Azure AI 검색에 보안 연결을 위한 프라이빗 엔드포인트 만들기

  • 아티클

이 문서에서는 공용 인터넷 연결이 아닌 가상 네트워크에서 클라이언트의 요청을 허용하도록 Azure AI Search에 대한 프라이빗 연결을 구성하는 방법을 알아보세요.

Azure AI Search에 비공개로 연결할 수 있는 다른 Azure 리소스에는 '자체 데이터 사용' 시나리오를 위한 Azure OpenAI가 있습니다. Azure OpenAI Studio는 가상 네트워크에서 실행되지 않지만 백 엔드에서 Microsoft 백본 네트워크를 통해 요청을 보내도록 구성할 수 있습니다. 이 트래픽 패턴에 대한 구성은 요청이 제출되고 승인되면 Microsoft에서 사용하도록 설정합니다. 이 시나리오의 경우:

  • 이 아티클의 지침에 따라 프라이빗 엔드포인트를 설정하세요.
  • 프라이빗 엔드포인트를 사용하여 Azure OpenAI Studio에 연결하도록 요청을 제출합니다.
  • 필요에 따라 가상 네트워크의 클라이언트 또는 프라이빗 엔드포인트 연결을 통해 Azure OpenAI에서만 연결이 시작되어야 하는 경우 공용 네트워크 액세스를 사용하지 않도록 설정합니다.

프라이빗 엔드포인트에 대한 핵심 사항

프라이빗 엔드포인트는 Azure Private Link에 의해 별도의 청구 가능한 서비스로 제공됩니다. 비용에 대한 자세한 내용은 가격 책정 페이지를 참조하세요.

검색 서비스에 프라이빗 엔드포인트가 있으면 해당 서비스에 대한 포털 액세스는 가상 네트워크 내의 가상 머신에 있는 브라우저 세션에서 시작해야 합니다. 자세한 내용은 이 단계를 참조하세요.

이 문서에서 설명하는 것과 같이 Azure Portal에서 검색 서비스에 대한 프라이빗 엔드포인트를 만들 수 있습니다. 또는 관리 REST API 버전, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다.

프라이빗 엔드포인트를 사용하는 이유는 무엇인가요?

Azure AI 검색을 위한 프라이빗 엔드포인트는 가상 네트워크의 클라이언트가 Private Link를 통해 검색 인덱스의 데이터에 안전하게 액세스할 수 있도록 합니다. 프라이빗 엔드포인트는 검색 서비스에 가상 네트워크 주소 공간의 IP 주소를 사용합니다. 클라이언트와 검색 서비스 간의 네트워크 트래픽은 가상 네트워크와 Microsoft 백본 네트워크의 프라이빗 링크를 통과하여 퍼블릭 인터넷에서 공개되지 않도록 합니다. Private Link를 지원하는 다른 PaaS 서비스 목록은 제품 설명서의 가용성 섹션을 참조하세요.

검색 서비스에 대한 프라이빗 엔드포인트를 사용하면 다음이 가능합니다.

  • 검색 서비스에 대한 퍼블릭 엔드포인트의 모든 연결을 차단합니다.
  • 가상 네트워크에서의 데이터 반출을 차단하여 가상 네트워크 보안을 강화합니다.
  • 개인 피어링을 통해 VPN 또는 ExpressRoutes를 사용하여 가상 네트워크에 연결하는 온-프레미스 네트워크에서 검색 서비스에 안전하게 연결합니다.

가상 네트워크 만들기

이 섹션에서는 검색 서비스의 프라이빗 엔드포인트에 액세스하는 데 사용되는 VM을 호스트하는 가상 네트워크 및 서브넷을 만듭니다.

  1. Azure Portal 홈 탭에서 리소스 만들기>네트워킹>가상 네트워크를 선택합니다.

  2. 가상 네트워크 만들기에서 다음 값을 입력하거나 선택합니다.

    설정
    Subscription 구독을 선택합니다.
    Resource group 새로 만들기를 선택하고 “myResourceGroup”과 같은 이름을 입력한 다음 확인을 선택합니다.
    이름 “MyVirtualNetwork”와 같은 이름을 입력합니다.
    지역 지역을 선택합니다.

  3. 나머지 설정은 기본값을 사용합니다. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

프라이빗 엔드포인트를 사용하여 검색 서비스 만들기

이 섹션에서는 프라이빗 엔드포인트를 사용하여 새 Azure AI 검색 서비스를 만듭니다.

  1. Azure Portal 화면의 왼쪽 위에서 리소스 만들기>>Azure AI 검색을 선택합니다.

  2. 새 검색 서비스 - 기본에서 다음 값을 입력 또는 선택합니다.

    설정
    프로젝트 정보
    Subscription 구독을 선택합니다.
    Resource group 이전 단계에서 만든 리소스 그룹을 사용합니다.
    인스턴스 정보
    URL 고유한 이름을 입력합니다.
    위치 지역을 선택합니다.
    가격 책정 계층 가격 책정 계층 변경을 선택하고 원하는 서비스 계층을 선택합니다. 프라이빗 엔드포인트는 무료 계층에서 지원되지 않습니다. 기본 이상을 선택해야 합니다.

  3. 다음: 규모를 선택합니다.

  4. 기본값을 적용하고 다음: 네트워킹을 선택합니다.

  5. 새 검색 서비스 - 네트워킹에서 엔드포인트 연결(데이터)에 대해 비공개를 선택합니다.

  6. 프라이빗 엔드포인트에서 + 추가를 선택합니다.

  7. 프라이빗 엔드포인트 만들기에서 검색 서비스를 만든 가상 네트워크와 연결하는 값을 입력하거나 선택합니다.

    설정
    Subscription 구독을 선택합니다.
    Resource group 이전 단계에서 만든 리소스 그룹을 사용합니다.
    위치 지역을 선택합니다.
    이름 “myPrivateEndpoint”와 같은 이름을 입력합니다.
    대상 하위 리소스 기본 searchService를 적용합니다.
    네트워킹
    가상 네트워크 이전 단계에서 만든 가상 네트워크를 선택합니다.
    서브넷 기본값을 선택합니다.
    프라이빗 DNS 통합
    프라이빗 DNS 영역과 통합 “예”를 적용합니다.
    프라이빗 DNS 영역 기본값 (New) privatelink.search.windows.net을 적용합니다.

  8. 확인을 선택합니다.

  9. 검토 + 만들기를 선택합니다. Azure에서 구성의 유효성을 검사하는 검토 + 만들기 페이지로 이동합니다.

  10. 유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.

  11. 새 서비스의 프로비저닝이 완료되면 만들었던 리소스를 찾습니다.

  12. 왼쪽 콘텐츠 메뉴에서 를 선택합니다.

  13. 이후 서비스에 연결할 때 사용하도록 기본 관리자 키를 복사합니다.

가상 머신 만들기

  1. Azure Portal 화면의 왼쪽 위에서 리소스 만들기>컴퓨팅>가상 머신을 선택합니다.

  2. 가상 머신 만들기 - 기본에서 다음 값을 입력하거나 선택합니다.

    설정
    프로젝트 정보
    Subscription 구독을 선택합니다.
    Resource group 이전 섹션에서 만든 리소스 그룹을 사용합니다.
    인스턴스 정보
    가상 머신 이름 “my-vm”과 같은 이름을 입력합니다.
    지역 지역을 선택합니다.
    가용성 옵션 인프라 중복 필요 없음을 선택하거나 기능이 필요한 경우 다른 옵션을 선택할 수 있습니다.
    이미지 Windows Server 2022 Datacenter: Azure Edition - Gen2를 선택합니다.
    VM 아키텍처 기본값 x64를 적용합니다.
    크기 기본값 표준 D2S v3을 적용합니다.
    관리자 계정
    사용자 이름 관리자의 사용자 이름을 입력합니다. Azure 구독에 유효한 계정을 사용합니다. 검색 서비스를 관리할 수 있도록 VM에서 Azure Portal에 로그인하려고 합니다.
    암호 계정 암호를 입력합니다. 암호는 12자 이상이어야 하며 정의된 복잡성 요구 사항을 충족해야 합니다.
    암호 확인 암호를 다시 입력합니다.
    인바운드 포트 규칙
    공용 인바운드 포트 기본값인 선택한 포트 허용을 적용합니다.
    인바운드 포트 선택 기본값(RDP (3389))을 적용합니다.

  3. 완료되면 다음: 디스크를 선택합니다.

  4. 가상 머신 만들기 - 디스크에서 기본값을 적용하고 다음: 네트워킹을 선택합니다.

  5. 가상 머신 만들기 - 네트워킹에서 다음 단계를 제공합니다.

    설정
    가상 네트워크 이전 단계에서 만든 가상 네트워크를 선택합니다.
    서브넷 기본값(10.1.0.0/24)을 적용합니다.
    NIC 네트워크 보안 그룹 추가 기본값인 “기본”을 적용합니다.
    공용 IP 기본값 “(신규) myVm-ip”를 적용합니다.
    공용 인바운드 포트 기본값 “선택한 포트 허용”을 선택합니다.
    인바운드 포트 선택 “HTTP(80)”, “HTTPS(443)” 및 “RDP(3389)”를 선택합니다.

    참고 항목

    IPv4 주소는 CIDR 형식으로 표현할 수 있습니다. RFC 1918에서 설명하는 것과 같이 프라이빗 네트워킹에 예약된 IP 범위를 피해야 합니다.

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. 유효성 검사를 위해 검토 + 만들기를 선택합니다.

  7. 유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.

VM에 연결

다음과 같이 가상 머신을 다운로드하고 연결합니다.

  1. 포털의 검색 창에서 이전 단계에서 만든 가상 머신을 검색합니다.

  2. 연결을 선택합니다. 연결 단추를 선택하면 가상 머신에 연결이 열립니다.

  3. RDP 파일 다운로드를 선택합니다. Azure에서 원격 데스크톱 프로토콜(.rdp) 파일을 만들고, 컴퓨터에 다운로드합니다.

  4. 다운로드한 .rdp 파일을 엽니다.

    1. 메시지가 표시되면 연결을 선택합니다.

    2. VM을 만들 때 지정한 사용자 이름과 암호를 입력합니다.

      참고 항목

      추가 선택 사항>다른 계정 사용을 선택하여 VM을 만들 때 입력한 자격 증명을 지정해야 할 수도 있습니다.

  5. 확인을 선택합니다.

  6. 로그인 프로세스 중에 인증서 경고가 나타날 수 있습니다. 인증서 경고가 표시되면 또는 계속을 선택합니다.

  7. VM 데스크톱이 나타나면 최소화하여 로컬 데스크톱으로 돌아갑니다.

연결 테스트

이 섹션에서는 검색 서비스에 대한 프라이빗 네트워크 액세스를 확인하고 프라이빗 엔드포인트를 사용하여 비공개로 연결합니다.

검색 서비스 엔드포인트가 프라이빗인 경우 일부 포털 기능이 사용하지 않도록 설정됩니다. 서비스 수준 설정을 보고 관리할 수 있지만 인덱스, 인덱서, 기술 세트 정의와 같은 서비스의 다양한 구성 요소 및 인덱스에 대한 포털의 액세스는 보안상의 이유로 제한됩니다.

  1. myVM의 원격 데스크톱에서 PowerShell을 엽니다.

  2. nslookup [search service name].search.windows.net를 입력합니다.

    다음과 유사한 메시지가 표시됩니다.

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. VM에서 검색 서비스에 연결하여 인덱스를 만듭니다. 이 빠른 시작을 따라 REST API를 사용하여 서비스에서 새 검색 인덱스를 만들 수 있습니다. 웹 API 테스트 도구에서 요청을 설정하려면 검색 서비스 엔드포인트(https://[search service name].search.windows.net)와 이전 단계에서 복사한 관리자 API 키가 필요합니다.

  4. VM에서 빠른 시작을 완료하면 서비스가 완전히 작동하는지 확인하는 것입니다.

  5. myVM에 대한 원격 데스크톱 연결을 닫습니다.

  6. 퍼블릭 엔드포인트에서 서비스에 액세스할 수 없는지 확인하려면 로컬 워크스테이션에서 REST 클라이언트를 열고 빠른 시작에서 처음 몇 가지 작업을 시도합니다. 원격 서버가 존재하지 않는다는 오류가 표시되면 검색 서비스에 대한 프라이빗 엔드포인트를 성공적으로 구성한 것입니다.

Azure Portal을 사용하여 프라이빗 검색 서비스에 액세스

검색 서비스 엔드포인트가 프라이빗인 경우 일부 포털 기능이 사용하지 않도록 설정됩니다. 서비스 수준 정보를 보고 관리할 수 있지만 인덱스, 인덱서 및 기술 세트 정보는 보안상의 이유로 숨겨집니다.

이 제한을 해결하려면 가상 네트워크 내의 가상 머신에 있는 브라우저에서 Azure Portal에 연결합니다. 포털은 연결에서 프라이빗 엔드포인트를 사용하고 콘텐츠 및 작업에 대한 가시성을 제공합니다.

  1. 프라이빗 엔드포인트를 통해 검색 서비스에 액세스할 수 있는 VM을 프로비전하는 단계를 따릅니다.

  2. 가상 네트워크의 가상 머신에서 브라우저를 열고 Azure Portal에 로그인합니다. 포털은 가상 머신에 연결된 프라이빗 엔드포인트를 사용하여 검색 서비스에 연결합니다.

공용 네트워크 액세스 사용 안 함

검색 서비스를 잠가 공용 인터넷의 요청을 받아들이지 못하도록 차단할 수 있습니다. 이 단계에서는 Azure Portal을 사용할 수 있습니다.

  1. Azure Portal의 검색 서비스 페이지 맨 왼쪽 창에서 네트워킹을 선택합니다.

  2. 방화벽 및 가상 네트워크 탭에서 사용 안 함을 선택합니다.

Azure CLI, Azure PowerShell 또는 관리 REST API, 설정 public-access 또는 public-network-access에서 disabled을(를) 사용할 수도 있습니다.

리소스 정리

본인 소유의 구독으로 이 모듈을 진행하고 있는 경우에는 프로젝트가 끝날 때 여기에서 만든 리소스가 계속 필요한지 확인하는 것이 좋습니다. 계속 실행되는 리소스에는 요금이 부과될 수 있습니다.

개별 리소스 또는 리소스 그룹을 삭제하여 이 연습에서 만든 모든 항목을 삭제할 수 있습니다. 리소스 개요 페이지에서 리소스 그룹을 선택한 다음 삭제를 선택합니다.

다음 단계

이 문서에서는 가상 네트워크에서 VM을 만들고 프라이빗 엔드포인트를 사용하여 검색 서비스를 만들었습니다. 인터넷에서 VM에 연결하고 Private Link를 사용하여 검색 서비스에 안전하게 전달했습니다. 프라이빗 엔드포인트에 대한 자세한 정보는 Azure 개인 엔드포인트란 무엇인가요?를 참조하세요.