Configuración de redes virtuales de Foundry Tools

Las herramientas de Foundry proporcionan un modelo de seguridad en capas. Este modelo permite proteger las cuentas de Foundry Tools en un subconjunto específico de redes. Cuando se configuran las reglas de red, solo las aplicaciones que solicitan datos del conjunto especificado de redes pueden acceder a la cuenta. Puede limitar el acceso a los recursos con el filtrado de solicitudes, que solo permite solicitudes que se originan a partir de direcciones IP especificadas, intervalos IP o de una lista de subredes de instancias de Azure Virtual Network.

Una aplicación que accede a un recurso Foundry cuando las reglas de red están en vigor requieren autorización. La autorización es compatible con las credenciales de Microsoft Entra ID o con una clave de API válida.

Importante

Al activar las reglas de firewall para la cuenta de Foundry Tools, se bloquean las solicitudes entrantes de datos de forma predeterminada. Para permitir las solicitudes, se debe cumplir una de las siguientes condiciones:

La solicitud se origina en un servicio que funciona en una instancia de Azure Virtual Network en la lista de subredes permitidas de la cuenta de Foundry Tools de destino. La solicitud de punto de conexión que se originó en la red virtual debe establecerse como subdominio personalizado de la cuenta de Foundry Tools.
La solicitud se origina en una lista de direcciones IP permitidas.

Las solicitudes que bloquean incluyen aquellas de otros servicios de Azure, desde Azure Portal, y desde los servicios de registro y métricas.

Nota:

Se recomienda usar el módulo de PowerShell de Azure Az para interactuar con Azure. Para comenzar, consulte Instalar Azure PowerShell. Para obtener más información sobre cómo migrar al módulo Az de PowerShell, consulte Migrar Azure PowerShell de AzureRM a Az.

Escenarios

Para proteger el recurso de Foundry Tools, primero debe configurar una regla para denegar el acceso al tráfico desde todas las redes, incluido el tráfico de Internet, de forma predeterminada. A continuación, configure las reglas que conceden acceso al tráfico desde redes virtuales específicas. Esta configuración le permite crear un límite de red seguro para las aplicaciones. También puede configurar reglas para conceder acceso al tráfico desde intervalos de direcciones IP de Internet públicas y habilitar conexiones desde clientes locales o específicos de Internet.

Las reglas de red se aplican a todos los protocolos de red para las herramientas de Foundry, incluidos REST y WebSocket. Para tener acceso a los datos mediante herramientas como las consolas de prueba de Azure, deben configurarse reglas de red explícitas. Puede aplicar reglas de red a los recursos existentes de Foundry Tools o al crear nuevos recursos de Foundry Tools. Una vez que se apliquen las reglas de red, se aplicarán a todas las solicitudes.

Ofertas de servicio y regiones admitidas

Las redes virtuales se admiten en regiones en las que las herramientas de Foundry están disponibles. Foundry Tools admite etiquetas de servicio para la configuración de reglas de red. Los servicios enumerados aquí se incluyen en la etiqueta de servicio CognitiveServicesManagement.

Detector de Anomalías
Azure OpenAI
Moderador de Contenido
Visión Personalizada
Caras
Comprensión del lenguaje (LUIS)
Personalizador
Servicio de voz
Idioma
Generador de Preguntas y Respuestas
Traductor

Nota:

Si usa Azure OpenAI, LUIS, Speechs o Languages, la CognitiveServicesManagement etiqueta solo le permite usar el servicio mediante el SDK o la API REST. Para acceder y usar el portal de Microsoft Foundry, el portal de LUIS, Speech Studio o Language Studio desde una red virtual, debe usar las etiquetas siguientes:

AzureActiveDirectory
AzureFrontDoor.Frontend
AzureResourceManager
CognitiveServicesManagement
CognitiveServicesFrontEnd
Storage (Solo Speech Studio)

Para obtener información sobre las configuraciones del portal de Foundry , consulte la documentación de Foundry.

Modificación de la regla de acceso de red predeterminada

De forma predeterminada, los recursos de Foundry Tools aceptan conexiones de clientes de cualquier red. Para limitar el acceso a redes seleccionadas, primero debe cambiar la acción predeterminada.

Advertencia

Realizar cambios en las reglas de red puede afectar a la capacidad de las aplicaciones para conectarse a Foundry Tools. Si se establece la regla de red predeterminada en denegar, se bloquea el acceso a los datos, a no ser que se apliquen también las reglas de red específicas para conceder acceso.

Antes de cambiar la regla predeterminada para denegar el acceso, asegúrese de conceder acceso a las redes permitidas con reglas de red. Si permite las listas para las direcciones IP de su red local, asegúrese de agregar todas las direcciones IP públicas salientes posibles de dicha red.

Administrar reglas de acceso de red predeterminadas

Puede administrar las reglas de acceso de red predeterminadas para los recursos de Foundry Tools a través de Azure Portal, PowerShell o la CLI de Azure.

Vaya al recurso de herramientas de Foundry que desea proteger.
Seleccione Administración de recursos para expandirlo y, a continuación, seleccione Redes. Para denegar el acceso de forma predeterminada, en Firewalls y redes virtuales, seleccione Redes y puntos de conexión privados seleccionados.

Solo con esta opción, sin las opciones Redes virtuales ni Intervalos de direcciones configuradas, todo el acceso se deniega de forma efectiva. Cuando se deniega todo el acceso, no se permiten las solicitudes que intentan consumir el recurso De herramientas de Foundry. Azure Portal, Azure PowerShell o la CLI de Azure todavía se pueden usar para configurar el recurso Foundry Tools.
Para permitir el tráfico de todas las redes, seleccione Todas las redes.
Seleccione Guardar para aplicar los cambios.

Instale Azure PowerShell e inicie sesión, o bien seleccione Abrir Cloudshell.
Muestra el estado de la regla predeterminada para el recurso de herramientas de Foundry.
```
$parameters = @{
  "ResourceGroupName" = "myresourcegroup"
  "Name" = "myaccount"
}
(Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).DefaultAction
```
Puede obtener valores para el grupo de recursos myresourcegroup y el nombre del recurso myaccount de servicios de Azure desde Azure Portal.

Establezca la regla predeterminada para denegar el acceso de red.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "DefaultAction" = "Deny"
}
Update-AzCognitiveServicesAccountNetworkRuleSet @parameters

Establezca la regla predeterminada para permitir el acceso de red.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "DefaultAction" = "Allow"
}
Update-AzCognitiveServicesAccountNetworkRuleSet @parameters

Instale la CLI de Azure e inicie sesión, o bien seleccione Abrir Cloudshell.

Muestra el estado de la regla predeterminada para el recurso de herramientas de Foundry.

az cognitiveservices account show \
    --resource-group "myresourcegroup" --name "myaccount" \
    --query properties.networkAcls.defaultAction

Obtenga el identificador de recurso para usarlo en los pasos posteriores.

resourceId=$(az cognitiveservices account show
    --resource-group "myresourcegroup" \
    --name "myaccount" --query id --output tsv)

Establezca la regla predeterminada para denegar el acceso de red de forma predeterminada.

az resource update \
    --ids $resourceId \
    --set properties.networkAcls="{'defaultAction':'Deny'}"

Establezca la regla predeterminada para permitir el acceso de red de forma predeterminada.

az resource update \
    --ids $resourceId \
    --set properties.networkAcls="{'defaultAction':'Allow'}"

Concesión de acceso desde una red virtual

Puede configurar los recursos de Foundry Tools para permitir el acceso solo desde subredes específicas. Puede que las subredes permitidas pertenezcan a una red virtual de la misma suscripción o de una suscripción diferente. La otra suscripción puede pertenecer a otro inquilino de Microsoft Entra. Cuando la subred pertenece a otra suscripción, el proveedor de recursos Microsoft.CognitiveServices también debe registrarse para esa suscripción.

Habilite un punto de conexión de servicio para Foundry Tools dentro de la red virtual. El punto de conexión de servicio enruta el tráfico desde la red virtual a través de una ruta de acceso óptima a Foundry Tools. Para obtener más información, consulte Puntos de conexión de servicio de Virtual Network.

Las identidades de la red virtual y la subred también se transmiten con cada solicitud. A continuación, los administradores pueden configurar reglas de red para el recurso de Foundry Tools para permitir solicitudes de subredes específicas en una red virtual. Los clientes a los que estas reglas de red conceden acceso deben seguir cumpliendo los requisitos de autorización del recurso de Foundry Tools para acceder a los datos.

Cada recurso de Foundry Tools admite hasta 100 reglas de red virtual, que se pueden combinar con reglas de red IP. Para obtener más información, vea Conceder acceso desde un intervalo IP de Internet más adelante en este artículo.

Establecer los permisos necesarios

Para aplicar una regla de red virtual a un recurso foundry, necesita los permisos adecuados para que las subredes se agreguen. El permiso requerido es el rol Colaborador predeterminado, o bien el rol Colaborador de Cognitive Services. También se pueden agregar los permisos necesarios a las definiciones de roles personalizados.

El recurso Foundry Tools y las redes virtuales a las que se concede acceso pueden estar en distintas suscripciones, incluidas las suscripciones que forman parte de un inquilino de Microsoft Entra diferente.

Nota:

La configuración de reglas que conceden acceso a subredes en redes virtuales que forman parte de un inquilino de Microsoft Entra diferente solo se admiten actualmente a través de PowerShell, la CLI de Azure y las API de REST. Puede ver estas reglas en Azure Portal, pero no puede configurarlas.

Configurar las reglas de red virtual

Puede administrar reglas de red virtual para los recursos de Foundry Tools a través de Azure Portal, PowerShell o la CLI de Azure.

Para conceder acceso a una red virtual con una regla de red existente:

Vaya al recurso de herramientas de Foundry que desea proteger.
Seleccione Administración de recursos para expandirlo y, a continuación, seleccione Redes.
Confirme que ha seleccionado Redes y puntos de conexión privados seleccionados.
En Permitir acceso desde, seleccione Agregar red virtual existente.
Seleccione las opciones Redes virtuales y Subredes y, a continuación, haga clic en Habilitar.

Nota:

Si un punto de conexión de servicio para Foundry Tools no se configuró previamente para la red virtual y subredes seleccionadas, puede configurarlo como parte de esta operación.

Actualmente, solo las redes virtuales que pertenecen al mismo inquilino de Microsoft Entra están disponibles para su selección durante la creación de la regla. Para conceder acceso a una subred de una red virtual que pertenece a otro inquilino, use PowerShell, la CLI de Azure o las API de REST.
Seleccione Guardar para aplicar los cambios.

Para crear una nueva red virtual y concederle acceso:

En la misma página que el procedimiento anterior, seleccione Agregar nueva red virtual.
Proporcione la información necesaria para crear la nueva red virtual y, luego, seleccione Crear.
Seleccione Guardar para aplicar los cambios.

Para eliminar una regla de red virtual o de subred:

En la misma página que los procedimientos anteriores, seleccione ... (Más opciones) para abrir el menú contextual de la subred o red virtual y seleccione Quitar.
Seleccione Guardar para aplicar los cambios.

Instale Azure PowerShell e inicie sesión, o bien seleccione Abrir Cloudshell.

Enumere las reglas de red virtual configuradas.

$parameters = @{
   "ResourceGroupName" = "myresourcegroup"
   "Name" = "myaccount"
}
(Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).VirtualNetworkRules

Habilite un punto de conexión de servicio para Foundry Tools en una red virtual y subred existente.

Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" `
    -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" `
    -AddressPrefix "CIDR" `
    -ServiceEndpoint "Microsoft.CognitiveServices" | Set-AzVirtualNetwork

Agregue una regla de red para una red virtual y subred.
```
$subParameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myvnet"
}
$subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"

$parameters = @{
    -ResourceGroupName "myresourcegroup"
    -Name "myaccount"
    -VirtualNetworkResourceId $subnet.Id
}
Add-AzCognitiveServicesAccountNetworkRule @parameters
```
Sugerencia

Para agregar una regla de red para una subred en una red virtual que pertenece a otro inquilino de Microsoft Entra, use un parámetro VirtualNetworkResourceId completo en el formulario /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

Quite una regla de red para una red virtual y subred.

$subParameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myvnet"
}
$subnet = Get-AzVirtualNetwork @subParameters | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "VirtualNetworkResourceId" = $subnet.Id
}
Remove-AzCognitiveServicesAccountNetworkRule @parameters

Instale la CLI de Azure e inicie sesión, o bien seleccione Abrir Cloudshell.

Enumere las reglas de red virtual configuradas.

az cognitiveservices account network-rule list \
    --resource-group "myresourcegroup" --name "myaccount" \
    --query virtualNetworkRules

Habilite un punto de conexión de servicio para Foundry Tools en una red virtual y subred existente.

az network vnet subnet update --resource-group "myresourcegroup" --name "mysubnet" \
--vnet-name "myvnet" --service-endpoints "Microsoft.CognitiveServices"

Agregue una regla de red para una red virtual y subred.
```
subnetid=$(az network vnet subnet show \
    --resource-group "myresourcegroup" --name "mysubnet" --vnet-name "myvnet" \
    --query id --output tsv)

# Use the captured subnet identifier as an argument to the network rule addition
az cognitiveservices account network-rule add \
    --resource-group "myresourcegroup" --name "myaccount" \
    --subnet $subnetid
```
Sugerencia

Para agregar una regla para una subred de una red virtual que pertenece a otro inquilino de Microsoft Entra, use un identificador de subred completo en el formulario /subscriptions/subscription-ID/resourceGroups/resourceGroup-Name/providers/Microsoft.Network/virtualNetworks/vNet-name/subnets/subnet-name.

Puede usar el parámetro --subscription para recuperar el identificador de subred de una red virtual que pertenece a otro inquilino de Microsoft Entra.

Quite una regla de red para una red virtual y subred.

$subnetid=(az network vnet subnet show \
    --resource-group "myresourcegroup" --name "mysubnet" --vnet-name "myvnet" \
    --query id --output tsv)

# Use the captured subnet identifier as an argument to the network rule removal
az cognitiveservices account network-rule remove \
    --resource-group "myresourcegroup" --name "myaccount" \
    --subnet $subnetid

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, las reglas de red no tendrán ningún efecto.

Concesión de acceso desde un intervalo IP de Internet

Puede configurar los recursos de Foundry Tools para permitir el acceso desde intervalos de direcciones IP de Internet públicos específicos. Esta configuración concede acceso a servicios específicos y redes locales, lo que bloquea el tráfico de Internet general de forma efectiva.

Puede especificar los intervalos de direcciones de Internet permitidos mediante el formato CIDR (RFC 4632) en el formulario 192.168.0.0/16 o como direcciones IP individuales, como 192.168.0.1.

Sugerencia

No se admiten los intervalos de dirección pequeños con tamaños de prefijos /31 o /32. Configure estos rangos utilizando reglas de direcciones IP individuales.

Las reglas de red IP solo se permiten para direcciones IP de Internet público. Los rangos de direcciones IP reservados para redes privadas no se permiten en las reglas de IP. Las redes privadas incluyen direcciones que comienzan por 10.*, 172.16.* - 172.31.* y 192.168.*. Para obtener más información, consulte Espacio de direcciones privadas (RFC 1918).

Actualmente, solo se admiten direcciones IPv4. Cada recurso de Foundry Tools admite hasta 100 reglas de red IP, que se pueden combinar con reglas de red virtual.

Configuración del acceso desde redes locales

Para conceder acceso desde las redes locales al recurso de Foundry Tools con una regla de red IP, identifique las direcciones IP accesibles desde Internet que usa la red. Para obtener ayuda, póngase en contacto con el administrador de red.

Si usa Azure ExpressRoute en el entorno local para el emparejamiento de Microsoft, deberá identificar las direcciones IP de NAT. Para más información, vea Qué es Azure ExpressRoute.

Para el emparejamiento de Microsoft, las direcciones IP de NAT que se utilizan las proporciona el cliente o el proveedor de servicios. Para permitir el acceso a los recursos de servicio, tiene que permitir estas direcciones IP públicas en la configuración del firewall de IP de recursos.

Administración de reglas de red IP

Puede administrar reglas de red IP para los recursos de Foundry Tools a través de Azure Portal, PowerShell o la CLI de Azure.

Vaya al recurso de herramientas de Foundry que desea proteger.
Seleccione Administración de recursos para expandirlo y, a continuación, seleccione Redes.
Confirme que ha seleccionado Redes y puntos de conexión privados seleccionados.
En Firewalls y redes virtuales, busca la opción Intervalo de direcciones. Para conceder acceso a un intervalo IP de Internet, escriba la dirección IP o el intervalo de direcciones (en formato CIDR). Solo se aceptan direcciones IP públicas válidas (no reservadas).

Para quitar una regla de red IP, selecciona el icono de la papelera junto al intervalo de direcciones.
Seleccione Guardar para aplicar los cambios.

Instale Azure PowerShell e inicie sesión, o bien seleccione Abrir Cloudshell.

Enumere las reglas de red IP configuradas.

$parameters = @{
  "ResourceGroupName" = "myresourcegroup"
  "Name" = "myaccount"
}
(Get-AzCognitiveServicesAccountNetworkRuleSet @parameters).IPRules

Agregue una regla de red para una dirección IP individual.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "ipaddress"
}
Add-AzCognitiveServicesAccountNetworkRule @parameters

Agregue una regla de red para un intervalo de direcciones IP.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "CIDR"
}
Add-AzCognitiveServicesAccountNetworkRule @parameters

Quite una regla de red para una dirección IP individual.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "ipaddress"
}
Remove-AzCognitiveServicesAccountNetworkRule @parameters

Quite una regla de red para un intervalo de direcciones IP.

$parameters = @{
    "ResourceGroupName" = "myresourcegroup"
    "Name" = "myaccount"
    "IPAddressOrRange" = "CIDR"
}
Remove-AzCognitiveServicesAccountNetworkRule @parameters

Instale la CLI de Azure e inicie sesión, o bien seleccione Abrir Cloudshell.

Enumere las reglas de red IP configuradas.

az cognitiveservices account network-rule list \
    --resource-group "myresourcegroup" --name "myaccount" --query ipRules

Agregue una regla de red para una dirección IP individual.

az cognitiveservices account network-rule add \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "ipaddress"

Agregue una regla de red para un intervalo de direcciones IP.

az cognitiveservices account network-rule add \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "CIDR"

Quite una regla de red para una dirección IP individual.

az cognitiveservices account network-rule remove \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "ipaddress"

Quite una regla de red para un intervalo de direcciones IP.

az cognitiveservices account network-rule remove \
    --resource-group "myresourcegroup" --name "myaccount" \
    --ip-address "CIDR"

Importante

Asegúrese de establecer la regla predeterminada en denegar o, de lo contrario, las reglas de red no tendrán ningún efecto.

Usar puntos de conexión privados

Puede usar puntos de conexión privados para los recursos de Foundry Tools para permitir que los clientes de una red virtual accedan de forma segura a los datos a través de Azure Private Link. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el recurso de Foundry Tools. El tráfico de red entre los clientes de la red virtual y el recurso atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft Azure, lo que elimina la exposición a la red pública de Internet.

Los puntos de conexión privados para los recursos de Foundry Tools le permiten:

Proteja el recurso de Foundry Tools mediante la configuración del firewall para bloquear todas las conexiones en el punto de conexión público de Foundry Tools.
Aumentar la seguridad de la red virtual, ya que permite bloquear la filtración de datos de la red virtual.
Conéctese de forma segura a los recursos de Foundry Tools desde redes locales que se conecten a la red virtual mediante Azure VPN Gateway o ExpressRoutes con emparejamiento privado.

Comprender los puntos de conexión privados

Un punto de conexión privado es una interfaz de red especial para un recurso de Azure en la red virtual. La creación de un punto de conexión privado para el recurso de Foundry Tools proporciona conectividad segura entre los clientes de la red virtual y el recurso. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de su red virtual. La conexión entre el punto de conexión privado y Foundry Tools usa un vínculo privado seguro.

Las aplicaciones de la red virtual pueden conectarse al servicio a través del punto de conexión privado sin problemas. Las conexiones usan las mismas cadenas de conexión y los mismos mecanismos de autorización que usarían en otros casos. La excepción es Speechs, que requiere un punto de conexión independiente. Para más información, consulte Puntos de conexión privados con Voz en este artículo. Los puntos de conexión privados se pueden usar con todos los protocolos admitidos por el recurso de Foundry Tools, incluido REST.

Los puntos de conexión privados se pueden crear en subredes que usan puntos de conexión de servicio. Los clientes de una subred pueden conectarse a un recurso de Foundry Tools mediante un punto de conexión privado, al tiempo que usan puntos de conexión de servicio para acceder a otros usuarios. Para obtener más información, consulte Puntos de conexión de servicio de Virtual Network.

Al crear un punto de conexión privado para un recurso foundry en la red virtual, Azure envía una solicitud de consentimiento para su aprobación al propietario del recurso de Foundry Tools. Si el usuario que solicita la creación del punto de conexión privado también es propietario del recurso, esta solicitud de consentimiento se aprueba automáticamente.

Los propietarios de recursos de Foundry Tools pueden administrar las solicitudes de consentimiento y los puntos de conexión privados a través de la pestaña Conexión de punto de conexión privado para el recurso de Foundry Tools en el portal de Azure.

Especificar puntos de conexión privados

Al crear un punto de conexión privado, especifique el recurso de Foundry Tools al que se conecta. Para más información acerca de la creación de un punto de conexión privado, consulte:

Conexión a puntos de conexión privados

Nota:

Azure OpenAI en Foundry Models usa una zona DNS privada diferente y un reenviador de zona DNS pública que otras herramientas de Foundry. Para conocer los nombres de zona y reenviador correctos, consulte Configuración de la zona DNS de servicios de Azure.

Advertencia

Las solicitudes de los clientes al punto de conexión privado DEBEN especificar el subdominio personalizado del recurso de Foundry Tools como la dirección URL base del punto de conexión. No llame a la URL interna *.privatelink.openai.azure.com, que forma parte de la resolución interna intermedia de CNAME dentro de Azure.

Los clientes de una red virtual que usan el punto de conexión privado usan la misma cadena de conexión para el recurso de Foundry Tools que los clientes que se conectan al punto de conexión público. La excepción es el servicio de voz, que requiere un punto de conexión independiente. Para más información, consulte Uso de puntos de conexión privados con los servicios de voz en este artículo. La resolución DNS enruta automáticamente las conexiones de la red virtual al recurso de Foundry Tools a través de un vínculo privado.

De forma predeterminada, Azure crea una zona DNS privada, asociada con la red virtual, que incluye las actualizaciones que necesitan los puntos de conexión privados. Si usa su propio servidor DNS, puede que tenga que realizar más cambios en la configuración de DNS. Para conocer las actualizaciones que podrían ser necesarias para los puntos de conexión privados, consulte Aplicación de cambios de DNS para puntos de conexión privados en este artículo.

Uso de puntos de conexión privados con el servicio de voz

Consulte Uso del servicio de voz mediante un punto de conexión privado.

Aplicación de cambios de DNS para puntos de conexión privados

Al crear un punto de conexión privado, el registro de recursos DNS CNAME para el recurso de Foundry Tools se actualiza a un alias de un subdominio con el prefijo privatelink. De manera predeterminada, Azure también crea una zona DNS privada, que se corresponde con el subdominio privatelink, con los registros de recursos A de DNS para los puntos de conexión privados. Para más información, consulte Qué es el DNS privado de Azure.

Al resolver la URL del punto de conexión desde fuera de la red virtual con el punto de conexión privado, se redirige al punto de conexión público del recurso Foundry Tools. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión se resuelve en la dirección IP del punto de conexión privado.

Este enfoque permite el acceso al recurso de Foundry Tools mediante la misma cadena de conexión para los clientes de la red virtual que hospeda los puntos de conexión privados y los clientes fuera de la red virtual.

Si usa un servidor DNS personalizado en la red, los clientes deben ser capaces de resolver el nombre de dominio completo (FQDN) del punto de conexión del recurso de Foundry Tools en la dirección IP del punto de conexión privado. Configure el servidor DNS para delegar el subdominio del vínculo privado a la zona DNS privada de la red virtual.

Sugerencia

AI usar un servidor DNS personalizado o local, debe configurarlo para resolver el nombre del recurso de Foundry Tools en el subdominio privatelink en la dirección IP del punto de conexión privado. Delegue el subdominio privatelink a la zona DNS privada de la red virtual. Como alternativa, configure la zona DNS en el servidor DNS y agregue los registros A de DNS.

Para más información sobre cómo configurar su propio servidor DNS para que admita puntos de conexión privados, consulte los recursos siguientes:

Concesión de acceso a servicios de Azure de confianza para Azure OpenAI

Puede conceder a un subconjunto de servicios de Azure de confianza acceso a Azure OpenAI y mantener la mismo tiempo las reglas de red para otras aplicaciones. Así, estos servicios de confianza usarán la identidad administrada para autenticar el servicio de Azure OpenAI. En la tabla siguiente se enumeran los servicios que pueden acceder a Azure OpenAI si la identidad administrada de esos servicios tiene la asignación de roles adecuada.

Servicio	Nombre del proveedor de recursos
Herramientas de fundición	`Microsoft.CognitiveServices`
Azure Machine Learning	`Microsoft.MachineLearningServices`
Azure Search	`Microsoft.Search`

Puede conceder acceso a servicios de Azure de confianza mediante la creación de una excepción de regla de red con la API de REST o Azure Portal:

Uso de la CLI de Azure


accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Foundry Tools resource name>"

curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
    "properties":
    {
        "networkAcls": {
            "bypass": "AzureServices"
        }
    }
}
'

Para revocar la excepción, establezca networkAcls.bypass en None.

Para comprobar si el servicio de confianza se ha habilitado desde Azure Portal,

Use la vista JSON desde la página de información general del recurso de Azure OpenAI
Elija la versión más reciente de la API en Versiones de API. Solo se admite la versión más reciente de la API, 2023-10-01-preview.

Uso de Azure Portal

Vaya al recurso de Azure OpenAI y seleccione Redes en el menú de navegación.
En Excepciones, seleccione Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de Cognitive Services.

Sugerencia

Puede ver la opción Excepciones seleccionando Redes seleccionadas y puntos de conexión privados o Deshabilitado en Permitir acceso desde.

Precios

Para más información sobre los precios, consulte Precios de Azure Private Link.

Pasos siguientes

Explorar las diversas herramientas de fundición
Más información sobre los puntos de conexión de servicio de red virtual

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-01-06

Compartir a través de

Configuración de redes virtuales de Foundry Tools

Escenarios

Ofertas de servicio y regiones admitidas

Modificación de la regla de acceso de red predeterminada

Administrar reglas de acceso de red predeterminadas

Concesión de acceso desde una red virtual

Establecer los permisos necesarios

Configurar las reglas de red virtual

Concesión de acceso desde un intervalo IP de Internet

Configuración del acceso desde redes locales

Administración de reglas de red IP

Usar puntos de conexión privados

Comprender los puntos de conexión privados

Especificar puntos de conexión privados

Conexión a puntos de conexión privados

Uso de puntos de conexión privados con el servicio de voz

Aplicación de cambios de DNS para puntos de conexión privados

Concesión de acceso a servicios de Azure de confianza para Azure OpenAI

Uso de la CLI de Azure

Uso de Azure Portal

Precios

Pasos siguientes

Comentarios

Recursos adicionales