Como configurar uma rede gerenciada para hubs do Microsoft Foundry (clássico)

Aplica-se somente a:Portal Foundry (clássico). Este artigo não está disponível para o novo portal do Foundry. Saiba mais sobre o novo portal.

Nota

Links neste artigo podem abrir conteúdo na nova documentação do Microsoft Foundry em vez da documentação da Foundry (clássica) que você está exibindo agora.

Importante

Este artigo fornece suporte herdado para projetos baseados em hub. Ele não funcionará para projetos do Foundry. Veja como saber qual tipo de projeto tenho?

Observação de compatibilidade do SSDK: exemplos de código exigem uma versão específica do SDK do Microsoft Foundry. Se você encontrar problemas de compatibilidade, considere a migração de um projeto baseado em hub para um projeto do Foundry.

O isolamento de rede para um projeto baseado em hub tem duas partes: acessar um hub Microsoft Foundry e isolar os recursos de computação em seu hub e projeto (como instâncias de computação, endpoints online sem servidor e gerenciados). Este artigo aborda o último. O diagrama o realça. Use o isolamento de rede interno do hub para proteger seus recursos de computação.

Defina as seguintes configurações de isolamento de rede:

Escolha um modo de isolamento de rede: permita a saída da Internet ou permita apenas a saída aprovada.
Caso use o Visual Studio Code no modo de saída permitido somente aprovado, crie regras de saída FQDN, conforme descrito na seção Usar o Visual Studio Code.
Caso use os modelos de Detecção Facial em permitir somente o modo de saída aprovado, crie regras de saída do FQDN, conforme descrito na seção Usar os modelos do Hugging Face.
Se você usar um dos modelos de código aberto no modo permitir somente saída aprovada, crie regras de saída FQDN conforme descrito na seção Modelos vendidos diretamente pela Azure.

Pré-requisitos

Antes de começar, verifique se você tem estes pré-requisitos:

Uma assinatura Azure. Se você não tiver uma assinatura Azure, crie uma conta gratuita antes de começar.
Registre o provedor de recursos Microsoft.Network para sua assinatura de Azure. O hub usa esse provedor para criar pontos de extremidade privados para a rede virtual gerenciada.

Para obter informações sobre como registrar provedores de recursos, consulte Resolver erros para o registro do provedor de recursos.
Use uma identidade do Azure com as seguintes ações de controle de acesso baseado em papéis do Azure (Azure RBAC) para criar endpoints privados para a rede virtual gerida.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Dica

A função interna Azure AI Enterprise Network Connection Approver inclui essas permissões. Atribua este papel à identidade gerenciada do hub para aprovar conexões de endpoints privados.

Uma assinatura Azure. Se você não tiver uma assinatura Azure, crie uma conta gratuita antes de começar.
O provedor de recursos Microsoft.Network deve ser registrado para sua assinatura do Azure. O hub usa esse provedor de recursos ao criar pontos de extremidade privados para a rede virtual gerenciada.

Para obter informações sobre como registrar provedores de recursos, consulte Resolver erros para o registro do provedor de recursos.
Use uma identidade do Azure com as seguintes ações de RBAC (controle de acesso baseado em função) do Azure para criar pontos de extremidade privados para a rede virtual gerenciada:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Dica

A função interna Azure AI Enterprise Network Connection Approver inclui essas permissões. Atribua essa função à identidade gerenciada do hub para aprovar conexões de ponto de extremidade privado.
Instale o CLI do Azure e a extensão ml para o CLI do Azure. Para obter mais informações, consulte Instalar, configurar e usar a CLI (v2).
Um shell compatível com Bash para executar os exemplos da CLI neste artigo. Por exemplo, use um sistema Linux ou Subsistema do Windows para Linux.
Os exemplos de CLI do Azure neste artigo usam ws para o nome do hub e rg para o nome do grupo de recursos. Altere esses valores conforme necessário ao executar os comandos em sua assinatura Azure.

Uma assinatura Azure. Se você não tiver uma assinatura Azure, crie uma conta gratuita antes de começar. Experimente a versão gratuita ou paga.
O provedor de recursos Microsoft.Network deve ser registrado para sua assinatura do Azure. O hub usa esse provedor de recursos ao criar pontos de extremidade privados para a rede virtual gerenciada.

Para obter informações sobre como registrar provedores de recursos, consulte Resolver erros para o registro do provedor de recursos.
A identidade do Azure que você usa ao implantar uma rede gerenciada requer as seguintes ações de controle de acesso baseado em função do Azure (RBAC do Azure) para criar pontos de extremidade privados:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Dica

A função interna Azure AI Enterprise Network Connection Approver inclui essas permissões. Atribua este papel à identidade gerenciada do hub para aprovar conexões de endpoints privados.
O SDK do Azure Machine Learning Python v2. Para obter mais informações sobre o SDK, consulte Instale o SDK do Python v2 para Azure Machine Learning.

Os exemplos neste artigo pressupõem que seu código começa com o código de Python a seguir. Ele importa as classes necessárias para criar um hub com uma rede virtual gerenciada, define variáveis para sua assinatura Azure e grupo de recursos e cria o ml_client. No exemplo a seguir, substitua o texto de espaço reservado <SUBSCRIPTION_ID> e <RESOURCE_GROUP> por seus próprios valores.

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Configurar uma rede virtual gerenciada para permitir tráfego de saída para a Internet

Dica

O Foundry adia a criação da rede virtual gerenciada até que você crie um recurso de computação ou inicie o provisionamento manualmente. Com a criação automática, pode levar cerca de 30 minutos para criar o primeiro recurso de computação, pois ele também provisiona a rede.

Crie um novo hub:
1. Entre no Azure portal e selecione Foundry no menu Criar um recurso.
2. Selecione + Nova Azure IA.
3. Insira as informações necessárias na guia Noções básicas .
4. Na guia Rede , selecione Privado com Saída da Internet.
5. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede . Na barra lateral de regras de saída , insira as seguintes informações:
  - Nome da regra: um nome para a regra. O nome deve ser exclusivo para esse hub.
  - Tipo de destino: o ponto de extremidade privado é a única opção quando o isolamento de rede é Privado com Saída da Internet. Uma rede virtual gerenciada por hub não dá suporte à criação de pontos de extremidade privados para todos os tipos de recursos Azure. Para obter uma lista de recursos com suporte, consulte a seção Pontos de extremidade privados.
  - Subscription: a assinatura que contém o recurso Azure para o qual você quer adicionar um endpoint privado.
  - Resource group: o grupo de recursos que contém o recurso Azure para o qual você deseja adicionar um ponto de extremidade privado.
  - Resource type: o tipo do recurso Azure.
  - Resource name: o nome do recurso Azure.
  - Sub Resource: o sub-recurso do tipo de recurso Azure.
  Selecione Salvar. Para adicionar mais regras, selecione Adicionar regras de saída definidas pelo usuário.
6. Continue criando o hub.
Atualize um hub existente:
1. Entre no Azure portal e selecione o hub para habilitar o isolamento de rede virtual gerenciado.
2. Selecione Rede>Privada com Saída da Internet.
  - Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede . Na barra lateral de regras de saída , forneça as mesmas informações usadas ao criar um hub na seção "Criar um novo hub".
  - Para excluir uma regra de saída, selecione excluir para a regra.
3. Selecione Salvar na parte superior da página para aplicar as alterações à rede virtual gerenciada.

Para configurar uma rede virtual gerenciada que permita a saída da Internet, use o --managed-network allow_internet_outbound parâmetro ou um arquivo de configuração YAML com as seguintes entradas:

managed_network:
  isolation_mode: allow_internet_outbound

Defina regras de saída para outros serviços de Azure dos quais o hub depende. Essas regras definem pontos de extremidade privados que permitem que um recurso do Azure se comunique com segurança com a rede virtual gerenciada. A regra a seguir mostra como adicionar um ponto de extremidade privado a uma conta Armazenamento de Blobs do Azure. No exemplo a seguir, substitua o texto de espaço reservado <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> por seus próprios valores.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configure uma rede virtual gerenciada usando os comandos az ml workspace create ou az ml workspace update.

Crie um novo hub:

O exemplo a seguir cria um novo hub. O --managed-network allow_internet_outbound parâmetro configura uma rede virtual gerenciada para o hub:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para criar um hub usando um arquivo YAML, use o --file parâmetro e especifique o arquivo YAML que contém as configurações:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
O exemplo yaml a seguir define um hub com uma rede virtual gerenciada:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Atualize um hub existente:

Aviso

Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação para o workspace. Isso inclui instância de computação, cluster de computação e endpoints online gerenciados.

O exemplo a seguir atualiza um hub existente. O --managed-network allow_internet_outbound parâmetro configura uma rede virtual gerenciada para o hub:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para atualizar um hub existente usando um arquivo YAML, use o --file parâmetro e especifique o arquivo YAML que contém as configurações:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
O exemplo yaml a seguir define uma rede virtual gerenciada para o hub. Ele também explica como adicionar uma conexão de ponto de extremidade privado a um recurso que o hub utiliza. Neste exemplo, ele adiciona um ponto de extremidade privado para uma Armazenamento de Blobs do Azure conta. No exemplo a seguir, substitua o texto dos espaços reservados <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> por seus próprios valores.
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Referências

Para configurar uma rede virtual gerenciada que permita o tráfego de saída para a Internet, use a ManagedNetwork classe com IsolationMode.ALLOW_INTERNET_OUTBOUND. Em seguida, use o ManagedNetwork objeto para criar um novo hub ou atualizar um existente. Para definir regras de saída para os serviços do Azure dos quais o hub depende, use a classe PrivateEndpointDestination para configurar um novo ponto de extremidade privado para o serviço.

Crie um novo hub:

O exemplo a seguir cria um novo hub chamado myhub, com uma regra de saída chamada myrule que adiciona um ponto de extremidade privado para uma conta de Armazenamento de Blobs do Azure. No exemplo a seguir, substitua o texto de espaço reservado <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> por seus próprios valores.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referências

Atualize um hub existente:

O exemplo a seguir demonstra como criar uma rede virtual gerenciada para um hub existente chamado myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Referências

Configurar uma rede virtual gerenciada para permitir apenas tráfego de saída aprovado

Dica

Azure configura automaticamente a VNet gerenciada ao criar um recurso de computação. Se você permitir a criação automática, o primeiro recurso de computação poderá levar cerca de 30 minutos para ser criado, pois a rede também precisa ser configurada. Se você configurar as regras de saída do FQDN, a primeira regra FQDN adicionará cerca de 10 minutos ao tempo de instalação.

Crie um novo hub:
1. Entre no portal Azure e escolha Foundry no menu Criar um recurso.
2. Selecione + Nova IA Azure.
3. Forneça as informações necessárias na guia Noções básicas .
4. Na guia Rede, selecione Privada com Saída da Internet.
5. Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede . Na barra lateral de regras de saída , forneça as seguintes informações:
  - Nome da regra: um nome para a regra. O nome deve ser exclusivo para esse hub.
  - Tipo de destino: Endpoint Privado, Marca de Serviço ou FQDN. A marca de serviço e o FQDN só estão disponíveis quando o isolamento de rede é privado com saída aprovada.
  Se o tipo de destino for Ponto de Extremidade Privado, insira as seguintes informações:
  - Assinatura: A assinatura que contém o recurso do Azure para o qual você deseja adicionar um ponto de extremidade privado.
  - Resource group: o grupo de recursos que contém o recurso Azure para o qual você deseja adicionar um ponto de extremidade privado.
  - Resource type: o tipo do recurso Azure.
  - Resource name: o nome do recurso Azure.
- Sub Resource: o sub-recurso do tipo de recurso do Azure.
Dica

A VNet gerenciada do hub não dá suporte a endpoints privados para todos os tipos de recursos do Azure. Para obter uma lista de recursos com suporte, consulte a seção Pontos de extremidade privados.

Se o tipo de destino for Marca de Serviço, insira as seguintes informações:
- Marca de serviço: a marca de serviço a ser adicionada às regras de saída aprovadas.
- Protocolo: o protocolo para permitir a marca de serviço.
- Intervalos de portas: os intervalos de porta para permitir a marca de serviço.
Se o tipo de destino for FQDN, insira as seguintes informações:
- Destino FQDN: o nome de domínio totalmente qualificado a ser adicionado às regras de saída aprovadas.
  
  Selecione Salvar para salvar a regra. Para adicionar mais regras, selecione Adicionar regras de saída definidas pelo usuário novamente.
1. Continue criando o hub como de costume.
Atualize um hub existente:
1. Entre no Azure portal e selecione o hub para o qual você deseja habilitar o isolamento de rede virtual gerenciado.
2. Selecione Rede>Privada com Saída Aprovada.
  - Para adicionar uma regra de saída, selecione Adicionar regras de saída definidas pelo usuário na guia Rede . Na barra lateral de regras de saída , insira as mesmas informações que ao criar um hub na seção anterior 'Criar um novo hub'.
  - Para excluir uma regra de saída, selecione excluir para a regra.
3. Selecione Salvar na parte superior da página para salvar as alterações na rede virtual gerenciada.

Para configurar uma rede virtual gerenciada que permita apenas a comunicação de saída aprovada, use o --managed-network allow_only_approved_outbound parâmetro ou um arquivo de configuração YAML que contenha as seguintes entradas:

managed_network:
  isolation_mode: allow_only_approved_outbound

Você também pode definir regras de saída para comunicação de saída aprovada. Criar uma regra de saída do tipo service_tag, fqdnou private_endpoint. O exemplo a seguir adiciona um ponto de extremidade privado a um recurso de Blob do Azure, uma marca de serviço para Azure Data Factory e um FQDN para pypi.org. No exemplo a seguir, substitua o texto do espaço reservado <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> por seus valores.

Importante

A adição de uma regra de saída para uma marca de serviço ou FQDN só é válida quando a VNet gerenciada é configurada para allow_only_approved_outbound.
Se você adicionar regras de saída, Microsoft não poderá garantir a proteção contra a exfiltração de dados.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Você pode configurar uma rede virtual gerenciada usando o comando az ml workspace create ou o comando az ml workspace update.

Crie um novo hub:

O exemplo a seguir usa o --managed-network allow_only_approved_outbound parâmetro para configurar a rede virtual gerenciada:

az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound

O seguinte arquivo YAML define um hub com uma rede virtual gerenciada:

name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound

Para criar um hub usando o arquivo YAML, use o --file parâmetro:

az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub

Atualizar um hub existente

Aviso

Antes de atualizar um workspace existente para usar uma rede virtual gerenciada, você deve excluir todos os recursos de computação para o workspace. Isso inclui instância de computação, cluster de computação e endpoints online gerenciados.

O exemplo a seguir usa o --managed-network allow_only_approved_outbound parâmetro para configurar a rede virtual gerenciada para um hub existente:

az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound

O arquivo YAML a seguir define uma rede virtual gerenciada para o hub e mostra como adicionar regras de saída aprovadas. Neste exemplo, as regras de saída são adicionadas para uma marca de serviço, um FQDN e um ponto de extremidade privado:

name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Referências

Para configurar uma rede virtual gerenciada que permite apenas a comunicação de saída aprovada, use a ManagedNetwork classe para definir uma rede com IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Use o ManagedNetwork objeto para criar um novo hub ou atualizar um existente. Para definir regras de saída, use as seguintes classes:

Destino	Classe
Serviço Azure do qual o hub depende	`PrivateEndpointDestination`
Tag de serviço Azure	`ServiceTagDestination`
FQDN (nome de domínio totalmente qualificado)	`FqdnDestination`

Crie um novo hub:

O exemplo a seguir cria um novo hub chamado myhub, com várias regras de saída:

myrule – Adiciona um ponto de extremidade privado para um repositório de Blobs do Azure.
datafactory – adiciona uma regra de tag de serviço para se comunicar com o Azure Data Factory.

Importante

Adicione uma regra de saída para uma marca de serviço ou FQDN somente quando você configurar a VNet gerenciada para IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Se você adicionar regras de saída, Microsoft não poderá garantir a proteção contra a exfiltração de dados.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referências

Atualize um hub existente:

O exemplo a seguir mostra como configurar uma rede virtual gerenciada para um hub existente chamado myhub. Ele também adiciona várias regras de saída:

myrule – Adiciona um ponto de extremidade privado para um repositório de Blobs do Azure.
datafactory – adiciona uma regra de tag de serviço para se comunicar com Azure Data Factory.

Dica

Você pode adicionar uma regra de saída para uma marca de serviço ou FQDN somente quando você configurar a VNet gerenciada para usar IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Referências

Provisionar manualmente uma VNet gerenciada

A rede virtual gerenciada é provisionada automaticamente quando você cria uma instância de computação. Quando você depende do provisionamento automático, pode levar cerca de 30 minutos para criar a primeira instância de computação, pois ela também provisiona a rede. Se você configurar regras de saída FQDN (disponíveis apenas no modo: permitir somente aprovados), a primeira regra FQDN adicionará cerca de 10 minutos ao tempo de provisionamento. Se você tiver um grande conjunto de regras de saída a ser provisionado na rede gerenciada, poderá levar mais tempo para que o provisionamento seja concluído. O aumento do tempo de provisionamento pode fazer com que a criação da primeira instância de computação atinja o tempo limite.

Para reduzir o tempo de espera e evitar tempos limite, configure manualmente a rede gerenciada. Aguarde até que o provisionamento seja concluído antes de criar uma instância de computação.

Como alternativa, use o provision_network_now sinalizador para configurar a rede gerenciada durante a criação do hub.

Nota

Para implantar um modelo na computação gerenciada, você deve provisionar manualmente a rede gerenciada ou criar uma instância de computação primeiro. A criação de uma instância de computação provisiona automaticamente a rede gerenciada.

Durante a criação do workspace, selecione Provisionar rede gerenciada proativamente na criação para configurar a rede gerenciada. A cobrança começa para recursos de rede, como endpoints privados, após a configuração da rede virtual. Essa opção só está disponível durante a criação do workspace.

O exemplo a seguir mostra como provisionar uma rede virtual gerenciada durante a criação do hub.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

O exemplo a seguir mostra como provisionar uma rede virtual gerenciada.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Para verificar se o provisionamento está concluído, execute o seguinte comando:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Referências

Use o SDK para provisionar uma rede virtual gerenciada e, em seguida, verifique seu status.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Referências

Gerenciar regras de saída

Entre no Azure portal e selecione o hub para o qual você deseja habilitar o isolamento de rede virtual gerenciado.
Selecione Rede. A seção Acesso de Saída do Foundry permite gerenciar as regras de saída.

Para adicionar uma regra de saída, selecione Add regras de saída definidas pelo usuário na guia Networking. Nas regras de saída de IA Azure barra lateral, insira os valores necessários.
Para habilitar ou desabilitar uma regra, use a alternância na coluna Ativa .
Para excluir uma regra de saída, selecione excluir para a regra.

Nos comandos a seguir, substitua o texto de espaço reservado <workspace-name>, <resource-group> e <rule-name> com os seus valores. Para listar as regras de saída da rede virtual gerenciada para um hub, execute:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Para exibir os detalhes de uma regra de saída de rede virtual gerenciada, execute:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Para remover uma regra de saída da rede virtual gerenciada, execute:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Referências

az ml workspace outbound-rule list
az ml workspace outbound-rule show
az ml workspace outbound-rule remove (remove a regra de saída no workspace do Azure Machine Learning)

O exemplo a seguir mostra como gerenciar regras de saída para um hub chamado myhub. No exemplo, substitua o texto de espaço reservado <some-rule-name> pelo nome da regra.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Referências

MLClient

Arquitetura de isolamento de rede e modos de isolamento

Ao habilitar o isolamento de rede virtual gerenciada, você cria uma rede virtual gerenciada para o hub. Os recursos de computação gerenciados criados para o hub usam automaticamente essa rede virtual gerenciada. A rede virtual gerenciada pode usar pontos de extremidade privados para os recursos do Azure que seu hub utiliza, como o Armazenamento do Azure, o Azure Key Vault e o Registro de Contêiner do Azure.

Escolha um dos três modos de saída para a rede virtual gerenciada:

Modo de saída	Descrição	Cenários
Permitir a saída da Internet	Permitir todo o tráfego de saída da Internet da rede virtual gerenciada.	Você deseja acesso irrestrito aos recursos de machine learning na Internet, como pacotes Python ou modelos pré-treinados.¹
Permitir somente a saída aprovada	Use tags de serviço para permitir o tráfego de saída.	* Você deseja minimizar o risco de exfiltração de dados, mas precisa preparar todos os artefatos de machine learning necessários em seu ambiente privado. * Você deseja configurar o acesso de saída a uma lista aprovada de serviços, marcas de serviço ou FQDNs (nomes de domínio totalmente qualificados).
Desativado	O tráfego de entrada e saída não é restrito.	Você quer entrada pública e saída do hub.

¹ Você pode usar regras de saída com o modo permitir apenas saída aprovada para obter o mesmo resultado que usar permitir saída para a Internet. As diferenças são:

Sempre use pontos de extremidade privados para acessar recursos do Azure.
Você deve adicionar regras para cada conexão de saída que você precisa permitir.
Adicionar regras de saída de FQDN (nome de domínio totalmente qualificado) aumenta seus custos porque esse tipo de regra usa Firewall do Azure. Se você usar regras de saída baseadas em FQDN, os custos do Firewall do Azure serão incluídos na sua cobrança. Para obter mais informações, consulte Preços.
As regras padrão para permitir apenas a saída aprovada são projetadas para minimizar o risco de exfiltração de dados. Qualquer regra de saída que você adicionar pode aumentar o risco.

A rede virtual gerenciada é pré-configurada com as regras padrão necessárias. O hub também configura conexões de ponto de extremidade privado com seu hub, a conta de armazenamento padrão do hub, o registro de contêiner e o cofre de chaves quando esses recursos são definidos como privados ou quando o modo de isolamento é definido para permitir apenas saídas aprovadas. Depois de escolher um modo de isolamento, adicione outras regras de saída necessárias.

O diagrama a seguir mostra uma rede virtual gerenciada configurada para permitir a saída da Internet:

O diagrama a seguir mostra uma rede virtual gerenciada configurada para permitir apenas a saída aprovada:

Nota

Nessa configuração, o armazenamento, o cofre de chaves e o registro de contêiner que o hub usa são definidos como privados. Como eles são privados, o hub usa endpoints privados para acessá-los.

Nota

Para acessar uma conta de armazenamento privada de um hub do Foundry público, use o Foundry de dentro da rede virtual da sua conta de armazenamento. Acessar o Foundry de dentro da rede virtual garante que você possa executar ações como carregar arquivos na conta de armazenamento privada. A conta de armazenamento privado é independente das configurações de rede do hub do Foundry. Consulte Configurar firewalls e redes virtuais do Armazenamento do Azure.

Lista de regras necessárias

Dica

Essas regras são adicionadas automaticamente à VNet (rede virtual gerenciada).

Pontos de extremidade privados:

Quando você define o modo de isolamento para a rede virtual gerenciada para Allow internet outbound, o Foundry cria automaticamente as regras de saída necessárias de ponto de extremidade privado da rede virtual gerenciada para o hub e recursos associados com o acesso à rede pública desativado (Azure Key Vault, conta de armazenamento, Registro de Contêiner do Azure e hub).
Quando você define o modo de isolamento para a rede virtual gerenciada como Allow only approved outbound, o Foundry cria automaticamente regras de saída de ponto de extremidade privado necessárias da rede virtual gerenciada para o hub e os recursos associados, independentemente da configuração de acesso à rede pública para esses recursos (Azure Key Vault, conta de armazenamento, Registro de Contêiner do Azure e hub).

Foundry requer um conjunto de tags de serviço para rede privada. Não substitua as marcas de serviço necessárias. A tabela a seguir descreve cada marca de serviço necessária e sua finalidade no Foundry.

Regra de marca de serviço	Entrada ou saída	Propósito
`AzureMachineLearning`	Entrada	Crie, atualize e exclua instâncias e clusters de computação do Foundry.
`AzureMachineLearning`	Saída	Usando serviços Azure Machine Learning. Python IntelliSense em notebooks usa a porta 18881. Criar, atualizar e excluir uma instância de computação Azure Machine Learning usa a porta 5831.
`AzureActiveDirectory`	Saída	Autenticação usando Microsoft Entra ID.
`BatchNodeManagement.region`	Saída	Comunicação com o Lote do Azure back-end para instâncias e clusters de computação do Foundry.
`AzureResourceManager`	Saída	Crie Azure recursos usando o Foundry, CLI do Azure e o SDK do Microsoft Foundry.
`AzureFrontDoor.FirstParty`	Saída	Acesse as imagens do Docker fornecidas pelo Microsoft.
`MicrosoftContainerRegistry`	Saída	Acesse as imagens do Docker fornecidas pelo Microsoft. Configure o roteador Foundry para Serviço de Kubernetes do Azure.
`AzureMonitor`	Saída	Enviar logs e métricas para Azure Monitor. Só será necessário se você não tiver segurado o Azure Monitor para o espaço de trabalho. Essa regra de saída também registra informações para incidentes de suporte.
`VirtualNetwork`	Saída	Requerido quando endpoints privados estão presentes na rede virtual ou nas redes virtuais emparelhadas.

Lista de regras de saída específicas do cenário

Cenário: Acessar pacotes públicos de machine learning

Para instalar Python pacotes para treinamento e implantação, adicione regras FQDN de saída para permitir o tráfego para os seguintes nomes de host:

Nota

Esta lista abrange hosts comuns para recursos de Python na Internet. Se você precisar de acesso a um repositório de GitHub ou outro host, identifique e adicione os hosts necessários para seu cenário.

Nome do host	Propósito
`anaconda.com` `*.anaconda.com`	Usado para instalar pacotes padrão.
`*.anaconda.org`	Usado para obter dados de repositório.
`pypi.org`	Lista as dependências do índice padrão caso as configurações do usuário não o substituam. Se você substituir o índice, também permitirá `*.pythonhosted.org`.
`pytorch.org` `*.pytorch.org`	Usado por alguns exemplos com base no PyTorch.
`*.tensorflow.org`	Usado em alguns exemplos baseados em TensorFlow.

Cenário: usar Visual Studio Code

Visual Studio Code depende de hosts e portas específicos para estabelecer uma conexão remota.

Servidores

Use esses hosts para instalar Visual Studio Code pacotes e estabelecer uma conexão remota com as instâncias de computação do projeto.

Nota

Essa lista não inclui todos os hosts necessários para todos os recursos Visual Studio Code na Internet. Por exemplo, se você precisar de acesso a um GitHub repositório ou outro host, deverá identificar e adicionar os hosts necessários para esse cenário. Para obter uma lista completa de nomes de host, consulte Network Connections in Visual Studio Code.

Nome do host	Propósito
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Necessário para acessar o VS Code para a Web (vscode.dev).
`code.visualstudio.com`	Necessário para baixar e instalar a área de trabalho do VS Code. Esse host não é necessário para o VS Code Web.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Baixa componentes do VS Code Server para a instância de computação durante scripts de instalação.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Necessário para baixar e instalar extensões do VS Code. Esses hosts habilitam a conexão remota com instâncias de computação. Para obter mais informações, consulte Introdução aos projetos do Foundry no VS Code.
`vscode.download.prss.microsoft.com`	Serve como a CDN de download do Visual Studio Code.

Portas

Permitir o tráfego de rede para as portas 8704 a 8710. O VS Code Server seleciona a primeira porta disponível nesse intervalo.

Cenário: usar modelos do Hugging Face

Para usar modelos da Hugging Face com o hub, adicione regras FQDN de saída para permitir o tráfego para os seguintes hosts:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Cenário: modelos vendidos diretamente por Azure

Esses modelos instalam dependências em runtime. Adicione regras FQDN de saída para permitir o tráfego para os seguintes hosts:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Pontos de extremidade privados

Os serviços do Azure atualmente suportam pontos de extremidade privados para os seguintes serviços:

Hub de fundição
Pesquisa de IA do Azure
Ferramentas de Fundição
Gerenciamento de API do Azure
- Dá suporte apenas à camada Clássica sem injeção de VNet e à camada V2 Standard com integração de rede virtual. Para obter mais informações sobre redes virtuais de Gerenciamento de API, consulte Rede Virtual Concepts.
Registro de Contêiner do Azure
Azure Cosmos DB (todos os tipos de sub-fonte)
Azure Data Factory
Banco de Dados do Azure para MariaDB
Banco de Dados do Azure para MySQL
Servidor Único do Banco de Dados do Azure para PostgreSQL
Servidor Flexível do Banco de Dados do Azure para PostgreSQL
Azure Databricks
Hubs de Eventos do Azure
Azure Key Vault
Azure Machine Learning
os registros do Azure Machine Learning
Cache do Azure para Redis
SQL Server no Azure
Armazenamento do Azure (todos os tipos de sub-fonte)
Application Insights (por meio de PrivateLinkScopes)

Ao criar um ponto de extremidade privado, especifique o tipo de recurso e a sub-fonte ao qual o ponto de extremidade se conecta. Alguns recursos têm vários tipos e sub-recursos. Para obter mais informações, consulte o que é um ponto de extremidade privado.

Quando você cria um endpoint privado para recursos de dependência do hub, como Armazenamento do Azure, Registro de Contêiner do Azure e Azure Key Vault, o recurso pode estar em uma assinatura do Azure diferente. No entanto, o recurso precisará estar no mesmo locatário que o hub.

Se você selecionar um dos recursos Azure listados anteriormente como o recurso de destino, o serviço criará automaticamente um ponto de extremidade privado para a conexão. Forneça uma identificação de destino válida para o ponto de extremidade privado. Para uma conexão, a ID de destino pode ser a ID do Azure Resource Manager de um recurso pai. Inclua a ID de destino no destino da conexão ou em metadata.resourceid. Para obter mais informações sobre conexões, consulte Como adicionar uma nova conexão no portal do Foundry.

Aprovação de endpoints privados

Para estabelecer conexões de ponto de extremidade privado em redes virtuais gerenciadas usando o Foundry, a identidade gerenciada do workspace (atribuída pelo sistema ou atribuída pelo usuário) e a identidade do usuário que cria o ponto de extremidade privado devem ter permissão para aprovar as conexões de ponto de extremidade privado nos recursos de destino. Anteriormente, o serviço Foundry concedeu essa permissão por meio de atribuições automáticas de função. Devido a preocupações de segurança com atribuições automáticas de função, a partir de 30 de abril de 2025, o serviço descontinua essa lógica de concessão automática de permissão. Atribua a função Azure AI Enterprise Network Connection Approver ou uma função personalizada com as permissões de conexão de ponto de extremidade privado necessárias nos tipos de recurso de destino e conceda essa função à identidade gerenciada do hub foundry para permitir que o Foundry aprove conexões de ponto de extremidade privado para os recursos de Azure de destino.

Aqui está a lista de tipos de recursos de destino de ponto de extremidade privado cobertos pela função Aprovador de Conexão de Rede Empresarial da IA do Azure:

Gateway de Aplicativo do Azure
Azure Monitor
Pesquisa de IA do Azure
Hubs de Eventos do Azure
Banco de Dados SQL do Azure
Armazenamento do Azure
Azure Machine Learning workspace
registro Azure Machine Learning
Fundição
Azure Key Vault
Azure Cosmos DB
Banco de Dados do Azure para MySQL
Banco de Dados do Azure para PostgreSQL
Ferramentas de Fundição
Cache do Azure para Redis
Registro de Contêiner do Azure
Gerenciamento de API do Azure

Para criar regras de saída de ponto de extremidade privado para tipos de recursos de destino não cobertos pela função de aprovador de conexão de rede empresarial do Azure AI, como Azure Data Factory, Azure Databricks e Azure Function Apps, use uma função personalizada com escopo reduzido, definida apenas pelas ações necessárias para aprovar conexões de ponto de extremidade privado para os tipos de recursos de destino.

Para criar regras de saída de ponto de extremidade privado para recursos de espaço de trabalho padrão, a criação do espaço de trabalho concede as permissões necessárias por meio de atribuições de função, para que você não precise executar nenhuma ação adicional.

Selecione uma versão do Firewall do Azure para permitir somente tráfego de saída aprovado

Firewall do Azure implanta quando você adiciona uma regra FQDN de saída no modo de permitir apenas saídas aprovadas. Firewall do Azure encargos são adicionados à sua conta. Por padrão, uma versão Standard do Firewall do Azure é criada. Ou selecione a versão Básica . Altere a versão do firewall a qualquer momento. Para saber qual versão atende às suas necessidades, acesse Conseque a versão de Firewall do Azure correta.

Importante

Firewall do Azure não é criado até que você adicione uma regra FQDN de saída. Para obter detalhes sobre preços, consulte Firewall do Azure preços e veja os preços da versão Standard.

Use essas guias para ver como selecionar a versão de firewall para sua rede virtual gerenciada.

Depois de selecionar o modo "permitir somente saída aprovada" , a opção para selecionar a versão do Firewall do Azure (SKU) será exibida. Selecione Padrão ou Básico. Selecione Salvar.

Para definir a versão do firewall usando CLI do Azure, use um arquivo YAML e especifique firewall_sku. O exemplo a seguir define o SKU de firewall como basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Para definir a versão do firewall usando o SDK do Python, defina a propriedade firewall_sku do objeto ManagedNetwork. O exemplo a seguir define o SKU de firewall como basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Referências

Preços

O recurso de rede virtual gerenciada pelo hub é gratuito, mas você paga pelos seguintes recursos que a rede virtual gerenciada usa:

Link Privado do Azure - Os pontos de extremidade privados que protegem a comunicação entre a rede virtual gerenciada e os recursos do Azure utilizam o Link Privado do Azure. Para obter preços, consulte Link Privado do Azure preços.
Regras de saída do FQDN – Firewall do Azure impõe essas regras. Se você usar regras FQDN de saída, as cobranças do Firewall do Azure aparecerão em sua fatura. A versão Standard do Firewall do Azure é usada por padrão. Para selecionar a versão Básica, consulte Selecione uma versão Firewall do Azure. Firewall do Azure é provisionado por hub.

Importante

Firewall do Azure não é criado até que você adicione uma regra FQDN de saída. Se você não usar regras FQDN, não será cobrado por Firewall do Azure. Para obter preços, consulte Firewall do Azure preços.

Limitações

A Foundry dá suporte ao isolamento de rede virtual gerenciado para recursos de computação. A Foundry não dá suporte à criação de sua própria rede virtual para isolamento de computação. Esse cenário difere da Rede Virtual do Azure necessária para acessar o Foundry de uma rede local.
Depois de habilitar o isolamento de rede virtual gerenciado, você não poderá desabilitá-lo.
A rede virtual gerenciada usa um ponto de extremidade privado para se conectar a recursos privados. Você não pode usar um ponto de extremidade privado e um ponto de extremidade de serviço no mesmo recurso de Azure, como uma conta de armazenamento. Use pontos de extremidade privados para todos os cenários.
Quando você exclui o Foundry, o serviço exclui a rede virtual gerenciada.
Com permitir apenas saídas aprovadas, o Foundry habilita automaticamente a proteção contra exfiltração de dados. Se você adicionar outras regras de saída, como FQDNs, Microsoft não poderá garantir a proteção contra a exfiltração de dados a esses destinos.
As regras de saída do FQDN aumentam o custo da rede virtual gerenciada porque usam Firewall do Azure. Para obter mais informações, consulte Preços.
As regras de saída do FQDN dão suporte apenas às portas 80 e 443.
Para desabilitar o endereço IP público de uma instância de computação, adicione um ponto de extremidade privado a um hub.
Para uma instância de computação em uma rede gerenciada, execute az ml compute connect-ssh para se conectar via SSH.
Se sua rede gerenciada estiver configurada para permitir somente saídas aprovadas, você não poderá usar uma regra FQDN para acessar contas de Armazenamento do Azure. Em vez disso, use um ponto de extremidade privado.

Comentários

Esta página foi útil?

Last updated on 2026-05-01

Como configurar uma rede gerenciada para hubs do Microsoft Foundry (clássico)

Pré-requisitos

Configurar uma rede virtual gerenciada para permitir tráfego de saída para a Internet

Configurar uma rede virtual gerenciada para permitir apenas tráfego de saída aprovado

Provisionar manualmente uma VNet gerenciada

Gerenciar regras de saída

Arquitetura de isolamento de rede e modos de isolamento

Lista de regras necessárias

Lista de regras de saída específicas do cenário

Cenário: Acessar pacotes públicos de machine learning

Cenário: usar Visual Studio Code

Servidores

Portas

Cenário: usar modelos do Hugging Face

Cenário: modelos vendidos diretamente por Azure

Pontos de extremidade privados

Aprovação de endpoints privados

Selecione uma versão do Firewall do Azure para permitir somente tráfego de saída aprovado

Preços

Limitações

Conteúdo relacionado

Comentários

Recursos adicionais