Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visualización actual:
Versión - Cambio a la versión del nuevo portal de Foundry
Propina
Hay disponible una versión alternativa centrada en el centro de conectividad de este artículo: Cómo configurar un vínculo privado para un centro de Microsoft Foundry.
Al usar un proyecto foundry, puede usar un vínculo privado para proteger la comunicación con el proyecto. En este artículo se describe cómo establecer una conexión privada con el proyecto mediante un vínculo privado.
Requisitos previos
Importante
El aislamiento de red de un extremo a otro no se admite en la nueva experiencia del portal de Foundry. Use la experiencia clásica del portal de Foundry o el SDK o la CLI para acceder de forma segura a los proyectos de Foundry cuando esté habilitado el aislamiento de red. Para más información sobre las limitaciones de las redes privadas en Foundry, consulte limitaciones.
Una red virtual de Azure y una subred existentes para crear el punto de enlace privado.
Permisos de Azure para crear y aprobar las conexiones de punto de conexión privado:
- En la red virtual: Colaborador de red (o equivalente) para crear el punto de conexión privado.
- En el recurso del proyecto Foundry: Colaborador (o Propietario) para crear conexiones de punto de acceso privado. Si no tiene permisos de aprobación, la conexión del punto de conexión privado permanece en estado Pendiente hasta que el propietario del recurso la apruebe.
- Si administra zonas de DNS privadas: Colaborador de Zonas de DNS Privadas (o equivalente) para la zona de DNS privada que vincule a la red virtual.
Importante
No use el intervalo de direcciones IP 172.17.0.0/16 para la red virtual. Este intervalo es el intervalo de subred predeterminado que usa la red puente de Docker en el sitio.
Elección de un método de conexión seguro
Para conectarse a Foundry protegido por una red virtual, use uno de estos métodos:
Azure VPN Gateway: conecte redes locales a la red virtual a través de una conexión privada en la red pública de Internet. Elija entre dos tipos de puerta de enlace de VPN:
- Punto a sitio: cada equipo cliente usa un cliente VPN para conectarse a la red virtual.
- Sitio a sitio: un dispositivo VPN conecta la red virtual a la red local.
ExpressRoute: conecte redes locales a Azure a través de una conexión privada a través de un proveedor de conectividad.
Azure Bastion: cree una máquina virtual Azure (un jump box) en la red virtual y conéctese a ella a través de Azure Bastion mediante RDP o SSH desde el explorador. Use la máquina virtual como entorno de desarrollo. Dado que está en la red virtual, puede acceder directamente al área de trabajo.
Creación de un proyecto Foundry
Al crear un proyecto, siga estos pasos para crear el proyecto.
En el portal Azure, busque Foundry y seleccione Crear un recurso.
Después de configurar la pestaña Aspectos básicos , seleccione la pestaña Redes y, a continuación, la opción Deshabilitado .
En la sección Punto de conexión privado , seleccione + Agregar punto de conexión privado.
Al pasar por los formularios para crear un punto de conexión privado, asegúrese de:
- En Aspectos básicos, seleccione la misma región que la red virtual.
- En el formulario Virtual Network, seleccione la virtual network y la subred a las que desea conectarse.
Nota
En la interfaz de usuario del portal, el destino al que crea el punto de conexión privado podría etiquetarse como "cuenta" o "recurso". Seleccione el recurso del proyecto Foundry cuando se le solicite.
Continúe con los formularios para crear el proyecto. Cuando llegue a la pestaña Revisar y crear , revise la configuración y seleccione Crear para crear el proyecto.
Adición de un punto de conexión privado a un recurso
En el portal Azure, seleccione el proyecto.
En el lado izquierdo de la página, seleccione Administración de recursos, Redes y, a continuación, seleccione la pestaña Conexiones de puntos de conexión privados. Seleccione + Punto de conexión privado.
Al pasar por los formularios para crear un punto de conexión privado, asegúrese de:
- En Aspectos básicos, seleccione la misma región que la red virtual.
- En el formulario Virtual Network, seleccione la virtual network y la subred a las que desea conectarse.
Después de rellenar los formularios con cualquier otra configuración de red que necesite, use la pestaña Revisar y crear para revisar la configuración y seleccione Crear para crear el punto de conexión privado.
Eliminación de un punto de conexión privado de un proyecto
Puede quitar uno o todos los puntos de conexión privados de un proyecto. Al quitar un punto de conexión privado, se quita el proyecto de la Azure Virtual Network a la que estaba asociado el punto de conexión. Quitar el punto de conexión privado podría impedir que el proyecto acceda a los recursos de esa red virtual o a los recursos de la red virtual para acceder al área de trabajo. Por ejemplo, si la red virtual no permite el acceso a o desde la red pública de Internet.
Advertencia
Quitar los puntos de conexión privados de un proyecto no hace que sea accesible públicamente. Para que el proyecto sea accesible públicamente, siga los pasos descritos en la sección Habilitar acceso público .
Para quitar un punto de conexión privado, use la siguiente información:
- En el portal Azure, seleccione el proyecto.
- En el lado izquierdo de la página, seleccione Administración de recursos, Redes y, a continuación, seleccione la pestaña Conexiones de puntos de conexión privados.
- Seleccione el punto de conexión que desea quitar y, a continuación, seleccione Quitar.
Habilitación del acceso público
En algunas situaciones, es posible que quiera permitir que alguien se conecte al proyecto protegido a través de un punto de conexión público, en lugar de a través de la red virtual. O bien, es posible que quiera quitar el proyecto de la red virtual y volver a habilitar el acceso público.
Importante
La habilitación del acceso público no quita ningún punto de conexión privado que exista. Todas las comunicaciones entre los componentes detrás de la red virtual a la que se conectan los puntos de conexión privados siguen protegidos. Habilita el acceso público solo al proyecto, además del acceso privado a través de cualquier punto de conexión privado.
En el portal Azure, seleccione el proyecto.
En el lado izquierdo de la página, seleccione Administración de recursos, Redes y, a continuación, seleccione la pestaña Firewalls y redes virtuales .
Seleccione Todas las redes y, a continuación, seleccione Guardar.
Configuración de DNS
Los clientes de una red virtual que usan el punto de conexión privado usan la misma cadena de conexión para el recurso y los proyectos Foundry, igual que los clientes que se conectan al punto de conexión público. La resolución DNS enruta automáticamente las conexiones de la red virtual al recurso y los proyectos de Foundry a través de un vínculo privado.
Aplicación de cambios de DNS para puntos de conexión privados
Al crear un punto de conexión privado, Azure actualiza el registro de recursos CNAME de DNS para el recurso Foundry en un alias de un subdominio con el prefijo privatelink. De forma predeterminada, Azure también crea una zona DNS privada que corresponde al subdominio />
Al resolver la URL del punto de conexión desde fuera de la red virtual mediante el punto de conexión privado, esta se resuelve en el punto de conexión público del recurso Foundry. Al resolverlo desde la red virtual que hospeda el punto de conexión privado, se resuelve en la dirección IP privada del punto de conexión privado.
Este enfoque permite el acceso al recurso Foundry mediante el mismo cadena de conexión para los clientes de la red virtual que hospedan los puntos de conexión privados y los clientes fuera de la red virtual.
Si usa un servidor DNS personalizado en la red, los clientes deben poder resolver el nombre de dominio completo (FQDN) para el punto de conexión del recurso Foundry a la dirección IP del punto de conexión privado. Configure el servidor DNS para delegar el subdominio private link a la zona DNS privada de la red virtual.
Propina
Cuando utilice un servidor DNS personalizado o local, configure su servidor DNS para resolver el nombre del recurso Foundry en el subdominio privatelink a la dirección IP del punto de conexión privado. Delegue el privatelink subdominio a la zona DNS privada de la red virtual. Como alternativa, configure la zona DNS de su servidor DNS y agregue los registros DNS A.
Para obtener más información sobre cómo configurar su propio servidor DNS para admitir puntos de conexión privados, use los siguientes artículos:
Validación de la configuración
Siga estos pasos para validar que el punto de conexión privado está aprobado y que DNS se resuelve en la dirección IP privada desde dentro de la red virtual.
En el portal de Azure, vaya al recurso del proyecto. En Red>Conexiones de punto de conexión privado, confirme que el estado de la conexión es Aprobado.
Desde una máquina virtual conectada a la red virtual (o desde una máquina local conectada a través de VPN/ExpressRoute), resuelva el punto de conexión de Foundry y confirme que se resuelve en la dirección IP privada del punto de conexión privado.
nslookup <your-foundry-endpoint-hostname>Pruebe la conectividad con la dirección IP del punto de conexión privado en el puerto 443.
Test-NetConnection <private-endpoint-ip-address> -Port 443
Referencias
Concesión de acceso a servicios de Azure de confianza
Si el proyecto foundry usa Azure OpenAI y restringe el acceso a la red, conceda a un subconjunto de servicios de Azure de confianza acceso a Azure OpenAI al tiempo que mantiene las reglas de red para otras aplicaciones. A continuación, estos servicios de confianza usan la identidad administrada para autenticarse en Azure OpenAI. En la tabla siguiente se enumeran los servicios que pueden acceder a Azure OpenAI si la identidad administrada de esos servicios tiene la asignación de roles adecuada:
| Servicio | Nombre del proveedor de recursos |
|---|---|
| Herramientas de fundición | Microsoft.CognitiveServices |
| Búsqueda de Azure AI | Microsoft.Search |
| Azure Machine Learning | Microsoft.MachineLearningServices |
Conceda acceso de red a servicios de Azure de confianza mediante la creación de una excepción de regla de red mediante la API REST o Azure portal.
Limitaciones
- Debe implementar el punto de conexión privado en la misma región y suscripción que la red virtual.
- Solo los puntos de conexión privados de un estado Aprobado pueden enviar tráfico a un recurso de vínculo privado.
- El aislamiento de red de un extremo a otro en Foundry no se admite en la nueva experiencia del portal de Foundry. No se admite el aislamiento de red de un extremo a otro en Foundry para la nueva versión del servicio agente. Use la experiencia clásica del portal de Foundry con la versión actual del servicio Agent para acceder de forma segura a los proyectos de Foundry cuando esté habilitado el aislamiento de red.
- Los agentes hospedados en Microsoft Foundry no son compatibles con el aislamiento de red integral.
Para ver los escenarios de aislamiento de red del Servicio de Agente (incluidos la inyección de red, el aislamiento de un extremo a otro y las limitaciones), consulte Cómo usar una red virtual con el Servicio de Agente de Azure AI.
Redes seguras de extremo a extremo para el Servicio de Agente de Foundry y las evaluaciones
Si va a compilar agentes o ejecutar evaluaciones y quiere aislamiento de red de un extremo a otro, use las instrucciones de Cómo usar una red virtual con el servicio agente de IA de Azure. En este artículo se incluyen las zonas DNS necesarias, una arquitectura de referencia y las limitaciones conocidas.
Inyección de red para el servicio del agente y las evaluaciones
Los agentes estándar protegidos por red y las evaluaciones admiten el aislamiento de red completo y protegen contra la filtración de datos a través de la inyección de red. La inyección de red solo admite la implementación y las evaluaciones del agente estándar, no la implementación de Light Agent.
Configuración del firewall para el tráfico saliente del agente y las evaluaciones
Para proteger el tráfico de salida (saliente) a través de la inyección de red, configure un Azure Firewall u otro firewall. Esta configuración ayuda a inspeccionar y controlar el tráfico saliente antes de salir de la red virtual.
Solución de problemas de vínculo privado
Si experimenta problemas de conectividad después de configurar un punto de conexión privado, pruebe estos pasos:
- Punto de conexión privado bloqueado en estado Pendiente: compruebe que tiene permisos de colaborador o propietario en el recurso del proyecto Foundry. Si no lo hace, pida al propietario del recurso que apruebe la conexión desde la pestaña Red>Conexiones de puntos de conexión privados.
-
La resolución DNS devuelve una dirección IP pública: confirme que existe una zona DNS privada para el
privatelinksubdominio y que está vinculada a la red virtual. Ejecutenslookup <your-foundry-endpoint-hostname>desde dentro de la red virtual para comprobar que se resuelve en la dirección IP privada. - Tiempo de espera de conexión en el puerto 443: Verifique que las reglas del grupo de seguridad de red (NSG) permitan tráfico saliente hacia la dirección IP del punto de conexión privado en el puerto 443. Compruebe también que ningún firewall esté bloqueando la conexión.
-
Servidor DNS personalizado no resuelve: si usa un servidor DNS personalizado, asegúrese de que reenvíe las consultas para el
privatelinksubdominio a la zona DNS privada de Azure. Consulte Configuración de DNS para obtener más información.