Come configurare una rete gestita per Microsoft hub Foundry (versione classica)

Si applica solo a:Portale di Foundry (versione classica). Questo articolo non è disponibile per il nuovo portale foundry. Altre informazioni sul nuovo portale.

Annotazioni

I collegamenti in questo articolo potrebbero aprire contenuto nella nuova documentazione di Microsoft Foundry anziché nella documentazione di Foundry (versione classica) visualizzata.

Importante

Questo articolo fornisce il supporto legacy per i progetti basati su hub. Non funzionerà per i progetti Foundry. Vedi Come faccio a sapere quale tipo di progetto ho?

nota di compatibilità SDK: gli esempi di codice richiedono una versione specifica Microsoft Foundry SDK. Se si verificano problemi di compatibilità, prendere in considerazione migrare da un progetto basato su hub a un progetto Foundry.

L'isolamento di rete per un progetto basato su hub ha due parti: l'accesso a un hub Microsoft Foundry e l'isolamento delle risorse di calcolo nell'hub e nel progetto (ad esempio, istanze di calcolo, endpoint serverless e gestiti online). Questo articolo illustra questi ultimi. Il diagramma lo evidenzia. Usare l'isolamento rete predefinito dell'hub per proteggere le risorse di calcolo.

Configurare le impostazioni di isolamento di rete seguenti:

Scegliere una modalità di isolamento della rete: consentire il traffico internet in uscita o consentire solo il traffico in uscita approvato.
Se si usa l'integrazione Visual Studio Code in modalità consenti solo le uscite approvate, creare regole in uscita FQDN come descritto nella sezione usa Visual Studio Code.
Se si usano modelli di Hugging Face in modalità Consenti solo il traffico in uscita approvato, creare le regole FQDN in uscita descritte nella sezione Usare i modelli di Hugging Face.
Se si usa uno dei modelli open source in modalità consenti solo le uscite approvate, creare regole in uscita FQDN come descritto nella sezione Modelli venduti direttamente da Azure.

Prerequisiti

Prima di iniziare, verificare di avere i prerequisiti seguenti:

Sottoscrizione Azure. Se non si ha una sottoscrizione Azure, creare un account gratuito prima di iniziare.
Registrare il provider di risorse Microsoft.Network per la sottoscrizione di Azure. L'hub usa questo provider per creare endpoint privati per il virtual network gestito.

Per informazioni sulla registrazione dei provider di risorse, vedere Risolvi errori per la registrazione dei provider delle risorse.
Usare un'identità Azure con le seguenti azioni di controllo degli accessi in base al ruolo di Azure (Azure RBAC) per creare endpoint privati per la rete virtuale gestita.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Suggerimento

Il ruolo predefinito Approvatore connessione di rete aziendale di Azure AI include queste autorizzazioni. Assegna questo ruolo all'identità gestita dell'hub per approvare le connessioni di endpoint privati.

Sottoscrizione Azure. Se non si ha una sottoscrizione Azure, creare un account gratuito prima di iniziare.
Il provider di risorse Microsoft.Network deve essere registrato nella sottoscrizione di Azure. L'hub usa questo provider di risorse durante la creazione di endpoint privati per il virtual network gestito.

Per informazioni sulla registrazione dei provider di risorse, vedere Risolvi errori per la registrazione dei provider delle risorse.
Usare un'identità di Azure con le seguenti azioni di controllo degli accessi in base al ruolo di Azure (Azure RBAC) per creare endpoint privati per la rete virtuale gestita.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Suggerimento

Il ruolo predefinito Approvatore connessione di rete aziendale di Azure AI include queste autorizzazioni. Assegna questo ruolo all'identità gestita dell'hub per approvare le connessioni di endpoint privati.
Installare l'estensione interfaccia della riga di comando di Azure e ml per il interfaccia della riga di comando di Azure. Per altre informazioni, vedere Installare, configurare e usare l'interfaccia della riga di comando (v2).
Shell compatibile con Bash per l'esecuzione degli esempi dell'interfaccia della riga di comando in questo articolo. Ad esempio, usare un sistema Linux o sottosistema Windows per Linux.
Gli esempi di interfaccia della riga di comando di Azure in questo articolo usano ws per il nome dell'hub e rg per il nome del gruppo di risorse. Modificare questi valori in base alle esigenze quando si eseguono i comandi nella sottoscrizione Azure.

Sottoscrizione Azure. Se non si ha una sottoscrizione Azure, creare un account gratuito prima di iniziare. Provare la versione free o a pagamento.
Il provider di risorse Microsoft.Network deve essere registrato nella sottoscrizione di Azure. L'hub usa questo provider di risorse durante la creazione di endpoint privati per il virtual network gestito.

Per informazioni sulla registrazione dei provider di risorse, vedere Risolvi errori per la registrazione dei provider delle risorse.
L'identità di Azure utilizzata per la distribuzione di una rete gestita richiede le seguenti azioni di controllo degli accessi in base al ruolo di Azure (Azure RBAC) per creare endpoint privati:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Suggerimento

Il ruolo predefinito Approvazione connessione di rete enterprise di Azure AI include queste autorizzazioni. Assegna questo ruolo all'identità gestita dell'hub per approvare le connessioni di endpoint privati.
Azure Machine Learning Python SDK v2. Per altre informazioni sull'SDK, vedere Installare Python SDK v2 per Azure Machine Learning.

Gli esempi in questo articolo presuppongono che il codice inizi con il codice seguente Python. Importa le classi necessarie per creare un hub con una rete virtuale gestita, imposta le variabili per la sottoscrizione Azure e il gruppo di risorse e crea il ml_client. Nell'esempio seguente sostituire il testo segnaposto <SUBSCRIPTION_ID> e <RESOURCE_GROUP> con i propri valori:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Configurare una rete virtuale gestita per consentire connessioni internet in uscita

Suggerimento

Foundry rimanda la creazione della rete virtuale gestita fino a quando non si crea una risorsa di calcolo o si avvia manualmente il provisioning. Con la creazione automatica, la creazione automatica può richiedere circa 30 minuti per creare la prima risorsa di calcolo perché effettua anche il provisioning della rete.

Creare un nuovo hub:
1. Accedere al portale Azure portale e selezionare Foundry dal menu Crea una risorsa.
2. Selezionare + Nuovo Azure AI.
3. Nella scheda Nozioni di base immettere le informazioni necessarie.
4. Dalla scheda Rete, selezionare Privato con uscita su Internet.
5. Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Networking. Nella barra laterale Regole in uscita immettere le informazioni seguenti:
  - Nome della regola: Il nome della regola. Il nome deve essere univoco per questo hub.
  - Tipo di destinazione: Endpoint privato è l'unica opzione quando l'isolamento rete è privato con Internet in uscita. Una rete virtuale gestita dall'hub non supporta la creazione di endpoint privati per tutti i tipi di risorse Azure. Per un elenco delle risorse supportate, vedere la sezione Endpoint privati.
  - Subscription: sottoscrizione contenente la risorsa Azure per cui si vuole aggiungere un endpoint privato.
  - Gruppo di risorse: gruppo di risorse contenente la risorsa Azure per cui si vuole aggiungere un endpoint privato.
  - tipo della risorsa: tipo della risorsa di Azure.
  - Nome risorsa: nome della risorsa Azure.
  - Sub Resource: sottorisorsa del tipo di risorsa Azure.
  Seleziona Salva. Per aggiungere altre regole, selezionare Aggiungi regole in uscita definite dall'utente.
6. Continuare a creare l'hub.
Aggiornare un hub esistente:
1. Accedere al portale Azure e selezionare l'hub per abilitare l'isolamento della rete virtuale gestita.
2. Selezionare Networking>Privato con Internet In uscita.
  - Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla schedaNetworking. Nella barra laterale Regole in uscita specificare le stesse informazioni usate durante la creazione di un hub nella sezione "Creare un nuovo hub".
  - Per eliminare una regola in uscita, selezionare elimina per la regola.
3. Selezionare Salva nella parte superiore della pagina per applicare le modifiche al virtual network gestito.

Per configurare un virtual network gestito che consente internet in uscita, usare il parametro --managed-network allow_internet_outbound o un file di configurazione YAML con le voci seguenti:

managed_network:
  isolation_mode: allow_internet_outbound

Definire le regole outbound ad altri servizi Azure su cui si basa l'hub. Queste regole definiscono gli endpoint private che consentono a una risorsa Azure di comunicare in modo sicuro con la rete virtuale gestita. La regola seguente illustra come aggiungere un endpoint privato a un account Archiviazione BLOB di Azure. Nell'esempio seguente sostituire il testo segnaposto <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> con i propri valori.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configurare un virtual network gestito usando i comandi az ml workspace create o az ml workspace update:

Creare un nuovo hub:

Nell'esempio seguente viene creato un nuovo hub. Il parametro --managed-network allow_internet_outbound configura un virtual network gestito per l'hub:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Per creare un hub usando un file YAML, usare il --file parametro e specificare il file YAML che contiene le impostazioni di configurazione:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
L'esempio YAML seguente definisce un hub con un virtual network gestito:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Aggiornare un hub esistente:

Avviso

Prima di aggiornare un'area di lavoro esistente per usare un virtual network gestito, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

Nell'esempio seguente viene aggiornato un hub esistente. Il parametro --managed-network allow_internet_outbound configura un virtual network gestito per l'hub:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Per aggiornare un hub esistente usando un file YAML, usare il --file parametro e specificare il file YAML che contiene le impostazioni di configurazione:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
L'esempio YAML seguente definisce un virtual network gestito per l'hub. Illustra anche come aggiungere una connessione endpoint privato a una risorsa usata dall'hub. In questo esempio viene aggiunto un endpoint privato per un account Archiviazione BLOB di Azure. Nell'esempio seguente sostituire il testo segnaposto <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> con i propri valori:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Riferimenti

Per configurare una virtual network gestita che consente il traffico internet in uscita, usare la classe ManagedNetwork con IsolationMode.ALLOW_INTERNET_OUTBOUND. Usare quindi l'oggetto ManagedNetwork per creare un nuovo hub o aggiornare una nuova area di lavoro esistente. Per definire le regole outbound per Azure servizi su cui si basa l'hub, usare la classe PrivateEndpointDestination per definire un nuovo endpoint privato al servizio.

Creare un nuovo hub:

L'esempio seguente crea un nuovo hub denominato myhub, con una regola in uscita denominata myrule che aggiunge un endpoint privato per un account Archiviazione BLOB di Azure. Nell'esempio seguente sostituire il testo segnaposto <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> con i propri valori:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Riferimenti

Aggiornare un hub esistente:

L'esempio seguente illustra come creare un virtual network gestito per un hub esistente denominato myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Riferimenti

Configurare una rete virtuale gestita per consentire solo il traffico in uscita approvato

Suggerimento

Azure configura automaticamente la rete virtuale gestita quando si crea una risorsa di calcolo. Se si consente la creazione automatica, la prima risorsa di calcolo può richiedere circa 30 minuti perché la rete deve anche essere configurata. Se si configurano le regole in uscita FQDN, la prima regola FQDN aggiunge circa 10 minuti all'ora di installazione.

Creare un nuovo hub:
1. Accedere al portale Azure e scegliere Foundry dal menu Crea una risorsa.
2. Selezionare + Nuovo Azure AI.
3. Specificare le informazioni necessarie nella scheda Informazioni di base.
4. Dalla scheda Rete, selezionare Privato con traffico in uscita approvato.
5. Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Networking. Nella barra laterale Regole in uscita fornire le informazioni seguenti:
  - Nome della regola: Il nome della regola. Il nome deve essere univoco per questo hub.
  - Tipo di destinazione: endpoint privato, tag del servizio o FQDN. I tag del servizio e il nome di dominio completo sono disponibili solo quando l'isolamento della rete è privato con traffico in uscita approvato.
  Se il tipo di destinazione è Endpoint privato, immettere le informazioni seguenti:
  - Subscription: sottoscrizione contenente la risorsa Azure per cui si vuole aggiungere un endpoint privato.
  - Gruppo di risorse: gruppo di risorse contenente la risorsa Azure per cui si vuole aggiungere un endpoint privato.
  - tipo della risorsa: tipo della risorsa di Azure.
  - Nome risorsa: nome della risorsa Azure.
- Sub Resource: risorsa secondaria del tipo di risorsa Azure.
Suggerimento

La rete virtuale gestita dell'hub non supporta gli endpoint privati per tutti i tipi di risorse Azure. Per un elenco delle risorse supportate, vedere la sezione Endpoint privati.

Se il tipo di destinazione è Tag del servizio, immettere le informazioni seguenti:
- Tag del servizio: il tag del servizio da aggiungere alle regole in uscita approvate.
- Protocollo: il protocollo da consentire per il tag di servizio.
- Intervalli porte: intervalli di porte da consentire per il tag del servizio.
Se il tipo di destinazione è FQDN, immettere le informazioni seguenti:
- Destinazione FQDN: il nome di dominio completo da aggiungere alle regole in uscita approvate.
  
  Seleziona Salva per salvare la regola. Per aggiungere altre regole, selezionare nuovamenteAggiungi regole in uscita definite dall'utente.
1. Continuare a creare l'hub come di consueto.
Aggiornare un hub esistente:
1. Accedere al portale Azure portale e selezionare l'hub per cui si vuole abilitare l'isolamento della rete virtuale gestita.
2. Selezionare Networking>Privato con uscita approvata.
  - Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla schedaNetworking. Nella barra laterale Regole in uscita immettere le stesse informazioni usate durante la creazione di un hub nella sezione "Creare un nuovo hub" precedente.
  - Per eliminare una regola in uscita, selezionare elimina per la regola.
3. Selezionare Salva nella parte superiore della pagina per salvare le modifiche nel virtual network gestito.

Per configurare un virtual network gestito che consente solo le comunicazioni in uscita approvate, usare il parametro --managed-network allow_only_approved_outbound o un file di configurazione YAML contenente le voci seguenti:

managed_network:
  isolation_mode: allow_only_approved_outbound

È anche possibile definire regole in uscita per le comunicazioni in uscita approvate. Creare una regola in uscita di tipo service_tag, fqdn o private_endpoint. Nell'esempio seguente viene aggiunto un endpoint privato a una risorsa BLOB Azure, un tag di servizio per Azure Data Factory e un FQDN per pypi.org. Nell'esempio seguente sostituire il testo segnaposto <SUBSCRIPTION_ID>, <RESOURCE_GROUP> e <STORAGE_ACCOUNT_NAME> con i propri valori.

Importante

L'aggiunta di una regola in uscita per un tag del servizio o FQDN è valida solo quando la rete virtuale gestita è configurata su allow_only_approved_outbound.
Se si aggiungono regole in uscita, Microsoft non può garantire la protezione dall'esfiltrazione dei dati.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

È possibile configurare un virtual network gestito usando i comandi az ml workspace create o az ml workspace update:

Creare un nuovo hub:

Nell'esempio seguente viene usato il parametro --managed-network allow_only_approved_outbound per configurare il virtual network gestito:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Il file YAML seguente definisce un hub con un virtual network gestito:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Per creare un hub usando il file YAML, usare il --file parametro :
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```

Aggiornare un hub esistente

Avviso

Prima di aggiornare un'area di lavoro esistente per usare un virtual network gestito, è necessario eliminare tutte le risorse di calcolo per l'area di lavoro. Sono inclusi l'istanza di calcolo, il cluster di elaborazione e gli endpoint online gestiti.

L'esempio seguente usa il parametro --managed-network allow_only_approved_outbound per configurare il virtual network gestito per un hub esistente:

az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound

Il file YAML seguente definisce un virtual network gestito per l'hub e illustra come aggiungere regole in uscita approvate. In questo esempio vengono aggiunte regole in uscita per un tag del servizio, un FQDN e un endpoint privato:

name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Riferimenti

Per configurare un virtual network gestito che consente solo le comunicazioni in uscita approvate, usare la classe ManagedNetwork per definire una rete con IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Usare l'oggetto ManagedNetwork per creare un nuovo hub o aggiornare uno esistente. Per definire le regole in uscita, usare le classi seguenti:

Destinazione	Classe
Azure servizio su cui si basa l'hub	`PrivateEndpointDestination`
Azure service tag	`ServiceTagDestination`
Nome di dominio completo (FQDN)	`FqdnDestination`

Creare un nuovo hub:

L'esempio seguente crea un nuovo hub denominato myhub, con diverse regole in uscita:

myrule: aggiunge un endpoint privato per un archivio BLOB di Azure.
datafactory : aggiunge una regola di tag del servizio per comunicare con Azure Data Factory.

Importante

Aggiungere una regola in uscita per un tag di servizio o un FQDN solo quando si configura la rete virtuale gestita su IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Se si aggiungono regole in uscita, Microsoft non può garantire la protezione dall'esfiltrazione dei dati.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Riferimenti

Aggiornare un hub esistente:

L'esempio seguente illustra come configurare un virtual network gestito per un hub esistente denominato myhub. Aggiunge anche diverse regole in uscita:

myrule: aggiunge un endpoint privato per un archivio BLOB di Azure.
datafactory : aggiunge una regola di tag del servizio per comunicare con Azure Data Factory.

Suggerimento

È possibile aggiungere una regola per il traffico in uscita per un tag di servizio o un FQDN solo quando si configura la rete virtuale gestita per l'uso di IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Riferimenti

Effettuare manualmente il provisioning di una rete virtuale gestita

La rete virtuale gestita viene automaticamente eseguita quando si crea un'istanza di calcolo. Quando si fa affidamento sul provisioning automatico, possono essere necessari circa 30 minuti per creare la prima istanza di calcolo perché effettua anche il provisioning della rete. Se sono state configurate regole in uscita FQDN (disponibili solo con la modalità Consenti solo il traffico approvato), la prima regola FQDN aggiunge circa 10 minuti al tempo di provisioning. Se si ha un set di regole in uscita di grandi dimensioni di cui eseguire il provisioning nella rete gestita, il completamento del provisioning può richiedere più tempo. Un tempo di provisioning più elevato può causare il timeout della creazione della prima istanza di calcolo.

Per ridurre il tempo di attesa ed evitare timeout, configurare manualmente la rete gestita. Attendere il completamento del provisioning prima di creare un'istanza di calcolo.

In alternativa, usare il flag provision_network_now per configurare la rete gestita durante la creazione dell'hub.

Annotazioni

Per distribuire un modello in un ambiente di calcolo gestito, è necessario effettuare manualmente il provisioning della rete gestita o creare prima un'istanza di calcolo. La creazione di un'istanza di calcolo effettua automaticamente il provisioning della rete gestita.

Durante la creazione dell'area di lavoro selezionare Effettuare il provisioning della rete gestita in modo proattivo durante la creazione per configurare la rete gestita. La fatturazione viene avviata per le risorse di rete, ad esempio gli endpoint privati, dopo la configurazione del virtual network. Questa opzione è disponibile solo durante la creazione dell'area di lavoro.

L'esempio seguente illustra come effettuare il provisioning di un virtual network gestito durante la creazione dell'hub.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

Nell'esempio seguente viene illustrato come effettuare il provisioning di un virtual network gestito.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Per verificare che il provisioning sia completo, eseguire il comando seguente:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Riferimenti

Usare l'SDK per effettuare il provisioning di un virtual network gestito e quindi controllarne lo stato.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Riferimenti

Gestire le regole in uscita

Accedere al portale Azure portale e selezionare l'hub per cui si vuole abilitare l'isolamento della rete virtuale gestita.
Selezionare Rete. La sezione Foundry Outbound access consente di gestire le regole in uscita.

Per aggiungere una regola in uscita, selezionare Aggiungi regole in uscita definite dall'utente dalla scheda Networking. Nella barra laterale Azure per intelligenza artificiale immettere i valori necessari.
Per abilitare o disabilitare una regola, usare l'interruttore nella colonna Attiva.
Per eliminare una regola in uscita, selezionare elimina per la regola.

Nei comandi seguenti, sostituire il testo segnaposto <workspace-name>, <resource-group> e <rule-name> con i propri valori. Per elencare le regole di rete virtuale gestite in uscita per un hub, eseguire:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Per visualizzare i dettagli di una regola in uscita di una rete virtuale gestita, eseguire:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Per rimuovere una regola in uscita dal virtual network gestito, eseguire:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Riferimenti

az ml workspace outbound-rule list (elenca le regole outbound del workspace in Azure ML)
az ml workspace outbound-rule show
az ml workspace outbound-rule remove

L'esempio seguente illustra come gestire le regole in uscita per un hub denominato myhub. Nell'esempio sostituire il testo segnaposto <some-rule-name> con il nome della regola:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Riferimenti

MLClient

Architettura dell'isolamento rete e modalità di isolamento

Quando si abilita l'isolamento della rete virtuale gestita, si crea una rete virtuale gestita per l'hub. Le risorse di calcolo gestite create per l'hub usano automaticamente questa virtual network gestita. La rete virtuale gestita può usare endpoint privati per Azure risorse usate dall'hub, ad esempio Archiviazione di Azure, Azure Key Vault e Registro Azure Container.

Scegliere una delle tre modalità in uscita per il virtual network gestito:

Modalità in uscita	Descrzione	Scenari
Consenti traffico Internet in uscita	Consentire tutto il traffico internet in uscita dal virtual network gestito.	Si vuole accedere senza restrizioni alle risorse di Machine Learning su Internet, ad esempio pacchetti di Python o modelli con training preliminare.¹
Consenti solo il traffico in uscita approvato	Usare i tag del servizio per consentire il traffico in uscita.	* Si vuole ridurre al minimo il rischio di esfiltrazione dei dati, ma è necessario preparare tutti i machine learning artifacts necessari nell'ambiente privato. * Si desidera configurare l'accesso in uscita a un elenco approvato di servizi, tag di servizio o nomi di dominio completamente qualificati (FQDN).
Disabled	Il traffico in ingresso e in uscita non è limitato.	Si vuole il traffico in ingresso e in uscita pubblico dall'hub.

¹ È possibile usare le regole in uscita con la modalità Consenti solo il traffico in uscita approvato per ottenere lo stesso risultato dell'uso della modalità di Consenti il traffico Internet in uscita. Le differenze sono le seguenti:

Usare sempre gli endpoint privati per accedere alle risorse Azure.
È necessario aggiungere regole per ogni connessione in uscita che bisogna consentire.
L'aggiunta di regole in uscita del nome di dominio completo (FQDN) aumenta i costi perché questo tipo di regola usa Firewall di Azure. Se si usano regole in uscita FQDN, gli addebiti per Firewall di Azure vengono inclusi nella fatturazione. Per altre informazioni, vedere Prezzi.
Le regole predefinite per Consenti solo il traffico in uscita approvato sono progettate per ridurre al minimo il rischio di esfiltrazione di dati. Eventuali regole in uscita aggiunte potrebbero aumentare il tuo rischio.

Il virtual network gestito è preconfigurato con le regole predefinite requisite. L'hub configura anche le connessioni endpoint private all'hub, l'account di archiviazione predefinito dell'hub, il registro contenitori e l'insieme di credenziali delle chiavi quando tali risorse sono impostate su private o quando la modalità di isolamento è impostata per consentire solo il traffico in uscita approvato. Dopo aver scelto una modalità di isolamento, aggiungere eventuali altre regole in uscita necessarie.

Il diagramma seguente mostra una rete virtuale gestita configurata per consentire il traffico Internet in uscita:

Il diagramma seguente mostra una rete virtuale gestita configurata per consentire solo l'uscita approvata:

Annotazioni

In questa configurazione, l'archiviazione, il Key Vault e il registro dei container usati dall'hub sono impostati come privati. Poiché sono privati, l'hub usa endpoint privati per raggiungerli.

Annotazioni

Per accedere a un account di storage privato da un hub Foundry pubblico, usa Foundry dall'interno della rete virtuale del tuo account di storage. L'accesso a Foundry dall'interno del virtual network garantisce che sia possibile eseguire azioni come il caricamento di file nell'account storage privato. L'account storage privato è indipendente dalle impostazioni di rete dell'hub Foundry. Vedere Configurare firewall e reti virtuali Archiviazione di Azure.

Elenco delle regole obbligatorie

Suggerimento

Queste regole vengono aggiunte automaticamente al virtual network gestito (VNet).

Endpoint privati:

Quando si imposta la modalità di isolamento per la rete virtuale gestita su Allow internet outbound, Foundry crea automaticamente le regole in uscita dell'endpoint privato necessarie dalla rete virtuale gestita per l'hub e le risorse associate con accesso alla rete pubblica disabilitata (Azure Key Vault, account di archiviazione, Registro Azure Container e hub).
Quando si imposta la modalità di isolamento per la rete virtuale gestita su Allow only approved outbound, Foundry crea automaticamente le regole in uscita dell'endpoint privato necessarie dalla rete virtuale gestita per l'hub e le risorse associate indipendentemente dall'impostazione di accesso alla rete pubblica per tali risorse (Azure Key Vault, account di archiviazione, Registro Azure Container e hub).

Foundry richiede un set di tag di servizio per la rete privata. Non sostituire i tag di servizio necessari. La tabella seguente descrive ogni tag di servizio richiesto e il relativo scopo all'interno di Foundry.

Regola tag del servizio	In ingresso o in uscita	Scopo
`AzureMachineLearning`	In entrata	Creare, aggiornare ed eliminare istanze di calcolo e cluster Foundry.
`AzureMachineLearning`	In uscita	Uso dei servizi di Azure Machine Learning. Python IntelliSense nei notebook usa la porta 18881. La creazione, l'aggiornamento e l'eliminazione di un'istanza di calcolo Azure Machine Learning usa la porta 5831.
`AzureActiveDirectory`	In uscita	Autenticazione tramite Microsoft Entra ID.
`BatchNodeManagement.region`	In uscita	Comunicazione con il back-end Azure Batch per le istanze di calcolo e i cluster Foundry.
`AzureResourceManager`	In uscita	Creare Azure risorse usando Foundry, interfaccia della riga di comando di Azure e Foundry SDK Microsoft.
`AzureFrontDoor.FirstParty`	In uscita	Accedere alle immagini Docker fornite da Microsoft.
`MicrosoftContainerRegistry`	In uscita	Accedere alle immagini Docker fornite da Microsoft. Configurare il router Foundry per servizio Azure Kubernetes.
`AzureMonitor`	In uscita	Inviare log e metriche a Monitoraggio di Azure. È necessario solo se non hai protetto Monitoraggio di Azure per l'area di lavoro. Questa regola in uscita registra anche le informazioni per gli eventi imprevisti di supporto.
`VirtualNetwork`	In uscita	Obbligatorio quando gli endpoint privati sono presenti nelle reti virtuali o nelle reti con peering.

Elenco di regole in uscita specifiche dello scenario

Scenario: Accesso ai pacchetti pubblici di apprendimento automatico

Per installare i pacchetti Python per l'addestramento e la distribuzione, aggiungere regole FQDN per il traffico in uscita per consentire il traffico verso i seguenti nomi host:

Annotazioni

Questo elenco illustra gli host comuni per le risorse di Python su Internet. Se è necessario accedere a un repository GitHub o a un altro host, identificare e aggiungere gli host necessari per lo scenario.

nome dell'host	Purpose
`anaconda.com` `*.anaconda.com`	Usato per installare i pacchetti predefiniti.
`*.anaconda.org`	Usato per ricevere i dati del repository.
`pypi.org`	Elenca le dipendenze dall'indice predefinito se le impostazioni utente non lo sovrascrivono. Se si sovrascrive l'indice, consentire anche `*.pythonhosted.org`.
`pytorch.org` `*.pytorch.org`	Usato da alcuni esempi basati su PyTorch.
`*.tensorflow.org`	Usato da alcuni esempi basati su TensorFlow.

Scenario: usare Visual Studio Code

Visual Studio Code si basa su host e porte specifici per stabilire una connessione remota.

Hosts

Usare questi host per installare Visual Studio Code pacchetti e stabilire una connessione remota alle istanze di calcolo del progetto.

Annotazioni

Questo elenco non include tutti gli host necessari per tutte le risorse Visual Studio Code su Internet. Ad esempio, se è necessario accedere a un repository GitHub o a un altro host, è necessario identificare e aggiungere gli host necessari per tale scenario. Per un elenco completo dei nomi host, vedere Network Connections in Visual Studio Code.

nome dell'host	Purpose
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Necessario per accedere a VS Code sul Web (vscode.dev).
`code.visualstudio.com`	Obbligatorio per scaricare e installare VS Code desktop. Questo host non è necessario per VS Code Web.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Scarica i componenti di VS Code Server nell'istanza di calcolo durante gli script di installazione.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Obbligatorio per scaricare e installare le estensioni di VS Code. Questi host consentono la connessione remota alle istanze di calcolo. Per ulteriori informazioni, consulta Iniziare con i progetti Foundry in VS Code.
`vscode.download.prss.microsoft.com`	Funge da rete CDN di download Visual Studio Code.

Porte

Consentire il traffico di rete verso le porte da 8704 a 8710. Vs Code Server seleziona la prima porta disponibile in questo intervallo.

Scenario: usare i modelli Hugging Face

Per usare modelli Hugging Face con l'hub, aggiungere regole FQDN in uscita per consentire il traffico verso gli host seguenti:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Scenario: modelli venduti direttamente da Azure

Questi modelli installano le dipendenze in fase di esecuzione. Aggiungere regole FQDN in uscita per consentire il traffico verso gli host seguenti:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Endpoint privati

Azure servizi attualmente supportano endpoint privati per i servizi seguenti:

Centro di fonderia
Azure AI Search
Strumenti di fonderia
Gestione API di Azure
- Supporta solo il livello classico senza inserimento reti virtuali e il livello V2 Standard con integrazione virtual network. Per altre informazioni sulle reti virtuali di Gestione API, vedere Rete virtuale Concepts.
Registro Azure Container
Azure Cosmos DB (tutti i tipi di sottorisorsa)
Azure Data Factory
Database di Azure per MariaDB
Database di Azure per MySQL
Server singolo di Database di Azure per PostgreSQL
Server flessibile di Database di Azure per PostgreSQL
Azure Databricks
Hub eventi di Azure
Azure Key Vault
Azure Machine Learning
registri Azure Machine Learning
Cache Redis di Azure
Azure SQL Server
Archiviazione di Azure (tutti i tipi di sottorisorsa)
Application Insights (tramite PrivateLinkScopes)

Quando si crea un endpoint privato, specificare il tipo di risorsa e la sottorisorsa a cui si connette l'endpoint. Alcune risorse hanno più tipi e risorse secondarie. Per altre informazioni, vedere cos'è un endpoint privato.

Quando si crea un endpoint privato per le risorse di dipendenza dell'hub, ad esempio Archiviazione di Azure, Registro Azure Container e Azure Key Vault, la risorsa può trovarsi in una sottoscrizione Azure diversa. Tuttavia, la risorsa deve trovarsi nello stesso tenant dell'hub.

Se si seleziona una delle risorse Azure elencate in precedenza come risorsa di destinazione, il servizio crea automaticamente un endpoint privato per la connessione. Fornire un ID di destinazione valido per l'endpoint privato. Per una connessione, l'ID di destinazione può essere l'ID Azure Resource Manager di una risorsa padre. Includere l'ID di destinazione nella destinazione della connessione o in metadata.resourceid. Per altre informazioni sulle connessioni, vedere Come aggiungere una nuova connessione nel portale di Foundry.

Approvazione di endpoint privati

Per stabilire connessioni di endpoint privato nelle reti virtuali gestite usando Foundry, l'identità gestita dell'area di lavoro (assegnata dal sistema o assegnata dall'utente) e l'identità utente che crea l'endpoint privato devono disporre dell'autorizzazione per approvare le connessioni dell'endpoint privato nelle risorse di destinazione. In precedenza, il servizio Foundry ha concesso questa autorizzazione tramite assegnazioni di ruolo automatiche. A causa di problemi di sicurezza con le assegnazioni di ruolo automatiche, a partire dal 30 aprile 2025, il servizio interrompe questa logica di concessione automatica delle autorizzazioni. Assegnare il ruolo di approvatore connessioni di rete aziendale di Azure AI o un ruolo personalizzato con le necessarie autorizzazioni di connessione agli endpoint privati nei tipi di risorse di destinazione e concedere questo ruolo all'identità gestita dell'hub Foundry per consentire all'identità gestita di approvare le connessioni degli endpoint privati alle risorse di destinazione Azure.

Di seguito è riportato l'elenco dei tipi di risorse di destinazione degli endpoint privati coperti dal ruolo di approvatore della connessione di rete aziendale di Azure AI.

gateway applicazione di Azure
Monitoraggio di Azure
Azure AI Search
Hub eventi di Azure
database SQL di Azure
Archiviazione di Azure
area di lavoro Azure Machine Learning
Registro di sistema Azure Machine Learning
Fonderia
Azure Key Vault
Azure Cosmos DB
Database di Azure per MySQL
Database di Azure per PostgreSQL
Strumenti di fonderia
Cache Redis di Azure
Registro Azure Container
Gestione API di Azure

Per creare regole in uscita dell'endpoint privato per i tipi di risorse di destinazione non coperti dal ruolo Responsabile approvazione della connessione di rete aziendale di Azure AI, ad esempio Azure Data Factory, Azure Databricks e App per le funzioni di Azure, usare un ruolo personalizzato con ambito definito solo dalle azioni necessarie per approvare le connessioni endpoint private nei tipi di risorse di destinazione.

Per creare regole in uscita dell'endpoint privato per le risorse dell'area di lavoro predefinite, la creazione dell'area di lavoro concede le autorizzazioni necessarie tramite le assegnazioni di ruolo, quindi non è necessario eseguire alcuna azione aggiuntiva.

Selezionare una versione di Firewall di Azure per consentire solo il traffico in uscita approvato.

Firewall di Azure viene distribuito quando si aggiunge una regola FQDN in uscita nella modalità Consenti solo il traffico in uscita approvato. Firewall di Azure addebiti vengono aggiunti alla fattura. Per impostazione predefinita, viene creata una versione Standard di Firewall di Azure. In alternativa, selezionare la versione Basic. Modificare la versione del firewall in qualsiasi momento. Per informazioni sulla versione più adatta alle proprie esigenze, passare a Scegliere la versione Firewall di Azure corretta.

Importante

Firewall di Azure non viene creato fino a quando non si aggiunge una regola FQDN in uscita. Per informazioni dettagliate sui prezzi, vedere Firewall di Azure prezzi e visualizzare i prezzi per la versione Standard.

Usare queste schede per vedere come selezionare la versione del firewall per il virtual network gestito.

Dopo aver selezionato la modalità consentire solo traffico in uscita approvato, viene visualizzata l'opzione per selezionare la versione di Firewall di Azure (SKU). Selezionare Standard o Basic. Seleziona Salva.

Per impostare la versione del firewall usando interfaccia della riga di comando di Azure, usare un file YAML e specificare firewall_sku. L'esempio seguente imposta lo SKU del firewall su basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Per impostare la versione del firewall usando Python SDK, impostare la proprietà firewall_sku dell'oggetto ManagedNetwork. L'esempio seguente imposta lo SKU del firewall su basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Riferimenti

Pricing

La funzionalità virtual network gestita dall'hub è gratuita, ma si paga per le risorse seguenti usate dal virtual network gestito:

collegamento privato di Azure: gli endpoint privati che proteggono la comunicazione tra la rete virtuale gestita e le risorse Azure usano collegamento privato di Azure. Per i prezzi, vedere collegamento privato di Azure prezzi.
Regole in uscita FQDN: Firewall di Azure applica queste regole. Se si usano regole FQDN in uscita, gli addebiti di Firewall di Azure vengono visualizzati nella fattura. La versione Standard di Firewall di Azure viene usata per impostazione predefinita. Per selezionare la versione Basic, vedere Selezionare una versione Firewall di Azure. Firewall di Azure è configurato per ogni hub.

Importante

Firewall di Azure non viene creato fino a quando non si aggiunge una regola FQDN in uscita. Se non si usano regole FQDN, non vengono addebitati i costi per Firewall di Azure. Per i prezzi, vedere Firewall di Azure prezzi.

Limitazioni

Foundry supporta l'isolamento gestito della rete virtuale per le risorse di calcolo. Foundry non supporta l'utilizzo di una propria rete virtuale per l'isolamento del calcolo. Questo scenario è diverso dal Rete virtuale di Azure necessario per accedere a Foundry da una rete locale.
Dopo aver abilitato l'isolamento della rete virtuale gestita, non è possibile disabilitarlo.
Il virtual network gestito usa un endpoint privato per connettersi alle risorse private. Non è possibile usare un endpoint privato e un endpoint di servizio nella stessa risorsa Azure, ad esempio un account di archiviazione. Usare endpoint privati per tutti gli scenari.
Quando si elimina Foundry, il servizio elimina il virtual network gestito.
Con consenti solo traffico uscente approvato, Foundry abilita automaticamente la protezione dell'esfiltrazione dei dati. Se si aggiungono altre regole in uscita, ad esempio FQDN, Microsoft non può garantire la protezione dall'esfiltrazione dei dati a tali destinazioni.
Le regole in uscita FQDN aumentano i costi della rete virtuale gestita perché usano Firewall di Azure. Per altre informazioni, vedere Prezzi.
Le regole in uscita FQDN supportano solo le porte 80 e 443.
Per disabilitare l'indirizzo IP pubblico di un'istanza di calcolo, aggiungere un endpoint privato a un hub.
Per un'istanza di calcolo in una rete gestita, eseguire az ml compute connect-ssh per connettersi tramite SSH.
Se la rete gestita è configurata per allow only approved outbound, non è possibile usare una regola FQDN per accedere agli account Archiviazione di Azure. Usare invece un endpoint privato.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-09

Condividi tramite

Come configurare una rete gestita per Microsoft hub Foundry (versione classica)

Prerequisiti

Configurare una rete virtuale gestita per consentire connessioni internet in uscita

Configurare una rete virtuale gestita per consentire solo il traffico in uscita approvato

Effettuare manualmente il provisioning di una rete virtuale gestita

Gestire le regole in uscita

Architettura dell'isolamento rete e modalità di isolamento

Elenco delle regole obbligatorie

Elenco di regole in uscita specifiche dello scenario

Scenario: Accesso ai pacchetti pubblici di apprendimento automatico

Scenario: usare Visual Studio Code

Hosts

Porte

Scenario: usare i modelli Hugging Face

Scenario: modelli venduti direttamente da Azure

Endpoint privati

Approvazione di endpoint privati

Selezionare una versione di Firewall di Azure per consentire solo il traffico in uscita approvato.

Pricing

Limitazioni

Contenuti correlati

Commenti e suggerimenti

Risorse aggiuntive