네트워크 보안 경계에 검색 서비스 추가
Important
네트워크 보안 경계에 대한 Azure AI Search 지원은 추가 사용 약관에 따라 공개 미리 보기로 제공됩니다. 이 기능은 기능을 제공하는 지역에서 사용할 수 있습니다. 이 미리 보기 버전은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 사용하지 않는 것이 좋습니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다.
시작하기 전에 제한 사항 및 고려 사항 섹션을 검토합니다.
이 문서에서는 Azure AI Search 서비스를 네트워크 보안 경계에 가입하여 검색 서비스에 대한 네트워크 액세스를 제어하는 방법을 설명합니다. 네트워크 보안 경계를 조인하여 다음을 수행할 수 있습니다.
- 동일한 경계의 다른 Azure 리소스와 컨텍스트에서 검색 서비스에 대한 모든 액세스를 기록합니다.
- 검색 서비스에서 경계 외부의 다른 서비스로의 데이터 반출을 차단합니다.
- 네트워크 보안 경계의 인바운드 및 아웃바운드 액세스 기능을 사용하여 검색 서비스에 대한 액세스를 허용합니다.
이 문서에 설명된 대로 Azure Portal의 네트워크 보안 경계에 검색 서비스를 추가할 수 있습니다. 또는 Azure Virtual Network Manager REST API를 사용하여 검색 서비스에 조인하고 검색 관리 REST API를 사용하여 구성 설정을 보고 동기화할 수 있습니다.
제한 사항 및 고려 사항
네트워크 보안 경계 내의 검색 서비스의 경우 인덱서는 시스템 또는 사용자 할당 관리 ID를 사용하고 데이터 원본에 대한 읽기 액세스를 허용하는 역할 할당이 있어야 합니다.
지원되는 인덱서 데이터 원본은 현재 Azure Blob Storage, NoSQL용 Azure Cosmos DB 및 Azure SQL Database로 제한됩니다.
현재 경계 내에서 데이터 검색을 위해 Azure PaaS에 대한 인덱서 연결이 기본 사용 사례입니다. Azure AI 서비스, Azure OpenAI 또는 Azure AI Foundry 모델 카탈로그에 대한 아웃바운드 기술 기반 API 호출 또는 "데이터와 채팅" 시나리오에 대한 Azure AI Foundry의 인바운드 호출의 경우 경계를 통해 요청을 허용하도록 인바운드 및 아웃바운드 규칙을 구성해야 합니다. 구조 인식 청크 및 벡터화를 위해 프라이빗 연결이 필요한 경우 공유 프라이빗 링크와 프라이빗 네트워크를 만들어야 합니다.
필수 조건
기존 네트워크 보안 경계입니다. 검색 서비스와 연결할 항목을 만들 수 있습니다.
네트워크 보안 경계에 검색 서비스 할당
Azure 네트워크 보안 경계를 사용하면 관리자가 가상 네트워크 외부에 배포된 PaaS 리소스(예: Azure Storage 및 Azure SQL Database)에 대한 논리적 네트워크 격리 경계를 정의할 수 있습니다. 경계 내의 리소스에 대한 통신을 제한하고 인바운드 및 아웃바운드 액세스 규칙을 통해 비 경계 공용 트래픽을 허용합니다.
모든 인덱싱 및 쿼리 요청이 보안 경계 내에서 수행되도록 네트워크 보안 경계에 Azure AI Search를 추가할 수 있습니다.
Azure Portal에서 구독에 대한 네트워크 보안 경계 서비스를 찾습니다.
왼쪽 메뉴에서 리소스를 선택합니다.
기존 프로필과 리소스 연결 추가>를 선택합니다.
프로필에 대한 네트워크 보안 경계를 만들 때 만든 프로필을 선택합니다.
연결을 선택한 다음, 만든 검색 서비스를 선택합니다.
화면의 왼쪽 아래 섹션에서 연결을 선택하여 연결을 만듭니다.
네트워크 보안 경계 액세스 모드
네트워크 보안 경계는 연결된 리소스에 대해 두 가지 액세스 모드를 지원합니다.
| 모드 | 설명 |
|---|---|
| 학습 모드 | 기본 액세스 모드입니다. 학습 모드에서 네트워크 보안 경계는 경계가 강제 모드인 경우 거부되었을 검색 서비스에 대한 모든 트래픽을 기록합니다. 이를 통해 네트워크 관리자는 액세스 규칙 적용을 구현하기 전에 검색 서비스의 기존 액세스 패턴을 이해할 수 있습니다. |
| 적용 모드 | 적용 모드에서 네트워크 보안 경계는 액세스 규칙에 의해 명시적으로 허용되지 않는 모든 트래픽을 기록하고 거부합니다. |
네트워크 보안 경계 및 검색 서비스 네트워킹 설정
설정은 publicNetworkAccess 네트워크 보안 경계와 검색 서비스 연결을 결정합니다.
학습 모드에서 설정은
publicNetworkAccess리소스에 대한 공용 액세스를 제어합니다.적용 모드
publicNetworkAccess에서 설정은 네트워크 보안 경계 규칙에 의해 재정의됩니다. 예를 들어 설정이 있는publicNetworkAccess검색 서비스가 적용 모드의enabled네트워크 보안 경계와 연결된 경우 검색 서비스에 대한 액세스는 여전히 네트워크 보안 경계 액세스 규칙에 의해 제어됩니다.
네트워크 보안 경계 액세스 모드 변경
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 메뉴에서 리소스를 선택합니다.
테이블에서 검색 서비스를 찾습니다.
검색 서비스 행의 맨 오른쪽에 있는 세 개의 점을 선택합니다. 팝업에서 액세스 모드 변경을 선택합니다.'
원하는 액세스 모드를 선택하고 적용을 선택합니다.
로깅 네트워크 액세스 사용
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 메뉴에서 진단 설정을 선택합니다.
진단 설정 추가를 선택합니다.
진단 설정 이름에 대한 "진단"과 같은 이름을 입력합니다.
로그에서 allLogs를 선택합니다. allLogs는 네트워크 보안 경계의 리소스에 대한 모든 인바운드 및 아웃바운드 네트워크 액세스가 기록되도록 합니다.
대상 세부 정보에서 스토리지 계정에 보관을 선택하거나 Log Analytics 작업 영역으로 보내기를 선택합니다. 스토리지 계정은 네트워크 보안 경계와 동일한 지역에 있어야 합니다. 기존 스토리지 계정을 사용하거나 새 스토리지 계정을 만들 수 있습니다. Log Analytics 작업 영역은 네트워크 보안 경계에서 사용하는 지역과 다른 지역에 있을 수 있습니다. 다른 적용 가능한 대상을 선택할 수도 있습니다.
[저장]을 선택하여 진단 설정을 만들고 네트워크 액세스 로깅을 시작합니다.
네트워크 액세스 로그 읽기
Log Analytics 작업 영역
테이블에는 network-security-perimeterAccessLogs 모든 로그 범주(예 network-security-perimeterPublicInboundResourceRulesAllowed: )에 대한 모든 로그가 포함됩니다. 모든 로그에는 로그 범주와 일치하는 네트워크 보안 경계 네트워크 액세스 레코드가 포함됩니다.
로그 형식의 예는 network-security-perimeterPublicInboundResourceRulesAllowed 다음과 같습니다.
| 열 이름 | 의미 | 예제 값 |
|---|---|---|
| ResultDescription | 네트워크 액세스 작업의 이름 | POST /indexes/my-index/docs/search |
| 프로필 | 검색 서비스가 연결된 네트워크 보안 경계 | defaultProfile |
| ServiceResourceId | 검색 서비스의 리소스 ID | search-service-resource-id |
| 일치하는 규칙 | 로그와 일치하는 규칙에 대한 JSON 설명 | { "accessRule": "IP firewall" } |
| SourceIPAddress | 해당하는 경우 인바운드 네트워크 액세스의 원본 IP | 1.1.1.1 |
| AccessRuleVersion | 네트워크 액세스 규칙을 적용하는 데 사용되는 네트워크 보안 경계 액세스 규칙의 버전 | 0 |
스토리지 계정
스토리지 계정에는 모든 로그 범주(예 insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed: )에 대한 컨테이너가 있습니다. 컨테이너 내의 폴더 구조는 네트워크 보안 경계의 리소스 ID 및 로그가 수행된 시간과 일치합니다. JSON 로그 파일의 각 줄에는 로그 범주와 일치하는 네트워크 보안 경계 네트워크 액세스 레코드가 포함됩니다.
예를 들어 허용된 인바운드 경계 규칙 범주 로그는 다음 형식을 사용합니다.
"properties": {
"ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
"Profile": "defaultProfile",
"MatchedRule": {
"AccessRule": "myaccessrule"
},
"Source": {
"IpAddress": "255.255.255.255",
}
}
검색 서비스에 대한 액세스 규칙 추가
네트워크 보안 경계 프로필은 경계를 통한 액세스를 허용하거나 거부하는 규칙을 지정합니다.
경계 내에서 모든 리소스는 네트워크 수준에서 상호 액세스할 수 있습니다. 여전히 인증 및 권한 부여를 설정해야 하지만 네트워크 수준에서 경계 내부의 연결 요청이 허용됩니다.
네트워크 보안 경계 외부의 리소스의 경우 인바운드 및 아웃바운드 액세스 규칙을 지정해야 합니다. 인바운드 규칙은 허용할 연결을 지정하고 아웃바운드 규칙은 허용되는 요청을 지정합니다.
검색 서비스는 Azure AI Foundry 포털, Azure Machine Learning 프롬프트 흐름 및 인덱싱 또는 쿼리 요청을 보내는 모든 앱과 같은 앱의 인바운드 요청을 수락합니다. 검색 서비스는 인덱서 기반 인덱싱 및 기술 세트 실행 중에 아웃바운드 요청을 보냅니다. 이 섹션에서는 Azure AI Search 시나리오에 대한 인바운드 및 아웃바운드 액세스 규칙을 설정하는 방법을 설명합니다.
참고 항목
네트워크 보안 경계와 연결된 모든 서비스는 관리 ID 및 역할 할당을 사용하여 해당 액세스가 인증될 때 동일한 네트워크 보안 경계와 연결된 다른 서비스에 대한 인바운드 및 아웃바운드 액세스를 암시적으로 허용합니다. 액세스 규칙은 네트워크 보안 경계 외부에서 액세스를 허용하거나 API 키를 사용하여 인증된 액세스에 대해서만 만들어야 합니다.
인바운드 액세스 규칙 추가
인바운드 액세스 규칙을 사용하면 경계 외부의 인터넷 및 리소스가 경계 내의 리소스와 연결할 수 있습니다.
네트워크 보안 경계는 다음 두 가지 유형의 인바운드 액세스 규칙을 지원합니다.
IP 주소 범위입니다. IP 주소 또는 범위는 클래스리스 CIDR(도메인 간 라우팅) 형식이어야 합니다. CIDR 표기법의 예는 192.0.2.0/24이며 192.0.2.0에서 192.0.2.255까지의 IP를 나타냅니다. 이 유형의 규칙은 범위 내의 모든 IP 주소에서 인바운드 요청을 허용합니다.
구독. 이 유형의 규칙은 구독의 관리 ID를 사용하여 인증된 인바운드 액세스를 허용합니다.
Azure Portal에서 인바운드 액세스 규칙을 추가하려면 다음을 수행합니다.
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 메뉴에서 프로필을 선택합니다.
네트워크 보안 경계에서 사용 중인 프로필 선택
왼쪽 메뉴에서 인바운드 액세스 규칙을 선택합니다.
추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 값 규칙 이름 인바운드 액세스 규칙의 이름입니다(예: "MyInboundAccessRule"). 확보 경로 유형 유효한 값은 IP 주소 범위 또는 구독입니다. 허용되는 원본 IP 주소 범위를 선택한 경우 인바운드 액세스를 허용하려는 CIDR 형식으로 IP 주소 범위를 입력합니다. Azure IP 범위는 이 링크에서 사용할 수 있습니다. 구독을 선택한 경우 인바운드 액세스를 허용하려는 구독을 사용합니다. 추가를 선택하여 인바운드 액세스 규칙을 만듭니다.
아웃바운드 액세스 규칙 추가
검색 서비스는 인덱서 기반 인덱싱 및 기술 세트 실행 중에 아웃바운드 호출을 수행합니다. 인덱서 데이터 원본, Azure AI 서비스 또는 사용자 지정 기술 논리가 네트워크 보안 경계 외부에 있는 경우 검색 서비스가 연결을 만들 수 있도록 하는 아웃바운드 액세스 규칙을 만들어야 합니다.
공개 미리 보기에서 Azure AI Search는 보안 경계 내에서 Azure Storage 또는 Azure Cosmos DB에만 연결할 수 있습니다. 인덱서가 다른 데이터 원본을 사용하는 경우 해당 연결을 지원하려면 아웃바운드 액세스 규칙이 필요합니다.
네트워크 보안 경계는 대상의 FQDN(정규화된 도메인 이름)을 기반으로 하는 아웃바운드 액세스 규칙을 지원합니다. 예를 들어 네트워크 보안 경계와 연결된 모든 서비스에서 FQDN(예: mystorageaccount.blob.core.windows.netFQDN)으로의 아웃바운드 액세스를 허용할 수 있습니다.
Azure Portal에서 아웃바운드 액세스 규칙을 추가하려면 다음을 수행합니다.
Azure Portal에서 네트워크 보안 경계 리소스로 이동합니다.
왼쪽 메뉴에서 프로필을 선택합니다.
네트워크 보안 경계에서 사용 중인 프로필 선택
왼쪽 메뉴에서 아웃바운드 액세스 규칙을 선택합니다.
추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 값 규칙 이름 아웃바운드 액세스 규칙의 이름(예: "MyOutboundAccessRule") 대상 형식 FQDN으로 유지 허용되는 대상 아웃바운드 액세스를 허용하려는 FQDN의 쉼표로 구분된 목록을 입력합니다. 추가를 선택하여 아웃바운드 액세스 규칙을 만듭니다.
네트워크 보안 경계를 통해 연결 테스트
네트워크 보안 경계를 통해 연결을 테스트하려면 인터넷 연결이 있는 로컬 컴퓨터 또는 Azure VM에서 웹 브라우저에 액세스해야 합니다.
네트워크 보안 경계 연결을 강제 모드로 변경하여 검색 서비스에 대한 네트워크 액세스에 대한 네트워크 보안 경계 요구 사항 적용을 시작합니다.
로컬 컴퓨터 또는 Azure VM을 사용할지 여부를 결정합니다.
- 로컬 컴퓨터를 사용하는 경우 공용 IP 주소를 알아야 합니다.
- Azure VM을 사용하는 경우 프라이빗 링크를 사용하거나 Azure Portal을 사용하여 IP 주소를 확인할 수 있습니다.
IP 주소를 사용하여 해당 IP 주소에 대한 인바운드 액세스 규칙을 만들어 액세스를 허용할 수 있습니다. 프라이빗 링크를 사용하는 경우 이 단계를 건너뛸 수 있습니다.
마지막으로 Azure Portal에서 검색 서비스로 이동합니다. 인덱스를 성공적으로 볼 수 있으면 네트워크 보안 경계가 올바르게 구성됩니다.
네트워크 보안 경계 구성 보기 및 관리
네트워크 보안 경계 구성 REST API를 사용하여 경계 구성을 검토하고 조정할 수 있습니다.
미리 보기 API 버전을 2024-06-01-preview사용해야 합니다. 관리 REST API를 호출하는 방법을 알아봅니다.