Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Gli elementi contrassegnati (anteprima) in questo articolo sono attualmente in anteprima pubblica. Questa anteprima viene fornita senza un contratto di servizio e non è consigliabile per i carichi di lavoro di produzione. Alcune funzionalità potrebbero non essere supportate o potrebbero avere funzionalità limitate. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.
Questo articolo illustra come configurare una rete virtuale gestita per la risorsa Foundry. La rete virtuale gestita semplifica e automatizza l'isolamento di rete per la risorsa Foundry effettuando il provisioning di una rete virtuale gestita da Microsoft che protegge il servizio Agenti sottostante il calcolo all'interno dei progetti Foundry. Se abilitata, il traffico di rete in uscita degli agenti è protetto da questo limite di rete gestita e la modalità di isolamento scelta regola tutto il traffico. È possibile creare gli endpoint privati necessari per i servizi di Azure dipendenti e applicare le regole di rete necessarie, offrendo un'impostazione predefinita sicura senza richiedere la compilazione o la gestione della propria rete virtuale. Questa rete gestita limita ciò che gli agenti possono accedere, evitando l'esfiltrazione dei dati, consentendo comunque la connettività alle risorse Azure approvate.
Prima di continuare, prendere in considerazione le limitazioni dell'offerta ed esaminare i prerequisiti. Questa funzionalità è attualmente in anteprima pubblica, quindi prendere in considerazione le condizioni di anteprima prima di abilitare questo metodo di isolamento della rete. Se non è consentito usare le funzionalità di anteprima nella vostra impresa, utilizzate il supporto GA esistente della rete virtuale personalizzata supportata per gli agenti in Foundry.
Informazioni sulle modalità di isolamento
Quando si abilita l'isolamento della rete virtuale gestita, si crea una rete virtuale gestita per l'account Foundry. Qualsiasi nuovo agente che costruisci nei tuoi progetti utilizza automaticamente la rete virtuale gestita automaticamente per il traffico in uscita. La rete virtuale gestita può usare endpoint privati per Azure risorse usate dagli agenti, ad esempio Archiviazione di Azure, Azure Cosmos DB e Azure AI Search.
Nota
I diagrammi di questo articolo rappresentano solo la connettività logica. Gli endpoint privati gestiti in una rete virtuale gestita foundry non creano interfacce di rete (NIC) visibili al cliente. A differenza degli endpoint privati della rete virtuale standard che creano una scheda di interfaccia di rete con un indirizzo IP privato nella subnet, gli endpoint privati gestiti vengono completamente gestiti da Microsoft e astratti dalle risorse di rete virtuale del cliente. Questi endpoint o le schede di interfaccia di rete associate non verranno visualizzati nel tuo abbonamento.
Esistono due diverse modalità di configurazione per il traffico in uscita dalla rete virtuale gestita:
| Modalità in uscita | Descrizione | Scenari |
|---|---|---|
| Consenti traffico internet in uscita | Consente tutto il traffico in uscita verso Internet. | L'accesso in uscita senza restrizioni è accettabile; connettività generale richiesta. |
| Consenti solo connessioni in uscita approvate | Limita l'uso in uscita di tag del servizio, endpoint privati e regole FQDN facoltative (porte 80, 443) applicate tramite Firewall di Azure. | Ridurre al minimo il rischio di esfiltrazione dei dati; richiedono un elenco curato di destinazioni. |
| Disabilitato | Isolamento della rete virtuale gestita non abilitato, a meno che non venga usata una rete virtuale personalizzata. | È necessario disporre di connettività esterna o pianificare la fornitura della propria rete virtuale. |
Il diagramma dell'architettura seguente illustra una rete gestita in allow internet outbound modalità .
Il diagramma dell'architettura seguente illustra una rete gestita in allow only approved outbound modalità .
Dopo aver configurato una rete virtuale gestita Foundry per consentire internet in uscita, non è possibile riconfigurare la risorsa in modo che sia disabilitata. Analogamente, dopo aver configurato una risorsa di rete virtuale gestita per consentire solo l'approvazione in uscita, non è possibile riconfigurare la risorsa per consentire internet in uscita.
Prerequisiti
Prima di seguire i passaggi descritti in questo articolo, assicurarsi di disporre dei prerequisiti seguenti:
Sottoscrizione Azure. Se non si ha una sottoscrizione Azure, creare un account gratuito prima di iniziare.
L'interfaccia della riga di comando di Azure è installato. Obbligatorio per creare regole in uscita dalla rete gestita.
I provider di risorse
Microsoft.Network,Microsoft.KeyVault,Microsoft.CognitiveServices,Microsoft.Storage,Microsoft.SearcheMicrosoft.ContainerServicesono stati registrati per la sottoscrizione di Azure. Per ulteriori informazioni, vedere registrare un provider di risorse.Registrazione della funzionalità di anteprima per il flag
AI.ManagedVnetPreviewnel portale di Azure o tramite interfaccia della riga di comando di Azure. Registrare la funzionalità eseguendo il comando seguente:az feature register --namespace Microsoft.CognitiveServices --name AI.ManagedVnetPreviewControllare lo stato della registrazione:
az feature show --namespace Microsoft.CognitiveServices --name AI.ManagedVnetPreview --query "properties.state" -o tsvL'approvazione della sottoscrizione richiede alcune ore.
Autorizzazioni per distribuire una risorsa di rete gestita. Il proprietario dell'account Azure AI nell'ambito dell'account è necessario per creare un account e un progetto Foundry. È necessario un Proprietario o un Amministratore di Accesso Basato sul Ruolo per assegnare l'RBAC alle risorse richieste. Azure AI utente è necessario nel contesto del progetto per creare e modificare gli agenti.
Quota sufficiente per tutte le risorse nell'area di Azure di destinazione. Se non vengono passati parametri, questo modello crea una risorsa Foundry, un progetto Foundry, Azure Cosmos DB per NoSQL, Azure AI Search e Archiviazione di Azure account.
Limitazioni
Prendere in considerazione le limitazioni seguenti prima di abilitare l'isolamento della rete gestita per la risorsa Foundry.
- È possibile distribuire una risorsa Foundry di rete gestita solo tramite il modello di Bicep nella cartella 18-managed-virtual-network-preview in foundry-samples.
- Se si creano regole in uscita FQDN quando la rete virtuale gestita è in modalità Allow Only Approved Outbound, viene creato un Firewall di Azure gestito che comporta costi aggiuntivi per il firewall. Per altre informazioni sui prezzi, vedere Prezzi. Le regole in uscita FQDN supportano solo le porte 80 e 443.
- Non è possibile disabilitare l'isolamento della rete virtuale gestita dopo l'abilitazione. Non esiste alcun percorso di aggiornamento dalla configurazione della rete virtuale personalizzata alla rete virtuale gestita. È necessaria una ridistribuzione della risorsa Foundry. L'eliminazione della risorsa Foundry elimina la rete virtuale gestita.
- È necessario creare regole in uscita dalla rete gestita tramite interfaccia della riga di comando di Azure. Per configurare il servizio Agente protetto end-to-end con una rete virtuale gestita, un modello crea un endpoint privato gestito all'account di archiviazione associato. Gli endpoint privati non vengono creati in Cosmos DB o in Ricerca di intelligenza artificiale. Per informazioni su come creare gli endpoint privati gestiti, vedere il file delle regole in uscita della CLI.
- Il supporto per la rete virtuale gestita si trova solo nelle aree seguenti: Stati Uniti orientali, Stati Uniti orientali 2, Giappone orientale, Francia centrale, Emirati Arabi Uniti settentrionali, Brasile meridionale, Germania centro-occidentale, Italia settentrionale, Stati Uniti centro-meridionali, Stati Uniti centro-occidentali, Australia orientale, Svezia centrale, Canada orientale, Sudafrica settentrionale, Europa occidentale, Stati Uniti occidentali, Stati Uniti occidentali 3, India meridionale e Regno Unito meridionale.
- Se è necessario l'accesso privato alle risorse locali per la risorsa Foundry, usare il Application Gateway per configurare l'accesso locale. È supportata la medesima configurazione con un endpoint privato verso Application Gateway e la configurazione dei pool di back-end. Il traffico L4 e L7 è ora supportato con il gateway applicativo in disponibilità generale (GA).
- Supporta solo gli agenti di risorse BYO Standard v1 e l'esperienza classica Foundry. Gli agenti di base non richiedono l'isolamento di rete.
- L'isolamento della rete end-to-end per gli strumenti MCP di Agent con rete virtuale gestita non è attualmente supportato. Usare gli strumenti MCP pubblici con l'isolamento della rete gestita di Foundry.
- Non è possibile portare i propri Firewall di Azure nella rete virtuale gestita. Un firewall gestito viene creato automaticamente per l'account Foundry quando si usa consenti solo la modalità in uscita approvata .
- Non è possibile riutilizzare lo stesso firewall gestito per più account Foundry. Ogni account Foundry crea un proprio firewall gestito quando si usa la modalità Consenti solo in uscita approvata .
Distribuire la modalità di isolamento della rete virtuale gestita
Per iniziare a distribuire una risorsa Foundry di rete virtuale gestita, seguire questa procedura. Altri dettagli sono disponibili nel file README.md del repository.
- Clonare o scaricare il
foundry-samplesrepository contenente18-managed-virtual-network-preview. - Aprire il
managed-network.bicepmodello nella cartellamodules-network-secured. - Impostare il parametro
IsolationModemodalità di isolamento a seconda della modalità di isolamento selezionata:AllowInternetOutboundoAllowOnlyApprovedOutbound. - Nel file README.md selezionare il pulsante Deploy per Azure. Questa azione apre il modello nel portale di Azure per una distribuzione rapida.
- Completare tutti i parametri prima di distribuire, ad esempio area, gruppo di risorse, nome di rete virtuale e altri. Se si porta la propria archiviazione Cosmos DB o il servizio di ricerca, assicurarsi che siano inclusi anche gli ID risorsa.
- Infine, distribuire il modello. La distribuzione dei modelli richiede circa 30 minuti.
Per altri dettagli sui parametri necessari per la distribuzione della rete virtuale gestita, vedere Microsoft. CognitiveServices/accounts/managedNetworks.
Verificare la distribuzione della rete virtuale gestita
Al termine della distribuzione del modello, verificare che la rete virtuale gestita sia configurata correttamente.
Verificare che la risorsa Foundry esista e che la rete gestita sia abilitata:
az rest --method GET \ --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2025-10-01-preview" \ --query "properties.managedNetwork"La risposta dovrebbe mostrare il
isolationModeimpostato nella modalità scelta (AllowInternetOutboundoAllowOnlyApprovedOutbound).Elencare gli endpoint privati gestiti per verificare che siano stati creati:
az rest --method GET \ --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2025-10-01-preview" \ --query "value[].{name:name, type:properties.type, status:properties.status}"Testare la connettività dell'agente creando ed eseguendo un agente di base nel progetto Foundry. Se l'agente si completa correttamente, la rete gestita funziona adeguatamente.
Gestione delle regole in uscita
Per aggiornare le regole in uscita dalla rete virtuale gestita dopo la distribuzione, usare il comando interfaccia della riga di comando di Azure az rest. Segui le istruzioni nel file delle regole in uscita CLI nel repository foundry-samples.
L'esempio seguente crea una regola in uscita dell'endpoint privato verso una risorsa di Azure Cosmos DB.
az rest --method PUT \
--url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2025-10-01-preview" \
--body '{
"properties": {
"type": "PrivateEndpoint",
"destination": {
"serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
"subresourceTarget": "Sql",
"sparkEnabled": false
}
}
}'
Sostituire i segnaposto con i valori del tuo ambiente. Per altri tipi di risorse, modificare i valori serviceResourceId e subresourceTarget di conseguenza. Le destinazioni di sottorisorse comuni includono blob per Archiviazione di Azure, searchService per Azure AI Search e vault per Azure Key Vault.
Per altre informazioni sui parametri necessari per le regole in uscita della rete virtuale gestita, vedere Microsoft. CognitiveServices/accounts/managedNetworks/outboundRules.
Selezionare la versione di Firewall di Azure
Per la rete virtuale gestita, un Firewall di Azure viene configurato automaticamente quando viene aggiunta una regola FQDN in uscita in modalità Consenti solo traffico approvato in uscita.
Lo SKU predefinito è Standard per il firewall. È possibile selezionare invece lo SKU Basic per ridurre i costi se non sono necessarie funzionalità avanzate. Per altre informazioni sui prezzi, vedere Prezzi. Dopo aver selezionato uno SKU del firewall in fase di distribuzione, non è possibile modificarlo dopo la distribuzione. Poiché si tratta di un firewall gestito, il firewall non si trova nel tuo tenant né sotto il tuo controllo. L'unica impostazione che è possibile controllare è lo SKU del firewall.
Per selezionare lo SKU nel modello, passare a managed-network.bicep, impostare il parametro firewallSku su Standard o Basic.
Esaminare i tag di servizio necessari
Foundry richiede un set di tag di servizio per la rete privata. La soluzione aggiunge questi tag di servizio per impostazione predefinita quando crea la rete gestita. Non è necessario creare una regola in uscita per questo tag di servizio.
- AzureActiveDirectory. Obbligatorio per l'autenticazione in uscita tramite Microsoft Entra ID.
Endpoint privati
Quando si abilita una rete virtuale gestita, è possibile creare endpoint privati gestiti in modo che gli agenti possano raggiungere in modo sicuro le risorse necessarie Azure senza usare la rete Internet pubblica. Questi endpoint privati forniscono una connessione isolata e privata basata su IP dalla rete gestita a servizi come Archiviazione, Ricerca di intelligenza artificiale e altre dipendenze usate nei progetti Foundry. A differenza delle reti virtuali gestite dal cliente, gli endpoint privati gestiti in Foundry non espongono un'interfaccia di rete o una configurazione della subnet al cliente. La connettività privata basata su IP è completamente gestita da Microsoft e non è rappresentata come scheda di interfaccia di rete nella sottoscrizione del cliente.
Le risorse seguenti supportano gli endpoint privati dalla rete gestita. È necessario usare l'interfaccia della riga di comando per creare endpoint privati.
- Gateway delle applicazioni di Azure
- Connettersi alle risorse locali usando il traffico L4 o L7
- Gestione API di Azure
- Supporta solo il livello classico senza inserimento reti virtuali e il livello V2 Standard con l'integrazione della rete virtuale.
- Azure AI Search
- Registro Azure Container
- Azure Cosmos DB
- Azure Data Factory
- Database di Azure per MariaDB
- Database di Azure per MySQL
- Azure Database per PostgreSQL server singolo
- server flessibile Database di Azure per PostgreSQL
- Azure Databricks
- Hub eventi di Azure
- Azure Key Vault
- Azure Machine Learning
- cache di Azure per Redis
- Azure SQL Server
- Archiviazione di Azure
- Application Insights
- Nell'ambito del Collegamento Privato
- Microsoft Foundry
Quando si crea un endpoint privato gestito dalla rete virtuale gestita Foundry a una risorsa di destinazione di proprietà del cliente, l'identità gestita della risorsa Foundry deve avere le autorizzazioni corrette per tale risorsa di destinazione per creare e approvare le connessioni endpoint private. Questo requisito garantisce che Foundry sia autorizzato in modo esplicito a stabilire un collegamento privato sicuro alla risorsa.
Per semplificare questo requisito, assegnare il ruolo Azure AI Enterprise Network Connection Approver all'identità gestita dell'account Foundry. Questo ruolo include le autorizzazioni necessarie per i servizi di Azure usati più di frequente e in genere fornisce accesso sufficiente a Foundry per creare e approvare endpoint privati per conto dell'utente. Dopo aver approvato la connessione, Foundry gestisce completamente l'endpoint privato e non richiede alcuna configurazione aggiuntiva del cliente.
Applicare regole in uscita specifiche dello scenario
Regole di uscita del servizio agente
Le regole in uscita necessarie per la distribuzione dell'agente di risorse BYO Standard includono endpoint privati per le risorse seguenti:
- La risorsa Cosmos DB
- Il tuo account di archiviazione
- Risorsa per la ricerca basata su intelligenza artificiale
Assicurarsi che gli endpoint privati vengano creati all'interno della rete virtuale gestita per queste risorse.
Tariffe
La funzionalità di rete virtuale gestita foundry è gratuita. Tuttavia, vengono addebitati i costi per le risorse seguenti usate dalla rete virtuale gestita:
collegamento privato di Azure: la soluzione si basa su collegamento privato di Azure per gli endpoint privati che proteggono le comunicazioni tra la rete virtuale gestita e le risorse Azure. Per altre informazioni sui prezzi, vedere collegamento privato di Azure prezzi.
Regole in uscita FQDN: si implementano regole in uscita FQDN usando Firewall di Azure. Se si usano regole FQDN in uscita, si aggiungono addebiti per Firewall di Azure alla fatturazione. Per impostazione predefinita, viene usata una versione standard di Firewall di Azure. È possibile selezionare la versione Di base. Il firewall non viene creato fino a quando non si aggiunge una regola FQDN in uscita.
Per altre informazioni sui prezzi Azure, vedere collegamento privato Prezzi e Firewall di Azure Prezzi.
Confrontare la rete gestita e quella personalizzata (BYO)
| Aspetto | Rete gestita | Rete personalizzata (BYO) |
|---|---|---|
| Benefici | Microsoft gestisce l'intervallo di subnet, la selezione IP, la delega. | Controllo completo: portare firewall personalizzato, impostare percorsi definiti dall'utente, peering di rete, delegare la subnet. |
| Limitazioni | Non è possibile utilizzare il proprio firewall per consentire solo il traffico uscente approvato. Richiede il Gateway Applicazioni per proteggere il traffico nel luogo di lavoro (L7 e L4 supportati dal Gateway Applicazioni). Nessuna registrazione del supporto del traffico in uscita. Non supporta la sicurezza dei processi di calcolo. | Configurazione più complessa, ad esempio la delega della subnet a App contenitore di Azure. Richiede la creazione corretta di CapHost. Richiede la classe privata A, B e C, non pubblica. Richiede almeno /27 subnet per la delega dell'agente. |
Pulire le risorse
Per pulire la risorsa Foundry della rete virtuale gestita, eliminare la risorsa Foundry. Questa azione elimina anche la rete virtuale gestita.
Risoluzione dei problemi
- Errore durante la creazione di CapHost
- Eliminare la risorsa CapHost difettosa e ridistribuire il modello.
- Regola FQDN non applicata
- Verificare che sia stato effettuato il provisioning dello SKU del firewall e verificare che le porte siano limitate a 80 o 443.
- Conflitti tra endpoint privati
- Rimuovere qualsiasi configurazione dell'endpoint di servizio e usare solo endpoint privato.
- Con UseMicrosoftManagedNetwork=true, la sottoscrizione deve essere registrata con Microsoft.CognitiveServices/AI.ManagedVnetPreview
- Verificare che la sottoscrizione sia consentita per la funzionalità di anteprima della rete virtuale gestita. Completare questa azione nel portale di Azure e attendere la registrazione della sottoscrizione.