Configurare la rete virtuale gestita per i progetti Microsoft Foundry

Questo articolo illustra come configurare una rete virtuale gestita per la risorsa Foundry. La rete virtuale gestita semplifica e automatizza l'isolamento di rete per la risorsa Foundry effettuando il provisioning di una rete virtuale gestita da Microsoft che protegge il servizio Agenti sottostante il calcolo all'interno dei progetti Foundry. Se abilitata, il traffico di rete in uscita degli agenti è protetto da questo limite di rete gestita e la modalità di isolamento scelta regola tutto il traffico. È possibile creare gli endpoint privati necessari per i servizi di Azure dipendenti e applicare le regole di rete necessarie, offrendo un'impostazione predefinita sicura senza richiedere la compilazione o la gestione della propria rete virtuale. Questa rete gestita limita ciò che gli agenti possono accedere, evitando l'esfiltrazione dei dati, consentendo comunque la connettività alle risorse Azure approvate.

La rete virtuale gestita supporta ora i servizi Prompt e Hosted Agent con la nuova API Risposte e nel nuovo portale Foundry. Le aree attualmente supportate per la rete virtuale gestita con il nuovo servizio Agent e il nuovo portale Foundry sono le seguenti: Stati Uniti orientali, Stati Uniti orientali 2, Giappone orientale, Francia centrale, Emirati Arabi Uniti settentrionali, Brasile meridionale, Spagna centrale, Germania occidentale, Italia settentrionale, Stati Uniti centro-meridionali, Australia orientale, Svezia centrale, Canada orientale, Sud Africa settentrionale, Stati Uniti occidentali, Stati Uniti occidentali 3, India meridionale e Regno Unito meridionale. Supporto aggiuntivo per l'area da seguire a breve.

Prima di continuare, prendere in considerazione le limitazioni dell'offerta ed esaminare i prerequisiti.

Informazioni sulle modalità di isolamento

Quando si abilita l'isolamento della rete virtuale gestita, si crea una rete virtuale gestita per l'account Foundry, creato nel tenant Microsoft. Qualsiasi nuovo agente che crei nei tuoi progetti usa automaticamente la rete virtuale gestita per il traffico in uscita. La rete virtuale gestita può usare endpoint privati per Azure risorse usate dagli agenti, ad esempio Archiviazione di Azure, Azure Cosmos DB e Azure AI Search.

Nota

I diagrammi di questo articolo rappresentano solo la connettività logica. Gli endpoint privati gestiti in una rete virtuale gestita foundry non creano interfacce di rete (NIC) visibili al cliente. A differenza degli endpoint privati della rete virtuale standard che creano una scheda di interfaccia di rete con un indirizzo IP privato nella subnet, gli endpoint privati gestiti vengono completamente gestiti da Microsoft e astratti dalle risorse di rete virtuale del cliente. Questi endpoint o le schede di interfaccia di rete associate non verranno visualizzati nel tuo abbonamento.

Esistono due diverse modalità di configurazione per il traffico in uscita dalla rete virtuale gestita:

Modalità in uscita	Descrizione	Scenari
Consenti traffico internet in uscita	Consente tutto il traffico in uscita verso Internet.	L'accesso in uscita senza restrizioni è accettabile; connettività generale richiesta.
Consenti solo connessioni in uscita approvate	Limita l'uso in uscita di tag del servizio, endpoint privati e regole FQDN facoltative (porte 80, 443) applicate tramite Firewall di Azure.	Ridurre al minimo il rischio di esfiltrazione dei dati; richiedono un elenco curato di destinazioni.
Disabilitato	Isolamento della rete virtuale gestita non abilitato, a meno che non venga usata una rete virtuale personalizzata.	È necessario disporre di una rete virtuale pubblica in uscita o pianificare la fornitura della propria rete virtuale.

Il diagramma dell'architettura seguente illustra una rete gestita in allow internet outbound modalità .

Il diagramma dell'architettura seguente illustra una rete gestita in allow only approved outbound modalità .

Dopo aver configurato una rete virtuale gestita Foundry per consentire internet in uscita, non è possibile riconfigurare la risorsa in modo che sia disabilitata. Analogamente, dopo aver configurato una risorsa di rete virtuale gestita per consentire solo l'approvazione in uscita, non è possibile riconfigurare la risorsa per consentire internet in uscita.

Prerequisiti

Prima di seguire i passaggi descritti in questo articolo, assicurarsi di disporre dei prerequisiti seguenti:

Sottoscrizione Azure. Se non si ha una sottoscrizione Azure, creare un account gratuito prima di iniziare.
interfaccia della riga di comando di Azure installato nella versione 2.86.0. Obbligatorio per creare regole in uscita dalla rete gestita.
I provider di risorse Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search e Microsoft.ContainerService sono registrati per la tua sottoscrizione di Azure. Per altre informazioni, vedere Registrare il provider di risorse.
Autorizzazioni per distribuire una risorsa di rete gestita. Foundry Account Owner nell'ambito delle risorse Fonderia è necessario per la creazione di un account e di un progetto Fonderia. Owner o Role Based Access Administrator è necessario per assegnare RBAC alle risorse necessarie. Foundry User nell'ambito del progetto è necessario per creare e compilare agenti.

Importante

I ruoli RBAC di Foundry sono stati recentemente rinominati. Foundry User, Foundry Owner, Foundry Account Owner e Foundry Project Manager erano precedentemente denominati Azure AI User, Azure AI Owner, Azure AI Account Owner e Azure AI Project Manager. È possibile che i nomi precedenti vengano visualizzati in alcune posizioni durante l'esecuzione della ridenominazione. Gli ID ruolo e le autorizzazioni di base sono invariati dalla ridenominazione.
Quota sufficiente per tutte le risorse nell'area di Azure di destinazione. Se non vengono passati parametri, questo modello crea una risorsa Foundry, un progetto Foundry, Azure Cosmos DB per NoSQL, Azure AI Search e Archiviazione di Azure account.

Limitazioni

Prendere in considerazione le limitazioni seguenti prima di abilitare l'isolamento della rete gestita per la risorsa Foundry.

È possibile distribuire una risorsa Foundry di rete gestita in tre modi.
Modello Bicep nella cartella 18-managed-virtual-network in foundry-samples
Modello Terraform nella cartella 18-managed-virtual-network in foundry-samples
az rest e comandi dell'interfaccia della riga di comando di Azureaz cognitiveservices. Altre informazioni sul supporto interfaccia della riga di comando di Azure in questo articolo di seguito.
Non è ancora disponibile il supporto per l'interfaccia utente nel portale di Azure per creare la rete gestita. Il supporto sarà presto disponibile.
Dopo aver creato la risorsa Foundry, assicurarsi di aver assegnato all'identità gestita della risorsa Foundry il ruolo predefinito di Azure AI Enterprise Network Connection Approver (ID ruolo: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) per assicurarsi che l'endpoint privato richiesto alla risorsa Foundry venga creato e approvato.
Non è possibile disabilitare l'isolamento della rete virtuale gestita dopo l'abilitazione. Non esiste alcun percorso di aggiornamento dalla configurazione della rete virtuale personalizzata alla rete virtuale gestita. È necessaria una ridistribuzione della risorsa Foundry. L'eliminazione della risorsa Foundry elimina la rete virtuale gestita.
Il supporto per la rete virtuale gestita si trova solo nelle aree seguenti: Stati Uniti orientali, Stati Uniti orientali 2, Giappone orientale, Francia centrale, Emirati Arabi Uniti settentrionali, Brasile meridionale, Germania centro-occidentale, Italia settentrionale, Stati Uniti centro-meridionali, Australia orientale, Svezia centrale, Canada orientale, Sudafrica settentrionale, Stati Uniti occidentali, Stati Uniti occidentali 3, India meridionale e Regno Unito meridionale. Supporto aggiuntivo per l'area da seguire a breve.
Se è necessario l'accesso privato alle risorse on-premise per la risorsa Foundry, usare il Application Gateway per configurare l'accesso locale. È supportato lo stesso set-up con un endpoint privato all'Application Gateway e la configurazione dei pool di back-end. Il traffico L4 e L7 è ora supportato con l'Application Gateway in versione generale.
Se si creano regole in uscita FQDN quando la rete virtuale gestita si trova in modalità Allow Only Approved Outbound, viene creato un Firewall di Azure gestito, che comporta costi associati al Firewall. Per altre informazioni sui prezzi, vedere Prezzi. Le regole in uscita FQDN supportano solo le porte 80 e 443.
Non è possibile portare i propri Firewall di Azure nella rete virtuale gestita. Un firewall gestito viene creato automaticamente per l'account Foundry quando si usa consenti solo la modalità in uscita approvata .
Non è possibile riutilizzare lo stesso firewall gestito per più account Foundry. Ogni account Foundry crea un proprio firewall gestito quando si usa la modalità Consenti solo in uscita approvata .
Se si creano nuovi progetti all'interno della risorsa Foundry abilitata per la rete virtuale gestita, sarà necessario ricreare l'host delle funzionalità del progetto per assicurarsi che il progetto usi le risorse BYO e la rete gestita. Altre istruzioni sono disponibili nel file README per la configurazione della rete gestita nel repository foundry-samples.

Distribuire la modalità di isolamento della rete virtuale gestita

Per iniziare a distribuire una risorsa Foundry di rete virtuale gestita, seguire questa procedura.

interfaccia della riga di comando di Azure
Bicep/ Terraform

Passaggio 1: Creare l'account dei servizi di intelligenza artificiale con inserimenti di rete

L'account deve essere creato con customSubDomainName, allowProjectManagemente networkInjections impostato in fase di creazione. Queste proprietà non possono essere aggiunte dopo la creazione dell'account.

Importante

È necessario usare i comandi az rest per la creazione di account con inserimenti di rete perché il interfaccia della riga di comando di Azure non supporta ancora la creazione di una risorsa Foundry con inserimento di rete.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2026-03-01" \
  --body '{
    "location": "{region}",
    "kind": "AIServices",
    "sku": { "name": "S0" },
    "identity": { "type": "SystemAssigned" },
    "properties": {
      "allowProjectManagement": true,
      "customSubDomainName": "{account-name}",
      "networkInjections": [
        {
          "scenario": "agent",
          "subnetArmId": "",
          "useMicrosoftManagedNetwork": true
        }
      ],
      "disableLocalAuth": false
    }
  }' \
  --headers "Content-Type=application/json"

Attendere che provisioningState raggiunga Succeeded prima di procedere:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2026-03-01" \
  --query "properties.provisioningState" -o tsv

Passaggio 2: Ottenere l'ID entità dell'identità gestita

Recuperare l'ID dell'entità di identità gestita assegnata dal sistema dall'account:

az cognitiveservices account show \
  --resource-group {resource-group} \
  --name {account-name} \
  --query identity.principalId -o tsv

Passaggio 3: Assegnare il ruolo di approvatore della connessione di rete

Assegna il ruolo Azure AI Enterprise Network Connection Approver (ID ruolo: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) all'identità gestita dell'account Foundry. In questo modo, gli endpoint privati della rete gestita possono essere approvati automaticamente.

az role assignment create \
  --assignee-object-id {principal-id} \
  --assignee-principal-type ServicePrincipal \
  --role "b556d68e-0be0-4f35-a333-ad7ee1ce17ea" \
  --scope /subscriptions/{subscription-id}/resourceGroups/{resource-group}

Nota

Se le risorse target (Archiviazione, Cosmos DB, Ricerca AI) si trovano in un gruppo di risorse diverso, impostare l'ambito dell'assegnazione del ruolo su quel gruppo di risorse o sulla sottoscrizione.

Passaggio 4: Creare la rete gestita

Creare la risorsa figlia della rete gestita nell'account. In questo modo viene stabilita la modalità di isolamento della rete e viene effettuato il provisioning dell'infrastruttura di rete.

Per creare una rete gestita con Consenti internet in uscita:

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_internet_outbound

Per creare una rete gestita con Consenti solo uscite approvate:

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_only_approved_outbound \
  --firewall-sku Standard

È possibile eseguire la distribuzione usando i modelli Bicep o Terraform nel repository foundry-samples:

Bicep: 18-managed-virtual-network
Terraform: 18-managed-virtual-network

Per Bicep:

Clonare o scaricare il foundry-samples repository.
Aprire il managed-network.bicep modello nella cartella modules-network-secured.
Impostare il parametro IsolationMode modalità di isolamento a seconda della modalità di isolamento selezionata: AllowInternetOutbound o AllowOnlyApprovedOutbound.
Nel file README.md selezionare il pulsante Deploy per Azure. Questa azione apre il modello nel portale di Azure per una distribuzione rapida.
Completare tutti i parametri prima di distribuire, ad esempio area, gruppo di risorse, nome di rete virtuale e altri. Se si sta introducendo l'archiviazione Cosmos DB o il servizio di ricerca, assicurarsi che siano inclusi anche gli ID risorsa.
Infine, distribuisci il modello. La distribuzione dei modelli richiede circa 30 minuti.

Per Terraform:

Clonare o scaricare il foundry-samples repository.
Passare alla infrastructure/infrastructure-setup-terraform/18-managed-virtual-network cartella .
Configurare le variabili necessarie per l'ambiente (area, gruppo di risorse, modalità di isolamento ed eventuali ID risorsa esistenti).
Eseguire terraform init, terraform plan, e terraform apply per l'implementazione.

Per altri dettagli sui parametri necessari per la distribuzione della rete virtuale gestita, vedere Microsoft. CognitiveServices/accounts/managedNetworks.

Verificare la distribuzione della rete virtuale gestita

Al termine della distribuzione, verificare che la rete virtuale gestita sia configurata correttamente.

interfaccia della riga di comando di Azure
az-rest

Verificare che la risorsa Foundry esista e che la rete gestita sia abilitata:
```
az cognitiveservices account managed-network show \
  --resource-group {resource-group} \
  --name {account-name}
```
La risposta dovrebbe mostrare il isolationMode impostato sulla modalità scelta (AllowInternetOutbound o AllowOnlyApprovedOutbound).

Elenca tutte le regole in uscita e il loro stato.

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Mostra una regola in uscita specifica:

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Testare la connettività dell'agente creando ed eseguendo un agente di base nel progetto Foundry. Se l'agente completa l'operazione, la rete gestita funziona correttamente.

Verificare che la risorsa Foundry esista e che la rete gestita sia abilitata:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2026-03-01" \
  --query "properties.managedNetwork"

La risposta dovrebbe mostrare il isolationMode impostato sulla modalità scelta (AllowInternetOutbound o AllowOnlyApprovedOutbound).

Elencare gli endpoint privati gestiti per verificare che siano stati creati:

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2026-03-01" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

Testare la connettività dell'agente creando ed eseguendo un agente di base nel progetto Foundry. Se l'agente completa l'operazione, la rete gestita funziona correttamente.

Gestire le regole in uscita

Dopo la distribuzione, è possibile aggiungere, aggiornare, elencare e rimuovere regole in uscita per controllare le destinazioni che la rete gestita può raggiungere. Sono supportati i seguenti tipi di regola in uscita:

Digitare	Descrizione	Destinazione di esempio
`fqdn`	Consente il traffico in uscita verso un nome di dominio pienamente qualificato.	`"*.openai.azure.com"`
`privateendpoint`	Consente il traffico in uscita attraverso una regola dell'endpoint privato.	File JSON di configurazione dell'endpoint privato
`servicetag`	Consente il traffico in uscita verso un tag del servizio Azure, un protocollo e un intervallo di porte.	`'{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'`

interfaccia della riga di comando di Azure
az-rest

Creare o aggiornare una regola FQDN in uscita

Usare una regola FQDN per consentire il traffico verso un nome di dominio o un dominio wildcard.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type fqdn \
  --destination "*.openai.azure.com"

Creare o aggiornare una regola in uscita per il tag di servizio

Usare una regola di tag di servizio per consentire il traffico verso un servizio Azure tramite uno specifico protocollo e intervallo di porte.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type servicetag \
  --destination '{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'

Creare o aggiornare una regola in uscita dell'endpoint privato

Usare una regola dell'endpoint privato per consentire il traffico attraverso un endpoint privato a una risorsa di Azure.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type privateendpoint \
  --destination '{"serviceResourceId":"/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Storage/storageAccounts/{storage-name}","subresourceTarget":"blob"}'

Le destinazioni di sottorisorse comuni includono blob per Archiviazione di Azure, searchService per Azure AI Search, Sql per Azure Cosmos DB e vault per Azure Key Vault.

Elencare le regole in uscita

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

Mostra una regola in uscita

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Creare o aggiornare regole in uscita in blocco

Usare bulk-set per creare o aggiornare più regole in uscita da un file YAML o JSON.

az cognitiveservices account managed-network outbound-rule bulk-set \
  --resource-group {resource-group} \
  --name {account-name} \
  --file rules.yaml

Rimuovere una regola in uscita

az cognitiveservices account managed-network outbound-rule remove \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Per aggiornare le regole in uscita usando l'API REST arm, usare il az rest comando . L'esempio seguente crea una regola in uscita dell'endpoint privato a una risorsa Azure Cosmos DB.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2026-03-01" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

Sostituire i segnaposto con i valori per il proprio ambiente. Per altri tipi di risorse, modificare i valori serviceResourceId e subresourceTarget di conseguenza. Le destinazioni di sottorisorse comuni includono blob per Archiviazione di Azure, searchService per Azure AI Search e vault per Azure Key Vault.

Per ulteriori informazioni, seguire le istruzioni nel file outbound rules CLI nel repository foundry-samples.

Per altre informazioni sui parametri necessari per le regole in uscita della rete virtuale gestita, vedere Microsoft. CognitiveServices/accounts/managedNetworks/outboundRules.

Seleziona la versione di Firewall di Azure

Per la rete virtuale gestita, un Firewall di Azure viene configurato automaticamente quando si aggiunge una regola FQDN in uscita nella modalità Consenti solo uscite approvate.

Lo SKU predefinito è Standard per il firewall. È possibile selezionare invece lo SKU Basic per ridurre i costi se non sono necessarie funzionalità avanzate. Per altre informazioni sui prezzi, vedere Prezzi. Dopo aver selezionato uno SKU del firewall in fase di distribuzione, non è possibile modificarlo dopo la distribuzione. Poiché si tratta di un firewall gestito, il firewall non si trova nel tuo tenant o sotto il tuo controllo. L'unica impostazione che è possibile controllare è lo SKU del firewall.

Endpoint privati

Quando si abilita una rete virtuale gestita, è possibile creare endpoint privati gestiti in modo che gli agenti possano raggiungere in modo sicuro le risorse necessarie Azure senza usare la rete Internet pubblica. Questi endpoint privati forniscono una connessione isolata e privata basata su IP dalla rete gestita a servizi come Archiviazione, Ricerca di intelligenza artificiale e altre dipendenze usate nei progetti Foundry. A differenza delle reti virtuali gestite dal cliente, gli endpoint privati gestiti in Foundry non espongono un'interfaccia di rete o una configurazione della subnet al cliente. La connettività privata basata su IP è completamente gestita da Microsoft e non è rappresentata come scheda di interfaccia di rete nella sottoscrizione del cliente.

Le risorse seguenti supportano gli endpoint privati dalla rete gestita. È necessario usare l'interfaccia della riga di comando per creare endpoint privati.

Microsoft Foundry (servizi di intelligenza artificiale)
gateway applicazione di Azure (si connette alle risorse locali usando il traffico L4 o L7)
Gestione API di Azure (supporta solo il livello classico senza inserimento reti virtuali e il livello V2 Standard con integrazione della rete virtuale)
Azure AI Search
Registro Azure Container
Azure Cosmos DB
Azure Data Factory
Database di Azure per MariaDB
Database di Azure per MySQL
Server singolo di Database di Azure per PostgreSQL
Server flessibile di Database di Azure per PostgreSQL
Azure Databricks
Hub eventi di Azure
Azure Key Vault
Azure Machine Learning
Cache Redis di Azure
Azure SQL Server
Archiviazione di Azure
applicazione Azure Insights (tramite Monitoraggio di Azure collegamento privato Scope)

Quando si crea un endpoint privato gestito dalla rete virtuale gestita Foundry a una risorsa di destinazione di proprietà del cliente, l'identità gestita della risorsa Foundry deve avere le autorizzazioni corrette per tale risorsa di destinazione per creare e approvare le connessioni endpoint private. Questo requisito garantisce che Foundry sia autorizzato in modo esplicito a stabilire un collegamento privato sicuro alla risorsa.

Per semplificare questo requisito, assegnare il ruolo Azure AI Enterprise Network Connection Approver (ID ruolo: b556d68e-0be0-4f35-a333-ad7ee1ce17ea) all'identità gestita dell'account Foundry. Questo ruolo include le autorizzazioni necessarie per i servizi di Azure usati più di frequente e in genere fornisce accesso sufficiente a Foundry per creare e approvare endpoint privati per conto dell'utente. Dopo aver approvato la connessione, Foundry gestisce completamente l'endpoint privato e non richiede alcuna configurazione aggiuntiva del cliente.

Regole in uscita obbligatorie

Nella modalità Consenti solo l'uscita approvata della rete virtuale gestita, vengono create alcune regole in uscita necessarie per funzionalità come il servizio Agent. esso include il seguente:

Endpoint privato per la risorsa Cosmos DB
Endpoint privato per l'account Storage
Endpoint privato per la risorsa AI Search
ServiceTag ad AzureActiveDirectory
ServiceTag per AzureMachineLearning (per il catalogo delle valutazioni)

Regole in uscita per scenario

Se distribuisci Foundry con una rete virtuale gestita in modalità "Solo traffico uscente approvato", potrebbe essere necessario aggiungere le seguenti regole FQDN per consentire il traffico in uscita. Di seguito è riportato l'elenco dei nomi di dominio completi attendibili (FQDN) per creare regole in uscita per a seconda dello scenario o della funzionalità in Foundry.

Scenario	FQDNs	Descrizione
Agenti	`.identity.azure.net`, `login.microsoftonline.com`, `.login.microsoftonline.com`, `*.login.microsoft.com`, `mcr.microsoft.com` o tag del servizio AAD	Richiesto per la delega dell'applicazione contenitore di Azure per il servizio Agente. Includono il Microsoft Container Registry per scaricare le immagini dei contenitori.
Valutazioni e tracce con una risorsa di Application Insights	`settings.sdk.monitor.azure.com`, `.livediagnostics.monitor.azure.com`, `.in.applicationinsights.azure.com`	Usato per il catalogo degli analizzatori e per l'invio di risultati alla risorsa di Application Insights collegata.
Ottimizzazione	`raw.githubusercontent.com`	Usato per la regolazione, quando un utente seleziona un set di dati di esempio curato nel portale di Foundry.

Tariffe

La funzionalità di rete virtuale gestita foundry è gratuita. Tuttavia, vengono addebitati i costi per le risorse seguenti usate dalla rete virtuale gestita:

collegamento privato di Azure: la soluzione si basa su collegamento privato di Azure per gli endpoint privati che proteggono le comunicazioni tra la rete virtuale gestita e le risorse Azure. Per altre informazioni sui prezzi, vedere collegamento privato di Azure prezzi.
Regole in uscita FQDN: si implementano regole in uscita FQDN usando Firewall di Azure. Se si usano regole FQDN in uscita, si aggiungono addebiti per Firewall di Azure alla fatturazione. Per impostazione predefinita, viene usata una versione standard di Firewall di Azure. È possibile selezionare la versione Di base. Il firewall non viene creato fino a quando non si aggiunge una regola FQDN in uscita.

Per altre informazioni sui prezzi Azure, vedere collegamento privato Prezzi e Firewall di Azure Prezzi.

Confrontare la rete gestita e quella customizzata (BYO)

Selezionare la modalità di isolamento della rete in uscita corretta in base alle esigenze di rete e alle limitazioni dell'organizzazione.

Aspetto	Rete gestita	Rete personalizzata (BYO)
Benefici	Microsoft gestisce l'intervallo di subnet, la selezione IP, la delega.	Controllo completo: integro firewall personalizzati, imposta percorsi definiti dall'utente, peering di rete, assegna sottorete.
Limitazioni	Non è possibile portare il proprio firewall per consentire solo il traffico uscente approvato. Richiede l'Application Gateway per la sicurezza del traffico in locale (supporto per L7 e L4 da parte dell'Application Gateway). Nessun supporto per il logging del traffico in uscita al momento.	Configurazione più complessa, ad esempio la delega della subnet a App contenitore di Azure. Richiede la creazione corretta di CapHost. Richiede la classe privata A, B e C, non gli intervalli di indirizzi IP pubblici o CGNAT consentiti. Richiede almeno /27 subnet per la delega dell'agente.

Per altre informazioni sulla configurazione dell'inserimento della rete virtuale per gli agenti e le limitazioni, vedere Configurare una rete virtuale personalizzata per gli agenti.

Pulire le risorse

Per pulire la risorsa Foundry della rete virtuale gestita, eliminare la risorsa Foundry. Questa azione elimina anche la rete virtuale gestita.

Risoluzione dei problemi

Errore durante la creazione di CapHost
- Eliminare la risorsa CapHost difettosa e ridistribuire il modello.
Regola FQDN non applicata
- Verificare che sia stato effettuato il provisioning dello SKU del firewall e verificare che le porte siano limitate a 80 o 443.
Conflitti tra endpoint privati
- Rimuovere qualsiasi configurazione dell'endpoint di servizio e usare solo endpoint privato.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-12