Azure AI 검색에 보안 연결을 위한 프라이빗 엔드포인트 만들기

이 문서에서는 공용 인터넷 연결 대신 가상 네트워크의 클라이언트에서 요청을 수락하도록 Azure AI Search에 대한 프라이빗 연결을 구성하는 방법을 설명합니다.

• Azure 가상 네트워크 만들기 또는 기존 가상 네트워크 사용
• 프라이빗 엔드포인트를 사용하도록 검색 서비스 구성
• 동일한 가상 네트워크에 Azure 가상 머신 만들기
• 가상 머신에서 브라우저 세션을 사용하여 테스트

Azure AI Search에 비공개로 연결할 수 있는 다른 Azure 리소스에는 '자체 데이터 사용' 시나리오를 위한 Azure OpenAI가 있습니다. Azure AI Foundry는 가상 네트워크에서 실행되지 않지만 백 엔드에서 Microsoft 백본 네트워크를 통해 요청을 보내도록 구성할 수 있습니다. 이 트래픽 패턴에 대한 구성은 요청이 제출되고 승인되면 Microsoft에서 사용하도록 설정합니다. 이 시나리오의 경우:

• 이 아티클의 지침에 따라 프라이빗 엔드포인트를 설정하세요.
• Azure Portal에서 검색 리소스의 신뢰할 수 있는 서비스를 사용하도록 설정합니다.
• 필요에 따라 가상 네트워크의 클라이언트 또는 프라이빗 엔드포인트 연결을 통해 Azure OpenAI에서만 연결이 시작되어야 하는 경우 공용 네트워크 액세스를 사용하지 않도록 설정합니다.

프라이빗 엔드포인트에 대한 핵심 사항

프라이빗 엔드포인트는 Azure Private Link에 의해 별도의 청구 가능한 서비스로 제공됩니다. 비용에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조 하세요.

검색 서비스에 프라이빗 엔드포인트가 있으면 해당 서비스에 대한 포털 액세스는 가상 네트워크 내의 가상 머신에 있는 브라우저 세션에서 시작해야 합니다. 자세한 내용은 이 단계를 참조하세요.

이 문서에서 설명하는 것과 같이 Azure Portal에서 검색 서비스에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 또는 관리 REST API, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다.

프라이빗 엔드포인트를 사용하는 이유는 무엇인가요?

Azure AI Search에 대한 프라이빗 엔드포인트 를 사용하면 가상 네트워크의 클라이언트가 Private Link를 통해 검색 인덱스의 데이터에 안전하게 액세스할 수 있습니다. 프라이빗 엔드포인트는 검색 서비스에 가상 네트워크 주소 공간의 IP 주소를 사용합니다. 클라이언트와 검색 서비스 간의 네트워크 트래픽은 가상 네트워크와 Microsoft 백본 네트워크의 프라이빗 링크를 통과하여 퍼블릭 인터넷에서 공개되지 않도록 합니다. Private Link를 지원하는 다른 PaaS 서비스 목록은 제품 설명서의 가용성 섹션을 참조하세요.

검색 서비스에 대한 프라이빗 엔드포인트를 사용하면 다음을 수행할 수 있습니다.

• 검색 서비스에 대한 퍼블릭 엔드포인트의 모든 연결을 차단합니다.
• 가상 네트워크의 데이터 반출을 차단하여 가상 네트워크에 대한 보안을 강화합니다.
• 개인 피어링을 통해 VPN 또는 ExpressRoutes를 사용하여 가상 네트워크에 연결하는 온-프레미스 네트워크에서 검색 서비스에 안전하게 연결합니다.

가상 네트워크 만들기

이 섹션에서는 검색 서비스의 프라이빗 엔드포인트에 액세스하는 데 사용할 VM을 호스트하는 가상 네트워크 및 서브넷을 만듭니다.

1. Azure Portal 홈 탭에서 리소스 만들기>네트워킹>가상 네트워크를 선택합니다.

2. 가상 네트워크 만들기에서 다음 값을 입력하거나 선택합니다.

   설정	값
   Subscription	구독 선택
   Resource group	새로 만들기를 선택하고 myResourceGroup과 같은 이름을 입력한 다음 확인을 선택합니다.
   속성	MyVirtualNetwork와 같은 이름을 입력합니다.
   지역	지역 선택

3. 나머지 설정은 기본값을 사용합니다. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

프라이빗 엔드포인트를 사용하여 검색 서비스 만들기

이 섹션에서는 프라이빗 엔드포인트를 사용하여 새 Azure AI Search 서비스를 만듭니다.

1. Azure Portal의 화면 왼쪽 위에서 리소스>AI + 기계 학습>AI 검색 만들기를 선택합니다.

2. 검색 서비스 만들기 - 기본 사항에서 다음 값을 입력하거나 선택합니다.

   설정	값
   프로젝트 정보
   구독	구독 선택
   Resource group	이전 단계에서 만든 리소스 그룹 사용
   인스턴스 정보
   URL	고유한 이름 입력
   위치	지역 선택
   가격 책정 계층	가격 책정 계층 변경을 선택하고 원하는 서비스 계층을 선택합니다. 프라이빗 엔드포인트는 무료 계층에서 지원되지 않습니다. 기본 이상을 선택해야 합니다.

3. 다음: 규모를 선택합니다.

4. 기본값을 적용하고 다음: 네트워킹을 선택합니다.

5. 검색 서비스 만들기 - 네트워킹에서 엔드포인트 연결에 대한 프라이빗(데이터)을 선택합니다.

6. 프라이빗 엔드포인트에서 + 추가를 선택합니다.

7. 프라이빗 엔드포인트 만들기에서 검색 서비스를 만든 가상 네트워크와 연결하는 값을 입력하거나 선택합니다.

   설정	값
   Subscription	구독 선택
   Resource group	이전 단계에서 만든 리소스 그룹 사용
   위치	지역 선택
   속성	myPrivateEndpoint와 같은 이름을 입력합니다.
   대상 하위 리소스	기본 searchService 적용
   네트워킹
   가상 네트워크	이전 단계에서 만든 가상 네트워크 선택
   서브넷	기본값 선택
   프라이빗 DNS 통합
   프라이빗 DNS 통합 사용	확인란 선택
   프라이빗 DNS 영역	기본값 (신규) privatelink.search.windows.net 적용

8. 추가를 선택합니다.

9. 검토 + 만들기를 선택합니다. Azure에서 구성의 유효성을 검사하는 검토 + 만들기 페이지로 이동합니다.

10. 유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.

11. 새 서비스의 프로비저닝이 완료되면 만들었던 리소스를 찾습니다.

12. 왼쪽 콘텐츠 메뉴에서 설정>키를 선택합니다.

13. 이후 서비스에 연결할 때 사용하도록 기본 관리자 키를 복사합니다.

가상 머신 만들기

1. Azure Portal 화면의 왼쪽 위에서 리소스 만들기>컴퓨팅>가상 머신을 선택합니다.

2. 가상 머신 만들기 - 기본에서 다음 값을 입력하거나 선택합니다.

   설정	값
   프로젝트 정보
   구독	구독 선택
   Resource group	이전 섹션에서 만든 리소스 그룹 사용
   인스턴스 정보
   가상 머신 이름	my-vm과 같은 이름을 입력합니다.
   지역	지역 선택
   가용성 옵션	인프라 중복 없음을 선택 하거나 기능이 필요한 경우 다른 옵션을 선택할 수 있습니다.
   이미지	Windows Server 2022 Datacenter: Azure Edition - Gen2를 선택합니다.
   VM 아키텍처	기본 x64 적용
   크기	기본 표준 D2S v3 적용
   관리자 계정
   사용자 이름	관리자의 사용자 이름을 입력합니다. Azure 구독에 유효한 계정을 사용합니다. 검색 서비스를 관리할 수 있도록 VM에서 Azure Portal에 로그인합니다.
   암호	계정 암호를 입력합니다. 암호는 12자 이상이어야 하며 정의된 복잡성 요구 사항을 충족해야 합니다.
   암호 확인	암호 다시 입력
   인바운드 포트 규칙
   공용 인바운드 포트	선택한 포트 허용 기본값 적용
   인바운드 포트 선택	기본 RDP 적용(3389)

3. 완료되면 다음: 디스크를 선택합니다.

4. 가상 머신 만들기 - 디스크에서 기본값을 적용하고 다음: 네트워킹을 선택합니다.

5. 가상 머신 만들기 - 네트워킹에서 다음 단계를 제공합니다.

   설정	값
   가상 네트워크	이전 단계에서 만든 가상 네트워크 선택
   서브넷	기본값 10.1.0.0/24 적용
   공용 IP	기본값을 그대로 적용
   NIC 네트워크 보안 그룹 추가	기본값 적용
   공용 인바운드 포트	기본 선택한 포트 허용 선택
   인바운드 포트 선택	HTTP 80, HTTPS(443) 및 RDP(3389)를 선택합니다.

   참고 항목

   IPv4 주소는 CIDR 형식으로 표현할 수 있습니다. RFC 1918에서 설명하는 것과 같이 프라이빗 네트워킹에 예약된 IP 범위를 피해야 합니다.

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. 유효성 검사를 위해 검토 + 만들기를 선택합니다.

7. 유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.

VM에 연결

다음과 같이 가상 머신을 다운로드하고 연결합니다.

1. Azure Portal의 검색 창에서 이전 단계에서 만든 가상 머신을 검색합니다.

2. 연결을 선택합니다. 연결 단추를 선택하면 가상 머신에 연결이 열립니다.

3. RDP 파일 다운로드를 선택합니다. Azure에서 원격 데스크톱 프로토콜(.rdp) 파일을 만들고, 컴퓨터에 다운로드합니다.

4. 다운로드한 .rdp 파일을 엽니다.

   1. 메시지가 표시되면 연결을 선택합니다.

   2. VM을 만들 때 지정한 사용자 이름과 암호를 입력합니다.

      참고 항목

      추가 선택 사항>다른 계정 사용을 차례로 선택하여 VM을 만들 때 입력한 자격 증명을 지정해야 할 수도 있습니다.

5. 확인을 선택합니다.

6. 로그인 프로세스 중에 인증서 경고가 나타날 수 있습니다. 인증서 경고가 표시되면 예 또는 계속을 선택합니다.

7. VM 데스크톱이 나타나면 최소화하여 로컬 데스크톱으로 돌아갑니다.

연결 테스트

이 섹션에서는 검색 서비스에 대한 프라이빗 네트워크 액세스를 확인하고 프라이빗 엔드포인트를 사용하여 비공개로 연결합니다.

검색 서비스 엔드포인트가 프라이빗인 경우 일부 포털 기능이 사용하지 않도록 설정됩니다. 서비스 수준 설정을 보고 관리할 수 있지만 인덱스 데이터 및 서비스의 다양한 기타 구성 요소(예: 인덱스, 인덱서 및 기술 세트 정의)에 대한 포털 액세스는 보안상의 이유로 제한됩니다.

1. myVM의 원격 데스크톱에서 PowerShell을 엽니다.

2. nslookup [search service name].search.windows.net를 입력합니다.

   다음과 유사한 메시지가 표시됩니다.

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. VM에서 검색 서비스에 연결하여 인덱스를 만듭니다. 이 빠른 시작을 따라 REST API를 사용하여 서비스에서 새 검색 인덱스를 만들 수 있습니다. Web API 테스트 도구에서 요청을 설정하려면 검색 서비스 엔드포인트 (https://[search service name].search.windows.net) 와 이전 단계에서 복사한 관리자 api-key가 필요합니다.

4. VM에서 빠른 시작을 완료하면 서비스가 완전히 작동하는지 확인하는 것입니다.

5. myVM에 대한 원격 데스크톱 연결을 닫습니다.

6. 퍼블릭 엔드포인트에서 서비스에 액세스할 수 없는지 확인하려면 로컬 워크스테이션에서 REST 클라이언트를 열고 빠른 시작에서 처음 몇 가지 작업을 시도합니다. 원격 서버가 존재하지 않는다는 오류가 발생하면 검색 서비스에 대한 프라이빗 엔드포인트를 구성했습니다.

Azure Portal을 사용하여 프라이빗 검색 서비스에 액세스

검색 서비스 엔드포인트가 프라이빗인 경우 일부 포털 기능이 사용하지 않도록 설정됩니다. 서비스 수준 정보를 보고 관리할 수 있지만 인덱스, 인덱서 및 기술 세트 정보는 보안상의 이유로 숨겨집니다.

이 제한을 해결하려면 가상 네트워크 내의 가상 머신에 있는 브라우저에서 Azure Portal에 연결합니다. Azure Portal은 연결에서 프라이빗 엔드포인트를 사용하고 콘텐츠 및 작업에 대한 가시성을 제공합니다.

1. 프라이빗 엔드포인트를 통해 검색 서비스에 액세스할 수 있는 VM을 프로비전하는 단계를 따릅니다.

2. 가상 네트워크의 가상 머신에서 브라우저를 열고 Azure Portal에 로그인합니다. Azure Portal은 가상 머신에 연결된 프라이빗 엔드포인트를 사용하여 검색 서비스에 연결합니다.

공용 네트워크 액세스 사용 안 함

검색 서비스를 잠가 공용 인터넷의 요청을 받아들이지 못하도록 차단할 수 있습니다. 이 단계에서는 Azure Portal을 사용할 수 있습니다.

1. Azure Portal의 검색 서비스 페이지 맨 왼쪽 창에서 네트워킹을 선택합니다.

2. 방화벽 및 가상 네트워크 탭에서 사용 안 함을 선택합니다.

설정하거나 설정하여 Azure CLI, Azure PowerShell 또는 관리 REST API를 disabled사용할 수도 있습니다.public-network-access public-access

리소스 정리

본인 소유의 구독으로 이 모듈을 진행하고 있는 경우에는 프로젝트가 끝날 때 여기에서 만든 리소스가 계속 필요한지 확인하는 것이 좋습니다. 계속 실행되는 리소스에는 요금이 부과될 수 있습니다.

개별 리소스 또는 리소스 그룹을 삭제하여 이 연습에서 만든 모든 항목을 삭제할 수 있습니다. 리소스 개요 페이지에서 리소스 그룹을 선택한 다음 삭제를 선택합니다.

다음 단계

이 문서에서는 가상 네트워크에 VM을 만들고 프라이빗 엔드포인트가 있는 검색 서비스를 만들었습니다. 인터넷에서 VM에 연결하고 Private Link를 사용하여 검색 서비스에 안전하게 전달했습니다. 프라이빗 엔드포인트 에 대한 자세한 내용은 프라이빗 엔드포인트란?