Konfigurieren virtueller Netzwerke von Foundry Tools

Foundry Tools bieten ein mehrschichtiges Sicherheitsmodell. Mit diesem Modell können Sie Ihre Foundry Tools-Konten in einer bestimmten Teilmenge von Netzwerken sichern. Wenn Netzwerkregeln konfiguriert wurden, können nur Anwendungen, die Daten über die angegebenen Netzwerke anfordern, auf das Konto zugreifen. Sie können den Zugriff auf Ihre Ressourcen mithilfe der Anforderungsfilterung einschränken, damit nur Anforderungen zugelassen werden, die von angegebenen IP-Adressen, IP-Adressbereichen oder aus einer Liste der Subnetze in virtuellen Azure-Netzwerken stammen.

Eine Anwendung, die auf eine Foundry-Ressource zugreift, wenn Netzwerkregeln wirksam sind, erfordert eine Autorisierung. Die Autorisierung wird mit Microsoft Entra ID-Anmeldeinformationen oder mit einem gültigen API-Schlüssel unterstützt.

Wichtig

Wenn Sie Firewallregeln für Ihr Foundry Tools-Konto aktivieren, werden eingehende Anforderungen für Daten standardmäßig blockiert. Damit Anforderungen durchgelassen werden, muss eine der folgenden Bedingungen erfüllt sein:

Die Anforderung stammt aus einem Dienst, der innerhalb eines virtuellen Azure-Netzwerks in der zulässigen Subnetzliste des Ziel-Foundry Tools-Kontos ausgeführt wird. Die Endpunktanforderung, die aus dem virtuellen Netzwerk stammt, muss als benutzerdefinierte Unterdomäne Ihres Foundry Tools-Kontos festgelegt werden.
Die Anforderung stammt von einer Adresse, die in der Liste mit den zulässigen IP-Adressen enthalten ist.

Unter anderem werden Anforderungen von anderen Azure-Diensten, aus dem Azure-Portal und von Protokollierungs-/Metrikdiensten blockiert.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Szenarien

Um Die Ressource "Foundry Tools" zu sichern, sollten Sie zunächst eine Regel konfigurieren, um den Zugriff auf den Datenverkehr von allen Netzwerken, einschließlich Internetdatenverkehr, standardmäßig zu verweigern. Anschließend konfigurieren Sie Regeln, die den Zugriff auf Datenverkehr aus bestimmten virtuellen Netzwerken gewähren. Mit dieser Konfiguration können Sie eine sichere Netzwerkgrenze für Ihre Anwendungen erstellen. Darüber hinaus können Sie Regeln konfigurieren, um den Zugriff auf Datenverkehr aus ausgewählten öffentlichen Internet-IP-Adressbereichen zu gewähren, wodurch Verbindungen von bestimmten Internetclients oder lokalen Clients ermöglicht werden.

Netzwerkregeln werden für alle Netzwerkprotokolle in Foundry Tools erzwungen, einschließlich REST und WebSocket. Für den Zugriff auf Daten mithilfe von Tools wie Azure-Testkonsolen müssen explizite Netzwerkregeln konfiguriert werden. Sie können Netzwerkregeln auf vorhandene Foundry Tools-Ressourcen anwenden oder wenn Sie neue Foundry Tools-Ressourcen erstellen. Angewendete Netzwerkregeln werden für alle Anforderungen erzwungen.

Unterstützte Regionen und Dienstangebote

Virtuelle Netzwerke werden in Regionen unterstützt, in denen Foundry Tools verfügbar sind. Foundry Tools unterstützen Diensttags für die Konfiguration von Netzwerkregeln. Die hier aufgeführten Dienste sind im Diensttag CognitiveServicesManagement enthalten:

Anomalieerkennung
Azure OpenAI
Inhaltsmoderator
Benutzerdefinierte Vision
Gesicht
Sprachverständnis (LUIS)
Personalisierung
Speech-Dienst
Sprache
QnA Maker
Übersetzer

Hinweis

Wenn Sie Azure OpenAI, LUIS, Speechs oder Languages verwenden, können Sie mit dem CognitiveServicesManagement Tag den Dienst nur über das SDK oder die REST-API nutzen. Um über ein virtuelles Netzwerk auf das Microsoft Foundry-Portal, das LUIS-Portal, Speech Studio oder Language Studio zuzugreifen und sie zu verwenden, müssen Sie die folgenden Tags verwenden:

AzureActiveDirectory
AzureFrontDoor.Frontend
AzureResourceManager
CognitiveServicesManagement
CognitiveServicesFrontEnd
Storage (nur Speech Studio)

Informationen zu Foundry-Portalkonfigurationen finden Sie in der Foundry-Dokumentation.

Ändern der Standard-Netzwerkzugriffsregel

Standardmäßig akzeptieren Foundry Tools-Ressourcen Verbindungen von Clients in jedem Netzwerk. Um den Zugriff auf ausgewählte Netzwerke zu beschränken, müssen Sie zunächst die Standardaktion ändern.

Warnung

Änderungen an Netzwerkregeln können sich auf die Fähigkeit Ihrer Anwendungen auswirken, eine Verbindung mit Foundry Tools herzustellen. Durch Festlegen der Standardnetzwerkregel auf Verweigern wird sämtlicher Zugriff auf die Daten blockiert – es sei denn, es werden auch bestimmte Netzwerkregeln angewendet, die Zugriff gewähren.

Gewähren Sie mithilfe von Netzwerkregeln Zugriff auf alle zulässigen Netzwerke, bevor Sie die Standardregel so ändern, dass der Zugriff verweigert wird. Wenn Sie IP-Adressen für Ihr lokales Netzwerk in die Positivliste aufnehmen, achten Sie darauf, alle möglichen ausgehenden öffentlichen IP-Adressen Ihres lokalen Netzwerks hinzuzufügen.

Verwalten von Standardnetzwerkzugriffsregeln

Sie können Standard-Netzwerkzugriffsregeln für Foundry Tools-Ressourcen über das Azure-Portal, PowerShell oder die Azure CLI verwalten.

Wechseln Sie zur Ressource "Foundry Tools", die Sie sichern möchten.
Wählen Sie die Option Ressourcenverwaltung aus, um sie zu erweitern, und wählen Sie dann Netzwerk aus. Um den Zugriff standardmäßig zu verweigern, wählen Sie unter Firewalls und virtuelle Netzwerke die Option Ausgewählte Netzwerke und private Endpunkte aus.

Wenn Sie nur die Einstellung ohne konfigurierte Werte für virtuelle Netzwerke oder Adressbereiche auswählen, wird effektiv jeder Zugriff verweigert. Wenn der gesamte Zugriff verweigert wird, sind Anforderungen, die versuchen, die Ressource "Foundry Tools" zu nutzen, nicht zulässig. Das Azure-Portal, Azure PowerShell oder die Azure CLI können weiterhin zum Konfigurieren der Ressource "Foundry Tools" verwendet werden.
Wenn Sie Datenverkehr über alle Netzwerke zulassen möchten, wählen Sie Alle Netzwerke aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Installieren Sie Azure PowerShell, und melden Sie sich an, oder wählen Sie Cloud Shell öffnen aus.
Zeigt den Status der Standardregel für die Ressource "Foundry Tools" an.
```
$parameters = @{
  "ResourceGroupName" = "myresourcegroup"
  "Name" = "myaccount"
}
(Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).DefaultAction
```
Sie können Werte für Ihre Ressourcengruppe myresourcegroup und den Namen Ihrer Azure KI Services-Ressource myaccount aus dem Azure-Portal abrufen.

Legen Sie die Standardregel für den Netzwerkzugriff auf „Deny“ (Verweigern) fest.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "DefaultAction" = "Deny"
}
Update-AzCognitiveServicesAccountNetworkRuleSet @parameters

Legen Sie die Standardregel für den Netzwerkzugriff auf „Allow“ (Zulassen) fest.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "DefaultAction" = "Allow"
}
Update-AzCognitiveServicesAccountNetworkRuleSet @parameters

Installieren Sie die Azure CLI, und melden Sie sich an, oder wählen Sie Cloud Shell öffnen aus.

Zeigt den Status der Standardregel für die Ressource "Foundry Tools" an.

az cognitiveservices account show \
    --resource-group "myresourcegroup" --name "myaccount" \
    --query properties.networkAcls.defaultAction

Rufen Sie die Ressourcen-ID zur Verwendung in den späteren Schritten ab.

resourceId=$(az cognitiveservices account show
    --resource-group "myresourcegroup" \
    --name "myaccount" --query id --output tsv)

Legen Sie die Standardregel auf das standardmäßige Verweigern jeglichen Netzwerkzugriffs fest.

az resource update \
    --ids $resourceId \
    --set properties.networkAcls="{'defaultAction':'Deny'}"

Legen Sie die Standardregel auf das standardmäßige Zulassen von Netzwerkzugriff fest.

az resource update \
    --ids $resourceId \
    --set properties.networkAcls="{'defaultAction':'Allow'}"

Gewähren des Zugriffs aus einem virtuellen Netzwerk

Sie können Foundry Tools-Ressourcen so konfigurieren, dass der Zugriff nur von bestimmten Subnetzen aus zulässig ist. Die zulässigen Subnetze können zu einem virtuellen Netzwerk im selben Abonnement oder in einem anderen Abonnement gehören. Das andere Abonnement kann zu einem anderen Microsoft Entra-Mandanten gehören. Wenn das Subnetz zu einem anderen Abonnement gehört, muss der Microsoft.CognitiveServices-Ressourcenanbieter auch für dieses Abonnement registriert werden.

Aktivieren Sie einen Dienstendpunkt für Foundry Tools innerhalb des virtuellen Netzwerks. Der Dienstendpunkt leitet Datenverkehr vom virtuellen Netzwerk über einen optimalen Pfad zu Foundry Tools weiter. Weitere Informationen finden Sie unter Dienstendpunkte im virtuellen Netzwerk.

Mit jeder Anforderung werden außerdem die Identitäten des Subnetzes und des virtuellen Netzwerks übertragen. Administratoren können dann Netzwerkregeln für die Ressource "Foundry Tools" konfigurieren, um Anforderungen von bestimmten Subnetzen in einem virtuellen Netzwerk zuzulassen. Clients, denen der Zugriff durch diese Netzwerkregeln gewährt wurde, müssen weiterhin die Autorisierungsanforderungen der Ressource "Foundry Tools" erfüllen, um auf die Daten zuzugreifen.

Jede Foundry Tools-Ressource unterstützt bis zu 100 virtuelle Netzwerkregeln, die mit IP-Netzwerkregeln kombiniert werden können. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Gewähren von Zugriff aus einem Internet-IP-Adressbereich.

Festlegen der erforderlichen Berechtigungen

Um eine virtuelle Netzwerkregel auf eine Foundry-Ressource anzuwenden, benötigen Sie die entsprechenden Berechtigungen für die Subnetze, die hinzugefügt werden sollen. Die erforderliche Berechtigung ist die Standardrolle Mitwirkender oder die Rolle Cognitive Services-Mitwirkender. Erforderliche Berechtigungen können aber auch benutzerdefinierten Rollendefinitionen hinzugefügt werden.

Die Ressource "Foundry Tools" und die virtuellen Netzwerke, für die der Zugriff gewährt wird, können sich in verschiedenen Abonnements befinden, einschließlich Abonnements, die Teil eines anderen Microsoft Entra-Mandanten sind.

Hinweis

Die Konfiguration von Regeln, die Zugriff auf Subnetze in virtuellen Netzwerken gewähren, die Teil eines anderen Microsoft Entra-Mandanten sind, wird zurzeit nur über PowerShell, Azure CLI und die Rest-APIs unterstützt. Sie können diese Regeln im Azure-Portal anzeigen, aber nicht konfigurieren.

Konfigurieren von Regeln für virtuelle Netzwerke

Sie können virtuelle Netzwerkregeln für Foundry Tools-Ressourcen über das Azure-Portal, PowerShell oder die Azure CLI verwalten.

So gewähren Sie Zugriff auf ein virtuelles Netzwerk mit einer vorhandenen Netzwerkregel

Wechseln Sie zur Ressource "Foundry Tools", die Sie sichern möchten.
Wählen Sie die Option Ressourcenverwaltung aus, um sie zu erweitern, und wählen Sie dann Netzwerk aus.
Vergewissern Sie sich, dass Sie Ausgewählte Netzwerke und private Endpunkte ausgewählt haben.
Wählen Sie unter Zugriff zulassen von die Option Vorhandenes virtuelles Netzwerk hinzufügen aus.
Wählen Sie die Optionen virtuelle Netzwerke und Subnetze und dann Aktivieren aus.

Hinweis

Wenn ein Dienstendpunkt für Foundry Tools noch nicht für das ausgewählte virtuelle Netzwerk und subnetze konfiguriert wurde, können Sie ihn im Rahmen dieses Vorgangs konfigurieren.

Zurzeit werden nur virtuelle Netzwerke, die zu demselben Microsoft Entra-Mandanten gehören, während der Regelerstellung zur Auswahl angezeigt. Verwenden Sie PowerShell, die Azure CLI oder die REST-APIs, um den Zugriff auf ein Subnetz in einem virtuellen Netzwerk zu gewähren, das zu einem anderen Mandanten gehört.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.

So erstellen Sie ein neues virtuelles Netzwerk und gewähren diesem Zugriff

Wählen Sie auf derselben Seite wie im vorherigen Verfahren die Option Neues virtuelles Netzwerk hinzufügen aus.
Geben Sie die erforderlichen Informationen zum Erstellen des neuen virtuellen Netzwerks an, und wählen Sie anschließend Erstellen aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.

So entfernen Sie eine VNet- oder eine Subnetzregel

Wählen Sie auf derselben Seite wie in den vorherigen Schritten ... (Weitere Optionen) aus, um das Kontextmenü für das virtuelle Netzwerk oder Subnetz zu öffnen, und wählen Sie Entfernen aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Installieren Sie Azure PowerShell, und melden Sie sich an, oder wählen Sie Cloud Shell öffnen aus.

Listen Sie die konfigurierten VNet-Regeln auf.

$parameters = @{
   "ResourceGroupName" = "myresourcegroup"
   "Name" = "myaccount"
}
(Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).VirtualNetworkRules

Aktivieren Sie einen Dienstendpunkt für Foundry Tools in einem vorhandenen virtuellen Netzwerk und Subnetz.

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" `
    -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" `
    -AddressPrefix "CIDR" `
    -ServiceEndpoint "Microsoft.CognitiveServices" | Set-AzVirtualNetwork

Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.
```
$subParameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myvnet"
}
$subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"

$parameters = @{
    -ResourceGroupName "myresourcegroup"
    -Name "myaccount"
    -VirtualNetworkResourceId $subnet.Id
}
Add-AzCognitiveServicesAccountNetworkRule @parameters
```
Tipp

Wenn Sie eine Netzwerkregel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie einen vollqualifizierten VirtualNetworkResourceId-Parameter im Format /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

Entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz.

$subParameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myvnet"
}
$subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "VirtualNetworkResourceId" = $subnet.Id
}
Remove-AzCognitiveServicesAccountNetworkRule @parameters

Installieren Sie die Azure CLI, und melden Sie sich an, oder wählen Sie Cloud Shell öffnen aus.

Listen Sie die konfigurierten VNet-Regeln auf.

az cognitiveservices account network-rule list \
    --resource-group "myresourcegroup" --name "myaccount" \
    --query virtualNetworkRules

Aktivieren Sie einen Dienstendpunkt für Foundry Tools in einem vorhandenen virtuellen Netzwerk und Subnetz.

az network vnet subnet update --resource-group "myresourcegroup" --name "mysubnet" \
--vnet-name "myvnet" --service-endpoints "Microsoft.CognitiveServices"

Fügen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz hinzu.
```
subnetid=$(az network vnet subnet show \
    --resource-group "myresourcegroup" --name "mysubnet" --vnet-name "myvnet" \
    --query id --output tsv)

# Use the captured subnet identifier as an argument to the network rule addition
az cognitiveservices account network-rule add \
    --resource-group "myresourcegroup" --name "myaccount" \
    --subnet $subnetid
```
Tipp

Wenn Sie eine Regel für ein Subnetz in einem virtuellen Netzwerk hinzufügen möchten, das zu einem anderen Microsoft Entra-Mandanten gehört, verwenden Sie eine vollqualifizierte Subnetz-ID im Format /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

Mithilfe des Parameters --subscription können Sie die Subnetz-ID für ein virtuelles Netzwerk abrufen, das zu einem anderen Microsoft Entra-Mandanten gehört.

Entfernen Sie eine Netzwerkregel für ein virtuelles Netzwerk und Subnetz.

$subnetid=(az network vnet subnet show \
    --resource-group "myresourcegroup" --name "mysubnet" --vnet-name "myvnet" \
    --query id --output tsv)

# Use the captured subnet identifier as an argument to the network rule removal
az cognitiveservices account network-rule remove \
    --resource-group "myresourcegroup" --name "myaccount" \
    --subnet $subnetid

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.

Gewähren von Zugriff aus einem Internet-IP-Adressbereich

Sie können Foundry Tools-Ressourcen so konfigurieren, dass der Zugriff von bestimmten öffentlichen INTERNET-IP-Adressbereichen zugelassen wird. Diese Konfiguration gewährt bestimmten Diensten und lokalen Netzwerken Zugriff, wodurch effektiv der allgemeine Internetdatenverkehr blockiert wird.

Sie können die zulässigen Internetadressbereiche im CIDR-Format (RFC 4632)192.168.0.0/16 oder als einzelne IP-Adressen (192.168.0.1) angeben.

Tipp

Kleine Adressbereiche, die die Präfixgrößen /31 oder /32 verwenden, werden nicht unterstützt. Konfigurieren Sie diese Bereiche mit einzelnen IP-Adressregeln.

IP-Netzwerkregeln sind nur für öffentliche Internet-IP-Adressen zulässig. Für private Netzwerke reservierte IP-Adressbereiche sind in IP-Adressregeln nicht zulässig. Private Netzwerke enthalten Adressen, die mit 10.*, 172.16.* - 172.31.* und 192.168.* beginnen. Weitere Informationen finden Sie unter Private Address Space (RFC 1918).

Derzeit werden nur IPv4-Adressen unterstützt. Jede Foundry Tools-Ressource unterstützt bis zu 100 IP-Netzwerkregeln, die mit virtuellen Netzwerkregeln kombiniert werden können.

Konfigurieren des Zugriffs aus lokalen Netzwerken

Um den Zugriff von Ihren lokalen Netzwerken auf die Ressource "Foundry Tools" mit einer IP-Netzwerkregel zu gewähren, identifizieren Sie die nach außen gerichteten IP-Adressen, die von Ihrem Netzwerk verwendet werden. Hilfe erhalten Sie von Ihrem Netzwerkadministrator.

Wenn Sie Azure ExpressRoute lokal für Microsoft-Peering verwenden, müssen Sie die NAT-IP-Adressen ermitteln. Weitere Informationen finden Sie unter Was ist Azure ExpressRoute?.

Beim Microsoft-Peering werden die verwendeten NAT-IP-Adressen entweder vom Kunden oder vom Dienstanbieter bereitgestellt. Um den Zugriff auf Ihre Dienstressourcen zuzulassen, müssen Sie diese öffentlichen IP-Adressen in der Ressourceneinstellung der IP-Firewall zulassen.

Verwalten von IP-Netzwerkregeln

Sie können IP-Netzwerkregeln für Foundry Tools-Ressourcen über das Azure-Portal, PowerShell oder die Azure CLI verwalten.

Wechseln Sie zur Ressource "Foundry Tools", die Sie sichern möchten.
Wählen Sie die Option Ressourcenverwaltung aus, um sie zu erweitern, und wählen Sie dann Netzwerk aus.
Vergewissern Sie sich, dass Sie Ausgewählte Netzwerke und private Endpunkte ausgewählt haben.
Suchen Sie unter Firewalls und virtuelle Netzwerke die Option Adressbereich. Geben Sie die IP-Adresse oder den IP-Adressbereich im CIDR-Format ein, um Zugriff auf einen Internet-IP-Adressbereich zu gewähren. Nur gültige öffentliche IP-Adressen (nicht reservierte Adressen) werden akzeptiert.

Wenn Sie eine IP-Netzwerkregel entfernen möchten, wählen Sie das Papierkorbsymbol neben dem Adressbereich aus.
Klicken Sie zum Übernehmen der Änderungen auf Speichern.

Installieren Sie Azure PowerShell, und melden Sie sich an, oder wählen Sie Cloud Shell öffnen aus.

Listen Sie die konfigurierten IP-Netzwerkregeln auf.

$parameters = @{
  "ResourceGroupName" = "myresourcegroup"
  "Name" = "myaccount"
}
(Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).IPRules

Fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "ipaddress"
}
Add-AzCognitiveServicesAccountNetworkRule @parameters

Fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "CIDR"
}
Add-AzCognitiveServicesAccountNetworkRule @parameters

Entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "ipaddress"
}
Remove-AzCognitiveServicesAccountNetworkRule @parameters

Entfernen Sie eine Netzwerkregel für einen IP-Adressbereich.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "CIDR"
}
Remove-AzCognitiveServicesAccountNetworkRule @parameters

Installieren Sie die Azure CLI, und melden Sie sich an, oder wählen Sie Cloud Shell öffnen aus.

Listen Sie die konfigurierten IP-Netzwerkregeln auf.

az cognitiveservices account network-rule list \
    --resource-group "myresourcegroup" --name "myaccount" --query ipRules

Fügen Sie eine Netzwerkregel für eine einzelne IP-Adresse hinzu.

az cognitiveservices account network-rule add \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "ipaddress"

Fügen Sie eine Netzwerkregel für einen IP-Adressbereich hinzu.

az cognitiveservices account network-rule add \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "CIDR"

Entfernen Sie eine Netzwerkregel für eine einzelne IP-Adresse.

az cognitiveservices account network-rule remove \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "ipaddress"

Entfernen Sie eine Netzwerkregel für einen IP-Adressbereich.

az cognitiveservices account network-rule remove \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "CIDR"

Wichtig

Die Standardregel muss auf Verweigern festgelegt sein (siehe Festlegen der Standardregel). Andernfalls haben die Netzwerkregeln keine Wirkung.

Verwenden privater Endpunkte

Sie können private Endpunkte für Ihre Foundry Tools-Ressourcen verwenden, um Clients in einem virtuellen Netzwerk den sicheren Zugriff auf Daten über azure Private Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem virtuellen Netzwerkadressraum für Ihre Foundry Tools-Ressource. Der Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und der Ressource wird über das virtuelle Netzwerk und eine private Verbindung im Microsoft Azure-Backbonenetzwerk geleitet und somit nicht dem öffentlichen Internet ausgesetzt.

Private Endpunkte für Foundry Tools-Ressourcen ermöglichen Folgendes:

Sichern Sie Ihre Foundry Tools-Ressource, indem Sie die Firewall so konfigurieren, dass alle Verbindungen auf dem öffentlichen Endpunkt für Foundry Tools blockiert werden.
Erhöhen der Sicherheit für das virtuelle Netzwerk, indem Sie die Exfiltration von Daten aus dem virtuellen Netzwerk blockieren können
Stellen Sie eine sichere Verbindung zu den Foundry Tools-Ressourcen aus lokalen Netzwerken her, die sich mit dem virtuellen Netzwerk verbinden, indem Sie Azure VPN Gateway oder ExpressRoutes mit privatem Peering verwenden.

Grundlegendes zu privaten Endpunkten

Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für eine Azure-Ressource in Ihrem virtuellen Netzwerk. Das Erstellen eines privaten Endpunkts für Ihre Ressource "Foundry Tools" bietet sichere Konnektivität zwischen Clients in Ihrem virtuellen Netzwerk und Ihrer Ressource. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres virtuellen Netzwerks zugewiesen. Die Verbindung zwischen dem privaten Endpunkt und den Foundry Tools verwendet einen sicheren privaten Link.

Anwendungen im virtuellen Netzwerk können über den privaten Endpunkt nahtlos eine Verbindung mit dem Dienst herstellen. Verbindungen verwenden die gleichen Verbindungszeichenfolgen und Autorisierungsmechanismen, die sie andernfalls verwenden würden. Die Ausnahme ist "Speechs", für die ein separater Endpunkt erforderlich ist. Weitere Informationen finden Sie unter Verwenden von privaten Endpunkten für Speechs in diesem Artikel. Private Endpunkte können mit allen Protokollen verwendet werden, die von der Ressource "Foundry Tools" unterstützt werden, einschließlich REST.

Private Endpunkte können in Subnetzen erstellt werden, die Dienstendpunkte verwenden. Clients in einem Subnetz können mithilfe eines privaten Endpunkts eine Verbindung mit einer Foundry Tools-Ressource herstellen und gleichzeitig Dienstendpunkte verwenden, um auf andere zuzugreifen. Weitere Informationen finden Sie unter Dienstendpunkte im virtuellen Netzwerk.

Wenn Sie einen privaten Endpunkt für eine Foundry-Ressource in Ihrem virtuellen Netzwerk erstellen, sendet Azure eine Zustimmungsanforderung zur Genehmigung an den Ressourcenbesitzer der Foundry Tools. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch Besitzer der Ressource ist, wird diese Einwilligungsanforderung automatisch genehmigt.

Ressourcenbesitzer von Foundry Tools können Zustimmungsanforderungen und die privaten Endpunkte über die Registerkarte " Private Endpunktverbindung " für die Ressource "Foundry Tools" im Azure-Portal verwalten.

Angeben privater Endpunkte

Wenn Sie einen privaten Endpunkt erstellen, geben Sie die Ressource "Foundry Tools" an, mit der eine Verbindung hergestellt wird. Weitere Informationen zum Erstellen eines privaten Endpunkts finden Sie unter:

Herstellen einer Verbindung mit privaten Endpunkten

Hinweis

Azure OpenAI in Foundry Models verwendet eine andere private DNS-Zone und eine öffentliche DNS-Zonenweiterleitung als andere Foundry Tools. Die richtigen Zonen- und Weiterleitungsnamen finden Sie unter DNS-Zonenkonfiguration für Azure-Dienste.

Warnung

Anforderungen von Clients an den privaten Endpunkt MÜSSEN die benutzerdefinierte Unterdomäne Ihrer Foundry Tools-Ressource als Endpunktbasis-URL angeben. Rufen Sie NICHT die interne URL *.privatelink.openai.azure.com auf, die Teil der zwischengeschalteten CNAME-Auflösung innerhalb von Azure ist.

Clients in einem virtuellen Netzwerk, das den privaten Endpunkt verwendet, verwenden dieselbe Verbindungszeichenfolge für die Ressource Foundry Tools wie Clients, die eine Verbindung mit dem öffentlichen Endpunkt herstellen. Der Speech-Dienst stellt eine Ausnahme dar, denn er benötigt einen separaten Endpunkt. Weitere Informationen finden Sie unter Verwenden von privaten Endpunkten für den Speech-Dienst in diesem Artikel. Die DNS-Auflösung leitet die Verbindungen aus dem virtuellen Netzwerk automatisch über eine private Verbindung an die Foundry Tools-Ressource weiter.

Standardmäßig erstellt Azure eine private DNS-Zone, die mit den erforderlichen Updates für die privaten Endpunkte an das virtuelle Netzwerk angefügt ist. Wenn Sie einen eigenen DNS-Server verwenden, müssen Sie möglicherweise weitere Änderungen an Ihrer DNS-Konfiguration vornehmen. Updates, die möglicherweise für private Endpunkte erforderlich sind, finden Sie unter Anwenden von DNS-Änderungen für private Endpunkte in diesem Artikel.

Verwenden von privaten Endpunkten für den Speech-Dienst

Weitere Informationen finden Sie unter Verwenden des Speech-Diensts mithilfe eines privaten Endpunkts.

Anwenden von DNS-Änderungen für private Endpunkte

Wenn Sie einen privaten Endpunkt erstellen, wird der DNS-Ressourceneintrag CNAME für die Ressource "Foundry Tools" auf einen Alias in einer Unterdomäne mit dem Präfix privatelinkaktualisiert. Standardmäßig erstellt Azure außerdem eine private DNS-Zone, die der Unterdomäne privatelink entspricht, mit den DNS-A-Ressourceneinträgen für die privaten Endpunkte. Weitere Informationen finden Sie unter Was ist Azure Private DNS?.

Wenn Sie die Endpunkt-URL von außerhalb des virtuellen Netzwerks mit dem privaten Endpunkt auflösen, wird diese in den öffentlichen Endpunkt der Foundry Tools-Ressource aufgelöst. Bei Auflösung aus dem virtuellen Netzwerk, das den privaten Endpunkt hostet, wird die Endpunkt-URL in die IP-Adresse des privaten Endpunkts aufgelöst.

Dieser Ansatz ermöglicht den Zugriff auf die Ressource "Foundry Tools" unter Verwendung derselben Verbindungszeichenfolge für Clients im virtuellen Netzwerk, in denen die privaten Endpunkte und Clients außerhalb des virtuellen Netzwerks gehostet werden.

Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen die Clients in der Lage sein, den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Endpunkt der Foundry Tools-Ressource in die IP-Adresse des privaten Endpunkts aufzulösen. Konfigurieren Sie Ihren DNS-Server so, dass Ihre Private Link-Unterdomäne an die private DNS-Zone für das virtuelle Netzwerk delegiert wird.

Tipp

Wenn Sie einen benutzerdefinierten oder lokalen DNS-Server verwenden, müssen Sie den DNS-Server so konfigurieren, dass der Name der Foundry Tools-Ressource in der Unterdomäne privatelink in die IP-Adresse des privaten Endpunkts aufgelöst wird. Delegieren Sie die Unterdomäne privatelink an die private DNS-Zone des virtuellen Netzwerks. Konfigurieren Sie alternativ die DNS-Zone auf Ihrem DNS-Server, und fügen Sie die DNS-A-Einträge hinzu.

Weitere Informationen zum Konfigurieren eines eigenen DNS-Servers für die Unterstützung privater Endpunkte finden Sie in den folgenden Ressourcen:

Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste für Azure OpenAI

Sie können einer Teilmenge vertrauenswürdiger Azure-Dienste Zugriff auf Azure OpenAI gewähren und gleichzeitig Netzwerkregeln für andere Apps verwalten. Diese vertrauenswürdigen Dienste verwenden dann verwaltete Identität, um Ihren Azure OpenAI-Dienst zu authentifizieren. In der folgenden Tabelle sind die Dienste aufgeführt, die auf Azure OpenAI zugreifen können, wenn die verwaltete Identität dieser Dienste über die entsprechende Rollenzuweisung verfügt.

Dienst	Name des Ressourcenanbieters
Gießerei-Werkzeuge	`Microsoft.CognitiveServices`
Azure Machine Learning	`Microsoft.MachineLearningServices`
Azure Search	`Microsoft.Search`

Sie können Netzwerkzugriff für vertrauenswürdige Azure-Dienste gewähren, indem Sie eine Netzwerkregelausnahme mithilfe der REST-API oder dem Azure-Portal erstellen:

Verwenden der Azure-Befehlszeilenschnittstelle


accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Foundry Tools resource name>"

curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
    "properties":
    {
        "networkAcls": {
            "bypass": "AzureServices"
        }
    }
}
'

Um die Ausnahme zu widerrufen, legen Sie networkAcls.bypass auf None fest.

Um zu überprüfen, ob der vertrauenswürdige Dienst über das Azure-Portal aktiviert wurde,

verwenden Sie die JSON-Ansicht auf der Azure OpenAI-Ressourcenübersichtsseite
Wählen Sie Ihre neueste API-Version unter API-Versionen aus. Nur die neueste API-Version 2023-10-01-preview wird unterstützt.

Verwenden des Azure-Portals

Navigieren Sie zu Ihrer Azure OpenAI-Ressource, und wählen Sie Netzwerk im Navigationsmenü aus.
Wählen Sie unter Ausnahmen die Option Azure-Diensten aus der Liste vertrauenswürdiger Dienste Zugriff auf dieses Cognitive Services-Konto erlauben aus.

Tipp

Sie können die Option Ausnahmen anzeigen, indem Sie unter Zugriff zulassen von entweder Ausgewählte Netzwerke und private Endpunkte oder Deaktiviert auswählen.

Preise

Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.

Nächste Schritte

Entdecken Sie die verschiedenen Foundry Tools
Weitere Informationen zu Dienstendpunkten für virtuelle Netzwerke

Feedback

War diese Seite hilfreich?

Last updated on 2026-01-06

Freigeben über

Konfigurieren virtueller Netzwerke von Foundry Tools

Szenarien

Unterstützte Regionen und Dienstangebote

Ändern der Standard-Netzwerkzugriffsregel

Verwalten von Standardnetzwerkzugriffsregeln

Gewähren des Zugriffs aus einem virtuellen Netzwerk

Festlegen der erforderlichen Berechtigungen

Konfigurieren von Regeln für virtuelle Netzwerke

Gewähren von Zugriff aus einem Internet-IP-Adressbereich

Konfigurieren des Zugriffs aus lokalen Netzwerken

Verwalten von IP-Netzwerkregeln

Verwenden privater Endpunkte

Grundlegendes zu privaten Endpunkten

Angeben privater Endpunkte

Herstellen einer Verbindung mit privaten Endpunkten

Verwenden von privaten Endpunkten für den Speech-Dienst

Anwenden von DNS-Änderungen für private Endpunkte

Gewähren des Zugriffs auf vertrauenswürdige Azure-Dienste für Azure OpenAI

Verwenden der Azure-Befehlszeilenschnittstelle

Verwenden des Azure-Portals

Preise

Nächste Schritte

Feedback

Zusätzliche Ressourcen