Een beheerd netwerk instellen voor Microsoft Foundry-hubs (klassiek)

Alleen van toepassing op:Foundry (klassiek) portal. Dit artikel is niet beschikbaar voor de nieuwe Foundry-portal. Meer informatie over de nieuwe portal.

Opmerking

Koppelingen in dit artikel kunnen inhoud openen in de nieuwe Microsoft Foundry-documentatie in plaats van de Foundry-documentatie (klassiek) die u nu bekijkt.

Belangrijk

Dit artikel biedt verouderde ondersteuning voor hubprojecten. Het werkt niet voor Foundry-projecten. Zie Hoe weet ik welk type project ik heb?

SDK-compatibiliteitsnotitie: codevoorbeelden vereisen een specifieke Microsoft Foundry SDK-versie. Als u compatibiliteitsproblemen ondervindt, kunt u overwegen om te migreren van een hub naar een Foundry-project.

Netwerkisolatie voor een hubproject heeft twee delen: toegang tot een Microsoft Foundry hub en het isoleren van de rekenresources in uw hub en project (zoals rekenprocessen, serverloze en beheerde online-eindpunten). In dit artikel wordt het laatste behandeld. Het diagram benadrukt het. Gebruik de ingebouwde netwerkisolatie van de hub om uw computerresources te beveiligen.

Stel de volgende instellingen voor netwerkisolatie in:

Kies een netwerkisolatiemodus: internettoegang toestaan voor uitgaand verkeer of alleen goedgekeurd uitgaand verkeer toestaan.
Als u Visual Studio Code in de alleen goedgekeurde uitgaande modus wilt integreren, moet u uitgaande regels voor FQDN maken, zoals beschreven in de sectie gebruik Visual Studio Code.
Als u Hugging Face-modellen gebruikt in modus voor alleen goedgekeurde uitgaande verbindingen, maakt u FQDN-uitgaande regels zoals beschreven in de sectie Hugging Face-modellen gebruiken.
Als u een van de open source-modellen in alleen goedgekeurde uitgaandemodus gebruikt, maakt u uitgaande FQDN-regels zoals beschreven in de sectie Models die rechtstreeks worden verkocht door Azure.

Voorwaarden

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

Een Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Registreer de Microsoft.Network-resourceprovider voor uw Azure-abonnement. De hub gebruikt deze provider om privé-eindpunten te maken voor het beheerde virtuele netwerk.

Zie Fouten voor de registratie van resourceproviders oplossen voor informatie over het registreren van resourceproviders.
Gebruik een Azure-identiteit met de volgende Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) acties om privé-eindpunten te maken voor het beheerde virtuele netwerk:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Tip

De ingebouwde rol Azure AI Enterprise Network Connection Approver bevat deze machtigingen. Wijs deze rol toe aan de beheerde identiteit van de hub om privé-eindpuntverbindingen goed te keuren.

Een Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
De Microsoft. Netwerk resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. De hub gebruikt deze resourceprovider bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

Zie Fouten voor de registratie van resourceproviders oplossen voor informatie over het registreren van resourceproviders.
Gebruik een Azure-identiteit met de volgende Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) acties om privé-eindpunten te maken voor het beheerde virtuele netwerk:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Tip

De ingebouwde rol Azure AI Enterprise Network Connection Approver bevat deze machtigingen. Wijs deze rol toe aan de beheerde identiteit van de hub om privé-eindpuntverbindingen goed te keuren.
Installeer de Azure CLI en de extensie ml voor de Azure CLI. Zie De CLI (v2) installeren, instellen en gebruiken voor meer informatie.
Een Bash-compatibele shell voor het uitvoeren van de CLI-voorbeelden in dit artikel. Gebruik bijvoorbeeld een Linux-systeem of Windows-subsysteem voor Linux.
De Azure CLI voorbeelden in dit artikel gebruiken ws voor de naam van de hub en rg voor de naam van de resourcegroep. Wijzig deze waarden indien nodig wanneer u de opdrachten in uw Azure-abonnement uitvoert.

Een Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint. Probeer de gratis of betaalde versie.
De Microsoft. Netwerk resourceprovider moet zijn geregistreerd voor uw Azure-abonnement. De hub gebruikt deze resourceprovider bij het maken van privé-eindpunten voor het beheerde virtuele netwerk.

Zie Fouten voor de registratie van resourceproviders oplossen voor informatie over het registreren van resourceproviders.
De Azure identiteit die u gebruikt bij het implementeren van een beheerd netwerk, vereist de volgende Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) acties om privé-eindpunten te maken:
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft. MachineLearningServices/workspaces/privateEndpointConnections/write
Tip

De ingebouwde rol Azure AI Enterprise Network Connection Approver bevat deze machtigingen. Wijs deze rol toe aan de beheerde identiteit van de hub om privé-eindpuntverbindingen goed te keuren.
De Azure Machine Learning Python SDK v2. Zie Install the Python SDK v2 for Azure Machine Learning voor meer informatie over de SDK.

In de voorbeelden in dit artikel wordt ervan uitgegaan dat uw code begint met de volgende Python code. Hiermee importeert u de klassen die nodig zijn om een hub te maken met een beheerd virtueel netwerk, stelt u variabelen in voor uw Azure abonnement en resourcegroep en maakt u de ml_client. Vervang in het volgende voorbeeld de tekst <SUBSCRIPTION_ID> van de tijdelijke aanduiding en <RESOURCE_GROUP> door uw eigen waarden:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Een beheerd virtueel netwerk configureren om uitgaand internet toe te staan

Tip

Foundry stelt het maken van het beheerde virtuele netwerk uit totdat u een computing-resource maakt of handmatig begint met inrichten. Bij het automatisch maken kan het ongeveer 30 minuten duren voordat de eerste rekenresource is gemaakt, omdat het ook het netwerk in richt.

Een nieuwe hub maken:
1. Meld u aan bij de Azure-portal en selecteer Foundry in het menu Maak een resource.
2. Kies + Nieuw Azure AI.
3. Voer de vereiste gegevens in op het tabblad Basisinformatie .
4. Selecteer Privé met uitgaand internet op het tabblad Netwerken.
5. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken . Voer in de zijbalk voor uitgaande regels de volgende gegevens in:
  - Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze hub.
  - Doeltype: Privé-eindpunt is de enige optie wanneer netwerkisolatie privé is met uitgaand internet. Een virtueel netwerk dat door een hub wordt beheerd, biedt geen ondersteuning voor het maken van privé-eindpunten voor alle Azure resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.
  - Subscription: Het abonnement met de Azure resource waarvoor u een privé-eindpunt wilt toevoegen.
  - Resource-groep: De resourcegroep met de Azure resource waarvoor u een privé-eindpunt wilt toevoegen.
  - Brontype: het type Azure-bron.
  - Resource-naam: de naam van de Azure-resource.
  - Subresource: de subresource van het resourcetype Azure.
  Selecteer Opslaan. Als u meer regels wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen.
6. Ga door met het maken van de hub.
Een bestaande hub bijwerken:
1. Meld u aan bij de Azure portal en selecteer de hub om beheerde virtuele netwerkisolatie in te schakelen.
2. Selecteer Netwerken>Privé met uitgaande verbinding via internet.
  - Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Geef in de zijbalk voor uitgaande regels dezelfde informatie op als die wordt gebruikt bij het maken van een hub in de sectie Een nieuwe hub maken.
  - Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.
3. Selecteer Opslaan boven aan de pagina om de wijzigingen toe te passen op het beheerde virtuele netwerk.

Als u een beheerd virtueel netwerk wilt configureren dat uitgaand internet toestaat, gebruikt u de --managed-network allow_internet_outbound parameter of een YAML-configuratiebestand met de volgende vermeldingen:

managed_network:
  isolation_mode: allow_internet_outbound

Definieer outbound-regels voor andere Azure-services waarop de hub afhankelijk is. Deze regels definiëren private-eindpunten waarmee een Azure-resource veilig kan communiceren met het beheerde virtuele netwerk. De volgende regel laat zien hoe u een privé-eindpunt toevoegt aan een Azure Blob Storage-account. Vervang in het volgende voorbeeld de plaatshoudertekst <SUBSCRIPTION_ID>, <RESOURCE_GROUP>, en <STORAGE_ACCOUNT_NAME> door uw eigen waarden.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configureer een beheerd virtueel netwerk met behulp van de az ml workspace create of az ml workspace update opdrachten:

Een nieuwe hub maken:

In het volgende voorbeeld wordt een nieuwe hub gemaakt. De --managed-network allow_internet_outbound parameter configureert een beheerd virtueel netwerk voor de hub:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Als u een hub wilt maken met behulp van een YAML-bestand, gebruikt u de --file parameter en geeft u het YAML-bestand op dat de configuratie-instellingen bevat:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
In het volgende YAML-voorbeeld wordt een hub gedefinieerd met een beheerd virtueel netwerk:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Een bestaande hub bijwerken:

Waarschuwing

Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-eindpunten.

In het volgende voorbeeld wordt een bestaande hub bijgewerkt. De --managed-network allow_internet_outbound parameter configureert een beheerd virtueel netwerk voor de hub:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Als u een bestaande hub wilt bijwerken met behulp van een YAML-bestand, gebruikt u de --file parameter en geeft u het YAML-bestand op dat de configuratie-instellingen bevat:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
In het volgende YAML-voorbeeld wordt een beheerd virtueel netwerk voor de hub gedefinieerd. Ook ziet u hoe u een privé-eindpuntverbinding toevoegt aan een resource die door de hub wordt gebruikt. In dit voorbeeld wordt een privé-eindpunt toegevoegd voor een Azure Blob Storage-account. Vervang in het volgende voorbeeld de tijdelijke aanduidingen <SUBSCRIPTION_ID>, <RESOURCE_GROUP> en <STORAGE_ACCOUNT_NAME> door uw eigen waarden:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Verwijzingen

Als u een beheerd virtueel netwerk wilt configureren dat uitgaand internet toestaat, gebruikt u de ManagedNetwork klasse met IsolationMode.ALLOW_INTERNET_OUTBOUND. Gebruik vervolgens het ManagedNetwork object om een nieuwe hub te maken of een bestaande hub bij te werken. Als u outbound-regels wilt definiëren om services te Azure waarop de hub afhankelijk is, gebruikt u de klasse PrivateEndpointDestination om een nieuw privé-eindpunt voor de service te definiëren.

Een nieuwe hub maken:

In het volgende voorbeeld wordt een nieuwe hub met de naam myhub gemaakt, met een uitgaande regel met de naam myrule waarmee een privé-eindpunt voor een Azure Blob Storage-account wordt toegevoegd. Vervang in het volgende voorbeeld de tijdelijke aanduidingen <SUBSCRIPTION_ID>, <RESOURCE_GROUP> en <STORAGE_ACCOUNT_NAME> door uw eigen waarden:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Verwijzingen

Een bestaande hub bijwerken:

In het volgende voorbeeld ziet u hoe u een beheerd virtueel netwerk maakt voor een bestaande hub met de naam myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Verwijzingen

Een beheerd virtueel netwerk configureren om alleen goedgekeurde uitgaande verbindingen toe te staan

Tip

Azure stelt het beheerde VNet automatisch in wanneer u een compute-resource maakt. Als u het automatisch maken toestaat, kan het ongeveer 30 minuten duren voordat de eerste rekenresource is gemaakt, omdat het netwerk ook moet worden ingesteld. Als u uitgaande FQDN-regels configureert, voegt de eerste FQDN-regel ongeveer 10 minuten toe aan de installatietijd.

Een nieuwe hub maken:
1. Meld u aan bij de Azure-portal en kies Foundry in het menu Een resource maken.
2. Kies + Nieuw Azure AI.
3. Geef de vereiste informatie op op het tabblad Basisinformatie .
4. Selecteer Privé met goedgekeurd uitgaand verkeer op het tabblad Netwerken.
5. Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken . Geef in de zijbalk voor uitgaande regels de volgende informatie op:
  - Regelnaam: een naam voor de regel. De naam moet uniek zijn voor deze hub.
  - Doeltype: privé-eindpunt, Service Tag of FQDN. Servicetag en FQDN zijn alleen beschikbaar wanneer de netwerkisolatie privé is met goedgekeurd uitgaand verkeer.
  Als het doeltype Privé-eindpunt is, voert u de volgende gegevens in:
  - Subscription: Het abonnement met de Azure resource waarvoor u een privé-eindpunt wilt toevoegen.
  - Resource-groep: De resourcegroep met de Azure resource waarvoor u een privé-eindpunt wilt toevoegen.
  - Brontype: het type Azure-bron.
  - Resource-naam: de naam van de Azure-resource.
- Subresource: De subresource van het resourcetype Azure.
Tip

Het beheerde VNet van de hub biedt geen ondersteuning voor privé-eindpunten voor alle Azure resourcetypen. Zie de sectie Privé-eindpunten voor een lijst met ondersteunde resources.

Als het doeltype servicetag is, voert u de volgende gegevens in:
- Servicetag: de servicetag die moet worden toegevoegd aan de goedgekeurde uitgaande regels.
- Protocol: het protocol dat de servicetag toestaat.
- Poortbereiken: de poortbereiken waarmee de servicetag kan worden toegestaan.
Als het doeltype FQDN is, voert u de volgende gegevens in:
- FQDN-bestemming: de volledig gekwalificeerde domeinnaam die moet worden toegevoegd aan de goedgekeurde uitgaande regels.
  
  Selecteer Opslaan om de regel op te slaan. Als u meer regels wilt toevoegen, selecteert u gebruikersgedefinieerde uitgaande regels toevoegen opnieuw.
1. Ga door met het maken van de hub zoals gebruikelijk.
Een bestaande hub bijwerken:
1. Meld u aan bij de Azure-portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.
2. Selecteer Netwerken>Privé met goedgekeurd uitgaand verkeer.
  - Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Netwerken. Voer in de zijbalk voor uitgaande regels dezelfde informatie in als bij het maken van een hub in de vorige sectie 'Een nieuwe hub maken'.
  - Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.
3. Selecteer Opslaan boven aan de pagina om de wijzigingen op te slaan in het beheerde virtuele netwerk.

Als u een beheerd virtueel netwerk wilt configureren dat alleen goedgekeurde uitgaande communicatie toestaat, gebruikt u de --managed-network allow_only_approved_outbound parameter of een YAML-configuratiebestand met de volgende vermeldingen:

managed_network:
  isolation_mode: allow_only_approved_outbound

U kunt ook uitgaande regels definiëren voor goedgekeurde uitgaande communicatie. Maak een uitgaande regel van het type service_tag, fqdnof private_endpoint. In het volgende voorbeeld wordt een privé-eindpunt toegevoegd aan een Azure Blob-resource, een servicetag voor Azure Data Factory en een FQDN voor pypi.org. Vervang in het volgende voorbeeld de tijdelijke aanduiding <SUBSCRIPTION_ID>, <RESOURCE_GROUP>, en <STORAGE_ACCOUNT_NAME> met uw waarden.

Belangrijk

Het toevoegen van een uitgaande regel voor een servicetag of FQDN is alleen geldig wanneer het beheerde VNet is geconfigureerd voor allow_only_approved_outbound.
Als u uitgaande regels toevoegt, kan Microsoft geen beveiliging garanderen tegen gegevensexfiltratie.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

U kunt een beheerd virtueel netwerk configureren met behulp van de az ml workspace create of az ml workspace update opdrachten:

Een nieuwe hub maken:

In het volgende voorbeeld wordt de --managed-network allow_only_approved_outbound parameter gebruikt om het beheerde virtuele netwerk te configureren:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Het volgende YAML-bestand definieert een hub met een beheerd virtueel netwerk:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Als u een hub wilt maken met behulp van het YAML-bestand, gebruikt u de --file parameter:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```

Een bestaande hub bijwerken

Waarschuwing

Voordat u een bestaande werkruimte bijwerkt om een beheerd virtueel netwerk te gebruiken, moet u alle rekenresources voor de werkruimte verwijderen. Dit omvat rekeninstanties, rekenclusters en beheerde online-eindpunten.

In het volgende voorbeeld wordt de --managed-network allow_only_approved_outbound parameter gebruikt om het beheerde virtuele netwerk voor een bestaande hub te configureren:

az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound

Het volgende YAML-bestand definieert een beheerd virtueel netwerk voor de hub en laat zien hoe u goedgekeurde uitgaande regels toevoegt. In dit voorbeeld worden uitgaande regels toegevoegd voor een servicetag, een FQDN en een privé-eindpunt:

name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Verwijzingen

Als u een beheerd virtueel netwerk wilt configureren dat alleen goedgekeurde uitgaande communicatie toestaat, gebruikt u de ManagedNetwork klasse om een netwerk met IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUNDte definiëren. Gebruik het ManagedNetwork object om een nieuwe hub te maken of een bestaande hub bij te werken. Gebruik de volgende klassen om uitgaande regels te definiëren:

Bestemming	Klasse
Azure-service waarop de hub afhankelijk is	`PrivateEndpointDestination`
Azure servicetag	`ServiceTagDestination`
FQDN (Fully Qualified Domain Name)	`FqdnDestination`

Een nieuwe hub maken:

In het volgende voorbeeld wordt een nieuwe hub gemaakt met de naam myhub, met verschillende uitgaande regels:

myrule - voegt een privé-eindpunt toe voor een Azure Blob-opslag.
datafactory : voegt een servicetagregel toe om te communiceren met Azure Data Factory.

Belangrijk

Voeg alleen een uitgaande regel toe voor een servicetag of FQDN wanneer u het beheerde VNet configureert op IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Als u uitgaande regels toevoegt, kan Microsoft geen beveiliging garanderen tegen gegevensexfiltratie.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Verwijzingen

Een bestaande hub bijwerken:

In het volgende voorbeeld ziet u hoe u een beheerd virtueel netwerk configureert voor een bestaande hub met de naam myhub. Er worden ook verschillende uitgaande regels toegevoegd:

myrule - Voegt een privé-eindpunt toe voor een Azure Blob-opslag.
datafactory : voegt een servicetagregel toe om te communiceren met Azure Data Factory.

Tip

U kunt alleen een uitgaande regel voor een servicetag of FQDN toevoegen wanneer u het beheerde VNet configureert voor gebruik IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Verwijzingen

Handmatig een beheerd VNet inrichten

Het beheerde virtuele netwerk wordt automatisch ingericht wanneer u een computeknooppunt maakt. Wanneer u afhankelijk bent van automatische inrichting, kan het ongeveer 30 minuten duren voordat de eerste rekeninstantie wordt gecreëerd, omdat ook het netwerk wordt ingericht. Als u uitgaande FQDN-regels configureert (alleen beschikbaar in de alleen goedgekeurde modus), voegt de eerste FQDN-regel ongeveer 10 minuten toe aan de provisietijd. Als u een grote set uitgaande regels hebt die moeten worden ingericht in het beheerde netwerk, kan het langer duren voordat het inrichten is voltooid. De toegenomen inrichtingstijd kan ertoe leiden dat er een time-out optreedt voor uw eerste rekenproces.

Als u de wachttijd wilt verminderen en time-outs wilt voorkomen, moet u het beheerde netwerk handmatig instellen. Voordat u een compute-instance maakt, wacht tot de inrichting is voltooid.

U kunt ook de provision_network_now vlag gebruiken om het beheerde netwerk in te stellen tijdens het maken van de hub.

Opmerking

Als u een model wilt implementeren voor beheerde berekeningen, moet u het beheerde netwerk handmatig inrichten of eerst een rekenproces maken. Het maken van een rekenproces richt automatisch het beheerde netwerk in.

Selecteer tijdens het maken van de werkruimte de optie het beheerde netwerk proactief inrichten bij creatie om het beheerde netwerk in te stellen. Facturering wordt gestart voor netwerkbronnen, zoals privé-eindpunten, nadat het virtuele netwerk is ingesteld. Deze optie is alleen beschikbaar tijdens het maken van de werkruimte.

In het volgende voorbeeld ziet u hoe u een beheerd virtueel netwerk inricht tijdens het maken van de hub.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

In het volgende voorbeeld ziet u hoe u een beheerd virtueel netwerk inricht.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Voer de volgende opdracht uit om te controleren of het inrichten is voltooid:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Verwijzingen

Gebruik de SDK om een beheerd virtueel netwerk in te richten en controleer vervolgens de status ervan.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Verwijzingen

Regels voor uitgaand verkeer beheren

Meld u aan bij de Azure-portal en selecteer de hub waarvoor u beheerde virtuele netwerkisolatie wilt inschakelen.
Selecteer Netwerken. Met de sectie Uitgaande toegang van Foundry kunt u uitgaande regels beheren.

Als u een uitgaande regel wilt toevoegen, selecteert u Door de gebruiker gedefinieerde uitgaande regels toevoegen op het tabblad Networking. Voer in de zijbalk Azure uitgaande AI-regels de vereiste waarden in.
Als u een regel wilt in- of uitschakelen , gebruikt u de wisselknop in de kolom Actief .
Als u een uitgaande regel wilt verwijderen , selecteert u Verwijderen voor de regel.

Vervang in de volgende opdrachten de tekst van de tijdelijke aanduiding <workspace-name><resource-group>en <rule-name> door uw waarden. Voer de volgende opdracht uit om uitgaande regels voor een beheerd virtueel netwerk voor een hub weer te geven:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Als u de details van een uitgaande regel voor een beheerd virtueel netwerk wilt weergeven, voert u het volgende uit:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Als u een uitgaande regel uit het beheerde virtuele netwerk wilt verwijderen, voert u het volgende uit:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Verwijzingen

In het volgende voorbeeld ziet u hoe u uitgaande regels voor een hub met de naam myhubbeheert. Vervang in het voorbeeld de tekst <some-rule-name> van de tijdelijke aanduiding door de naam van de regel:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Verwijzingen

MLClient

Architectuur en isolatiemodi voor netwerkisolatie

Wanneer u isolatie van beheerde virtuele netwerken inschakelt, maakt u een beheerd virtueel netwerk voor de hub. Beheerde rekenresources die u voor de hub maakt, maken automatisch gebruik van dit beheerde virtuele netwerk. Het beheerde virtuele netwerk kan privé-eindpunten gebruiken voor Azure resources die uw hub gebruikt, zoals Azure Storage, Azure Key Vault en Azure Container Registry.

Kies een van de drie uitgaande modi voor het beheerde virtuele netwerk:

Uitgaande modus	Beschrijving	Scenario's
Uitgaand internet toestaan	Sta al het uitgaande internetverkeer van het beheerde virtuele netwerk toe.	U wilt onbeperkte toegang tot machine learning-resources op internet, zoals Python pakketten of vooraf getrainde modellen.¹
Alleen goedgekeurd uitgaand verkeer toestaan	Gebruik servicetags om uitgaand verkeer toe te staan.	* U wilt het risico op gegevensexfiltratie minimaliseren, maar u moet alle vereiste machine learning-artefacten in uw privéomgeving voorbereiden. * U wilt uitgaande toegang configureren tot een goedgekeurde lijst met services, servicetags of FQDN's (Fully Qualified Domain Names).
Uitgeschakeld	Binnenkomend en uitgaand verkeer is niet beperkt.	U wilt openbare inkomende en uitgaande verbindingen van de hub.

¹ U kunt uitgaande regels gebruiken met de modus alleen goedgekeurde uitgaande toestaan om hetzelfde resultaat te bereiken als het gebruik van internetuitgaand toestaan. De verschillen zijn:

Gebruik altijd privé-eindpunten voor toegang tot Azure resources.
U moet regels toevoegen voor elke uitgaande verbinding die u moet toestaan.
Het toevoegen van FQDN-regels (Fully Qualified Domain Name) verhoogt de kosten, omdat voor dit regeltype Azure Firewall wordt gebruikt. Als u uitgaande FQDN-regels gebruikt, worden de kosten voor Azure Firewall in uw facturering opgenomen. Zie Prijzen voor meer informatie.
De standaardregels voor het toestaan van alleen goedgekeurde uitgaande verbindingen zijn ontworpen om het risico van gegevensexfiltratie te minimaliseren. Regels die u toevoegt voor uitgaande verbindingen kunnen uw risico verhogen.

Het beheerde virtuele netwerk is vooraf geconfigureerd met de vereiste standaardregels. De hub configureert ook privé-eindpuntverbindingen met uw hub, het standaardopslagaccount, het containerregister en de sleutelkluis van de hub wanneer deze resources zijn ingesteld op privé of wanneer de isolatiemodus is ingesteld op alleen goedgekeurd uitgaand verkeer. Nadat u een isolatiemodus hebt gekozen, voegt u eventuele andere uitgaande regels toe die u nodig hebt.

In het volgende diagram ziet u een beheerd virtueel netwerk dat is geconfigureerd om uitgaand internet toe te staan:

In het volgende diagram ziet u een beheerd virtueel netwerk dat is geconfigureerd om alleen goedgekeurde uitgaande verbindingen toe te staan:

Opmerking

In deze configuratie worden de opslag, sleutelkluis en het containerregister die door de hub worden gebruikt, ingesteld op privé. Omdat ze privé zijn, gebruikt de hub privé-eindpunten om ze te bereiken.

Opmerking

Als u toegang wilt krijgen tot een privéopslagaccount vanuit een openbare Foundry-hub, gebruikt u Foundry vanuit het virtuele netwerk van uw opslagaccount. Toegang tot Foundry vanuit het virtuele netwerk zorgt ervoor dat u acties kunt uitvoeren, zoals het uploaden van bestanden naar het privéopslagaccount. Het privéopslagaccount is onafhankelijk van de netwerkinstellingen van uw Foundry-hub. Zie Configure Azure Storage firewalls en virtuele netwerken.

Lijst met vereiste regels

Tip

Deze regels worden automatisch toegevoegd aan het beheerde virtuele netwerk (VNet).

Privé-eindpunten:

Wanneer u de isolatiemodus voor het beheerde virtuele netwerk instelt op Allow internet outbound, maakt Foundry automatisch vereiste uitgaande regels voor privé-eindpunten van het beheerde virtuele netwerk voor de hub en gekoppelde resources waarvoor openbare netwerktoegang is uitgeschakeld (Azure Key Vault, opslagaccount, Azure Container Registry en hub).
Wanneer u de isolatiemodus voor het beheerde virtuele netwerk instelt op Allow only approved outbound, maakt Foundry automatisch vereiste uitgaande regels voor privé-eindpunten van het beheerde virtuele netwerk voor de hub en gekoppelde resources, ongeacht de instelling voor openbare netwerktoegang voor deze resources (Azure Key Vault, opslagaccount, Azure Container Registry en hub).

Foundry vereist een set servicetags voor privénetwerken. Vervang de vereiste servicetags niet. In de volgende tabel worden elke vereiste servicetag en het doel ervan in Foundry beschreven.

Servicetagregel	Inkomend of uitgaand	Purpose
`AzureMachineLearning`	Inkomende	Compute-exemplaren en clusters van Foundry maken, bijwerken en verwijderen.
`AzureMachineLearning`	Uitgaande	Het gebruik van Azure Machine Learning services. Python IntelliSense in notebooks maakt gebruik van poort 18881. Het maken, bijwerken en verwijderen van een Azure Machine Learning rekenproces maakt gebruik van poort 5831.
`AzureActiveDirectory`	Uitgaande	Verificatie met behulp van Microsoft Entra ID.
`BatchNodeManagement.region`	Uitgaande	Communicatie met de Azure Batch back-end voor Foundry-rekeninstanties en -clusters.
`AzureResourceManager`	Uitgaande	Maak Azure resources met foundry, Azure CLI en de Microsoft Foundry SDK.
`AzureFrontDoor.FirstParty`	Uitgaande	Toegang tot Docker-installatiekopieën van Microsoft.
`MicrosoftContainerRegistry`	Uitgaande	Toegang tot Docker-installatiekopieën van Microsoft. Stel de Foundry-router in voor Azure Kubernetes Service.
`AzureMonitor`	Uitgaande	Logboeken en metrische gegevens verzenden naar Azure Monitor. Alleen nodig als u Azure Monitor voor de werkruimte niet hebt beveiligd. Deze uitgaande regel registreert ook informatie voor ondersteuningsincidenten.
`VirtualNetwork`	Uitgaande	Vereist wanneer privé-eindpunten aanwezig zijn in het virtuele netwerk of gekoppelde virtuele netwerken.

Lijst met scenariospecifieke uitgaande regels

Scenario: Toegang krijgen tot openbare machine learning-pakketten

Als u Python-pakketten voor training en implementatie wilt installeren, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hostnamen toe te staan:

Opmerking

Deze lijst bevat algemene hosts voor Python bronnen op internet. Als u toegang nodig hebt tot een GitHub opslagplaats of een andere host, identificeert en voegt u de hosts toe die vereist zijn voor uw scenario.

Hostnaam	Purpose
`anaconda.com` `*.anaconda.com`	Wordt gebruikt om standaardpakketten te installeren.
`*.anaconda.org`	Wordt gebruikt om opslagplaatsgegevens op te halen.
`pypi.org`	Hiermee worden afhankelijkheden van de standaardindex weergegeven als gebruikersinstellingen deze niet overschrijven. Als u de index overschrijft, zorg er ook voor dat `*.pythonhosted.org` is toegestaan.
`pytorch.org` `*.pytorch.org`	Wordt gebruikt door sommige voorbeelden op basis van PyTorch.
`*.tensorflow.org`	Wordt gebruikt door enkele voorbeelden op basis van TensorFlow.

Scenario: Visual Studio Code gebruiken

Visual Studio Code is afhankelijk van specifieke hosts en poorten om een externe verbinding tot stand te brengen.

Hosts

Gebruik deze hosts om Visual Studio Code pakketten te installeren en een externe verbinding tot stand te brengen met de rekeninstanties van uw project.

Opmerking

Deze lijst bevat niet alle hosts die vereist zijn voor alle Visual Studio Code resources op internet. Als u bijvoorbeeld toegang nodig hebt tot een GitHub opslagplaats of andere host, moet u de vereiste hosts voor dat scenario identificeren en toevoegen. Zie Network Connections in Visual Studio Code voor een volledige lijst met hostnamen.

Hostnaam	Purpose
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Vereist voor toegang tot VS Code voor het web (vscode.dev).
`code.visualstudio.com`	Vereist voor het downloaden en installeren van HET VS Code-bureaublad. Deze host is niet vereist voor VS Code Web.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Downloadt VS Code Server-onderdelen naar het rekenproces tijdens het instellen van scripts.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Vereist voor het downloaden en installeren van VS Code-extensies. Deze hosts maken de externe verbinding mogelijk voor rekeninstanties. Zie Aan de slag met Foundry-projecten in VS Code voor meer informatie.
`vscode.download.prss.microsoft.com`	Fungeert als de download-CDN voor Visual Studio Code.

Poorten

Netwerkverkeer naar poorten 8704 tot en met 8710 toestaan. De VS Code-server selecteert de eerste beschikbare poort in dit bereik.

Scenario: Hugging Face-modellen gebruiken

Als u Hugging Face-modellen wilt gebruiken met de hub, voegt u uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Scenario: Modellen die rechtstreeks worden verkocht door Azure

Deze modellen installeren afhankelijkheden tijdens runtime. Voeg uitgaande FQDN-regels toe om verkeer naar de volgende hosts toe te staan:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Privé-eindpunten

Azure services ondersteunen momenteel privé-eindpunten voor de volgende services:

Foundry-centrum
Azure AI Zoeken
Gieterijgereedschappen
Azure API Management
- Ondersteunt alleen de klassieke laag zonder VNet-injectie en de Standard V2-laag met virtuele netwerkintegratie. Zie Virtual Network Concepts voor meer informatie over virtuele API Management-netwerken.
Azure Container Registry
Azure Cosmos DB (alle subresourcetypen)
Azure Data Factory
Azure Database for MariaDB
Azure Database voor MySQL
Azure Database for PostgreSQL Enkele Server
Azure Database for PostgreSQL Flexibele Server
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Machine Learning registraties
Azure Cache voor Redis
Azure SQL Server
Azure Storage (alle subresourcetypen)
Application Insights (via PrivateLinkScopes)

Wanneer u een privé-eindpunt maakt, geeft u het resourcetype en de subresource op waarmee het eindpunt verbinding maakt. Sommige resources hebben meerdere typen en subresources. Zie wat een privé-eindpunt is voor meer informatie.

Wanneer u een privé-eindpunt maakt voor hubafhankelijkheidsresources, zoals Azure Storage, Azure Container Registry en Azure Key Vault, kan de resource zich in een ander Azure abonnement bevinden. De resource moet echter zich in dezelfde tenant bevinden als de hub.

Als u een van de Azure resources selecteert die eerder als doelresource worden vermeld, maakt de service automatisch een privé-eindpunt voor de verbinding. Geef een geldige doel-id op voor het privé-eindpunt. Voor een verbinding kan de doelidentificatie de Azure Resource Manager-identificatie van een bovenliggende resource zijn. Neem de target ID op in het doel van de verbinding of in metadata.resourceid. Zie Een nieuwe verbinding toevoegen in Foundry Portal voor meer informatie over verbindingen.

Goedkeuring van privé-eindpunten

Als u privé-eindpuntverbindingen wilt maken in beheerde virtuele netwerken met behulp van Foundry, moet de beheerde identiteit van de werkruimte (door het systeem toegewezen of door de gebruiker toegewezen) en de gebruikersidentiteit die het privé-eindpunt maakt, gemachtigd zijn om de privé-eindpuntverbindingen voor de doelbronnen goed te keuren. Voorheen heeft de Foundry-service deze machtiging verleend via automatische roltoewijzingen. Vanwege beveiligingsproblemen met automatische roltoewijzingen, vanaf 30 april 2025, stopt de service met deze automatische machtigingstoekennatielogica. Wijs de rol Azure AI Enterprise Network Connection Approver toe of een aangepaste rol met de benodigde machtigingen voor privé-eindpuntverbindingen voor de doelresourcetypen en verdeel deze rol aan de beheerde identiteit van de Foundry-hub om Foundry privé-eindpuntverbindingen met de Azure doelresourcebronnen goed te laten keuren.

Hier volgt de lijst met doelresourcetypen voor privé-eindpunten die worden gedekt door de rol Azure AI Enterprise Network Connection Approver:

Azure Application Gateway
Azure Monitor
Azure AI Zoeken
Azure Event Hubs
Azure SQL Database
Azure Storage
Azure Machine Learning werkruimte
Azure Machine Learning-registratie
Gieterij
Azure Key Vault
Azure Cosmos DB
Azure Database voor MySQL
Azure Databank voor PostgreSQL
Gieterijgereedschappen
Azure Cache voor Redis
Azure Container Registry
Azure API Management

Om uitgaande regels voor privé-eindpunten te maken voor doelresourcetypen die niet onder de rol Azure AI Enterprise Network Connection Approver vallen, zoals Azure Data Factory, Azure Databricks en Azure Function Apps, moet een aangepaste, beperkende rol worden gebruikt die alleen is gedefinieerd door de noodzakelijke acties om privé-eindpunten voor de doelresourcetypen goed te keuren.

Als u uitgaande regels wilt maken voor privé-eindpunt voor de standaardresources van de werkruimte, worden de vereiste machtigingen verleend via roltoewijzingen bij het aanmaken van de werkruimte, waardoor u geen verdere actie hoeft te ondernemen.

Selecteer een Azure Firewall-versie om alleen goedgekeurd uitgaand verkeer toe te staan

Azure Firewall wordt geïmplementeerd wanneer u in de modus alleen goedgekeurde uitgaande een uitgaande FQDN-regel toevoegt. Azure Firewall kosten worden toegevoegd aan uw factuur. Standaard wordt een Standard-versie van Azure Firewall gemaakt. Of, selecteer de Basicversie. Wijzig de firewallversie op elk gewenst moment. Als u wilt weten welke versie aan uw behoeften voldoet, gaat u naar Choose u de juiste Azure Firewall versie.

Belangrijk

Azure Firewall wordt pas gemaakt als u een uitgaande FQDN-regel toevoegt. Zie Azure Firewall prijzen en bekijk prijzen voor de Standard-versie voor meer informatie over prijzen.

Gebruik deze tabbladen om te zien hoe u de firewallversie voor uw beheerde virtuele netwerk selecteert.

Nadat u de modus alleen goedgekeurd uitgaand toestaan hebt geselecteerd, verschijnt de optie om de Azure Firewall-versie (SKU) te selecteren. Selecteer Standaard of Basis. Selecteer Opslaan.

Als u de firewallversie wilt instellen met behulp van Azure CLI, gebruikt u een YAML-bestand en geeft u firewall_sku op. In het volgende voorbeeld wordt de firewall-SKU ingesteld op basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Als u de firewallversie wilt instellen met behulp van de Python SDK, stelt u de eigenschap firewall_sku van het ManagedNetwork-object in. In het volgende voorbeeld wordt de firewall-SKU ingesteld op basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Verwijzingen

Prijzen

De functie beheerd virtueel netwerk van de hub is gratis, maar u betaalt voor de volgende resources die door het beheerde virtuele netwerk worden gebruikt:

Azure Private Link: privé-eindpunten die de communicatie tussen het beheerde virtuele netwerk en Azure resources beveiligen, gebruiken Azure Private Link. Zie Azure Private Link prijzen voor prijzen.
Uitgaande FQDN-regels: Azure Firewall dwingt deze regels af. Als u uitgaande FQDN-regels gebruikt, worden Azure Firewall kosten weergegeven op uw factuur. De standaardversie van Azure Firewall wordt standaard gebruikt. Zie Selecteer een Azure Firewall-versie om de Basic-versie te selecteren. Azure Firewall wordt per hub ingericht.

Belangrijk

Azure Firewall wordt pas gemaakt als u een uitgaande FQDN-regel toevoegt. Als u geen FQDN-regels gebruikt, worden er geen kosten in rekening gebracht voor Azure Firewall. Zie Azure Firewall prijzen voor prijzen.

Beperkingen

Foundry ondersteunt isolatie van beheerde virtuele netwerken voor rekenresources. Foundry biedt geen ondersteuning voor het meenemen van uw eigen virtuele netwerk voor rekenisolatie. Dit scenario verschilt van de Azure Virtual Network vereist voor toegang tot Foundry vanuit een on-premises netwerk.
Nadat u beheerde isolatie van virtuele netwerken hebt ingeschakeld, kunt u deze niet uitschakelen.
Het beheerde virtuele netwerk maakt gebruik van een privé-eindpunt om verbinding te maken met privébronnen. U kunt geen privé-eindpunt en een service-eindpunt op dezelfde Azure resource gebruiken, zoals een opslagaccount. Gebruik privé-eindpunten voor alle scenario's.
Wanneer u Foundry verwijdert, verwijdert de service het beheerde virtuele netwerk.
Met alleen goedgekeurde uitgaande verbindingen activeert Foundry automatisch de gegevens-exfiltratiepreventie. Als u andere uitgaande regels, zoals FQDN's, toevoegt, kan Microsoft geen beveiliging garanderen tegen gegevensexfiltratie naar deze bestemmingen.
Uitgaande FQDN-regels verhogen de kosten voor beheerde virtuele netwerken omdat ze gebruikmaken van Azure Firewall. Zie Prijzen voor meer informatie.
Uitgaande FQDN-regels ondersteunen alleen poorten 80 en 443.
Als u het openbare IP-adres van een rekenproces wilt uitschakelen, voegt u een privé-eindpunt toe aan een hub.
Voer voor een rekenproces in een beheerd netwerk az ml compute connect-ssh uit om verbinding te maken via SSH.
Als uw beheerde netwerk is geconfigureerd om alleen goedgekeurd uitgaand verkeer toe te staan, kunt u geen FQDN-regel gebruiken voor toegang tot Azure Storage-accounts. Gebruik in plaats daarvan een privé-eindpunt.

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-01

Een beheerd netwerk instellen voor Microsoft Foundry-hubs (klassiek)

Voorwaarden

Een beheerd virtueel netwerk configureren om uitgaand internet toe te staan

Een beheerd virtueel netwerk configureren om alleen goedgekeurde uitgaande verbindingen toe te staan

Handmatig een beheerd VNet inrichten

Regels voor uitgaand verkeer beheren

Architectuur en isolatiemodi voor netwerkisolatie

Lijst met vereiste regels

Lijst met scenariospecifieke uitgaande regels

Scenario: Toegang krijgen tot openbare machine learning-pakketten

Scenario: Visual Studio Code gebruiken

Hosts

Poorten

Scenario: Hugging Face-modellen gebruiken

Scenario: Modellen die rechtstreeks worden verkocht door Azure

Privé-eindpunten

Goedkeuring van privé-eindpunten

Selecteer een Azure Firewall-versie om alleen goedgekeurd uitgaand verkeer toe te staan

Prijzen

Beperkingen

Verwante inhoud

Feedback

Aanvullende resources