Azure AI 허브용 프라이빗 링크 구성 방법

  • 아티클

참고 항목

Azure AI 스튜디오는 현재 공개 미리 보기로 제공됩니다. 이 미리 보기는 서비스 수준 계약 없이 제공되며, 프로덕션 워크로드에는 권장되지 않습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

두 가지 네트워크 격리 양상이 있습니다. 하나는 Azure AI 허브에 액세스하기 위한 네트워크 격리입니다. 또 다른 하나는 컴퓨팅 인스턴스, 서버리스, 관리되는 온라인 엔드포인트와 같은 Azure AI 허브 및 Azure AI 프로젝트에서 컴퓨팅 리소스의 네트워크 격리입니다. 이 문서에서는 다이어그램에 강조 표시된 전자에 대해 설명합니다. 프라이빗 링크를 사용하여 Azure AI 허브와 해당 기본 리소스에 대한 프라이빗 연결을 설정할 수 있습니다. 이 문서는 Azure AI 스튜디오(AI 허브 및 AI 프로젝트)에 대한 것입니다. Azure AI 서비스에 대한 자세한 내용은 Azure AI 서비스 설명서를 참조하세요.

Azure AI 허브 네트워크 격리 다이어그램.

리소스 그룹에 여러 Azure AI 허브 기본 리소스가 있습니다. 다음 네트워크 격리 구성을 구성해야 합니다.

  • Azure Storage, Azure Key Vault 및 Azure Container Registry와 같은 Azure AI 허브 기본 리소스의 공용 네트워크 액세스를 사용하지 않도록 설정합니다.
  • Azure AI 허브 기본 리소스에 대한 프라이빗 엔드포인트 연결을 설정합니다. 기본 스토리지 계정에 대한 Blob 및 파일 프라이빗 엔드포인트가 모두 있어야 합니다.
  • Azure AI 허브 리소스가 스토리지 계정(프라이빗인 경우)에 액세스할 수 있도록 하기 위한 관리 ID 구성.
  • Azure AI 서비스와 Azure AI 검색은 공용이어야 합니다.

필수 조건

  • 프라이빗 엔드포인트를 만들려면 기존 Azure Virtual Network가 있어야 합니다.

    Important

    VNet에 172.17.0.0/16 IP 주소 범위를 사용하지 않는 것이 좋습니다. 이것은 Docker 브리지 네트워크 또는 온-프레미스에서 사용하는 기본 서브넷 범위입니다.

  • 프라이빗 엔드포인트를 추가하려면 먼저 프라이빗 엔드포인트에 대한 네트워크 정책을 사용하지 않도록 설정합니다.

프라이빗 엔드포인트를 사용하는 Azure AI 만들기

다음 방법 중 하나를 사용하여 프라이빗 엔드포인트로 Azure AI 허브 리소스를 만듭니다. 이러한 각 방법을 사용하려면 기존 가상 네트워크가 필요합니다.

  1. Azure Portal에서 Azure AI 스튜디오로 이동하고 + 새 Azure AI를 선택합니다.
  2. 네트워킹 탭에서 네트워크 격리 모드를 선택합니다.
  3. 작업 영역 인바운드 액세스까지 아래로 스크롤하고 + 추가를 선택합니다.
  4. 필수 필드를 입력합니다. 지역을선택하는 경우 가상 네트워크와 동일한 지역을 선택합니다.

Azure AI 허브에 프라이빗 엔드포인트 추가

다음 방법 중 하나를 사용하여 기존 Azure AI 허브에 프라이빗 엔드포인트를 추가합니다.

  1. Azure Portal에서 Azure AI 허브를 선택합니다.
  2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 프라이빗 엔드포인트 연결 탭을 선택합니다.
  3. 지역을선택하는 경우 가상 네트워크와 동일한 지역을 선택합니다.
  4. 리소스 종류을 선택할 때 azuremlworkspace를 사용합니다.
  5. 리소스를 작업 영역 이름으로 설정합니다.

마지막으로, 만들기를 선택하여 프라이빗 엔드포인트를 만듭니다.

프라이빗 엔드포인트 제거

Azure AI 허브의 하나 또는 모든 프라이빗 엔드포인트를 제거할 수 있습니다. 프라이빗 엔드포인트를 제거하면 엔드포인트가 연결된 Azure Virtual Network에서 Azure AI 허브가 제거됩니다. 프라이빗 엔드포인트를 제거하면 Azure AI 허브가 해당 가상 네트워크의 리소스에 액세스하지 못하거나 가상 네트워크의 리소스가 작업 영역에 액세스하지 못할 수 있습니다. 예를 들어, 가상 네트워크가 공용 인터넷에 대한 액세스를 허용하지 않는 경우입니다.

Warning

AI 허브의 프라이빗 엔드포인트를 제거해도 공개적으로 액세스할 수 없습니다. AI 허브에 공개적으로 액세스할 수 있게 하려면 공용 액세스 사용 섹션의 단계를 따릅니다.

프라이빗 엔드포인트를 제거하려면 다음 정보를 사용합니다.

  1. Azure Portal에서 Azure AI 허브를 선택합니다.
  2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 프라이빗 엔드포인트 연결 탭을 선택합니다.
  3. 제거할 엔드포인트를 선택한 다음, 제거를 선택합니다.

공용 액세스 사용

어떤 상황에서는 누군가가 가상 네트워크 대신 공용 엔드포인트를 통해 보호된 Azure AI 허브에 연결하도록 허용할 수 있습니다. 또는 가상 네트워크에서 작업 영역을 제거하고 공용 액세스를 다시 사용하도록 설정할 수도 있습니다.

Important

공용 액세스를 사용하도록 설정해도 존재하는 프라이빗 엔드포인트는 제거되지 않습니다. 프라이빗 엔드포인트가 연결되는 가상 네트워크 뒤의 구성 요소 간 모든 통신은 여전히 보호됩니다. 프라이빗 엔드포인트를 통한 개인 액세스 외에도 Azure AI 허브에 대한 공용 액세스만 사용할 수 있습니다.

공용 액세스를 사용하도록 설정하려면 다음 단계를 사용합니다.

  1. Azure Portal에서 Azure AI 허브를 선택합니다.
  2. 페이지 왼쪽에서 네트워킹을 선택한 다음, 공용 액세스 탭을 선택합니다.
  3. 모든 네트워크에서 사용됨을 선택한 다음, 저장을 선택합니다.

관리 ID 구성

스토리지 계정을 프라이빗으로 설정하는 경우 관리 ID 구성이 필요합니다. Azure 서비스는 다음 관리 ID 구성으로 신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용을 사용하여 비공개 스토리지 계정에서 데이터를 읽고 써야 합니다. Azure AI Service 및 Azure AI 검색의 시스템이 할당한 관리 ID를 사용하도록 설정한 다음, 각 관리 ID에 대한 역할 기반 액세스 제어를 구성합니다.

역할 관리 ID 리소스 목적 참조
Storage File Data Privileged Contributor Azure AI 프로젝트 스토리지 계정 읽기/쓰기 프롬프트 흐름 데이터입니다. 프롬프트 흐름 문서
Storage Blob Data Contributor Azure AI 서비스 스토리지 계정 입력 컨테이너에서 읽고, 출력 컨테이너에 전처리 결과를 씁니다. Azure OpenAI 문서
Storage Blob Data Contributor Azure AI 검색 스토리지 계정 Blob를 읽고 지식 저장소를 씁니다 검색 문서.

사용자 지정 DNS 구성

DNS 전달 구성에 대해서는 Azure Machine Learning 사용자 지정 DNS 문서를 참조하세요.

DNS 전달 없이 사용자 지정 DNS 서버를 구성해야 하는 경우 필수 A 레코드에 대해 다음 패턴을 사용합니다.

  • <AI-STUDIO-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.cert.api.azureml.ms

  • <AI-STUDIO-GUID>.workspace.<region>.api.azureml.ms

  • <AI-PROJECT-GUID>.workspace.<region>.api.azureml.ms

  • ml-<workspace-name, truncated>-<region>-<AI-STUDIO-GUID>.<region>.notebooks.azure.net

  • ml-<workspace-name, truncated>-<region>-<AI-PROJECT-GUID>.<region>.notebooks.azure.net

    참고 항목

    이 FQDN의 작업 영역 이름은 잘릴 수 있습니다. 잘림은 ml-<workspace-name, truncated>-<region>-<workspace-guid>를 63자 이하로 유지하기 위해 수행됩니다.

  • <instance-name>.<region>.instances.azureml.ms

    참고 항목

    • 컴퓨팅 인스턴스는 가상 네트워크 내에서만 액세스할 수 있습니다.
    • 이 FQDN의 IP 주소가 컴퓨팅 인스턴스의 IP가 아닙니다. 대신 작업 영역 프라이빗 엔드포인트(*.api.azureml.ms 항목의 IP)의 개인 IP 주소를 사용합니다.

  • <managed online endpoint name>.<region>.inference.ml.azure.com - 관리형 온라인 엔드포인트에서 사용

A 레코드의 개인 IP 주소를 찾으려면 Azure Machine Learning 사용자 지정 DNS 문서를 참조하세요. AI-PROJECT-GUID를 확인하려면 Azure Portal로 이동하여 Azure AI 프로젝트, 설정, 속성을 선택하면 작업 영역 ID가 표시됩니다.

제한 사항

  • 프라이빗 Azure AI 서비스와 Azure AI 검색은 지원되지 않습니다.
  • Azure AI 스튜디오 플레이그라운드의 "데이터 추가" 기능은 비공개 스토리지 계정을 지원하지 않습니다.
  • Mozilla Firefox를 사용하는 경우 Azure AI 허브의 프라이빗 엔드포인트에 액세스를 시도할 때 문제가 발생할 수 있습니다. 이 문제는 Mozilla Firefox의 HTTPS를 통한 DNS와 관련이 있을 수 있습니다. Microsoft Edge 또는 Google Chrome을 사용하는 것을 권장합니다.

다음 단계