Azure AI 스튜디오 허브에 대한 프라이빗 링크를 구성하는 방법

Important

이 문서에 설명된 기능 중 일부는 미리 보기로만 제공될 수 있습니다. 이 미리 보기는 서비스 수준 계약 없이 제공되며, 프로덕션 워크로드에는 권장되지 않습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

두 가지 네트워크 격리 양상이 있습니다. 하나는 Azure AI 스튜디오 허브에 액세스하기 위한 네트워크 격리입니다. 또 다른 하나는 허브의 컴퓨팅 리소스와 컴퓨팅 인스턴스, 서버리스 및 관리되는 온라인 엔드포인트와 같은 프로젝트의 네트워크 격리입니다. 이 문서에서는 다이어그램에 강조 표시된 전자에 대해 설명합니다. 프라이빗 링크를 사용하여 허브와 해당 기본 리소스에 대한 프라이빗 연결을 설정할 수 있습니다. 이 문서는 Azure AI Studio(허브 및 프로젝트)를 위한 것입니다. Azure AI 서비스에 대한 자세한 내용은 Azure AI 서비스 설명서를 참조하세요.

리소스 그룹에서 여러 허브 기본 리소스를 가져옵니다. 다음 네트워크 격리 구성을 구성해야 합니다.

• Azure Storage, Azure Key Vault 및 Azure Container Registry와 같은 허브 기본 리소스의 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
• 허브 기본 리소스에 대한 프라이빗 엔드포인트 연결을 설정합니다. 기본 스토리지 계정에 대한 Blob 및 파일 프라이빗 엔드포인트가 모두 있어야 합니다.
• 허브가 비공개인 경우 스토리지 계정에 액세스할 수 있도록 하는 관리 ID 구성.

필수 조건

• 프라이빗 엔드포인트를 만들려면 기존 Azure Virtual Network가 있어야 합니다.

  Important

  VNet에 172.17.0.0/16 IP 주소 범위를 사용하지 않는 것이 좋습니다. 이것은 Docker 브리지 네트워크 또는 온-프레미스에서 사용하는 기본 서브넷 범위입니다.

• 프라이빗 엔드포인트를 추가하려면 먼저 프라이빗 엔드포인트에 대한 네트워크 정책을 사용하지 않도록 설정합니다.

프라이빗 엔드포인트를 사용하는 허브 만들기

다음 방법 중 하나를 사용하여 프라이빗 엔드포인트를 사용하여 허브를 만듭니다. 이러한 각 방법을 사용하려면 기존 가상 네트워크가 필요합니다.

Azure Portal

1. Azure Portal에서 Azure AI 스튜디오로 이동하고 + 새 Azure AI를 선택합니다.
2. 네트워킹 탭에서 네트워크 격리 모드를 선택합니다.
3. 작업 영역 인바운드 액세스까지 아래로 스크롤하고 + 추가를 선택합니다.
4. 필수 필드를 입력합니다. 지역을선택하는 경우 가상 네트워크와 동일한 지역을 선택합니다.

Azure CLI

허브를 만든 다음 Azure 네트워킹 CLI 명령을 사용하여 허브의 프라이빗 링크 엔드포인트를 만듭니다.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

작업 영역에 대한 프라이빗 DNS 영역 항목을 만들려면 다음 명령을 사용합니다.

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.api.azureml.ms

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.api.azureml.ms \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.api.azureml.ms \
    --zone-name privatelink.api.azureml.ms

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name privatelink.notebooks.azure.net

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name privatelink.notebooks.azure.net \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone privatelink.notebooks.azure.net \
    --zone-name privatelink.notebooks.azure.net

허브에 프라이빗 엔드포인트 추가

다음 방법 중 하나를 사용하여 기존 허브에 프라이빗 엔드포인트를 추가합니다.

Azure Portal

1. Azure Portal에서 허브를 선택합니다.
2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 프라이빗 엔드포인트 연결 탭을 선택합니다.
3. 지역을선택하는 경우 가상 네트워크와 동일한 지역을 선택합니다.
4. 리소스 종류을 선택할 때 azuremlworkspace를 사용합니다.
5. 리소스를 작업 영역 이름으로 설정합니다.

마지막으로, 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

Azure CLI

Azure 네트워킹 CLI 명령을 사용하여 허브의 프라이빗 링크 엔드포인트를 만듭니다.

az network private-endpoint create \
    --name <private-endpoint-name> \
    --vnet-name <vnet-name> \
    --subnet <subnet-name> \
    --private-connection-resource-id "/subscriptions/<subscription>/resourceGroups/<resource-group-name>/providers/Microsoft.MachineLearningServices/workspaces/<workspace-name>" \
    --group-id amlworkspace \
    --connection-name workspace -l <location>

작업 영역에 대한 프라이빗 DNS 영역 항목을 만들려면 다음 명령을 사용합니다.

# Add privatelink.api.azureml.ms
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.api.azureml.ms'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.api.azureml.ms' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.api.azureml.ms' \
    --zone-name 'privatelink.api.azureml.ms'

# Add privatelink.notebooks.azure.net
az network private-dns zone create \
    -g <resource-group-name> \
    --name 'privatelink.notebooks.azure.net'

az network private-dns link vnet create \
    -g <resource-group-name> \
    --zone-name 'privatelink.notebooks.azure.net' \
    --name <link-name> \
    --virtual-network <vnet-name> \
    --registration-enabled false

az network private-endpoint dns-zone-group add \
    -g <resource-group-name> \
    --endpoint-name <private-endpoint-name> \
    --name myzonegroup \
    --private-dns-zone 'privatelink.notebooks.azure.net' \
    --zone-name 'privatelink.notebooks.azure.net'

프라이빗 엔드포인트 제거

허브에 대한 하나 또는 모든 프라이빗 엔드포인트를 제거할 수 있습니다. 프라이빗 엔드포인트를 제거하면 엔드포인트가 연결된 Azure Virtual Network에서 허브가 제거됩니다. 프라이빗 엔드포인트를 제거하면 허브가 해당 가상 네트워크의 리소스에 액세스하지 못하거나 가상 네트워크의 리소스가 작업 영역에 액세스하지 못할 수 있습니다. 예를 들어, 가상 네트워크가 공용 인터넷에 대한 액세스를 허용하지 않는 경우입니다.

Warning

허브의 프라이빗 엔드포인트를 제거해도 공개적으로 액세스할 수 없습니다. 허브에 공개적으로 액세스할 수 있게 하려면 공용 액세스 사용 섹션의 단계를 따릅니다.

프라이빗 엔드포인트를 제거하려면 다음 정보를 사용합니다.

Azure Portal

1. Azure Portal에서 허브를 선택합니다.
2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 프라이빗 엔드포인트 연결 탭을 선택합니다.
3. 제거할 엔드포인트를 선택한 다음, 제거를 선택합니다.

Azure CLI

Azure CLI를 사용하는 경우 다음 명령을 사용하여 프라이빗 엔드포인트를 제거합니다.

az network private-endpoint delete \
    --name <private-endpoint-name> \
    --resource-group <resource-group-name> \

공용 액세스 사용

어떤 상황에서는 누군가가 가상 네트워크 대신 공용 엔드포인트를 통해 보호된 허브에 연결하도록 허용할 수 있습니다. 또는 가상 네트워크에서 작업 영역을 제거하고 공용 액세스를 다시 사용하도록 설정할 수도 있습니다.

Important

공용 액세스를 사용하도록 설정해도 존재하는 프라이빗 엔드포인트는 제거되지 않습니다. 프라이빗 엔드포인트가 연결되는 가상 네트워크 뒤의 구성 요소 간 모든 통신은 여전히 보호됩니다. 프라이빗 엔드포인트를 통한 개인 액세스 외에도 허브에 대한 공용 액세스만 사용할 수 있습니다.

공용 액세스를 사용하도록 설정하려면 다음 단계를 사용합니다.

Azure Portal

1. Azure Portal에서 허브를 선택합니다.
2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 공용 액세스 탭을 선택합니다.
3. 모든 네트워크에서 사용됨을 선택한 다음, 저장을 선택합니다.

Azure CLI

다음 Azure CLI 명령을 사용하여 공용 액세스를 사용하도록 설정합니다.

az ml workspace update \
    --set public_network_access=Enabled \
    -n <workspace-name> \
    -g <resource-group-name>

ml 명령을 찾을 수 없다는 오류가 표시되면 다음 명령을 사용하여 Azure Machine Learning CLI 확장을 설치합니다.

az extension add --name ml

관리 ID 구성

스토리지 계정을 프라이빗으로 설정하는 경우 관리 ID 구성이 필요합니다. Azure 서비스는 다음 관리 ID 구성으로 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용을 사용하여 비공개 스토리지 계정에서 데이터를 읽고 써야 합니다. Azure AI Service 및 Azure AI 검색의 시스템이 할당한 관리 ID를 사용하도록 설정한 다음, 각 관리 ID에 대한 역할 기반 액세스 제어를 구성합니다.

역할	관리 ID	리소스	목적	참조
Storage File Data Privileged Contributor	Azure AI 스튜디오 프로젝트	스토리지 계정	읽기/쓰기 프롬프트 흐름 데이터입니다.	프롬프트 흐름 문서
Storage Blob Data Contributor	Azure AI 서비스	스토리지 계정	입력 컨테이너에서 읽고, 출력 컨테이너에 전처리 결과를 씁니다.	Azure OpenAI 문서
Storage Blob Data Contributor	Azure AI 검색	스토리지 계정	Blob를 읽고 지식 저장소를 씁니다	검색 문서.

사용자 지정 DNS 구성

DNS 전달 구성에 대해서는 Azure Machine Learning 사용자 지정 DNS 문서를 참조하세요.

DNS 전달 없이 사용자 지정 DNS 서버를 구성해야 하는 경우 필수 A 레코드에 대해 다음 패턴을 사용합니다.

• <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

• <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

• <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

• ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

• ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

  참고 항목

  이 FQDN의 작업 영역 이름은 잘릴 수 있습니다. 잘림은 ml-<workspace-name, truncated>-<region>-<workspace-guid>를 63자 이하로 유지하기 위해 수행됩니다.

• <instance-name>.<region>.instances.azureml.ms

  참고 항목

  • 컴퓨팅 인스턴스는 가상 네트워크 내에서만 액세스할 수 있습니다.
  • 이 FQDN의 IP 주소가 컴퓨팅 인스턴스의 IP가 아닙니다. 대신 작업 영역 프라이빗 엔드포인트(*.api.azureml.ms 항목의 IP)의 개인 IP 주소를 사용합니다.

• 관리형 가상 네트워크에서 컴퓨팅에 연결하기 위한 명령을 <instance-name>.<region>.instances.azureml.ms수행할 때만az ml compute connect-ssh 사용됩니다. 관리형 네트워크 또는 SSH 연결을 사용하지 않는 경우에는 필요하지 않습니다.

• <managed online endpoint name>.<region>.inference.ml.azure.com - 관리형 온라인 엔드포인트에서 사용

A 레코드의 개인 IP 주소를 찾으려면 Azure Machine Learning 사용자 지정 DNS 문서를 참조하세요. AI-PROJECT-GUID를 확인하려면 Azure Portal로 이동하여 프로젝트, 설정, 속성을 선택하면 작업 영역 ID가 표시됩니다.

제한 사항

• Mozilla Firefox를 사용하는 경우 허브의 프라이빗 엔드포인트에 액세스를 시도할 때 문제가 발생할 수 있습니다. 이 문제는 Mozilla Firefox의 HTTPS를 통한 DNS와 관련이 있을 수 있습니다. Microsoft Edge 또는 Google Chrome을 사용하는 것을 권장합니다.

다음 단계

• Azure AI 스튜디오 프로젝트 만들기
• Azure AI 스튜디오 자세히 알아보기
• Azure AI 스튜디오 허브에 대해 자세히 알아보기
• 프로젝트 보안 연결 문제 해결