Como configurar o isolamento de rede para o Microsoft Foundry

Use um endpoint privado para garantir a comunicação. Este artigo descreve como estabelecer uma ligação privada à sua conta e projetos Foundry usando um endpoint privado.

Plano para isolamento da rede na Foundry

O que é isolamento de rede?

O isolamento de rede é uma estratégia de segurança que envolve dividir uma rede em segmentos ou sub-redes separadas, cada um funcionando como a sua própria pequena rede. Esta abordagem ajuda a melhorar a segurança e o desempenho numa estrutura de rede mais ampla. As grandes empresas necessitam de isolamento de rede para proteger os seus recursos contra acessos não autorizados, manipulação ou fuga de dados e modelos. Também precisam de cumprir os regulamentos e normas que se aplicam ao seu setor e domínio.

Considere o isolamento de rede em três áreas dentro do Microsoft Foundry

Considere o isolamento de rede nas seguintes três áreas dentro do Microsoft Foundry:

  • Acesso de entrada ao recurso Microsoft Foundry. Por exemplo, para que os seus cientistas de dados acedam de forma segura ao recurso.
  • Acesso de saída do recurso Microsoft Foundry. Por exemplo, para aceder a outros serviços do Azure.
  • Acesso Outbound do cliente Microsoft Foundry Agent para alcançar dependências necessárias — como fontes de dados privadas, serviços PaaS Azure ou endpoints de internet aprovados — mantendo todo o tráfego dentro dos limites definidos pelo cliente através da injeção virtual de rede.

O diagrama seguinte decompõe a comunicação de entrada e saída.

Diagrama do plano para isolamento de rede em Foundry.

Acesso de entrada

Defina o acesso de entrada a um projeto Microsoft Foundry seguro usando a bandeira de acesso à rede pública (PNA). A definição da flag PNA determina se o seu projeto requer um endpoint privado para acesso. Uma configuração adicional entre público e privado é ativada a partir de endereços IP selecionados. Esta configuração permite o acesso ao seu projeto a partir dos endereços IP que especificar.

Acesso de saída

O isolamento de rede da Microsoft Foundry abrange tanto componentes de Plataforma como Serviço (PaaS) como de infraestrutura gerida por plataforma. Os recursos PaaS — como o projeto Microsoft Foundry, armazenamento, Key Vault, registo de contentores e monitorização — são isolados usando o Private Link. Em vez de os clientes gerirem recursos computacionais IaaS para treino ou endpoints online, o Foundry utiliza a injeção de rede virtual (VNet) do cliente Agente. O cliente Agente é injetado numa sub-rede virtual gerida pelo cliente, permitindo a comunicação de saída para recursos PaaS do Azure através de endpoints privados e Private Link, mantendo todo o tráfego dentro dos limites de rede definidos pelo cliente.

No modelo de rede privada Agent Service, os clientes não gerem recursos de "computação" separados no Foundry. Em vez disso, o cliente do Agente opera dentro da sub-rede delegada do Agente, e a plataforma fornece a injeção de containers para integração com a VNet do cliente.

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos definidos.

  • Uma rede virtual Azure existente.
  • Permissões do Azure para criar e aprovar ligações privadas a endpoints:
    • Na rede virtual: Network Contributor (ou equivalente) para criar o endpoint privado.
    • Sobre o recurso do projeto Foundry: Contribuinte (ou Proprietário) para criar ligações privadas de endpoint. Se não tiver permissões de aprovação, a ligação privada ao endpoint permanece em estado Pendente até que o proprietário do recurso a aprove.
    • Se gerir zonas DNS privadas: Contribuidor de Zona DNS Privada (ou equivalente) para a zona DNS privada que liga à rede virtual.

Importante

As configurações Standard exigem que traga os seus próprios recursos (BYO) para que todos os dados do agente fiquem no seu locatário do Azure.

Os recursos do BYO incluem: Armazenamento do Azure, Pesquisa de IA do Azure e Azure Cosmos DB.

Todos os dados processados pelo Foundry Agent Service são automaticamente armazenados em repouso nestes recursos, ajudando-o a cumprir os requisitos de conformidade e os padrões de segurança empresarial.

Configurar guia passo a passo para isolamento de tráfego de rede de entrada

Esta secção orienta-o na criação de um novo recurso Foundry com isolamento de rede de entrada ativado. O acesso à rede pública pode ser definido como Desativado com um endpoint privado (ligação privada) ativado, ou definido como Redes Selecionadas para conceder a capacidade de aceder ao Foundry de forma segura a endereços IP e redes virtuais.

Criar um novo recurso e projeto com endpoint privado

Ao criar um novo recurso Foundry, siga estes passos:

  1. No portal Azure, pesquise por Foundry e selecione Criar um recurso.

  2. Depois de configurar o separador Básicos , selecione o separador Rede e depois selecione a opção Desativada para acesso público.

  3. Na secção de endpoint privado , selecione + Adicionar endpoint privado.

  4. Ao percorrer os formulários para criar um endpoint privado, certifique-se de:

    • Nos Fundamentos, selecione a mesma Região da sua rede virtual.
    • A partir do formulário Rede Virtual, selecione a virtual network e a sub-rede a que pretende ligar-se.

    Nota

    Na interface do portal, o destino para o qual crias o endpoint privado deve ser rotulado como uma "conta". Selecione o seu recurso Foundry quando solicitado.

  5. Continue a preencher os formulários para criar o projeto. Quando chegar ao separador Rever + criar, reveja as suas definições e selecione Criar para criar o projeto.

Adicionar um endpoint privado a um recurso existente

Se tem um recurso e projeto Foundry existentes e quer adicionar isolamento de rede:

  1. No portal Azure, selecione o seu recurso Foundry.

  2. No lado esquerdo da página, selecione Gestão de Recursos, Rede e depois selecione o separador Conexões Privadas ao endpoint . Selecionar + Endpoint privado.

  3. Ao percorrer os formulários para criar um endpoint privado, certifique-se de:

    • Nos Fundamentos, selecione a mesma Região da sua rede virtual.
    • A partir do formulário Rede Virtual, selecione a virtual network e a sub-rede a que pretende ligar-se.

  4. Depois de preencher os formulários com quaisquer outras configurações de rede de que necessite, utilize o separador Rever + criar para revisar as configurações e selecione Criar para criar o endpoint privado.

Dica

Depois de criar o endpoint privado, dirija-se à secção de configuração DNS para garantir a resolução correta dos nomes.

Configuração DNS

Os clientes numa rede virtual que utilizam o endpoint privado usam a mesma "cadeia de ligação" para o recurso e projetos do Foundry que os clientes que utilizam o endpoint público. A resolução DNS encaminha automaticamente as ligações da rede virtual tanto para o recurso Foundry quanto para projetos através de uma ligação privada.

Aplicar alterações DNS para endpoints privados

Quando cria um endpoint privado, Azure atualiza o registo de recurso DNS CNAME para o recurso Foundry para um alias num subdomínio com o prefixo privatelink. Por defeito, Azure também cria uma zona DNS privada que corresponde ao subdomínio privatelink, com os registos de recursos DNS A para os endpoints privados. Para mais informações, consulte o que é Azure DNS Privado.

"Quando se resolve a URL do endpoint a partir de fora da rede virtual com o endpoint privado, ela resolve para o endpoint público do recurso Foundry." Quando o resolves a partir da rede virtual que aloja o endpoint privado, resolve para o endereço IP privado do endpoint privado.

Esta abordagem permite o acesso ao recurso Foundry usando a mesma cadeia de ligação para clientes na rede virtual que aloja os endpoints privados e clientes fora da rede virtual.

Se usar um servidor DNS personalizado na sua rede, os clientes devem conseguir resolver o nome de domínio totalmente qualificado (FQDN) do endpoint de recurso Foundry para o endereço IP do endpoint privado. Configure o seu servidor DNS para delegar o subdomínio do seu link privado à zona DNS privada da rede virtual.

Dica

Quando utilizar um servidor DNS personalizado ou local, configure o seu servidor DNS para resolver o nome de recurso Foundry no subdomínio privatelink para o endereço IP do endpoint privado. Delegue o privatelink subdomínio à zona DNS privada da rede virtual. Alternativamente, configure a zona DNS do seu servidor DNS e adicione os registos DNS A.

Para mais informações sobre como configurar o seu próprio servidor DNS para suportar endpoints privados, utilize os seguintes artigos:

Validar a configuração

Utilize os passos seguintes para validar que o seu endpoint privado foi aprovado e que o DNS resolve para o endereço IP privado dentro da sua rede virtual.

  1. No portal Azure, aceda ao recurso do seu projeto. Em Redes>Conexões de endpoint privado, confirme que o estado da ligação está Aprovada.

  2. A partir de uma VM conectada à rede virtual (ou de uma máquina local conectada via VPN/ExpressRoute), resolva o seu endpoint Foundry e confirme que este resolve para o endereço IP privado do endpoint.

    nslookup <your-foundry-endpoint-hostname>

  3. Teste a conectividade ao endereço IP do endpoint privado na porta 443.

    Test-NetConnection <private-endpoint-ip-address> -Port 443

Referências: Test-NetConnection

Gerir pontos finais privados

Depois de criar um projeto Foundry isolado na rede, pode ser necessário modificar a configuração da rede. Esta secção abrange tarefas comuns de gestão.

Remover um endpoint privado

Podes remover um ou todos os endpoints privados de um projeto. Remover um endpoint privado remove o projeto da Rede Virtual do Azure à qual o endpoint estava associado. Remover o endpoint privado pode impedir que o projeto aceda a recursos dessa rede virtual, ou que recursos na rede virtual acedam ao espaço de trabalho. Por exemplo, se a rede virtual não permite o acesso à ou a partir da internet pública.

Aviso

Remover os endpoints privados de um projeto não o torna acessível publicamente. Para tornar o projeto acessível ao público, utilize os passos na secção Permitir o acesso público .

Para remover um endpoint privado, use os seguintes passos:

  1. No portal Azure, selecione o seu projeto.
  2. No lado esquerdo da página, selecione Gestão de Recursos, Rede e depois selecione o separador Conexões Privadas ao endpoint .
  3. Selecione o endpoint a remover e depois selecione Remover.

Permitir o acesso público

Em algumas situações, pode querer permitir que alguém se ligue ao seu projeto seguro através de um endpoint público, em vez de através da rede virtual. Ou talvez queiras remover o projeto da rede virtual e reativar o acesso público.

Importante

Ativar o acesso público não remove quaisquer endpoints privados que existam. Todas as comunicações entre componentes atrás da rede virtual à qual os endpoints privados se ligam continuam seguras. Permite o acesso público apenas ao projeto, além do acesso privado através de quaisquer endpoints privados.

  1. No portal Azure, selecione o seu projeto.

  2. No lado esquerdo da página, selecione Gestão de Recursos, Rede e depois selecione o separador Firewalls e redes virtuais .

  3. Selecione Todas as redes e depois selecione Guardar.

    Captura de ecrã do separador de firewalls e redes virtuais com a opção de todas as redes selecionada.

Conceder acesso a serviços Azure de confiança

Se o seu projeto Foundry restringe o acesso à rede, conceda a um subconjunto de serviços Azure confiáveis acesso ao Foundry, mantendo as regras de rede para outras aplicações. Estes serviços de confiança usam então identidade gerida para autenticação. A tabela seguinte lista os serviços que podem aceder ao Foundry se a identidade gerida desses serviços tiver a atribuição de função apropriada:

Serviço Nome do fornecedor de recursos
Ferramentas de Fundição Microsoft.CognitiveServices
Pesquisa de IA do Azure Microsoft.Search
Azure Machine Learning Microsoft.MachineLearningServices

Conceda acesso de rede a serviços Azure de confiança criando uma exceção de regra de rede usando a API REST ou o portal Azure.

Escolha um método de ligação segura à Foundry

Para aceder ao seu recurso Foundry que tem o acesso à rede pública desativado e está atrás de uma rede virtual com um endpoint privado, use um destes métodos:

  • Rede Virtual do Azure Gateway - Ligar redes locais à rede virtual através de uma ligação privada na internet pública. Escolha entre dois tipos de gateway VPN:

    • Point-to-site: Cada computador cliente utiliza um cliente VPN para se ligar à rede virtual.
    • Site-to-site: Um dispositivo VPN liga a rede virtual à sua rede local.

  • ExpressRoute - Liga redes locais a Azure através de uma ligação privada através de um fornecedor de conectividade.

  • Azure Bastion VM - Crie uma Azure máquina virtual (uma jump box) na rede virtual e depois ligue-se a ela através de Azure Bastion usando RDP ou SSH a partir do seu navegador. Usa a VM como o teu ambiente de desenvolvimento. Como está na rede virtual, pode aceder diretamente ao recurso.

Configurar walkthrough para isolamento de rede de saída

Esta secção orienta-o na criação de um novo recurso Foundry com isolamento de rede de saída ativado. Pode escolher a melhor abordagem para assegurar o acesso de saída para o seu Agente e cliente de avaliações: injeção de rede virtual através da sua própria rede virtual (BYO VNet) ou rede virtual gerida (prévia). Para mais informações sobre redes geridas, consulte a documentação de redes geridas. Esta secção descreve o isolamento de rede com uma rede virtual personalizada (BYO).

Análise aprofundada sobre a injeção de rede para o serviço do Agent e avaliações

Se estiver a construir agentes, sejam agentes de solicitação ou agentes alojados (pré-visualização), ou a executar avaliações e quiser isolamento de rede de ponta a ponta, veja Como usar uma rede virtual com o Azure AI Agent Service. Esse artigo fornece detalhes sobre as zonas DNS obrigatórias, arquitetura de referência e limitações conhecidas. A mesma configuração de rede para tráfego de saída aplica-se a ambos os tipos de agentes que cria: agentes rápidos e agentes hospedados.

Diagrama do isolamento de rede recomendado para Foundry.

Criar um novo recurso e projeto com injeção virtual de rede

Pode criar um recurso Foundry com injeção de rede virtual usando a sua rede virtual personalizada (BYO VNet) a partir do portal Azure. Alternativamente, pode criar um recurso Foundry com injeção virtual de rede a partir de um modelo Bicep ou Terraform.

Ao criar um novo recurso Foundry, siga estes passos:

  1. No portal Azure, pesquise por Foundry e selecione Criar um recurso.
  2. Depois de configurar o separador Básicos , selecione o separador Armazenamento e depois selecione Selecionar recursos em Serviço Agente.
    • Selecione ou crie uma nova conta de Armazenamento, recurso de AI Search e Azure Cosmos DB. Se estiver a configurar o Foundry com injeção virtual de rede, deve também trazer os seus próprios recursos de Armazenamento, AI Search e Azure Cosmos DB, criando um Agente Padrão com isolamento de rede virtual de ponta a ponta.
  3. Depois de configurar o separador Armazenamento , selecione o separador Rede e depois selecione a opção Desativado para acesso público. Adicione o seu endpoint privado usando as instruções da secção de isolamento de rede de entrada.
  4. Após configurar o seu endpoint privado de entrada, aparece um novo menu suspenso para configurar a injeção de rede virtual. Selecione a sua rede virtual no primeiro menu suspenso, depois selecione a sua subnet que é delegada a Microsoft. App/environments com um tamanho de sub-rede de /27 ou maior. Esta delegação e o tamanho da sub-rede são necessários para a injeção.
  5. Continue a preencher os formulários para criar o projeto. Quando chegar ao separador Review + create, reveja as suas configurações e selecione Create para criar o projeto.

Nota

A capacidade de criar um recurso Foundry com injeção virtual de rede no portal do Azure só aparece se tiver primeiro selecionado trazer os seus próprios recursos para Armazenamento, Pesquisa e CosmosDB E se tiver selecionado o acesso à rede pública como desativado. Não suportamos a injeção de rede virtual com recursos geridos, também conhecida como configuração básica do agente, nem quando o acesso à rede pública está ativado.

Endpoints privados para Pesquisa de IA do Azure, Armazenamento do Azure e Azure CosmosDB NÃO são criados automaticamente quando implementas o teu recurso Foundry. Por favor, certifique-se de criar endpoints privados para estes recursos separadamente nas suas páginas de recursos no portal Azure.

Ferramentas de agentes com isolamento de rede

Suporte de ferramentas e fluxo de tráfego

Certas ferramentas Agent são suportadas quando o Foundry está isolado em rede, enquanto outras não. A tabela seguinte mostra o estado do suporte para ferramentas de agentes em ambientes isolados na rede e como o tráfego flui. Isto cobre o suporte de ferramentas dentro de uma VNET para os novos Agentes API de Respostas criados através do SDK/CLI ou, apenas, no novo portal Foundry, e não para agentes criados na experiência clássica do portal Foundry.

Exemplos de código sobre como executar estas ferramentas Agent numa configuração segura em rede podem ser encontrados no modelo de exemplo 19-hybrid-private-resources-agent-setup.

Ferramenta Estado de Apoio Fluxo de Tráfego
Ferramenta MCP (MCP privado) ✅ Apoiado Através da sua sub-rede VNet
Pesquisa de IA do Azure ✅ Apoiado Através de um endpoint privado
Interpretador de Código ✅ Apoiado Rede backbone da Microsoft
Chamada de Função ✅ Apoiado Rede backbone da Microsoft
Bing Grounding ✅ Apoiado Endpoint público
Pesquisa na Web ✅ Apoiado Endpoint público
Fundamentos do SharePoint ✅ Apoiado Endpoint público
Foundry IQ (pré-visualização) ✅ Apoiado Via MCP
Ferramenta OpenAPI ✅ Apoiado Através da sua VNET
Funções do Azure ✅ Apoiado Através da sua VNET
Agente-para-Agente (A2A) ✅ Apoiado Através da sua VNET
Agente de Dados Fabric ❌ Não suportado Em desenvolvimento
Logic Apps ❌ Não suportado Em desenvolvimento
Pesquisa de ficheiros ❌ Não suportado Em desenvolvimento
Automação de Navegadores ❌ Não suportado Em desenvolvimento
Utilização de computadores ❌ Não suportado Em desenvolvimento
Geração de Imagem ❌ Não suportado Em desenvolvimento

Nota

Ferramentas de endpoint público (Bing Grounding, Websearch SharePoint Grounding) funcionam em ambientes isolados na rede, mas comunicam através da internet pública. Estas ferramentas não requerem endpoints privados nem configuração de VNet. Se a sua organização exigir que todo o tráfego permaneça numa rede privada, estas ferramentas podem não cumprir os seus requisitos de conformidade.

Requisitos de configuração por padrão de tráfego

Ferramentas usando a sua subrede virtual de rede (Ferramenta MCP, Pesquisa de IA do Azure, OpenAPI, A2A, Funções do Azure):

Para mais informações sobre suporte e configuração privada de MCP, consulte 19-hybrid-private-resources-agent-setup. Use este modelo para perceber como configurar as ferramentas do Agente com o seu recurso Foundry isolado na rede de ponta a ponta.

Ferramentas usando Microsoft rede backbone (Interpretador de Código, Chamada de Funções):

Não são necessários endpoints privados nem é necessária configuração adicional de rede para utilizar estas ferramentas. O seu tráfego mantém-se dentro da infraestrutura de rede da Microsoft, garantindo segurança.

Ferramentas usando endpoints públicos (Bing, Websearch, SharePoint):

Não são necessários endpoints privados nem é necessária configuração adicional de rede para utilizar estas ferramentas. No entanto, estas ferramentas comunicam através de endpoints públicos. Se não quiser que os utilizadores da sua empresa usem estas ferramentas devido à sua natureza de endpoint público, pode bloqueá-los usando políticas do Azure.

Configuração de rede hub-and-spoke e de firewall

Para garantir o tráfego de saída através de filtragem de rede, configure Azure Firewall ou uma outra solução de firewall. Esta configuração ajuda a inspecionar e controlar o tráfego de saída antes de sair da sua rede virtual.

Além disso, pode usar uma arquitetura de rede hub-and-spoke onde é criada uma rede virtual para um firewall partilhado (o hub) e uma rede virtual separada para a rede Foundry (um spoke). Estas redes virtuais são então interligadas entre si.

Diagrama da configuração do firewall para tráfego de saída de projetos e agentes da Foundry.

Nota

O diagrama anterior reflete uma arquitetura hub-and-spoke com um firewall centralizado. Se usar um projeto Foundry autónomo sem topologia baseada em hub, o layout da sua rede será diferente. Adapta a firewall e a configuração de peering para corresponder ao design específico da tua rede virtual.

Limitações e considerações

Compreenda estas limitações antes de implementar isolamento de rede para o Foundry. Esta secção consolida todas as restrições conhecidas em relação a endpoints privados, experiências de utilização de portais, Agent Service e ferramentas.

Limitações das funcionalidades da fundição

As seguintes funcionalidades no Foundry ainda não suportam isolamento de rede.

Destaque Estado de Isolamento da Rede Notas
Geração de Dados Sintéticos para Avaliações Não suportado Leve os seus próprios dados para realizar avaliações.
Vestígios Não suportado Os Traces ainda não têm suporte de rede virtual com um Application Insights privado.
Agentes de Fluxo de Trabalho Parcialmente suportado O acesso de entrada é suportado na interface de utilizador, SDK e interface de linha de comandos. O Outbound com injeção de rede virtual não é atualmente suportado para Workflow Agents.
IA Gateway (APIM) Parcialmente suportado via Foundry UI Pode criar um novo Gateway de IA com o seu recurso privado da Foundry no novo portal da Foundry, mas este gateway é automaticamente público. Para completar quaisquer ações do plano de dados com uma Foundry privada, o seu AI Gateway deve também ter isolamento de rede configurado, que é configurado através do portal do Azure. Para mais informações, consulte Conectividade para Gateway de IA.
Certas Ferramentas de Agente Parcialmente suportado Consulte ferramentas de Agente com isolamento de rede para um estado do suporte detalhado, ferramenta por ferramenta.

Para mais limitações de isolamento da rede de Agent Service, consulte Como usar uma rede virtual com o Azure AI Agent Service.

Detalhes sobre outras limitações

  • Pesquisa de IA Privada com ferramenta de agente privada do Foundry: Se estiver a utilizar a sua Pesquisa de IA com acesso desativado à rede pública como ferramenta de agente juntamente com um recurso Foundry isolado da rede, certifique-se de que está a usar o novo Portal Foundry para criar os seus novos agentes. Este cenário não é suportado pela versão mais antiga do serviço Agent no portal clássico Foundry.
  • Publicar Agentes para Teams/M365: Pode publicar o seu agente para Teams e M365 quando o seu recurso Foundry tiver o acesso público à rede desativado. Existem requisitos adicionais de preparação para esta experiência. Para mais informações, por favor siga este artigo no blogue sobre construção de agentes de motores personalizados quando o seu recurso Foundry for privado.
  • Agentes Hospedados com Registo de Contêiner do Azure Privado: Se quiser implementar agentes hospedados no Foundry, certifique-se de que o seu Registo de Contêiner do Azure tem acesso à rede pública ativado. O acesso à rede pública desativado com um endpoint privado do Azure Container Registry ainda não é suportado numa configuração privada de Foundry. Agentes alojados podem ser implementados numa Foundry privada que foi configurada usando os modelos de rede existentes. Não precisas de redistribuir o teu Foundry privado e injetado por VNET.

Limitações dos endpoints privados

  • Região e subscrição: Deve implementar o endpoint privado na mesma região e subscrição da rede virtual.
  • Estado de ligação: Apenas endpoints privados num estado Aprovado podem enviar tráfego para um recurso de ligação privada.
  • Intervalo de endereços IP: Não use o intervalo de endereços IP 172.17.0.0/16 para a sua rede virtual. Este intervalo é reservado pela rede de ponte Docker.
  • Aprovações: Se não tiver permissões de Contribuinte ou Proprietário no recurso Foundry, as ligações de endpoints privados permanecem em estado Pendente até serem aprovadas.

Resolver problemas de endpoints privados

Se tiver problemas de conectividade após configurar um endpoint privado, experimente estes passos:

Problemas com endpoints privados

  • Endpoint privado bloqueado em estado Pendente: Verifique se tem as permissões de Contribuinte ou de Proprietário no recurso do projeto Foundry. Se não o fizer, peça ao proprietário do recurso para aprovar a ligação a partir do separador Rede>Conexões de Endpoint Privadas.
  • Falha na criação de endpoints privados: Assegure-se de que tem a função de Network Contributor na VNET e na sub-rede onde está a criar o endpoint. Verifica se a sub-rede não está cheia (com endereços IP disponíveis).

Problemas de resolução DNS

  • A resolução DNS devolve um endereço IP público: Confirme que existe uma zona DNS privada para o privatelink subdomínio e está ligada à sua rede virtual. Executa nslookup <your-foundry-endpoint-hostname> a partir de dentro da rede virtual para verificar se resolve para o IP privado.
  • Servidor DNS personalizado não resolvido: Se usar um servidor DNS personalizado, certifique-se de que ele encaminha consultas para o subdomínio privatelink para DNS do Azure (168.63.129.16). Consulte a configuração DNS para mais detalhes.
  • Falhas DNS Intermitentes: Verifique se o seu servidor DNS (personalizado ou fornecido por Azure) está acessível a partir de todas as sub-redes. Verifique as definições do servidor DNS na VNET e nas redes de rede individuais.

Problemas de conectividade

  • Tempos de espera de ligação na porta 443: Verifique se as regras do seu grupo de segurança de rede (NSG) permitem o tráfego de saída para o IP do ponto final privado na porta 443. Também verifica se nenhum firewall está a bloquear a ligação.
  • Não consigo contactar a Foundry a partir das instalações: Verifique se a sua ligação VPN, ExpressRoute ou VM está ativa e que as tabelas de encaminhamento incluem o espaço de endereçamento VNET. Teste a conectividade ao IP privado a partir do local.
  • 403 Erros proibidos: Isto indica frequentemente problemas de autenticação em vez de rede. Verifique se as suas credenciais têm funções RBAC apropriadas no projeto Foundry.

Resolução de problemas específica do agente

  • O agente falha ao iniciar num projeto isolado na rede: Verifica se estás a usar a implementação do Agente Padrão (não Basic). Verifique se a injeção de rede está devidamente configurada e se a sub-rede tem endereços IP suficientes disponíveis.
  • Agent não consegue aceder às ferramentas MCP: Assegure que existem endpoints privados para todos os serviços Azure que as ferramentas MCP acedem. Verificar que a identidade gerida tem os papéis apropriados no RBAC. Verifica se as regras do firewall permitem o tráfego do agente para o serviço.
  • As execuções de avaliação falham com erros de rede: Confirme que todas as zonas DNS necessárias estão configuradas. Verifique se o cálculo de avaliação pode alcançar tanto os endpoints do Foundry como dos modelos através de ligações privadas.
  • Timeouts de agentes em chamadas de API externas: Se os agentes precisarem de fazer chamadas a APIs externas (não Azure), certifique-se de que o seu firewall permite HTTPS de saída para esses destinos, ou implemente um gateway NAT para saída controlada.

Próximos passos

  • Last updated on