Tip
이 문서의 대체 허브 중심 버전은 Microsoft Foundry 허브에 대한 프라이빗 링크를 구성하는 방법을 사용할 수 있습니다.
Foundry 프로젝트를 사용하는 경우 프라이빗 링크를 사용하여 프로젝트와의 통신을 보호할 수 있습니다. 이 문서에서는 프라이빗 링크를 사용하여 프로젝트에 대한 프라이빗 연결을 설정하는 방법을 설명합니다.
Note
엔드 투 엔드 네트워크 격리는 새 Foundry 포털 환경에서 지원되지 않습니다. 클래식 Foundry 포털 환경 또는 SDK 또는 CLI를 사용하여 네트워크 격리를 사용하도록 설정할 때 Foundry 프로젝트에 안전하게 액세스합니다. Foundry의 프라이빗 네트워킹 제한 사항에 대한 자세한 내용은 제한 사항을 참조하세요.
Prerequisites
프라이빗 엔드포인트를 만들 기존 Azure 가상 네트워크 및 서브넷입니다.
프라이빗 엔드포인트 연결을 만들고 승인할 수 있는 Azure 권한:
- 가상 네트워크에서: 프라이빗 엔드포인트를 만들기 위한 네트워크 기여자 (또는 해당)입니다.
- Foundry 프로젝트 리소스에서 기여자(또는 소유자) 권한을 가진 사용자가 프라이빗 엔드포인트 연결을 생성할 수 있습니다. 승인 권한이 없는 경우 프라이빗 엔드포인트 연결은 리소스 소유자가 승인할 때까지 보류 중 상태로 유지됩니다.
- 프라이빗 DNS 영역을 관리하는 경우: 가상 네트워크에 연결하는 프라이빗 DNS 영역에 대한 프라이빗 DNS 영역 기여자 (또는 해당)입니다.
Important
가상 네트워크에 172.17.0.0/16 IP 주소 범위를 사용하지 마세요. 이 범위는 Docker 브리지 네트워크 온-프레미스에서 사용하는 기본 서브넷 범위입니다.
Foundry에 안전하게 연결
가상 네트워크에서 보호되는 Foundry에 연결하려면 다음 방법 중 하나를 사용합니다.
Azure VPN Gateway - 공용 인터넷의 프라이빗 연결을 통해 온-프레미스 네트워크를 가상 네트워크에 연결합니다. 두 가지 VPN Gateway 유형 중에서 선택합니다.
- 지점 및 사이트 간: 각 클라이언트 컴퓨터는 VPN 클라이언트를 사용하여 가상 네트워크에 연결합니다.
- 사이트 간: VPN 디바이스는 가상 네트워크를 온-프레미스 네트워크에 연결합니다.
ExpressRoute - 연결 공급자를 통해 프라이빗 연결을 통해 온-프레미스 네트워크를 Azure에 연결합니다.
Azure Bastion - 가상 네트워크에 Azure 가상 머신(점프 상자)을 만든 다음 브라우저에서 RDP 또는 SSH를 사용하여 Azure Bastion을 통해 연결합니다. VM을 개발 환경으로 사용합니다. 가상 네트워크에 있으므로 작업 영역에 직접 액세스할 수 있습니다.
Foundry 프로젝트 만들기
새 프로젝트를 만들 때 다음 단계를 사용하여 프로젝트를 만듭니다.
Azure Portal에서 Foundry를 검색하고 리소스 만들기를 선택합니다.
기본 탭을 구성한 후 네트워킹 탭과 사용 안 함 옵션을 선택합니다.
프라이빗 엔드포인트 섹션에서 + 프라이빗 엔드포인트 추가를 선택합니다.
양식을 통해 프라이빗 엔드포인트를 만들 때 다음을 수행해야 합니다.
- 기본 사항에서 가상 네트워크와 동일한 지역을 선택합니다.
- Virtual Network 양식에서 연결할 가상 네트워크 및 서브넷을 선택합니다.
Note
포털 UI에서 프라이빗 엔드포인트를 만드는 대상은 "계정" 또는 "리소스"로 레이블이 지정될 수 있습니다. 메시지가 표시되면 Foundry 프로젝트 리소스를 선택합니다.
양식을 계속 진행하여 프로젝트를 만듭니다. 검토 + 만들기 탭에 도달하면 설정을 검토하고 만들기를 선택하여 프로젝트를 만듭니다.
리소스에 프라이빗 엔드포인트 추가
Azure Portal에서 프로젝트를 선택합니다.
페이지의 왼쪽에서 리소스 관리, 네트워킹을 선택한 다음 프라이빗 엔드포인트 연결 탭을 선택합니다. + 프라이빗 엔드포인트를 선택합니다.
양식을 통해 프라이빗 엔드포인트를 만들 때 다음을 수행해야 합니다.
- 기본 사항에서 가상 네트워크와 동일한 지역을 선택합니다.
- Virtual Network 양식에서 연결할 가상 네트워크 및 서브넷을 선택합니다.
Note
포털은 프라이빗 엔드포인트 대상을 "계정" 또는 "리소스"로 참조합니다. Foundry 리소스를 선택 대상로 합니다.
필요한 다른 네트워크 구성으로 양식을 채웁니다. 검토 + 만들기 탭을 사용하여 설정을 검토하고 만들기 를 선택하여 프라이빗 엔드포인트를 만듭니다.
프로젝트에서 프라이빗 엔드포인트 제거
프로젝트에 대한 하나 또는 모든 프라이빗 엔드포인트를 제거할 수 있습니다. 프라이빗 엔드포인트를 제거하면 엔드포인트가 연결된 Azure Virtual Network에서 프로젝트가 제거됩니다. 프라이빗 엔드포인트를 제거하면 프로젝트가 해당 가상 네트워크의 리소스에 액세스하거나 가상 네트워크의 리소스가 작업 영역에 액세스하지 못할 수 있습니다. 예를 들어, 가상 네트워크가 공용 인터넷에 대한 액세스를 허용하지 않는 경우입니다.
Warning
프로젝트의 프라이빗 엔드포인트를 제거해도 공개적으로 접근할 수 있게 되지 않습니다. 프로젝트에 공개적으로 액세스할 수 있도록 하려면 공용 액세스 사용 섹션의 단계를 사용합니다.
프라이빗 엔드포인트를 제거하려면 다음 정보를 사용합니다.
- Azure Portal에서 프로젝트를 선택합니다.
- 페이지의 왼쪽에서 리소스 관리, 네트워킹을 선택한 다음 프라이빗 엔드포인트 연결 탭을 선택합니다.
- 제거할 엔드포인트를 선택한 다음, 제거를 선택합니다.
공용 액세스 허용
경우에 따라 가상 네트워크를 통하는 대신 퍼블릭 엔드포인트를 통해 보안 프로젝트에 연결할 수 있도록 허용할 수 있습니다. 또는 가상 네트워크에서 프로젝트를 제거하고 공용 액세스를 다시 사용하도록 설정할 수 있습니다.
Important
공용 액세스를 사용하도록 설정해도 존재하는 프라이빗 엔드포인트는 제거되지 않습니다. 프라이빗 엔드포인트가 연결하는 가상 네트워크 뒤의 구성 요소 간의 모든 통신은 여전히 보호됩니다. 이를 통해 모든 프라이빗 엔드포인트를 통한 프라이빗 액세스 외에도 프로젝트에 대한 공용 액세스만 허용합니다.
Azure Portal에서 프로젝트를 선택합니다.
페이지의 왼쪽에서 리소스 관리, 네트워킹을 선택한 다음 방화벽 및 가상 네트워크 탭을 선택합니다.
모든 네트워크를 선택한 다음 저장을 선택합니다.
DNS 구성
프라이빗 엔드포인트를 사용하는 가상 네트워크의 클라이언트는 Foundry 리소스 및 프로젝트에 대해 공용 엔드포인트에 연결하는 클라이언트와 동일한 연결 문자열을 사용합니다. DNS 확인은 프라이빗 링크를 통해 가상 네트워크에서 Foundry 리소스 및 프로젝트로 연결을 자동으로 라우팅합니다.
프라이빗 엔드포인트에 대한 DNS 변경 내용 적용
프라이빗 엔드포인트를 만들 때 Azure는 Foundry 리소스에 대한 DNS CNAME 리소스 레코드를 접두 privatelink사를 사용하여 하위 도메인의 별칭으로 업데이트합니다. 기본적으로 Azure는 프라이빗 엔드포인트에 대한 DNS A 리소스 레코드를 사용하여 하위 도메인에 해당하는 privatelink 프라이빗 DNS 영역을 만듭니다. 자세한 내용은 Azure 프라이빗 DNS를 참조하세요.
프라이빗 엔드포인트를 사용하여 가상 네트워크 외부에서 엔드포인트 URL을 확인하면 Foundry 리소스의 공용 엔드포인트로 확인됩니다. 프라이빗 엔드포인트를 호스팅하는 가상 네트워크에서 확인하면 프라이빗 엔드포인트의 개인 IP 주소로 확인됩니다.
이 방법을 사용하면 프라이빗 엔드포인트를 호스트하는 가상 네트워크의 클라이언트와 가상 네트워크 외부의 클라이언트에 대해 동일한 연결 문자열을 사용하여 Foundry 리소스에 액세스할 수 있습니다.
네트워크에서 사용자 지정 DNS 서버를 사용하는 경우 클라이언트는 Foundry 리소스 엔드포인트의 FQDN(정규화된 도메인 이름)을 프라이빗 엔드포인트 IP 주소로 확인할 수 있어야 합니다. 프라이빗 링크 하위 도메인을 가상 네트워크의 프라이빗 DNS 영역에 위임하도록 DNS 서버를 구성합니다.
Tip
사용자 지정 또는 온-프레미스 DNS 서버를 사용하는 경우 하위 도메인의 Foundry 리소스 이름을 privatelink 프라이빗 엔드포인트 IP 주소로 확인하도록 DNS 서버를 구성합니다.
privatelink 가상 네트워크의 프라이빗 DNS 영역에 하위 도메인을 위임합니다. 또는 DNS 서버의 DNS 영역을 구성하고 DNS A 레코드를 추가합니다.
프라이빗 엔드포인트를 지원하도록 자체 DNS 서버를 구성하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
구성 유효성 검사
다음 단계를 사용하여 프라이빗 엔드포인트가 승인되고 DNS가 가상 네트워크 내에서 개인 IP 주소로 확인되는지 확인합니다.
Azure Portal에서 프로젝트 리소스로 이동합니다. 네트워킹>프라이빗 엔드포인트 연결에서 연결 상태가 승인됨인지 확인합니다.
가상 네트워크에 연결된 VM(또는 VPN/ExpressRoute를 통해 연결된 온-프레미스 컴퓨터)에서 Foundry 엔드포인트를 확인하고 프라이빗 엔드포인트의 개인 IP 주소로 확인되었는지 확인합니다.
nslookup <your-foundry-endpoint-hostname>포트 443에서 프라이빗 엔드포인트 IP 주소에 대한 연결을 테스트합니다.
Test-NetConnection <private-endpoint-ip-address> -Port 443
References
신뢰할 수 있는 Azure 서비스에 액세스 권한 부여
Foundry 프로젝트에서 Azure OpenAI를 사용하고 네트워크 액세스를 제한하는 경우 다른 앱에 대한 네트워크 규칙을 유지하면서 신뢰할 수 있는 Azure 서비스의 하위 집합에 Azure OpenAI에 대한 액세스 권한을 부여합니다. 그런 다음 이러한 신뢰할 수 있는 서비스는 관리 ID를 사용하여 Azure OpenAI에 인증합니다. 다음 표에서는 해당 서비스의 관리 ID에 적절한 역할 할당이 있는 경우 Azure OpenAI에 액세스할 수 있는 서비스를 나열합니다.
| Service | 리소스 공급자 이름 |
|---|---|
| 주조 도구 | Microsoft.CognitiveServices |
| Azure AI 검색 | Microsoft.Search |
| Azure Machine Learning (애저 머신 러닝) | Microsoft.MachineLearningServices |
REST API 또는 Azure Portal을 사용하여 네트워크 규칙 예외를 만들어 신뢰할 수 있는 Azure 서비스에 대한 네트워킹 액세스 권한을 부여합니다.
Limitations
- 가상 네트워크와 동일한 지역 및 구독에 프라이빗 엔드포인트를 배포해야 합니다.
- 승인된 상태의 프라이빗 엔드포인트만 프라이빗 링크 리소스로 트래픽을 보낼 수 있습니다.
- Foundry의 엔드 투 엔드 네트워크 격리는 새 Foundry 포털 환경에서 지원되지 않습니다. Foundry의 엔드 투 엔드 네트워크 격리는 새 버전의 에이전트 서비스에 대해 지원되지 않습니다. 현재 버전의 에이전트 서비스와 함께 클래식 Foundry 포털 환경을 사용하여 네트워크 격리를 사용하도록 설정할 때 Foundry 프로젝트에 안전하게 액세스합니다.
- 네트워크 격리 Foundry를 사용하는 경우 동일한 가상 네트워크에 배포된 프라이빗 MCP 서버를 사용할 수 없습니다. 공개적으로 액세스할 수 있는 MCP 서버만 사용할 수 있습니다.
- Microsoft Foundry의 호스트된 에이전트는 엔드 투 엔드 네트워크 격리에서 지원되지 않습니다.
에이전트 서비스 네트워크 격리 시나리오(네트워크 주입, 엔드 투 엔드 격리 및 제한 사항 포함)의 경우 Azure AI 에이전트 서비스에서 가상 네트워크를 사용하는 방법을 참조하세요.
Foundry 에이전트 서비스 및 평가를 위한 엔드 투 엔드 보안 네트워킹
에이전트를 빌드하거나 평가를 실행하는 경우 엔드 투 엔드 네트워크 격리를 원하는 경우 Azure AI 에이전트 서비스에서 가상 네트워크를 사용하는 방법의 지침을 사용합니다. 이 문서에는 필수 DNS 영역, 참조 아키텍처 및 알려진 제한 사항이 포함되어 있습니다.
에이전트 서비스 및 평가를 위한 네트워크 주입
네트워크 보안 표준 에이전트 및 평가는 전체 네트워크 격리를 지원하고 네트워크 주입을 통해 데이터 반출로부터 보호합니다. 네트워크 주입은 경량 에이전트 배포가 아닌 표준 에이전트 배포 및 평가만 지원합니다.
에이전트 및 평가의 송신 트래픽에 대한 방화벽 구성
네트워크 주입을 통해 송신(아웃바운드) 트래픽을 보호하려면 Azure Firewall 또는 다른 방화벽을 구성합니다. 이 구성은 가상 네트워크를 나가기 전에 아웃바운드 트래픽을 검사하고 제어하는 데 도움이 됩니다.
