네트워크 격리에 대한 권장 설정
QnA Maker 리소스에 대한 공용 액세스를 제한하려면 다음 단계를 수행합니다. 가상 네트워크를 구성하여 퍼블릭 액세스에서 Azure AI 서비스 리소스를 보호합니다.
참고 항목
QnA Maker 서비스가 2025년 3월 31일부로 종료됩니다. 이제 최신 버전의 질문 및 답변 기능이 Azure AI 언어의 일부로 사용할 수 있습니다. 언어 서비스 내의 질문 답변 기능은 질문 답변을 참조하세요. 2022년 10월 1일부터 새로운 QnA Maker 리소스를 만들 수 없습니다. 기존 QnA Maker 기술 자료를 질문 답변으로 마이그레이션하는 방법에 대한 정보는 마이그레이션 가이드를 참조하세요.
App Service(QnA 런타임)에 대한 액세스 제한
ServiceTag CognitiveServicesMangement를 사용하여 App Service 또는 ASE(App Service Environment) 네트워크 보안 그룹 인바운드 규칙에 대한 인바운드 액세스를 제한할 수 있습니다. 가상 네트워크 서비스 태그 문서에서 서비스 태그에 대한 자세한 정보를 확인합니다.
일반 앱 서비스
- Azure Portal에서 Cloud Shell(PowerShell)을 엽니다.
- 페이지 하단의 PowerShell 창에서 다음 명령을 실행합니다.
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"
추가된 액세스 규칙이 네트워킹 탭의 액세스 제한 섹션에 있는지 확인합니다.
https://qnamaker.ai 포털의 테스트 창에 액세스하려면 포털에 액세스하려는 컴퓨터의 공용 IP 주소를 추가합니다. 액세스 제한 페이지에서 규칙 추가를 선택하고 클라이언트 IP에 대한 액세스를 허용합니다.
App Service에서 아웃바운드 액세스
QnA Maker App Service에는 아래 엔드포인트에 대한 아웃바운드 액세스가 필요합니다. 아웃바운드 트래픽에 제한이 있는 경우 허용 목록에 추가되었는지 확인하세요.
QnA Maker App Service를 호스트하도록 App Service Environment 구성
App Service Environment(ASE)는 QnA Maker App Service 인스턴스를 호스트하는 데 사용할 수 있습니다. 다음 단계를 수행합니다.
새 Azure AI 검색 리소스를 만듭니다.
App Service를 사용하여 외부 ASE를 만듭니다.
- 지침을 보려면 이 App Service 빠른 시작을 따르세요. 이 프로세스는 최대 1~2시간까지 걸릴 수 있습니다.
- 마지막으로
https://<app service name>.<ASE name>.p.azurewebsite.net과 유사한 App Service 엔드포인트를 갖게 됩니다. - 예:
https:// mywebsite.myase.p.azurewebsite.net
다음 App Service 구성을 추가합니다.
속성 값 PrimaryEndpointKey <app service name>-PrimaryEndpointKeyAzureSearchName <Azure AI Search Resource Name from step #1>AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>QNAMAKER_EXTENSION_VERSION latestDefaultAnswer no answer foundhttps://qnamaker.ai 포털 테스트 창에 대한 액세스를 허용하려면 App Service에 CORS 원본 "*"를 추가합니다. CORS는 App Service 창의 API 헤더 아래에 있습니다.
Azure Resource Manager를 사용하여 QnA Maker Azure AI 서비스 인스턴스(Microsoft.CognitiveServices/accounts)를 만듭니다. QnA Maker 엔드포인트는 위에서 만든 App Service 엔드포인트(
https:// mywebsite.myase.p.azurewebsite.net)로 설정해야 합니다. 다음은 참조용으로 사용할 수 있는 샘플 Azure Resource Manager 템플릿입니다.
관련 질문
QnA Maker를 내부 ASE에 배포할 수 있나요?
외부 ASE를 사용하는 주된 이유는 QnAMaker 서비스 백 엔드(저작 API)가 인터넷을 통해 App Service에 연결할 수 있기 때문입니다. 그러나 CognitiveServicesManagement 서비스 태그와 연결된 주소의 연결만 허용하도록 인바운드 액세스 제한을 추가하여 여전히 보호할 수 있습니다.
여전히 내부 ASE를 사용하려는 경우 앱 게이트웨이 DNS TLS/SSL 인증서를 통해 공용 도메인의 ASE에서 특정 QnA Maker 앱을 노출해야 합니다. 자세한 내용은 App Services의 엔터프라이즈 배포에 대한 이 문서를 참조하세요.
Cognitive Search 리소스에 대한 액세스 제한
Cognitive Search 인스턴스는 QnA Maker 리소스를 만든 후 프라이빗 엔드포인트를 통해 격리할 수 있습니다. 액세스를 잠그려면 다음 단계를 따르세요.
새 VNet(가상 네트워크)을 만들거나 ASE(App Service Environment)의 기존 VNet을 사용합니다.
VNet 리소스를 연 다음 서브넷 탭에서 두 개의 서브넷을 만듭니다. 하나는 App Service용(appservicesubnet)이고 다른 서브넷은 위임 없는 Cognitive Search 리소스용(searchservicesubnet)입니다.
Cognitive Search Service 인스턴스의 네트워킹 탭에서 엔드포인트 연결 데이터를 퍼블릭에서 프라이빗으로 전환합니다. 이 작업은 장기 실행 프로세스이며, 완료하는 데 최대 30분이 걸릴 수 있습니다.
검색 리소스가 프라이빗으로 전환되면 프라이빗 엔드포인트 추가를 선택합니다.
- 기본 사항 탭: 검색 리소스와 동일한 지역에 엔드포인트를 만들고 있는지 확인합니다.
- 리소스 탭:
Microsoft.Search/searchServices유형의 필수 검색 리소스를 선택합니다.
- 구성 탭: 2단계에서 만든 VNet, 서브넷(searchservicesubnet)을 사용합니다. 그런 다음 프라이빗 DNS 통합 섹션에서 해당 구독을 선택하고 privatelink.search.windows.net이라는 새 프라이빗 DNS 영역을 만듭니다.
일반 App Service에 대해 VNET 통합을 사용하도록 설정합니다. ASE는 이미 VNET에 액세스할 수 있으므로 이 단계를 건너뛸 수 있습니다.
- App Service 네트워킹 섹션으로 이동하여 VNet 통합을 엽니다.
- 2단계에서 만든 전용 App Service VNet, 서브넷(appservicevnet)에 연결합니다.
Azure Search 리소스에 대한 프라이빗 엔드포인트를 만듭니다.
QnA Maker 리소스에 대한 공용 액세스를 제한하려면 다음 단계를 수행합니다. 가상 네트워크를 구성하여 퍼블릭 액세스에서 Azure AI 서비스 리소스를 보호합니다.
VNet을 기반으로 Azure AI 서비스 리소스에 대한 액세스를 제한한 후 온-프레미스 네트워크 또는 로컬 브라우저에서 https://qnamaker.ai 포털의 기술 자료를 탐색합니다.
온-프레미스 네트워크에 대한 액세스 권한을 부여합니다.
로컬 브라우저/컴퓨터에 대한 액세스 권한을 부여합니다.
네트워킹 탭의 방화벽 섹션에서 머신의 공용 IP 주소를 추가합니다. 기본적으로
portal.azure.com은 현재 검색 머신의 공용 IP를 표시한 다음(이 항목 선택), 저장을 선택합니다.
