다음을 통해 공유


Azure AI Foundry 허브에 대한 프라이빗 링크를 구성하는 방법

두 가지 네트워크 격리 양상이 있습니다. 하나는 Azure AI Foundry 허브에 액세스하기 위한 네트워크 격리입니다. 또 다른 하나는 허브의 컴퓨팅 리소스와 컴퓨팅 인스턴스, 서버리스 및 관리되는 온라인 엔드포인트와 같은 프로젝트의 네트워크 격리입니다. 이 문서에서는 다이어그램에 강조 표시된 전자에 대해 설명합니다. 프라이빗 링크를 사용하여 허브와 해당 기본 리소스에 대한 프라이빗 연결을 설정할 수 있습니다. 이 문서는 Azure AI Foundry(허브 및 프로젝트)를 위한 것입니다. Azure AI 서비스에 대한 자세한 내용은 Azure AI 서비스 설명서를 참조하세요.

AI Foundry 허브 네트워크 격리 다이어그램

리소스 그룹에서 여러 허브 기본 리소스를 가져옵니다. 다음 네트워크 격리 구성을 구성해야 합니다.

  • Azure Storage, Azure Key Vault 및 Azure Container Registry와 같은 허브 기본 리소스의 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
  • 허브 기본 리소스에 대한 프라이빗 엔드포인트 연결을 설정합니다. 기본 스토리지 계정에 대한 Blob 및 파일 프라이빗 엔드포인트가 모두 있어야 합니다.
  • 스토리지 계정이 프라이빗 인 경우 액세스를 허용하는 역할을 할당합니다.

필수 조건

  • 프라이빗 엔드포인트를 만들려면 기존 Azure Virtual Network가 있어야 합니다.

    Important

    VNet에 172.17.0.0/16 IP 주소 범위를 사용하지 않는 것이 좋습니다. 이것은 Docker 브리지 네트워크 또는 온-프레미스에서 사용하는 기본 서브넷 범위입니다.

  • 프라이빗 엔드포인트를 추가하려면 먼저 프라이빗 엔드포인트에 대한 네트워크 정책을 사용하지 않도록 설정합니다.

프라이빗 엔드포인트를 사용하는 허브 만들기

다음 방법 중 하나를 사용하여 프라이빗 엔드포인트를 사용하여 허브를 만듭니다. 이러한 각 방법을 사용하려면 기존 가상 네트워크가 필요합니다.

  1. Azure Portal에서 Azure AI Foundry로 이동하여 + 새 Azure AI를 선택합니다.
  2. 네트워킹 탭에서 네트워크 격리 모드를 선택합니다.
  3. 작업 영역 인바운드 액세스까지 아래로 스크롤하고 + 추가를 선택합니다.
  4. 필수 필드를 입력합니다. 지역을선택하는 경우 가상 네트워크와 동일한 지역을 선택합니다.

허브에 프라이빗 엔드포인트 추가

다음 방법 중 하나를 사용하여 기존 허브에 프라이빗 엔드포인트를 추가합니다.

  1. Azure Portal에서 허브를 선택합니다.
  2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 프라이빗 엔드포인트 연결 탭을 선택합니다.
  3. 지역을선택하는 경우 가상 네트워크와 동일한 지역을 선택합니다.
  4. 리소스 종류을 선택할 때 azuremlworkspace를 사용합니다.
  5. 리소스를 작업 영역 이름으로 설정합니다.

마지막으로, 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

프라이빗 엔드포인트 제거

허브에 대한 하나 또는 모든 프라이빗 엔드포인트를 제거할 수 있습니다. 프라이빗 엔드포인트를 제거하면 엔드포인트가 연결된 Azure Virtual Network에서 허브가 제거됩니다. 프라이빗 엔드포인트를 제거하면 허브가 해당 가상 네트워크의 리소스에 액세스하지 못하거나 가상 네트워크의 리소스가 작업 영역에 액세스하지 못할 수 있습니다. 예를 들어, 가상 네트워크가 공용 인터넷에 대한 액세스를 허용하지 않는 경우입니다.

Warning

허브의 프라이빗 엔드포인트를 제거해도 공개적으로 액세스할 수 없습니다. 허브에 공개적으로 액세스할 수 있게 하려면 공용 액세스 사용 섹션의 단계를 따릅니다.

프라이빗 엔드포인트를 제거하려면 다음 정보를 사용합니다.

  1. Azure Portal에서 허브를 선택합니다.
  2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 프라이빗 엔드포인트 연결 탭을 선택합니다.
  3. 제거할 엔드포인트를 선택한 다음, 제거를 선택합니다.

공용 액세스 사용

어떤 상황에서는 누군가가 가상 네트워크 대신 공용 엔드포인트를 통해 보호된 허브에 연결하도록 허용할 수 있습니다. 또는 가상 네트워크에서 작업 영역을 제거하고 공용 액세스를 다시 사용하도록 설정할 수도 있습니다.

Important

공용 액세스를 사용하도록 설정해도 존재하는 프라이빗 엔드포인트는 제거되지 않습니다. 프라이빗 엔드포인트가 연결되는 가상 네트워크 뒤의 구성 요소 간 모든 통신은 여전히 보호됩니다. 프라이빗 엔드포인트를 통한 개인 액세스 외에도 허브에 대한 공용 액세스만 사용할 수 있습니다.

공용 액세스를 사용하도록 설정하려면 다음 단계를 사용합니다.

  1. Azure Portal에서 허브를 선택합니다.
  2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 공용 액세스 탭을 선택합니다.
  3. 모든 네트워크에서 사용됨을 선택한 다음, 저장을 선택합니다.

프라이빗 스토리지 구성

스토리지 계정이 프라이빗인 경우(프라이빗 엔드포인트를 사용하여 프로젝트와 통신) 다음 단계를 수행합니다.

  1. Azure 서비스는 다음 관리 ID 구성으로 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용을 사용하여 비공개 스토리지 계정에서 데이터를 읽고 써야 합니다. Azure AI Service 및 Azure AI 검색의 시스템이 할당한 관리 ID를 사용하도록 설정한 다음, 각 관리 ID에 대한 역할 기반 액세스 제어를 구성합니다.

    역할 관리 ID 리소스 목적 참조
    Reader Azure AI Foundry 프로젝트 스토리지 계정의 프라이빗 엔드포인트 프라이빗 스토리지 계정에서 데이터를 읽습니다.
    Storage File Data Privileged Contributor Azure AI Foundry 프로젝트 스토리지 계정 읽기/쓰기 프롬프트 흐름 데이터입니다. 프롬프트 흐름 문서
    Storage Blob Data Contributor Azure AI 서비스 스토리지 계정 입력 컨테이너에서 읽고, 출력 컨테이너에 전처리 결과를 씁니다. Azure OpenAI 문서
    Storage Blob Data Contributor Azure AI 검색 스토리지 계정 Blob를 읽고 지식 저장소를 씁니다 검색 문서.

    스토리지 계정에는 여러 프라이빗 엔드포인트가 있을 수 있습니다. 각 프라이빗 엔드포인트에 Reader 역할을 할당해야 합니다.

  2. 개발자에게 Storage Blob Data reader 역할을 할당합니다. 이 역할을 사용하면 스토리지 계정에서 데이터를 읽을 수 있습니다.

  3. 스토리지 계정에 대한 프로젝트의 연결이 인증에 Microsoft Entra ID를 사용하는지 확인합니다. 연결 정보를 보려면 관리 센터로 이동하여 연결된 리소스를 선택한 다음 스토리지 계정 연결을 선택합니다. 자격 증명 형식이 Entra ID가 아닌 경우 연필 아이콘을 선택하여 연결을 업데이트하고 인증 방법을 Microsoft Entra ID설정합니다.

플레이그라운드 채팅을 보호하는 방법에 대한 자세한 내용은 안전하게 플레이그라운드 채팅을 사용하세요.

사용자 지정 DNS 구성

DNS 전달 구성에 대해서는 Azure Machine Learning 사용자 지정 DNS 문서를 참조하세요.

DNS 전달 없이 사용자 지정 DNS 서버를 구성해야 하는 경우 필수 A 레코드에 대해 다음 패턴을 사용합니다.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    참고 항목

    이 FQDN의 작업 영역 이름은 잘릴 수 있습니다. 잘림은 ml-<workspace-name, truncated>-<region>-<workspace-guid>를 63자 이하로 유지하기 위해 수행됩니다.

  • <instance-name>.<region>.instances.azureml.ms

    참고 항목

    • 컴퓨팅 인스턴스는 가상 네트워크 내에서만 액세스할 수 있습니다.
    • 이 FQDN의 IP 주소가 컴퓨팅 인스턴스의 IP가 아닙니다. 대신 작업 영역 프라이빗 엔드포인트(*.api.azureml.ms 항목의 IP)의 개인 IP 주소를 사용합니다.
  • <instance-name>.<region>.instances.azureml.ms - 명령에서 az ml compute connect-ssh 만 관리되는 가상 네트워크의 컴퓨터에 연결하는 데 사용됩니다. 관리되는 네트워크 또는 SSH 연결을 사용하지 않는 경우에는 필요하지 않습니다.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - 관리형 온라인 엔드포인트에서 사용

A 레코드의 개인 IP 주소를 찾으려면 Azure Machine Learning 사용자 지정 DNS 문서를 참조하세요. AI-PROJECT-GUID를 확인하려면 Azure Portal로 이동하여 프로젝트, 설정, 속성을 선택하면 작업 영역 ID가 표시됩니다.

제한 사항

  • Mozilla Firefox를 사용하는 경우 허브의 프라이빗 엔드포인트에 액세스를 시도할 때 문제가 발생할 수 있습니다. 이 문제는 Mozilla Firefox의 HTTPS를 통한 DNS와 관련이 있을 수 있습니다. Microsoft Edge 또는 Google Chrome을 사용하는 것을 권장합니다.

다음 단계