Så här konfigurerar du en privat länk för Azure AI Foundry (Foundry-projekt)

När du använder ett Azure AI Foundry-projekt kan du använda en privat länk för att skydda kommunikationen med projektet. Den här artikeln beskriver hur du upprättar en privat anslutning till projektet med hjälp av en privat länk.

Prerequisites

• Du måste ha ett befintligt virtuellt Azure-nätverk för att skapa den privata slutpunkten i.

  Important

  Vi rekommenderar inte att du använder IP-adressintervallet 172.17.0.0/16 för ditt virtuella nätverk. Det här är standardintervallet för undernät som används av Docker-bryggnätverket lokalt.

Anslut säkert till Foundry

Om du vill ansluta till Foundry som skyddas av ett virtuellt nätverk använder du någon av följande metoder:

• Azure VPN Gateway-Connect lokala nätverk till det virtuella nätverket via en privat anslutning på det offentliga Internet. Välj mellan två TYPER av VPN-gateway:

  • Punkt-till-plats: Varje klientdator använder en VPN-klient för att ansluta till det virtuella nätverket.
  • Plats-till-plats: En VPN-enhet ansluter det virtuella nätverket till ditt lokala nätverk.

• ExpressRoute-Connect lokala nätverk till Azure via en privat anslutning via en anslutningsleverantör.

• Azure Bastion–Skapa en virtuell Azure-dator (en hoppruta) i det virtuella nätverket och anslut sedan till den via Azure Bastion med RDP eller SSH från webbläsaren. Använd den virtuella datorn som utvecklingsmiljö. Eftersom den finns i det virtuella nätverket kan den komma åt arbetsytan direkt.

Skapa ett Foundry-projekt som använder en privat slutpunkt

När du skapar ett nytt projekt använder du följande steg för att skapa projektet.

1. Från Azure-portalen söker du efter Azure AI Foundry och väljer Skapa en resurs.

2. När du har konfigurerat fliken Grundläggande väljer du fliken Nätverk och sedan alternativet Inaktiverad .

3. I avsnittet Privat slutpunkt väljer du + Lägg till privat slutpunkt.

4. När du går igenom formulären för att skapa en privat slutpunkt, se till att:

   • Välj samma region som ditt virtuella nätverk i Grunderna.
   • I formuläret Virtuellt nätverk väljer du det virtuella nätverk och undernät som du vill ansluta till.

   Note

   I portalgränssnittet kan målet som du skapar den privata slutpunkten till märkas som ett "konto" eller "resurs". Välj din Azure AI Foundry-projektresurs när du uppmanas att göra det.

5. Fortsätt genom formulären för att skapa projektet. När du kommer till fliken Granska + skapa granskar du inställningarna och väljer Skapa för att skapa projektet.

Lägga till en privat slutpunkt i ett projekt

1. Välj ditt projekt i Azure-portalen.

2. Till vänster på sidan väljer du Resurshantering, Nätverk och sedan fliken Privata slutpunktsanslutningar . Välj + Privat slutpunkt.

3. När du går igenom formulären för att skapa en privat slutpunkt, se till att:

   • Välj samma region som ditt virtuella nätverk i Grunderna.
   • I formuläret Virtuellt nätverk väljer du det virtuella nätverk och undernät som du vill ansluta till.

   Note

   Portalen refererar till PE-målet som ett "konto" eller "resurs". Välj din Azure AI Foundry-projektresurs som mål.

4. När du har fyllt i formulären med andra nätverkskonfigurationer som du behöver kan du använda fliken Granska + skapa för att granska inställningarna och välja Skapa för att skapa den privata slutpunkten.

Ta bort en privat slutpunkt från ett projekt

Du kan ta bort en eller alla privata slutpunkter för ett projekt. Om du tar bort en privat slutpunkt tas projektet bort från det virtuella Azure-nätverk som slutpunkten var associerad med. Om du tar bort den privata slutpunkten kan det hindra projektet från att komma åt resurser i det virtuella nätverket eller resurser i det virtuella nätverket från att komma åt arbetsytan. Om det virtuella nätverket till exempel inte tillåter åtkomst till eller från det offentliga Internet.

Om du vill ta bort en privat slutpunkt använder du följande information:

1. Välj ditt projekt i Azure-portalen.
2. Till vänster på sidan väljer du Resurshantering, Nätverk och sedan fliken Privata slutpunktsanslutningar .
3. Välj den slutpunkt som du vill ta bort och välj sedan Ta bort.

Aktivera offentlig åtkomst

I vissa situationer kanske du vill tillåta att någon ansluter till ditt skyddade projekt via en offentlig slutpunkt i stället för via det virtuella nätverket. Eller så kanske du vill ta bort projektet från det virtuella nätverket och återaktivera offentlig åtkomst.

1. Välj ditt projekt i Azure-portalen.

2. Till vänster på sidan väljer du Resurshantering, Nätverk och sedan fliken Brandväggar och virtuella nätverk .

3. Välj Alla nätverk och välj sedan Spara.

   

Heltäckande skyddat nätverk för agenttjänsten

När du skapar en Foundry-resurs och Ett Azure AI Foundry-projekt för att skapa agenter rekommenderar vi följande nätverksarkitektur för den säkraste konfigurationen från slutpunkt till slutpunkt:

1. Ange PNA-flaggan (public network access) för var och en av dina resurser till Disabled. Om du inaktiverar åtkomst till det offentliga nätverket låser du in inkommande åtkomst från det offentliga Internet till resurserna.

   Note

   När foundry-resursernas PNA-flagga (Public Network Access) har angetts till Inaktiverad är åtgärder som att distribuera en modell möjliga för användaren från den lokala datorn. Endast dataåtgärder som att skapa en agent eller skapa en ny utvärdering är inte möjliga för användaren, såvida de inte på ett säkert sätt kommer åt sin Foundry-resurs med hjälp av en VPN, virtuell dator eller ExpressRoute från sin lokala dator.

2. Skapa en privat slutpunkt för var och en av dina Azure-resurser som krävs för en standardagent:

   • Azure Storage-konto
   • Azure AI Search-resurs
   • Cosmos DB-resurs
   • Azure AI Foundry-resurs

3. För att få åtkomst till dina resurser rekommenderar vi att du använder en virtuell Bastion-dator, ExpressRoute eller VPN-anslutning till ditt virtuella Azure-nätverk. Med de här alternativen kan du ansluta till den isolerade nätverksmiljön.

Nätverksinmatning för Agent Service

Nätverkssäkra standardagenter stöder fullständig nätverksisolering och dataexfiltreringsskydd via nätverksinmatning av Agent-klienten. För att göra detta matas agentklienten in i ditt virtuella Azure-nätverk, vilket möjliggör strikt kontroll över dataflytt och förhindrar dataexfiltrering genom att hålla trafiken inom dina definierade nätverksgränser. Nätverksinmatning stöds endast för Standard Agent-distribution, inte distribution av Light Agent.

Dessutom stöds en nätverksskyddad standardagent endast via BICEP-malldistribution och inte via UX, CLI eller SDK. När Foundry-resursen och agenten har distribuerats via mallen kan du inte uppdatera det delegerade undernätet för agenttjänsten. Detta visas på Nätverksfliken för Foundry-resursen, där du kan visa och kopiera undernätet, men du kan varken uppdatera eller ta bort distributionen av undernätet. Om du vill uppdatera det delegerade undernätet måste du distribuera om den nätverkssäkra standardagentmallen.

Mer information om skyddade nätverk för agenttjänsten finns i artikeln Så här använder du ett virtuellt nätverk med Azure AI Agent Service .

DNS-konfiguration

Klienter i ett virtuellt nätverk som använder den privata slutpunkten använder samma anslutningssträng för Azure AI Foundry-resursen och projekten som klienter som ansluter till den offentliga slutpunkten. DNS-upplösning dirigerar automatiskt anslutningarna från det virtuella nätverket till Azure AI Foundry-resursen och -projekten över en privat länk.

Tillämpa DNS-ändringar för privata slutpunkter

När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för Azure AI Foundry-resursen till ett alias i en underdomän med prefixet privatelink. Som standard skapar Azure också en privat DNS-zon som motsvarar underdomänen privatelink , med DNS A-resursposterna för de privata slutpunkterna. Mer information finns i vad som är Privat DNS i Azure.

När du försöker hantera slutpunkts-URL:en utanför det virtuella nätverket med hjälp av den privata slutpunkten översätts den till den offentliga slutpunkten för Azure AI Foundry-resursen. När det löses från det virtuella nätverket som är värd för den privata slutpunkten, löses det till den privata IP-adressen för den privata slutpunkten.

Den här metoden ger åtkomst till Azure AI Foundry-resursen med samma anslutningssträng för klienter i det virtuella nätverket som är värd för de privata slutpunkterna och klienter utanför det virtuella nätverket.

Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha det fullständigt kvalificerade domännamnet (FQDN) för Resursslutpunkten för Azure AI-tjänster till ip-adressen för den privata slutpunkten. Konfigurera DNS-servern för att delegera din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket.

Bevilja åtkomst till betrodda Azure-tjänster

Du kan ge en delmängd av betrodda Azure-tjänster åtkomst till Azure OpenAI, samtidigt som du behåller nätverksregler för andra appar. Dessa betrodda tjänster använder sedan hanterad identitet för att autentisera dina Azure OpenAI-resurser. I följande tabell visas de tjänster som kan komma åt Azure OpenAI om den hanterade identiteten för dessa tjänster har rätt rolltilldelning:

Du kan bevilja nätverksåtkomst till betrodda Azure-tjänster genom att skapa ett undantag för nätverksregeln med hjälp av REST-API:et eller Azure-portalen.

Limitations

• En nätverksskyddad agent (ta med ditt eget virtuella nätverk) stöds endast via Bicep-malldistribution. Mer information om nätverksskyddad agentdistribution finns i Så här använder du ett virtuellt nätverk med Azure AI Agent Service.
• En nätverksskyddad agent som ska distribueras är bara en standardagent, inte en ljus agent.
• Det finns inget stöd för hanterade virtuella nätverk för agenttjänsten eller Azure AI Foundry-projektet.
• Utvärderingar i AI Foundry stöds för närvarande inte med inmatning av virtuella nätverk för utgående trafik.

Nästa steg

• Skapa ett Azure AI Foundry-projekt
• Läs mer om Azure AI Foundry
• Felsöka säker anslutning för ett projekt