Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare un endpoint privato per proteggere la comunicazione. Questo articolo descrive come stabilire una connessione privata all'account Foundry e ai progetti usando un endpoint privato.
Pianificare l'isolamento della rete in Foundry
Che cos'è l'isolamento della rete?
L'isolamento della rete è una strategia di sicurezza che implica la divisione di una rete in segmenti o subnet separati, ognuno funziona come una rete di piccole dimensioni. Questo approccio consente di migliorare la sicurezza e le prestazioni all'interno di una struttura di rete più ampia. Le principali aziende richiedono l'isolamento della rete per proteggere le risorse da accessi non autorizzati, manomissioni o perdita di dati e modelli. Devono inoltre rispettare le normative e gli standard che si applicano al proprio settore e dominio.
Prendere in considerazione l'isolamento della rete in tre aree all'interno di Microsoft Foundry
Prendere in considerazione l'isolamento della rete nelle tre aree seguenti all'interno di Microsoft Foundry:
- Inbound access alla risorsa Microsoft Foundry. Ad esempio, per consentire ai data scientist di accedere in modo sicuro alla risorsa.
- Accesso in uscita dalla risorsa Microsoft Foundry. Ad esempio, per accedere ad altri servizi Azure.
- Accesso in uscita dal client Microsoft Foundry Agent per raggiungere le dipendenze necessarie, ad esempio origini dati private, servizi PaaS di Azure o endpoint Internet approvati, mantenendo tutto il traffico entro i limiti delle reti definite dal cliente tramite l'inserimento della rete virtuale.
Il diagramma seguente suddivide le comunicazioni in ingresso e in uscita.
Accesso in ingresso
Impostare l'accesso in ingresso a un progetto Foundry protetto Microsoft usando il flag PNA (Public Network Access). L'impostazione del flag PNA determina se il progetto richiede un endpoint privato per l'accesso. Un'impostazione aggiuntiva tra pubblico e privato è Abilitata da indirizzi IP selezionati. Questa impostazione consente l'accesso al progetto dagli indirizzi IP specificati.
Accesso in uscita
L'isolamento di rete di Microsoft Foundry si estende sia ai componenti PaaS (Platform as a Service) sia ai componenti dell'infrastruttura gestita dalla piattaforma. Le risorse PaaS, ad esempio Microsoft progetto Foundry, archiviazione, Key Vault, registro contenitori e monitoraggio, sono isolate usando collegamento privato. Anziché che i clienti gestiscano le risorse di calcolo IaaS per il training o gli endpoint online, Foundry utilizza l'iniezione nella rete virtuale (VNet) del client Agent. Il client Agent viene inserito in una subnet di rete virtuale gestita dal cliente, consentendo la comunicazione in uscita alle risorse PaaS Azure su endpoint privati e collegamento privato mantenendo tutto il traffico entro i limiti di rete definiti dal cliente.
Nel modello di rete privata del servizio agent i clienti non gestiscono risorse di "calcolo" separate in Foundry. Al contrario, il client agent opera all'interno della subnet dell'agente delegato e la piattaforma fornisce l'inserimento di contenitori per l'integrazione con la rete virtuale del cliente.
Prerequisiti
Prima di iniziare, assicurarsi di avere i prerequisiti seguenti configurati.
- Una rete virtuale Azure esistente.
- Azure autorizzazioni per creare e approvare connessioni endpoint private:
- Nella rete virtuale: Collaboratore della rete (o equivalente) per creare l'endpoint privato.
- Nella risorsa del progetto Foundry: Collaboratore (o Proprietario) per creare connessioni endpoint private. Se non si dispone delle autorizzazioni di approvazione, la connessione all'endpoint privato rimane in stato In sospeso fino a quando il proprietario della risorsa non lo approva.
- Se si gestiscono zone DNS private: Collaboratore zona DNS privata (o equivalente) per la zona DNS privata che si collega alla rete virtuale.
Importante
le configurazioni Standard richiedono l'uso delle risorse BYO (Bring Your Own) in modo che tutti i dati dell'agente rimangano nel tenant Azure.
Le risorse BYO includono: Archiviazione di Azure, Azure AI Search e Azure Cosmos DB.
Tutti i dati elaborati dal servizio Foundry Agent vengono archiviati automaticamente inattivi in queste risorse, consentendo di soddisfare i requisiti di conformità e gli standard di sicurezza aziendali.
Configurare la procedura dettagliata per l'isolamento della rete in ingresso
Questa sezione illustra come creare una nuova risorsa Foundry con isolamento di rete in ingresso abilitato. L'accesso alla rete pubblica può essere impostato su Disabilitato con un endpoint privato (collegamento privato) abilitato o impostato su Reti selezionate per concedere indirizzi IP e reti virtuali specifici la possibilità di accedere a Foundry in modo sicuro.
Creare una nuova risorsa e un nuovo progetto con un endpoint privato
Quando si crea una nuova risorsa Foundry, seguire questa procedura:
Nel portale Azure cercare Foundry e selezionare Crea una risorsa.
Dopo aver configurato la scheda Informazioni di base , selezionare la scheda Rete e quindi selezionare l'opzione Disabilitata per l'accesso pubblico.
Nella sezione Endpoint privato selezionare + Aggiungi endpoint privato.
Quando si passano i moduli per creare un endpoint privato, assicurarsi di:
- In Informazioni di base selezionare la stessa area della rete virtuale.
- Nel modulo Rete virtuale selezionare il virtual network e la subnet a cui connettersi.
Nota
Nell'interfaccia utente del portale la destinazione a cui si crea l'endpoint privato deve essere etichettata come "account". Selezionare la risorsa Foundry quando richiesto.
Continuare con i moduli per creare il progetto. Quando si raggiunge la scheda Rivedi e crea , esaminare le impostazioni e selezionare Crea per creare il progetto.
Aggiungere un endpoint privato a una risorsa esistente
Se si dispone di una risorsa e di un progetto Foundry esistenti e si vuole aggiungere l'isolamento di rete:
Nel portale Azure selezionare la risorsa Foundry.
Dal lato sinistro della pagina selezionare Gestione risorse, Rete e quindi selezionare la scheda Connessioni endpoint privato . Selezionare + Endpoint privato.
Quando si passano i moduli per creare un endpoint privato, assicurarsi di:
- In Informazioni di base selezionare la stessa area della rete virtuale.
- Nel modulo Rete virtuale selezionare il virtual network e la subnet a cui connettersi.
Dopo aver popolato i moduli con tutte le altre configurazioni di rete necessarie, usare la scheda Rivedi e crea per esaminare le impostazioni e selezionare Crea per creare l'endpoint privato.
Suggerimento
Dopo aver creato l'endpoint privato, passare alla sezione Configurazione DNS per garantire la risoluzione corretta dei nomi.
Configurazione DNS
I client su una rete virtuale che utilizzano l'endpoint privato impiegano la stessa stringa di connessione per la risorsa Foundry e i progetti come i client che si connettono all'endpoint pubblico. La risoluzione DNS instrada automaticamente le connessioni dalla rete virtuale alla risorsa Foundry e ai progetti tramite un collegamento privato.
Applicare le modifiche DNS per gli endpoint privati
Quando si crea un endpoint privato, Azure aggiorna il record di risorse CNAME DNS per la risorsa Foundry a un alias in un sottodominio con il prefisso privatelink. Per impostazione predefinita, Azure crea anche una zona DNS privata che corrisponde al sottodominio privatelink, con i record di risorse DNS A per gli endpoint privati. Per altre informazioni, vedere che è Azure DNS privato.
Quando si tenta di risolvere l'URL dell'endpoint dall'esterno della rete virtuale utilizzando l'endpoint privato, si ottiene l'endpoint pubblico della risorsa Foundry. Quando lo si risolve dalla rete virtuale che ospita l'endpoint privato, viene risolto nell'indirizzo IP privato dell'endpoint privato.
Questo approccio consente l'accesso alla risorsa Foundry usando la stessa stringa di connessione per i client nella rete virtuale che ospita gli endpoint privati e i client all'esterno della rete virtuale.
Se si usa un server DNS personalizzato nella rete, i client devono essere in grado di risolvere il nome di dominio completo (FQDN) per l'endpoint della risorsa Foundry nell'indirizzo IP dell'endpoint privato. Configurare il server DNS per delegare il sottodominio di collegamento privato alla zona DNS privata per la rete virtuale.
Suggerimento
Quando si utilizza un server DNS personalizzato o locale, configurare il server DNS in modo che risolva il nome della risorsa Foundry nel sottodominio a cui si riferisce l'indirizzo IP dell'endpoint privato privatelink. Delegare il privatelink sottodominio alla zona DNS privata della rete virtuale. In alternativa, configurare la zona DNS del server DNS e aggiungere i record DNS A.
Per altre informazioni sulla configurazione del proprio server DNS per supportare gli endpoint privati, usare gli articoli seguenti:
Convalidare la configurazione
Utilizzare la seguente procedura per convalidare che l'endpoint privato sia approvato e che il DNS venga risolto verso l'indirizzo IP privato dall'interno della rete virtuale.
Nel portale di Azure passare alla risorsa del progetto. Sotto Rete>connessioni endpoint privati, verificare che lo stato della connessione sia Approvato.
Da una macchina virtuale connessa alla rete virtuale (o da un computer locale connesso tramite VPN/ExpressRoute), risolvere l'endpoint Foundry e verificare che venga risolto nell'indirizzo IP privato dell'endpoint privato.
nslookup <your-foundry-endpoint-hostname>Testare la connettività all'indirizzo IP dell'endpoint privato sulla porta 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Riferimenti: Test-NetConnection
Gestire gli endpoint privati
Dopo aver creato un progetto Foundry isolato dalla rete, potrebbe essere necessario modificare la configurazione di rete. Questa sezione illustra le attività di gestione comuni.
Rimuovere un endpoint privato
È possibile rimuovere uno o tutti gli endpoint privati per un progetto. La rimozione di un endpoint privato rimuove il progetto dal Rete virtuale di Azure a cui è stato associato l'endpoint. La rimozione dell'endpoint privato potrebbe impedire al progetto di accedere alle risorse nella rete virtuale o alle risorse nella rete virtuale di accedere all'area di lavoro. Ad esempio, se la rete virtuale non consente l'accesso a o dalla rete Internet pubblica.
Avviso
La rimozione degli endpoint privati per un progetto non lo rende accessibile pubblicamente. Per rendere il progetto accessibile pubblicamente, seguire la procedura descritta nella sezione Abilitare l'accesso pubblico .
Per rimuovere un endpoint privato, seguire questa procedura:
- Nel portale Azure selezionare il progetto.
- Dal lato sinistro della pagina selezionare Gestione risorse, Rete e quindi selezionare la scheda Connessioni endpoint privato .
- Selezionare l'endpoint da rimuovere e quindi selezionare Rimuovi.
Abilitare l'accesso pubblico
In alcune situazioni, potrebbe essere necessario consentire a un utente di connettersi al progetto protetto tramite un endpoint pubblico, anziché tramite la rete virtuale. In alternativa, è possibile rimuovere il progetto dalla rete virtuale e riabilitare l'accesso pubblico.
Importante
L'abilitazione dell'accesso pubblico non rimuove gli endpoint privati esistenti. Tutte le comunicazioni tra i componenti dietro la rete virtuale a cui si connettono gli endpoint privati sono ancora protette. Consente l'accesso pubblico solo al progetto, oltre all'accesso privato tramite qualsiasi endpoint privato.
Nel portale Azure selezionare il progetto.
Dal lato sinistro della pagina selezionare Gestione risorse, Rete e quindi selezionare la scheda Firewall e reti virtuali .
Selezionare Tutte le reti e quindi Salva.
Concedere l'accesso ai servizi di Azure attendibili
Se il progetto Foundry limita l'accesso alla rete, concedere un subset di servizi di Azure attendibili a Foundry mantenendo le regole di rete per altre app. Questi servizi attendibili usano quindi l'identità gestita per l'autenticazione. Nella tabella seguente sono elencati i servizi che possono accedere a Foundry se l'identità gestita di tali servizi ha l'assegnazione di ruolo appropriata:
| Servizio | Nome fornitore di risorse |
|---|---|
| Strumenti di fonderia | Microsoft.CognitiveServices |
| Azure AI Search | Microsoft.Search |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Concedere l'accesso alla rete ai servizi di Azure attendibili creando un'eccezione di regola di rete usando l'API REST o il portale di Azure.
Scegliere un metodo di connessione sicuro a Foundry
Per accedere alla risorsa Foundry con accesso alla rete pubblica disabilitata e che si trova dietro una rete virtuale con un endpoint privato, usare uno di questi metodi:
Rete virtuale di Azure Gateway- Connettere reti locali alla rete virtuale tramite una connessione privata su Internet pubblico. Scegliere tra due tipi di gateway VPN:
- Da punto a sito: ogni computer client usa un client VPN per connettersi alla rete virtuale.
- Da sito a sito: un dispositivo VPN connette la rete virtuale alla rete locale.
ExpressRoute : connettere reti locali a Azure tramite una connessione privata tramite un provider di connettività.
Azure Bastion VM : creare una macchina virtuale Azure (jump box) nella rete virtuale, quindi connettersi tramite Azure Bastion usando RDP o SSH dal browser. Usare la macchina virtuale come ambiente di sviluppo. Poiché si trova nella rete virtuale, può accedere direttamente alla risorsa.
Configurare la procedura dettagliata per l'isolamento della rete in uscita
Questa sezione illustra la creazione di una nuova risorsa Foundry con isolamento di rete in uscita abilitato. È possibile scegliere l'approccio migliore per proteggere l'accesso in uscita per l'agente e il client di valutazione: l'inserimento della rete virtuale tramite la propria rete virtuale (rete virtuale BYO) o la rete virtuale gestita (anteprima). Per altre informazioni sulle reti gestite, vedere la documentazione sulla rete gestita. Questa sezione descrive l'isolamento di rete con una rete virtuale PERSONALIZZATA (BYO).
Analisi approfondita dell'iniezione di rete per l'Agent Service e le valutazioni
Se desideri creare agenti, che siano agenti di prompt o agenti ospitati (anteprima), oppure eseguire valutazioni e vuoi garantire l'isolamento completo della rete, consulta Come usare una rete virtuale con il servizio agente di intelligenza artificiale Azure. Questo articolo fornisce informazioni dettagliate sulle zone DNS necessarie, sull'architettura di riferimento e sulle limitazioni note. Lo stesso inserimento di rete per il traffico in uscita si applica a entrambi i tipi di agenti creati, richiesti e ospitati.
Creare una nuova risorsa e un nuovo progetto con inserimento di rete virtuale
È possibile creare una risorsa Foundry con inserimento di rete virtuale usando la rete virtuale personalizzata (RETE virtuale BYO) dal portale di Azure. In alternativa, è possibile creare una risorsa Foundry con inserimento di rete virtuale da un modello di Bicep o Terraform.
Quando si crea una nuova risorsa Foundry, seguire questa procedura:
- Nel portale Azure cercare Foundry e selezionare Crea una risorsa.
- Dopo aver configurato la scheda Informazioni di base , selezionare la scheda Archiviazione e quindi selezionare Seleziona risorse in Servizio agente.
- Selezionare o creare un nuovo account di archiviazione, una risorsa di ricerca di intelligenza artificiale e Azure Cosmos DB. Se si configura Foundry con l'inserimento di rete virtuale, è necessario usare anche risorse di archiviazione, ricerca di intelligenza artificiale e Azure Cosmos DB, creando un agente Standard con isolamento di rete virtuale end-to-end.
- Dopo aver configurato la scheda Archiviazione , selezionare la scheda Rete e quindi selezionare l'opzione Disabilitata per l'accesso pubblico. Aggiungi l'endpoint privato usando le istruzioni della sezione Isolamento rete in ingresso.
- Dopo aver impostato il tuo endpoint privato inbound, viene visualizzato un nuovo elenco a discesa per l'impostazione inserimento della rete virtuale. Selezionare rete virtuale nel primo elenco a discesa, quindi selezionare il subnet delegato a Microsoft.App/ambienti con una dimensione della subnet di /27 o superiore. Questa delega e le dimensioni della sottorete sono necessarie per l'iniezione.
- Continuare con i moduli per creare il progetto. Quando si raggiunge la scheda Rivedi e crea , esaminare le impostazioni e selezionare Crea per creare il progetto.
Nota
La possibilità di creare una risorsa Foundry con inserimento di rete virtuale nel portale di Azure viene visualizzata solo se sono state selezionate le risorse Bring Your Own per Archiviazione, Ricerca e CosmosDB E se è stato selezionato l'accesso alla rete pubblica come disabilitato. Non supportiamo l'inserimento di reti virtuali con risorse gestite, noto anche come configurazione dell'agente di base, o quando l'accesso alla rete pubblica è abilitato.
Gli endpoint privati per Azure AI Search, Archiviazione di Azure e Azure CosmosDB non vengono creati automaticamente quando si distribuisce la risorsa Foundry. Dovete creare endpoint privati per queste risorse, individualmente nelle pagine delle risorse specifiche nel portale di Azure.
Strumenti dell'agente con isolamento di rete
Supporto degli strumenti e flusso del traffico
Alcuni strumenti di Agent sono supportati quando Foundry è isolato dalla rete, mentre altri non lo sono. La tabella seguente illustra lo stato di supporto per gli strumenti agente in ambienti isolati dalla rete e il flusso del traffico. Questo copre il supporto degli strumenti tecnici dietro una VNET per i nuovi agenti delle API Responses creati tramite SDK/interfaccia della riga di comando o solo nel nuovo portale Foundry, non gli agenti creati nel portale Foundry classico.
Gli esempi di codice per l'esecuzione di questi strumenti di Agent all'interno di una configurazione protetta in rete sono disponibili nel modello di esempio 19-hybrid-private-resources-agent-setup.
| Strumento | Stato del supporto | Flusso di traffico |
|---|---|---|
| McP Tool (MCP privato) | ✅ Supportati | Tramite la subnet della rete virtuale |
| Azure AI Search | ✅ Supportati | Tramite l'endpoint privato |
| Interprete di codice | ✅ Supportati | Rete backbone di Microsoft |
| Chiamata di funzione | ✅ Supportati | Rete backbone di Microsoft |
| Bing Grounding | ✅ Supportati | Endpoint pubblico |
| Ricerca sul web | ✅ Supportati | Endpoint pubblico |
| SharePoint fondamenti | ✅ Supportati | Endpoint pubblico |
| IQ foundry (anteprima) | ✅ Supportati | Tramite MCP |
| Strumento OpenAPI | ✅ Supportati | Tramite il VNET |
| Funzioni di Azure | ✅ Supportati | Tramite il VNET |
| Agente-a-Agente (A2A) | ✅ Supportati | Tramite il VNET |
| agente dati di Fabric | ❌ Non supportato | In fase di sviluppo |
| Logic Apps | ❌ Non supportato | In fase di sviluppo |
| Ricerca file | ❌ Non supportato | In fase di sviluppo |
| Automazione del browser | ❌ Non supportato | In fase di sviluppo |
| Uso del computer | ❌ Non supportato | In fase di sviluppo |
| Generazione di immagini | ❌ Non supportato | In fase di sviluppo |
Nota
Strumenti endpoint pubblici (Bing Grounding, Websearch, SharePoint Grounding) funzionano in ambienti isolati dalla rete, ma comunicano tramite Internet pubblico. Questi strumenti non richiedono endpoint privati o la configurazione della rete virtuale. Se l'organizzazione richiede che tutto il traffico rimanga all'interno di una rete privata, questi strumenti potrebbero non soddisfare i requisiti di conformità.
Requisiti di configurazione in base al modello di traffico
Strumenti che utilizzano la subnet della rete virtuale (MCP Tool, Azure AI Search, OpenAPI, A2A, Funzioni di Azure):
Per altre informazioni sul supporto e la configurazione di MCP privati, vedere 19-hybrid-private-resources-agent-setup. Usare questo modello per comprendere come impostare gli strumenti di Agent con risorsa Foundry isolata dalla rete end-to-end.
Strumenti che utilizzano la rete di backbone di Microsoft (Interprete del Codice, Chiamata di Funzioni):
Non sono necessari endpoint privati e non è necessaria alcuna configurazione di rete aggiuntiva per usare questi strumenti. Il traffico rimane all'interno dell'infrastruttura di rete backbone di Microsoft, garantendo la sicurezza.
Tools con endpoint pubblici (Bing, Websearch, SharePoint):
Non sono necessari endpoint privati e non è necessaria alcuna configurazione di rete aggiuntiva per usare questi strumenti. Tuttavia, questi strumenti comunicano tramite endpoint pubblici. Se non si vuole che gli utenti dell'organizzazione usino questi strumenti a causa della loro natura dell'endpoint pubblico, è possibile bloccarli usando i criteri di Azure.
Configurazione di rete hub-spoke e firewall
Per proteggere il traffico di uscita tramite l'iniezione di rete, configurare un Firewall di Azure o un'altra soluzione di firewall. Questa configurazione consente di controllare e controllare il traffico in uscita prima di uscire dalla rete virtuale.
È anche possibile usare un'architettura di rete hub-spoke in cui viene creata una rete virtuale per un firewall condiviso (l'hub) e una rete virtuale separata per la rete Foundry (spoke). Queste reti virtuali vengono quindi interconnesse.
Nota
Il diagramma precedente riflette un'architettura hub-spoke con un firewall centralizzato. Se si usa un progetto Foundry autonomo senza una topologia basata su hub, il layout di rete sarà diverso. Adattare la configurazione del firewall e del peering in modo che corrisponda alla progettazione specifica della rete virtuale.
Limitazioni e considerazioni
Comprendere queste limitazioni prima di implementare l'isolamento di rete per Foundry. Questa sezione consolida tutti i vincoli noti tra endpoint privati, esperienze del portale, servizio agente e strumenti.
Limitazioni delle funzionalità di Foundry
Le funzionalità seguenti in Foundry non supportano ancora l'isolamento di rete.
| Funzionalità | Stato isolamento rete | Note |
|---|---|---|
| Generazione di dati sintetici per le valutazioni | Non supportato | Porta i tuoi dati per eseguire le valutazioni. |
| Tracce | Non supportato | Le tracce non dispongono ancora del supporto per reti virtuali quando Application Insights è privato. |
| Agenti del flusso di lavoro | Parzialmente supportato | L'accesso in ingresso è supportato nell'interfaccia utente, nell'SDK e nell'interfaccia della riga di comando. L'uscita con l'iniezione della rete virtuale non è attualmente supportata per gli agenti di flusso di lavoro. |
| Gateway di intelligenza artificiale (APIM) | Parzialmente supportato tramite l'interfaccia utente di Foundry | È possibile creare un nuovo gateway di intelligenza artificiale con la risorsa Foundry privata nel nuovo portale foundry, ma questo gateway è pubblico automaticamente. Per completare tutte le azioni del piano dati con un Foundry privato, il gateway di intelligenza artificiale deve avere anche l'isolamento di rete configurato tramite l'portale di Azure. Per altre informazioni, vedere Rete per gateway di intelligenza artificiale. |
| Alcuni strumenti per agenti | Parzialmente supportato | Per informazioni dettagliate sullo stato di supporto di ciascuno strumento, vedere Strumenti agente con isolamento di rete. |
Per altre limitazioni relative all'isolamento della rete del servizio Agent, vedere Come usare una rete virtuale con il servizio agente di intelligenza artificiale Azure.
Dettagli su altre limitazioni
- Ricerca AI Privata con lo strumento agente privato di Foundry: se si usa la ricerca AI con l'accesso alla rete pubblica disabilitato come strumento agente con una risorsa Foundry isolata di rete, assicurarsi di usare il nuovo Portale Foundry per creare i nuovi agenti. Questo scenario non è supportato con la versione precedente del servizio Agent nel portale foundry classico.
- Pubblicazione di agenti in Teams/M365: è possibile pubblicare l'agente in Teams e M365 quando la risorsa Foundry ha accesso alla rete pubblica disabilitata. Per questa esperienza sono previsti requisiti di configurazione aggiuntivi. Per altre informazioni, seguire questo post di blog sulla creazione di agenti motore personalizzati quando la risorsa Foundry è privata.
- Hosted Agents with private Registro Azure Container: se si vuole distribuire gli agenti ospitati in Foundry, assicurarsi che l'Registro Azure Container abbia l'accesso alla rete pubblica abilitato. L'accesso alla rete pubblica disabilitato con l'endpoint privato Registro Azure Container non è ancora supportato con una configurazione di Foundry privata. Gli agenti ospitati possono essere distribuiti in un foundry privato configurato usando i modelli di rete esistenti. Non è necessario ridistribuire Foundry privato e iniettato in VNET.
Limitazioni dell'endpoint privato
- Area e sottoscrizione: è necessario distribuire l'endpoint privato nella stessa area e nella stessa sottoscrizione della rete virtuale.
- Stato connessione: solo gli endpoint privati in uno stato Approvato possono inviare traffico a una risorsa di collegamento privato.
- Intervallo di indirizzi IP: non usare l'intervallo di indirizzi IP 172.17.0.0/16 per la rete virtuale. Questo intervallo è riservato dalla rete bridge Docker.
- Approvazioni: se non si dispone delle autorizzazioni Collaboratore o Proprietario per la risorsa Foundry, le connessioni endpoint private rimangono in stato In sospeso fino all'approvazione.
Risoluzione dei problemi dell'endpoint privato
Se si verificano problemi di connettività dopo la configurazione di un endpoint privato, provare questa procedura:
Problemi relativi all'endpoint privato
- Endpoint privato bloccato nello stato In sospeso: Verificare di avere le autorizzazioni Collaboratore o Proprietario per la risorsa del progetto Foundry. In caso contrario, chiedere al proprietario della risorsa di approvare la connessione dalla scheda Connessioni endpointprivate di >.
- La creazione dell'endpoint privato ha esito negativo: assicurarsi di avere il ruolo Collaboratore di rete sulla rete virtuale (VNET) e sulla subnet in cui si sta creando l'endpoint. Verificare che la subnet non sia completa (indirizzi IP disponibili).
Problemi di risoluzione DNS
-
La risoluzione DNS restituisce un indirizzo IP pubblico: verificare che esista una zona DNS privata per il
privatelinksottodominio ed è collegata alla rete virtuale. Eseguirenslookup <your-foundry-endpoint-hostname>dall'interno della rete virtuale per verificare che viene risolto all'indirizzo IP privato. -
Server DNS personalizzato che non viene risolto: se si usa un server DNS personalizzato, assicurarsi che inoltra le query per il sottodominio
privatelinka DNS di Azure (168.63.129.16). Per informazioni dettagliate, vedere Configurazione DNS . - Intermittent DNS failures: verificare che il server DNS (personalizzato o fornito da Azure) sia raggiungibile da tutte le subnet. Verificare le impostazioni del server DNS nella rete virtuale e nelle singole schede di interfaccia di rete.
Problemi di connettività
- Il tempo di connessione è scaduto sulla porta 443: verificare che le regole del gruppo di sicurezza di rete (NSG) consentano il traffico in uscita verso l'indirizzo IP dell'endpoint privato sulla porta 443. Verificare anche che nessun firewall blocchi la connessione.
- Non è possibile raggiungere Foundry dall'ambiente locale: verificare che la connessione VPN o ExpressRoute o vm sia attiva e che le tabelle di routing includano lo spazio indirizzi della rete virtuale. Testare la connettività all'indirizzo IP privato dall'ambiente locale.
- 403 Errori non consentiti: spesso indica problemi di autenticazione anziché rete. Verifica che le credenziali abbiano ruoli RBAC appropriati nel progetto Foundry.
Risoluzione dei problemi specifici dell'agente
- L'avvio dell'agente non riesce nel progetto isolato dalla rete: Assicurati di usare la distribuzione Standard dell'agente (non di base). Verificare che l'inserimento di rete sia configurato correttamente e che la subnet disponga di un numero sufficiente di indirizzi IP disponibili.
- Agent non riesce ad accedere agli strumenti MCP: assicurarsi che esistano endpoint privati per tutti i servizi Azure per l'accesso agli strumenti MCP. Verificare che l'identità gestita abbia i ruoli di controllo degli accessi in base al ruolo (RBAC) appropriati. Controllare che le regole del firewall consentano il traffico dall'agente al servizio.
- Le esecuzioni di valutazione hanno esito negativo con errori di rete: verificare che tutte le zone DNS necessarie siano configurate. Verificare che il calcolo di valutazione possa raggiungere sia gli endpoint Foundry che gli endpoint del modello tramite collegamenti privati.
- Timeout degli agenti nelle chiamate API esterne: se gli agenti devono chiamare API esterne (non di Azure), assicurarsi che il firewall permetta il traffico HTTPS in uscita verso tali destinazioni o distribuire un gateway NAT per un'uscita controllata.