Beheerd virtueel netwerk configureren voor Microsoft Foundry-projecten

In dit artikel wordt uitgelegd hoe u een beheerd virtueel netwerk instelt voor uw Foundry-resource. Het beheerde virtuele netwerk stroomlijnt en automatiseert netwerkisolatie voor uw Foundry-resource door een Microsoft beheerd virtueel netwerk in te richten waarmee de Agents-service onderliggende rekenkracht binnen uw Foundry-projecten wordt beveiligd. Wanneer dit is ingeschakeld, wordt uitgaand netwerkverkeer van agents beveiligd door deze beheerde netwerkgrens en bepaalt de isolatiemodus die u kiest al het verkeer. U kunt de vereiste privé-eindpunten maken voor afhankelijke Azure-services en de benodigde netwerkregels toepassen, zodat u een veilige standaardwaarde krijgt zonder dat u uw eigen virtuele netwerk hoeft te bouwen of te onderhouden. Dit beheerde netwerk beperkt waartoe uw agents toegang hebben, waardoor exfiltratie van gegevens wordt voorkomen terwijl er nog steeds verbinding is met goedgekeurde Azure resources.

Beheerd virtueel netwerk ondersteunt nu Prompt- en Hosted Agent-services met de nieuwe Responses API en in de nieuwe Foundry Portal. De huidige ondersteunde regio's voor een beheerd virtueel netwerk met de nieuwe agentservice en de nieuwe Foundry-portal zijn: VS - oost , VS - oost2, Japan - oost, Frankrijk - centraal, UAE - noord, Brazilië - zuid, Spanje - centraal, Duitsland - west- centraal, Italië - noord, VS - zuid-centraal, Australië - oost, Zweden - centraal, Canada - oost, Zuid-Afrika - noord, VS - west, VS - west 3, India - zuid en VK - zuid. Aanvullende ondersteuning voor regio's om binnenkort te volgen.

Voordat u verdergaat, moet u rekening houden met de beperkingen van het aanbod en de vereisten bekijken.

Isolatiemodi begrijpen

Wanneer u isolatie van beheerde virtuele netwerken inschakelt, maakt u een beheerd virtueel netwerk voor het Foundry-account dat is gemaakt in de Microsoft-tenant. Elke nieuwe agent die u in uw projecten bouwt, maakt automatisch gebruik van het beheerde virtuele netwerk voor uitgaand verkeer. Het beheerde virtuele netwerk kan privé-eindpunten gebruiken voor Azure resources die uw agents gebruiken, zoals Azure Storage, Azure Cosmos DB en Azure AI Zoeken.

Opmerking

De diagrammen in dit artikel vertegenwoordigen alleen logische connectiviteit. Beheerde privé-eindpunten in een Foundry-beheerd virtueel netwerk maken geen door de klant zichtbare netwerkinterfaces (NIC's). In tegenstelling tot standaard-VNet-privé-eindpunten die een NIC maken met een privé-IP in uw subnet, worden beheerde privé-eindpunten volledig beheerd door Microsoft en geabstraheerd van de resources van het virtuele netwerk van de klant. U ziet deze eindpunten of gekoppelde NIC's niet in uw abonnement.

Er bestaan twee verschillende configuratiemodi voor uitgaand verkeer van het beheerde virtuele netwerk:

Uitgaande modus	Beschrijving	Scenario's
Uitgaand internetverkeer toestaan	Dit staat al het uitgaande verkeer naar internet toe.	Onbeperkte uitgaande toegang is acceptabel; brede connectiviteit vereist.
Alleen goedgekeurd uitgaand verkeer toestaan	Beperkt uitgaand verkeer met behulp van servicetags, privé-eindpunten en optionele FQDN-regels (poorten 80, 443) die worden afgedwongen via Azure Firewall.	Minimaliseer gegevensexfiltratierisico; een gecureerde lijst met bestemmingen vereisen.
Uitgeschakeld	Isolatie van beheerde virtuele netwerken is niet ingeschakeld, tenzij aangepast virtueel netwerk wordt gebruikt.	Publieke uitgaande verbinding nodig of van plan om een eigen virtueel netwerk te leveren.

In het volgende architectuurdiagram ziet u een beheerd netwerk in allow internet outbound de modus.

In het volgende architectuurdiagram ziet u een beheerd netwerk in allow only approved outbound de modus.

Nadat u een beheerd virtueel netwerk Foundry hebt geconfigureerd om uitgaand internet toe te staan, kunt u de resource niet opnieuw configureren om deze uit te schakelen. Zodra u een beheerde virtuele netwerkresource hebt geconfigureerd om alleen goedgekeurde uitgaande verbindingen toe te staan, kunt u de resource niet opnieuw configureren om uitgaand internet toe te staan.

Voorwaarden

Voordat u de stappen in dit artikel volgt, moet u ervoor zorgen dat u over de volgende vereisten beschikt:

Een Azure-abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Azure CLI geïnstalleerd. Vereist voor het maken van uitgaande regels van het beheerde netwerk.
De Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search en Microsoft.ContainerService-resourceproviders die zijn geregistreerd voor uw Azure-abonnement. Zie Resourceprovider registreren voor meer informatie.
Machtigingen voor het implementeren van een beheerde netwerkresource. Azure AI Account Owner binnen het Foundry-bronbereik is nodig voor het aanmaken van een Foundry-account en -project. Owner of Role Based Access Administrator is nodig om RBAC toe te wijzen aan de vereiste bronnen. Azure AI User voor projectomvang is vereist voor het creëren en bouwen van agents.
Voldoende quotum voor alle resources in uw doelregio Azure. Als er geen parameters worden doorgegeven, maakt deze sjabloon een Foundry-resource, Foundry-project, Azure Cosmos DB voor NoSQL, Azure AI Zoeken en Azure Storage account.

Beperkingen

Houd rekening met de volgende beperkingen voordat u beheerde netwerkisolatie inschakelt voor uw Foundry-resource.

U kunt een beheerde netwerk foundry-resource op drie manieren implementeren.
Bicep sjabloon in de map 18-managed-virtual-network in foundry-samples
Terraform-sjabloon in de map 18-managed-virtual-network in foundry-samples
az rest en Azure CLI opdrachten az cognitiveservices. Meer informatie over Azure CLI ondersteuning in dit artikel hieronder.
Er is nog geen Azure Portal ui-ondersteuning voor het maken van het beheerde netwerk. Ondersteuning komt binnenkort beschikbaar.
Zodra uw Foundry-resource is gemaakt, moet u ervoor zorgen dat u de beheerde identiteit van de Foundry-resource hebt toegewezen aan de ingebouwde rol van Azure AI Enterprise Network Connection Approver (rol-id: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) om ervoor te zorgen dat het vereiste privé-eindpunt voor de Foundry-resource wordt gemaakt en goedgekeurd.
U kunt beheerde isolatie van virtuele netwerken niet uitschakelen nadat u deze hebt ingeschakeld. Er is geen upgradepad van een aangepast virtueel netwerk dat is ingesteld op een beheerd virtueel netwerk. Het opnieuw implementeren van Foundry-resources is vereist. Als u de Foundry-resource verwijdert, wordt het beheerde virtuele netwerk verwijderd.
Ondersteuning voor beheerd virtueel netwerk bevindt zich alleen in de volgende regio's: VS - oost , VS - oost2, Japan - oost, Frankrijk - centraal, UAE - noord, Brazilië - zuid, Spanje - centraal, Duitsland - west- centraal, Italië - noord, VS - zuid, Australië - oost, Zweden - centraal, Canada - oost, Zuid-Afrika - noord, VS - west, VS - west 3, India - zuid en VK - zuid. Aanvullende ondersteuning voor regio's om binnenkort te volgen.
Als u persoonlijke toegang tot on-premises resources voor uw Foundry-resource nodig hebt, gebruikt u Application Gateway om on-premises toegang te configureren. Dezelfde instelling met een privé-eindpunt voor Application Gateway en het instellen van back-endpools wordt ondersteund. Zowel L4- als L7-verkeer worden nu ondersteund met de Application Gateway in GA.
Als u FQDN-uitgaanderegels maakt wanneer het beheerde virtuele netwerk zich in de modus Alleen goedgekeurde uitgaande verbindingen toestaan bevindt, wordt er een beheerde Azure Firewall gemaakt, waarbij bijbehorende firewallkosten worden toegepast. Zie Prijzen voor meer informatie over prijzen. De uitgaande FQDN-regels ondersteunen alleen poorten 80 en 443.
U kunt uw eigen Azure Firewall niet meenemen naar het beheerde virtuele netwerk. Er wordt automatisch een beheerde firewall gemaakt voor uw Foundry-account wanneer u alleen goedgekeurde uitgaande modus toestaan gebruikt.
U kunt dezelfde beheerde firewall niet opnieuw gebruiken voor meerdere Foundry-accounts. Elk Foundry-account maakt een eigen beheerde firewall wanneer u de modus alleen goedgekeurd uitgaand verkeer toestaan gebruikt.
Als u nieuwe projecten maakt in uw Foundry-resource waarvoor een beheerd virtueel netwerk is ingeschakeld, moet u de host voor projectfunctionaliteit opnieuw maken om ervoor te zorgen dat het project gebruikmaakt van de BYO-resources en het beheerde netwerk. Meer instructies vindt u in de README voor het instellen van beheerde netwerken in de opslagplaats foundry-samples.

Isolatiemodus voor beheerde virtuele netwerken implementeren

Volg de onderstaande stappen om aan de slag te gaan met het implementeren van een beheerde virtuele netwerk Foundry-resource.

Azure CLI
Bicep / Terraform

Stap 1: het AI Services-account maken met netwerkinjecties

Het account moet worden gemaakt met customSubDomainName, allowProjectManagementen networkInjections ingesteld tijdens het maken. Deze eigenschappen kunnen niet worden toegevoegd nadat het account is gemaakt.

Belangrijk

U moet az rest opdrachten gebruiken voor het maken van accounts met netwerkinjecties, omdat de Azure CLI nog geen ondersteuning biedt voor het maken van een Foundry-resource met netwerkinjectie.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2025-10-01-preview" \
  --body '{
    "location": "{region}",
    "kind": "AIServices",
    "sku": { "name": "S0" },
    "identity": { "type": "SystemAssigned" },
    "properties": {
      "allowProjectManagement": true,
      "customSubDomainName": "{account-name}",
      "networkInjections": [
        {
          "scenario": "agent",
          "subnetArmId": "",
          "useMicrosoftManagedNetwork": true
        }
      ],
      "disableLocalAuth": false
    }
  }' \
  --headers "Content-Type=application/json"

Wacht tot provisioningStateSucceeded heeft bereikt voordat u doorgaat:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2025-10-01-preview" \
  --query "properties.provisioningState" -o tsv

Stap 2: De Principal ID van de beheerde identiteit ophalen

Haal de door het systeem toegewezen principal-id van de beheerde identiteit op uit het account:

az cognitiveservices account show \
  --resource-group {resource-group} \
  --name {account-name} \
  --query identity.principalId -o tsv

Stap 3: De rol Fiatteur voor netwerkverbinding toewijzen

Wijs de rol Azure AI Enterprise Network Connection Approver (rol-id: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) toe aan de beheerde identiteit van het Foundry-account. Hierdoor kunnen privé-eindpunten van het beheerde netwerk automatisch worden goedgekeurd.

az role assignment create \
  --assignee-object-id {principal-id} \
  --assignee-principal-type ServicePrincipal \
  --role "b556d68e-0be0-4f35-a333-ad7ee1ce17ea" \
  --scope /subscriptions/{subscription-id}/resourceGroups/{resource-group}

Opmerking

Als uw doelresources (Storage, Cosmos DB, AI Search) zich in een andere resourcegroep bevinden, moet u de roltoewijzing toewijzen aan die resourcegroep of aan het abonnement.

Stap 4: Het beheerde netwerk maken

Creëer de subresource van het beheerde netwerk op het account. Hiermee wordt de netwerkisolatiemodus ingesteld en wordt de netwerkinfrastructuur ingesteld.

Een beheerd netwerk maken met Uitgaand internet toestaan:

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_internet_outbound

Een beheerd netwerk maken met Alleen goedgekeurd uitgaand verkeer toestaan:

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_only_approved_outbound \
  --firewall-sku Standard

U kunt implementeren met behulp van de Bicep- of Terraform-sjablonen in de opslagplaats foundry-samples:

Bicep: 18-managed-virtual-network
Terraform: 18-managed-virtual-network

Voor Bicep:

Klonen of downloaden de foundry-samples opslagplaats.
Open de managed-network.bicep sjabloon in de map modules-network-secured.
Stel de parameter IsolationMode voor de isolatiemodus in, afhankelijk van de geselecteerde isolatiemodus: AllowInternetOutbound of AllowOnlyApprovedOutbound.
Selecteer in het bestand README.md de knop Deploy naar Azure. Met deze actie opent u de sjabloon in de Azure-portal voor een snelle implementatie.
Voltooi al uw parameters voordat u implementeert, zoals regio, resourcegroep, naam van virtueel netwerk en andere. Als u uw eigen Cosmos DB, Opslag of Zoekfunctie meeneemt, moet u ervoor zorgen dat de resource-ID's ook zijn opgenomen.
Implementeer ten slotte de sjabloon. Sjabloonimplementatie duurt ongeveer 30 minuten.

Voor Terraform:

Kloon of download de foundry-samples opslagplaats.
Navigeer naar de infrastructure/infrastructure-setup-terraform/18-managed-virtual-network map.
Configureer de vereiste variabelen voor uw omgeving (regio, resourcegroep, isolatiemodus en eventuele bestaande resource-id's).
Run terraform init, terraform plan, en terraform apply om te implementeren.

Zie Microsoft voor meer informatie over de parameters die vereist zijn voor de implementatie van een beheerd virtueel netwerk. CognitiveServices/accounts/managedNetworks.

Implementatie van beheerd virtueel netwerk controleren

Nadat de implementatie is voltooid, controleert u of het beheerde virtuele netwerk juist is geconfigureerd.

Azure CLI
Bicep

Controleer of de Foundry-resource bestaat en of het beheerde netwerk is ingeschakeld:
```
az cognitiveservices account managed-network show \
  --resource-group {resource-group} \
  --name {account-name}
```
Het antwoord moet de isolationMode weergeven die is ingesteld op uw gekozen modus (AllowInternetOutbound of AllowOnlyApprovedOutbound).

Alle uitgaande regels en hun status weergeven:

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Een specifieke uitgaande regel weergeven:

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Test agentconnectiviteit door een basisagent te maken en uit te voeren in uw Foundry-project. Als de agent succesvol is voltooid, werkt het beheerde netwerk correct.

Controleer of de Foundry-resource bestaat en of het beheerde netwerk is ingeschakeld:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2025-10-01-preview" \
  --query "properties.managedNetwork"

In het antwoord moet de isolationMode set naar uw gekozen modus worden weergegeven (AllowInternetOutbound of AllowOnlyApprovedOutbound).

Vermeld de beheerde privé-eindpunten om te bevestigen dat ze zijn gemaakt:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2025-10-01-preview" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

Test agentconnectiviteit door een basisagent te maken en uit te voeren in uw Foundry-project. Als de Agent succesvol is voltooid, functioneert het beheerde netwerk correct.

Regels voor uitgaand verkeer beheren

Na de implementatie kunt u uitgaande regels toevoegen, bijwerken, weergeven en verwijderen om te bepalen welke bestemmingen uw beheerde netwerk kan bereiken. De volgende typen uitgaande regels worden ondersteund:

Type	Beschrijving	Voorbeeldbestemming
`fqdn`	Hiermee staat u uitgaand verkeer naar een volledig gekwalificeerde domeinnaam toe.	`"*.openai.azure.com"`
`privateendpoint`	Hiermee staat u uitgaand verkeer toe via een privé-eindpuntregel.	JSON voor configuratie van privé-eindpunten
`servicetag`	Hiermee kunt u uitgaand verkeer naar Azure-service-tags, protocollen en poortbereiken toestaan.	`'{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'`

Azure CLI
Bicep

Een uitgaande FQDN-regel maken of bijwerken

Gebruik een FQDN-regel om verkeer naar een domeinnaam of jokertekendomein toe te staan.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type fqdn \
  --destination "*.openai.azure.com"

Een uitgaande regel voor een servicetag maken of bijwerken

Gebruik een servicetagregel om verkeer naar een Azure servicetag toe te staan via een specifiek protocol en poortbereik.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type servicetag \
  --destination '{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'

Een regel voor uitgaande verbindingen van een privé-eindpunt maken of bijwerken.

Gebruik een privé-eindpuntregel om verkeer via een privé-eindpunt naar een Azure resource toe te staan.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type privateendpoint \
  --destination '{"serviceResourceId":"/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Storage/storageAccounts/{storage-name}","subresourceTarget":"blob"}'

Algemene subresourcedoelen zijn blob voor Azure Storage, searchService voor Azure AI Zoeken, Sql voor Azure Cosmos DB en vault voor Azure Key Vault.

Regels voor uitgaand verkeer weergeven

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Een uitgaande regel weergeven

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Uitgaande regels bulksgewijs maken of bijwerken

Hiermee bulk-set kunt u meerdere uitgaande regels maken of bijwerken vanuit een YAML- of JSON-bestand.

az cognitiveservices account managed-network outbound-rule bulk-set \
  --resource-group {resource-group} \
  --name {account-name} \
  --file rules.yaml

Een uitgaande regel verwijderen

az cognitiveservices account managed-network outbound-rule remove \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Gebruik de az rest opdracht om uitgaande regels bij te werken met behulp van de ARM REST API. In het volgende voorbeeld wordt een uitgaande regel naar een privé-eindpunt toegevoegd voor een Azure Cosmos DB-resource.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2025-10-01-preview" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

Vervang de tijdelijke aanduidingen door waarden voor uw omgeving. Wijzigt u de waarden van serviceResourceId en subresourceTarget dienovereenkomstig voor andere resourcetypen. Algemene subresourcedoelen zijn blob voor Azure Storage, searchService voor Azure AI Zoeken en vault voor Azure Key Vault.

Volg de instructies in het CLI-bestand met uitgaande regels in de opslagplaats foundry-samples voor meer informatie.

Zie voor meer informatie over de parameters die vereist zijn voor uitgaande regels van beheerde virtuele netwerken Microsoft.CognitiveServices/accounts/managedNetworks/outboundRules.

Selecteer Azure Firewall versie

Voor het beheerde virtuele netwerk wordt automatisch een Azure Firewall ingericht wanneer u een uitgaande FQDN-regel toevoegt in Alleen goedgekeurde uitgaandemodus.

De standaard-SKU is Standaard voor de firewall. U kunt in plaats daarvan de Basic-SKU selecteren voor lagere kosten als geavanceerde functies niet vereist zijn. Zie Prijzen voor meer informatie over prijzen. Zodra u een firewall-SKU bij de implementatie selecteert, kunt u deze niet meer wijzigen na de implementatie. Omdat dit een beheerde firewall is, bevindt de firewall zich niet in uw tenant of in uw beheer. De enige instelling die u kunt beheren, is de firewall-SKU.

Privé-eindpunten

Wanneer u een beheerd virtueel netwerk inschakelt, kunt u beheerde privé-eindpunten maken, zodat agents veilig vereiste Azure resources kunnen bereiken zonder het openbare internet te gebruiken. Deze privé-eindpunten bieden een geïsoleerde, privé-IP-verbinding van het beheerde netwerk met services zoals Storage, AI Search en andere afhankelijkheden die worden gebruikt in uw Foundry-projecten. In tegenstelling tot door de klant beheerde virtuele netwerken, maken beheerde privé-eindpunten in Foundry geen netwerkinterface of subnetconfiguratie beschikbaar voor de klant. De privé-IP-connectiviteit wordt volledig beheerd door Microsoft en wordt niet weergegeven als een NIC in het abonnement van de klant.

De volgende resources ondersteunen privé-eindpunten vanuit het beheerde netwerk. U moet de CLI gebruiken om privé-eindpunten te maken.

Microsoft Foundry (AI Services)
Azure Application Gateway (maakt verbinding met uw on-premises resources met behulp van L4- of L7-verkeer)
Azure API Management (ondersteunt alleen de klassieke laag zonder VNet-injectie en de Standard V2-laag met integratie van virtuele netwerken)
Azure AI Zoeken
Azure Container Registry
Azure Cosmos DB
Azure Data Factory
Azure Database for MariaDB
Azure Database for MySQL
Azure Database voor PostgreSQL een enkele server
Azure Database for PostgreSQL Flexibele Server
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure-cache voor Redis
Azure SQL Server
Azure Storage
Azure-toepassing Insights (via Azure Monitor Private Link Scope)

Wanneer u een beheerd privé-eindpunt maakt van het beheerde virtuele netwerk foundry naar een doelresource die eigendom is van de klant, moet de beheerde identiteit van de Foundry-resource over de juiste machtigingen beschikken voor die doelresource om privé-eindpuntverbindingen te maken en goed te keuren. Deze vereiste zorgt ervoor dat Foundry expliciet is gemachtigd om een beveiligde, privékoppeling naar de resource tot stand te brengen.

Als u deze vereiste wilt vereenvoudigen, wijst u de rol Azure AI Enterprise Network Connection Approver (rol-id: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) toe aan de beheerde identiteit van het Foundry-account. Deze rol omvat de benodigde machtigingen voor de meest gebruikte Azure services en biedt doorgaans voldoende toegang voor Foundry om namens u privé-eindpunten te maken en goed te keuren. Zodra u de verbinding goedkeurt, beheert Foundry het privé-eindpunt volledig en is er geen aanvullende klantconfiguratie vereist.

Vereiste regels voor uitgaand verkeer

In de modus Alleen goedgekeurd uitgaand verkeer van het beheerde virtuele netwerk worden enkele vereiste uitgaande regels gemaakt voor functies zoals de Agent-service. het bevat het volgende:

Privé-eindpunt voor uw Microsoft Foundry-resource
Privé-eindpunt voor uw Cosmos DB-resource
Privé-eindpunt voor uw opslagaccount
Privé-eindpunt voor uw AI Search-resource
ServiceTag naar Azure Active Directory

Uitgaande regels per scenario

Als u Foundry implementeert met een beheerd virtueel netwerk in de modus Alleen goedgekeurd uitgaand verkeer toestaan, moet u mogelijk de volgende uitgaande FQDN-regels toevoegen om ervoor te zorgen dat uitgaand verkeer is toegestaan. Hieronder ziet u de lijst met vertrouwde FQDN's (Fully Qualified Domain Names) voor het maken van uitgaande regels, afhankelijk van het scenario of de functie in Foundry.

Scenario	FQDN	Beschrijving
Agenten	`.identity.azure.net`, , `login.microsoftonline.com.login.microsoftonline.com`, of `*.login.microsoft.commcr.microsoft.com`AAD-servicetag	Vereist voor de Azure Container App-delegering voor agentservice. Bevat Microsoft Container Registry voor het ophalen van containerafbeeldingen.
Evaluaties en traceringen met een Application Insights-resource	`.blob.core.windows.net`, `settings.sdk.monitor.azure.com`, `.livediagnostics.monitor.azure.com`, `*.in.applicationinsights.azure.com`	Wordt gebruikt voor de catalogus met evaluators en voor het verzenden van resultaten naar de gekoppelde Application Insights-resource.
Fijnafstelling	`raw.githubusercontent.com`	Wordt gebruikt voor finetuning, wanneer een gebruiker een gecureerde voorbeeldgegevensset kiest in de Foundry-portal.

Prijzen

De functie Foundry managed virtual network is gratis. Er worden echter kosten in rekening gebracht voor de volgende resources die door het beheerde virtuele netwerk worden gebruikt:

Azure Private Link: de oplossing is afhankelijk van Azure Private Link voor privé-eindpunten die de communicatie tussen het beheerde virtuele netwerk en Azure resources beveiligen. Zie Azure Private Link prijzen voor meer informatie over prijzen.
Uitgaande FQDN-regels: u implementeert uitgaande FQDN-regels met behulp van Azure Firewall. Als u uitgaande FQDN-regels gebruikt, voegt u kosten voor Azure Firewall toe aan uw facturering. Een standaardversie van Azure Firewall wordt standaard gebruikt. U kunt de Basic-versie selecteren. De firewall wordt pas aangemaakt als u een uitgaande FQDN-regel toevoegt.

Zie Private Link-tarieven en Azure Firewall-tarieven voor meer informatie over Azure-prijzen.

Beheerd en aangepast (BYO)-netwerk vergelijken

Selecteer de juiste uitgaande netwerkisolatiemodus voor u, afhankelijk van uw netwerkbehoeften en beperkingen in uw onderneming.

Aspect	Beheerd netwerk	Aangepast (BYO) netwerk
Voordelen	Microsoft verwerkt subnetbereik, IP-selectie, delegatie.	Volledig beheer: aangepaste firewall meenemen, door de gebruiker gedefinieerde routes instellen, netwerkpeering, subnet delegeren.
Beperkingen	Kan uw eigen firewall niet gebruiken om alleen goedgekeurde uitgaande verbindingen toe te staan. Vereist Application Gateway voor beveiligde on-premises verkeer (ondersteuning voor L7- en L4-verkeer door Application Gateway). Er is nog geen logboekregistratie van ondersteuning voor uitgaand verkeer.	Complexere instellingen, zoals subnetdelegering naar Azure Container Apps. Vereist een juiste CapHost-creatie. Vereist privéklasse A-, B- en C-IP-adresbereiken, openbare of CGNAT IP-adresbereiken zijn niet toegestaan. Vereist minimaal een /27-subnet voor delegatie van agenten.

Zie Een aangepast virtueel netwerk configureren voor agents voor meer informatie over het instellen van virtuele netwerken voor agents en de beperkingen.

Hulpmiddelen opschonen

Verwijder de Foundry-resource om deze op te schonen uit uw beheerde virtuele netwerk. Met deze actie wordt ook het beheerde virtuele netwerk verwijderd.

Probleemoplossing

Fout bij het maken van CapHost
- Verwijder de defecte CapHost-resource en implementeer de sjabloon opnieuw.
FQDN-regel niet gehandhaafd
- Controleer of de firewall-SKU is ingericht en controleer of poorten zijn beperkt tot 80 of 443.
Conflicten tussen privé-eindpunten
- Verwijder alle configuraties van service-eindpunten en gebruik alleen privé-eindpunten.

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-08