Konfigurieren des verwalteten virtuellen Netzwerks für Microsoft Foundry-Projekte

Von Bedeutung

Die in diesem Artikel markierten Elemente (Vorschau) sind aktuell als öffentliche Vorschau verfügbar. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel bereitgestellt und sollte nicht für Produktionsworkloads verwendet werden. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Supplementale Nutzungsbedingungen für Microsoft Azure Previews.

In diesem Artikel wird erläutert, wie Sie ein verwaltetes virtuelles Netzwerk für Ihre Foundry-Ressource einrichten. Das verwaltete virtuelle Netzwerk optimiert und automatisiert die Netzwerkisolation für Ihre Foundry-Ressource, indem ein Microsoft-verwaltetes virtuelles Netzwerk bereitgestellt wird, das den Agents-Dienst, der dem zugrunde liegenden Computing innerhalb Ihrer Foundry-Projekte dient, sichert. Wenn diese Option aktiviert ist, wird der ausgehende Netzwerkdatenverkehr durch diese verwaltete Netzwerkgrenze gesichert, und der ausgewählte Isolationsmodus steuert den gesamten Datenverkehr. Sie können die erforderlichen privaten Endpunkte für abhängige Azure Dienste erstellen und die erforderlichen Netzwerkregeln anwenden, sodass Sie einen sicheren Standardwert erhalten, ohne dass Sie Ihr eigenes virtuelles Netzwerk erstellen oder verwalten müssen. Dieses verwaltete Netzwerk schränkt den Zugriff ihrer Agents ein, wodurch die Datenexfiltration verhindert wird und gleichzeitig die Verbindung mit genehmigten Azure Ressourcen zugelassen werden kann.

Bevor Sie fortfahren, sollten Sie die Einschränkungen des Angebots berücksichtigen und die Voraussetzungen überprüfen. Dieses Feature befindet sich derzeit in der öffentlichen Vorschau, ziehen Sie daher Vorschaubedingungen in Betracht, bevor Sie diese Netzwerkisolationsmethode aktivieren. Wenn Sie keine Vorschaufeatures in Ihrem Unternehmen verwenden dürfen, verwenden Sie die vorhandene GA-unterstützte benutzerdefinierte virtuelle Netzwerkintegration für Agents in Foundry.

Verstehen der Isolationsmodi

Wenn Sie die verwaltete virtuelle Netzwerkisolation aktivieren, erstellen Sie ein verwaltetes virtuelles Netzwerk für das Foundry-Konto. Jeder neue Agent, den Sie in Ihren Projekten erstellen, verwendet automatisch das verwaltete virtuelle Netzwerk für ausgehenden Traffic. Das verwaltete virtuelle Netzwerk kann private Endpunkte für Azure Ressourcen verwenden, die Ihre Agents verwenden, z. B. Azure Storage, Azure Cosmos DB und Azure KI-Suche.

Diagramm der verwalteten virtuellen Netzwerk-Konfiguration.

Hinweis

Die Diagramme in diesem Artikel stellen nur logische Konnektivität dar. Verwaltete private Endpunkte in einem von Foundry verwalteten virtual network erstellen keine vom Kunden sichtbaren Netzwerkschnittstellen (NICs). Im Gegensatz zu standardmäßigen privaten VNet-Endpunkten, die eine NIC mit einer privaten IP in Ihrem Subnetz erstellen, werden verwaltete private Endpunkte vollständig von Microsoft verwaltet und von den virtuellen Netzwerkressourcen des Kunden abstrahiert. Diese Endpunkte oder zugehörige NICs werden in Ihrem Abonnement nicht angezeigt.

Für ausgehenden Datenverkehr aus dem verwalteten virtual network gibt es zwei verschiedene Konfigurationsmodi:

Ausgehender Modus Description Szenarien
Ausgehenden Internetdatenverkehr zulassen Ermöglicht den gesamten ausgehenden Datenverkehr zum Internet. Uneingeschränkter ausgehender Zugriff ist akzeptabel; eine umfassende Konnektivität ist erforderlich.
Nur genehmigten ausgehenden Datenverkehr zulassen Schränkt ausgehende Verwendung von Diensttags, privaten Endpunkten und optionalen FQDN-Regeln (Ports 80, 443) ein, die über Azure Firewall erzwungen werden. Minimieren des Datenexfiltrationsrisikos; erfordert eine kuratierte Liste der Ziele.
Disabled Die Verwaltung der Isolation von virtuellen Netzwerken ist nicht aktiviert, es sei denn, ein benutzerdefiniertes virtuelles Netzwerk wird verwendet. Benötigen Sie ein öffentliches ausgehendes Netzwerk oder planen Sie, Ihr eigenes virtuelles Netzwerk bereitzustellen.

Das folgende Architekturdiagramm zeigt ein verwaltetes Netzwerk im allow internet outbound Modus.

Diagramm der Konfiguration für verwaltete virtuelle Netzwerke im Modus zum Zulassen des Internetzugangs.

Das folgende Architekturdiagramm zeigt ein verwaltetes Netzwerk im allow only approved outbound Modus.

Diagramm der verwalteten virtuellen Netzwerk-Konfiguration im Modus

Nachdem Sie eine verwaltete virtual network Foundry so konfiguriert haben, dass internetausgangsfähig ist, können Sie die Ressource nicht neu konfigurieren, um sie zu deaktivieren. Entsprechend können Sie eine verwaltete virtuelle Netzwerkressource, die Sie so konfiguriert haben, dass nur genehmigter ausgehender Datenverkehr zugelassen wird, nicht neu konfigurieren, um ausgehenden Internetverkehr zuzulassen.

Voraussetzungen

Stellen Sie vor dem Ausführen der Schritte in diesem Artikel sicher, dass Sie über die folgenden erforderlichen Komponenten verfügen:

  • Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

  • Azure CLI installiert. Erforderlich zum Erstellen ausgehender Regeln aus dem verwalteten Netzwerk.

  • Die Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search und Microsoft.ContainerService Ressourcenanbieter, die für Ihr Azure-Abonnement registriert sind. Weitere Informationen finden Sie unter Ressourcenanbieter registrieren.

  • Registrierung der Vorschaufunktion für das Merkmal AI.ManagedVnetPreview im Azure-Portal oder über Azure CLI. Registrieren Sie das Feature, indem Sie den folgenden Befehl ausführen:

    az feature register --namespace Microsoft.CognitiveServices --name AI.ManagedVnetPreview

    Überprüfen Sie den Registrierungsstatus:

    az feature show --namespace Microsoft.CognitiveServices --name AI.ManagedVnetPreview --query "properties.state" -o tsv

    Es dauert ein paar Stunden, um Ihr Abonnement zu genehmigen.

  • Berechtigungen zum Bereitstellen einer verwalteten Netzwerkressource. Azure AI-Kontobesitzer im Kontobereich ist erforderlich, um ein Foundry-Konto und -Projekt zu erstellen. Ein Besitzer oder ein rolespezifizierter Zugriffsadministrator ist erforderlich, um RBAC den benötigten Ressourcen zuzuweisen. Für das Erstellen und Bearbeiten von Agenten wird ein Azure AI-Benutzer mit Zugriffsberechtigung im Projektbereich benötigt.

  • Ausreichendes Kontingent für alle Ressourcen in Ihrem Ziel Azure Region. Wenn keine Parameter übergeben werden, erstellt diese Vorlage eine Foundry-Ressource, ein Foundry-Projekt, Azure Cosmos DB für NoSQL, Azure KI-Suche und Azure Storage Konto.

Einschränkungen

Berücksichtigen Sie die folgenden Einschränkungen, bevor Sie die Verwaltete Netzwerkisolation für Ihre Foundry-Ressource aktivieren.

  1. Sie können eine verwaltete Netzwerk-Foundry-Ressource nur über die Bicep-Vorlage im Ordner 18-managed-virtual-network-preview in foundry-samples bereitstellen.
  2. Wenn Sie FQDN-Ausgangsregeln erstellen und sich das verwaltete virtuelle Netzwerk im Modus Nur genehmigten ausgehenden Datenverkehr zulassen befindet, wird eine verwaltete Azure Firewall erstellt, die mit den entsprechenden Firewallkosten verbunden ist. Weitere Informationen zu Preisen finden Sie unter "Preise". Die FQDN-ausgehenden Regeln unterstützen nur Ports 80 und 443.
  3. Sie können die verwaltete virtuelle Netzwerkisolation nach der Aktivierung nicht deaktivieren. Es gibt keinen Migrationspfad von einer benutzerdefinierten virtuellen Netzwerk-Konfiguration zu einem verwalteten virtuellen Netzwerk. Eine erneute Bereitstellung einer Foundry-Ressource ist erforderlich. Beim Löschen der Foundry-Ressource wird das verwaltete virtuelle Netzwerk gelöscht.
  4. Sie müssen ausgehende Regeln aus dem verwalteten Netzwerk über Azure CLI erstellen. Für die End-to-End-gesicherte Einrichtung des Agent-Dienstes mit einem verwalteten virtuellen Netzwerk erstellt die Vorlage den verwalteten privaten Endpunkt für das zugeordnete Speicherkonto. Private Endpunkte werden nicht für Cosmos DB oder AI Search erstellt. Weitere Informationen zum Erstellen der verwalteten privaten Endpunkte finden Sie in der Datei CLI für Ausgangsregeln .
  5. Die Unterstützung für verwaltete virtuelle Netzwerke liegt nur in den folgenden Regionen: Ost-USA, Ost-US2, Japan Ost, Frankreich Zentral, VAE Nord, Brasilien Süd, Spanien Zentral, Deutschland West Central, Italien Nord, Süd-Zentral-USA, West-Zentral-USA, Australien Ost, Schweden Zentral, Kanada Ost, Südafrika Nord, Westeuropa, West-USA, West-USA 3, Südindien und Vereinigtes Königreich Süd.
  6. Wenn Sie privaten Zugriff auf lokale Ressourcen für Ihre Foundry-Ressource benötigen, verwenden Sie Application Gateway, um den lokalen Zugriff zu konfigurieren. Die gleiche Einrichtung mit einem privaten Endpunkt zum Application Gateway und Einrichten von Back-End-Pools wird unterstützt. Sowohl L4- als auch L7-Datenverkehr werden jetzt mit dem Application Gateway in GA unterstützt.
  7. Unterstützt nur Standard-BYO-Ressourcen-Agents v1 und die klassische Foundry-Oberfläche. Grundlegende Agents benötigen keine Netzwerkisolation.
  8. Derzeit wird die End-to-End-Netzwerkisolation für Agent-MCP-Tools mit verwaltetem virtuellen Netzwerk nicht unterstützt. Verwenden Sie öffentliche MCP-Tools mit der verwalteten Netzwerkisolation Foundry.
  9. Sie können ihre eigenen Azure Firewall nicht in das verwaltete virtuelle Netzwerk übertragen. Eine verwaltete Firewall wird automatisch für Ihr Foundry-Konto erstellt, wenn Sie den Modus "Nur genehmigten ausgehenden Modus zulassen" verwenden.
  10. Sie können dieselbe verwaltete Firewall nicht für mehrere Foundry-Konten wiederverwenden. Jedes Foundry-Konto erstellt eine eigene verwaltete Firewall, wenn Sie den Modus "Nur genehmigten ausgehenden Modus zulassen" verwenden.

Bereitstellung des verwalteten Modus zur Isolation virtueller Netzwerke

Führen Sie die folgenden Schritte aus, um eine verwaltete Foundry-Ressource für virtuelle Netzwerke bereitzustellen. Weitere Details finden Sie in der README.md Datei des Repositorys.

  1. Klonen oder laden Sie das Repository foundry-samples herunter, das 18-managed-virtual-network-preview enthält.
  2. Öffnen Sie die managed-network.bicep Vorlage im Ordner modules-network-secured.
  3. Legen Sie den Isolationsmodusparameter IsolationMode abhängig vom ausgewählten Isolationsmodus fest: AllowInternetOutbound oder AllowOnlyApprovedOutbound.
  4. Wählen Sie in der datei README.md die Schaltfläche Deploy to Azure aus. Diese Aktion öffnet die Vorlage im Azure Portal für eine schnelle Bereitstellung.
  5. Schließen Sie alle Ihre Parameter vor der Bereitstellung ab, z. B. Region, Ressourcengruppe, virtual network Name und andere. Wenn Sie Ihre eigene Cosmos DB-Storage oder Suche mitbringen, stellen Sie sicher, dass auch die ResourceIDs enthalten sind.
  6. Stellen Sie schließlich die Vorlage bereit. Die Vorlagenbereitstellung sollte ungefähr 30 Minuten dauern.

Weitere Informationen zu den Parametern, die für die Bereitstellung verwalteter virtueller Netzwerke erforderlich sind, finden Sie unter Microsoft. CognitiveServices/accounts/managedNetworks.

Überprüfen der Bereitstellung des verwalteten virtuellen Netzwerks

Überprüfen Sie nach Abschluss der Vorlagenbereitstellung, ob das verwaltete virtuelle Netzwerk ordnungsgemäß konfiguriert ist.

  1. Vergewissern Sie sich, dass die Foundry-Ressource vorhanden ist und das verwaltete Netzwerk aktiviert ist:

    az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2025-10-01-preview" \
  --query "properties.managedNetwork"

    Die Antwort sollte den isolationMode als auf den ausgewählten Modus (AllowInternetOutbound oder AllowOnlyApprovedOutbound) festgelegt anzeigen.

  2. Listet die verwalteten privaten Endpunkte auf, um zu bestätigen, dass sie erstellt wurden:

    az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2025-10-01-preview" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

  3. Testen Sie die Agent-Konnektivität, indem Sie einen einfachen Agent in Ihrem Foundry-project erstellen und ausführen. Wenn der Agent erfolgreich abgeschlossen wird, funktioniert das verwaltete Netzwerk ordnungsgemäß.

Verwalten von Ausgangsregeln

Um ausgehende Regeln aus Ihrem verwalteten virtuellen Netzwerk nach der Bereitstellung zu aktualisieren, verwenden Sie den Befehl Azure CLI az rest. Folgen Sie den Anweisungen in der Datei outbound rules CLI im "foundry-samples" Repository.

Im folgenden Beispiel wird eine ausgehende Regel eines privaten Endpunkts für eine Azure Cosmos DB Ressource erstellt:

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2025-10-01-preview" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

Ersetzen Sie die Platzhalter durch Werte für Ihre Umgebung. Ändern Sie für andere Ressourcentypen die Werte von serviceResourceId und subresourceTarget entsprechend. Allgemeine Unterressourcenziele umfassen blob für Azure Storage, searchService für Azure KI-Suche und vault für Azure Key Vault.

Weitere Informationen zu den Parametern, die für ausgehende Regeln für verwaltetes virtuelles Netzwerk erforderlich sind, finden Sie unter Microsoft. CognitiveServices/accounts/managedNetworks/outboundRules.

Azure Firewall Version auswählen

Für das verwaltete virtuelle Netzwerk wird automatisch eine Azure Firewall bereitgestellt, wenn Sie eine ausgehende FQDN-Regel im Modus Nur genehmigte ausgehende Verbindungen zulassen hinzufügen.

Die Standard-SKU für die Firewall ist "Standard". Sie können stattdessen die Standard-SKU für reduzierte Kosten auswählen, wenn keine erweiterten Features erforderlich sind. Weitere Informationen zu Preisen finden Sie unter "Preise". Nachdem Sie eine Firewall-SKU bei der Bereitstellung ausgewählt haben, können Sie sie nach der Bereitstellung nicht mehr ändern. Da es sich um eine verwaltete Firewall handelt, befindet sich die Firewall nicht in Ihrem Mandantenkonto oder unter Ihrer Kontrolle. Die einzige Einstellung, die Sie steuern können, ist die Firewall-SKU.

Um Ihre SKU in der Vorlage auszuwählen, gehen Sie zu managed-network.bicep, setzen Sie den Parameter firewallSku auf entweder Standard oder Basic.

Überprüfung der erforderlichen Dienst-Tags

Foundry erfordert eine Reihe von Diensttags für private Netzwerke. Die Lösung fügt diese Diensttags standardmäßig hinzu, wenn sie das verwaltete Netzwerk erstellt. Sie müssen keine ausgehende Regel für diesen Dienste-Tag erstellen.

  • AzureActiveDirectory. Erforderlich für die ausgehende Authentifizierung mithilfe von Microsoft Entra ID.

Private Endpunkte

Wenn Sie ein verwaltetes virtuelles Netzwerk aktivieren, können Sie verwaltete private Endpunkte erstellen, damit Agents sicher erforderliche Azure Ressourcen erreichen können, ohne das öffentliche Internet zu verwenden. Diese privaten Endpunkte stellen eine isolierte, private IP-basierte Verbindung vom verwalteten Netzwerk zu Diensten wie Storage, KI-Suche und anderen Abhängigkeiten bereit, die in Ihren Foundry-Projekten verwendet werden. Im Gegensatz zu vom Kunden verwalteten virtuellen Netzwerken machen verwaltete private Endpunkte in Foundry keine Netzwerkschnittstelle oder Subnetzkonfiguration für den Kunden verfügbar. Die private IP-basierte Konnektivität wird vollständig von Microsoft verwaltet und wird nicht als NIC im Abonnement des Kunden dargestellt.

Die folgenden Ressourcen unterstützen private Endpunkte aus dem verwalteten Netzwerk. Sie müssen die CLI verwenden, um private Endpunkte zu erstellen.

  • Azure Application Gateway
    • Stellt mithilfe von L4- oder L7-Datenverkehr eine Verbindung mit Ihren lokalen Ressourcen bereit.
  • Azure API Management
    • Unterstützt nur die klassische Ebene ohne VNet-Einfügung und die Standard V2-Ebene mit virtual network Integration.
  • Azure KI-Suche
  • Azure Container Registry
  • Azure Cosmos DB
  • Azure Data Factory
  • Azure Database for MariaDB
  • Azure Database for MySQL
  • Azure Database for PostgreSQL Single Server
  • Azure Database for PostgreSQL Flexible Server
  • Azure Databricks
  • Azure Event Hubs
  • Azure Key Vault
  • Azure Machine Learning
  • Azure Cache for Redis
  • Azure SQL Server
  • Azure Storage
  • Application Insights
    • Über einen Private Link-Bereich
  • Microsoft Foundry

Wenn Sie einen verwalteten privaten Endpunkt aus dem vom Foundry verwalteten virtual network zu einer Zielressource erstellen, muss die verwaltete Identität der Foundry-Ressource über die richtigen Berechtigungen für diese Zielressource verfügen, um private Endpunktverbindungen zu erstellen und zu genehmigen. Diese Anforderung stellt sicher, dass Foundry explizit autorisiert ist, eine sichere, private link für die Ressource einzurichten.

Um diese Anforderung zu vereinfachen, weisen Sie die rolle Azure AI Enterprise Network Connection Approver der verwalteten Identität des Foundry-Kontos zu. Diese Rolle enthält die erforderlichen Berechtigungen für die am häufigsten verwendeten Azure-Dienste und bietet in der Regel ausreichenden Zugriff für Foundry zum Erstellen und Genehmigen privater Endpunkte in Ihrem Auftrag. Nachdem Sie die Verbindung genehmigt haben, verwaltet Foundry den privaten Endpunkt vollständig und erfordert keine zusätzliche Kundenkonfiguration.

Anwenden szenariospezifischer ausgehender Regeln

Ausgehende Regeln für den Agentdienst

Die erforderlichen Ausgangsregeln für die Bereitstellung von Standard-BYO-Ressourcen-Agents umfassen private Endpunkte für die folgenden Ressourcen:

  • Ihre Cosmos DB-Ressource
  • Ihr Storage-Konto
  • Ihre KI-Suchressource

Stellen Sie sicher, dass private Endpunkte aus dem verwalteten virtuellen Netzwerk zu diesen Ressourcen erstellt werden.

Pricing

Das feature "Foundry managed virtual network" ist kostenlos. Für die folgenden Ressourcen, die vom verwalteten virtual network verwendet werden, werden Sie jedoch in Rechnung gestellt:

  • Azure Private Link – Die Lösung basiert auf Azure Private Link für private Endpunkte, die die Kommunikation zwischen dem verwalteten virtuellen Netzwerk und Azure Ressourcen sichern. Weitere Informationen zum Preis finden Sie unter Azure Private Link Pricing.

  • FQDN-Ausgehende Regeln – Sie implementieren ausgehende FQDN-Regeln mithilfe von Azure Firewall. Wenn Sie ausgehende FQDN-Regeln verwenden, fügen Sie Ihrer Abrechnung Gebühren für Azure Firewall hinzu. Standardmäßig wird eine Standardversion von Azure Firewall verwendet. Sie können die Standardversion auswählen. Die Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen.

Weitere Informationen zu Azure Preisen finden Sie unter Private Link Pricing und Azure Firewall Pricing.

Vergleichen des verwalteten und benutzerdefinierten BYO-Netzwerks

Aspekt Verwaltetes Netzwerk Benutzerdefiniertes (BYO)-Netzwerk
Vorteile Microsoft behandelt Subnetzbereich, IP-Auswahl, Delegierung. Vollzugriff: Benutzerdefinierte Firewall mitbringen, benutzerdefinierte Routen festlegen, Netzwerk-Peering, Subnetz delegieren.
Einschränkungen Sie können Ihre eigene Firewall nicht verwenden, um nur genehmigten ausgehenden Datenverkehr zuzulassen. Erfordert Application Gateway für die sichere lokale Unterstützung (L7- und L4-Datenverkehrsunterstützung durch Application Gateway). Keine Unterstützung der Protokollierung von ausgehendem Datenverkehr Unterstützt keine Sicherheit für die Berechnung von Auswertungen. Komplexeres Setup, z. B. Subnetzdelegierung zu Azure Container Apps. Erfordert die korrekte CapHost-Erstellung. Erfordert private Klasse A, B und C, nicht öffentlich Erfordert mindestens ein /27-Subnetz für die Delegierung von Agents

Bereinigen von Ressourcen

Um die verwaltete virtuelle Netzwerk-Foundry-Ressource zu bereinigen, löschen Sie die Foundry-Ressource. Diese Aktion löscht auch das verwaltete virtuelle Netzwerk.

Problembehandlung

  1. Fehler beim Erstellen von CapHost
    • Löschen Sie die fehlerhafte CapHost-Ressource, und stellen Sie die Vorlage erneut bereit.
  2. FQDN-Regel wird nicht erzwungen
    • Vergewissern Sie sich, dass die Firewall-SKU bereitgestellt wird, und überprüfen Sie, ob die Ports auf 80 oder 443 beschränkt sind.
  3. Konflikte mit privaten Endpunkten
    • Entfernen Sie alle Konfigurationen des Dienstendpunkts, und verwenden Sie nur privaten Endpunkt.
  4. Mit UseMicrosoftManagedNetwork=true sollte das Abonnement bei Microsoft.CognitiveServices/AI.ManagedVnetPreview registriert werden.
    • Stellen Sie sicher, dass Ihr Abonnement für die verwaltete Vorschaufunktion des virtuellen Netzwerks freigeschaltet ist. Führen Sie diese Aktion im Azure-Portal aus, und warten Sie, bis Ihr Abonnement registriert wurde.

Verwandte Inhalte

  • Last updated on