Konfigurera hanterat virtuellt nätverk för Microsoft Foundry-projekt

Den här artikeln beskriver hur du konfigurerar ett hanterat virtuellt nätverk för din Foundry-resurs. Hanterat virtuellt nätverk effektiviserar och automatiserar nätverksisolering för din Foundry-resurs genom att etablera ett Microsoft hanterat virtuellt nätverk som skyddar agenttjänstens underliggande beräkning i dina Foundry-projekt. När den är aktiverad skyddas agenternas utgående nätverkstrafik av den här hanterade nätverksgränsen, och det isoleringsläge som du väljer styr all trafik. Du kan skapa de privata slutpunkter som krävs för beroende Azure tjänster och tillämpa de nödvändiga nätverksreglerna, vilket ger dig ett säkert standardvärde utan att du behöver skapa eller underhålla ditt eget virtuella nätverk. Det här hanterade nätverket begränsar vad dina agenter kan komma åt, vilket förhindrar dataexfiltrering samtidigt som anslutningen till godkända Azure resurser tillåts.

Det hanterade virtuella nätverket har nu stöd för prompt- och värdbaserade agenttjänster med det nya svars-API:et och i den nya Foundry-portalen. De aktuella regioner som stöds för hanterat virtuellt nätverk med den nya agenttjänsten och den nya Foundry-portalen är följande: USA, östra, USA, östra 2, Japan, östra, Frankrike, centrala, Förenade Arabemiraten, norra, Brasilien, södra, Spanien, centrala, Tyskland, västra centrala, Italien, norra, USA, södra centrala, Australien, östra, Sverige, centrala, Kanada, östra, Sydafrika, norra, USA, västra, USA, västra 3, Södra Indien och Storbritannien, södra. Ytterligare regionstöd att följa snart.

Innan du fortsätter bör du överväga begränsningarna i erbjudandet och granska förutsättningarna.

Förstå isoleringslägen

När du aktiverar funktionen för isolering av hanterade virtuella nätverk, skapar du ett hanterat virtuellt nätverk för Foundry-kontot, skapat i Microsoft-klienten. Alla nya agenter som du skapar i dina projekt använder automatiskt det hanterade virtuella nätverket för utgående trafik. Det hanterade virtuella nätverket kan använda privata slutpunkter för Azure resurser som dina agenter använder, till exempel Azure Storage, Azure Cosmos DB och Azure AI-sökning.

Observera

Diagrammen i den här artikeln representerar endast logisk anslutning. Hanterade privata slutpunkter i ett foundry-hanterat virtuellt nätverk skapar inte kund synliga nätverksgränssnitt (NIC). Till skillnad från vanliga privata VNet-slutpunkter som skapar ett nätverkskort med en privat IP-adress i undernätet hanteras hanterade privata slutpunkter helt av Microsoft och abstraheras från kundens virtuella nätverksresurser. Du kommer inte att se dessa slutpunkter eller associerade nätverkskort i din prenumeration.

Det finns två olika konfigurationslägen för utgående trafik från det hanterade virtuella nätverket:

Utgående läge	Beskrivning	Scenarier
Tillåt utgående internettrafik	Tillåter all utgående trafik till Internet.	Obegränsad utgående åtkomst är acceptabel. bred anslutning krävs.
Tillåt endast godkänd utgående trafik	Begränsar utgående trafik med hjälp av tjänsttaggar, privata slutpunkter och valfria FQDN-regler (portar 80, 443) som tillämpas via Azure Firewall.	Minimera risken för dataexfiltrering; kräver en kuraterad lista över destinationer.
Avaktiverad	Isolering av hanterat virtuellt nätverk är inte aktiverat, såvida inte anpassat virtuellt nätverk används.	Behöver offentlig utgående anslutning eller planera för att tillhandahålla ett eget virtuellt nätverk.

Följande arkitekturdiagram visar ett hanterat nätverk i allow internet outbound läge.

Följande arkitekturdiagram visar ett hanterat nätverk i allow only approved outbound läge.

När du har konfigurerat ett hanterat virtuellt nätverk Foundry för att tillåta utgående Internet kan du inte konfigurera om resursen till inaktiverad. När du har konfigurerat en hanterad virtuell nätverksresurs så att den endast tillåter godkänd utgående trafik kan du inte konfigurera om resursen för att tillåta utgående Internet.

Förutsättningar

Innan du följer stegen i den här artikeln kontrollerar du att du har följande förutsättningar:

En Azure-abonnemang. Om du inte har en Azure prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Azure CLI installerat på version 2.86.0. Krävs för att skapa utgående regler från det hanterade nätverket.
Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search och Microsoft.ContainerService resursproviders registrerade för din Azure-prenumeration. Mer information finns i Registrera resursprovider.
Behörigheter för att distribuera en hanterad nätverksresurs. Azure AI Account Owner på Foundry-resursens omfång krävs för att skapa ett Foundry-konto och projekt. Owner eller Role Based Access Administrator krävs för att tilldela RBAC till de resurser som krävs. Azure AI User i projektomfånget krävs för att skapa och bygga agenter.
Tillräcklig kvot för alla resurser i målregionen Azure. Om inga parametrar skickas skapar den här mallen en Foundry-resurs, Foundry-projekt, Azure Cosmos DB för NoSQL, Azure AI-sökning och Azure Storage konto.

Begränsningar

Tänk på följande begränsningar innan du aktiverar hanterad nätverksisolering för din Foundry-resurs.

Du kan distribuera en foundry-resurs för hanterade nätverk på tre sätt.
Bicep-mall finns i mappen 18-managed-virtual-network i foundry-samples
Terraform-mall i mappen 18-managed-virtual-network i foundry-samples
Azure CLI-kommandon az cognitiveservices och az rest. Mer information om Azure CLI stöd i den här artikeln nedan.
Det finns inget stöd för Azure Portal användargränssnitt för att skapa det hanterade nätverket ännu. Stöd kommer snart.
När din Foundry-resurs har skapats kontrollerar du att du har tilldelat Foundry-resursens hanterade identitet den inbyggda rollen Azure AI Enterprise Network Connection Approver (roll-ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) för att säkerställa att den privata slutpunkten som krävs för Foundry-resursen skapas och godkänns.
Du kan inte inaktivera isolering av hanterade virtuella nätverk när du har aktiverat det. Det finns ingen uppgraderingssökväg från anpassad konfiguration av virtuella nätverk till hanterat virtuellt nätverk. En omfördelning av Foundry-resurser krävs. När du tar bort foundry-resursen tas det hanterade virtuella nätverket bort.
Stöd för hanterade virtuella nätverk finns endast i följande regioner: USA, östra, USA, östra 2, Japan, östra, Frankrike, centrala, Förenade Arabemiraten, norra, Brasilien, södra, Spanien, centrala, Tyskland, centrala, Italien, norra, USA, södra centrala, Australien, östra, Sverige, centrala, Kanada, östra, Sydafrika, norra, USA, västra, USA, västra 3, Södra Indien och Storbritannien, södra. Ytterligare regionstöd att följa snart.
Om du behöver privat åtkomst till lokala resurser för din Foundry-resurs använder du Application Gateway för att konfigurera lokal åtkomst. Samma konfiguration med en privat slutpunkt till Application Gateway och konfigurering av backendpooler stöds. Både L4- och L7-trafik stöds nu med Application Gateway i GA.
Om du skapar utgående FQDN-regler när det hanterade virtuella nätverket är i Tillåt endast godkänd utgående-läge, skapas en hanterad Azure Firewall, och detta medför associerade brandväggskostnader. Mer information om priser finns i Priser. Utgående FQDN-regler stöder endast portarna 80 och 443.
Du kan inte ta med egna Azure Firewall till det hanterade virtuella nätverket. En hanterad brandvägg skapas automatiskt för ditt Foundry-konto när du använder läget Tillåt endast godkänd utgående trafik .
Du kan inte återanvända samma hanterade brandvägg för flera Foundry-konton. Varje Foundry-konto skapar en egen hanterad brandvägg när du använder läget Tillåt endast godkänd utgående trafik .
Om du skapar nya projekt i din Foundry-resurs och har ett aktiverat hanterat virtuellt nätverk, behöver du återskapa projektfunktionens värd för att se till att projektet använder Bring Your Own-resurserna och det hanterade nätverket. Fler instruktioner finns i README för konfiguration av hanterat nätverk i foundry-samples-lagringsplatsen.

Distribuera hanterat virtuellt nätverksisoleringläge

Kom igång med att distribuera en foundry-resurs för ett hanterat virtuellt nätverk genom att följa stegen nedan.

Azure CLI
Bicep/Terraform

Steg 1: Skapa AI Services-kontot med nätverksinmatningar

Kontot måste skapas med customSubDomainName, allowProjectManagement och networkInjections angivna vid skapandetillfället. Det går inte att lägga till dessa egenskaper när kontot har skapats.

Viktigt

Du måste använda kommandona az rest för att skapa konton med nätverksinmatningar eftersom Azure CLI ännu inte har stöd för att skapa en Foundry-resurs med nätverksinmatning.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2025-10-01-preview" \
  --body '{
    "location": "{region}",
    "kind": "AIServices",
    "sku": { "name": "S0" },
    "identity": { "type": "SystemAssigned" },
    "properties": {
      "allowProjectManagement": true,
      "customSubDomainName": "{account-name}",
      "networkInjections": [
        {
          "scenario": "agent",
          "subnetArmId": "",
          "useMicrosoftManagedNetwork": true
        }
      ],
      "disableLocalAuth": false
    }
  }' \
  --headers "Content-Type=application/json"

Vänta tills provisioningState når Succeeded innan fortsatt:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2025-10-01-preview" \
  --query "properties.provisioningState" -o tsv

Steg 2: Hämta huvud-ID för hanterad identitet

Hämta det systemtilldelade huvudnamns-ID:t för hanterad identitet från kontot:

az cognitiveservices account show \
  --resource-group {resource-group} \
  --name {account-name} \
  --query identity.principalId -o tsv

Steg 3: Tilldela rollen Godkännare för nätverksanslutning

Tilldela rollen Azure AI Enterprise Network Connection Approver (roll-ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) till Foundry-kontots hanterade identitet. Detta gör att privata slutpunkter för hanterade nätverk kan godkännas automatiskt.

az role assignment create \
  --assignee-object-id {principal-id} \
  --assignee-principal-type ServicePrincipal \
  --role "b556d68e-0be0-4f35-a333-ad7ee1ce17ea" \
  --scope /subscriptions/{subscription-id}/resourceGroups/{resource-group}

Observera

Om dina målresurser (Storage, Cosmos DB, AI Search) finns i en annan resursgrupp, begränsa rolltilldelningen till den resursgruppen eller prenumerationen.

Steg 4: Skapa det hanterade nätverket

Skapa barnresursen för det hanterade nätverket på kontot. Detta etablerar nätverksisoleringsläget och etablerar nätverksinfrastrukturen.

Så här skapar du ett hanterat nätverk med Tillåt utgående Internet:

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_internet_outbound

Så här skapar du ett hanterat nätverk med Tillåt endast godkänd utgående trafik:

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_only_approved_outbound \
  --firewall-sku Standard

Du kan distribuera med antingen Bicep- eller Terraform-mallarna på lagringsplatsen foundry-samples:

Bicep: 18-managed-virtual-network
Terraform: 18-managed-virtual-network

För Bicep:

Klona eller ladda ned lagringsplatsen foundry-samples .
Öppna mallen managed-network.bicep i mappen modules-network-secured.
Ange parametern IsolationMode för isoleringsläge beroende på ditt valda isoleringsläge: AllowInternetOutbound eller AllowOnlyApprovedOutbound.
I filen README.md väljer du knappen Deploy till Azure. Den här åtgärden öppnar mallen i Azure-portalen för en snabb distribution.
Slutför alla parametrar innan du distribuerar till exempel region, resursgrupp, virtuellt nätverksnamn och andra. Om du tar med din egen Cosmos DB, Storage eller Search kontrollerar du att även resurs-ID:n ingår.
Slutligen distribuerar du mallen. Malldistributionen bör ta ungefär 30 minuter.

För Terraform:

Klona eller ladda ned lagringsplatsen foundry-samples .
Gå till infrastructure/infrastructure-setup-terraform/18-managed-virtual-network mappen.
Konfigurera nödvändiga variabler för din miljö (region, resursgrupp, isoleringsläge och eventuella befintliga resurs-ID:er).
Kör terraform init, terraform planoch terraform apply för att distribuera.

Mer information om de parametrar som krävs för distribution av hanterade virtuella nätverk finns i Microsoft. CognitiveServices/accounts/managedNetworks.

Verifiera distribution av hanterat virtuellt nätverk

När distributionen är klar kontrollerar du att det hanterade virtuella nätverket är korrekt konfigurerat.

Azure CLI
az-rest

Bekräfta att Foundry-resursen finns och att det hanterade nätverket är aktiverat:
```
az cognitiveservices account managed-network show \
  --resource-group {resource-group} \
  --name {account-name}
```
Svaret bör visa isolationMode inställningen till det valda läget (AllowInternetOutbound eller AllowOnlyApprovedOutbound).

Visa en lista över alla regler för utgående trafik och deras status:

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Visa en specifik regel för utgående trafik:

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Testa agentanslutningen genom att skapa och köra en grundläggande agent i ditt Foundry-projekt. Om agenten har slutfört sitt arbete fungerar detta hanterade nätverk korrekt.

Bekräfta att Foundry-resursen finns och att det hanterade nätverket är aktiverat:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2025-10-01-preview" \
  --query "properties.managedNetwork"

Svaret bör visa isolationMode inställningen till det valda läget (AllowInternetOutbound eller AllowOnlyApprovedOutbound).

Visa en lista över hanterade privata slutpunkter för att bekräfta att de har skapats:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2025-10-01-preview" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

Testa agentanslutningen genom att skapa och köra en grundläggande agent i ditt Foundry-projekt. Om agenten har slutfört sitt arbete fungerar detta hanterade nätverk korrekt.

Hantera regler för utgående trafik

Efter distributionen kan du lägga till, uppdatera, lista och ta bort regler för utgående trafik för att styra vilka mål som ditt hanterade nätverk kan nå. Följande regeltyper för utgående trafik stöds:

Typ	Beskrivning	Exempelmål
`fqdn`	Tillåter utgående trafik till ett fullständigt domännamn.	`"*.openai.azure.com"`
`privateendpoint`	Tillåter utgående trafik via en privat slutpunktsregel.	JSON för konfiguration av privat slutpunkt
`servicetag`	Tillåter utgående trafik till en Azure tjänsttagg, protokoll och portintervall.	`'{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'`

Azure CLI
az-rest

Skapa eller uppdatera en utgående FQDN-regel

Använd en FQDN-regel för att tillåta trafik till ett domännamn eller jokerteckendomän.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type fqdn \
  --destination "*.openai.azure.com"

Skapa eller uppdatera en regel för utgående tjänsttagg

Använd en tjänsttaggregel för att tillåta trafik till en Azure tjänsttagg över ett specifikt protokoll och portintervall.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type servicetag \
  --destination '{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'

Skapa eller uppdatera en utgående regel för privat slutpunkt

Använd en privat slutpunktsregel för att tillåta trafik via en privat slutpunkt till en Azure resurs.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type privateendpoint \
  --destination '{"serviceResourceId":"/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Storage/storageAccounts/{storage-name}","subresourceTarget":"blob"}'

Vanliga delresursmål är blob för Azure Storage, searchService för Azure AI-sökning, Sql för Azure Cosmos DB och vault för Azure Key Vault.

Lista regler för utgående trafik

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Visa en regel för utgående trafik

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Massskapa eller uppdatera regler för utgående trafik

Använd bulk-set för att skapa eller uppdatera flera utgående regler från en YAML- eller JSON-fil.

az cognitiveservices account managed-network outbound-rule bulk-set \
  --resource-group {resource-group} \
  --name {account-name} \
  --file rules.yaml

Ta bort en regel för utgående trafik

az cognitiveservices account managed-network outbound-rule remove \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Om du vill uppdatera regler för utgående trafik med hjälp av ARM REST API använder du az rest kommandot . I följande exempel skapas en utgående regel för en privat slutpunkt till en Azure Cosmos DB-resurs:

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2025-10-01-preview" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

Ersätt platshållarna med värden för din miljö. För andra resurstyper ändrar du serviceResourceId värdena och subresourceTarget därefter. Vanliga delresursmål är blob för Azure Storage, searchService för Azure AI-sökning och vault för Azure Key Vault.

För mer information, följ instruktionerna i filen utgående regler CLI i arkivet foundry-samples.

Mer information om de parametrar som krävs för regler för utgående hanterade virtuella nätverk finns i Microsoft. CognitiveServices/accounts/managedNetworks/outboundRules.

Välj Azure Firewall version

För det hanterade virtuella nätverket etableras en Azure Firewall automatiskt när du lägger till en utgående FQDN-regel i Tillåt endast godkänt utgående läge.

Standard-SKU:n är Standard för brandväggen. Du kan välja Basic SKU i stället för lägre kostnad om avancerade funktioner inte krävs. Mer information om priser finns i Priser. När du har valt en brandväggs-SKU vid distributionen kan du inte ändra den efter distributionen. Eftersom det här är en hanterad brandvägg finns brandväggen inte i din klientorganisation eller under din kontroll. Den enda inställning som du kan styra är brandväggs-SKU:n.

Privata slutpunkter

När du aktiverar ett hanterat virtuellt nätverk kan du skapa hanterade privata slutpunkter så att agenter på ett säkert sätt kan nå nödvändiga Azure resurser utan att använda det offentliga Internet. Dessa privata slutpunkter tillhandahåller en isolerad, privat IP-baserad anslutning från det hanterade nätverket till tjänster som Lagring, AI Search och andra beroenden som används i dina Foundry-projekt. Till skillnad från kundhanterade virtuella nätverk exponerar hanterade privata slutpunkter i Foundry inte ett nätverksgränssnitt eller en undernätskonfiguration för kunden. Den privata IP-baserade anslutningen hanteras helt av Microsoft och representeras inte som ett nätverkskort i kundens prenumeration.

Följande resurser stöder privata slutpunkter från det hanterade nätverket. Du måste använda CLI för att skapa privata slutpunkter.

Microsoft Foundry (AI Services)
Azure Application Gateway (ansluter till dina lokala resurser med hjälp av L4- eller L7-trafik)
Azure API Management (stöder endast den klassiska nivån utan VNet-inmatning och Standard V2-nivån med integrering av virtuellt nätverk)
Azure AI-sökning
Azure Container Registry
Azure Cosmos DB
Azure Data Factory
Azure Database for MariaDB
Azure Database for MySQL
Azure Database for PostgreSQL Enserverlösning
Azure Database for PostgreSQL Flexibel Server
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Cache for Redis
Azure SQL Server
Azure Storage
Azure Application Insights (via Azure Monitor Private Link Scope)

När du skapar en hanterad privat slutpunkt från det foundry-hanterade virtuella nätverket till en kundägd målresurs måste Foundry-resursens hanterade identitet ha rätt behörighet för målresursen för att skapa och godkänna privata slutpunktsanslutningar. Det här kravet säkerställer att Foundry uttryckligen har behörighet att upprätta en säker, privat länk till resursen.

För att förenkla det här kravet tilldelar du rollen Azure AI Enterprise Network Connection Approver (roll-ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) till Foundry-kontots hanterade identitet. Den här rollen innehåller nödvändiga behörigheter för de vanligaste Azure tjänster och ger vanligtvis tillräcklig åtkomst för Foundry för att skapa och godkänna privata slutpunkter för din räkning. När du har godkänt anslutningen hanterar Foundry fullständigt den privata slutpunkten och kräver ingen ytterligare kundkonfiguration.

Obligatoriska regler för utgående trafik

I läget Tillåt endast godkänd utgående trafik i det hanterade virtuella nätverket skapas några obligatoriska regler för utgående trafik för funktioner som agenttjänsten. Den innehåller följande:

Privat anslutningspunkt för Cosmos DB-resursen
Privat slutpunkt till ditt lagringskonto
Privat slutpunkt för din AI Search-resurs
ServiceTag till AzureActiveDirectory
ServiceTag till AzureMachineLearning (för utvärderingskatalogen)

Regler för utgående trafik per scenario

Om du distribuerar Foundry med hanterat virtuellt nätverk i läget Tillåt endast godkänd utgående trafik kan du behöva lägga till följande utgående FQDN-regler för att säkerställa att utgående trafik tillåts. Nedan visas listan över betrodda fullständigt kvalificerade domännamn (FQDN) för att skapa utgående regler för beroende på scenario eller funktion i Foundry.

Scenario	FQDN	Beskrivning
Agenter	`.identity.azure.net`, `login.microsoftonline.com`, `.login.microsoftonline.com`, `*.login.microsoft.com` eller `mcr.microsoft.com` AAD-tjänsttagg	Krävs för Azure Container App-delegering för agenttjänsten. Innehåller Microsoft Containerregister för hämtningar av containeravbildningar.
Utvärderingar och spårningar med en Application Insights-resurs	`settings.sdk.monitor.azure.com`, `.livediagnostics.monitor.azure.com`, `.in.applicationinsights.azure.com`	Används för utvärderingskatalogen och för att skicka resultat till den länkade Application Insights-resursen.
Finjustering	`raw.githubusercontent.com`	Används för finetuning när en användare väljer en kurerad exempeldatauppsättning i Foundry-portalen.

Prissättning

Funktionen Foundry managed virtual network (Gjutererat hanterat virtuellt nätverk) är kostnadsfri. Du debiteras dock för följande resurser som det hanterade virtuella nätverket använder:

Azure Private Link – Lösningen förlitar sig på Azure Private Link för privata slutpunkter som skyddar kommunikationen mellan det hanterade virtuella nätverket och Azure resurser. Mer information om priser finns i Azure Private Link prissättning.
Utgående FQDN-regler – Du implementerar utgående FQDN-regler med hjälp av Azure Firewall. Om du använder utgående FQDN-regler lägger du till avgifter för Azure Firewall till din fakturering. En standardversion av Azure Firewall används som standard. Du kan välja grundläggande version. Brandväggen skapas inte förrän du lägger till en utgående FQDN-regel.

Mer information om Azure prissättning finns i Private Link Pricing and Azure Firewall Pricing.

Jämförelse av hanterade och anpassade BYO-nätverk

Välj rätt utgående nätverksisoleringsläge beroende på dina nätverksbehov och begränsningar i företaget.

Aspekt	Hanterat nätverk	Anpassat nätverk (BYO)
Fördelar	Microsoft hanterar undernätsintervall, IP-val, delegering.	Fullständig kontroll: Ta med anpassad brandvägg, ange användardefinierade vägar, nätverkspeering, delegera undernät.
Begränsningar	Det går inte att ta med en egen brandvägg för att tillåta endast godkänd utgående trafik. Kräver Application Gateway för säker lokal (L7- och L4-trafikstöd från Application Gateway). Ingen loggning av stöd för utgående trafik ännu.	Mer komplex konfiguration, till exempel delegering av undernät till Azure Container Apps. Kräver korrekt skapande av CapHost. Kräver privata klass A, B och C, offentliga eller CGNAT IP-adressintervall är inte tillåtna. Kräver minst /27-undernät för agentdelegering.

Mer information om konfiguration av inmatning av virtuella nätverk för agenter och begränsningar finns i Konfigurera ett anpassat virtuellt nätverk för agenter.

Rensa resurser

För att rensa din hanterade virtuella nätverksresurs Foundry, ta bort Foundry-resursen. Den här åtgärden tar också bort det hanterade virtuella nätverket.

Felsökning

Det gick inte att skapa CapHost
- Ta bort den felaktiga CapHost-resursen och distribuera om mallen.
FQDN-regeln tillämpas inte
- Bekräfta att brandväggs-SKU:n har tillhandahållits och kontrollera att portarna har begränsats till 80 eller 443.
Konflikter med privata slutpunkter
- Ta bort alla tjänstslutpunktskonfigurationer och använd endast privat slutpunkt.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-08