupe de ressources, le nom du réseau virtuel et d’autres. Si vous apportez votre propre Cosmos DB, Stockage ou Recherche, assurez-vous que les ID de ressource sont également inclus.
Enfin, déployez le modèle. Le déploiement de modèle doit prendre environ 30 minutes.

Pour Terraform :

Clonez ou téléchargez le foundry-samples référentiel.
Accédez au infrastructure/infrastructure-setup-terraform/18-managed-virtual-network dossier.
Configurez les variables requises pour votre environnement (région, groupe de ressources, mode d’isolation et id de ressource existant).
Exécutez terraform init, terraform plan et terraform apply pour déployer.

Pour plus d’informations sur les paramètres requis pour le déploiement de réseau virtuel managé, consultez Microsoft. CognitiveServices/accounts/managedNetworks.

Vérifier le déploiement de réseau virtuel managé

Une fois le déploiement terminé, vérifiez que le réseau virtuel managé est configuré correctement.

Azure CLI
Bicep

Vérifiez que la ressource Foundry existe et que le réseau managé est activé :
```
az cognitiveservices account managed-network show \
  --resource-group {resource-group} \
  --name {account-name}
```
La réponse doit montrer le isolationMode réglé sur le mode choisi (AllowInternetOutbound ou AllowOnlyApprovedOutbound).

Énumérez toutes les règles sortantes et leur état :

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Afficher une règle de trafic sortant spécifique :

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Testez la connectivité de l’agent en créant et en exécutant un agent de base dans votre projet Foundry. Si l’agent se termine correctement, le réseau managé fonctionne correctement.

Vérifiez que la ressource Foundry existe et que le réseau managé est activé :

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2025-10-01-preview" \
  --query "properties.managedNetwork"

La réponse doit afficher le isolationMode réglé sur le mode choisi (AllowInternetOutbound ou AllowOnlyApprovedOutbound).

Répertoriez les points de terminaison privés managés pour confirmer qu’ils ont été créés :

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2025-10-01-preview" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

Testez la connectivité de l’agent en créant et en exécutant un agent de base dans votre projet Foundry. Si l’agent se termine correctement, le réseau managé fonctionne correctement.

Gérer les règles de trafic sortant

Après le déploiement, vous pouvez ajouter, mettre à jour, répertorier et supprimer des règles de trafic sortant pour contrôler les destinations que votre réseau managé peut atteindre. Les types de règles sortantes suivants sont pris en charge :

Type	Description	Exemple de destination
`fqdn`	Autorise le trafic sortant vers un nom de domaine pleinement qualifié.	`"*.openai.azure.com"`
`privateendpoint`	Autorise le trafic sortant via une règle de point de terminaison privé.	Configuration du point de terminaison privé JSON
`servicetag`	Autorise le trafic sortant vers une balise de service, un protocole et une plage de ports Azure.	`'{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'`

Azure CLI
Bicep

Créer ou mettre à jour une règle de trafic sortant FQDN

Utilisez une règle de nom de domaine complet pour autoriser le trafic vers un nom de domaine ou un domaine à caractère générique.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type fqdn \
  --destination "*.openai.azure.com"

Créer ou mettre à jour une règle de sortie de balise de service

Utilisez une règle d’étiquette de service pour autoriser le trafic vers une étiquette de service Azure sur un protocole et une plage de ports spécifiques.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type servicetag \
  --destination '{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'

Créer ou mettre à jour une règle sortante pour un point de terminaison privé

Utilisez une règle de point de terminaison privé pour autoriser le trafic via un point de terminaison privé vers une ressource Azure.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type privateendpoint \
  --destination '{"serviceResourceId":"/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Storage/storageAccounts/{storage-name}","subresourceTarget":"blob"}'

Les cibles courantes de sous-ressource incluent blob pour stockage Azure, searchService pour Recherche Azure AI, Sql pour Azure Cosmos DB et vault pour Azure Key Vault.

Répertorier les règles de trafic sortant

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Afficher une règle de trafic sortant

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Créer ou mettre à jour en bloc des règles de trafic sortant

Permet bulk-set de créer ou de mettre à jour plusieurs règles sortantes à partir d’un fichier YAML ou JSON.

az cognitiveservices account managed-network outbound-rule bulk-set \
  --resource-group {resource-group} \
  --name {account-name} \
  --file rules.yaml

Supprimer une règle de trafic sortant

az cognitiveservices account managed-network outbound-rule remove \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Pour mettre à jour des règles de trafic sortant à l’aide de l’API REST ARM, utilisez la az rest commande. L'exemple suivant crée une règle de sortie vers un point de terminaison privé pour une ressource Azure Cosmos DB :

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2025-10-01-preview" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

Remplacez les espaces réservés par des valeurs pour votre environnement. Pour les autres types de ressources, modifiez les valeurs serviceResourceId et subresourceTarget en conséquence. Les cibles courantes de sous-ressource incluent blob pour stockage Azure, searchService pour Recherche Azure AI et vault pour Azure Key Vault.

Pour plus d’informations, suivez les instructions du fichier CLI des règles de trafic sortant dans le référentiel foundry-samples.

Pour plus d’informations sur les paramètres requis pour les règles de trafic sortant de réseau virtuel managé, consultez Microsoft. CognitiveServices/accounts/managedNetworks/outboundRules.

Sélectionner Pare-feu Azure version

Pour le réseau virtuel managé, un Pare-feu Azure est provisionné automatiquement lorsque vous ajoutez une règle FQDN sortante en mode Autoriser uniquement le mode sortant approuvé.

La référence SKU par défaut est Standard pour le pare-feu. Vous pouvez sélectionner la référence SKU de base à la place pour réduire les coûts si les fonctionnalités avancées ne sont pas requises. Pour plus d’informations sur la tarification, consultez Tarification. Une fois que vous avez sélectionné une référence SKU de pare-feu au moment du déploiement, vous ne pouvez pas la modifier après le déploiement. Étant donné qu’il s’agit d’un pare-feu managé, le pare-feu n’est pas dans votre locataire ou dans votre contrôle. Le seul paramètre que vous pouvez contrôler est la référence SKU du pare-feu.

Points de terminaison privés

Lorsque vous activez un réseau virtuel managé, vous pouvez créer des points de terminaison privés managés afin que les agents puissent atteindre en toute sécurité les ressources requises Azure sans utiliser l’Internet public. Ces points de terminaison privés fournissent une connexion ip privée isolée du réseau managé aux services tels que Le stockage, la recherche IA et d’autres dépendances utilisées dans vos projets Foundry. Contrairement aux réseaux virtuels gérés par le client, les points de terminaison privés gérés dans Foundry n’exposent pas une interface réseau ou une configuration de sous-réseau au client. La connectivité ip privée est entièrement gérée par Microsoft et n’est pas représentée en tant que carte réseau dans l’abonnement du client.

Les ressources suivantes prennent en charge les points de terminaison privés à partir du réseau managé. Vous devez utiliser l’interface CLI pour créer des points de terminaison privés.

Microsoft Foundry (Services d'IA)
Azure Application Gateway (se connecte à vos ressources locales à l’aide du trafic L4 ou L7)
Gestion des API Azure (prend uniquement en charge le niveau Classique sans injection de réseau virtuel et le niveau V2 Standard avec intégration de réseau virtuel)
Recherche Azure AI
Azure Container Registry
Azure Cosmos DB
Azure Data Factory
Azure Base de Données pour MariaDB
Base de données Azure pour MySQL
Azure Database pour PostgreSQL serveur individuel
Azure Database pour des serveurs flexibles PostgreSQL
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Cache pour Redis
Azure SQL Server
stockage Azure
Azure Application Insights (via Azure Monitor Private Link Scope)

Lorsque vous créez un point de terminaison privé managé à partir du réseau virtuel managé Foundry vers une ressource cible appartenant au client, l’identité managée de la ressource Foundry doit disposer des autorisations appropriées sur cette ressource cible pour créer et approuver des connexions de point de terminaison privé. Cette exigence garantit que Foundry est explicitement autorisé à établir une liaison privée sécurisée vers la ressource.

Pour simplifier cette exigence, affectez le rôle Azure AI Enterprise Network Connection Approver (ID de rôle : b556d68e-0be0-4f35-a333-ad7ee1ce17ea) à l'identité managée du compte Foundry. Ce rôle inclut les autorisations nécessaires pour les services Azure les plus couramment utilisés et fournit généralement un accès suffisant à Foundry pour créer et approuver des points de terminaison privés en votre nom. Une fois que vous avez approuvé la connexion, Foundry gère entièrement le point de terminaison privé et ne nécessite aucune configuration client supplémentaire.

Règles de trafic sortant requises

Dans le mode « Autoriser uniquement les trafics sortants approuvés » du réseau virtuel géré, quelques règles de trafic sortant requises sont créées pour des fonctionnalités telles que le service « Agent ». il inclut les éléments suivants :

Point de terminaison privé vers votre ressource Microsoft Foundry
Point de terminaison privé vers votre ressource Cosmos DB
Point de terminaison privé vers votre compte de stockage
Point de terminaison privé vers votre ressource de recherche IA
ServiceTag vers AzureActiveDirectory

Règles de trafic sortant par scénario

Si vous déployez Foundry avec un réseau virtuel managé en mode Autoriser uniquement le trafic sortant approuvé, vous devrez peut-être ajouter les règles de nom de domaine complet sortant suivantes pour vous assurer que le trafic de sortie est autorisé. Vous trouverez ci-dessous la liste des noms de domaine complets approuvés (FQDN) pour créer des règles de trafic sortant en fonction du scénario ou de la fonctionnalité dans Foundry.

Scénario	FQDN (Noms de domaine complets)	Description
Agents	`.identity.azure.net`, `login.microsoftonline.com`, `.login.microsoftonline.com`, `*.login.microsoft.com`, `mcr.microsoft.com` ou balise de service AAD	Obligatoire pour la délégation de l'application de conteneur Azure pour le service Agent. Inclut Microsoft Container Registry pour les extractions d’images conteneur.
Évaluations et Traces avec une ressource Application Insights	`.blob.core.windows.net`, `settings.sdk.monitor.azure.com`, `.livediagnostics.monitor.azure.com`, `*.in.applicationinsights.azure.com`	Utilisé pour le catalogue des évaluateurs et pour l’envoi de résultats à la ressource Application Insights liée.
Affinage	`raw.githubusercontent.com`	Utilisé pour l’optimisation, lorsqu’un utilisateur sélectionne un exemple de jeu de données organisé dans le portail Foundry.

Prix

La fonctionnalité de réseau virtuel géré par Foundry est gratuite. Toutefois, vous êtes facturé pour les ressources suivantes que le réseau virtuel managé utilise :

Azure Private Link - La solution s’appuie sur Azure Private Link pour les points de terminaison privés qui sécurisent les communications entre le réseau virtuel managé et les ressources Azure. Pour plus d’informations sur la tarification, consultez Azure Private Link tarification.
Règles de trafic sortant FQDN : vous implémentez des règles de trafic sortant FQDN à l’aide de Pare-feu Azure. Si vous utilisez des règles de nom de domaine complet sortant, vous ajoutez des frais pour Pare-feu Azure à votre facturation. Une version standard de Pare-feu Azure est utilisée par défaut. Vous pouvez sélectionner la version de base. Le pare-feu n’est pas créé tant que vous n’avez pas ajouté de règle de nom de domaine complet sortant.

Pour plus d’informations sur la tarification Azure, consultez Private Link Tarification et Pare-feu Azure Tarification.

Comparer le réseau managé et personnalisé (BYO)

Sélectionnez le mode d’isolation réseau sortant approprié pour vous en fonction des besoins et limitations de votre réseau dans votre entreprise.

Aspect	Réseau managé	Réseau personnalisé (BYO)
Avantages	Microsoft gère la plage de sous-réseaux, la sélection IP, la délégation.	Contrôle total : configurez un pare-feu personnalisé, définissez des itinéraires utilisateurs, organisez le peering réseau, déléguez des sous-réseaux.
Limitations	Impossible d’apporter votre propre pare-feu pour autoriser uniquement le trafic sortant approuvé. Nécessite Application Gateway pour une prise en charge sécurisée du trafic local (L7 et L4 par Application Gateway). Pas encore de journalisation du trafic sortant disponible.	Configuration plus complexe, telle que la délégation de sous-réseau à Azure Container Apps. Nécessite la création correcte de CapHost. Les plages d'adresses IP privées de classe A, B et C sont requises, les adresses IP publiques ou CGNAT ne sont pas autorisées. Nécessite un sous-réseau d'au moins /27 pour la délégation de l’agent.

Pour plus d’informations sur la configuration de l’injection de réseau virtuel pour les agents et les limitations, consultez Configurer un réseau virtuel personnalisé pour les agents.

Nettoyer les ressources

Pour nettoyer votre ressource Foundry de réseau virtuel managé, supprimez la ressource Foundry. Cette action supprime également le réseau virtuel managé.

Dépannage

Échec lors de la création de CapHost
- Supprimez la ressource CapHost défectueuse et redéployez le modèle.
Règle de nom de domaine complet non appliquée
- Vérifiez que la référence SKU du pare-feu est configurée et que les ports sont limités à 80 ou 443.
Conflits de point de terminaison privé
- Supprimez une configuration de point de terminaison de service et utilisez uniquement un point de terminaison privé.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-05-08