Configuración de una red administrada para centros de Microsoft Foundry (clásico)

Nota:

Este documento hace referencia al portal de Microsoft Foundry (clásico).

🔍 Consulte la documentación de Microsoft Foundry (nuevo) para obtener información sobre el nuevo portal.

Importante

Este artículo proporciona soporte heredado para proyectos basados en concentradores. No funcionará para proyectos de Foundry. Vea ¿Cómo sé qué tipo de proyecto tengo?

Nota de compatibilidad del SDK: los ejemplos de código requieren una versión específica del SDK de Microsoft Foundry. Si encuentra problemas de compatibilidad, considere migrar de un proyecto basado en un hub a un proyecto Foundry.

El aislamiento de red para un proyecto basado en centro tiene dos partes: acceder a un centro de Microsoft Foundry y aislar los recursos de cómputo en su centro y proyecto (como instancias de cómputo y sin servidor, y puntos de conexión en línea administrados). En este artículo se trata este último. El diagrama lo resalta. Use el aislamiento de red integrado del centro para proteger los recursos informáticos.

Configure las siguientes opciones de aislamiento de red:

Elija un modo de aislamiento de red: permita la salida de Internet o permita solo la salida aprobada.
Si usa la integración de Visual Studio Code en el modo permitir solo salidas aprobadas, cree reglas de salida de FQDN como se describe en la sección Usar Visual Studio Code.
Si utiliza modelos de Hugging Face en el modo permitir solo salida aprobada, cree reglas de salida FQDN tal como se describe en la sección Usar modelos de Hugging Face.
Si utiliza uno de los modelos de código abierto en el modo permitir solo salida aprobada, cree reglas de salida FQDN tal como se describe en la sección Modelos vendidos directamente por Azure.

Prerrequisitos

Antes de empezar, asegúrese de que tiene estos requisitos previos:

Una suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Registre el proveedor de recursos Microsoft.Network para la suscripción de Azure. El centro usa este proveedor para crear puntos de conexión privados para la red virtual administrada.

Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Resolver errores en el registro del proveedor de recursos.
Use una identidad de Azure con las siguientes acciones del Control de acceso basado en rol de Azure (RBAC de Azure) para crear puntos de conexión privados para la red virtual administrada:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Sugerencia

El rol integrado Aprobador de conexión de red empresarial de Azure AI incluye estos permisos. Asigne este rol a la identidad gestionada del concentrador para aprobar conexiones de punto de conexión privado.

Una suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
El proveedor de recursos Microsoft.Network debe estar registrado en su suscripción de Azure. El centro usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Resolver errores en el registro del proveedor de recursos.
Use una identidad de Azure con las siguientes acciones del Control de acceso basado en rol de Azure (RBAC de Azure) para crear puntos de conexión privados para la red virtual administrada:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Sugerencia

El rol integrado Aprobador de conexión de red empresarial de Azure AI incluye estos permisos. Asigne este rol a la identidad gestionada del concentrador para aprobar conexiones de punto de conexión privado.
Instale la CLI de Azure y la ml extensión para la CLI de Azure. Para más información, consulte Instalación, configuración y uso de la CLI v2.
Un shell compatible con Bash para ejecutar los ejemplos de la CLI de este artículo. Por ejemplo, use un sistema Linux o un Subsistema de Windows para Linux.
En los ejemplos de la CLI de Azure de este artículo se usa ws para el nombre del centro y rg para el nombre del grupo de recursos. Cambie estos valores según sea necesario cuando ejecute los comandos en la suscripción de Azure.

Una suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar. Pruebe la versión gratuita o de pago.
El proveedor de recursos Microsoft.Network debe estar registrado en su suscripción de Azure. El centro usa este proveedor de recursos al crear puntos de conexión privados para la red virtual administrada.

Para obtener más información sobre cómo registrar un proveedor de recursos, consulte Resolver errores en el registro del proveedor de recursos.
La identidad de Azure que se usa al implementar una red administrada requiere las siguientes acciones de control de acceso basado en roles de Azure (Azure RBAC) para crear puntos de conexión privados:
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
- Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write
Sugerencia

El rol integrado Aprobador de conexión de red empresarial de Azure AI incluye estos permisos. Asigne este rol a la identidad gestionada del concentrador para aprobar conexiones de punto de conexión privado.
El SDK de Azure Machine Learning para Python (v2). Para más información sobre el SDK, consulte Instalación del SDK de Azure Machine Learning para Python (v2).

En los ejemplos de este artículo se supone que el código comienza con el siguiente código de Python. Importa las clases necesarias para crear un centro con una red virtual administrada, establece variables para la suscripción y el grupo de recursos de Azure y crea el elemento ml_client. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID> del marcador de posición y <RESOURCE_GROUP> por sus propios valores:

from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
    Hub,
    ManagedNetwork,
    IsolationMode,
    ServiceTagDestination,
    PrivateEndpointDestination,
    FqdnDestination
)
from azure.identity import DefaultAzureCredential

# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"

# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)

Configura una red virtual gestionada para permitir tráfico de salida a Internet

Sugerencia

Foundry aplaza la creación de la red virtual administrada hasta que se crea un recurso de proceso o se inicia el aprovisionamiento manualmente. Con la creación automática, puede tardar unos 30 minutos en crear el primer recurso de proceso porque también aprovisiona la red.

Crear un nuevo centro de conectividad:
1. Inicie sesión en Azure Portal y seleccione Foundry en el menú Crear un recurso .
2. Seleccione + Nueva Azure AI.
3. Escriba la información necesaria en la pestaña Aspectos básicos.
4. En la pestaña Redes, seleccione Privado con Salida a Internet.
5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, escriba la siguiente información:
  - Nombre de la regla: un nombre para la regla. El nombre debe ser único para este centro de conectividad.
  - Tipo de destino: el punto de conexión privado es la única opción cuando el aislamiento de red es Privado con salida a Internet. Una red virtual administrada por concentrador no admite la creación de puntos de conexión privados para todos los tipos de recursos de Azure. Para obtener una lista de recursos compatibles, consulte la sección Puntos de conexión privados.
  - Suscripción: la suscripción que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
  - Grupo de recursos: el grupo de recursos que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
  - Tipo de recurso: el tipo de recurso de Azure.
  - Nombre del recurso: el nombre del recurso de Azure.
  - Subrecurso: subrecurso del tipo de recurso de Azure.
  Haga clic en Guardar. Para agregar más reglas, seleccione Agregar reglas de salida definidas por el usuario.
6. Continúe creando el centro.
Actualizar un centro de conectividad existente:
1. Inicie sesión en Azure Portal y seleccione el centro para habilitar el aislamiento de red virtual administrada.
2. Seleccione Redes>Privadas con Internet saliente.
  - Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, proporcione la misma información que usó al crear un centro de conectividad en la sección "Crear un nuevo centro de conectividad".
  - Para eliminar una regla de salida, seleccione eliminar en la regla.
3. Seleccione Guardar en la parte superior de la página para aplicar los cambios a la red virtual administrada.

Para configurar una red virtual administrada que permita la salida de Internet, use el parámetro --managed-network allow_internet_outbound o un archivo de configuración de YAML con las siguientes entradas:

managed_network:
  isolation_mode: allow_internet_outbound

Defina reglas de salida para otros servicios de Azure en los que se basa el centro. Estas reglas definen puntos de conexión privados que permiten a un recurso de Azure comunicarse de forma segura con la red virtual administrada. En la regla siguiente se muestra cómo agregar un punto de conexión privado a una cuenta de Azure Blob Storage. En el ejemplo siguiente, reemplace el texto del marcador de posición <SUBSCRIPTION_ID>, <RESOURCE_GROUP> y <STORAGE_ACCOUNT_NAME> por sus propios valores.

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Configure una red virtual administrada mediante los comandos az ml workspace create o az ml workspace update:

Crear un nuevo centro de conectividad:

En el ejemplo siguiente se crea un nuevo centro. El parámetro --managed-network allow_internet_outbound configura una red virtual administrada para el centro:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para crear un centro mediante un archivo YAML, use el --file parámetro y especifique el archivo YAML que contiene los valores de configuración:
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
En el ejemplo de YAML siguiente se define un centro de conectividad con una red virtual administrada:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_internet_outbound
```
Actualizar un centro de conectividad existente:

Advertencia

Antes de actualizar un área de trabajo existente para usar una red virtual gestionada, debe eliminar todos los recursos de proceso del área de trabajo. Esto incluye instancias de proceso, clúster de proceso y puntos de conexión en línea administrados.

En el ejemplo siguiente se actualiza un centro de conectividad existente. El parámetro --managed-network allow_internet_outbound configura una red virtual administrada para el centro:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
```
Para actualizar un centro existente mediante un archivo YAML, use el --file parámetro y especifique el archivo YAML que contiene los valores de configuración:
```
az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
```
En el ejemplo de YAML siguiente se define una red virtual administrada para el centro de conectividad. También se muestra cómo agregar una conexión de punto de conexión privado a un recurso que usa el centro. En este ejemplo, agrega un punto de conexión privado para una cuenta de Azure Blob Storage. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID>, <RESOURCE_GROUP> y <STORAGE_ACCOUNT_NAME> por sus propios valores:
```
name: myhub
managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Referencias

Para configurar una red virtual administrada que permita la salida de Internet, use la clase ManagedNetwork con IsolationMode.ALLOW_INTERNET_OUTBOUND. A continuación, use el objeto ManagedNetwork para crear un nuevo centro o actualizar uno existente. Para definir reglas de salida a los servicios de Azure en los que se basa el centro de conectividad, use la clase PrivateEndpointDestination para definir un nuevo punto de conexión privado para el servicio.

Crear un nuevo centro de conectividad:

En el ejemplo siguiente se crea un nuevo centro denominado myhub, con una regla de salida denominada myrule que agrega un punto de conexión privado para una cuenta de Azure Blob Storage. En el ejemplo siguiente, reemplace el texto <SUBSCRIPTION_ID>, <RESOURCE_GROUP> y <STORAGE_ACCOUNT_NAME> por sus propios valores:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Example private endpoint to Azure Blob Storage
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referencias

ManagedNetwork
IsolationMode
Hub
PrivateEndpointDestination

Actualizar un centro de conectividad existente:

En el ejemplo siguiente se muestra cómo crear una red virtual administrada para un centro de conectividad existente denominado myhub:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get(name="myhub")

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)

# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True

# Add the outbound rule
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
    name=rule_name, 
    service_resource_id=service_resource_id, 
    subresource_target=subresource_target, 
    spark_enabled=spark_enabled)]

# Update the hub
ml_client.workspaces.begin_update(ws)

Referencias

Configura una red virtual gestionada para permitir solo conexiones salientes aprobadas.

Sugerencia

Azure configura automáticamente la red virtual administrada al crear un recurso de proceso. Si permite la creación automática, el primer recurso de proceso puede tardar unos 30 minutos en crearse porque la red también debe configurarse. Si configura reglas de salida de FQDN, la primera regla de FQDN agrega aproximadamente 10 minutos a la hora de configuración.

Crear un nuevo centro de conectividad:
1. Inicie sesión en Azure Portal y elija Foundry en el menú Crear un recurso.
2. Seleccione + Nueva Azure AI.
3. Proporcione la información necesaria en la pestaña Aspectos básicos.
4. En la pestaña Redes, seleccione Privado con Salida a Internet.
5. Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, proporcione la siguiente información:
  - Nombre de la regla: un nombre para la regla. El nombre debe ser único para este centro de conectividad.
  - Tipo de destino: punto de conexión privado, etiqueta de servicio o FQDN. La etiqueta de servicio y el FQDN solo están disponibles cuando el aislamiento de red es privado con salida aprobada.
  Si el tipo de destino es Punto de conexión privado, escriba la siguiente información:
  - Suscripción: la suscripción que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
  - Grupo de recursos: el grupo de recursos que contiene el recurso de Azure para el que desea agregar un punto de conexión privado.
  - Tipo de recurso: el tipo de recurso de Azure.
  - Nombre del recurso: el nombre del recurso de Azure.
- Subrecurso: el subrecurso del tipo de recurso de Azure.
Sugerencia

La red virtual administrada del centro no admite puntos de conexión privados para todos los tipos de recursos de Azure. Para obtener una lista de recursos compatibles, consulte la sección Puntos de conexión privados.

Si el tipo de destino es Etiqueta de servicio, escriba la siguiente información:
- Etiqueta de servicio: la etiqueta de servicio que se va a agregar a las reglas de salida aprobadas.
- Protocolo: protocolo que se va a permitir para la etiqueta de servicio.
- Intervalos de puertos: los intervalos de puertos que se van a permitir para la etiqueta de servicio.
Si el tipo de destino es FQDN, escriba la siguiente información:
- Destino de FQDN: nombre de dominio completo que se va a agregar a las reglas de salida aprobadas.
  
  Para guardar la regla, elija Guardar. Para agregar más reglas, seleccione Agregar reglas de salida definidas por el usuario de nuevo.
1. Siga creando el centro como de costumbre.
Actualizar un centro de conectividad existente:
1. Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.
2. Seleccione Redes>Privadas con salida aprobada.
  - Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateral Reglas de salida, escriba la misma información que al crear un centro en la sección anterior "Crear un nuevo centro".
  - Para eliminar una regla de salida, seleccione eliminar en la regla.
3. Seleccione Guardar en la parte superior de la página para guardar los cambios en la red virtual administrada.

Para configurar una red virtual administrada que solo permita la comunicación saliente aprobada, use el parámetro --managed-network allow_only_approved_outbound o un archivo de configuración de YAML que contenga las siguientes entradas:

managed_network:
  isolation_mode: allow_only_approved_outbound

También puede definir reglas de salida para la comunicación saliente aprobada. Cree una regla de salida de tipo service_tag, fqdn o private_endpoint. En el ejemplo siguiente se agrega un punto de conexión privado a un recurso de Azure Blob, una etiqueta de servicio para Azure Data Factory y un FQDN para pypi.org. En el ejemplo siguiente, reemplace el texto del marcador de posición <SUBSCRIPTION_ID>, <RESOURCE_GROUP> y <STORAGE_ACCOUNT_NAME> por los valores.

Importante

Agregar una regla de salida para una etiqueta de servicio o FQDN solo es válido cuando la red virtual administrada está configurada como allow_only_approved_outbound.
Si agrega reglas de salida, Microsoft no puede garantizar la protección contra la filtración de datos.

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

Puede configurar una red virtual administrada mediante los az ml workspace create comandos o az ml workspace update :

Crear un nuevo centro de conectividad:

En el ejemplo siguiente se usa el parámetro --managed-network allow_only_approved_outbound para configurar la red virtual administrada:
```
az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
El siguiente archivo YAML define un centro de conectividad con una red virtual administrada:
```
name: myhub
location: EastUS
managed_network:
  isolation_mode: allow_only_approved_outbound
```
Para crear un centro mediante el archivo YAML, use el --file parámetro :
```
az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
```
Actualizar un centro de conectividad existente

Advertencia

Antes de actualizar un área de trabajo existente para usar una red virtual gestionada, debe eliminar todos los recursos de proceso del área de trabajo. Esto incluye instancias de proceso, clúster de proceso y puntos de conexión en línea administrados.

En el ejemplo siguiente se usa el parámetro --managed-network allow_only_approved_outbound para configurar la red virtual administrada para un centro de conectividad existente:
```
az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
```
El siguiente archivo YAML define una red virtual administrada para el centro y muestra cómo agregar reglas de salida aprobadas. En este ejemplo, se agregan reglas de salida para una etiqueta de servicio, un FQDN y un punto de conexión privado:
```
name: myhub_dep
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint
```

Referencias

Para configurar una red virtual administrada que permita solo la comunicación saliente aprobada, use la clase ManagedNetwork para definir una red con IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND. Use el ManagedNetwork objeto para crear un nuevo centro o actualizar uno existente. Para definir reglas de salida, use las siguientes clases:

Destino	Class
Servicio de Azure en el que se basa el centro de conectividad	`PrivateEndpointDestination`
Etiqueta de servicio de Azure	`ServiceTagDestination`
Nombre de dominio completo (FQDN)	`FqdnDestination`

Crear un nuevo centro de conectividad:

En el ejemplo siguiente se crea un nuevo centro de conectividad denominado myhub, con varias reglas de salida:

myrule: agrega un punto de conexión privado para un almacén de blobs de Azure.
datafactory: agrega una regla de etiqueta de servicio para comunicarse con Azure Data Factory.

Importante

Agregue una regla de salida para una etiqueta de servicio o un FQDN solo cuando configure la red virtual administrada en IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.
Si agrega reglas de salida, Microsoft no puede garantizar la protección contra la filtración de datos.

from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Basic managed VNet configuration
network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Hub configuration
ws = Hub(
    name="myhub",
    location="eastus",
    managed_network=network
)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Create the hub
ws = ml_client.workspaces.begin_create(ws).result()

Referencias

Actualizar un centro de conectividad existente:

En el ejemplo siguiente se muestra cómo configurar una red virtual administrada para un centro existente denominado myhub. También agrega varias reglas de salida:

myrule: agrega un punto de conexión privado para un almacén de blobs de Azure.
datafactory: agrega una regla de etiqueta de servicio para comunicarse con Azure Data Factory.

Sugerencia

Puede agregar una regla de salida para una etiqueta de servicio o FQDN solo cuando configure la red virtual administrada para que use IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND.

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential
from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination

# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()

# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)

# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
    PrivateEndpointDestination(
        name=rule_name, 
        service_resource_id=service_resource_id, 
        subresource_target=subresource_target, 
        spark_enabled=spark_enabled
    )
)

# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
    ServiceTagDestination(
        name=rule_name, 
        service_tag=service_tag, 
        protocol=protocol, 
        port_ranges=port_ranges
    )
)

# Example FQDN rule
ws.managed_network.outbound_rules.append(
    FqdnDestination(
        name="fqdnrule", 
        destination="pypi.org"
    )
)

# Update the hub
ml_client.workspaces.begin_update(ws)

Referencias

Aprovisionamiento manual de una red virtual administrada

La red virtual administrada se aprovisiona automáticamente al crear una instancia de proceso. Cuando se basa en el aprovisionamiento automático, puede tardar unos 30 minutos en crear la primera instancia de proceso, ya que también aprovisiona la red. Si configura reglas de salida de FQDN (solo disponibles con el modo aprobado solo permitido), la primera regla de FQDN agrega aproximadamente 10 minutos al tiempo de aprovisionamiento. Si tiene un gran conjunto de reglas de salida que deben aprovisionarse en la red administrada, el aprovisionamiento puede tardar más en completarse. Un mayor tiempo de aprovisionamiento puede hacer que se agote el tiempo de espera de la creación de la primera instancia de proceso.

Para reducir el tiempo de espera y evitar tiempos de espera, configure manualmente la red administrada. Espere a que se complete el aprovisionamiento antes de crear una instancia de proceso.

Como alternativa, use la marca provision_network_now para configurar la red administrada durante la creación del centro.

Nota:

Para implementar un modelo en un proceso administrado, debe aprovisionar manualmente la red administrada o crear primero una instancia de proceso. La creación de una instancia de cálculo aprovisiona automáticamente la red gestionada.

Durante la creación del área de trabajo, seleccione Aprovisionar red administrada de forma proactiva al crear para configurar la red administrada. La facturación se inicia para los recursos de red, como los puntos de conexión privados, una vez configurada la red virtual. Esta opción solo está disponible durante la creación del área de trabajo.

En el siguiente ejemplo, se muestra cómo aprovisionar una red virtual administrada durante la creación del hub.

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

En el siguiente ejemplo, se muestra cómo aprovisionar una red virtual administrada:

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

Para comprobar que el aprovisionamiento está completo, ejecute el siguiente comando:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

Referencias

Use el SDK para aprovisionar una red virtual administrada y, a continuación, compruebe su estado.

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

Referencias

Administración de reglas de salida

Inicie sesión en el Azure Portal y seleccione el centro de conectividad para el que desea habilitar el aislamiento de red virtual administrada.
Seleccionar Redes. La sección Acceso saliente de Foundry le permite administrar normas salientes.

Para agregar una regla de salida, seleccione Agregar reglas de salida definidas por el usuario en la pestaña Redes. En la barra lateralReglas de salida de Azure AI, escriba los valores necesarios.
Para habilitar o deshabilitar una regla, use el botón de alternancia en la columna Activa.
Para eliminar una regla de salida, seleccione eliminar en la regla.

En los comandos siguientes, reemplace el texto del marcador de posición <workspace-name>, <resource-group> y <rule-name> por sus valores. Para enumerar las reglas de salida de red virtual administradas para un centro, ejecute:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

Para ver los detalles de una regla de salida de red virtual administrada, ejecute:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Para quitar una regla de salida de la red virtual administrada, ejecute:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

Referencias

En el ejemplo siguiente se muestra cómo administrar reglas de salida para un centro denominado myhub. En el ejemplo, reemplace el texto del marcador de posición <some-rule-name> por el nombre de la regla:

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

Referencias

MLClient

Arquitectura de aislamiento de red y modos de aislamiento

Al habilitar el aislamiento de red virtual administrada, se crea una red virtual administrada para el centro. Los recursos de proceso administrados que cree para el centro de conectividad usan automáticamente esta red virtual administrada. La red virtual administrada puede usar puntos de conexión privados para los recursos de Azure que usa el centro, como Azure Storage, Azure Key Vault y Azure Container Registry.

Elija uno de los tres modos de salida para la red virtual administrada:

Modo de salida	Description	Escenarios
Permitir la salida a Internet	Permitir todo el tráfico saliente de Internet desde la red virtual administrada.	Quiere un acceso sin restricciones a los recursos de aprendizaje automático en Internet, como paquetes de Python o modelos entrenados previamente. ¹
Permitir solo la salida aprobada	Use etiquetas de servicio para permitir el tráfico saliente.	* Quiere minimizar el riesgo de filtración de datos, pero debe preparar todos los artefactos de aprendizaje automático necesarios en su entorno privado. * Desea configurar el acceso saliente a una lista aprobada de servicios, etiquetas de servicio o nombres de dominio completos (FQDN).
Disabled	El tráfico entrante y saliente no está restringido.	Quiere la entrada y salida pública desde el centro de conectividad.

¹ Puede usar reglas de salida con el modo permitir solo las salidas aprobadas para lograr el mismo resultado que permitir la salida a Internet. Las diferencias son:

Use siempre puntos de conexión privados para acceder a los recursos de Azure.
Debe agregar reglas para cada conexión saliente que necesite permitir.
Agregar reglas de salida de nombre de dominio completo (FQDN) aumenta los costos porque este tipo de regla usa Azure Firewall. Si usa reglas de salida de FQDN, los cargos por Azure Firewall se incluyen en la facturación. Para obtener más información, consulte el apartado Precios.
Las reglas predeterminadas para permitir solo la salida aprobada están diseñadas para minimizar el riesgo de filtración de datos. Las reglas de salida que agregue pueden aumentar el riesgo.

La red virtual gestionada está preconfigurada con las reglas predeterminadas necesarias. El centro también configura las conexiones de punto de conexión privado al centro, la cuenta de almacenamiento predeterminada del centro, el registro de contenedor y el almacén de claves cuando esos recursos se establecen en privados o cuando el modo de aislamiento está establecido para permitir solo la salida aprobada. Después de elegir un modo de aislamiento, agregue cualquier otra regla de salida que necesite.

El siguiente diagrama muestra una red virtual administrada configurada para permitir la salida de Internet:

El siguiente diagrama muestra una red virtual administrada configurada para permitir solo salidas aprobadas:

Nota:

En esta configuración, el almacenamiento, el almacén de claves y el registro de contenedor que usa el centro se establecen en privado. Dado que son privados, el centro usa puntos de conexión privados para llegar a ellos.

Nota:

Para acceder a una cuenta de almacenamiento privada desde un centro público de Foundry, use Foundry desde la red virtual de la cuenta de almacenamiento. El acceso a Foundry desde dentro de la red virtual garantiza que puede realizar acciones como cargar archivos en la cuenta de almacenamiento privada. La cuenta de almacenamiento privada es independiente de la configuración de red del centro de Foundry. Consulte Configuración de redes virtuales y firewalls de Azure Storage.

Lista de reglas necesarias

Sugerencia

Estas reglas se agregan automáticamente a la red virtual administrada (VNet).

Puntos de conexión privados:

Al establecer el modo de aislamiento de la red virtual administrada en Allow internet outbound, Foundry crea automáticamente las reglas de salida necesarias para el punto de conexión privado desde la red virtual administrada para el concentrador y los recursos asociados, con el acceso a la red pública deshabilitado (Azure Key Vault, cuenta de almacenamiento, Azure Container Registry y concentrador).
Al establecer el modo de aislamiento para la red virtual administrada en Allow only approved outbound, Foundry crea automáticamente las reglas de salida necesarias para los puntos de conexión privados desde la red virtual administrada hacia el hub y los recursos asociados, independientemente de la configuración de acceso a la red pública para esos recursos (Azure Key Vault, cuenta de almacenamiento, Azure Container Registry y hub).

Foundry requiere un conjunto de etiquetas de servicio para redes privadas. No reemplace las etiquetas de servicio necesarias. En la tabla siguiente se describen cada etiqueta de servicio necesaria y su propósito en Foundry.

Regla de etiquetas de servicio	De entrada o de salida	Propósito
`AzureMachineLearning`	Entrante	Cree, actualice y elimine instancias y clústeres de proceso de Foundry.
`AzureMachineLearning`	Outbound	Usar los servicios de Azure Machine Learning. IntelliSense de Python en cuadernos usa el puerto 18881. La creación, actualización y eliminación de una instancia de proceso de Azure Machine Learning usa el puerto 5831.
`AzureActiveDirectory`	Outbound	Autenticación mediante Microsoft Entra ID.
`BatchNodeManagement.region`	Outbound	Comunicación con el back-end de Azure Batch para instancias y clústeres de proceso de Foundry.
`AzureResourceManager`	Outbound	Cree recursos de Azure mediante Foundry, la CLI de Azure y el SDK de Microsoft Foundry.
`AzureFrontDoor.FirstParty`	Outbound	Acceder a las imágenes de Docker proporcionadas por Microsoft.
`MicrosoftContainerRegistry`	Outbound	Acceder a las imágenes de Docker proporcionadas por Microsoft. Configure el enrutador Foundry para Azure Kubernetes Service.
`AzureMonitor`	Outbound	Envíe registros y métricas a Azure Monitor. Solo es necesario si no ha protegido Azure Monitor para el área de trabajo. Esta regla de salida también registra información sobre incidentes de soporte técnico.
`VirtualNetwork`	Outbound	Obligatorio cuando los puntos de conexión privados están presentes en la red virtual o en las redes virtuales emparejadas.

Lista de reglas de salida específicas del escenario

Escenario: acceso a paquetes de aprendizaje automático públicos

Para instalar paquetes de Python para el entrenamiento y la implementación, agregue reglas de FQDN de salida para permitir el tráfico a los siguientes nombres de host:

Nota:

En esta lista se tratan los hosts comunes para los recursos de Python en Internet. Si necesita acceso a un repositorio de GitHub u otro host, identifique y agregue los hosts necesarios para su escenario.

Nombre de host	propósito
`anaconda.com` `*.anaconda.com`	Se usa para instalar paquetes predeterminados.
`*.anaconda.org`	Se usa para obtener datos del repositorio.
`pypi.org`	Enumera las dependencias del índice predeterminado si la configuración del usuario no la sobrescribe. Si sobrescribe el índice, permita también `*.pythonhosted.org`.
`pytorch.org` `*.pytorch.org`	Se usa en algunos ejemplos basados en PyTorch.
`*.tensorflow.org`	Usado por algunos ejemplos basados en TensorFlow.

Escenario: Usar Visual Studio Code

Visual Studio Code depende de hosts y puertos específicos para establecer una conexión remota.

Hosts

Use estos hosts para instalar paquetes de Visual Studio Code y establecer una conexión remota a las instancias de proceso del proyecto.

Nota:

Esta lista no incluye todos los hosts necesarios para todos los recursos de Visual Studio Code en Internet. Por ejemplo, si necesita acceder a un repositorio de GitHub o a otro host, debe identificar y agregar los hosts necesarios para ese escenario. Para obtener una lista completa de los nombres de host, consulte Conexiones de red en Visual Studio Code.

Nombre de host	propósito
`.vscode.dev` `.vscode-unpkg.net` `.vscode-cdn.net` `.vscodeexperiments.azureedge.net` `default.exp-tas.com`	Necesario para acceder a VS Code para web (vscode.dev).
`code.visualstudio.com`	Necesario para descargar e instalar el escritorio de VS Code. Este host no es necesario para VS Code Web.
`update.code.visualstudio.com` `*.vo.msecnd.net`	Descarga componentes de VS Code Server en la instancia de proceso durante los scripts de instalación.
`marketplace.visualstudio.com` `vscode.blob.core.windows.net` `*.gallerycdn.vsassets.io`	Necesarios para descargar e instalar extensiones de VS Code. Estos hosts habilitan la conexión remota a las instancias de computación. Para obtener más información, consulte Introducción a los proyectos de Foundry en VS Code.
`vscode.download.prss.microsoft.com`	Actúa como la red CDN de descarga de Visual Studio Code.

Puertos

Permita el tráfico de red a los puertos 8704 a 8710. Vs Code Server selecciona el primer puerto disponible en este intervalo.

Escenario: Uso de modelos de Hugging Face

Para usar los modelos de Hugging Face con el centro, agregue reglas FQDN de salida para permitir el tráfico a los hosts siguientes:

docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cdn.auth0.com
huggingface.co
cas-bridge.xethub.hf.co
cdn-lfs.huggingface.co

Escenario: Modelos vendidos directamente por Azure

Estos modelos instalan dependencias en tiempo de ejecución. Agregue reglas de FQDN de salida para permitir el tráfico a los hosts siguientes:

*.anaconda.org
*.anaconda.com
anaconda.com
pypi.org
*.pythonhosted.org
*.pytorch.org
pytorch.org

Puntos de conexión privados

Actualmente, los servicios de Azure admiten puntos de conexión privados para los siguientes servicios:

Centro de fundición
Búsqueda de Azure AI
Herramientas de fundición
Azure API Management
- Solo admite el nivel clásico sin inyección de red virtual y el nivel Estándar V2 con integración de red virtual. Para más información sobre las redes virtuales de API Management, consulte Conceptos de red virtual.
Azure Container Registry (Registro de Contenedores de Azure)
Azure Cosmos DB (todos los tipos de subrecursos)
Azure Data Factory
Base de Datos de Azure para MariaDB
Base de Datos Azure para MySQL
Servidor único de Azure Database for PostgreSQL
Servidor flexible de Azure Database for PostgreSQL
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Registros de Azure Machine Learning
Caché de Azure para Redis
Azure SQL Server
Azure Storage (todos los tipos de subrecursos)
Application Insights (mediante PrivateLinkScopes)

Al crear un punto de conexión privado, especifique el tipo de recurso y el subrecurso al que se conecta el punto de conexión. Algunos recursos tienen varios tipos y subrecursos. Para más información, consulte ¿Qué es un punto de conexión privado?

Al crear un punto de conexión privado para los recursos de dependencia del centro de conectividad, como Azure Storage, Azure Container Registry y Azure Key Vault, el recurso puede estar en otra suscripción de Azure. Sin embargo, el recurso debe estar en el mismo inquilino que el centro de conectividad.

Si selecciona uno de los recursos de Azure enumerados anteriormente como recurso de destino, el servicio crea automáticamente un punto de conexión privado para la conexión. Proporcione un identificador de destino válido para el punto de conexión privado. Para una conexión, el identificador de destino puede ser el identificador de Azure Resource Manager de un recurso primario. Incluya el identificador de destino en el destino de la conexión o en metadata.resourceid. Para más información sobre las conexiones, consulte Incorporación de una nueva conexión en el portal de Foundry.

Aprobación de puntos de conexión privados

Para establecer conexiones de punto de conexión privado en redes virtuales administradas mediante Foundry, la identidad administrada del área de trabajo (asignada por el sistema o asignada por el usuario) y la identidad de usuario que crea el punto de conexión privado debe tener permiso para aprobar las conexiones de punto de conexión privado en los recursos de destino. Anteriormente, el servicio Foundry concedió este permiso a través de asignaciones de roles automáticas. Debido a problemas de seguridad con las asignaciones automáticas de roles, a partir del 30 de abril de 2025, el servicio interrumpe esta lógica de concesión automática de permisos. Asigne el Rol Aprobador de conexión de red empresarial de Azure AI o un rol personalizado con los permisos necesarios de conexión de punto de conexión privado sobre los tipos de recursos de destino, y conceda este rol a la identidad administrada del hub de Foundry para permitir que Foundry apruebe conexiones de puntos de conexión privado a los recursos de Azure de destino.

Esta es la lista de tipos de recursos de destino de punto de conexión privado cubiertos por el rol Aprobador de conexión de red empresarial de Azure AI:

Puerta de enlace de aplicaciones Azure
Azure Monitor
Búsqueda de Azure AI
Azure Event Hubs
Azure SQL Database
Azure Storage
Área de trabajo de Azure Machine Learning
Registro de Azure Machine Learning
Fundición
Azure Key Vault
Azure Cosmos DB (la base de datos de Azure Cosmos)
Base de Datos Azure para MySQL
Base de Datos de Azure para PostgreSQL
Herramientas de fundición
Caché de Azure para Redis
Azure Container Registry (Registro de Contenedores de Azure)
Azure API Management

Para crear reglas de salida de punto de conexión privado para los tipos de recursos de destino no cubiertos por el rol Aprobador de conexiones de red de Azure AI Enterprise, como Azure Data Factory, Azure Databricks y Azure Function Apps, use un rol personalizado y con ámbito definido solo por las acciones necesarias para aprobar las conexiones de punto de conexión privado en los tipos de recursos de destino.

Para crear reglas de salida de punto de conexión privado para los recursos de área de trabajo predeterminados, la creación del área de trabajo concede los permisos necesarios a través de asignaciones de roles, por lo que no es necesario realizar ninguna acción adicional.

Seleccione una versión de Azure Firewall para permitir solo el tráfico saliente aprobado

Azure Firewall se implementa al agregar una regla de FQDN de salida en el modo permitir solo salida aprobada. Los cargos de Azure Firewall se agregan a la factura. De forma predeterminada, se crea una versión estándar de Azure Firewall. O bien, seleccione la versión Básica. Cambie la versión del firewall en cualquier momento. Para obtener información sobre qué versión se ajusta a sus necesidades, vaya a Elegir la versión correcta de Azure Firewall.

Importante

Azure Firewall no se crea hasta que se agrega una regla de FQDN de salida. Para más información sobre los precios, consulte Precios de Azure Firewall y vea los precios de la versión estándar.

Use estas pestañas para ver cómo seleccionar la versión del firewall para la red virtual administrada.

Después de seleccionar el modo Permitir solo salida aprobada, aparece una opción para seleccionar la versión (SKU) de Azure Firewall. Seleccione Standard o Básico. Haga clic en Guardar.

Para establecer la versión del firewall mediante la CLI de Azure, use un archivo YAML y especifique firewall_sku. En el ejemplo siguiente se establece la SKU del firewall en basic:

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Para establecer la versión del firewall mediante el SDK de Python, establezca la propiedad firewall_sku del objeto ManagedNetwork. En el ejemplo siguiente se establece la SKU del firewall en basic:

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

Referencias

Precios

La característica de red virtual administrada por concentrador es gratuita, pero paga por los siguientes recursos que usa la red virtual administrada:

Azure Private Link: puntos de conexión privados que protegen la comunicación entre la red virtual administrada y los recursos de Azure usan Azure Private Link. Para conocer los precios, consulte Precios de Azure Private Link.
Reglas de salida de FQDN: Azure Firewall aplica estas reglas. Si usa reglas de FQDN de salida, los cargos de Azure Firewall aparecen en la factura. La versión estándar de Azure Firewall se usa de forma predeterminada. Para seleccionar la versión básica, consulte Selección de una versión de Azure Firewall. Azure Firewall se aprovisiona por centro de conectividad.

Importante

Azure Firewall no se crea hasta que se agrega una regla de FQDN de salida. Si no usa reglas de FQDN, no se le cobrará por Azure Firewall. Para obtener los precios, consulte Precios de Azure Firewall.

Limitaciones

Foundry admite el aislamiento de red virtual administrada para los recursos de proceso. Foundry no admite la incorporación de su propia red virtual para el aislamiento de cómputo. Este escenario difiere de la red virtual de Azure necesaria para acceder a Foundry desde una red local.
Después de habilitar el aislamiento de red virtual administrada, no se puede deshabilitar.
La red virtual administrada usa un punto de conexión privado para conectarse a recursos privados. No puede usar un punto de conexión privado y un punto de conexión de servicio en el mismo recurso de Azure, como una cuenta de almacenamiento. Use puntos de conexión privados para todos los escenarios.
Al eliminar Foundry, el servicio elimina la red virtual administrada.
Con permitir solo la salida aprobada, Foundry habilita automáticamente la protección contra la filtración de datos. Si agrega otras reglas de salida, como FQDN, Microsoft no puede garantizar la protección contra la filtración de datos a esos destinos.
Las reglas de salida de FQDN aumentan el costo de la red virtual administrada porque usan Azure Firewall. Para obtener más información, consulte el apartado Precios.
Las reglas de salida de FQDN solo admiten los puertos 80 y 443.
Para deshabilitar la dirección IP pública de una instancia de proceso, agregue un punto de conexión privado a un centro.
Para una instancia de proceso en una red administrada, ejecute az ml compute connect-ssh para conectarse a través de SSH.
Si la red administrada está configurada para permitir solo la salida aprobada, no puede usar una regla de FQDN para acceder a las cuentas de Azure Storage. Use un punto de conexión privado en su lugar.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-02-28

Compartir a través de

Configuración de una red administrada para centros de Microsoft Foundry (clásico)

Prerrequisitos

Configura una red virtual gestionada para permitir tráfico de salida a Internet

Configura una red virtual gestionada para permitir solo conexiones salientes aprobadas.

Aprovisionamiento manual de una red virtual administrada

Administración de reglas de salida

Arquitectura de aislamiento de red y modos de aislamiento

Lista de reglas necesarias

Lista de reglas de salida específicas del escenario

Escenario: acceso a paquetes de aprendizaje automático públicos

Escenario: Usar Visual Studio Code

Hosts

Puertos

Escenario: Uso de modelos de Hugging Face

Escenario: Modelos vendidos directamente por Azure

Puntos de conexión privados

Aprobación de puntos de conexión privados

Seleccione una versión de Azure Firewall para permitir solo el tráfico saliente aprobado

Precios

Limitaciones

Contenido relacionado

Comentarios

Recursos adicionales