Azure AI Foundry ハブ用のマネージド ネットワークを設定する方法

• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

• Azure サブスクリプションの Microsoft.Network リソース プロバイダーを登録します。 ハブはこのプロバイダーを使用して、マネージド仮想ネットワークのプライベート エンドポイントを作成します。

  リソースプロバイダーの登録については、「リソースプロバイダー登録エラーの解決」を参照してください。

• マネージド仮想ネットワークのプライベート エンドポイントを作成するには、次の Azure ロールベースのアクセス制御 (Azure RBAC) アクションを使用します:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

• Microsoft.Network リソース プロバイダーは、Azure サブスクリプションに登録する必要があります。 このリソース プロバイダーは、マネージド仮想ネットワークのプライベート エンドポイントを作成するときにハブによって使用されます。

  リソースプロバイダーの登録については、「リソースプロバイダー登録エラーの解決」を参照してください。

• マネージド仮想ネットワークのプライベート エンドポイントを作成するには、次の Azure ロールベースのアクセス制御 (Azure RBAC) アクションを使用します:

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure CLI と Azure CLI の ml 拡張機能をインストールします。 詳しくは、CLI (v2) のインストール、設定、使用に関するページをご覧ください。

• この記事の CLI の例では、Bash 互換シェルを使用することを前提としています。 たとえば、Linux システムや Linux 用 Windows サブシステムを使用します。

• この記事の Azure CLI の例では、ハブ名に ws、リソース グループ名に rg を使います。 実際の Azure サブスクリプションでこれらのコマンドを実行する場合は、必要に応じてこれらの値を変更してください。

• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。 無料版または有料版をお試しください。

• Microsoft.Network リソース プロバイダーは、Azure サブスクリプションに登録する必要があります。 このリソース プロバイダーは、マネージド仮想ネットワークのプライベート エンドポイントを作成するときにハブによって使用されます。

  リソースプロバイダーの登録については、「リソースプロバイダー登録エラーの解決」を参照してください。

• マネージド ネットワークをデプロイするときに使用する Azure ID には、プライベート エンドポイントを作成するための次の Azure ロールベースのアクセス制御 (Azure RBAC) アクションが必要です。

  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/read
  • Microsoft.MachineLearningServices/workspaces/privateEndpointConnections/write

• Azure Machine Learning Python SDK v2。 SDK の詳細については、「Azure Machine Learning 用 Python SDK v2 のインストール」を参照してください。

• この記事の例では、コードが次の Python コードで始まることを想定しています。 これは、マネージド仮想ネットワークを使用してハブを作成するのに必要なクラスをインポートし、Azure サブスクリプションとリソース グループの変数を設定し、ml_client を作成します。 次の例では、プレースホルダー テキスト <SUBSCRIPTION_ID> と <RESOURCE_GROUP> をお使いの値に置き換えます:

  from azure.ai.ml import MLClient
  from azure.ai.ml.entities import (
      Hub,
      ManagedNetwork,
      IsolationMode,
      ServiceTagDestination,
      PrivateEndpointDestination,
      FqdnDestination
  )
  from azure.identity import DefaultAzureCredential
  
  # Replace with the values for your Azure subscription and resource group.
  subscription_id = "<SUBSCRIPTION_ID>"
  resource_group = "<RESOURCE_GROUP>"
  
  # get a handle to the subscription
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
  

• 新しいハブを作成する:

  1. Azure portal にサインインし、[リソースの作成] メニューから [Azure AI Foundry] を選択します。

  2. [新しい Azure AI ] を選択します。

  3. [基本] タブで必要な情報を入力します。

  4. [ネットワーク] タブで、[Private with Internet Outbound] (インターネット アウトバウンドに関してプライベート) を選びます。

  5. アウトバウンド規則を追加するには、[ネットワーク] タブから [ユーザー定義アウトバウンド規則の追加] を選択します。[アウトバウンド規則] サイドバーから、次の情報を入力します:

     • 規則名: 規則の名前。 このハブの名前は一意である必要があります。
     • 送信先の種類: ネットワーク分離がインターネット送信で非公開である場合、プライベート エンドポイントのみが選択されます。 ハブのマネージド仮想ネットワークでは、すべての Azure リソースの種類に対するプライベート エンドポイントの作成はサポートされていません。 サポートされているリソースの一覧で、[プライベート エンドポイント] セクションを参照してください。
     • サブスクリプション: プライベート エンドポイントを追加する Azure リソースを含むサブスクリプション。
     • リソース グループ: プライベート エンドポイントを追加する Azure リソースを含むリソース グループ。
     • リソースの種類: Azure リソースの種類。
     • リソース名: Azure リソースの名前。
     • サブ リソース: Azure リソースの種類のサブリソース。

     保存 を選択します。 さらにルールを追加するには、[ユーザー定義のアウトバウンド規則の追加] を選択します。

  6. ハブの作成を続行します。

• 既存の VM を更新する:

  1. Azure portal にサインインし、マネージド仮想ネットワークの分離を有効にするハブを選びます。

  2. [ネットワーク]>[インターネット送信を持つプライベート] を選択します。

     • "アウトバウンド規則" を "追加" するには、[ネットワーク] タブから [ユーザー定義のアウトバウンド規則の追加] を選びます。[アウトバウンド規則] サイドバーから、「新しいハブの作成」セクションでハブを作成するときに使ったものと同じ情報を指定します。

     • アウトバウンド規則を削除するには、規則の [削除] を選択します。

  3. ページの上部にある [保存] を選択して、マネージド仮想ネットワークへの変更を適用します。

インターネット送信を許可するようにマネージド仮想ネットワークを構成するには、--managed-network allow_internet_outbound パラメーターまたは次のエントリを含む YAML 構成ファイルのいずれかを使います:

managed_network:
  isolation_mode: allow_internet_outbound

ハブが依存する他の Azure サービスに対して "アウトバウンド規則" を定義します。 これらの規則によって、Azure リソースがマネージド仮想ネットワークと安全に通信できるようにする "プライベート エンドポイント" を定義します。 次の規則は、Azure Blob Storage アカウントにプライベート エンドポイントを追加する方法を示しています。 次の例で、プレースホルダー テキスト <SUBSCRIPTION_ID>、<RESOURCE_GROUP>、<STORAGE_ACCOUNT_NAME> をお使いの値に置き換えます。

managed_network:
  isolation_mode: allow_internet_outbound
  outbound_rules:
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

az ml workspace create コマンドまたは az ml workspace update コマンドのいずれかを使用して、マネージド仮想ネットワークを構成します:

• 新しいハブを作成する:

  次の例では、新しいハブを作成します。 --managed-network allow_internet_outbound パラメーターは、ハブ用にマネージド仮想ネットワークを構成します。

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  代わりに YAML ファイルを使ってハブを作成するには、--file パラメーターを使い、構成設定を含む YAML ファイルを指定します。

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

  次の YAML の例では、マネージド仮想ネットワークがあるハブを定義しています。

  name: myhub
  ___location: EastUS
  managed_network:
    isolation_mode: allow_internet_outbound
  

• 既存の VM を更新する:

  警告

  マネージド仮想ネットワークを使うように既存のワークスペースを更新する前に、ワークスペースのすべてのコンピューティング リソースを削除する必要があります。 これには、コンピューティング インスタンス、コンピューティング クラスター、マネージド オンライン エンドポイントが含まれます。

  次の例では、既存のハブを更新しています。 --managed-network allow_internet_outbound パラメーターは、ハブ用にマネージド仮想ネットワークを構成します。

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_internet_outbound
  

  YAML ファイルを使って既存のハブを更新するには、--file パラメーターを使い、構成設定を含む YAML ファイルを指定します。

  az ml workspace update --file hub.yaml --name ws --kind hub --resource-group MyGroup
  

  次の YAML の例では、ハブのマネージド仮想ネットワークを定義しています。 また、ハブが使用するリソースにプライベート エンドポイント接続を追加する方法も示しています。 この例では、Azure Blob Storage アカウントにプライベート エンドポイントを追加します。 次の例で、プレースホルダー テキスト <SUBSCRIPTION_ID>、<RESOURCE_GROUP>、<STORAGE_ACCOUNT_NAME> をお使いの値に置き換えます:

  name: myhub
  managed_network:
    isolation_mode: allow_internet_outbound
    outbound_rules:
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

インターネット送信を許可するマネージド仮想ネットワークを構成するには、ManagedNetwork で IsolationMode.ALLOW_INTERNET_OUTBOUND クラスを使用します。 その後、ManagedNetwork オブジェクトを使用して、新しいハブを作成したり、既存のハブを更新したりします。 ハブが依存する Azure サービスへの "アウトバウンド規則" を定義するには、 クラスを使って、サービスに対する新しいプライベート エンドポイントを定義します。PrivateEndpointDestination

• 新しいハブを作成する:

  次の例では、myhub という新しいハブを作成し、myrule というアウトバウンド規則で Azure Blob Storage アカウントのプライベート エンドポイントを追加しています。 次の例で、プレースホルダー テキスト <SUBSCRIPTION_ID>、<RESOURCE_GROUP>、<STORAGE_ACCOUNT_NAME> をお使いの値に置き換えます:

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      ___location="eastus",
      managed_network=network
  )
  
  # Example private endpoint to Azure Blob Storage
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
      # Add the outbound rulerule
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• 既存の VM を更新する:

  次の例は、myhub という既存のハブのマネージド仮想ネットワークを作成する方法を示しています。

  # Get the existing hub
      ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get(name="myhub")
  
      # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
  
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  
  # Add the outbound 
  ws.managed_network.outbound_rules = [PrivateEndpointDestination(
      name=rule_name, 
      service_resource_id=service_resource_id, 
      subresource_target=subresource_target, 
      spark_enabled=spark_enabled)]
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

• 新しいハブを作成する:

  1. Azure portal にサインインし、[リソースの作成] メニューから [Azure AI Foundry] を選択します。

  2. [新しい Azure AI ] を選択します。

  3. [基本] タブで、必要な情報を指定します。

  4. [ネットワーク] タブから、[承認済み送信で非公開] を選びます。

  5. アウトバウンド規則を追加するには、[ネットワーク] タブから [ユーザー定義アウトバウンド規則の追加] を選択します。[アウトバウンド規則] サイドバーから、次の情報を指定します:

     • 規則名: 規則の名前。 このハブの名前は一意である必要があります。
     • 送信先の種類: プライベート エンドポイント、サービス タグ、または FQDN。 サービス タグと FQDN は、ネットワーク分離が承認された送信で非公開である場合にのみ使用できます。

     送信先の種類がプライベート エンドポイントの場合は、次の情報を指定します:

     • サブスクリプション: プライベート エンドポイントを追加する Azure リソースを含むサブスクリプション。
     • リソース グループ: プライベート エンドポイントを追加する Azure リソースを含むリソース グループ。
     • リソースの種類: Azure リソースの種類。
     • リソース名: Azure リソースの名前。
  • サブ リソース: Azure リソースの種類のサブ リソース。

  ヒント

  ハブのマネージド VNET では、すべての Azure リソースの種類に対するプライベート エンドポイントの作成はサポートされていません。 サポートされているリソースの一覧で、[プライベート エンドポイント] セクションを参照してください。

  送信先の種類がサービス タグの場合は、入力します:

  • サービス タグ: 承認されたアウトバウンド規則に追加するサービス タグ。
  • プロトコル: サービス タグを許可するプロトコル。
  • ポート範囲: サービス タグを許可するポート範囲。

  送信先の種類が FQDN の場合は、次の情報を入力します:

  • FQDN 送信先: 承認済みのアウトバウンド規則に追加する完全修飾ドメイン名。

    [保存] を選択してルールを保存します。 さらにルールを追加するには、もう一度 [ユーザー定義のアウトバウンド規則の追加] を選択します。

  1. 通常どおりハブの作成を続行します。

• 既存の VM を更新する:

  1. Azure portalにサインインし、マネージド仮想ネットワークの分離を有効にするハブを選びます。

  2. [ネットワーク]>[承認された送信を持つプライベート] を選択します。

     • アウトバウンド規則を追加するには、[ネットワーク] タブから [ユーザー定義のアウトバウンド規則の追加] を選びます。[アウトバウンド規則] サイドバーから、前の「新しいハブの作成」セクションでハブを作成するときに使ったものと同じ情報を入力します。

     • アウトバウンド規則を削除するには、規則の [削除] を選択します。

  3. ページの上部にある [保存] を選択して、マネージド仮想ネットワークへの変更を保存します。

承認された送信通信のみを許可するようにマネージド仮想ネットワークを構成するには、--managed-network allow_only_approved_outbound パラメーターまたは次のエントリを含む YAML 構成ファイルのいずれかを使います:

managed_network:
  isolation_mode: allow_only_approved_outbound

承認された送信通信のアウトバウンド規則を定義することもできます。 service_tag、fqdn、または private_endpoint の種類のアウトバウンド規則を作成します。 次の例では、プライベート エンドポイントを Azure BLOB リソースに、サービス タグを Azure Data Factory に、FQDN を pypi.org に追加しています。 次の例で、プレースホルダー テキスト <SUBSCRIPTION_ID>、<RESOURCE_GROUP>、<STORAGE_ACCOUNT_NAME> をご自分の値に置き換えます。

managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - name: added-servicetagrule
    destination:
      port_ranges: 80, 8080
      protocol: TCP
      service_tag: DataFactory
    type: service_tag
  - name: add-fqdnrule
    destination: 'pypi.org'
    type: fqdn
  - name: added-perule
    destination:
      service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
      spark_enabled: true
      subresource_target: blob
    type: private_endpoint

マネージド仮想ネットワークは、az ml workspace create コマンドまたは az ml workspace update コマンドのいずれかを使用して構成できます。

• 新しいハブを作成する:

  次の例では、--managed-network allow_only_approved_outbound パラメーターを使ってマネージド仮想ネットワークを構成しています。

  az ml workspace create --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  次の YAML ファイルでは、マネージド仮想ネットワークがあるハブを定義しています。

  name: myhub
  ___location: EastUS
  managed_network:
    isolation_mode: allow_only_approved_outbound
  

  YAML ファイルを使ってハブを作成するには、--file パラメーターを使います。

  az ml workspace create --file hub.yaml --resource-group rg --name ws --kind hub
  

• 既存のハブを更新する

  警告

  マネージド仮想ネットワークを使うように既存のワークスペースを更新する前に、ワークスペースのすべてのコンピューティング リソースを削除する必要があります。 これには、コンピューティング インスタンス、コンピューティング クラスター、マネージド オンライン エンドポイントが含まれます。

  次の例では、--managed-network allow_only_approved_outbound パラメーターを使って、既存のハブのマネージド仮想ネットワークを構成しています。

  az ml workspace update --name ws --resource-group rg --kind hub --managed-network allow_only_approved_outbound
  

  次の YAML ファイルでは、ハブのマネージド仮想ネットワークを定義し、承認されたアウトバウンド規則を追加する方法を示しています。 この例では、サービス タグ、FQDN、プライベート エンドポイントにアウトバウンド規則が追加されています:

  name: myhub_dep
  managed_network:
    isolation_mode: allow_only_approved_outbound
    outbound_rules:
    - name: added-servicetagrule
      destination:
        port_ranges: 80, 8080
        protocol: TCP
        service_tag: DataFactory
      type: service_tag
    - name: add-fqdnrule
      destination: 'pypi.org'
      type: fqdn
    - name: added-perule
      destination:
        service_resource_id: /subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>
        spark_enabled: true
        subresource_target: blob
      type: private_endpoint
  

承認されたアウトバウンド通信のみを許可するマネージド仮想ネットワークを構成するには、ManagedNetwork クラスを使い、IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND を使ってネットワークを定義します。 これで、ManagedNetwork オブジェクトを使用して、新しいハブを作成したり、既存のハブを更新したりできます。 "アウトバウンド規則" を定義するには、次のクラスを使用します:

• 新しいハブを作成する:

  次の例では、myhub という新しいハブといくつかのアウトバウンド規則を作成しています。

  • myrule - Azure Blob ストアのプライベート エンドポイントを追加します。
  • datafactory - Azure Data Factory と通信するサービス タグ規則を追加します。

  重要

  • サービス タグまたは FQDN アウトバウンド規則を追加することは、マネージド VNet が IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND に構成されている場合にのみ有効です。
  • アウトバウンド規則を追加した場合、Microsoft はデータ流出に対する保護を保証できません。

  # Basic managed VNet configuration
  network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Hub configuration
  ws = Hub(
      name="myhub",
      ___location="eastus",
      managed_network=network
  )
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Create the hub
  ws = ml_client.workspaces.begin_create(ws).result()
  

• 既存の VM を更新する:

  次の例は、myhub という既存のハブのマネージド仮想ネットワークを構成する方法を示しています。 また、いくつかのアウトバウンド規則も追加します:

  • myrule - Azure Blob ストアのプライベート エンドポイントを追加します。
  • datafactory - Azure Data Factory と通信するサービス タグ規則を追加します。

  ヒント

  サービス タグまたは FQDN の送信を追加することは、マネージド VNet が IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND に構成されている場合にのみ有効です。

  # Get the existing hub
  ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
  ws = ml_client.workspaces.get()
  
  # Basic managed VNet configuration
  ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
  
  # Append some rules
  ws.managed_network.outbound_rules = []
  # Example private endpoint outbound to a blob
  rule_name = "myrule"
  service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
  subresource_target = "blob"
  spark_enabled = True
  ws.managed_network.outbound_rules.append(
      PrivateEndpointDestination(
          name=rule_name, 
          service_resource_id=service_resource_id, 
          subresource_target=subresource_target, 
          spark_enabled=spark_enabled
      )
  )
  
  # Example service tag rule
  rule_name = "datafactory"
  service_tag = "DataFactory"
  protocol = "TCP"
  port_ranges = "80, 8080-8089"
  ws.managed_network.outbound_rules.append(
      ServiceTagDestination(
          name=rule_name, 
          service_tag=service_tag, 
          protocol=protocol, 
          port_ranges=port_ranges
      )
  )
  
  # Example FQDN rule
  ws.managed_network.outbound_rules.append(
      FqdnDestination(
          name="fqdnrule", 
          destination="pypi.org"
      )
  )
  
  # Update the hub
  ml_client.workspaces.begin_update(ws)
  

ワークスペース作成中に、[作成時に事前にマネージド ネットワークをプロビジョニングする] を選択して、マネージド ネットワークを設定します。 仮想ネットワークが設定された後、プライベート エンドポイントなどのネットワーク リソースの課金が開始されます。 このオプションは、ワークスペースの作成時にのみ使用できます。

次の例は、ハブ作成時にマネージド仮想ネットワークをプロビジョニングする方法を示しています。

az ml workspace create -n my_ai_hub_name -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now true

次の例は、マネージド仮想ネットワークをプロビジョニングする方法を示しています。

az ml workspace provision-network -g my_resource_group -n my_ai_hub_name

プロビジョニングが完了したことを確認するには、次のコマンドを実行します:

az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network

SDK を使用してマネージド仮想ネットワークをプロビジョニングしてから、その状態を確認します。

from azure.identity import DefaultAzureCredential
from azure.ai.ml import MLClient

subscription_id = "00000000-0000-0000-0000-000000000000"
resource_group = "my_resource_group"
workspace_name = "my_ai_hub_name"

ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=workspace_name)

# Start provisioning the managed network for the workspace.
provision_result = ml_client.workspaces.begin_provision_network(workspace_name=workspace_name).result()

# Check the managed network status.
ws = ml_client.workspaces.get(name=workspace_name)
print(ws.managed_network.status)

1. Azure portalにサインインし、マネージド仮想ネットワークの分離を有効にするハブを選びます。
2. [ネットワーク] を選択します。 [Azure AI 送信アクセス] セクションを使用すると、アウトバウンド規則を管理できます。

• アウトバウンド規則を追加するには、[ネットワーク] タブから [ユーザー定義アウトバウンド規則の追加] を選択します。[Azure AI アウトバウンド規則] サイドバーから、必要な値を指定します。

• 規則を有効または無効にするには、[アクティブ] 列のトグルを使用します。

• アウトバウンド規則を削除するには、規則の [削除] を選択します。

次のコマンドで、プレースホルダー テキスト <workspace-name>、<resource-group>、<rule-name> をご自分の値に置き換えます。 ハブのマネージド仮想ネットワークのアウトバウンド規則を一覧表示するには、次を実行します:

az ml workspace outbound-rule list --workspace-name <workspace-name> --resource-group <resource-group>

マネージド仮想ネットワーク アウトバウンド規則の詳細を表示するには、次を実行します:

az ml workspace outbound-rule show --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

マネージド仮想ネットワークからアウトバウンド規則を削除するには、次を実行します:

az ml workspace outbound-rule remove --rule <rule-name> --workspace-name <workspace-name> --resource-group <resource-group>

次の例は、myhub というハブのアウトバウンド規則を管理する方法を示しています。 この例では、プレースホルダー テキスト <some-rule-name> をルール名に置き換えます:

# Connect to the hub
ws_name = "myhub"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name=ws_name)

# Specify the rule name
rule_name = "<some-rule-name>"

# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)

# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)

# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()

[承認された送信のみを許可する] モードを選択すると、Azure Firewall バージョン (SKU) を選択するためのオプションが表示されます。 [Standard] または [Basic] を選択します。 保存 を選択します。

Azure CLI を使用してファイアウォール バージョンを設定するには、YAML ファイルを使用して firewall_sku を指定します。 次の例では、ファイアウォール SKU を basic に設定します:

name: test-ws
resource_group: test-rg
___location: eastus2 
managed_network:
  isolation_mode: allow_only_approved_outbound
  outbound_rules:
  - category: required
    destination: 'contoso.com'
    name: contosofqdn
    type: fqdn
  firewall_sku: basic
tags: {}

Python SDK を使用してファイアウォール バージョンを設定するには、firewall_sku オブジェクトの ManagedNetwork プロパティを設定します。 次の例では、ファイアウォール SKU を basic に設定します:

network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND,
                         firewall_sku='basic')