如何为 Azure AI Foundry 中心设置托管网络

• 一份 Azure 订阅。 如果没有 Azure 订阅，请在开始操作前先创建一个免费帐户。

• 为你的 Azure 订阅注册 Microsoft.Network 资源提供程序。 中心使用此提供程序为托管虚拟网络创建专用终结点。

  有关注册资源提供程序的信息，请参阅解决资源提供程序注册错误。

• 使用具有以下 Azure 基于角色的访问控制 (Azure RBAC) 操作的 Azure 标识来为托管虚拟网络创建专用终结点：

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• 一份 Azure 订阅。 如果没有 Azure 订阅，请在开始操作前先创建一个免费帐户。

• 必须为 Azure 订阅注册 Microsoft.Network 资源提供程序。 为托管虚拟网络创建专用终结点时，中心会使用此资源提供程序。

  有关注册资源提供程序的信息，请参阅解决资源提供程序注册错误。

• 使用具有以下 Azure 基于角色的访问控制 (Azure RBAC) 操作的 Azure 标识来为托管虚拟网络创建专用终结点：

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• 安装 Azure CLI 以及 Azure CLI 的 ml 扩展。 有关详细信息，请参阅安装、设置和使用 CLI (v2)。

• 本文中的 CLI 示例假定你使用的是与 Bash 兼容的 Shell。 例如，使用 Linux 系统或适用于 Linux 的 Windows 子系统。

• 本文中的 Azure CLI 示例使用 ws 作为中心名称，使用 rg 作为资源组名称。 在 Azure 订阅中运行命令时，根据需要更改这些值。

• 一份 Azure 订阅。 如果没有 Azure 订阅，请在开始操作前先创建一个免费帐户。 试用 免费或付费版本。

• 必须为 Azure 订阅注册 Microsoft.Network 资源提供程序。 为托管虚拟网络创建专用终结点时，中心会使用此资源提供程序。

  有关注册资源提供程序的信息，请参阅解决资源提供程序注册错误。

• 部署托管网络时使用的 Azure 标识需要下列 Azure 基于角色的访问控制 (Azure RBAC)操作来创建专用终结点：

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure 机器学习 Python SDK v2。 有关 SDK 的详细信息，请参阅安装适用于 Azure 机器学习的 Python SDK v2。

• 本文中的示例假定代码以以下 Python 代码开头。 它会导入创建具有托管虚拟网络的中心所需的类，为你的 Azure 订阅和资源组设置变量，并创建 ml_client。 在以下示例中，将占位符文本 <SUBSCRIPTION_ID> 和 <RESOURCE_GROUP> 替换为你自己的值：

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

• 创建新的中心：

  1. 登录 Azure 门户，然后从“创建资源”菜单中选择“Azure AI Foundry”。

  2. 选择“+ 新建 Azure AI”。

  3. 在“基本信息”选项卡上输入所需信息。

  4. 在“网络”选项卡中，选择“Internet 出站专用”。

  5. 若要添加出站规则，请从“网络”选项卡中选择“添加用户定义的出站规则”。从“出站规则”边栏，输入以下信息：

     • 规则名称：规则的名称。 该名称对于此中心来说必须是唯一的。
     • 目标类型：当网络隔离为“专用（带 Internet 出站）”时，唯一选项是“专用终结点”。 中心管理的虚拟网络不支持为所有 Azure 资源类型创建专用终结点。 请参阅 专用终结点 部分查看受支持资源的列表。
     • 订阅：包含要为其添加专用终结点的 Azure 资源的订阅。
     • 资源组：包含要为其添加专用终结点的 Azure 资源的资源组。
     • 资源类型：Azure 资源的类型。
     • 资源名称：Azure 资源的名称。
     • 子资源：Azure 资源类型的子资源。

     选择“保存”。 若要添加更多规则，请选择“添加用户定义的出站规则”。

  6. 继续创建中心。

• 更新现有中心：

  1. 登录到 Azure 门户，然后选择要启用托管虚拟网络隔离的中心。

  2. 选择“网络”>“专用（带 Internet 出站）”。

     • 若要添加出站规则，请从“网络”选项卡中选择“添加用户定义的出站规则”。在“出站规则”边栏中，提供在“创建新的中心”部分中创建中心时使用的相同信息。

     • 若要 删除 出站规则，请为该规则选择“删除”。

  3. 选择页面顶部的“保存”，将更改应用到托管虚拟网络。

若要配置允许 Internet 出站的托管虚拟网络，请使用 --managed-network allow_internet_outbound 参数或包含以下条目的 YAML 配置文件：

managed_network:
  isolation_mode: allow_internet_outbound

为中心所依赖的其他 Azure 服务定义出站规则。 这些规则定义允许 Azure 资源与托管虚拟网络进行安全通信的专用终结点。 以下规则展示了如何向 Azure Blob 存储帐户添加专用终结点。 在以下示例中，将占位符文本 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 替换为你自己的值。

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

使用 az ml workspace create 或 az ml workspace update 命令配置托管虚拟网络：

• 创建新的中心：

  以下示例将创建新中心。 --managed-network allow_internet_outbound 参数为中心配置托管虚拟网络：

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  若要改为使用 YAML 文件创建中心，请使用 --file 参数并指定包含配置设置的 YAML 文件：

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  以下 YAML 示例定义具有托管虚拟网络的中心：

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• 更新现有中心：

  警告

  在更新现有工作区以使用托管虚拟网络之前，必须删除工作区的所有计算资源。 这包括计算实例、计算群集和托管联机终结点。

  以下示例更新现有中心。 --managed-network allow_internet_outbound 参数为中心配置托管虚拟网络：

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  若要使用 YAML 文件更新现有中心，请使用 --file 参数并指定包含配置设置的 YAML 文件：

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  以下 YAML 示例为中心定义托管虚拟网络。 它还展示了如何向中心使用的资源添加专用终结点连接。 在此示例中，它会为 Azure Blob 存储帐户添加专用终结点。 在以下示例中，将占位符文本 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 替换为你自己的值：

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

若要配置允许 Internet 出站的托管虚拟网络，请使用带有 IsolationMode.ALLOW_INTERNET_OUTBOUND的 ManagedNetwork 类。 然后，使用 ManagedNetwork 对象创建新中心或更新现有中心。 若要定义中心所依赖的 Azure 服务的出站规则，请使用 PrivateEndpointDestination 类定义服务的新专用终结点。

• 创建新的中心：

  以下示例创建一个名为 myhub 的新中心，其中包含一个名为 myrule 的出站规则，该规则为 Azure Blob 存储帐户添加专用终结点。 在以下示例中，将占位符文本 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 替换为你自己的值：

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint to Azure Blob Storage
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
      # Add the outbound rulerule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• 更新现有中心：

  以下示例演示如何为名为 myhub 的现有中心创建托管虚拟网络：

  # Get the existing hub
      ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get(name="myhub")
  
      # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

• 创建新的中心：

  1. 登录到 Azure 门户，然后从“创建资源”菜单中选择“Azure AI Foundry”。

  2. 选择“+ 新建 Azure AI”。

  3. 在“基本信息”选项卡中，提供必填的信息。

  4. 在“网络”选项卡中，选择“已批准出站专用”。

  5. 若要添加出站规则，请从“网络”选项卡中选择“添加用户定义的出站规则”。从“出站规则”边栏，提供以下信息：

     • 规则名称：规则的名称。 该名称对于此中心来说必须是唯一的。
     • 目标类型：专用终结点、服务标记或 FQDN。 服务标记和 FQDN 仅在网络隔离为专用且出站已批准时可用。

     如果目标类型为“专用终结点”，请输入以下信息：

     • 订阅：包含要为其添加专用终结点的 Azure 资源的订阅。
     • 资源组：包含要为其添加专用终结点的 Azure 资源的资源组。
     • 资源类型：Azure 资源的类型。
     • 资源名称：Azure 资源的名称。
  • 子资源：Azure 资源类型的子资源。

  小窍门

  中心的托管 VNet 不支持为所有 Azure 资源类型创建专用终结点。 请参阅 专用终结点 部分查看受支持资源的列表。

  如果目标类型为“服务标记”，请输入以下信息：

  • 服务标记：要添加到已批准的出站规则的服务标记。
  • 协议：允许服务标记的协议。
  • 端口范围：服务标记允许的端口范围。

  如果目标类型为“FQDN”，请输入以下信息：

  • FQDN 目标：要添加到已批准的出站规则的完全限定的域名。

    选择“保存”以保存规则。 若要添加更多规则，请再次选择“添加用户定义的出站规则”。

  1. 继续像往常一样创建中心。

• 更新现有中心：

  1. 登录到 Azure 门户，然后选择要为其启用托管虚拟网络隔离的中心。

  2. 选择“网络”>“专用（带经批准的出站）”。

     • 若要添加出站规则，请从“网络”选项卡中选择“添加用户定义的出站规则”。在“出站规则”边栏中，输入在前面的“创建新的中心”部分中创建中心时使用的相同信息。

     • 若要 删除 出站规则，请为该规则选择“删除”。

  3. 选择页面顶部的“保存”，将更改保存到托管虚拟网络。

若要配置仅允许已批准的出站通信的托管虚拟网络，使用 --managed-network allow_only_approved_outbound 参数或包含以下条目的 YAML 配置文件：

managed_network:
  isolation_mode: allow_only_approved_outbound

你还可以为经批准的出站通信定义出站规则。 创建类型为 service_tag、fqdn 或 private_endpoint 的出站规则。 以下示例向 Azure Blob 资源添加专用终结点、向 Azure 数据工厂添加服务标记以及向 pypi.org 添加 FQDN。 在以下示例中，将占位符文本 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 替换为你的值。

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

可以使用 az ml workspace create 或 az ml workspace update 命令配置托管虚拟网络：

• 创建新的中心：

  以下示例使用 --managed-network allow_only_approved_outbound 参数配置托管虚拟网络：

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  以下 YAML 文件定义具有托管虚拟网络的中心：

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  若要使用 YAML 文件创建中心，请使用 --file 参数：

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• 更新现有中心

  警告

  在更新现有工作区以使用托管虚拟网络之前，必须删除工作区的所有计算资源。 这包括计算实例、计算群集和托管联机终结点。

  以下示例使用 --managed-network allow_only_approved_outbound 参数为现有中心配置托管虚拟网络：

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  以下 YAML 文件定义了中心的托管虚拟网络，并展示了如何添加经批准的出站规则。 在此示例中，为服务标记、FQDN 和专用终结点添加了出站规则：

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

若要配置仅允许已批准的出站通信的托管虚拟网络，请使用 ManagedNetwork 类定义具有 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND 的网络。 然后，可以使用 ManagedNetwork 对象创建新中心或更新现有中心。 若要定义 出站规则，请使用以下类：

• 创建新的中心：

  以下示例创建一个名为 myhub 的新中心，其中包含多个出站规则：

  • myrule - 为 Azure Blob 存储添加专用终结点。
  • datafactory - 添加服务标记规则以与 Azure 数据工厂通信。

  重要

  • 仅当托管 VNet 配置为 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND 时，添加服务标记或 FQDN 的出站规则才有效。
  • 如果添加出站规则，Microsoft 无法保证能防止数据外泄。

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• 更新现有中心：

  以下示例展示了如何为名为 myhub 的现有中心配置托管虚拟网络。 它还添加了多个出站规则：

  • myrule - 为 Azure Blob 存储添加专用终结点。
  • datafactory - 添加服务标记规则以与 Azure 数据工厂通信。

  小窍门

  仅当托管 VNet 配置为 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND 时，为服务标记或 FQDN 添加出站才有效。

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

在工作区创建期间，选择“在创建时主动预配托管网络”来设置托管网络。 设置虚拟网络后，将对网络资源（如专用终结点）开始计费。 此选项仅在工作区创建期间可用。

以下示例演示如何在中心创建期间预配托管虚拟网络。

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

以下示例演示如何预配托管虚拟网络。

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

若要检查预配是否已完成，请运行以下命令：

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

使用 SDK 预配托管虚拟网络，然后检查其状态。

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

1. 登录到 Azure 门户，然后选择要为其启用托管虚拟网络隔离的中心。
2. 选择“网络”。 可通过“Azure AI 出站访问”部分管理出站规则。

• 若要添加出站规则，请从“网络”选项卡中选择“添加用户定义的出站规则”。在“Azure AI 出站规则”边栏中，输入所需的值。

• 若要启用或禁用规则，请使用“活动”列中的切换按钮。

• 若要 删除 出站规则，请为该规则选择“删除”。

在以下命令中，将占位符文本 <workspace-name>、<resource-group> 和 <rule-name> 替换为你的值。 若要列出中心的托管虚拟网络出站规则，请运行：

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

若要查看托管虚拟网络出站规则的详细信息，请运行：

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

若要从托管虚拟网络中删除出站规则，请运行：

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

以下示例展示了如何为名为 myhub 的中心管理出站规则。 在示例中，将占位符文本 <some-rule-name> 替换为你的规则名称：

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

选择“仅允许已批准的出站”模式后，将显示一个用于选择 Azure 防火墙版本 (SKU) 的选项。 选择“标准”或“基本”。 选择“保存”。

若要通过 Azure CLI 设置防火墙版本，请使用 YAML 文件并指定 firewall_sku。 以下示例将防火墙 SKU 设置为 basic：

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

若要通过 Python SDK 设置防火墙版本，请设置 ManagedNetwork 对象的 firewall_sku 属性。 以下示例将防火墙 SKU 设置为 basic：

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')