Udostępnij przez

Konfigurowanie sieci wirtualnych narzędzi Foundry

Narzędzia Foundry udostępniają model zabezpieczeń warstwowych. Ten model umożliwia zabezpieczenie kont narzędzi Foundry Tools do określonego podzestawu sieci. Po skonfigurowaniu reguł sieci tylko aplikacje, które żądają danych za pośrednictwem określonego zestawu sieci, mogą uzyskiwać dostęp do konta. Dostęp do zasobów można ograniczyć za pomocą filtrowania żądań, co umożliwia wysyłanie żądań pochodzących tylko z określonych adresów IP, zakresów adresów IP lub z listy podsieci w sieciach wirtualnych platformy Azure.

Aplikacja, która uzyskuje dostęp do zasobu foundry, gdy reguły sieci są w mocy, wymaga autoryzacji. Autoryzacja jest obsługiwana przy użyciu poświadczeń Microsoft Entra ID lub prawidłowego klucza API.

Ważne

Włączenie reguł zapory dla konta narzędzi Foundry Tools domyślnie blokuje przychodzące żądania dotyczące danych. Aby dopuścić żądania, należy spełnić jeden z następujących warunków:

  • Żądanie pochodzi z usługi działającej w ramach sieci wirtualnej Azure na liście dozwolonych podsieci docelowego konta narzędzi platformy Foundry. Żądanie punktu docelowego pochodzące z sieci wirtualnej musi być ustawione jako niestandardowa poddomena konta Foundry Tools.
  • Żądanie pochodzi z listy dozwolonych adresów IP.

Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal oraz z usług rejestrowania i metryk.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Scenariusze

Aby zabezpieczyć zasób narzędzi Foundry, należy najpierw skonfigurować regułę w celu odmowy dostępu do ruchu ze wszystkich sieci, w tym ruchu internetowego, domyślnie. Następnie skonfiguruj reguły, które udzielają dostępu do ruchu z określonych sieci wirtualnych. Ta konfiguracja umożliwia utworzenie bezpiecznej granicy sieci dla aplikacji. Możesz również skonfigurować reguły udzielania dostępu do ruchu z wybranych zakresów publicznych adresów IP internetowych i włączać połączenia z określonych klientów internetowych lub lokalnych.

Reguły sieci są wymuszane na wszystkich protokołach sieciowych do narzędzi Foundry Tools, w tym REST i WebSocket. Aby uzyskać dostęp do danych przy użyciu narzędzi, takich jak konsole testowe platformy Azure, należy skonfigurować jawne reguły sieciowe. Reguły sieciowe można stosować do istniejących zasobów narzędzi Foundry Tools lub podczas tworzenia nowych zasobów narzędzi Foundry Tools. Po zastosowaniu reguł sieci, są one egzekwowane dla wszystkich żądań.

Obsługiwane regiony i oferty obsługi

Sieci wirtualne są obsługiwane w regionach, w których są dostępne narzędzia Foundry. Narzędzia Foundry obsługują tagi usług dla konfiguracji reguł sieciowych. Wymienione tutaj usługi są uwzględnione w tagu CognitiveServicesManagement usługi.

  • Narzędzie do wykrywania anomalii
  • Azure OpenAI
  • Content Moderator
  • Custom Vision
  • rozpoznawanie twarzy
  • Rozumienie Języka (LUIS)
  • Personalizacja
  • Usługa rozpoznawania mowy
  • Język
  • QnA Maker
  • Translator

Uwaga

Jeśli używasz usługi Azure OpenAI, LUIS, Speechs lub Languages, CognitiveServicesManagement tag umożliwia korzystanie tylko z usługi przy użyciu zestawu SDK lub interfejsu API REST. Aby uzyskać dostęp do portalu Microsoft Foundry, portalu usługi LUIS, programu Speech Studio lub programu Language Studio z sieci wirtualnej i korzystać z niego, należy użyć następujących tagów:

  • AzureActiveDirectory
  • AzureFrontDoor.Frontend
  • AzureResourceManager
  • CognitiveServicesManagement
  • CognitiveServicesFrontEnd
  • Storage (Tylko program Speech Studio)

Aby uzyskać informacje na temat konfiguracji portalu Foundry , zobacz dokumentację rozwiązania Foundry.

Zmienianie domyślnej reguły dostępu do sieci

Domyślnie zasoby narzędzi Foundry akceptują połączenia od klientów w dowolnej sieci. Aby zawęzić dostęp do grupy wybranych sieci, należy najpierw zmienić akcję domyślną.

Ostrzeżenie

Wprowadzanie zmian w regułach sieciowych może mieć wpływ na możliwość łączenia aplikacji z narzędziami Foundry. Ustawienie domyślnej reguły sieciowej na odmowę blokuje cały dostęp do danych, chyba że zostaną zastosowane określone reguły sieciowe, które udzielają dostępu.

Przed zmianą reguły domyślnej w celu odmowy dostępu należy udzielić dostępu do dowolnych dozwolonych sieci przy użyciu reguł sieciowych. Jeśli zezwolisz na wyświetlanie listy adresów IP dla sieci lokalnej, pamiętaj, aby dodać wszystkie możliwe wychodzące publiczne adresy IP z sieci lokalnej.

Zarządzanie domyślnymi regułami dostępu sieciowego

Domyślne reguły dostępu do sieci dla zasobów narzędzi foundry można zarządzać za pośrednictwem witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

  1. Przejdź do zasobu Foundry Tools, który chcesz zabezpieczyć.

  2. Wybierz pozycję Zarządzanie zasobami , aby ją rozwinąć, a następnie wybierz pozycję Sieć.

    Zrzut ekranu przedstawia stronę sieci z wybranymi sieciami i prywatnymi punktami końcowymi.

  3. Aby domyślnie odmówić dostępu, w obszarze Zapory i sieci wirtualne wybierz pozycję Wybrane sieci i prywatne punkty końcowe.

    Przy tym ustawieniu, bez skonfigurowanych sieci wirtualnych lub zakresów adresów, cały dostęp jest skutecznie blokowany. Gdy cały dostęp zostanie odrzucony, żądania, które próbują korzystać z zasobu narzędzi Foundry, nie są dozwolone. Za pomocą portalu Azure, programu Azure PowerShell lub Azure CLI można wciąż konfigurować zasób narzędzi foundry.

  4. Aby zezwolić na ruch ze wszystkich sieci, wybierz pozycję Wszystkie sieci.

    Zrzut ekranu przedstawia stronę Sieć z wybraną opcją Wszystkie sieci.

  5. Wybierz pozycję Zapisz, aby zastosować zmiany.

Udzielanie dostępu z sieci wirtualnej

Zasoby narzędzi foundry można skonfigurować tak, aby zezwalały na dostęp tylko z określonych podsieci. Dozwolone podsieci mogą należeć do sieci wirtualnej w tej samej subskrypcji lub w innej subskrypcji. Inna subskrypcja może należeć do innej dzierżawy firmy Microsoft Entra. Jeśli podsieć należy do innej subskrypcji, dostawca zasobów Microsoft.CognitiveServices musi być również zarejestrowany dla tej subskrypcji.

Włącz punkt końcowy usługi dla narzędzi Foundry Tools w sieci wirtualnej. Punkt końcowy usługi kieruje ruch z sieci wirtualnej przez optymalną ścieżkę do narzędzi Foundry. Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej.

Tożsamości podsieci oraz sieci wirtualnej są również przekazywane przy każdym żądaniu. Administratorzy mogą następnie skonfigurować reguły sieci dla zasobu narzędzi Foundry, aby zezwolić na żądania z określonych podsieci w sieci wirtualnej. Klienci, którym udzielono dostępu przez te reguły sieciowe, muszą nadal spełniać wymagania autoryzacji zasobu narzędzia Foundry w celu uzyskania dostępu do danych.

Każdy zasób narzędzi Foundry tools obsługuje maksymalnie 100 reguł sieci wirtualnej, które można łączyć z regułami sieci IP. Aby uzyskać więcej informacji, zobacz Udzielanie dostępu z zakresu adresów IP w Internecie w dalszej części tego artykułu.

Ustawianie wymaganych uprawnień

Aby zastosować regułę sieci wirtualnej do zasobu usługi Foundry, należy dodać odpowiednie uprawnienia dla podsieci. Wymagana rola to domyślna rola współautora lub współautora usług Cognitive Services. Wymagane uprawnienia można również dodać do niestandardowych definicji ról.

Zasób narzędzi Foundry oraz sieci wirtualne, do których przydzielono dostęp, mogą być w różnych subskrypcjach, w tym w subskrypcjach należących do innego dzierżawcy Microsoft Entra.

Uwaga

Konfiguracja reguł umożliwiających dostęp do podsieci w sieciach wirtualnych, które są częścią innej dzierżawy Microsoft Entra, jest obecnie obsługiwana tylko za pośrednictwem PowerShell, interfejsu wiersza polecenia Azure i interfejsów API REST. Te reguły można wyświetlić w witrynie Azure Portal, ale nie można ich skonfigurować.

Konfigurowanie reguł sieci wirtualnej

Regułami sieci wirtualnej dla zasobów Foundry Tools można zarządzać za pośrednictwem portalu Azure, PowerShell lub interfejsu wiersza polecenia Azure.

Aby udzielić dostępu do sieci wirtualnej przy użyciu istniejącej reguły sieci:

  1. Przejdź do zasobu Foundry Tools, który chcesz zabezpieczyć.

  2. Wybierz pozycję Zarządzanie zasobami , aby ją rozwinąć, a następnie wybierz pozycję Sieć.

  3. Upewnij się, że wybrano pozycję Wybrane sieci i prywatne punkty końcowe.

  4. W obszarze Zezwalaj na dostęp wybierz pozycję Dodaj istniejącą sieć wirtualną.

    Zrzut ekranu przedstawia stronę Sieciową z zaznaczonymi sieciami i prywatnymi punktami końcowymi oraz wyróżnioną opcją Dodaj istniejącą sieć wirtualną.

  5. Wybierz opcje Sieci wirtualne i podsieci, a następnie wybierz pozycję Włącz.

    Zrzut ekranu przedstawia okno dialogowe Dodawanie sieci, w którym można wprowadzić sieć wirtualną i podsieć.

    Uwaga

    Jeśli punkt końcowy usługi dla narzędzi Foundry Tools nie został wcześniej skonfigurowany dla wybranej sieci wirtualnej i podsieci, możesz skonfigurować go w ramach tej operacji.

    Obecnie do wyboru podczas tworzenia reguły są dostępne tylko sieci wirtualne należące do tej samej dzierżawy firmy Microsoft Entra. Aby udzielić dostępu do podsieci w sieci wirtualnej należącej do innego użytkownika, użyj programu PowerShell, interfejsu wiersza polecenia Azure lub interfejsów API REST.

  6. Wybierz pozycję Zapisz, aby zastosować zmiany.

Aby utworzyć nową sieć wirtualną i przyznać jej dostęp:

  1. Na tej samej stronie co poprzednia procedura wybierz pozycję Dodaj nową sieć wirtualną.

    Zrzut ekranu przedstawiający stronę Sieć z wybranymi sieciami i prywatnymi punktami końcowymi i wyróżnioną pozycją Dodaj nową sieć wirtualną.

  2. Podaj informacje niezbędne do utworzenia nowej sieci wirtualnej, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okno dialogowe Tworzenie sieci wirtualnej.

  3. Wybierz pozycję Zapisz, aby zastosować zmiany.

Aby usunąć sieć wirtualną lub regułę podsieci:

  1. Na tej samej stronie co poprzednie procedury wybierz pozycję ... (Więcej opcji) aby otworzyć menu kontekstowe dla sieci wirtualnej lub podsieci, a następnie wybierz pozycję Usuń.

    Zrzut ekranu przedstawia opcję usunięcia sieci wirtualnej.

  2. Wybierz pozycję Zapisz, aby zastosować zmiany.

Ważne

Pamiętaj, aby ustawić regułę domyślną na odmowę lub reguły sieciowe nie mają wpływu.

Udzielanie dostępu z zakresu internetowych adresów IP

Zasoby narzędzi foundry można skonfigurować, aby zezwolić na dostęp z określonych zakresów publicznych adresów IP internetowych. Ta konfiguracja zapewnia dostęp do określonych usług i sieci lokalnych, co skutecznie blokuje ogólny ruch internetowy.

Dozwolone zakresy adresów internetowych można określić przy użyciu formatu CIDR (RFC 4632) w formularzu 192.168.0.0/16 lub jako pojedynczych adresów IP, takich jak 192.168.0.1.

Napiwek

Małe zakresy adresów, które używają prefiksu o rozmiarze /31 lub /32, nie są obsługiwane. Skonfiguruj te zakresy przy użyciu poszczególnych reguł adresów IP.

Reguły sieci IP są dozwolone tylko dla publicznych internetowych adresów IP. Zakresy adresów IP zarezerwowane dla sieci prywatnych nie są dozwolone w regułach adresów IP. Sieci prywatne obejmują adresy rozpoczynające się od 10.*,172.16.* - 172.31.* i .192.168.* Aby uzyskać więcej informacji, zobacz Prywatna przestrzeń adresowa (RFC 1918).

Obecnie obsługiwane są tylko adresy IPv4. Każdy zasób narzędzi Foundry tools obsługuje maksymalnie 100 reguł sieci IP, które można łączyć z regułami sieci wirtualnej.

Konfigurowanie dostępu z sieci lokalnych

Aby udzielić dostępu z sieci lokalnych do zasobu narzędzi Foundry Tools za pomocą reguły sieci IP, zidentyfikuj adresy IP używane przez sieć. Skontaktuj się z administratorem sieci, aby uzyskać pomoc.

Jeśli używasz usługi Azure ExpressRoute lokalnie do peeringu z Microsoft, musisz zidentyfikować adresy IP NAT. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure ExpressRoute.

W przypadku peeringu z Microsoftem, używane adresy IP NAT są dostarczane przez klienta lub przez dostawcę usług. Aby umożliwić dostęp do zasobów usługi, musisz zezwolić na te publiczne adresy IP w ustawieniu zapory adresu IP zasobu.

Zarządzanie regułami sieci IP

Regułami sieci adresów IP dla zasobów Foundry Tools można zarządzać za pośrednictwem portalu Azure, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

  1. Przejdź do zasobu Foundry Tools, który chcesz zabezpieczyć.

  2. Wybierz pozycję Zarządzanie zasobami , aby ją rozwinąć, a następnie wybierz pozycję Sieć.

  3. Upewnij się, że wybrano pozycję Wybrane sieci i prywatne punkty końcowe.

  4. W obszarze Zapory i sieci wirtualne znajdź opcję Zakres adresów. Aby udzielić dostępu do zakresu internetowych adresów IP, wprowadź adres IP lub zakres adresów (w formacie CIDR). Akceptowane są tylko prawidłowe publiczne adresy IP (bez zastrzeżeń).

    Zrzut ekranu przedstawiający stronę Sieci z wybranymi sieciami i prywatnymi punktami końcowymi oraz wyróżnionym zakresem adresów.

    Aby usunąć regułę sieci IP, wybierz ikonę kosza obok zakresu adresów.

  5. Wybierz pozycję Zapisz, aby zastosować zmiany.

Ważne

Pamiętaj, aby ustawić regułę domyślną na odmowę lub reguły sieciowe nie mają wpływu.

Używanie prywatnych punktów końcowych

Możesz użyć prywatnych punktów końcowych dla zasobów narzędzi Foundry Tools, aby umożliwić klientom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem usługi Azure Private Link. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla zasobu narzędzia Foundry Tools. Ruch sieciowy między klientami w sieci wirtualnej a zasobem przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej platformy Microsoft Azure, co eliminuje narażenie z publicznego Internetu.

Prywatne punkty końcowe dla zasobów narzędzi Foundry Tools umożliwiają:

  • Zabezpiecz zasób narzędzi Foundry, konfigurując zaporę w celu blokowania wszystkich połączeń w publicznym punkcie końcowym narzędzi Foundry Tools.
  • Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
  • Bezpiecznie nawiązuj połączenie z zasobami narzędzi Foundry Tools z sieci lokalnych łączących się z siecią wirtualną przy użyciu Azure VPN Gateway lub ExpressRoute z prywatnym peeringiem.

Zrozumienie prywatnych punktów końcowych

Prywatny punkt końcowy to specjalny interfejs sieciowy dla zasobu platformy Azure w sieci wirtualnej. Utworzenie prywatnego punktu końcowego dla zasobu narzędzi Foundry tools zapewnia bezpieczną łączność między klientami w sieci wirtualnej a zasobem. Prywatny punkt końcowy ma przypisany adres IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym i narzędziami Foundry korzysta z bezpiecznego łącza prywatnego.

Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z usługą za pośrednictwem prywatnego punktu końcowego. Połączenia używają tych samych parametrów połączenia i mechanizmów autoryzacji, które byłyby używane w przeciwnym razie. Wyjątek to Mowa, która wymaga oddzielnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Prywatne punkty końcowe z wystąpieniami w tym artykule. Prywatne punkty końcowe mogą być używane ze wszystkimi protokołami obsługiwanymi przez zasób narzędzi Foundry, w tym REST.

Prywatne punkty końcowe można tworzyć w podsieciach korzystających z punktów końcowych usługi. Klienci w podsieci mogą łączyć się z jednym zasobem narzędzi Foundry Tools przy użyciu prywatnego punktu końcowego, a jednocześnie korzystać z punktów końcowych usługi w celu uzyskania dostępu do innych. Aby uzyskać więcej informacji, zobacz Punkty końcowe usługi dla sieci wirtualnej.

Podczas tworzenia prywatnego punktu końcowego dla zasobu foundry w sieci wirtualnej platforma Azure wysyła żądanie zgody do zatwierdzenia do właściciela zasobu narzędzi Foundry Tools. Jeśli użytkownik, który żąda utworzenia prywatnego punktu końcowego, jest również właścicielem zasobu, to żądanie zgody zostanie automatycznie zatwierdzone.

Właściciele zasobów narzędzi Foundry mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi za pomocą karty Połączenie prywatnego punktu końcowego dla zasobu narzędzi Foundry w witrynie Azure Portal.

Określanie prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego określ zasób systemu Foundry Tools, z którym nawiązuje połączenie. Aby uzyskać więcej informacji na temat tworzenia prywatnego punktu końcowego, zobacz:

Nawiązywanie połączenia z prywatnymi punktami końcowymi

Uwaga

Usługa Azure OpenAI w modelach Foundry używa innej prywatnej strefy DNS i publicznego przekierowywacza strefy DNS niż inne narzędzia Foundry. Aby uzyskać poprawne nazwy stref i forwarderów, zobacz Konfiguracja stref DNS dla usług platformy Azure.

Ostrzeżenie

Żądania od klientów do prywatnego punktu końcowego MUSZĄ określać niestandardową poddomenę zasobu narzędzia Foundry Jako podstawowy adres URL punktu końcowego. Nie należy wywoływać wewnętrznego adresu URL *.privatelink.openai.azure.com, który jest częścią pośredniego rozpoznawania rekordu CNAME w ramach infrastruktury Azure.

Klienci w sieci wirtualnej, którzy korzystają z prywatnego punktu końcowego, używają tych samych parametrów połączenia dla zasobu narzędzia Foundry Tools, co klienci łączący się z publicznym punktem końcowym. Wyjątkiem jest usługa rozpoznawania mowy, która wymaga oddzielnego endpointu. Aby uzyskać więcej informacji, zobacz Używanie prywatnych punktów końcowych z usługą Speech w tym artykule. Rozwiązanie DNS automatycznie przekierowuje połączenia z sieci wirtualnej do zasobu Foundry Tools przez łącze prywatne.

Domyślnie platforma Azure tworzy prywatną strefę DNS dołączoną do sieci wirtualnej z niezbędnymi aktualizacjami dla prywatnych punktów końcowych. Jeśli używasz własnego serwera DNS, może być konieczne wprowadzenie większej liczby zmian w konfiguracji DNS. Aby uzyskać informacje o aktualizacjach, które mogą być wymagane w przypadku prywatnych punktów końcowych, zobacz Stosowanie zmian DNS dla prywatnych punktów końcowych w tym artykule.

Korzystanie z prywatnych punktów końcowych w usłudze rozpoznawania mowy

Zobacz Używanie usługi Mowa za pośrednictwem prywatnego punktu końcowego.

Stosowanie zmian DNS dla prywatnych punktów końcowych

Podczas tworzenia prywatnego punktu końcowego rekord zasobu DNS CNAME dla zasobu narzędzia Foundry jest aktualizowany do aliasu w poddomenie z prefiksem privatelink. Domyślnie platforma Azure tworzy również prywatną strefę DNS odpowiadającą privatelink poddomenie z rekordami zasobów DNS A dla prywatnych punktów końcowych. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Prywatna strefa DNS.

Po rozpoznaniu adresu URL punktu końcowego spoza sieci wirtualnej za pomocą prywatnego punktu końcowego jest rozpoznawany jako publiczny punkt końcowy zasobu narzędzia Foundry Tools. Po rozpoznaniu go z sieci wirtualnej obsługującej prywatny punkt końcowy adres URL punktu końcowego jest rozpoznawany jako adres IP prywatnego punktu końcowego.

Takie podejście umożliwia dostęp do zasobu Foundry Tools przy użyciu tego samego stringu połączenia dla klientów w sieci wirtualnej, która hostuje prywatne punkty końcowe, i klientów spoza sieci wirtualnej.

Jeśli używasz niestandardowego serwera DNS w sieci, klienci muszą mieć możliwość rozpoznawania w pełni kwalifikowanej nazwy domeny (FQDN) dla punktu końcowego zasobu narzędzi Foundry Tools do prywatnego adresu IP punktu końcowego. Skonfiguruj serwer DNS, aby delegować poddomenę łącza prywatnego do prywatnej strefy DNS dla sieci wirtualnej.

Napiwek

W przypadku używania niestandardowego lub lokalnego serwera DNS należy skonfigurować serwer DNS tak, aby rozpoznawał nazwę zasobu narzędzia Foundry w privatelink poddomenie na prywatny adres IP punktu końcowego. Delegowanie privatelink poddomeny do prywatnej strefy DNS sieci wirtualnej. Alternatywnie skonfiguruj strefę DNS na serwerze DNS i dodaj rekordy DNS A.

Aby uzyskać więcej informacji na temat konfigurowania własnego serwera DNS do obsługi prywatnych punktów końcowych, zobacz następujące zasoby:

Udzielanie dostępu do zaufanych usług platformy Azure dla usługi Azure OpenAI

Przy zachowaniu reguł sieciowych dla innych aplikacji można udzielić podzestawu zaufanych usług platformy Azure dostępu do usługi Azure OpenAI. Te zaufane usługi będą następnie używać tożsamości zarządzanej do uwierzytelniania usługi Azure OpenAI. W poniższej tabeli wymieniono usługi, które mogą uzyskiwać dostęp do usługi Azure OpenAI, jeśli tożsamość zarządzana tych usług ma odpowiednie przypisanie roli.

Usługa Nazwa dostawcy zasobów
Narzędzia foundry Microsoft.CognitiveServices
Azure Machine Learning Microsoft.MachineLearningServices
Azure Search Microsoft.Search

Dostęp sieciowy do zaufanych usług platformy Azure można udzielić, tworząc wyjątek reguły sieci przy użyciu interfejsu API REST lub witryny Azure Portal:

Korzystanie z Azure CLI


accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Foundry Tools resource name>"

curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
    "properties":
    {
        "networkAcls": {
            "bypass": "AzureServices"
        }
    }
}
'

Aby odwołać wyjątek, ustaw networkAcls.bypass na None.

Aby sprawdzić, czy zaufana usługa została włączona w witrynie Azure Portal,

  1. Użyj widoku JSON na stronie przeglądu zasobu usługi Azure OpenAI

    Zrzut ekranu przedstawiający opcję widoku JSON dla zasobów w witrynie Azure Portal.

  2. Wybierz najnowszą wersję interfejsu API w obszarze Wersje interfejsu API. Obsługiwana jest tylko najnowsza wersja interfejsu API. 2023-10-01-preview

    Zrzut ekranu przedstawiający włączoną zaufaną usługę.

Korzystanie z witryny Azure Portal

  1. Przejdź do zasobu azure OpenAI i wybierz pozycję Sieć z menu nawigacji.

  2. W obszarze Wyjątki wybierz Zezwalaj zaufanym usługom Azure na dostęp do tego konta Cognitive Services.

    Napiwek

    Możesz wyświetlić opcję Wyjątki , wybierając pozycję Wybrane sieci i prywatne punkty końcowe lub Wyłączone w obszarze Zezwalaj na dostęp z.

    Zrzut ekranu przedstawiający ustawienia sieciowe zasobu w witrynie Azure Portal.

Cennik

Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Azure Private Link.

Następne kroki

  • Last updated on