Azure AI 검색용 방화벽 구성

Azure AI 검색은 Azure 가상 네트워크 보안 그룹에서 찾을 수 있는 IP 규칙과 유사하게 방화벽을 통한 인바운드 액세스에 대한 IP 규칙을 지원합니다. IP 규칙을 적용하여 승인된 컴퓨터 및 클라우드 서비스 집합에 대한 서비스 액세스를 제한할 수 있습니다. IP 규칙은 요청을 통해서만 허용합니다. 데이터 및 작업에 액세스하려면 호출자가 유효한 권한 부여 토큰을 제시해야 합니다.

이 문서에 설명된 대로 Azure Portal에서 IP 규칙을 설정하거나 관리 REST API, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다.

참고 항목

포털을 통해 IP 방화벽으로 보호되는 검색 서비스에 액세스하려면 특정 클라이언트 및 포털 IP 주소의 액세스를 허용합니다.

필수 조건

• 기본 계층 이상의 검색 서비스

Azure Portal에서 IP 범위 설정

1. Azure Portal에 로그인하고 Azure AI 검색 서비스 페이지로 이동합니다.

2. 왼쪽 탐색 창에서 네트워킹을 선택합니다.

3. 공용 네트워크 액세스를 선택한 네트워크로 설정합니다. 연결이 사용 안 함으로 설정된 경우 프라이빗 엔드포인트를 통해서만 검색 서비스에 액세스할 수 있습니다.

   

   Azure Portal은 CIDR 형식으로 IP 주소와 IP 주소 범위를 지원합니다. CIDR 표기법의 예로는 8.8.8.0/24가 있습니다. 이는 8.8.8.0에서 8.8.8.255까지 범위의 IP를 나타냅니다.

4. 방화벽에서 클라이언트 IP 주소 추가를 선택하여 시스템의 IP 주소에 대한 인바운드 규칙을 만듭니다.

5. 검색 서비스에 요청을 보낼 다른 컴퓨터, 디바이스 및 서비스에 대한 다른 클라이언트 IP 주소를 추가합니다.

Azure AI 검색 서비스에서 IP 액세스 제어 정책을 사용하도록 설정한 후에는, 허용된 IP 주소 범위 목록 외부의 컴퓨터에서 데이터 평면에 대한 모든 요청은 거부됩니다.

거부된 요청

요청이 허용 목록에 없는 IP 주소에서 시작되면 다른 세부 정보 없이 제네릭 403 사용할 수 없음 응답이 반환됩니다.

Azure Portal IP 주소에서 액세스 허용

IP 규칙을 구성하면 Azure Portal의 일부 기능을 사용할 수 없습니다. 서비스 수준 정보를 보고 관리할 수 있지만 인덱스, 인덱서 및 기타 최상위 리소스에 대한 포털 액세스는 제한됩니다. 포털 IP 주소 및 클라이언트 IP 주소에서 액세스를 허용하여 검색 서비스 작업의 전체 범위에 대한 포털 액세스를 복원할 수 있습니다.

포털의 IP 주소를 가져오려면 트래픽 관리자의 도메인인 stamp2.ext.search.windows.net에서 nslookup(또는 ping)을 수행합니다. nslookup의 경우 IP 주소는 응답의 "신뢰할 수 없는 답변" 부분에 표시됩니다.

다음 예제에서 복사해야 하는 IP 주소는 52.252.175.48입니다.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

서비스가 다른 지역에서 실행되면 서로 다른 트래픽 관리자에 연결됩니다. 도메인 이름과 상관없이 ping에서 반환된 IP 주소는 해당 지역의 Azure Portal에 대한 인바운드 방화벽 규칙을 정의할 때 사용할 올바른 IP 주소입니다.

ping의 경우 요청 시간이 초과되지만 응답에 IP 주소가 표시됩니다. 예를 들어 메시지 "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"에서 IP 주소는 52.252.175.48입니다.

클라이언트에 IP 주소를 제공하면 요청이 완전히 거부되지 않지만 콘텐츠 및 작업에 대한 성공적인 액세스를 위해서는 권한 부여도 필요합니다. 다음 방법 중 하나를 사용하여 요청을 인증합니다.

• 키 기반 인증: 요청 시 관리자 또는 쿼리 API 키가 제공됩니다.
• 역할 기반 권한 부여. 여기서 호출자는 검색 서비스에서 보안 역할의 멤버이며 등록된 앱은 Microsoft Entra ID의 OAuth 토큰을 제공합니다.

다음 단계

클라이언트 애플리케이션이 Azure의 정적 웹앱인 경우 검색 서비스 IP 방화벽 규칙에 포함할 IP 범위를 결정하는 방법을 알아봅니다.

Azure App Service의 인바운드 및 아웃바운드 IP 주소