Azure AI 서비스 가상 네트워크 구성

  • 아티클

Azure AI 서비스는 계층화된 보안 모델을 제공합니다. 이 모델을 사용하여 Azure AI 서비스 계정을 특정 네트워크 하위 집합으로 보호할 수 있습니다. 네트워크 규칙이 구성되면 지정된 네트워크 세트를 통해 데이터를 요청하는 애플리케이션만 계정에 액세스할 수 있습니다. 지정된 IP 주소, IP 범위 또는 Azure Virtual Networks의 서브넷 목록에서 시작하는 요청만을 허용하는 요청 필터링을 통해 리소스에 대한 액세스를 제한할 수 있습니다.

네트워크 규칙이 적용될 때 Azure AI 서비스에 액세스하는 애플리케이션에는 권한 부여가 필요합니다. 권한 부여는 Microsoft Entra ID 자격 증명 또는 유효한 API 키를 사용하여 지원됩니다.

Important

Azure AI 서비스 계정에 대한 방화벽 규칙을 설정하면 기본적으로 데이터에 대해 들어오는 요청이 차단됩니다. 요청을 허용하려면 다음 조건 중 하나를 충족해야 합니다.

  • 요청은 대상 Azure AI 서비스 계정의 허용된 서브넷 목록에 있는 Azure VNet 내에서 작동하는 서비스로부터 시작됩니다. 가상 네트워크에서 시작된 요청의 엔드포인트는 Azure AI 서비스 계정의 사용자 지정 하위 도메인으로 설정되어야 합니다.
  • 요청은 허용되는 IP 주소 목록에서 시작됩니다.

차단되는 요청에는 다른 Azure 서비스로부터의 요청, Azure Portal의 요청, 로깅 및 메트릭 서비스로부터의 요청이 포함됩니다.

참고 항목

Azure Az PowerShell 모듈을 사용하여 Azure와 상호 작용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

시나리오

Azure AI 서비스 리소스를 보호하려면 먼저 인터넷 트래픽을 비롯한 모든 네트워크의 트래픽에 대한 액세스를 거부하도록 규칙을 구성해야 합니다. 그런 다음, 특정 가상 네트워크의 트래픽에 대한 액세스를 허가하는 규칙을 구성합니다. 이 구성을 사용하면 애플리케이션에 대한 보안 네트워크 경계를 구축할 수 있습니다. 또한 특정 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스를 허가하도록 규칙을 구성하고 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 사용하도록 설정할 수도 있습니다.

네트워크 규칙은 REST 및 WebSocket을 포함하여 Azure AI 서비스에 대한 모든 네트워크 프로토콜에 적용됩니다. Azure 테스트 콘솔 등의 도구를 사용하여 데이터에 액세스하려면 명시적 네트워크 규칙을 구성해야 합니다. 네트워크 규칙을 기존 Azure AI 서비스 리소스에 적용하거나 새 Azure AI 서비스 리소스를 만들 때 적용할 수 있습니다. 네트워크 규칙이 적용된 이후에는 모든 요청에 적용됩니다.

지원되는 지역 및 서비스 제공 사항

가상 네트워크는 Azure AI 서비스를 사용할 수 있는 지역에서 지원됩니다. Azure AI 서비스는 네트워크 규칙 구성에 대한 서비스 태그를 지원합니다. 여기에 나열된 서비스는 CognitiveServicesManagement 서비스 태그에 포함되어 있습니다.

  • Anomaly Detector
  • Azure OpenAI
  • Content Moderator
  • Custom Vision
  • Face
  • 언어 이해(LUIS)
  • Personalizer
  • Speech Service
  • 언어
  • QnA Maker
  • Translator

참고 항목

Azure OpenAI, LUIS, Speech Services 또는 언어 서비스를 사용하는 경우 CognitiveServicesManagement 태그를 통해서는 SDK 또는 REST API를 사용하는 서비스만 사용할 수 있습니다. 가상 네트워크에서 Azure OpenAI 스튜디오, LUIS 포털, Speech Studio 또는 Language Studio에 액세스하고 이를 사용하려면 다음 태그를 사용해야 합니다.

  • AzureActiveDirectory
  • AzureFrontDoor.Frontend
  • AzureResourceManager
  • CognitiveServicesManagement
  • CognitiveServicesFrontEnd
  • Storage(Speech Studio에만 해당)

Azure AI Studio 구성에 대한 자세한 내용은 Azure AI Studio 설명서를 참조하세요.

기본 네트워크 액세스 규칙 변경

기본적으로 Azure AI 서비스 리소스는 네트워크에 있는 클라이언트로부터의 연결을 허용합니다. 선택한 네트워크에 대한 액세스를 제한하려면 먼저 기본 동작을 변경해야 합니다.

Warning

네트워크 규칙을 변경하면 Azure AI 서비스에 연결하는 애플리케이션의 기능에 영향을 미칠 수 있습니다. 기본 네트워크 규칙을 거부로 설정하면 액세스를 허용하는 특정 네트워크 규칙이 적용되지 않는 한 데이터에 대한 모든 액세스가 차단됩니다.

액세스를 거부하도록 기본 규칙을 변경하기 전에 네트워크 규칙을 사용하여 허용된 모든 네트워크에 대한 액세스를 허가해야 합니다. 온-프레미스 네트워크에 대한 IP 주소를 나열하도록 허용하는 경우 온-프레미스 네트워크에서 사용 가능한 모든 나가는 공용 IP 주소를 추가해야 합니다.

기본 네트워크 액세스 규칙 관리

Azure Portal, PowerShell 또는 Azure CLI를 통해 Azure AI 서비스 리소스에 대한 기본 네트워크 액세스 규칙을 관리할 수 있습니다.

  1. 보안을 유지하려는 Azure AI 서비스 리소스로 이동합니다.

  2. 리소스 관리를 선택하여 확장한 다음 네트워킹을 선택합니다.

    선택한 네트워크 및 프라이빗 엔드포인트가 선택된 네트워킹 페이지의 스크린샷

  3. 기본으로 액세스를 거부하려면 방화벽 및 가상 네트워크에서 선택한 네트워크 및 프라이빗 엔드포인트를 선택합니다.

    구성된 가상 네트워크 또는 주소 범위를 같이 사용하지 않고 이 설정만 단독으로 사용하면 모든 액세스가 사실상 거부됩니다. 모든 액세스가 거부되면 Azure AI 서비스 리소스를 사용하려는 요청이 허용되지 않습니다. 계속 Azure Portal, Azure PowerShell 또는 Azure CLI를 사용하여 Azure AI 서비스 리소스를 구성할 수 있습니다.

  4. 모든 네트워크에서 트래픽을 허용하려면 모든 네트워크를 선택합니다.

    모든 네트워크를 선택한 상태의 네트워킹 페이지 스크린샷

  5. 저장을 선택하여 변경 내용을 적용합니다.

가상 네트워크의 액세스 허가

특정 서브넷에서만 액세스를 허용하도록 Azure AI 서비스 리소스를 구성할 수 있습니다. 허용된 서브넷은 동일하거나 다른 구독 내의 가상 네트워크에 속할 수 있습니다. 다른 구독은 다른 Microsoft Entra 테넌트에 속할 수 있습니다. 서브넷이 다른 구독에 속하는 경우 Microsoft.CognitiveServices 리소스 공급자도 해당 구독에 등록해야 합니다.

가상 네트워크 내에서 Azure AI 서비스에 서비스 엔드포인트를 사용하도록 설정합니다. 서비스 엔드포인트는 가상 네트워크의 트래픽을 Azure AI 서비스에 대한 최적의 경로를 통해 라우팅합니다. 자세한 내용은 가상 네트워크 서비스 엔드포인트를 참조하세요.

서브넷 및 가상 네트워크의 ID 또한 각 요청과 함께 전송됩니다. 그러면 관리자가 가상 네트워크의 특정 서브넷 요청을 허용하는 Azure AI 서비스 리소스에 대한 네트워크 규칙을 구성할 수 있습니다. 이러한 네트워크 규칙을 통해 액세스가 허가된 클라이언트는 데이터에 액세스하기 위해 Azure AI 서비스 리소스의 인증 요구 사항을 계속 충족해야 합니다.

각 Azure AI 서비스 리소스는 IP 네트워크 규칙과 결합될 수 있는 최대 100개의 가상 네트워크 규칙을 지원합니다. 자세한 내용은 이 문서의 뒷부분에 나오는 인터넷 IP 범위에서 액세스 권한 부여를 참조하세요.

필요한 권한 설정

가상 네트워크 규칙을 Azure AI 서비스 리소스에 적용하려면 추가할 서브넷에 대한 적절한 권한이 있어야 합니다. 필요한 권한은 기본 기여자 역할 또는 Cognitive Services 기여자 역할입니다. 필요한 사용 권한을 사용자 지정 역할 정의에 추가할 수도 있습니다.

액세스 권한이 허용된 Azure AI 서비스 리소스 및 가상 네트워크는 다른 Microsoft Entra 테넌트에 속하는 구독을 포함한 다른 구독에 있을 수 있습니다.

참고 항목

다른 Microsoft Entra 테넌트의 일부인 가상 네트워크의 서브넷에 대한 액세스 권한을 부여하는 규칙 구성은 현재 PowerShell, Azure CLI 및 REST API를 통해서만 지원됩니다. Azure Portal에서 이러한 규칙을 볼 수 있지만 구성할 수는 없습니다.

가상 네트워크 규칙 구성

Azure Portal, PowerShell 또는 Azure CLI를 통해 Azure AI 서비스 리소스에 대한 가상 네트워크 규칙을 관리할 수 있습니다.

기존 네트워크 규칙을 이용해 가상 네트워크에 액세스 권한을 부여하려면 다음을 수행합니다.

  1. 보안을 유지하려는 Azure AI 서비스 리소스로 이동합니다.

  2. 리소스 관리를 선택하여 확장한 다음 네트워킹을 선택합니다.

  3. 선택한 네트워크 및 프라이빗 엔드포인트를 선택했는지 확인합니다.

  4. 다음에서 액세스 허용에서 기존 가상 네트워크 추가를 선택합니다.

    선택한 네트워크 및 프라이빗 엔드포인트가 선택되어 있고 기존 가상 네트워크 추가가 강조 표시된 네트워킹 페이지의 스크린샷

  5. 가상 네트워크서브넷 옵션을 선택한 다음, 사용을 선택합니다.

    가상 네트워크와 서브넷을 입력할 수 있는 네트워크 추가 대화 상자의 스크린샷

    참고 항목

    이전에 Azure AI 서비스에 대한 서비스 엔드포인트가 선택한 가상 네트워크 및 서브넷에 대해 구성되지 않은 경우 이 작업의 일환으로 구성할 수 있습니다.

    현재는 동일한 Microsoft Entra 테넌트에 속한 가상 네트워크만 규칙을 만드는 동안 선택할 수 있습니다. 다른 테넌트에 속하는 가상 네트워크 내의 서브넷에 대한 액세스 권한을 부여하려면 PowerShell이나 Azure CLI 또는 REST API를 사용하세요.

  6. 저장을 선택하여 변경 내용을 적용합니다.

새 가상 네트워크를 만들어 액세스 권한을 부여하려면 다음을 수행합니다.

  1. 이전 절차와 동일한 페이지에서 새 가상 네트워크 추가를 선택합니다.

    선택한 네트워크 및 프라이빗 엔드포인트가 선택된 상태이며 새 가상 네트워크 추가가 강조 표시된 네트워킹 페이지의 스크린샷

  2. 새 가상 네트워크를 만드는 데 필요한 정보를 입력하고 만들기를 선택합니다.

    가상 네트워크 만들기 대화 상자의 스크린샷

  3. 저장을 선택하여 변경 내용을 적용합니다.

가상 네트워크나 서브넷 규칙을 제거하려면 다음을 수행합니다.

  1. 이전 절차와 동일한 페이지에서 ...(추가 옵션)을 선택하여 가상 네트워크와 서브넷용 바로 가기 메뉴를 열고 제거를 선택합니다.

    가상 네트워크 제거 옵션 스크린샷

  2. 저장을 선택하여 변경 내용을 적용합니다.

Important

반드시 기본 규칙거부로 설정해야 합니다. 그렇지 않으면 네트워크 규칙이 적용되지 않습니다.

인터넷 IP 범위의 액세스 허가

특정 공용 인터넷 IP 주소 범위에서 액세스할 수 있도록 Azure AI 서비스 리소스를 구성할 수 있습니다. 이 구성은 특정 서비스와 온-프레미스 네트워크에 대한 액세스 권한을 부여하고 일반 인터넷 트래픽을 효과적으로 차단합니다.

192.168.0.0/16 양식의 CIDR 형식(RFC 4632)을 사용하거나 192.168.0.1 같은 개별 IP 주소로 허용된 인터넷 주소 범위를 지정할 수 있습니다.

접두사 크기가 /31 또는 /32인 작은 주소 범위는 지원하지 않습니다. 해당 범위는 개별 IP 주소 규칙을 사용하여 구성합니다.

IP 네트워크 규칙은 공용 인터넷 IP 주소에 대해서만 허용됩니다. 프라이빗 네트워크에 예약된 IP 주소 범위는 IP 규칙에서 허용되지 않습니다. 사설망에는 10.*, 172.16.* - 172.31.*192.168.*로 시작하는 주소가 포함됩니다. 자세한 내용은 프라이빗 주소 공간(RFC 1918)을 참조하세요.

현재는 IPv4 주소만 지원합니다. 각 Azure AI 서비스 리소스는 가상 네트워크 규칙과 결합될 수 있는 최대 100개의 IP 네트워크 규칙을 지원합니다.

온-프레미스 네트워크에서의 액세스 구성

IP 네트워크 규칙을 사용하여 온-프레미스 네트워크에서 Azure AI 서비스 리소스로의 액세스를 허가하려면 네트워크에서 사용되는 인터넷 연결 IP 주소를 식별합니다. 네트워크 관리자에게 도움을 요청합니다.

공용 피어링 또는 Microsoft 피어링을 위해 Azure ExpressRoute 온-프레미스를 사용하는 경우 NAT IP 주소를 식별해야 합니다. 자세한 내용은 Azure ExpressRoute란?을 참조하세요.

공용 피어링의 경우 기본적으로 각 ExpressRoute 회로에서 두 개의 NAT IP 주소를 사용합니다. 각각은 트래픽이 Microsoft Azure 네트워크 백본으로 들어갈 때 Azure 서비스 트래픽에 적용됩니다. Microsoft 피어링의 경우 사용되는 NAT IP 주소는 고객이 제공하거나 서비스 공급자가 제공합니다. 서비스 리소스에 대한 액세스를 허용하려면 리소스 IP 방화벽 설정에서 이러한 공용 IP 주소를 허용해야 합니다.

공용 피어링 ExpressRoute 회로 IP 주소를 찾으려면 Azure Portal을 통해 ExpressRoute에서 지원 티켓을 엽니다. 자세한 내용은 Azure 공용 피어링에 대한 NAT 요구 사항을 참조하세요.

IP 네트워크 규칙 관리

Azure Portal, PowerShell 또는 Azure CLI를 통해 Azure AI 서비스 리소스에 대한 IP 네트워크 규칙을 관리할 수 있습니다.

  1. 보안을 유지하려는 Azure AI 서비스 리소스로 이동합니다.

  2. 리소스 관리를 선택하여 확장한 다음 네트워킹을 선택합니다.

  3. 선택한 네트워크 및 프라이빗 엔드포인트를 선택했는지 확인합니다.

  4. 방화벽 및 가상 네트워크에서 주소 범위 옵션을 찾습니다. 인터넷 IP 범위에 대한 액세스 권한을 부여하려면 CIDR 형식으로 된 IP 주소나 주소 범위를 입력합니다. 유효한 공용 IP(예약되지 않음) 주소만 허용됩니다.

    선택한 네트워크 및 프라이빗 엔드포인트가 선택된 상태이며 주소 범위가 강조 표시된 네트워킹 페이지의 스크린샷

    IP 네트워크 규칙을 제거하려면 주소 범위 옆에 있는 휴지통 아이콘을 선택합니다.

  5. 저장을 선택하여 변경 내용을 적용합니다.

Important

반드시 기본 규칙거부로 설정해야 합니다. 그렇지 않으면 네트워크 규칙이 적용되지 않습니다.

프라이빗 엔드포인트 사용

Azure AI 서비스 리소스에서 프라이빗 엔드포인트를 사용하면 가상 네트워크의 클라이언트가 Azure Private Link를 통해 안전하게 데이터에 액세스하도록 할 수 있습니다. 프라이빗 엔드포인트는 Azure AI 서비스 리소스에 가상 네트워크 주소 공간의 IP 주소를 사용합니다. 가상 네트워크의 클라이언트와 리소스 간의 네트워크 트래픽이 Microsoft Azure 백본 네트워크에서 가상 네트워크와 프라이빗 링크를 통과하며 공용 인터넷에서의 노출을 제거합니다.

Azure AI 서비스 리소스의 프라이빗 엔드포인트를 사용하면 다음과 같은 작업을 할 수 있습니다.

  • Azure AI 서비스에 대한 퍼블릭 엔드포인트의 모든 연결을 차단하도록 방화벽을 구성하여 Azure AI 서비스를 보호합니다.
  • 가상 네트워크에서의 데이터 반출을 차단하여 가상 네트워크 보안을 강화합니다.
  • Azure VPN 게이트웨이 또는 ExpressRoute의 개인 피어링을 사용하여 가상 네트워크에 연결하는 온-프레미스 네트워크에서 Azure AI 서비스 리소스로 안전하게 연결합니다.

프라이빗 엔드포인트 이해하기

프라이빗 엔드포인트는 가상 네트워크 내부의 Azure 리소스를 위한 특별한 네트워크 인터페이스입니다. Azure AI 서비스 리소스에 대한 프라이빗 엔드포인트를 만들면 가상 네트워크 내 클라이언트와 리소스 간에 보안 연결을 제공합니다. 프라이빗 엔드포인트에는 가상 네트워크의 IP 주소 범위에서 IP 주소가 할당됩니다. 프라이빗 엔드포인트와 Azure AI 서비스 간의 연결은 보안 프라이빗 링크를 사용합니다.

가상 네트워크 내의 애플리케이션은 프라이빗 엔드포인트를 통해 서비스에 원활하게 연결할 수 있습니다. 연결은 달리 사용할 수도 있는 동일한 연결 문자열 및 권한 부여 메커니즘을 사용합니다. 별도의 엔드포인트가 필요한 Speech Services는 예외입니다. 자세한 내용은 이 문서의 Speech Services를 사용하는 프라이빗 엔드포인트를 참조하세요. 프라이빗 엔드포인트는 REST를 포함하여 Azure AI 서비스 리소스에서 지원하는 모든 프로토콜과 함께 사용할 수 있습니다.

서비스 엔드포인트를 사용하는 서브넷에서 프라이빗 엔드포인트를 만들 수 있습니다. 서브넷의 클라이언트는 서비스 엔드포인트를 사용해 Azure AI 서비스 리소스에 액세스하는 동안 프라이빗 엔드포인트를 사용하여 다른 Azure AI 서비스 리소스에 연결할 수 있습니다. 자세한 내용은 가상 네트워크 서비스 엔드포인트를 참조하세요.

가상 네트워크에서 Azure AI 서비스 리소스에 대한 프라이빗 엔드포인트를 만들 때 Azure는 Azure AI 서비스 리소스 소유자에게 승인 동의 요청을 보냅니다. 프라이빗 엔드포인트 만들기를 요청한 사용자가 리소스의 소유자인 경우 이 동의 요청이 자동으로 승인됩니다.

Azure AI 서비스 리소스 소유자는 Azure Portal의 Azure AI 서비스 리소스 관련 프라이빗 엔드포인트 연결 탭을 통해 동의 요청 및 프라이빗 엔드포인트를 관리할 수 있습니다.

프라이빗 엔드포인트 지정

프라이빗 엔드포인트를 만들 때 연결할 Azure AI 서비스 리소스를 지정합니다. 프라이빗 엔드포인트를 만드는 방법에 대한 자세한 내용은 다음을 참조하세요.

프라이빗 엔드포인트에 연결

참고 항목

Azure OpenAI Service는 다른 Azure AI 서비스와는 다른 프라이빗 DNS 영역 및 공용 DNS 영역 전달자를 사용합니다. 올바른 영역 및 전달자 이름은 Azure 서비스 DNS 영역 구성을 참조하세요.

프라이빗 엔드포인트를 사용하는 가상 네트워크의 클라이언트는 퍼블릭 엔드포인트에 연결하는 클라이언트와 동일한 Azure AI 서비스 리소스 연결 문자열을 사용합니다. 별도의 엔드포인트가 필요한 Speech Services는 예외입니다. 자세한 내용은 이 문서의 Speech Services를 이용해 프라이빗 엔드포인트 사용하기를 참조하세요. DNS 확인은 자동으로 프라이빗 링크를 통해 가상 네트워크에서 Azure AI 서비스 리소스로의 연결을 라우팅합니다.

기본적으로 Azure는 프라이빗 엔드포인트에 필요한 업데이트를 사용하여 가상 네트워크에 연결된 프라이빗 DNS 영역을 만듭니다. 자체 DNS 서버를 사용하는 경우 DNS 구성을 추가로 변경해야 할 수 있습니다. 프라이빗 엔드포인트에 필요할 수도 있는 업데이트는 이 문서의 프라이빗 엔드포인트에 대한 DNS 변경 내용 적용을 참조하세요.

Speech Service를 이용해 프라이빗 엔드포인트 사용하기

프라이빗 엔드포인트를 통해 Speech service 사용하기를 참조하세요.

프라이빗 엔드포인트에 대한 DNS 변경 내용 적용

프라이빗 엔드포인트를 만들 때 Azure AI 서비스 리소스에 대한 DNS CNAME 리소스 레코드는 privatelink 접두사가 있는 하위 도메인의 별칭으로 업데이트됩니다. 또한, 기본적으로 Azure는 프라이빗 엔드포인트에 대한 DNS A 리소스 레코드를 사용하여 privatelink 하위 도메인에 해당하는 프라이빗 DNS 영역을 만듭니다. 자세한 내용은 Azure 프라이빗 DNS란?을 참조하세요.

프라이빗 엔드포인트를 사용하여 가상 네트워크 외부에서 엔드포인트 URL을 확인하는 경우 Azure AI 서비스 리소스의 퍼블릭 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스트하는 가상 네트워크에서 확인하는 경우 엔드포인트 URL은 프라이빗 엔드포인트의 IP 주소로 확인됩니다.

이 접근 방식을 사용하면 프라이빗 엔드포인트를 호스트하는 가상 네트워크의 클라이언트와 가상 네트워크 외부의 클라이언트에 동일한 연결 문자열을 사용하여 Azure AI 서비스 리소스에 액세스할 수 있습니다.

네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 프라이빗 엔드포인트 IP 주소에 대한 Azure AI 서비스 리소스 엔드포인트의 FQDN(정규화된 도메인 이름)을 확인할 수 있어야 합니다. 프라이빗 링크 하위 도메인을 가상 네트워크의 개인 DNS 영역에 위임하도록 DNS 서버를 구성합니다.

사용자 지정 또는 온-프레미스 DNS 서버를 사용하는 경우 privatelink 하위 도메인의 Azure AI 서비스 리소스 이름을 프라이빗 엔드포인트 IP 주소로 확인하도록 DNS 서버를 구성해야 합니다. privatelink 하위 도메인을 가상 네트워크의 프라이빗 DNS 영역에 위임합니다. 또는 DNS 서버에서 DNS 영역을 구성하고 DNS A 레코드를 추가합니다.

프라이빗 엔드포인트를 지원하기 위해 자체 DNS 서버를 구성하는 방법에 대한 자세한 내용은 다음 리소스를 참조하세요.

신뢰할 수 있는 Azure 서비스에 Azure OpenAI에 대한 액세스 권한 부여

다른 앱의 네트워크 규칙을 유지하면서 신뢰할 수 있는 Azure 서비스의 하위 집합에 Azure OpenAI에 대한 액세스 권한을 부여할 수 있습니다. 그러면 이러한 신뢰할 수 있는 서비스는 관리 ID를 사용하여 Azure OpenAI 서비스를 인증합니다. 다음 표에는 해당 서비스의 관리 ID에 적절한 역할 할당이 있는 경우 Azure OpenAI에 액세스할 수 있는 서비스가 나와 있습니다.

서비스 리소스 공급자 이름
Azure AI 서비스 Microsoft.CognitiveServices
Azure Machine Learning Microsoft.MachineLearningServices
Azure AI 검색 Microsoft.Search

REST API를 사용하여 네트워크 규칙 예외를 만들면 신뢰할 수 있는 Azure 서비스에 네트워킹 액세스 권한을 부여할 수 있습니다.


accessToken=$(az account get-access-token --resource https://management.azure.com --query "accessToken" --output tsv)
rid="/subscriptions/<your subscription id>/resourceGroups/<your resource group>/providers/Microsoft.CognitiveServices/accounts/<your Azure AI resource name>"

curl -i -X PATCH https://management.azure.com$rid?api-version=2023-10-01-preview \
-H "Content-Type: application/json" \
-H "Authorization: Bearer $accessToken" \
-d \
'
{
    "properties":
    {
        "networkAcls": {
            "bypass": "AzureServices"
        }
    }
}
'

참고 항목

신뢰할 수 있는 서비스 기능은 위에서 설명한 명령줄에서만 사용할 수 있으며 Azure Portal에서는 수행할 수 없습니다.

예외를 철회하려면 networkAcls.bypassNone으로 설정합니다.

Azure Portal에서 신뢰할 수 있는 서비스를 사용하도록 설정했는지 확인하려면

  1. Azure OpenAI 리소스 개요 페이지에서 JSON 보기 사용

    Azure Portal의 리소스에 대한 JSON 보기 옵션을 보여 주는 스크린샷

  2. API 버전에서 최신 API 버전을 선택합니다. 최신 API 버전인 2023-10-01-preview만 지원됩니다.

    신뢰할 수 있는 서비스가 사용하도록 설정된 것을 보여 주는 스크린샷

가격 책정

가격 책정에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.

다음 단계