如何為 Microsoft Foundry 集線器設置受管網路

• Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶，請在開始之前先建立免費帳戶。

• 針對您的 Azure 訂用帳戶註冊 Microsoft.Network 資源提供者： 中樞會使用此提供者來建立受控虛擬網路的私人端點。

  如需有關註冊資源提供者的詳細資訊，請參閱解決資源提供者註冊的錯誤。

• 搭配下列 Azure 角色型存取控制 (Azure RBAC) 動作使用 Azure 身分識別，為受控虛擬網路建立私人端點：

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶，請在開始之前先建立免費帳戶。

• 您必須為 Azure 訂用帳戶註冊 Microsoft.Network 資源提供者。 中樞在建立受管理虛擬網路的私有端點時，會使用此資源提供者。

  如需有關註冊資源提供者的詳細資訊，請參閱解決資源提供者註冊的錯誤。

• 搭配下列 Azure 角色型存取控制 (Azure RBAC) 動作使用 Azure 身分識別，為受控虛擬網路建立私人端點：

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• 安裝 Azure CLI 和 Azure CLI 的 ml 延伸模組。 如需詳細資訊，請參閱安裝、設定和使用 CLI (v2)。

• 一個與 Bash 相容的 shell，用於執行本文中 CLI 範例。 例如，使用 Linux 系統或 Windows 子系統 Linux 版。

• 本文中的 Azure CLI 範例會針對中樞名稱使用 ws，針對資源群組名稱使用 rg。 在您的 Azure 訂用帳戶中執行命令時，請視需要變更這些值。

• Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶，請在開始之前先建立免費帳戶。 嘗試 免費或付費版本。

• 您必須為 Azure 訂用帳戶註冊 Microsoft.Network 資源提供者。 中樞在建立受管理虛擬網路的私有端點時，會使用此資源提供者。

  如需有關註冊資源提供者的詳細資訊，請參閱解決資源提供者註冊的錯誤。

• 部署受控網路時所使用的 Azure 身分識別需要下列 Azure 角色型存取控制 (Azure RBAC) 動作來建立私人端點：

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure Machine Learning Python SDK v2。 如需 SDK 的詳細資訊，請參閱 安裝適用於 Azure Machine Learning 的 Python SDK v2。

• 本文中的範例假設您的程式碼以下列 Python 程式碼開頭。 它會匯入使用受控虛擬網路建立中樞所需的類別、設定 Azure 訂用帳戶和資源群組的變數，以及建立 ml_client。 在下列範例中，將預留位置文字 <SUBSCRIPTION_ID> 和 <RESOURCE_GROUP> 取代為您自己的值：

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

• 建立新的中樞：

  1. 登入 Azure 入口網站，從 「建立資源 」選單中選擇 Foundry。

  2. 選取 [+ 新增 Azure AI]。

  3. 在 [基本] 索引標籤上，輸入必要資訊。

  4. 從 [網路] 索引標籤中，選取 [具有網際網路輸出的私人]。

  5. 若要新增 [輸出規則]，請從 [網路] 索引標籤選取 [新增使用者定義的輸出規則]。從 [輸出規則] 資訊看板輸入下列資訊：

     • 規則名稱：規則的名稱。 此名稱不可與此中樞內其他名稱重複。
     • 目的地類型：當網路隔離是 [具有網際網路輸出的私人] 時，私人端點是唯一的選項。 中樞受控虛擬網路不支援為所有 Azure 資源類型建立私人端點。 如需支援的資源清單，請參閱私人端點一節。
     • 訂用帳戶：包含您要新增私人端點的 Azure 資源的訂用帳戶。
     • 資源群組：包含您要新增私人端點的 Azure 資源的資源群組。
     • 資源類型：Azure 資源的類型。
     • 資源名稱：Azure 資源的名稱。
     • 子資源：Azure 資源類型的子資源。

     選取 [儲存]。 若要新增更多規則，請選取 [新增使用者定義的輸出規則]。

  6. 繼續建立中樞。

• 更新現有的中樞：

  1. 登入 Azure 入口網站，然後選取中樞以啟用受控虛擬網路隔離。

  2. 選取 [網路]> [具有網際網路輸出的私人]。

     • 若要「新增輸出規則」，請從 [網路] 索引標籤選取 [新增使用者定義的輸出規則]。從 [輸出規則] 資訊看板，提供在 [建立新的中樞] 區段中建立中樞時所使用的相同資訊。

     • 若要刪除輸出規則，請針對規則選取 [刪除]。

  3. 選取頁面頂端的 [儲存]，以套用對受控虛擬網路的變更。

若要設定允許網際網路輸出的受控虛擬網路，您可以使用 --managed-network allow_internet_outbound 參數或具有下列項目的 YAML 設定檔：

managed_network:
  isolation_mode: allow_internet_outbound

定義中樞所依賴的其他 Azure 服務的「輸出規則」。 這些規則會定義「私人端點」，讓 Azure 資源安全地與受控虛擬網路通訊。 下列規則顯示如何將私人端點新增至 Azure Blob 儲存體帳戶。 在下列範例中，將預留位置文字 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 取代為您自己的值。

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

使用 az ml workspace create 或 az ml workspace update 命令來設定受控虛擬網路：

• 建立新的中樞：

  下列範例會建立新的中樞。 參數 --managed-network allow_internet_outbound 會設定中樞的受控虛擬網路：

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  要使用 YAML 檔案建立集線器，請使用 --file 參數並指定包含設定的 YAML 檔案：

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  下列 YAML 範例會定義具有受控虛擬網路的中樞：

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• 更新現有的中樞：

  警告

  更新現有的工作區以使用受控虛擬網路之前，您必須先刪除工作區的所有計算資源。 這包括計算執行個體、計算叢集和受控線上端點。

  下列範例會更新現有的中樞。 參數 --managed-network allow_internet_outbound 會設定中樞的受控虛擬網路：

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  若要使用 YAML 檔案更新現有集線器，請使用參數 --file 並指定包含設定的 YAML 檔案：

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  下列 YAML 範例會定義中樞的受控虛擬網路。 也會顯示如何將私人端點連線新增至中樞使用的資源。 在此範例中，它會新增 Azure Blob 儲存體帳戶的私人端點。 在下列範例中，將預留位置文字 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 取代為您自己的值：

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

若要設定允許網際網路輸出通訊的受控虛擬網路，請搭配 ManagedNetwork 使用 IsolationMode.ALLOW_INTERNET_OUTBOUND 類別。 然後，使用 ManagedNetwork 物件來建立新的中樞，或更新現有的中樞。 若要定義中樞所依賴的 Azure 服務的「輸出規則」，請使用 PrivateEndpointDestination 類別來定義服務的新私人端點。

• 建立新的中樞：

  下列範例會建立名為 myhub 的新中樞，其中包含名為 myrule 的輸出規則，其會新增 Azure Blob 儲存體帳戶的私人端點。 在下列範例中，將預留位置文字 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 取代為您自己的值：

  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination
  
  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Example private endpoint to Azure Blob Storage
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound rule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

  參考資料

  • 管理網路
  • IsolationMode
  • 樞紐
  • PrivateEndpointDestination

• 更新現有的中樞：

  下列範例示範如何為名為 myhub 的現有中樞建立受控虛擬網路：

  from azure.ai.ml import MLClient
  from azure.identity import DefaultAzureCredential
  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination
  
  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get(name="myhub")
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound rule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

  參考資料

  • 管理網路
  • IsolationMode
  • PrivateEndpointDestination
  • MLClient

• 建立新的中樞：

  1. 登入 Azure 入口網站，然後從建立資源選單中選擇 Foundry。

  2. 選取 [+ 新增 Azure AI]。

  3. 在 [基本] 索引標籤上提供必要資訊。

  4. 從 [網路] 索引標籤中，選取 [具有已核准輸出的私人]。

  5. 若要新增「輸出規則」，請從 [網路] 索引標籤選取 [新增使用者定義的輸出規則]。從 [輸出規則] 資訊看板提供下列資訊：

     • 規則名稱：規則的名稱。 此名稱不可與此中樞內其他名稱重複。
     • 目的地類型：私人端點、服務標籤或 FQDN。 只有在網路隔離是「具有已核准輸出的私人」時，才能使用服務標籤和 FQDN。

     如果目的地類型為 [私人端點]，請輸入下列資訊：

     • 訂用帳戶：包含您要新增私人端點的 Azure 資源的訂用帳戶。
     • 資源群組：包含您要新增私人端點的 Azure 資源的資源群組。
     • 資源類型：Azure 資源的類型。
     • 資源名稱：Azure 資源的名稱。
  • 子資源：Azure 資源類型的子資源。

  小提示

  中樞受控 VNet 不針對所有 Azure 資源類型支援私人端點。 如需支援的資源清單，請參閱私人端點一節。

  如果目的地類型為 [服務標籤]，請輸入下列資訊：

  • 服務標籤：要新增至已核准輸出規則的服務標籤。
  • 通訊協定：要為服務標記允許的通訊協定。
  • 連接埠範圍：要為服務標籤允許的連接埠範圍。

  如果目的地類型為 [FQDN]，請輸入下列資訊：

  • FQDN 目的地：要新增至已核准輸出規則的完整網域名稱。

    選取 [儲存] 以儲存規則。 若要新增更多規則，請再次選取 [新增使用者定義的輸出規則]。

  1. 繼續如往常一般建立中樞。

• 更新現有的中樞：

  1. 登入 Azure 入口網站，然後選取您想要啟用受控虛擬網路隔離的中樞。

  2. 選取 [網路]> [具有核准輸出的私人]。

     • 若要「新增」[輸出規則]，請從 [網路] 索引標籤選取 [新增使用者定義的輸出規則]。從 [輸出規則] 資訊看板，輸入在前面的 [建立新的中樞] 區段中建立中樞時所使用的相同資訊。

     • 若要刪除輸出規則，請針對規則選取 [刪除]。

  3. 選取頁面頂端的 [儲存]，以儲存對受控虛擬網路的變更。

若要設定僅允許核准的輸出通訊的受控虛擬網路，請使用 --managed-network allow_only_approved_outbound 參數或包含下列項目的 YAML 設定檔：

managed_network:
  isolation_mode: allow_only_approved_outbound

您也可以為核准的輸出通訊定義輸出規則。 建立類型 service_tag、fqdn 或 private_endpoint 的輸出規則。 下列範例會將私人端點新增至 Azure Blob 資源、新增 Azure Data Factory 的服務標籤，以及新增 pypi.org 的 FQDN。 在下列範例中，將預留位置文字 <SUBSCRIPTION_ID>、<RESOURCE_GROUP> 和 <STORAGE_ACCOUNT_NAME> 取代為您的值。

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

你可以透過以下或az ml workspace createaz ml workspace update指令來設定受管理的虛擬網路：

• 建立新的中樞：

  下列範例會使用 --managed-network allow_only_approved_outbound 參數來設定受控虛擬網路：

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  下列 YAML 檔案會定義具有受控虛擬網路的中樞：

  name: myhub
  location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  要使用 YAML 檔案建立集線器，請使用 --file 參數：

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• 更新現有的中樞

  警告

  更新現有的工作區以使用受控虛擬網路之前，您必須先刪除工作區的所有計算資源。 這包括計算執行個體、計算叢集和受控線上端點。

  下列範例會使用 --managed-network allow_only_approved_outbound 參數為現有中樞設定受控虛擬網路：

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  下列 YAML 檔案會定義中樞的受控虛擬網路，並顯示如何新增核准的輸出規則。 在此範例中，會針對服務標籤、FQDN 和私人端點新增輸出規則：

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

若要設定僅允許核准的輸出通訊的受控虛擬網路，請使用 ManagedNetwork 類別來定義具有 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND 的網路。 然後，您可以使用 ManagedNetwork 物件來建立新的中樞，或更新現有的中樞。 若要定義輸出規則，請使用下列類別：

• 建立新的中樞：

  下列範例會建立名為 myhub 的新中樞，其中包含數個輸出規則：

  • myrule - 為 Azure Blob 存放區新增私人端點。
  • datafactory - 新增服務標籤規則以與 Azure Data Factory 通訊。

  這很重要

  • 只有在受控 VNet 設定為 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND 時，對服務標籤或 FQDN 新增輸出規則才會有效。
  • 如果您新增輸出規則，Microsoft 無法保證可防範資料外流。

  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, Hub, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination
  
  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

  參考資料

  • 管理網路
  • IsolationMode
  • 樞紐
  • PrivateEndpointDestination
  • ServiceTagDestination
  • FqdnDestination

• 更新現有的中樞：

  下列範例顯示如何為名為 myhub 的現有中樞設定受控虛擬網路。 它也新增數個輸出規則：

  • myrule - 為 Azure Blob 存放區新增私人端點。
  • datafactory - 新增服務標籤規則以與 Azure Data Factory 通訊。

  小提示

  僅在受管理的 VNet 設定為 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND時，為服務標籤或 FQDN 新增出站規則。

  from azure.ai.ml import MLClient
  from azure.identity import DefaultAzureCredential
  from azure.ai.ml.entities import ManagedNetwork, IsolationMode, PrivateEndpointDestination, ServiceTagDestination, FqdnDestination
  
  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

  參考資料

  • 管理網路
  • IsolationMode
  • PrivateEndpointDestination
  • ServiceTagDestination
  • FqdnDestination
  • MLClient

在建立工作區時，選取 [在建立時主動佈建受控網路] 以設定受控網路。 設定虛擬網路之後，網路資源 (例如私人端點) 會開始計費。 此選項僅在建立工作區期間可用。

下列範例示範如何在建立中樞時佈建受控虛擬網路。

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

下列範例示範如何佈建受控虛擬網路。

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

若要檢查佈建是否已完成，請執行下列命令：

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

使用 SDK 佈建受控虛擬網路，然後檢查其狀態。

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

參考資料

• MLClient
• begin_provision_network

1. 登入 Azure 入口網站，然後選取您想要啟用受控虛擬網路隔離的中樞。
2. 選取 [網路功能]。 [Azure AI 輸出存取] 區段可讓您管理輸出規則。

• 若要新增輸出規則，請從 [網路] 索引標籤選取 [新增使用者定義的輸出規則]。從 [Azure AI 輸出規則] 資訊看板輸入必要值。

• 若要啟用或停用規則，請使用 [使用中] 資料行中的切換。

• 若要刪除輸出規則，請針對規則選取 [刪除]。

在下列命令中，將預留位置文字 <workspace-name>、<resource-group> 和 <rule-name> 取代為您的值。 若要列出中樞的受控虛擬網路輸出規則，請執行：

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

若要檢視受控虛擬網路輸出規則的詳細資料，請執行：

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

若要從受控虛擬網路移除輸出規則，請執行：

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

下列範例會顯示如何管理名為 myhub 的中樞的輸出規則。 在範例中，將預留位置文字 <some-rule-name> 取代為您的規則名稱：

from azure.ai.ml import MLClient
from azure.identity import DefaultAzureCredential

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

參考資料

• MLClient

選取 [僅允許核准的輸出] 模式之後，會出現一個選項供您選取 Azure 防火牆版本 (SKU)。 選取 [標準] 或 [基本]。 選取 [儲存]。

若要使用 Azure CLI 設定防火牆版本，請使用 YAML 檔案並指定 firewall_sku。 下列範例會將防火牆 SKU 設定為 basic：

name: test-ws
resource_group: test-rg
location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

若要使用 Python SDK 設定防火牆版本，請設定 firewall_sku 物件的 ManagedNetwork 屬性。 下列範例會將防火牆 SKU 設定為 basic：

from azure.ai.ml.entities import ManagedNetwork, IsolationMode

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')

參考資料

• 管理網路
• IsolationMode