Partilhar via

Configurar redes virtuais Foundry Tools

As Foundry Tools fornecem um modelo de segurança em camadas. Este modelo permite-lhe proteger as suas contas Foundry Tools a um subconjunto específico de redes. Quando as regras de rede são configuradas, apenas os aplicativos que solicitam dados no conjunto especificado de redes podem acessar a conta. Você pode limitar o acesso aos seus recursos com a filtragem de solicitações, que permite solicitações originadas apenas de endereços IP especificados, intervalos de IP ou de uma lista de sub-redes nas Redes Virtuais do Azure.

Uma aplicação que acede a um recurso Foundry quando as regras de rede estão em vigor requer autorização. A autorização é suportada com credenciais do Microsoft Entra ID ou com uma chave de API válida.

Importante

Ativar as regras de firewall para a sua conta Foundry Tools bloqueia por defeito pedidos de dados recebidos. Para permitir a passagem de pedidos, é necessário cumprir uma das seguintes condições:

  • O pedido origina-se de um serviço que opera dentro de uma Rede Virtual Azure na lista de sub-redes permitidas da conta Foundry Tools-alvo. O pedido de endpoint que se originou da rede virtual tem de ser definido como o subdomínio personalizado da sua conta Foundry Tools.
  • O pedido tem origem numa lista permitida de endereços IP.

As solicitações bloqueadas incluem as de outros serviços do Azure, do portal do Azure e de serviços de registro em log e métricas.

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Cenários

Para proteger o seu recurso Foundry Tools, deve primeiro configurar uma regra para negar o acesso ao tráfego de todas as redes, incluindo o tráfego da internet, por defeito. Em seguida, configure regras que concedam acesso ao tráfego de redes virtuais específicas. Essa configuração permite que você crie um limite de rede seguro para seus aplicativos. Você também pode configurar regras para conceder acesso ao tráfego de intervalos de endereços IP públicos selecionados da Internet e habilitar conexões de clientes específicos da Internet ou locais.

As regras de rede são aplicadas em todos os protocolos de rede ao Foundry Tools, incluindo REST e WebSocket. Para acessar dados usando ferramentas como os consoles de teste do Azure, regras de rede explícitas devem ser configuradas. Pode aplicar regras de rede a recursos existentes do Foundry Tools, ou quando criar novos recursos do Foundry Tools. Depois que as regras de rede são aplicadas, elas são aplicadas para todas as solicitações.

Regiões e ofertas de serviços suportadas

Redes virtuais são suportadas em regiões onde as Foundry Tools estão disponíveis. O Foundry Tools suporta etiquetas de serviço para a configuração das regras de rede. Os serviços listados aqui estão incluídos na CognitiveServicesManagement etiqueta de serviço.

  • Detetor de Anomalias
  • Azure OpenAI
  • Content Moderator
  • Visão Personalizada
  • Face
  • Compreensão de Idiomas (LUIS)
  • Personalizador
  • Serviço de voz
  • Linguagem
  • Criador de FAQ
  • Tradução

Nota

Se usar Azure OpenAI, LUIS, Speechs ou Languages, a CognitiveServicesManagement etiqueta só lhe permite usar o serviço usando o SDK ou a API REST. Para aceder e utilizar o portal Microsoft Foundry, portal LUIS, Speech Studio ou Language Studio a partir de uma rede virtual, precisa de usar as seguintes etiquetas:

  • AzureActiveDirectory
  • AzureFrontDoor.Frontend
  • AzureResourceManager
  • CognitiveServicesManagement
  • CognitiveServicesFrontEnd
  • Storage (Apenas Speech Studio)

Para informações sobre configurações do portal Foundry , consulte a documentação Foundry.

Change the default network access rule (Alterar a regra de acesso de rede predefinida)

Por defeito, os recursos do Foundry Tools aceitam ligações de clientes em qualquer rede. Para limitar o acesso às redes selecionadas, primeiro tem de alterar a ação predefinida.

Aviso

Fazer alterações às regras de rede pode afetar a capacidade das suas aplicações de se ligarem ao Foundry Tools. Definir a regra de rede padrão para negar bloqueia todo o acesso aos dados, a menos que regras de rede específicas que concedem acesso também sejam aplicadas.

Antes de alterar a regra padrão para negar acesso, certifique-se de conceder acesso a todas as redes permitidas usando regras de rede. Se você permitir a listagem de endereços IP para sua rede local, certifique-se de adicionar todos os endereços IP públicos de saída possíveis de sua rede local.

Gerir regras de acesso de rede predefinidas

Pode gerir as regras de acesso à rede predefinidas para recursos do Foundry Tools utilizando o portal Azure, o PowerShell ou a Azure CLI.

  1. Vai ao recurso Foundry Tools que queres garantir.

  2. Selecione Gerenciamento de Recursos para expandi-lo e, em seguida, selecione Rede. Para negar o acesso por padrão, em Firewalls e redes virtuais, selecione Redes Selecionadas e Pontos de Extremidade Privados.

    A captura de tela mostra a página Rede com Redes Selecionadas e Pontos de Extremidade Privados selecionados.

    Somente com essa configuração, desacompanhada de redes virtuais ou intervalos de endereços configurados, todo o acesso é efetivamente negado. Quando todo o acesso é negado, pedidos que tentem consumir o recurso Foundry Tools não são permitidos. O portal Azure, Azure PowerShell ou Azure CLI ainda podem ser usados para configurar o recurso Foundry Tools.

  3. Para permitir tráfego de todas as redes, selecione Todas as redes.

    A captura de tela mostra a página Rede com Todas as redes selecionadas.

  4. Selecione Guardar para aplicar as alterações.

Conceder acesso a partir de uma rede virtual

Pode configurar os recursos do Foundry Tools para permitir o acesso apenas a partir de sub-redes específicas. As sub-redes permitidas podem pertencer a uma rede virtual na mesma assinatura ou em uma assinatura diferente. A outra assinatura pode pertencer a um tenant diferente do Microsoft Entra. Quando a sub-rede pertence a uma assinatura diferente, o provedor de recursos Microsoft.CognitiveServices também precisa estar registrado para essa assinatura.

Ative um endpoint de serviço para o Foundry Tools dentro da rede virtual. O endpoint de serviço encaminha o tráfego da rede virtual através de um caminho ótimo para as Foundry Tools. Para obter mais informações, consulte Pontos de extremidade de serviço de Rede Virtual.

As identidades da sub-rede e da rede virtual também são transmitidas com cada pedido. Os administradores podem então configurar regras de rede para o recurso Foundry Tools, permitindo pedidos de sub-redes específicas numa rede virtual. Os clientes autorizados por estas regras de rede devem continuar a cumprir os requisitos de autorização do recurso Foundry Tools para aceder aos dados.

Cada recurso das Foundry Tools suporta até 100 regras de rede virtual, que podem ser combinadas com regras de rede IP. Para obter mais informações, consulte Conceder acesso a partir de um intervalo de IP da Internet mais adiante neste artigo.

Definir as permissões necessárias

Para aplicar uma regra de rede virtual a um recurso Foundry, é necessário ter as permissões apropriadas para as sub-redes adicionarem. A permissão necessária é a função de Colaborador padrão ou a função de Colaborador de Serviços Cognitivos. As permissões necessárias também podem ser adicionadas a definições de função personalizadas.

O recurso Foundry Tools e as redes virtuais que recebem acesso podem estar em subscrições diferentes, incluindo subscrições que fazem parte de um tenant diferente do Microsoft Entra.

Nota

Atualmente, a configuração de regras que concedem acesso a sub-redes em redes virtuais que fazem parte de um locatário diferente do Microsoft Entra é suportada apenas por meio do PowerShell, da CLI do Azure e das APIs REST. Você pode exibir essas regras no portal do Azure, mas não pode configurá-las.

Configurar regras de rede virtual

Pode gerir regras de rede virtual para recursos do Foundry Tools através do portal Azure, PowerShell ou da CLI Azure.

Para conceder acesso a uma rede virtual com uma regra de rede existente:

  1. Vai ao recurso Foundry Tools que queres garantir.

  2. Selecione Gerenciamento de Recursos para expandi-lo e, em seguida, selecione Rede.

  3. Confirme que selecionou Redes Selecionadas e Pontos de Extremidade Privados.

  4. Em Permitir acesso de, selecione Adicionar rede virtual existente.

    A captura de tela mostra a página Redes com Redes Selecionadas e Pontos de Extremidade Privados selecionados e a opção de Adicionar rede virtual existente realçada.

  5. Selecione as opções Redes virtuais e Sub-redes e, em seguida, selecione Ativar.

    A captura de tela mostra a caixa de diálogo Adicionar redes onde você pode inserir uma rede virtual e uma sub-rede.

    Nota

    Se um endpoint de serviço para o Foundry Tools não estivesse previamente configurado para a rede virtual e sub-redes selecionadas, pode configurá-lo como parte desta operação.

    Atualmente, apenas redes virtuais que pertencem ao mesmo tenant do Microsoft Entra estão disponíveis para serem selecionadas durante a criação de regras. Para conceder acesso a uma sub-rede em uma rede virtual que pertence a outro locatário, use o PowerShell, a CLI do Azure ou as APIs REST.

  6. Selecione Guardar para aplicar as alterações.

Para criar uma nova rede virtual e conceder-lhe acesso:

  1. Na mesma página do procedimento anterior, selecione Adicionar nova rede virtual.

    A captura de tela mostra a página de Rede com Redes Selecionadas e Pontos de Extremidade Privados selecionados e Adicionar nova rede virtual realçada.

  2. Forneça as informações necessárias para criar a nova rede virtual e selecione Criar.

    A captura de tela mostra a caixa de diálogo Criar rede virtual.

  3. Selecione Guardar para aplicar as alterações.

Para remover uma regra de rede virtual ou sub-rede:

  1. Na mesma página dos procedimentos anteriores, selecione ... (Mais opções) para abrir o menu de contexto da rede virtual ou sub-rede e selecione Remover.

    A captura de tela mostra a opção para remover uma rede virtual.

  2. Selecione Guardar para aplicar as alterações.

Importante

Certifique-se de definir a regra padrão para negar, ou as regras de rede não têm efeito.

Conceder acesso a partir de um intervalo de IP da Internet

Pode configurar os recursos do Foundry Tools para permitir o acesso a partir de intervalos específicos de endereços IP públicos da internet. Essa configuração concede acesso a serviços específicos e redes locais, que efetivamente bloqueiam o tráfego geral da Internet.

Você pode especificar os intervalos de endereços da Internet permitidos usando o formato CIDR (RFC 4632) no formato 192.168.0.0/16 ou como endereços IP individuais como 192.168.0.1.

Gorjeta

Intervalos de endereços pequenos que utilizam tamanhos de prefixo /31 ou /32 não são suportados. Configure esses intervalos usando regras de endereço IP individuais.

As regras de rede IP só são permitidas para endereços IP públicos da Internet . Os intervalos de endereços IP reservados para redes privadas não são permitidos nas regras de IP. As redes privadas incluem endereços que começam com 10.*,172.16.* - 172.31.* e .192.168.* Para obter mais informações, consulte Espaço de Endereço Privado (RFC 1918).

Atualmente, apenas endereços IPv4 são suportados. Cada recurso do Foundry Tools suporta até 100 regras de rede IP, que podem ser combinadas com regras de rede virtual.

Configurar o acesso a partir de redes locais

Para conceder acesso das suas redes locais ao seu recurso Foundry Tools com uma regra de rede IP, identifique os endereços IP virados para a internet usados pela sua rede. Entre em contato com o administrador da rede para obter ajuda.

Se utilizar o Azure ExpressRoute nas instalações para peering da Microsoft, precisará identificar os endereços IP NAT. Para obter mais informações, consulte O que é o Azure ExpressRoute.

Para o emparelhamento da Microsoft, os endereços IP NAT utilizados são fornecidos pelo cliente ou disponibilizados pelo provedor de serviços. Para permitir o acesso aos recursos do serviço, tem de permitir estes endereços IP públicos na configuração de firewall de IP dos recursos.

Gerenciando regras de rede IP

Pode gerir regras de rede IP para recursos do Foundry Tools através do portal Azure, PowerShell ou da CLI Azure.

  1. Vai ao recurso Foundry Tools que queres garantir.

  2. Selecione Gerenciamento de Recursos para expandi-lo e, em seguida, selecione Rede.

  3. Confirme que selecionou Redes Selecionadas e Pontos de Extremidade Privados.

  4. Em Firewalls e redes virtuais, localize a opção Gama de endereços. Para conceder acesso a um intervalo de IP da Internet, introduza o endereço IP ou intervalo de endereços (em formato CIDR). Apenas são aceites endereços IP públicos válidos (não reservados).

    A captura de tela mostra a página de Rede com Redes Selecionadas e Pontos de Extremidade Privados selecionados e o intervalo de endereços realçado.

    Para remover uma regra de rede IP, selecione o ícone da lixeira ao lado do intervalo de endereços.

  5. Selecione Guardar para aplicar as alterações.

Importante

Certifique-se de definir a regra padrão para negar, ou as regras de rede não têm efeito.

Utilizar pontos finais privados

Pode usar endpoints privados para os seus recursos do Foundry Tools para permitir que clientes numa rede virtual acedam de forma segura aos dados através do Azure Private Link. O endpoint privado utiliza um endereço IP do espaço de endereçamento da rede virtual para o seu recurso Foundry Tools. O tráfego de rede entre os clientes na rede virtual e o recurso atravessa a rede virtual e um link privado na rede de backbone do Microsoft Azure, o que elimina a exposição da Internet pública.

Endpoints privados para recursos do Foundry Tools permitem-lhe:

  • Proteja o seu recurso do Foundry Tools configurando o firewall para bloquear todas as ligações no endpoint público do Foundry Tools.
  • Aumente a segurança da rede virtual, permitindo que você bloqueie a exfiltração de dados da rede virtual.
  • Ligue-se de forma segura aos recursos das Foundry Tools a partir de redes locais que se ligam à rede virtual, utilizando o Azure VPN Gateway ou ExpressRoutes com peering privado.

Compreender os endpoints privados

Um ponto de extremidade privado é uma interface de rede especial para um recurso do Azure em sua rede virtual. Criar um endpoint privado para o seu recurso Foundry Tools proporciona conectividade segura entre os clientes da sua rede virtual e o seu recurso. O ponto de extremidade privado recebe um endereço IP do intervalo de endereços IP da sua rede virtual. A ligação entre o endpoint privado e o Foundry Tools utiliza uma ligação privada segura.

As aplicações na rede virtual podem conectar-se ao serviço por meio do ponto de extremidade privado sem dificuldades. As conexões usam as mesmas cadeias de conexão e mecanismos de autorização que usariam de outra forma. A exceção são os Discursos, que requerem um endpoint separado. Para mais informações, consulte endpoints privados com os Discursos neste artigo. Os endpoints privados podem ser usados com todos os protocolos suportados pelo recurso Foundry Tools, incluindo o REST.

Endpoints privados podem ser criados em sub-redes que usam endpoints de serviço. Os clientes numa sub-rede podem ligar-se a um recurso das Foundry Tools usando endpoints privados, enquanto usam endpoints de serviço para aceder a outros. Para obter mais informações, consulte Pontos de extremidade de serviço de Rede Virtual.

Quando cria um endpoint privado para um recurso Foundry na sua rede virtual, o Azure envia um pedido de consentimento para aprovação ao proprietário do recurso Foundry Tools. Se o usuário que solicita a criação do ponto de extremidade privado também for proprietário do recurso, essa solicitação de consentimento será aprovada automaticamente.

Os proprietários de recursos do Foundry Tools podem gerir pedidos de consentimento e os endpoints privados através do separador de ligação ao endpoint privado para o recurso Foundry Tools no portal Azure.

Especificar pontos de extremidade privados

Quando criar um endpoint privado, especifique o recurso Foundry Tools ao qual ele se liga. Para obter mais informações sobre como criar um ponto de extremidade privado, consulte:

Ligar a terminais privados

Nota

O Azure OpenAI em Foundry Models utiliza uma zona DNS privada e um encaminhador de zona DNS pública diferentes em comparação com outras ferramentas da Foundry. Para obter os nomes corretos de zona e encaminhador, consulte Configuração de zona DNS dos serviços do Azure.

Aviso

Pedidos de clientes para o endpoint privado DEVEM especificar o subdomínio personalizado do seu recurso Foundry Tools como URL base do endpoint. NÃO chame a URL *.privatelink.openai.azure.com interna que faz parte da resolução intermédia CNAME interna do Azure.

Clientes numa rede virtual que usam o endpoint privado usam a mesma string de ligação para o recurso Foundry Tools que os clientes que se ligam ao endpoint público. A exceção é o serviço de voz, que requer um endpoint separado. Para obter mais informações, consulte Usar pontos de extremidade privados com o serviço de Fala neste artigo. A resolução DNS encaminha automaticamente as ligações da rede virtual para o recurso Foundry Tools através de uma ligação privada.

Por padrão, o Azure cria uma zona DNS privada anexada à rede virtual com as atualizações necessárias para os pontos de extremidade privados. Se você usar seu próprio servidor DNS, talvez seja necessário fazer mais alterações na configuração do DNS. Para atualizações que podem ser necessárias para pontos de extremidade privados, consulte Aplicar alterações de DNS para pontos de extremidade privados neste artigo.

Usar pontos de extremidade privados com o serviço de fala

Veja como utilizar o serviço de fala através de um ponto de extremidade privado.

Aplicar alterações de DNS para endereços privados

Quando cria um endpoint privado, o registo de recurso DNS CNAME para o recurso Foundry Tools é atualizado para um alias num subdomínio com o prefixo privatelink. Por padrão, o Azure também cria uma zona DNS privada que corresponde ao privatelink subdomínio, com os registros de recurso DNS A para os pontos de extremidade privados. Para obter mais informações, consulte O que é o DNS Privado do Azure.

Quando resolve a URL do ponto final de fora da rede virtual com o ponto final privado, ela resolve para o ponto final público do recurso de Ferramentas Foundry. Quando é resolvido a partir da rede virtual que hospeda o ponto de extremidade privado, a URL do ponto de extremidade é resolvida para o endereço IP do ponto de extremidade privado.

Esta abordagem permite o acesso ao recurso Foundry Tools usando a mesma cadeia de ligação para clientes na rede virtual que aloja os endpoints privados e os clientes fora da rede virtual.

Se usar um servidor DNS personalizado na sua rede, os clientes devem ser capazes de resolver o domínio totalmente qualificado (FQDN) do endpoint de recursos das Foundry Tools para o endereço IP do endpoint privado. Configure o servidor DNS para delegar o subdomínio de link privado à zona DNS privada da rede virtual.

Gorjeta

Quando utiliza um servidor DNS personalizado ou local, deve configurar o seu servidor DNS para resolver o nome do recurso Foundry Tools no privatelink subdomínio para o endereço IP do endpoint privado. Delegue o privatelink subdomínio à zona DNS privada da rede virtual. Como alternativa, configure a zona DNS no servidor DNS e adicione os registros DNS A.

Para obter mais informações sobre como configurar seu próprio servidor DNS para oferecer suporte a pontos de extremidade privados, consulte os seguintes recursos:

Conceder acesso a serviços confiáveis do Azure para o Azure OpenAI

Você pode conceder a um subconjunto de serviços confiáveis do Azure acesso ao Azure OpenAI, mantendo regras de rede para outros aplicativos. Esses serviços confiáveis usarão a identidade gerenciada para autenticar seu serviço Azure OpenAI. A tabela a seguir lista os serviços que podem acessar o Azure OpenAI se a identidade gerenciada desses serviços tiver a atribuição de função apropriada.

Serviço Nome do provedor de recursos
Ferramentas de Fundição Microsoft.CognitiveServices
Azure Machine Learning Microsoft.MachineLearningServices
Azure Search Microsoft.Search

Você pode conceder acesso de rede a serviços confiáveis do Azure criando uma exceção de regra de rede usando a API REST ou o portal do Azure:

Utilizando a CLI do Azure


accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Foundry Tools resource name>"

curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
    "properties":
    {
        "networkAcls": {
            "bypass": "AzureServices"
        }
    }
}
'

Para revogar a exceção, defina networkAcls.bypass como None.

Para verificar se o serviço confiável foi habilitado no portal do Azure,

  1. Utilize o Visualizador JSON na página de visão geral dos recursos do Azure OpenAI

    Uma captura de tela mostrando a opção de exibição JSON para recursos no portal do Azure.

  2. Escolha a sua versão mais recente da API em Versões da API. Apenas a versão mais recente da API é suportada, 2023-10-01-preview .

    Uma captura de tela mostrando que o serviço confiável está habilitado.

Utilizar o portal do Azure

  1. Navegue até o recurso do Azure OpenAI e selecione Rede no menu de navegação.

  2. Em Exceções, selecione Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de serviços cognitivos.

    Gorjeta

    Você pode visualizar a opção Exceções selecionando Redes selecionadas e pontos de extremidade privados ou Desabilitado em Permitir acesso de.

    Uma captura de tela mostrando as configurações de rede para um recurso no portal do Azure.

Preços

Para obter detalhes de preços, consulte Preços do Azure Private Link.

Próximos passos

  • Last updated on