Einrichten eines verwalteten Netzwerks für Microsoft Foundry Hubs (klassisch)

Hinweis

Dieses Dokument bezieht sich auf das Microsoft Foundry(klassische) Portal.

🔍 Zeigen Sie die Microsoft Foundry-Dokumentation (neu) an, um mehr über das neue Portal zu erfahren.

Von Bedeutung

Dieser Artikel bietet Legacy-Unterstützung für hubbasierte Projekte. Es funktioniert nicht für Foundry-Projekte. Lesen Sie Wie erfahre ich, welche Art von Projekt ich habe?

SDK-Kompatibilitätshinweis: Codebeispiele erfordern eine bestimmte Microsoft Foundry SDK-Version. Wenn Kompatibilitätsprobleme auftreten, sollten Sie einen Wechsel von einem hubbasierten zu einem Foundry-Projekt in Betracht ziehen.

Die Netzwerkisolation für ein hub-basiertes Projekt besteht aus zwei Teilen: dem Zugriff auf einen Microsoft Foundry Hub und der Isolation der Rechenressourcen in Ihrem Hub und Projekt (z. B. Compute-Instanzen, serverlose Dienste und verwaltete Online-Endpunkte). Dieser Artikel beschreibt letztere. Das Diagramm macht das deutlich. Verwenden Sie die integrierte Netzwerkisolation, um Ihre Computeressourcen zu schützen.

Richten Sie die folgenden Netzwerkisolationseinstellungen ein:

Wählen Sie einen Netzwerkisolationsmodus aus: ausgehende Internetverbindungen zulassen oder nur genehmigten ausgehenden Datenverkehr zulassen.
Wenn Sie die Visual Studio Code-Integration im Modus nur genehmigte Ausgaben erlauben verwenden, erstellen Sie FQDN-Ausgangsregeln, wie im Abschnitt Verwendung von Visual Studio Code beschrieben.
Wenn Sie HuggingFace-Modelle im Modus nur genehmigten ausgehenden Datenverkehr zulassen verwenden, erstellen Sie FQDN-Ausgangsregeln, wie sie im Abschnitt zur Verwendung von HuggingFace-Modellen beschrieben sind.
Wenn Sie eines der Open-Source-Modelle im Modus nur genehmigten Ausgang erlauben verwenden, erstellen Sie FQDN-Ausgangsregeln, wie im Abschnitt Modelle, die direkt von Azure verkauft werden beschrieben.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Voraussetzungen verfügen:

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Registrieren Sie den Microsoft.Network-Ressourcenanbieter für Ihr Azure-Abonnement. Der Hub verwendet diesen Anbieter, um private Endpunkte für das verwaltete virtuelle Netzwerk zu erstellen.

Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Fehler bei der Registrierung von Ressourcenanbietern beheben.
Verwenden Sie eine Azure-Identität mit den folgenden Azure rollenbasierten Zugriffssteuerung (Azure RBAC)-Aktionen, um private Endpunkte für das verwaltete virtuelle Netzwerk zu erstellen.
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Tipp

Die Azure AI Enterprise Network Connection Approver integrierte Rolle umfasst diese Berechtigungen. Weisen Sie diese Rolle der verwalteten Identität des Hubs zu, um private Endpunktverbindungen zu genehmigen.

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Der ressourcenanbieter Microsoft.Network muss für Ihr Azure-Abonnement registriert werden. Der Hub verwendet diesen Ressourcenanbieter beim Erstellen privater Endpunkte für das verwaltete virtuelle Netzwerk.

Informationen zum Registrieren von Ressourcenanbietern finden Sie unter Lösen von Fehlern bei der Registrierung von Ressourcenanbietern.
Verwenden Sie eine Azure-Identität mit den folgenden Aktionen der Azure rollenbasierten Zugriffssteuerung (Azure RBAC), um private Endpunkte für das verwaltete virtuelle Netzwerk zu erstellen:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/Arbeitsbereiche/privateEndpointVerbindungen/schreiben
Tipp

Die Azure AI Enterprise Network Connection Approver integrierte Rolle umfasst diese Berechtigungen. Weisen Sie diese Rolle der verwalteten Identität des Hubs zu, um private Endpunktverbindungen zu genehmigen.
Installieren Sie die Azure CLI und die erweiterung ml für die Azure CLI. Weitere Informationen finden Sie unter Installieren, Einrichten und Verwenden der CLI (v2).
Eine Bash-kompatible Shell zum Ausführen der CLI-Beispiele in diesem Artikel. Verwenden Sie beispielsweise ein Linux-System oder Windows Subsystem for Linux.
Die Azure CLI Beispiele in diesem Artikel verwenden ws für den Hubnamen und rg für den Ressourcengruppennamen. Ändern Sie diese Werte nach Bedarf, wenn Sie die Befehle in Ihrem Azure-Abonnement ausführen.

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen. Probieren Sie die free- oder kostenpflichtige Version aus.
Der ressourcenanbieter Microsoft.Network muss für Ihr Azure-Abonnement registriert werden. Der Hub verwendet diesen Ressourcenanbieter beim Erstellen privater Endpunkte für das verwaltete virtuelle Netzwerk.

Informationen zum Beheben von Fehlern bei der Registrierung von Ressourcenanbietern finden Sie unter Fehlerbehebung bei der Registrierung von Ressourcenanbietern.
Die Azure-Identität, die Sie beim Bereitstellen eines verwalteten Netzwerks verwenden, erfordert die folgenden Azure rollenbasierte Zugriffssteuerung (Azure RBAC) Aktionen zum Erstellen privater Endpunkte:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/Arbeitsbereiche/privateEndpointVerbindungen/schreiben
Tipp

Die Azure AI Enterprise Network Connection Approver integrierte Rolle umfasst diese Berechtigungen. Weisen Sie diese Rolle der verwalteten Identität des Hubs zu, um private Endpunktverbindungen zu genehmigen.
Das Azure Machine Learning Python SDK v2. Weitere Informationen zum SDK finden Sie unter Install the Python SDK v2 for Azure Machine Learning.

In den Beispielen in diesem Artikel wird davon ausgegangen, dass Ihr Code mit dem folgenden Python-Code beginnt. Sie importiert die Klassen, die zum Erstellen eines Hubs mit einem verwalteten virtual network erforderlich sind, legt Variablen für Ihr Azure-Abonnement und die Ressourcengruppe fest und erstellt die ml_client. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID> und <RESOURCE_GROUP> durch Ihre eigenen Werte:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Konfigurieren Sie ein verwaltetes virtuelles Netzwerk für ausgehenden Internetverkehr

Tipp

Foundry verzögert die Erstellung des verwalteten virtuellen Netzwerks, bis Sie eine Recheneinheit erstellen oder die Bereitstellung manuell starten. Bei der automatischen Erstellung kann es etwa 30 Minuten dauern, die erste Computeressource zu erstellen, da sie auch das Netzwerk bereit stellt.

Erstellen eines neuen Hubs:
1. Melden Sie sich beim Azure portal an, und wählen Sie "Foundry" im Menü Ressource erstellenmenü aus.
2. Wählen Sie + Neues Azure AI aus.
3. Geben Sie die erforderlichen Informationen auf der Registerkarte Allgemeine Informationen ein.
4. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit ausgehendem Internetdatenverkehr aus.
5. Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregel hinzufügen aus. Geben Sie in der Randleiste Ausgangsregeln die folgenden Informationen ein:
  - Regelname: Ein Name für die Regel. Der Name muss für diesen Hub eindeutig sein.
  - Zieltyp: Privater Endpunkt ist die einzige Option, wenn die Netzwerkisolation „Privat“ mit „Internet ausgehend“ ist. Eine vom Hub verwaltete virtual network unterstützt das Erstellen privater Endpunkte für alle Azure Ressourcentypen nicht. Eine Liste der unterstützten Ressourcen finden Sie im Abschnitt Private Endpunkte.
  - Subscription: Das Abonnement, das die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Resource group: Die Ressourcengruppe, die die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Ressourcentyp: Der Typ der Azure-Ressource.
  - Name: Der Name der Azure Ressource.
  - Sub Resource: Die Unterressource des Azure-Ressourcentyps.
  Wählen Sie Speichern aus. Um weitere Regeln hinzuzufügen, wählen Sie Benutzerdefinierte Ausgangsregeln hinzufügen aus.
6. Fahren Sie mit dem Erstellen des Hubs fort.
Aktualisieren eines vorhandenen Hub:
1. Melden Sie sich bei der Azure portal an, und wählen Sie den Hub aus, um die verwaltete virtual network Isolation zu aktivieren.
2. Wählen Sie Netzwerk>Privat mit Internet ausgehend aus.
  - Um eine Ausgangsregelhinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Randleiste Ausgangsregeln dieselben Informationen an, die Sie beim Erstellen eines Hubs im Abschnitt „Erstellen eines neuen Hubs“ verwendet haben.
  - Um eine Ausgangsregel zu löschen, wählen Sie Löschen für die Regel aus.
3. Wählen Sie oben auf der Seite Speichern aus, um die Änderungen auf das verwaltete virtuelle Netzwerk anzuwenden.

Verwenden Sie zum Konfigurieren eines verwalteten Virtuellen Netzwerks, das ausgehenden Internetverkehr zulässt, entweder den Parameter --managed-network allow_internet_outbound oder eine YAML-Konfigurationsdatei mit den folgenden Einträgen:

managed_network:
  isolation_mode: allow_internet_outbound

Definieren Sie outbound-Regeln für andere Azure Dienste, auf denen der Hub basiert. Diese Regeln definieren Private-Endpunkte, mit denen eine Azure Ressource sicher mit dem verwalteten virtual network kommunizieren kann. Die folgende Regel zeigt, wie Sie einem Azure Blob Storage Konto einen privaten Endpunkt hinzufügen. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Konfigurieren Sie ein verwaltetes virtuelles Netzwerk mithilfe entweder des Befehls az ml workspace create oder des Befehls az ml workspace update.

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird ein neuer Hub erstellt. Der Parameter --managed-network allow_internet_outbound konfiguriert ein verwaltetes virtuelles Netzwerk für den Hub.
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Um einen Hub mithilfe einer YAML-Datei zu erstellen, verwenden Sie den --file Parameter, und geben Sie die YAML-Datei an, die die Konfigurationseinstellungen enthält:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Im folgenden YAML-Beispiel wird ein Hub mit einem verwalteten virtual network definiert:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Aktualisieren eines vorhandenen Hub:

Warnung

Bevor Sie einen vorhandenen Arbeitsbereich aktualisieren, um ein verwaltetes virtuelles Netzwerk zu verwenden, müssen Sie alle Berechnungsressourcen für den Arbeitsbereich löschen. Das gilt für die Compute-Instanz, für den Computecluster und für verwaltete Online-Endpunkte.

Im folgenden Beispiel wird ein vorhandener Hub aktualisiert. Der Parameter --managed-network allow_internet_outbound konfiguriert ein verwaltetes virtuelles Netzwerk für den Hub.
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Um einen vorhandenen Hub mithilfe einer YAML-Datei zu aktualisieren, verwenden Sie den --file Parameter, und geben Sie die YAML-Datei an, die die Konfigurationseinstellungen enthält:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
Im folgenden YAML-Beispiel wird ein verwaltetes virtuelles Netzwerk für den Hub definiert. Außerdem wird gezeigt, wie Sie einer Ressource, die der Hub verwendet, eine private Endpunktverbindung hinzufügen. In diesem Beispiel wird ein privater Endpunkt für ein Azure Blob Storage-Konto hinzugefügt. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Verweise

Verwenden Sie zum Konfigurieren eines verwalteten virtuellen Netzwerks, das ausgehendes Internet zulässt, die Klasse ManagedNetwork mit IsolationMode.ALLOW_INTERNET_OUTBOUND. Verwenden Sie dann das Objekt ManagedNetwork, um einen neuen Hub zu erstellen oder einen vorhandenen zu aktualisieren. Um Outbound-Regeln zu definieren für Azure-Dienste, auf die der Hub angewiesen ist, verwenden Sie die Klasse PrivateEndpointDestination, um einen neuen privaten Endpunkt für den Dienst zu erstellen.

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird ein neuer Hub mit dem Namen myhub mit einer ausgehenden Regel namens myrule erstellt, die einen privaten Endpunkt für ein Azure Blob Storage Konto hinzufügt. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Verweise

Aktualisieren eines vorhandenen Hub:

Im folgenden Beispiel wird veranschaulicht, wie Sie eine verwaltete virtual network für einen vorhandenen Hub mit dem Namen myhub erstellen:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Verweise

Konfigurieren Sie ein verwaltetes virtuelles Netzwerk, um nur genehmigte ausgehende Verbindungen zuzulassen.

Tipp

Azure richtet das verwaltete VNet automatisch ein, wenn Sie eine Computeressource erstellen. Wenn Sie die automatische Erstellung zulassen, kann es etwa 30 Minuten dauern bis die erste Computeressource erstellt wurde, da auch das Netzwerk eingerichtet werden muss. Wenn Sie FQDN-Ausgangsregeln konfigurieren, fügt die erste FQDN-Regel etwa 10 Minuten zur Einrichtungszeit hinzu.

Erstellen eines neuen Hubs:
1. Melden Sie sich beim Azure portal an, und wählen Sie "Findry" im Menü "Ressource erstellen" aus.
2. Wählen Sie + Neues Azure AI aus.
3. Geben Sie die erforderlichen Informationen auf der Registerkarte Grundlagen an.
4. Wählen Sie auf der Registerkarte Netzwerk die Option Privat mit bestätigtem Internetdatenverkehr aus.
5. Um eine Ausgangsregel hinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Randleiste Ausgangsregeln die folgenden Informationen an:
  - Regelname: Ein Name für die Regel. Der Name muss für diesen Hub eindeutig sein.
  - Zieltyp: Privater Endpunkt, Diensttag oder FQDN. Diensttag und FQDN sind nur verfügbar, wenn die Netzwerkisolation privat mit genehmigtem ausgehendem Datenverkehr ist.
  Wenn der Zieltyp Privater Endpunkt lautet, geben Sie die folgenden Informationen ein:
  - Subscription: Das Abonnement, das die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Resource group: Die Ressourcengruppe, die die Azure Ressource enthält, für die Sie einen privaten Endpunkt hinzufügen möchten.
  - Ressourcentyp: Der Typ der Azure-Ressource.
  - Name: Der Name der Azure Ressource.
- Sub Resource: Die Unterressource des Azure-Ressourcentyps.
Tipp

Das verwaltete VNet des Hubs unterstützt keine privaten Endpunkte für alle Azure Ressourcentypen. Eine Liste der unterstützten Ressourcen finden Sie im Abschnitt Private Endpunkte.

Wenn der Zieltyp Diensttag lautet, geben Sie die folgenden Informationen ein:
- Diensttag: Das Diensttag, das den genehmigten Ausgangsregeln hinzugefügt werden soll.
- Protokoll: Das Protokoll, das für das Diensttag zugelassen werden soll.
- Portbereiche: Die Portbereiche, die für das Diensttag zulässig sind.
Wenn der Zieltyp FQDN lautet, geben Sie die folgenden Informationen ein:
- FQDN-Ziel: Der vollqualifizierte Domänenname, der den genehmigten Ausgangsregeln hinzugefügt werden soll.
  
  Wählen Sie Speichern aus, um die Regel zu speichern. Wenn Sie weitere Regeln hinzufügen möchten, wählen Sie erneut Benutzerdefinierte Ausgangsregeln hinzufügen aus.
1. Fahren Sie wie gewohnt mit der Erstellung des Hubs fort.
Aktualisieren eines vorhandenen Hub:
1. Melden Sie sich bei der Azure portal an, und wählen Sie den Hub aus, für den Sie verwaltete virtual network Isolation aktivieren möchten.
2. Wählen Sie Netzwerk>privat mit genehmigtem ausgehenden Datenverkehr aus.
  - Um eine Ausgangsregelhinzuzufügen, wählen Sie auf der Registerkarte Netzwerk die Option Benutzerdefinierte Ausgangsregeln hinzufügen aus. Geben Sie auf der Randleiste Ausgangsregeln dieselben Informationen ein, die Sie beim Erstellen eines Hubs im früheren Abschnitt „Erstellen eines neuen Hubs“ verwendet haben.
  - Um eine Ausgangsregel zu löschen, wählen Sie Löschen für die Regel aus.
3. Wählen Sie oben auf der Seite Speichern aus, um die Änderungen am verwalteten virtual network zu speichern.

Um eine verwaltete virtual network zu konfigurieren, die nur genehmigte ausgehende Kommunikation zulässt, verwenden Sie entweder den Parameter --managed-network allow_only_approved_outbound oder eine YAML-Konfigurationsdatei, die die folgenden Einträge enthält:

managed_network:
  isolation_mode: allow_only_approved_outbound

Sie können auch Ausgangsregeln für genehmigte ausgehende Kommunikation definieren. Erstellen einer Ausgangsregel vom Typ service_tag, fqdn oder private_endpoint. Im folgenden Beispiel wird einer Azure Blob-Ressource, einem Diensttag für Azure Data Factory und einem FQDN für pypi.org ein privater Endpunkt hinzugefügt. Ersetzen Sie im folgenden Beispiel den Platzhaltertext <SUBSCRIPTION_ID>, <RESOURCE_GROUP> und <STORAGE_ACCOUNT_NAME> durch Ihre eigenen Werte.

Von Bedeutung

Das Hinzufügen einer Ausgangsregel für ein Diensttag oder einen FQDN ist nur gültig, wenn das verwaltete VNet für allow_only_approved_outbound konfiguriert ist.
Wenn Sie Ausgangsregeln hinzufügen, kann Microsoft keinen Schutz vor Datenexfiltration garantieren.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Sie können ein verwaltetes virtuelles Netzwerk entweder mit dem Befehl az ml workspace create oder az ml workspace update konfigurieren.

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird der Parameter --managed-network allow_only_approved_outbound zum Konfigurieren des verwalteten virtuellen Netzwerks verwendet.
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Die folgende YAML-Datei definiert einen Hub mit einem verwalteten virtual network:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Verwenden Sie den --file Parameter, um einen Hub mithilfe der YAML-Datei zu erstellen:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Aktualisieren eines vorhandenen Hub

Warnung

Bevor Sie einen vorhandenen Arbeitsbereich aktualisieren, um ein verwaltetes virtuelles Netzwerk zu verwenden, müssen Sie alle Rechenressourcen des Arbeitsbereichs löschen. Das gilt für die Compute-Instanz, für den Computecluster und für verwaltete Online-Endpunkte.

Im folgenden Beispiel wird der Parameter --managed-network allow_only_approved_outbound verwendet, um das verwaltete virtuelle Netzwerk für einen vorhandenen Hub zu konfigurieren.
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
Die folgende YAML-Datei definiert ein verwaltetes virtuelles Netzwerk für den Hub und zeigt, wie genehmigte ausgehende Regeln hinzugefügt werden. In diesem Beispiel werden Ausgangsregeln für ein Diensttag, einen FQDN und einen privaten Endpunkt hinzugefügt:
```
name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Verweise

Um eine verwaltete virtual network zu konfigurieren, die nur genehmigte ausgehende Kommunikation zulässt, verwenden Sie die klasse ManagedNetwork, um ein Netzwerk mit IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND zu definieren. Verwenden Sie das ManagedNetwork Objekt, um einen neuen Hub zu erstellen oder ein vorhandenes zu aktualisieren. Verwenden Sie die folgenden Klassen, um Ausgangsregeln zu definieren:

Bestimmungsort	Klasse
Azure Dienst, auf dem der Hub basiert	`PrivateEndpointDestination`
Azure Service-Tag	`ServiceTagDestination`
Vollqualifizierter Domänenname (FQDN)	`FqdnDestination`

Erstellen eines neuen Hubs:

Im folgenden Beispiel wird ein neuer Hub namens myhub mit mehreren Ausgangsregeln erstellt:

myrule – Fügt einen privaten Endpunkt für einen Azure Blob-Speicher hinzu.
datafactory – Fügt eine Diensttagregel für die Kommunikation mit Azure Data Factory hinzu.

Von Bedeutung

Fügen Sie eine ausgehende Regel für einen Service-Tag oder ein FQDN nur hinzu, wenn Sie das verwaltete VNet für IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND konfigurieren.
Wenn Sie Ausgangsregeln hinzufügen, kann Microsoft keinen Schutz vor Datenexfiltration garantieren.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Verweise

Aktualisieren eines vorhandenen Hub:

Das folgende Beispiel zeigt, wie Sie eine verwaltete virtual network für einen vorhandenen Hub mit dem Namen myhub konfigurieren. Außerdem werden mehrere Ausgangsregeln hinzugefügt:

myrule – Fügt einen privaten Endpunkt für einen Azure Blob-Speicher hinzu.
datafactory – Fügt eine Diensttagregel für die Kommunikation mit Azure Data Factory hinzu.

Tipp

Sie können eine ausgehende Regel nur für einen Dienst-Tag oder einen FQDN hinzufügen, wenn Sie das verwaltete VNet zur Verwendung von IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND konfigurieren.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Verweise

Manuelles Bereitstellen eines verwalteten VNet

Das verwaltete virtuelle Netzwerk wird automatisch eingerichtet, wenn Sie eine Compute-Instanz erstellen. Wenn Sie sich auf die automatische Bereitstellung verlassen, kann es etwa 30 Minuten dauern, die erste Computeinstanz zu erstellen, da sie auch das Netzwerk bereitgestellt. Wenn Sie FQDN-ausgehende Regeln konfigurieren (nur verfügbar im Modus "Nur zugelassene"), erhöht die erste FQDN-Regel die Bereitstellungszeit um etwa 10 Minuten. Wenn Sie über eine große Anzahl von ausgehenden Regeln verfügen, die im verwalteten Netzwerk bereitgestellt werden, kann es länger dauern, bis die Bereitstellung abgeschlossen ist. Die erhöhte Bereitstellungszeit kann dazu führen, dass ihre erste Berechnungsinstanzerstellung zu einem Timeout führt.

Um die Wartezeit zu reduzieren und Timeouts zu vermeiden, richten Sie das verwaltete Netzwerk manuell ein. Warten Sie, bis die Bereitstellung abgeschlossen ist, bevor Sie eine Compute-Instanz erstellen.

Alternativ können Sie das Flag provision_network_now verwenden, um das verwaltete Netzwerk während der Huberstellung einzurichten.

Hinweis

Um ein Modell in einer verwalteten Rechenumgebung bereitzustellen, müssen Sie das verwaltete Netzwerk manuell bereitstellen oder zuerst eine Compute-Instanz erstellen. Durch das Erstellen einer Computeinstanz wird automatisch das verwaltete Netzwerk bereitgestellt.

Wählen Sie beim Erstellen des Arbeitsbereichs Verwaltetes Netzwerk proaktiv bei Erstellung bereitstellen aus, um das verwaltete Netzwerk einzurichten. Die Abrechnung beginnt für Netzwerkressourcen wie private Endpunkte, nachdem die virtual network eingerichtet wurde. Diese Option ist nur während der Arbeitsbereicherstellung verfügbar.

Das folgende Beispiel zeigt, wie Sie während der Huberstellung ein verwaltetes virtuelles Netzwerk bereitstellen.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

Das folgende Beispiel zeigt, wie ein verwaltetes virtuelles Netzwerk bereitgestellt wird.

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Bereitstellung abgeschlossen ist:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Verweise

Verwenden Sie das SDK, um eine verwaltete virtual network bereitzustellen, und überprüfen Sie dann den Status.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Verweise

Verwalten von Ausgangsregeln

Melden Sie sich bei der Azure portal an, und wählen Sie den Hub aus, für den Sie verwaltete virtual network Isolation aktivieren möchten.
Wählen Sie "Netzwerk" aus. Im Abschnitt Foundry Outbound access können Sie ausgehende Regeln verwalten.

Wenn Sie eine ausgehende Regel hinzufügen möchten, wählen Sie Benutzerdefinierte ausgehende Regeln auf der Registerkarte Networking aus. Geben Sie aus der Azure KI-Ausgehende Regeln Randleiste die erforderlichen Werte ein.
Um eine Regel zu aktivieren oder zu deaktivieren, verwenden Sie die Umschaltfläche in der Spalte Aktiv.
Um eine Ausgangsregel zu löschen, wählen Sie Löschen für die Regel aus.

Ersetzen Sie in den folgenden Befehlen den Platzhaltertext <workspace-name>, <resource-group> und <rule-name> durch Ihre eigenen Werte. Führen Sie Folgendes aus, um die ausgehenden Regeln für verwaltete virtuelle Netzwerke eines Hubs aufzulisten:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Führen Sie Folgendes aus, um die Details einer ausgehenden Regel eines verwalteten virtuellen Netzwerks anzuzeigen:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Führen Sie Folgendes aus, um eine ausgehende Regel aus dem verwalteten virtual network zu entfernen:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Verweise

az ml workspace outbound-rule list
az ml workspace outbound-rule show
az ml workspace outbound-rule remove - Entfernt eine ausgehende Regel in einem Azure ML-Arbeitsbereich.

Das folgende Beispiel zeigt, wie Ausgangsregeln für einen Hub mit dem Namen myhub verwaltet werden. Ersetzen Sie im Beispiel den Platzhaltertext <some-rule-name> durch den Regelnamen:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Verweise

MLClient

Netzwerkisolationsarchitektur und Isolationsmodi

Wenn Sie die Isolierung eines verwalteten virtuellen Netzwerks aktivieren, erstellen Sie ein verwaltetes virtuelles Netzwerk für den Hub. Verwaltete Computerressourcen, die Sie für den Hub erstellen, verwenden dieses verwaltete virtuelle Netzwerk automatisch. Die verwalteten virtuellen Netzwerke können private Endpunkte für Azure-Ressourcen verwenden, die in Ihrem Hub verwendet werden, z. B. Azure Storage, Azure Key Vault und Azure Container Registry.

Wählen Sie einen von drei ausgehenden Modi für das verwaltete virtuelle Netzwerk aus.

Ausgehender Modus	Description	Szenarien
Ausgehenden Internetdatenverkehr zulassen	Zulassen des gesamten ausgehenden Internetdatenverkehrs vom verwalteten virtuellen Netzwerk.	Sie möchten uneingeschränkten Zugriff auf Ressourcen für Maschinelles Lernen im Internet, wie z. B. Python-Pakete oder vortrainierte Modelle.¹
Nur genehmigten ausgehenden Datenverkehr zulassen	Verwenden Sie Diensttags, um ausgehenden Datenverkehr zuzulassen.	* Sie möchten das Risiko der Datenexfiltration minimieren, aber Sie müssen alle erforderlichen machine learning artifacts in Ihrer privaten Umgebung vorbereiten. Sie möchten ausgehenden Zugriff auf eine genehmigte Liste von Diensten, Dienste-Tags oder vollqualifizierte Domänennamen (FQDNs) konfigurieren.
Disabled	Eingehender und ausgehender Datenverkehr ist nicht eingeschränkt.	Sie möchten ein- und ausgehende öffentliche Daten aus dem Hub.

¹ Sie können Ausgangsregeln mit dem Modus nur genehmigten ausgehenden Datenverkehr zulassen verwenden, um dasselbe Ergebnis wie bei der Verwendung des Modus Ausgehende Internetverbindungen zulassen zu erreichen. Folgende Unterschiede bestehen:

Verwenden Sie immer private Endpunkte, um auf Azure-Ressourcen zuzugreifen.
Sie müssen Regeln für jede ausgehende Verbindung hinzufügen, die Sie zulassen müssen.
Das Hinzufügen vollqualifizierter Domänennamen (FQDN) ausgehender Regeln erhöht Ihre Kosten, da dieser Regeltyp Azure Firewall verwendet. Wenn Sie FQDN-Ausgehende Regeln verwenden, sind Gebühren für Azure Firewall in Ihrer Abrechnung enthalten. Weitere Informationen finden Sie unter Preise.
Die Standardregeln für Nur genehmigten ausgehenden Datenverkehr zulassen sind so konzipiert, dass das Risiko einer Datenexfiltration minimiert wird. Alle Ausgangsregeln, die Sie hinzufügen, erhöhen möglicherweise das Risiko.

Das verwaltete virtuelle Netzwerk ist mit voreingestellten Standardregeln vorkonfiguriert. Der Hub konfiguriert außerdem private Endpunktverbindungen mit Ihrem Hub, dem Standardspeicherkonto, der Containerregistrierung und dem Schlüsseltresor, wenn diese Ressourcen auf "Privat" festgelegt sind oder die Isolationsmodus-Option so festgelegt ist, dass nur genehmigte ausgehende Verbindungen zugelassen werden. Nachdem Sie einen Isolationsmodus ausgewählt haben, fügen Sie alle weiteren erforderlichen Ausgangsregeln hinzu.

Das folgende Diagramm zeigt ein verwaltetes virtuelles Netzwerk, das so konfiguriert ist, um das Erlauben von ausgehendem Internetverkehr zu ermöglichen.

Das folgende Diagramm zeigt ein verwaltetes virtuelles Netzwerk, das so konfiguriert ist, dass es nur genehmigte ausgehende Verbindungen zulässt.

Hinweis

In dieser Konfiguration werden die storage, key vault und die Containerregistrierung, die der Hub verwendet, auf "Privat" festgelegt. Da sie privat sind, verwendet der Hub private Endpunkte, um sie zu erreichen.

Hinweis

Um auf ein privates Speicherkonto von einem öffentlichen Foundry-Hub zuzugreifen, verwenden Sie Foundry aus dem virtuellen Netzwerk Ihres Speicherkontos. Der Zugriff auf Foundry innerhalb des virtuellen Netzwerks stellt sicher, dass Sie Dateien in das private Speicherkonto hochladen können. Das private storage Konto ist unabhängig von den Netzwerkeinstellungen Ihres Foundry-Hubs. Siehe Configure Azure Storage Firewalls und virtuelle Netzwerke.

Liste der erforderlichen Regeln

Tipp

Diese Regeln werden automatisch dem verwalteten virtual network (VNet) hinzugefügt.

Private Endpunkte:

Wenn Sie den Isolationsmodus für das verwaltete virtuelle Netzwerk auf Allow internet outbound festlegen, erstellt Foundry automatisch die erforderlichen ausgehenden Regeln für private Endpunkte vom verwalteten virtuellen Netzwerk für den Hub und die zugeordneten Ressourcen mit deaktiviertem öffentlichen Netzwerkzugriff (Azure Key Vault, Speicherkonto, Azure Container Registry und Hub).
Wenn Sie den Isolationsmodus für das verwaltete virtuelle Netzwerk auf Allow only approved outbound festlegen, erstellt Foundry automatisch die erforderlichen ausgehenden Regeln für private Endpunkte aus dem verwalteten virtuellen Netzwerk für den Hub und die zugehörigen Ressourcen, unabhängig von der Einstellung für den Zugriff auf das öffentliche Netzwerk für diese Ressourcen (Azure Key Vault, Speicherkonto, Azure Container Registry und Hub).

Foundry erfordert eine Reihe von Diensttags für private Netzwerke. Ersetzen Sie die erforderlichen Diensttags nicht. In der folgenden Tabelle werden die einzelnen erforderlichen Dienst-Tags und ihr Zweck in Foundry beschrieben.

Regel für das Diensttag	Eingehend oder ausgehend	Zweck
`AzureMachineLearning`	Eingehend	Erstellen, Aktualisieren und Löschen von Foundry compute instances and clusters.
`AzureMachineLearning`	Ausgehend	Verwenden von Azure Machine Learning-Diensten. Python IntelliSense in Notebooks verwendet Port 18881. Das Erstellen, Aktualisieren und Löschen einer Azure Machine Learning Computeinstanz verwendet Port 5831.
`AzureActiveDirectory`	Ausgehend	Authentifizierung mit Microsoft Entra ID.
`BatchNodeManagement.region`	Ausgehend	Kommunikation mit dem Azure Batch Back-End für Foundry-Computeinstanzen und Cluster.
`AzureResourceManager`	Ausgehend	Erstellen Sie Azure Ressourcen mithilfe von Foundry, Azure CLI und dem Microsoft Foundry SDK.
`AzureFrontDoor.FirstParty`	Ausgehend	Greifen Sie auf Docker-Images zu, die von Microsoft bereitgestellt werden.
`MicrosoftContainerRegistry`	Ausgehend	Zugriff auf von Microsoft bereitgestellte Docker-Images. Richten Sie den Foundry-Router für Azure Kubernetes Service ein.
`AzureMonitor`	Ausgehend	Senden Sie Protokolle und Metriken an Azure Monitor. Nur erforderlich, wenn Sie Azure Monitor für den Arbeitsbereich nicht gesichert haben. Diese ausgehende Regel protokolliert auch Informationen zu Supportvorfällen.
`VirtualNetwork`	Ausgehend	Erforderlich, wenn private Endpunkte im virtuellen Netzwerk oder in verknüpften virtuellen Netzwerken vorhanden sind.

Liste der szenariospezifischen Ausgangsregeln

Szenario: Zugang zu den öffentlichen Machine-Learning-Paketen

Um Python-Pakete für Training und Bereitstellung zu installieren, fügen Sie FQDN-Ausgangsregeln hinzu, um Datenverkehr zu den folgenden Hostnamen zuzulassen:

Hinweis

Diese Liste umfasst allgemeine Hosts für Python-Ressourcen im Internet. Wenn Sie access zu einem GitHub Repository oder einem anderen Host benötigen, identifizieren und fügen Sie die für Ihr Szenario erforderlichen Hosts hinzu.

Hostname	Purpose
`anaconda.com` `*.anaconda.com`	Wird verwendet, um Standardpakete zu installieren
`*.anaconda.org`	Wird verwendet, um Repositorydaten abzurufen
`pypi.org`	Listet Abhängigkeiten aus dem Standardindex auf, wenn Benutzereinstellungen sie nicht überschreiben. Wenn Sie den Index überschreiben, lassen Sie auch `*.pythonhosted.org` zu.
`pytorch.org` `*.pytorch.org`	Wird von einigen Beispielen verwendet, die auf PyTorch basieren.
`*.tensorflow.org`	Wird von einigen Beispielen verwendet, die auf TensorFlow basieren.

Szenario: Verwenden von Visual Studio Code

Visual Studio Code basiert auf bestimmten Hosts und Ports, um eine Remoteverbindung herzustellen.

Hosts

Verwenden Sie diese Hosts, um Visual Studio Code-Pakete zu installieren und eine Remoteverbindung mit den Computeinstanzen Ihres Projekts einzurichten.

Hinweis

Diese Liste enthält nicht alle Hosts, die für alle Visual Studio Coderessourcen im Internet erforderlich sind. Wenn Sie z. B. access zu einem GitHub Repository oder einem anderen Host benötigen, müssen Sie die erforderlichen Hosts für dieses Szenario identifizieren und hinzufügen. Eine vollständige Liste der Hostnamen finden Sie unter Network Connections in Visual Studio Code.

Hostname	Purpose
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Zum Zugriff auf VS Code für das Web erforderlich (vscode.dev).
`code.visualstudio.com`	Erforderlich zum Herunterladen und Installieren von VS Code Desktop. Dieser Host ist für VS Code Web nicht erforderlich.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Lädt VS Code Server-Komponenten während der Setupskripts auf die Compute-Instanz herunter.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Erforderlich zum Herunterladen und Installieren von VS Code-Erweiterungen. Diese Hosts ermöglichen die Remoteverbindung mit Compute-Instanzen. Weitere Informationen finden Sie unter Get started with Foundry projects in VS Code.
`vscode.download.prss.microsoft.com`	Dient als Visual Studio Codedownload CDN.

Häfen

Lassen Sie Netzwerkdatenverkehr zu Ports 8704 bis 8710 zu. Der VS Code-Server wählt den ersten verfügbaren Port in diesem Bereich aus.

Szenario: Verwenden von HuggingFace-Modellen

Um HuggingFace-Modelle mit dem Hub zu verwenden, fügen Sie FQDN-Ausgangsregeln hinzu, um Datenverkehr zu den folgenden Hosts zu ermöglichen:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Szenario: Modelle, die direkt von Azure verkauft werden

Diese Modelle installieren Abhängigkeiten zur Laufzeit. Fügen Sie ausgehende FQDN-Regeln hinzu, um Datenverkehr zu den folgenden Hosts zuzulassen:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Private Endpunkte

Azure Dienste unterstützen derzeit private Endpunkte für die folgenden Dienste:

Gießerei-Zentrum
Azure AI Search
Gießerei-Werkzeuge
Azure API Management
- Unterstützt nur die klassische Ebene ohne VNet-Einfügung und die Standard V2-Ebene mit virtual network Integration. Weitere Informationen zu API Management virtuellen Netzwerken finden Sie unter Virtual Network Concepts.
Azure Container Registry
Azure Cosmos DB (alle Unterressourcentypen)
Azure Data Factory
Azure Database for MariaDB
Azure Database for MySQL
Azure Database for PostgreSQL Single Server
Azure-Datenbank für PostgreSQL - Flexibler Server
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Machine Learning Registrierungen
Azure Cache for Redis
Azure SQL Server
Azure Storage (alle Unterressourcentypen)
Application Insights (über PrivateLinkScopes)

Wenn Sie einen privaten Endpunkt erstellen, geben Sie den Ressourcentyp und die Unterressource an, mit der der Endpunkt eine Verbindung herstellt. Einige Ressourcen verfügen über mehrere Typen und Unterressourcen. Weitere Informationen finden Sie unter Was ist ein privater Endpunkt.

Wenn Sie einen privaten Endpunkt für Hubabhängigkeitsressourcen wie Azure Storage, Azure Container Registry und Azure Key Vault erstellen, kann sich die Ressource in einem anderen Azure-Abonnement befindet. Die Ressource muss sich jedoch im selben Mandanten wie der Hub befinden.

Wenn Sie eine der zuvor als Zielressource aufgeführten Azure Ressourcen auswählen, erstellt der Dienst automatisch einen privaten Endpunkt für die Verbindung. Geben Sie eine gültige Ziel-ID für den privaten Endpunkt an. Bei einer Verbindung kann die Ziel-ID die Azure Resource Manager-ID einer übergeordneten Ressource sein. Schließen Sie die Ziel-ID der Verbindung oder in metadata.resourceid ein. Weitere Informationen zu Verbindungen finden Sie unter Hinzufügen einer neuen Verbindung im Foundry-Portal.

Genehmigung privater Endpunkte

Um private Endpunktverbindungen in verwalteten virtuellen Netzwerken mithilfe von Foundry einzurichten, muss die verwaltete Identität des Arbeitsbereichs (vom System zugewiesen oder vom Benutzer zugewiesen) und die Benutzeridentität, die den privaten Endpunkt erstellt, über die Berechtigung verfügen, die privaten Endpunktverbindungen für die Zielressourcen zu genehmigen. Zuvor erteilte der Foundry-Dienst diese Berechtigung über automatische Rollenzuweisungen. Aufgrund von Sicherheitsbedenken bei automatischen Rollenzuweisungen ab dem 30. April 2025 beendet der Dienst diese Logik für die automatische Berechtigungserteilung. Weisen Sie die Rolle Azure AI Enterprise Network Connection Approver oder einer benutzerdefinierten Rolle mit den erforderlichen Berechtigungen für private Endpunktverbindungen für die Zielressourcentypen zu, und gewähren Sie dieser Rolle die verwaltete Identität des Foundry-Hubs, damit Foundry private Endpunktverbindungen mit den Zielressourcen Azure Ressourcen genehmigen kann.

Hier ist die Liste der Ressourcentypen für private Endpunkte, die von der Rolle „Azure AI Enterprise Network Connection Approver“ abgedeckt werden:

Azure Application Gateway
Azure Monitor
Azure AI Search
Azure Event Hubs
Azure SQL Database
Azure Storage
Azure Machine Learning Arbeitsbereich
Azure Machine Learning Registrierung
Gießerei
Azure Key Vault
Azure Cosmos DB
Azure Database for MySQL
Azure Database for PostgreSQL
Gießerei-Werkzeuge
Azure Cache for Redis
Azure Container Registry
Azure API Management

Um ausgehende Regeln für private Endpunkte für Zielressourcentypen zu erstellen, die nicht von der Rolle Azure AI Enterprise Network Connection Approver abgedeckt werden, z. B. Azure Data Factory, Azure Databricks und Azure Funktions-Apps, verwenden Sie eine benutzerdefinierte, bereichsbezogene Rolle, die nur von den Aktionen definiert wird, die erforderlich sind, um private Endpunktverbindungen für die Zielressourcentypen zu genehmigen.

Um Ausgangsregeln für private Endpunkte für Standardarbeitsbereichsressourcen zu erstellen, gewährt die Arbeitsbereichserstellung die erforderlichen Berechtigungen über Rollenzuweisungen, sodass Sie keine zusätzlichen Aktionen ausführen müssen.

Wählen Sie eine Azure Firewall Version aus, um nur genehmigte ausgehende Nachrichten zuzulassen.

Azure Firewall wird bereitgestellt, wenn Sie im Modus allow only approved outbound eine ausgehende FQDN-Regel hinzufügen. Azure Firewall Gebühren werden Zu Ihrer Rechnung hinzugefügt. Standardmäßig wird eine Standard Version von Azure Firewall erstellt. Oder wählen Sie die Basic-Version aus. Sie können die Firewallversion jederzeit ändern. Um zu erfahren, welche Version Ihren Anforderungen entspricht, wechseln Sie zu Wählen Sie die richtige Azure Firewall Version aus.

Von Bedeutung

Azure Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen. Details zu den Preisen finden Sie unter Azure Firewall pricing, und sehen Sie die Preise für die Standardversion.

Verwenden Sie diese Registerkarten, um zu sehen, wie man die Firewall-Version für Ihr verwaltetes virtuelles Netzwerk auswählt.

Nachdem Sie den modus allow only approved outbound ausgewählt haben, wird die Option zum Auswählen der Azure Firewall Version (SKU) angezeigt. Wählen Sie Standard oder Basic aus. Wählen Sie Speichern aus.

Um die Firewallversion mithilfe von Azure CLI festzulegen, verwenden Sie eine YAML-Datei, und geben Sie firewall_sku an. Im folgenden Beispiel wird die Firewall-SKU auf basic festgelegt:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Wenn Sie die Firewallversion mithilfe des Python-SDK festlegen möchten, legen Sie die Eigenschaft firewall_sku des Objekts ManagedNetwork fest. Im folgenden Beispiel wird die Firewall-SKU auf basic festgelegt:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Verweise

Pricing

Das vom Hub verwaltete virtual network-Feature ist kostenlos, sie bezahlen jedoch für die folgenden Ressourcen, die vom verwalteten virtual network verwendet werden:

Azure Private Link – Private Endpunkte, die die Kommunikation zwischen dem verwalteten virtuellen Netzwerk und Azure-Ressourcen sichern, verwenden Azure Private Link. Preise finden Sie unter Azure Private Link pricing.
FQDN-ausgehende Regeln – Azure Firewall erzwingt diese Regeln. Wenn Sie ausgehende FQDN-Regeln verwenden, werden Azure Firewall Gebühren auf Ihrer Rechnung angezeigt. Die Standardversion von Azure Firewall wird standardmäßig verwendet. Informationen zum Auswählen der Standardversion finden Sie unter Auswahl einer Azure Firewall Version. Azure Firewall wird pro Hub bereitgestellt.

Von Bedeutung

Azure Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen. Wenn Sie keine FQDN-Regeln verwenden, werden Sie für Azure Firewall nicht in Rechnung gestellt. Informationen zum Preis finden Sie unter Azure Firewall pricing.

Einschränkungen

Foundry unterstützt verwaltete virtual network Isolation für Computeressourcen. Foundry unterstützt nicht die Nutzung eines eigenen virtuellen Netzwerks zur Compute-Isolation. Dieses Szenario unterscheidet sich von dem Azure Virtual Network, das benötigt wird, um aus einem lokalen Netzwerk auf Foundry zuzugreifen.
Nachdem Sie die verwaltete virtuelle Netzwerkisolierung aktiviert haben, können Sie sie nicht deaktivieren.
Das verwaltete virtuelle Netzwerk verwendet einen privaten Endpunkt, um eine Verbindung zu privaten Ressourcen herzustellen. Sie können keinen privaten Endpunkt und einen Dienstendpunkt auf derselben Azure Ressource verwenden, z. B. ein storage-Konto. Verwenden Sie für alle Szenarien private Endpunkte.
Wenn Sie Foundry löschen, löscht der Dienst das verwaltete virtuelle Netzwerk.
Mit der Funktion Nur genehmigten ausgehenden Datenverkehr zulassen ermöglicht Foundry automatisch den Schutz vor Datenexfiltration. Wenn Sie andere Ausgangsregeln wie FQDNs hinzufügen, kann Microsoft keinen Schutz vor Datenexfiltration für diese Ziele garantieren.
FQDN-Regeln für ausgehenden Datenverkehr erhöhen die Kosten des verwalteten virtuellen Netzwerks, da sie die Azure Firewall nutzen. Weitere Informationen finden Sie unter Preise.
FQDN-Ausgangsregeln unterstützen nur die Ports 80 und 443.
Um die öffentliche IP-Adresse einer Compute-Instanz zu deaktivieren, fügen Sie einem Hub einen privaten Endpunkt hinzu.
Führen Sie für eine Compute-Instanz in einem verwalteten Netzwerk az ml compute connect-ssh aus, um eine Verbindung über SSH herzustellen.
Wenn Ihr verwaltetes Netzwerk so konfiguriert ist, dass es nur genehmigten ausgehenden Verkehr zulässt, können Sie keine FQDN-Regel für den Zugriff auf Azure Storage-Konten verwenden. Verwenden Sie stattdessen einen privaten Endpunkt.

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-11

Freigeben über

Einrichten eines verwalteten Netzwerks für Microsoft Foundry Hubs (klassisch)

Voraussetzungen

Konfigurieren Sie ein verwaltetes virtuelles Netzwerk für ausgehenden Internetverkehr

Konfigurieren Sie ein verwaltetes virtuelles Netzwerk, um nur genehmigte ausgehende Verbindungen zuzulassen.

Manuelles Bereitstellen eines verwalteten VNet

Verwalten von Ausgangsregeln

Netzwerkisolationsarchitektur und Isolationsmodi

Liste der erforderlichen Regeln

Liste der szenariospezifischen Ausgangsregeln

Szenario: Zugang zu den öffentlichen Machine-Learning-Paketen

Szenario: Verwenden von Visual Studio Code

Hosts

Häfen

Szenario: Verwenden von HuggingFace-Modellen

Szenario: Modelle, die direkt von Azure verkauft werden

Private Endpunkte

Genehmigung privater Endpunkte

Wählen Sie eine Azure Firewall Version aus, um nur genehmigte ausgehende Nachrichten zuzulassen.

Pricing

Einschränkungen

Verwandte Inhalte

Feedback

Zusätzliche Ressourcen