Konfigurieren des verwalteten virtuellen Netzwerks für Microsoft Foundry-Projekte

In diesem Artikel wird erläutert, wie Sie ein verwaltetes virtuelles Netzwerk für Ihre Foundry-Ressource einrichten. Ein verwaltetes virtuelles Netzwerk optimiert und automatisiert die Netzwerkisolation für Ihre Foundry-Ressource, indem ein von Microsoft verwaltetes virtuelles Netzwerk bereitgestellt wird, das den Agents-Dienst zugrunde liegenden Compute innerhalb Ihrer Foundry-Projekte sichert. Wenn diese Option aktiviert ist, wird der ausgehende Netzwerkdatenverkehr durch diese verwaltete Netzwerkgrenze gesichert, und der ausgewählte Isolationsmodus steuert den gesamten Datenverkehr. Sie können die erforderlichen privaten Endpunkte für abhängige Azure Dienste erstellen und die erforderlichen Netzwerkregeln anwenden, sodass Sie einen sicheren Standardwert erhalten, ohne dass Sie Ihr eigenes virtuelles Netzwerk erstellen oder verwalten müssen. Dieses verwaltete Netzwerk schränkt den Zugriff ihrer Agents ein, wodurch die Datenexfiltration verhindert wird und gleichzeitig die Verbindung mit genehmigten Azure Ressourcen zugelassen werden kann.

Verwaltetes virtuelles Netzwerk unterstützt jetzt die Dienste "Prompt" und "Hosted Agent" mit der neuen Antwort-API und im neuen Foundry-Portal. Die aktuellen unterstützten Regionen für verwaltetes virtuelles Netzwerk mit dem neuen Agent-Dienst und dem neuen Foundry-Portal sind: Ost-USA, Ost-US2, Japan Ost, Frankreich Zentral, VAE Nord, Brasilien, Spanien Zentral, Deutschland West-Zentral, Italien Nord, Süd-Zentral-USA, Australien Ost, Schweden Zentral, Kanada, Südafrika Nord, West-USA, West-USA 3, Südindien und Großbritannien Süd. Weitere Unterstützung für Regionen, die in Kürze folgen sollen.

Bevor Sie fortfahren, sollten Sie die Einschränkungen des Angebots berücksichtigen und die Voraussetzungen überprüfen.

Verständnis von Isolationsmodi

Wenn Sie die verwaltete virtuelle Netzwerkisolation aktivieren, erstellen Sie ein verwaltetes virtuelles Netzwerk für das Foundry-Konto, das im Microsoft Mandanten erstellt wurde. Jeder neue Agent, den Sie in Ihren Projekten erstellen, verwendet automatisch das verwaltete virtuelle Netzwerk für ausgehenden Datenverkehr. Das verwaltete virtuelle Netzwerk kann private Endpunkte für Azure Ressourcen verwenden, die Ihre Agents verwenden, z. B. Azure Storage, Azure Cosmos DB und Azure KI-Suche.

Hinweis

Die Diagramme in diesem Artikel stellen nur logische Konnektivität dar. Verwaltete private Endpunkte in einem verwalteten virtuellen Foundry-Netzwerk erstellen keine vom Kunden sichtbaren Netzwerkschnittstellen (NICs). Im Gegensatz zu standardmäßigen privaten VNet-Endpunkten, die eine NIC mit einer privaten IP in Ihrem Subnetz erstellen, werden verwaltete private Endpunkte vollständig von Microsoft verwaltet und von den virtuellen Netzwerkressourcen des Kunden abstrahiert. Diese Endpunkte oder zugehörige NICs werden in Ihrem Abonnement nicht angezeigt.

Für ausgehenden Datenverkehr aus dem verwalteten virtuellen Netzwerk gibt es zwei verschiedene Konfigurationsmodi:

Ausgehender Modus	Beschreibung	Szenarien
Ausgehenden Internetverkehr zulassen	Ermöglicht den gesamten ausgehenden Datenverkehr zum Internet.	Uneingeschränkter ausgehender Zugriff ist akzeptabel; umfassende Konnektivität erforderlich.
Nur genehmigte ausgehende Verbindungen zulassen	Schränkt ausgehende Verwendung von Diensttags, privaten Endpunkten und optionalen FQDN-Regeln (Ports 80, 443) ein, die über Azure Firewall erzwungen werden.	Minimieren des Datenexfiltrationsrisikos; erfordert eine kuratierte Liste der Ziele.
Deaktiviert	Die verwaltete virtuelle Netzwerkisolation ist nicht aktiviert, es sei denn, es wird ein benutzerdefiniertes virtuelles Netzwerk verwendet.	Benötigen Sie öffentlichen Ausgangsverkehr oder planen Sie, Ihr eigenes virtuelles Netzwerk bereitzustellen?

Das folgende Architekturdiagramm zeigt ein verwaltetes Netzwerk im allow internet outbound Modus.

Das folgende Architekturdiagramm zeigt ein verwaltetes Netzwerk im allow only approved outbound Modus.

Nachdem Sie ein verwaltetes virtuelles Netzwerk foundry so konfiguriert haben, dass internetausgangsfähig ist, können Sie die Ressource nicht neu konfigurieren, um sie zu deaktivieren. Entsprechend können Sie nach der Konfiguration einer verwalteten virtuellen Netzwerkressource, die nur genehmigte ausgehende Ressourcen zulässt, die Ressource nicht neu konfigurieren, um ausgehendes Internet zuzulassen.

Voraussetzungen

Bevor Sie die Schritte in diesem Artikel ausführen, stellen Sie sicher, dass Sie über die folgenden Voraussetzungen verfügen:

Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Azure CLI auf Version 2.86.0 installiert. Erforderlich zum Erstellen ausgehender Regeln aus dem verwalteten Netzwerk.
Die Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search und Microsoft.ContainerService Ressourcenanbieter, die für Ihr Azure-Abonnement registriert sind. Weitere Informationen finden Sie unter Registrieren des Ressourcenanbieters.
Berechtigungen zum Bereitstellen einer verwalteten Netzwerkressource. Azure AI Account Owner im Bereich der Foundry-Ressourcen ist erforderlich, um ein Foundry-Konto und ein Projekt zu erstellen. Owner oder Role Based Access Administrator ist erforderlich, um RBAC den erforderlichen Ressourcen zuzuweisen. Azure AI User im Bereich des Projekts ist erforderlich, um Agents zu erstellen und zu bauen.
Ausreichendes Kontingent für alle Ressourcen in Ihrem Ziel Azure Region. Wenn keine Parameter übergeben werden, erstellt diese Vorlage eine Foundry-Ressource, ein Foundry-Projekt, Azure Cosmos DB für NoSQL, Azure KI-Suche und Azure Storage Konto.

Einschränkungen

Berücksichtigen Sie die folgenden Einschränkungen, bevor Sie die Verwaltete Netzwerkisolation für Ihre Foundry-Ressource aktivieren.

Sie können eine verwaltete Netzwerk-Foundry-Ressource auf drei Arten bereitstellen.
Bicep-Vorlage im Ordner 18-managed-virtual-network in foundry-samples
Terraform-Vorlage im Ordner 18-managed-virtual-network in foundry-samples
az rest und Azure CLI Befehle az cognitiveservices. Weitere Informationen zu Azure CLI Unterstützung in diesem Artikel unten.
Es gibt noch keine Unterstützung über die Benutzeroberfläche des Azure-Portals, um das verwaltete Netzwerk zu erstellen. Der Support wird in Kürze verfügbar sein.
Stellen Sie nach dem Erstellen der Foundry-Ressource sicher, dass Sie der verwalteten Identität der Foundry-Ressource die integrierte Rolle von Azure AI Enterprise Network Connection Approver (Rollen-ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) zugewiesen haben, um sicherzustellen, dass der erforderliche private Endpunkt der Foundry-Ressource erstellt und genehmigt wird.
Sie können die verwaltete virtuelle Netzwerkisolation nach der Aktivierung nicht deaktivieren. Es gibt keinen Upgradepfad vom benutzerdefinierten virtuellen Netzwerksetup zu verwaltetem virtuellen Netzwerk. Eine erneute Bereitstellung einer Foundry-Ressource ist erforderlich. Durch das Löschen der Foundry-Ressource wird das verwaltete virtuelle Netzwerk gelöscht.
Unterstützung für verwaltetes virtuelles Netzwerk befindet sich nur in den folgenden Regionen: Ost-USA, Ost-US2, Japan Ost, Frankreich Zentral, VAE Nord, Brasilien Süd, Spanien Zentral, Deutschland West-Mittel, Italien Nord, Süd-Zentral-USA, Australien, Schweden Zentral, Kanada, Südafrika Nord, West-USA, West-USA 3, Südindien und Vereinigtes Königreich Süd. Weitere Unterstützung für Regionen, die in Kürze folgen sollen.
Wenn Sie privaten Zugriff auf lokale Ressourcen für Ihre Foundry-Ressource benötigen, verwenden Sie das Anwendungsgateway , um den lokalen Zugriff zu konfigurieren. Die gleiche Konfiguration mit einem privaten Endpunkt für Application Gateway und die Einrichtung von Backend-Pools wird unterstützt. Sowohl L4- als auch L7-Datenverkehr werden jetzt mit dem Anwendungsgateway in GA unterstützt.
Wenn Sie FQDN-Ausgangsregeln erstellen, während sich das verwaltete virtuelle Netzwerk im Allow Only Approved Outbound-Modus befindet, wird eine verwaltete Azure Firewall erstellt, wodurch Kosten für die zugehörige Firewall entstehen. Weitere Informationen zu Preisen finden Sie unter "Preise". Die FQDN-ausgehende Regeln unterstützen nur die Ports 80 und 443.
Sie können ihre eigenen Azure Firewall nicht in das verwaltete virtuelle Netzwerk übertragen. Eine verwaltete Firewall wird automatisch für Ihr Foundry-Konto erstellt, wenn Sie den Modus "Nur genehmigten ausgehenden Modus zulassen" verwenden.
Sie können dieselbe verwaltete Firewall nicht für mehrere Foundry-Konten wiederverwenden. Jedes Foundry-Konto erstellt eine eigene verwaltete Firewall, wenn Sie den Modus "Nur genehmigten ausgehenden Modus zulassen" verwenden.
Wenn Sie neue Projekte in Ihrer Foundry-Ressource erstellen, die ein verwaltetes virtuelles Netzwerk aktiviert hat, müssen Sie auch den Projektfunktionshost neu erstellen, um sicherzustellen, dass das Projekt die BYO-Ressourcen und das verwaltete Netzwerk verwendet. Weitere Anweisungen finden Sie im README für die Einrichtung eines verwalteten Netzwerks im foundry-samples repository.

Bereitstellen des verwalteten virtuellen Netzwerkisolationsmodus

Führen Sie die folgenden Schritte aus, um mit der Bereitstellung einer verwalteten Foundry-Ressource für ein virtuelles Netzwerk zu beginnen.

Azure CLI
Bicep / Terraform

Schritt 1: Erstellen des AI Services-Kontos mit Netzwerkeinfügungen

Das Konto muss mit customSubDomainName, allowProjectManagement und networkInjections erstellt werden, die zum Erstellungszeitpunkt festgelegt sind. Diese Eigenschaften können nach der Erstellung des Kontos nicht hinzugefügt werden.

Wichtig

Sie müssen az rest-Befehle für die Kontoerstellung mit Netzwerkeinfügungen verwenden, da die Azure CLI das Erstellen einer Foundry-Ressource mit Netzwerkeinfügung noch nicht unterstützt.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2026-03-01" \
  --body '{
    "location": "{region}",
    "kind": "AIServices",
    "sku": { "name": "S0" },
    "identity": { "type": "SystemAssigned" },
    "properties": {
      "allowProjectManagement": true,
      "customSubDomainName": "{account-name}",
      "networkInjections": [
        {
          "scenario": "agent",
          "subnetArmId": "",
          "useMicrosoftManagedNetwork": true
        }
      ],
      "disableLocalAuth": false
    }
  }' \
  --headers "Content-Type=application/json"

Warten Sie, bis provisioningStateSucceeded erreicht, bevor Sie fortfahren.

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2026-03-01" \
  --query "properties.provisioningState" -o tsv

Schritt 2: Abrufen der verwalteten ID des Prinzipals

Abrufen der vom System zugewiesenen verwalteten Identitätsprinzipal-ID aus dem Konto:

az cognitiveservices account show \
  --resource-group {resource-group} \
  --name {account-name} \
  --query identity.principalId -o tsv

Schritt 3: Zuweisen der Rolle "Netzwerkverbindungsfreigebende"

Weisen Sie der verwalteten Identität des Foundry-Kontos die Rolle Azure AI Enterprise Network Connection Approver (Rollen-ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) zu. Dadurch können private verwaltete Netzwerkendpunkte automatisch genehmigt werden.

az role assignment create \
  --assignee-object-id {principal-id} \
  --assignee-principal-type ServicePrincipal \
  --role "b556d68e-0be0-4f35-a333-ad7ee1ce17ea" \
  --scope /subscriptions/{subscription-id}/resourceGroups/{resource-group}

Hinweis

Wenn sich Ihre Zielressourcen (Storage, Cosmos DB, AI Search) in einer anderen Ressourcengruppe befinden, legen Sie die Rollenzuweisung für diese Ressourcengruppe oder für das Abonnement fest.

Schritt 4: Erstellen des verwalteten Netzwerks

Erstellen Sie die untergeordnete Ressource für das verwaltete Netzwerk für das Konto. Dadurch wird der Netzwerkisolationsmodus eingerichtet und die Netzwerkinfrastruktur festgelegt.

So erstellen Sie ein verwaltetes Netzwerk mit "Internetausgang zulassen":

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_internet_outbound

So erstellen Sie ein verwaltetes Netzwerk mit "Nur genehmigte ausgehende Verbindungen zulassen":

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_only_approved_outbound \
  --firewall-sku Standard

Sie können entweder die Bicep- oder Terraform-Vorlagen im foundry-samples-Repository bereitstellen:

Bicep: 18-managed-virtual-network
Terraform: 18-managed-virtual-network

Für Bicep:

Klonen oder Herunterladen des foundry-samples Repositorys.
Öffnen Sie die managed-network.bicep Vorlage im Ordner modules-network-secured.
Legen Sie den Isolationsmodusparameter IsolationMode abhängig vom ausgewählten Isolationsmodus fest: AllowInternetOutbound oder AllowOnlyApprovedOutbound.
Wählen Sie in der datei README.md die Schaltfläche Deploy to Azure aus. Diese Aktion öffnet die Vorlage im Azure Portal für eine schnelle Bereitstellung.
Schließen Sie alle Ihre Parameter vor der Bereitstellung ab, z. B. Region, Ressourcengruppe, virtueller Netzwerkname und andere. Wenn Sie Ihre eigene Cosmos DB, Storage oder Search mitbringen, stellen Sie sicher, dass auch die Ressourcen-IDs enthalten sind.
Stellen Sie schließlich die Vorlage bereit. Die Vorlagenbereitstellung sollte ungefähr 30 Minuten dauern.

Für Terraform:

Klonen oder Herunterladen des foundry-samples Repositorys.
Navigieren Sie zum infrastructure/infrastructure-setup-terraform/18-managed-virtual-network Ordner.
Konfigurieren Sie die erforderlichen Variablen für Ihre Umgebung (Region, Ressourcengruppe, Isolationsmodus und vorhandene Ressourcen-IDs).
Führen Sie terraform init, terraform plan und terraform apply aus, um sie bereitzustellen.

Weitere Informationen zu den Parametern, die für die Bereitstellung verwalteter virtueller Netzwerke erforderlich sind, finden Sie unter Microsoft. CognitiveServices/accounts/managedNetworks.

Überprüfen der Bereitstellung verwalteter virtueller Netzwerke

Überprüfen Sie nach Abschluss der Bereitstellung, ob das verwaltete virtuelle Netzwerk ordnungsgemäß konfiguriert ist.

Azure CLI
az-rest

Vergewissern Sie sich, dass die Foundry-Ressource vorhanden ist und das verwaltete Netzwerk aktiviert ist:
```
az cognitiveservices account managed-network show \
  --resource-group {resource-group} \
  --name {account-name}
```
Die Antwort sollte den isolationMode als auf den ausgewählten Modus (AllowInternetOutbound oder AllowOnlyApprovedOutbound) festgelegt anzeigen.

Alle ausgehenden Regeln und deren Status auflisten:

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Zeigen Sie eine bestimmte ausgehende Regel an:

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Testen Sie die Agent-Konnektivität, indem Sie einen einfachen Agent in Ihrem Foundry-Projekt erstellen und ausführen. Wenn der Agent erfolgreich abgeschlossen wird, funktioniert das verwaltete Netzwerk ordnungsgemäß.

Vergewissern Sie sich, dass die Foundry-Ressource vorhanden ist und das verwaltete Netzwerk aktiviert ist:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2026-03-01" \
  --query "properties.managedNetwork"

Die Antwort sollte den isolationMode als auf den ausgewählten Modus (AllowInternetOutbound oder AllowOnlyApprovedOutbound) festgelegt anzeigen.

Listet die verwalteten privaten Endpunkte auf, um zu bestätigen, dass sie erstellt wurden:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2026-03-01" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

Testen Sie die Agent-Konnektivität, indem Sie einen einfachen Agent in Ihrem Foundry-Projekt erstellen und ausführen. Wenn der Agent erfolgreich abgeschlossen wird, funktioniert das verwaltete Netzwerk ordnungsgemäß.

Ausgehende Regeln verwalten

Nach der Bereitstellung können Sie ausgehende Regeln hinzufügen, aktualisieren, auflisten und entfernen, um zu steuern, welche Ziele Ihr verwaltetes Netzwerk erreichen kann. Die folgenden ausgehenden Regeltypen werden unterstützt:

Typ	Beschreibung	Beispielziel
`fqdn`	Ermöglicht ausgehenden Datenverkehr zu einem vollqualifizierten Domänennamen.	`"*.openai.azure.com"`
`privateendpoint`	Ermöglicht den ausgehenden Datenverkehr durch eine private Endpunktregel.	JSON für die Konfiguration privater Endpunkte
`servicetag`	Ermöglicht ausgehenden Datenverkehr zu einem Azure-Dienst-Tag, Protokoll und Portbereich.	`'{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'`

Azure CLI
az-rest

Erstellen oder Aktualisieren einer ausgehenden FQDN-Regel

Verwenden Sie eine FQDN-Regel, um Datenverkehr zu einem Domänennamen oder einer Wildcarddomäne zuzulassen.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type fqdn \
  --destination "*.openai.azure.com"

Erstellen oder Aktualisieren einer ausgehenden Regel für Dienst-Tags

Verwenden Sie eine Diensttagregel, um Datenverkehr zu einem Azure Diensttag über ein bestimmtes Protokoll und einen bestimmten Portbereich zuzulassen.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type servicetag \
  --destination '{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'

Erstellen oder Aktualisieren einer ausgehenden privaten Endpunktregel

Verwenden Sie eine private Endpunktregel, um Datenverkehr über einen privaten Endpunkt zu einer Azure Ressource zuzulassen.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type privateendpoint \
  --destination '{"serviceResourceId":"/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Storage/storageAccounts/{storage-name}","subresourceTarget":"blob"}'

Allgemeine Unterressourcenziele umfassen blob für Azure Storage, searchService für Azure KI-Suche, Sql für Azure Cosmos DB und vault für Azure Key Vault.

Ausgehende Regeln auflisten

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Anzeigen einer ausgehenden Regel

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Bulk-Erstellung oder Aktualisierung von ausgehenden Regeln

Verwenden Sie bulk-set, um mehrere ausgehende Regeln aus einer YAML- oder JSON-Datei zu erstellen oder zu aktualisieren.

az cognitiveservices account managed-network outbound-rule bulk-set \
  --resource-group {resource-group} \
  --name {account-name} \
  --file rules.yaml

Entfernen einer ausgehenden Regel

az cognitiveservices account managed-network outbound-rule remove \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Verwenden Sie den Befehl, um ausgehende Regeln mithilfe der az rest ARM-REST-API zu aktualisieren. Im folgenden Beispiel wird eine ausgehende Regel eines privaten Endpunkts für eine Ressource in Azure Cosmos DB erstellt:

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2026-03-01" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

Ersetzen Sie die Platzhalter durch Werte für Ihre Umgebung. Ändern Sie für andere Ressourcentypen die Werte von serviceResourceId und subresourceTarget entsprechend. Allgemeine Unterressourcenziele umfassen blob für Azure Storage, searchService für Azure KI-Suche und vault für Azure Key Vault.

Weitere Informationen finden Sie in der Datei Ausgangsregeln CLI im Repository foundry-samples.

Weitere Informationen zu den Parametern, die für ausgehende Regeln für verwaltetes virtuelles Netzwerk erforderlich sind, finden Sie unter Microsoft. CognitiveServices/accounts/managedNetworks/outboundRules.

Azure Firewall Version auswählen

Für das verwaltete virtuelle Netzwerk wird automatisch eine Azure Firewall bereitgestellt, wenn Sie eine ausgehende FQDN-Regel im Nur genehmigte ausgehende Verbindungen zulassen Modus hinzufügen.

Die Standard-SKU der Firewall ist „Standard“. Sie können stattdessen die Standard-SKU für reduzierte Kosten auswählen, wenn keine erweiterten Features erforderlich sind. Weitere Informationen zu Preisen finden Sie unter "Preise". Nachdem Sie eine Firewall-SKU bei der Bereitstellung ausgewählt haben, können Sie sie nach der Bereitstellung nicht mehr ändern. Da es sich um eine verwaltete Firewall handelt, befindet sich die Firewall nicht in Ihrem Mandantenkonto oder unter Ihrer Kontrolle. Die einzige Einstellung, die Sie steuern können, ist die Firewall-SKU.

Private Endpunkte

Wenn Sie ein verwaltetes virtuelles Netzwerk aktivieren, können Sie verwaltete private Endpunkte erstellen, damit Agents sicher erforderliche Azure Ressourcen erreichen können, ohne das öffentliche Internet zu verwenden. Diese privaten Endpunkte stellen eine isolierte, private IP-basierte Verbindung vom verwalteten Netzwerk zu Diensten wie Speicher, KI-Suche und anderen Abhängigkeiten bereit, die in Ihren Foundry-Projekten verwendet werden. Im Gegensatz zu vom Kunden verwalteten virtuellen Netzwerken machen verwaltete private Endpunkte in Foundry keine Netzwerkschnittstelle oder Subnetzkonfiguration für den Kunden verfügbar. Die private IP-basierte Konnektivität wird vollständig von Microsoft verwaltet und wird nicht als NIC im Abonnement des Kunden dargestellt.

Die folgenden Ressourcen unterstützen private Endpunkte aus dem verwalteten Netzwerk. Sie müssen die CLI verwenden, um private Endpunkte zu erstellen.

Microsoft Foundry (AI Services)
Azure Application Gateway (stellt mithilfe von L4- oder L7-Datenverkehr eine Verbindung mit Ihren lokalen Ressourcen bereit)
Azure API Management (unterstützt nur die klassische Ebene ohne VNet-Einfügung und die Standard V2-Ebene mit virtueller Netzwerkintegration)
Azure KI-Suche
Azure Container Registry
Azure Cosmos DB
Azure Data Factory
Azure Database for MariaDB
Azure Database for MySQL
Azure Database for PostgreSQL Single Server
Azure Database für PostgreSQL Flexible Server
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Cache for Redis
Azure SQL Server
Azure Storage
Azure-Anwendung Insights (über Azure Monitor Private Link Scope)

Wenn Sie einen verwalteten privaten Endpunkt aus dem vom Foundry verwalteten virtuellen Netzwerk zu einer kundeneigenen Zielressource erstellen, muss die verwaltete Identität der Foundry-Ressource über die richtigen Berechtigungen für diese Zielressource verfügen, um private Endpunktverbindungen zu erstellen und zu genehmigen. Diese Anforderung stellt sicher, dass Foundry explizit autorisiert ist, eine sichere, private Verknüpfung mit der Ressource herzustellen.

Um diese Anforderung zu vereinfachen, weisen Sie die Rolle Azure AI Enterprise Network Connection Approver (Rollen-ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) der verwalteten Identität des Foundry-Kontos zu. Diese Rolle enthält die erforderlichen Berechtigungen für die am häufigsten verwendeten Azure-Dienste und bietet in der Regel ausreichenden Zugriff für Foundry zum Erstellen und Genehmigen privater Endpunkte in Ihrem Auftrag. Nachdem Sie die Verbindung genehmigt haben, verwaltet Foundry den privaten Endpunkt vollständig und erfordert keine zusätzliche Kundenkonfiguration.

Notwendige ausgehende Regeln

Im "Nur genehmigte ausgehende Verbindungen zulassen"-Modus des verwalteten virtuellen Netzwerks werden einige notwendige ausgehende Regeln für Features wie den Agent-Dienst erstellt. sie enthält Folgendes:

Privater Endpunkt für Ihre Cosmos DB-Ressource
Privater Endpunkt für Ihr Speicherkonto
Privater Endpunkt für Ihre KI-Suchressource
ServiceTag zu AzureActiveDirectory
ServiceTag zu AzureMachineLearning (für den Evaluierungskatalog)

Ausgehende Regeln pro Szenario

Wenn Sie Foundry mit verwaltetem virtuellen Netzwerk im Modus "Nur genehmigte ausgehende Verbindungen zulassen" implementieren, müssen Sie möglicherweise die folgenden ausgehenden FQDN-Regeln hinzufügen, um sicherzustellen, dass der ausgehende Datenverkehr zulässig ist. Nachfolgend finden Sie die Liste der vertrauenswürdigen vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs), zum Erstellen ausgehender Regeln für das jeweilige Szenario oder die jeweilige Funktion in Foundry.

Szenario	FQDNs	Beschreibung
Agenten	`.identity.azure.net`, `login.microsoftonline.com`, `.login.microsoftonline.com`, `*.login.microsoft.com` oder `mcr.microsoft.com` AAD Service Tag	Erforderlich für die Delegierung der Azure Container App für den Agentendienst. Enthält Microsoft Container Registry für das Pullen von Container Images.
Evaluierungen & Traces mit einer Application Insights Ressource	`settings.sdk.monitor.azure.com`, `.livediagnostics.monitor.azure.com.in.applicationinsights.azure.com`	Wird für den Auswertungskatalog und zum Senden von Ergebnissen an die verknüpfte Application Insights-Ressource verwendet.
Feinabstimmung	`raw.githubusercontent.com`	Wird zum Optimieren verwendet, wenn ein Benutzer ein kuratiertes Beispiel-Dataset im Foundry-Portal auswählt.

Preise

Das Feature für verwaltetes virtuelles Netzwerk von Foundry ist kostenlos. Für die folgenden Ressourcen, die das verwaltete virtuelle Netzwerk verwendet, werden Sie jedoch in Rechnung gestellt:

Azure Private Link – Die Lösung basiert auf Azure Private Link für private Endpunkte, die die Kommunikation zwischen dem verwalteten virtuellen Netzwerk und Azure Ressourcen sichern. Weitere Informationen zum Preis finden Sie unter Azure Private Link Pricing.
FQDN-Ausgehende Regeln – Sie implementieren ausgehende FQDN-Regeln mithilfe von Azure Firewall. Wenn Sie ausgehende FQDN-Regeln verwenden, fügen Sie Ihrer Abrechnung Gebühren für Azure Firewall hinzu. Standardmäßig wird eine Standardversion von Azure Firewall verwendet. Sie können die Standardversion auswählen. Die Firewall wird erst erstellt, wenn Sie eine ausgehende FQDN-Regel hinzufügen.

Weitere Informationen zu Azure Preisen finden Sie unter Private Link Pricing und Azure Firewall Pricing.

Vergleichen des verwalteten und benutzerdefinierten BYO-Netzwerks

Wählen Sie den richtigen ausgehenden Netzwerkisolationsmodus für Sie aus, je nach Ihren Netzwerkanforderungen und Einschränkungen in Ihrem Unternehmen.

Aspekt	Verwaltetes Netzwerk	Benutzerdefiniertes (BYO)-Netzwerk
Vorteile	Microsoft behandelt Subnetzbereich, IP-Auswahl, Delegierung.	Vollzugriff: Benutzerdefinierte Firewall mitbringen, benutzerdefinierte Routen festlegen, Netzwerk-Peering, Subnetz delegieren.
Einschränkungen	Sie können Ihre eigene Firewall nicht verwenden, um nur genehmigten ausgehenden Datenverkehr zuzulassen. Erfordert ein Anwendungsgateway für sicheren Datenverkehr vor Ort (L7- und L4-Unterstützung durch das Anwendungsgateway). Es wird noch keine Protokollierung des ausgehenden Datenverkehrs unterstützt.	Komplexeres Setup, z. B. Subnetzdelegierung zu Azure Container Apps. Erfordert die korrekte CapHost-Erstellung. Erfordert private IP-Adressbereiche der Klassen A, B und C; öffentliche oder CGNAT-IP-Adressbereiche sind nicht zulässig. Erfordert mindestens ein /27-Subnetz für die Agentdelegierung.

Weitere Informationen zur Einrichtung der virtuellen Netzwerkeinbindung für Agents und die Einschränkungen finden Sie unter Konfigurieren eines benutzerdefinierten virtuellen Netzwerks für Agents.

Bereinigen von Ressourcen

Löschen Sie die Foundry-Ressource im verwalteten virtuellen Netzwerk, um diese zu bereinigen. Diese Aktion löscht auch das verwaltete virtuelle Netzwerk.

Problembehandlung

Fehler beim Erstellen von CapHost
- Löschen Sie die fehlerhafte CapHost-Ressource, und stellen Sie die Vorlage erneut bereit.
FQDN-Regel wird nicht erzwungen
- Vergewissern Sie sich, dass die Firewall-SKU bereitgestellt wird, und überprüfen Sie, ob die Ports auf 80 oder 443 beschränkt sind.
Private-Endpunkt-Konflikte
- Entfernen Sie alle Konfigurationen des Dienstendpunkts, und verwenden Sie nur privaten Endpunkt.

Konfigurieren eines benutzerdefinierten virtuellen Netzwerks für Agents
Netzwerkisolation für Microsoft Foundry konfigurieren

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-12