두 가지 네트워크 격리 양상이 있습니다. 하나는 Azure AI Foundry 허브에 액세스하기 위한 네트워크 격리입니다. 또 다른 하나는 허브 및 프로젝트(예: 컴퓨팅 인스턴스, 서버리스 및 관리형 온라인 엔드포인트)에 대한 컴퓨팅 리소스의 네트워크 격리입니다. 이 문서에서는 다이어그램에 강조 표시된 후자를 설명합니다. 허브 기본 제공 네트워크 격리를 사용하여 컴퓨팅 리소스를 보호할 수 있습니다.
다음 네트워크 격리 구성을 구성해야 합니다.
네트워크 격리 모드를 선택합니다. 인터넷 아웃바운드 모드를 허용하거나 승인된 아웃바운드 모드만 허용하는 두 가지 옵션이 있습니다.
승인된 아웃바운드 모드만 허용과 Visual Studio Code 통합을 사용하는 경우 Visual Studio Code 사용 섹션에 설명된 FQDN 아웃바운드 규칙을 만듭니다.
승인된 아웃바운드 모드만 허용된 모델에서 HuggingFace 모델을 사용하는 경우 HuggingFace 모델 사용 섹션에 설명된 FQDN 아웃바운드 규칙을 만듭니다.
승인된 아웃바운드 모드만 허용하는 오픈 소스 모델 중 하나를 사용하는 경우 Azure AI가 큐레이팅한 섹션에 설명된 FQDN 아웃바운드 규칙을 만듭니다.
네트워크 격리 아키텍처 및 격리 모드
관리형 가상 네트워크 격리를 사용하도록 설정하면 허브에 대한 관리형 가상 네트워크가 만들어집니다. 허브에 대해 만드는 관리형 컴퓨팅 리소스는 이 관리형 가상 네트워크를 자동으로 사용합니다. 관리형 가상 네트워크는 Azure Storage, Azure Key Vault 및 Azure Container Registry와 같이 허브에서 사용하는 Azure 리소스에 프라이빗 엔드포인트를 사용할 수 있습니다.
관리되는 가상 네트워크에서 아웃바운드 트래픽에 대한 세 가지 구성 모드가 있습니다.
아웃바운드 모드
설명
시나리오
인터넷 아웃바운드 허용
관리되는 가상 네트워크에서 모든 인터넷 아웃바운드 트래픽을 허용합니다.
인터넷의 기계 학습 리소스(예: Python 패키지 또는 미리 학습된 모델)에 무제한으로 액세스하려고 합니다.1
승인된 아웃바운드만 허용
서비스 태그를 지정하면 아웃바운드 트래픽이 허용됩니다.
* 데이터 반출 위험을 최소화하려고 하지만 프라이빗 환경에서 필요한 모든 기계 학습 아티팩트를 준비해야 합니다. * 승인된 서비스, 서비스 태그 또는 FQDN 목록에 대한 아웃바운드 액세스를 구성하려고 합니다.
사용 안 함
인바운드 및 아웃바운드 트래픽은 제한되지 않습니다.
허브에서 퍼블릭 인바운드 및 아웃바운드를 원합니다.
1 인터넷 아웃바운드 허용을 사용하는 것과 동일한 결과를 얻기 위해 승인된 아웃바운드만 허용 모드로 아웃바운드 규칙을 사용할 수 있습니다. 차이점은 다음과 같습니다.
항상 프라이빗 엔드포인트를 사용하여 Azure 리소스에 액세스합니다.
허용해야 하는 각 아웃바운드 연결에 대한 규칙을 추가해야 합니다.
이 규칙 유형은 Azure Firewall을 사용하므로 FQDN 아웃바운드 규칙을 추가하면 비용이 증가합니다. 아웃바운드 FQDN 규칙을 사용하는 경우 Azure Firewall에 대한 요금이 청구서에 포함됩니다. 자세한 내용은 가격 책정을 참조하세요.
승인된 아웃바운드만 허용을 위한 기본 규칙은 데이터 반출 위험을 최소화하도록 설계되었습니다. 추가한 아웃바운드 규칙으로 인해 위험이 커질 수 있습니다.
관리되는 가상 네트워크는 필수 기본 규칙으로 사전 구성되어 있습니다. 또한 허브에 대한 프라이빗 엔드포인트 연결, 허브의 기본 스토리지, 컨테이너 레지스트리 및 키 자격 증명 모음이 프라이빗으로 구성되었거나 허브 격리 모드가 승인된 아웃바운드만 허용하도록 설정된 경우 구성됩니다. 격리 모드를 선택한 후에는 추가해야 할 수 있는 다른 아웃바운드 요구 사항만 고려하면 됩니다.
다음 다이어그램은 인터넷 아웃바운드를 허용하도록 구성된 관리되는 가상 네트워크를 보여 줍니다.
다음 다이어그램은 승인된 아웃바운드만 허용하도록 구성된 관리되는 가상 네트워크를 보여 줍니다.
참고 항목
이 구성에서는 허브에서 사용하는 스토리지, 키 자격 증명 모음 및 컨테이너 레지스트리에 프라이빗 플래그가 지정됩니다. 프라이빗용으로 플래그가 지정되어 있으므로 프라이빗 엔드포인트를 사용하여 통신합니다.
이 문서의 예에서는 코드가 다음 Python으로 시작한다고 가정합니다. 이 코드는 관리형 가상 네트워크를 사용하여 허브를 만들 때 필요한 클래스를 가져오고, Azure 구독 및 리소스 그룹에 대한 변수를 설정하고, 다음의 ml_client을(를) 만듭니다.
from azure.ai.ml import MLClient
from azure.ai.ml.entities import (
Hub,
ManagedNetwork,
IsolationMode,
ServiceTagDestination,
PrivateEndpointDestination,
FqdnDestination
)
from azure.identity import DefaultAzureCredential
# Replace with the values for your Azure subscription and resource group.
subscription_id = "<SUBSCRIPTION_ID>"
resource_group = "<RESOURCE_GROUP>"
# get a handle to the subscription
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group)
제한 사항
Azure AI Foundry는 현재 사용자 고유의 가상 네트워크 가져오기를 지원하지 않으며 관리되는 가상 네트워크 격리만 지원합니다.
Azure AI의 관리형 가상 네트워크 격리를 사용하도록 설정하면 사용하지 않도록 설정할 수 없습니다.
관리되는 가상 네트워크는 프라이빗 엔드포인트 연결을 사용하여 프라이빗 리소스에 액세스합니다. 스토리지 계정과 같은 Azure 리소스에 대해 프라이빗 엔드포인트와 서비스 엔드포인트를 동시에 가질 수 없습니다. 모든 시나리오에서 프라이빗 엔드포인트를 사용하는 것이 좋습니다.
관리형 가상 네트워크는 Azure AI가 삭제될 때 삭제됩니다.
승인된 아웃바운드 모드에 대해서만 데이터 반출 방지가 자동으로 사용하도록 설정됩니다. FQDN과 같은 다른 아웃바운드 규칙을 추가하는 경우 Microsoft는 해당 아웃바운드 대상으로의 데이터 반출로부터 사용자가 보호된다고 보장할 수 없습니다.
FQDN 규칙은 Azure Firewall을 사용하므로 FQDN 아웃바운드 규칙을 사용하면 관리되는 가상 네트워크의 비용이 증가합니다. 자세한 내용은 가격 책정을 참조하세요.
FQDN 아웃바운드 규칙은 포트 80 및 443만 지원합니다.
관리되는 네트워크에서 컴퓨팅 인스턴스를 사용하는 경우 az ml compute connect-ssh 명령을 사용하여 SSH를 사용하여 컴퓨팅에 연결합니다.
관리되는 네트워크가 승인된 아웃바운드만 허용하도록 구성된 경우 FQDN 규칙을 사용하여 Azure Storage 계정에 액세스할 수 없습니다. 대신 프라이빗 엔드포인트를 사용해야 합니다.
인터넷 아웃바운드를 허용하도록 관리되는 가상 네트워크 구성
팁
관리형 VNet 만들기는 컴퓨팅 리소스가 만들어지거나 프로비전이 수동으로 시작될 때까지 연기됩니다. 자동 생성을 허용하는 경우, 네트워크도 프로비전하면서 첫 번째 컴퓨팅 리소스를 만드는 데 약 30분이 걸릴 수 있습니다.
Azure Portal에 로그인하고 리소스 만들기 메뉴에서 Azure AI Foundry를 선택합니다.
+ 새 Azure AI를 선택합니다.
기본 사항 탭에 필수 정보를 입력합니다.
네트워킹 탭에서 인터넷 아웃바운드를 통한 프라이빗를 선택합니다.
아웃바운드 규칙을 추가하려면, 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. 아웃바운드 규칙 사이드바에서 다음 정보를 제공합니다.
규칙 이름: 규칙의 이름입니다. 이름은 이 허브에 대해 고유해야 합니다.
대상 유형: 프라이빗 엔드포인트는 인터넷 아웃바운드를 통해 네트워크 격리가 프라이빗인 경우 유일한 옵션입니다. 허브 관리형 가상 네트워크는 모든 Azure 리소스 유형에 대한 프라이빗 엔드포인트 만들기를 지원하지 않습니다. 지원되는 리소스 목록은 프라이빗 엔드포인트 섹션을 참조하세요.
구독: 프라이빗 엔드포인트를 추가하려는 Azure 리소스가 포함된 구독입니다.
리소스 그룹: 프라이빗 엔드포인트를 추가하려는 Azure 리소스가 포함된 리소스 그룹입니다.
리소스 종류: Azure 리소스의 형식입니다.
리소스 이름: Azure 리소스의 이름입니다.
하위 리소스: Azure 리소스 종류의 하위 리소스입니다.
규칙을 저장하려면 저장을 선택합니다. 계속해서 사용자 정의 아웃바운드 규칙 추가를 사용하여 규칙을 추가할 수 있습니다.
허브를 정상적으로 계속 만듭니다.
기존 허브 을(를) 업데이트합니다.
Azure Portal에 로그인하고 관리형 가상 네트워크 격리를 사용하도록 설정할 허브를 선택합니다.
네트워킹을 선택한 다음 인터넷 아웃바운드를 통한 프라이빗를 선택합니다.
아웃바운드 규칙을 추가하려면 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. 아웃바운드 규칙 사이드바에서 '새 허브 만들기' 섹션에서 허브를 만들 때 사용한 것과 동일한 정보를 제공합니다.
아웃바운드 규칙을 삭제하려면 해당 규칙에 대해 삭제를 선택합니다.
페이지 맨 위에서 저장을 선택하여 변경 내용을 관리되는 가상 네트워크에 저장합니다.
인터넷 아웃바운드 통신을 허용하는 관리형 가상 네트워크를 구성하려면 --managed-network allow_internet_outbound 매개 변수 또는 다음 항목이 포함된 YAML 구성 파일을 사용할 수 있습니다.
허브가 사용하는 다른 Azure 서비스에 아웃바운드 규칙을 정의할 수도 있습니다. 이러한 규칙은 Azure 리소스가 관리형 가상 네트워크와 안전하게 통신할 수 있도록 하는 프라이빗 엔드포인트를 정의합니다. 다음 규칙은 Azure Blob 리소스에 프라이빗 엔드포인트를 추가하는 방법을 보여 줍니다.
인터넷 아웃바운드 통신을 허용하는 관리형 가상 네트워크를 구성하려면 ManagedNetwork 클래스를 사용하여 IsolationMode.ALLOW_INTERNET_OUTBOUND을(를) 사용하여 네트워크를 정의합니다. 그런 다음 ManagedNetwork 개체를 사용하여 새 허브를 만들거나 기존 허브를 업데이트할 수 있습니다. 허브가 사용하는 Azure 서비스에 아웃바운드 규칙을 정의하려면 PrivateEndpointDestination 클래스를 사용하여 서비스에 대한 새 프라이빗 엔드포인트를 정의합니다.
새 허브을(를) 만듭니다.
다음 예제에서는 azure Blob 저장소에 대한 프라이빗 엔드포인트를 추가하는 myrule(이)라는 아웃바운드 규칙을 사용하여 myhub(이)라는 새 허브를 만듭니다.
다음 예제에서는 myhub(이)라고 명명된 기존 허브에 대한 관리형 가상 네트워크를 만드는 방법을 보여 줍니다.
# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()
# Basic managed VNet configuration
my_hub.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_INTERNET_OUTBOUND)
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
# Add the outbound
ws.managed_network.outbound_rules = [PrivateEndpointDestination(
name=rule_name,
service_resource_id=service_resource_id,
subresource_target=subresource_target,
spark_enabled=spark_enabled)]
# Update the hub
ml_client.workspaces.begin_update(ws)
승인된 아웃바운드만 허용하도록 관리되는 가상 네트워크 구성
팁
관리형 VNet은 컴퓨팅 리소스를 만들 때 자동으로 프로비전됩니다. 자동 생성을 허용하는 경우, 네트워크도 프로비전하면서 첫 번째 컴퓨팅 리소스를 만드는 데 약 30분이 걸릴 수 있습니다. FQDN 아웃바운드 규칙을 구성한 경우 첫 번째 FQDN 규칙은 프로비전 시간에 약 10분을 추가합니다.
승인된 아웃바운드 통신을 정의하기 위해 아웃바운드 규칙을 정의할 수도 있습니다. service_tag, fqdn 및 private_endpoint 형식에 대한 아웃바운드 규칙을 만들 수 있습니다. 다음 규칙은 Azure Blob 리소스에 프라이빗 엔드포인트를 추가하고, Azure Data Factory에 서비스 태그를 추가하고, pypi.org에 FQDN을 추가하는 방법을 보여 줍니다.
Important
서비스 태그 또는 FQDN에 대한 아웃바운드 추가는 관리되는 VNet이 allow_only_approved_outbound로 구성된 경우에만 유효합니다.
승인된 아웃바운드 통신만 허용하는 관리형 가상 네트워크를 구성하려면 ManagedNetwork 클래스를 사용하여 IsolationMode.ALLOw_ONLY_APPROVED_OUTBOUND(으)로 네트워크를 정의합니다. 그런 다음 ManagedNetwork 개체를 사용하여 새 허브를 만들거나 기존 허브를 업데이트할 수 있습니다. 아웃바운드 규칙을 정의하려면 다음 클래스를 사용합니다.
대상
클래스
허브가 사용하는 Azure 서비스
PrivateEndpointDestination
Azure 서비스 태그
ServiceTagDestination
FQDN(정규화된 도메인 이름)
FqdnDestination
새 허브을(를) 만듭니다.
다음 예제에서는 몇 가지 아웃바운드 규칙을 사용하여 myhub(이)라는 새 허브를 만듭니다.
myrule - Azure Blob 스토리지에 대한 프라이빗 엔드포인트를 추가합니다.
datafactory - Azure Data Factory와 통신하기 위한 서비스 태그 규칙을 추가합니다.
Important
서비스 태그 또는 FQDN에 대한 아웃바운드 추가는 관리되는 VNet이 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND로 구성된 경우에만 유효합니다.
다음 예제에서는 myhub(이)라는 기존 Azure Machine Learning 허브에 대한 관리형 가상 네트워크를 만드는 방법을 보여 줍니다. 또한 이 예제에서는 관리되는 가상 네트워크에 대한 몇 가지 아웃바운드 규칙을 추가합니다.
myrule - Azure Blob 스토리지에 대한 프라이빗 엔드포인트를 추가합니다.
datafactory - Azure Data Factory와 통신하기 위한 서비스 태그 규칙을 추가합니다.
팁
서비스 태그 또는 FQDN에 대한 아웃바운드 추가는 관리되는 VNet이 IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND로 구성된 경우에만 유효합니다.
# Get the existing hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, "myhub")
ws = ml_client.workspaces.get()
# Basic managed VNet configuration
ws.managed_network = ManagedNetwork(isolation_mode=IsolationMode.ALLOW_ONLY_APPROVED_OUTBOUND)
# Append some rules
ws.managed_network.outbound_rules = []
# Example private endpoint outbound to a blob
rule_name = "myrule"
service_resource_id = "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGE_ACCOUNT_NAME>"
subresource_target = "blob"
spark_enabled = True
ws.managed_network.outbound_rules.append(
PrivateEndpointDestination(
name=rule_name,
service_resource_id=service_resource_id,
subresource_target=subresource_target,
spark_enabled=spark_enabled
)
)
# Example service tag rule
rule_name = "datafactory"
service_tag = "DataFactory"
protocol = "TCP"
port_ranges = "80, 8080-8089"
ws.managed_network.outbound_rules.append(
ServiceTagDestination(
name=rule_name,
service_tag=service_tag,
protocol=protocol,
port_ranges=port_ranges
)
)
# Example FQDN rule
ws.managed_network.outbound_rules.append(
FqdnDestination(
name="fqdnrule",
destination="pypi.org"
)
)
# Update the hub
ml_client.workspaces.begin_update(ws)
관리형 VNet 수동 프로비전
컴퓨팅 인스턴스를 만들 때 관리되는 가상 네트워크가 자동으로 프로비전됩니다. 자동 프로비전을 사용하는 경우 네트워크도 프로비전하면서 첫 번째 컴퓨팅 인스턴스를 만드는 데 약 30분이 걸릴 수 있습니다. FQDN 아웃바운드 규칙을 구성한 경우(승인된 모드만 허용하여 사용) 첫 번째 FQDN 규칙은 프로비전 시간에 약 10분을 추가합니다. 관리 네트워크에 프로비전할 아웃바운드 규칙 집합이 많은 경우 프로비전을 완료하는 데 시간이 더 오래 걸릴 수 있습니다. 프로비전 시간이 늘어나면 첫 번째 컴퓨팅 인스턴스 생성 시간이 초과될 수 있습니다.
대기 시간을 줄이고 잠재적인 시간 제한 오류를 방지하려면 관리 네트워크를 수동으로 프로비전하는 것이 좋습니다. 그러면 컴퓨팅 인스턴스를 만들기 전에 프로비전이 완료될 때까지 기다리세요.
또는 플래그를 provision_network_now 사용하여 허브 만들기의 일부로 관리되는 네트워크를 프로비전할 수 있습니다. 이 플래그는 미리 보기 상태입니다.
참고 항목
온라인 배포를 만들려면 관리형 네트워크를 수동으로 프로비전하거나 컴퓨팅 인스턴스를 먼저 만들어 자동으로 프로비전해야 합니다.
허브를 만드는 동안 관리되는 네트워크를 만들 때 관리되는 네트워크 프로비저닝을 사전에 선택합니다. 가상 네트워크가 프로비전되면 프라이빗 엔드포인트와 같은 네트워크 리소스에서 요금이 발생합니다. 이 구성 옵션은 작업 영역을 만드는 동안에만 사용할 수 있으며 미리 보기로 제공됩니다.
다음 예제에서는 허브를 만드는 동안 관리되는 가상 네트워크를 프로비전하는 방법을 보여 줍니다. 플래그는 --provision-network-now 미리 보기 상태입니다.
az ml workspace create -n myworkspace -g my_resource_group --kind hub --managed-network AllowInternetOutbound --provision-network-now
다음 예제에서는 관리되는 가상 네트워크를 프로비전하는 방법을 보여 있습니다.
az ml workspace provision-network -g my_resource_group -n my_ai_hub_name
프로비전이 완료되었는지 확인하려면 다음 명령을 사용합니다.
az ml workspace show -n my_ai_hub_name -g my_resource_group --query managed_network
다음 예제에서는 허브를 만드는 동안 관리되는 가상 네트워크를 프로비전하는 방법을 보여 줍니다. 플래그는 --provision-network-now 미리 보기 상태입니다.
az ml workspace create -n myworkspace -g my_resource_group --managed-network AllowInternetOutbound --provision-network-now
다음 예제에서는 관리되는 가상 네트워크를 프로비전하는 방법을 보여 있습니다.
# Connect to a workspace named "myworkspace"
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myAIHubName")
provision_network_result = ml_client.workspaces.begin_provision_network(workspace_name=ai_hub_name).result()
AI Hub가 프로비전되었는지 확인하려면 ml_client.workspaces.get()을 사용하여 AI Hub 정보를 가져옵니다. managed_network 속성에는 관리 네트워크의 상태가 포함됩니다.
Azure Portal에 로그인하고 관리형 가상 네트워크 격리를 사용하도록 설정할 허브를 선택합니다.
네트워킹을 선택합니다. Azure AI 아웃바운드 액세스 섹션에서는 아웃바운드 규칙을 관리할 수 있습니다.
아웃바운드 규칙을 추가하려면 네트워킹 탭에서 사용자 정의 아웃바운드 규칙 추가를 선택합니다. Azure AI 아웃바운드 규칙 사이드바에서 다음 정보를 제공합니다.
규칙을 사용 또는 사용하지 않도록 설정하려면 활성 열의 전환을 사용합니다.
아웃바운드 규칙을 삭제하려면 해당 규칙에 대해 삭제를 선택합니다.
허브에 대한 관리형 가상 네트워크 아웃바운드 규칙을 나열하려면 다음 명령을 사용합니다.
az ml workspace outbound-rule list --workspace-name myhub --resource-group rg
관리형 가상 네트워크 아웃바운드 규칙의 세부 정보를 보려면 다음 명령을 사용합니다.
az ml workspace outbound-rule show --rule rule-name --workspace-name myhub --resource-group rg
관리되는 가상 네트워크에서 아웃바운드 규칙을 제거하려면 다음 명령을 사용합니다.
az ml workspace outbound-rule remove --rule rule-name --workspace-name myhub --resource-group rg
다음 예제에서는 myhub(이)라는 허브에 대한 아웃바운드 규칙을 관리하는 방법을 보여 줍니다.
# Connect to the hub
ml_client = MLClient(DefaultAzureCredential(), subscription_id, resource_group, workspace_name="myhub")
# Specify the rule name
rule_name = "<some-rule-name>"
# Get a rule by name
rule = ml_client._workspace_outbound_rules.get(resource_group, ws_name, rule_name)
# List rules for a hub
rule_list = ml_client._workspace_outbound_rules.list(resource_group, ws_name)
# Delete a rule from a hub
ml_client._workspace_outbound_rules.begin_remove(resource_group, ws_name, rule_name).result()
필수 규칙 목록
팁
이러한 규칙은 관리되는 VNet에 자동으로 추가됩니다.
프라이빗 엔드포인트:
관리되는 가상 네트워크에 대한 격리 모드가 Allow internet outbound프라이빗 엔드포인트 아웃바운드 규칙은 허브에 대한 관리형 가상 네트워크에서 필요한 규칙으로 자동으로 생성되고 공용 네트워크 액세스가 비활성화된 연결된 리소스(Key Vault, Storage 계정, 컨테이너 레지스트리, 허브)가 비활성화됩니다.
관리되는 가상 네트워크에 대한 격리 모드가 Allow only approved outbound프라이빗 엔드포인트 아웃바운드 규칙은 해당 리소스 공용 네트워크 액세스 모드(Key Vault, Storage 계정, 컨테이너 레지스트리, 허브)에 관계없이 허브 및 관련 리소스에 대한 관리되는 가상 네트워크에서 필요한 규칙으로 자동으로 생성됩니다.
아웃바운드 서비스 태그 규칙:
AzureActiveDirectory
Azure Machine Learning
BatchNodeManagement.region
AzureResourceManager
AzureFrontDoor.FirstParty
MicrosoftContainerRegistry
AzureMonitor
인바운드 서비스 태그 규칙:
AzureMachineLearning
시나리오별 아웃바운드 규칙 목록
시나리오: 공용 기계 학습 패키지에 액세스
학습 및 배포용 Python 패키지 설치를 허용하려면 다음 호스트 이름에 대한 트래픽을 허용하는 아웃바운드 FQDN 규칙을 추가합니다.
참고 항목
인터넷의 모든 Python 리소스에 필요한 호스트의 전체 목록이 아니라 가장 일반적으로 사용됩니다. 예를 들어 GitHub 리포지토리 또는 다른 호스트에 대한 액세스 권한이 필요한 경우 해당 시나리오에 필요한 호스트를 식별하고 추가해야 합니다.
호스트 이름
용도
anaconda.com *.anaconda.com
기본 패키지를 설치하는 데 사용됩니다.
*.anaconda.org
리포지토리 데이터를 가져오는 데 사용됩니다.
pypi.org
기본 인덱스에서 종속성을 나열하는 데 사용되며 (있는 경우) 사용자 설정에서 인덱스를 덮어쓰지 않습니다. 인덱스를 덮어쓰는 경우 *.pythonhosted.org도 허용해야 합니다.
pytorch.org *.pytorch.org
PyTorch를 기반으로 하는 일부 예제에서 사용됩니다.
*.tensorflow.org
Tensorflow를 기반으로 하는 일부 예제에서 사용됩니다.
시나리오: Visual Studio Code 사용
Visual Studio Code는 특정 호스트와 포트를 사용하여 원격 연결을 설정합니다.
호스트
허브에서 Visual Studio Code를 사용하려는 경우 아웃바운드 FQDN 규칙을 추가하여 다음 호스트로의 트래픽을 허용합니다.
*.vscode.dev
vscode.blob.core.windows.net
*.gallerycdn.vsassets.io
raw.githubusercontent.com
*.vscode-unpkg.net
*.vscode-cdn.net
*.vscodeexperiments.azureedge.net
default.exp-tas.com
code.visualstudio.com
update.code.visualstudio.com
*.vo.msecnd.net
marketplace.visualstudio.com
pkg-containers.githubusercontent.com
github.com
포트
포트 8704~8710에 대한 네트워크 트래픽을 허용해야 합니다. VS Code 서버는 이 범위 내에서 처음 이용 가능한 포트를 동적으로 선택합니다.
시나리오: HuggingFace 모델 사용
허브와 HuggingFace 모델을 사용하려는 경우 아웃바운드 FQDN 규칙을 추가하여 다음 호스트로의 트래픽을 허용합니다.
docker.io
*.docker.io
*.docker.com
production.cloudflare.docker.com
cnd.auth0.com
cdn-lfs.huggingface.co
시나리오: Azure AI에서 큐레이팅
이러한 모델에는 런타임에 종속성을 동적으로 설치하고 다음 호스트에 대한 트래픽을 허용하도록 아웃바운드 FQDN 규칙을 다시 요구합니다.
프라이빗 엔드포인트를 만들 때 엔드포인트가 연결되는 리소스 종류 및 하위 리소스를 제공합니다. 일부 리소스에는 여러 형식과 하위 리소스가 있습니다. 자세한 내용은 프라이빗 엔드포인트란?을 참조하세요.
Azure Storage, Azure Container Registry 및 Azure Key Vault와 같은 허브 종속성 리소스에 대한 프라이빗 엔드포인트를 만들 때 리소스는 다른 Azure 구독에 있을 수 있습니다. 그러나 리소스는 허브와 동일한 테넌트에 있어야 합니다.
대상 리소스가 이전에 나열된 Azure 리소스인 경우 연결에 대한 프라이빗 엔드포인트가 자동으로 만들어집니다. 프라이빗 엔드포인트에 대해 유효한 대상 ID가 필요합니다. 연결에 유효한 대상 ID는 부모 리소스의 Azure Resource Manager ID일 수 있습니다. 대상 ID는 연결의 대상 또는 metadata.resourceid에도 필요합니다. 연결에 대한 자세한 내용은 Azure AI Foundry 포털에서 새 연결을 추가하는 방법을 참조 하세요.
승인된 아웃바운드만 허용되도록 Azure Firewall 버전 선택(미리 보기)
승인된 아웃바운드 모드만 허용하는 동안 FQDN 아웃바운드 규칙이 만들어지면 Azure Firewall이 배포됩니다. Azure Firewall에 대한 요금은 청구에 포함됩니다. 기본적으로 표준 버전의 AzureFirewall이 만들어집니다. 필요에 따라 기본 버전을 사용하도록 선택할 수 있습니다. 필요에 따라 사용되는 방화벽 버전을 변경할 수 있습니다. 가장 적합한 버전을 확인하려면 올바른 Azure Firewall 버전 선택을 방문하세요.
Important
아웃바운드 FQDN 규칙을 추가할 때까지 방화벽은 만들어지지 않습니다. 가격 책정에 대한 자세한 내용은 Azure Firewall 가격 책정을 참조하고 표준 버전의 가격을 확인하세요.
다음 탭을 사용하여 관리되는 가상 네트워크에 대한 방화벽 버전을 선택하는 방법을 알아봅니다.
허브 관리형 가상 네트워크 기능은 무료입니다. 그러나 관리되는 가상 네트워크에서 사용하는 다음 리소스에 대한 요금이 청구됩니다.
Azure Private Link - 관리되는 가상 네트워크와 Azure 리소스 간의 통신을 보호하는 데 사용되는 프라이빗 엔드포인트는 Azure Private Link를 사용합니다. 가격 책정에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.
FQDN 아웃바운드 규칙 - FQDN 아웃바운드 규칙은 Azure Firewall을 사용하여 구현됩니다. 아웃바운드 FQDN 규칙을 사용하는 경우 Azure Firewall에 대한 요금이 청구서에 포함됩니다. Azure Firewall의 표준 버전은 기본적으로 사용됩니다. 기본 버전을 선택하는 방법에 대한 자세한 내용은 Azure Firewall 버전 선택을 참조하세요. Azure Firewall은 허브별로 프로비전됩니다.
Important
아웃바운드 FQDN 규칙을 추가할 때까지 방화벽은 만들어지지 않습니다. FQDN 규칙을 사용하지 않으면 Azure Firewall에 대한 요금이 청구되지 않습니다. 가격 책정에 대한 자세한 내용은 Azure Firewall 가격 책정을 참조하세요.
