Microsoft Foundry 프로젝트에 대한 관리형 가상 네트워크 구성

이 문서에서는 Foundry 리소스에 대한 관리형 가상 네트워크를 설정하는 방법을 설명합니다. 관리형 가상 네트워크는 Foundry 프로젝트 내에서 에이전트 서비스 기본 컴퓨팅을 보호하는 Microsoft 관리형 가상 네트워크를 프로비전하여 Foundry 리소스에 대한 네트워크 격리를 간소화하고 자동화합니다. 사용하도록 설정하면 에이전트 아웃바운드 네트워크 트래픽이 관리되는 네트워크 경계에 의해 보호되고 선택한 격리 모드가 모든 트래픽을 제어합니다. 종속 Azure 서비스에 필요한 프라이빗 엔드포인트를 만들고 필요한 네트워크 규칙을 적용하여 사용자 고유의 가상 네트워크를 빌드하거나 유지 관리할 필요 없이 보안 기본값을 제공할 수 있습니다. 이 관리형 네트워크는 에이전트가 액세스할 수 있는 기능을 제한하므로 승인된 Azure 리소스에 대한 연결을 허용하면서 데이터 반출을 방지할 수 있습니다.

이제 관리형 가상 네트워크는 새 응답 API 및 새 Foundry 포털에서 프롬프트 및 호스트 에이전트 서비스를 지원합니다. 새 에이전트 서비스 및 새 Foundry 포털을 사용하는 관리형 가상 네트워크에 대해 현재 지원되는 지역은 미국 동부, 미국 동부 2, 일본 동부, 프랑스 중부, 아랍에미리트 북부, 브라질 남부, 스페인 중부, 독일 중서부, 이탈리아 북부, 미국 중남부, 오스트레일리아 동부, 스웨덴 중부, 캐나다 동부, 남아프리카 공화국 북부, 미국 서부, 미국 서부 3입니다. 인도 남부 및 영국 남부. 추가 지역 지원은 곧 따를 것입니다.

계속하기 전에 제품의 제한 사항을 고려하고 필수 구성 요소를 검토합니다.

격리 모드 이해

관리형 가상 네트워크 격리를 사용하도록 설정하면 Microsoft 테넌트에서 만든 Foundry 계정에 대한 관리형 가상 네트워크를 만듭니다. 프로젝트에서 빌드하는 모든 새 에이전트는 아웃바운드 트래픽에 관리되는 가상 네트워크를 자동으로 사용합니다. 관리형 가상 네트워크는 에이전트가 사용하는 Azure 리소스(예: Azure Storage, Azure Cosmos DB 및 Azure AI 검색)에 프라이빗 엔드포인트를 사용할 수 있습니다.

참고

이 문서의 다이어그램은 논리적 연결만 나타냅니다. Foundry 관리형 가상 네트워크의 관리형 프라이빗 엔드포인트는 NIC(고객 표시 네트워크 인터페이스)를 만들지 않습니다. 서브넷에서 개인 IP를 사용하여 NIC를 만드는 표준 VNet 프라이빗 엔드포인트와 달리 관리되는 프라이빗 엔드포인트는 Microsoft 완전히 관리되고 고객의 가상 네트워크 리소스에서 추상화됩니다. 구독에 이러한 엔드포인트 또는 연결된 NIC가 표시되지 않습니다.

관리되는 가상 네트워크의 아웃바운드 트래픽에 대해 두 가지 구성 모드가 있습니다.

아웃바운드 모드	설명	시나리오
인터넷 아웃바운드 허용	인터넷에 대한 모든 아웃바운드 트래픽을 허용합니다.	무제한 아웃바운드 액세스는 허용됩니다. 광범위한 연결이 필요합니다.
승인된 아웃바운드만 허용	Azure Firewall 통해 적용되는 서비스 태그, 프라이빗 엔드포인트 및 선택적 FQDN 규칙(포트 80, 443)을 사용하여 아웃바운드를 제한합니다.	데이터 반출 위험 최소화; 에는 큐레이팅된 대상 목록이 필요합니다.
비활성화	사용자 지정 가상 네트워크를 사용하지 않는 한 관리형 가상 네트워크 격리를 사용할 수 없습니다.	퍼블릭 아웃바운드를 사용할 것인지, 아니면 사용자 고유의 가상 네트워크를 제공할 계획인지 결정해야 합니다.

다음 아키텍처 다이어그램은 allow internet outbound 모드에서 관리되는 네트워크를 보여줍니다.

다음 아키텍처 다이어그램은 allow only approved outbound 모드에서 관리되는 네트워크를 보여줍니다.

인터넷 아웃바운드를 허용하도록 관리형 가상 네트워크 Foundry를 구성한 후에는 사용하지 않도록 리소스를 다시 구성할 수 없습니다. 마찬가지로 승인된 아웃바운드만 허용하도록 관리되는 가상 네트워크 리소스를 구성한 후에는 인터넷 아웃바운드를 허용하도록 리소스를 다시 구성할 수 없습니다.

필수 구성 요소

이 문서의 단계를 따르기 전에 다음 필수 구성 요소가 있는지 확인합니다.

Azure 구독입니다. Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
Azure CLI 버전 2.86.0에 설치됩니다. 관리되는 네트워크에서 아웃바운드 규칙을 만드는 데 필요합니다.
Microsoft.Network, Microsoft.KeyVault, Microsoft.CognitiveServices, Microsoft.Storage, Microsoft.Search 및 Azure 구독에 등록된 Microsoft.ContainerService 리소스 공급자입니다. 자세한 내용은 리소스 공급자 등록을 참조하세요.
관리되는 네트워크 리소스를 배포할 수 있는 권한입니다. Foundry 계정 및 프로젝트를 만들려면 Foundry 리소스 범위의 Foundry Account Owner 필요합니다. Owner 또는 Role Based Access Administrator 필요한 리소스에 RBAC를 할당하는 데 필요합니다. 에이전트를 만들고 빌드하려면 프로젝트 범위의 Foundry User 필요합니다.

중요

Foundry RBAC 역할의 이름이 최근에 바뀌었습니다. Foundry User, Foundry OwnerFoundry 계정 소유자 및 Foundry Project Manager는 이전에 Azure AI 사용자, Azure AI 소유자, Azure AI 계정 소유자 및 Azure AI Project Manager로 이름이 지정되었습니다. 이름 바꾸기가 롤아웃되는 동안 일부 위치에서는 이전 이름이 계속 표시될 수 있습니다. 역할 ID 및 핵심 권한은 이름 바꾸기에 의해 변경되지 않습니다.
대상 Azure 지역의 모든 리소스에 대한 충분한 할당량입니다. 매개 변수가 전달되지 않으면 이 템플릿은 Foundry 리소스, Foundry 프로젝트, NoSQL용 Azure Cosmos DB, Azure AI 검색 및 Azure Storage 계정을 만듭니다.

제한

Foundry 리소스에 대해 관리되는 네트워크 격리를 사용하도록 설정하기 전에 다음 제한 사항을 고려합니다.

관리형 네트워크 Foundry 리소스는 세 가지 방법으로 배포할 수 있습니다.
foundry-samples의 18-managed-virtual-network 폴더에 있는 Bicep 템플릿입니다.
Terraform 템플릿은 foundry-samples의 18-managed-virtual-network 폴더에 있습니다.
az rest 및 Azure CLI 명령 az cognitiveservices. 아래 문서에서 Azure CLI 지원에 대한 자세한 내용을 참조하세요.
관리되는 네트워크를 만들기 위한 Azure Portal UI 지원은 아직 없습니다. 지원이 곧 제공될 예정입니다.
Foundry 리소스가 만들어지면 Foundry 리소스의 관리 ID에 Azure AI Enterprise Network Connection Approver(역할 ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea)의 기본 제공 역할을 할당하여 Foundry 리소스에 필요한 프라이빗 엔드포인트를 만들고 승인했는지 확인합니다.
관리형 가상 네트워크 격리를 사용하도록 설정한 후에는 사용하지 않도록 설정할 수 없습니다. 사용자 지정 가상 네트워크 설정에서 관리형 가상 네트워크로 업그레이드 경로가 없습니다. Foundry 리소스 재배포가 필요합니다. Foundry 리소스를 삭제하면 관리되는 가상 네트워크가 삭제됩니다.
관리형 가상 네트워크에 대한 지원은 미국 동부, 미국 동부 2, 일본 동부, 프랑스 중부, 아랍에미리트 북부, 브라질 남부, 스페인 중부, 독일 중서부, 이탈리아 북부, 미국 중남부, 오스트레일리아 동부, 스웨덴 중부, 캐나다 동부, 남아프리카 공화국 북부, 미국 서부, 미국 서부 3, 인도 남부 및 영국 남부 에만 있습니다. 추가 지역 지원은 곧 따를 것입니다.
Foundry 리소스에 대한 온-프레미스 리소스에 대한 프라이빗 액세스가 필요한 경우 Application Gateway 를 사용하여 온-프레미스 액세스를 구성합니다. Application Gateway에 대한 프라이빗 엔드포인트 및 백 엔드 풀 설정과 동일한 설정이 지원됩니다. 이제 L4 및 L7 트래픽이 모두 GA의 Application Gateway에서 지원됩니다.
관리형 가상 네트워크가 승인된 아웃바운드만 허용 모드일 때 FQDN 아웃바운드 규칙을 만들면 연결된 방화벽 비용과 함께 관리되는 Azure Firewall 만들어집니다. 가격 책정에 대한 자세한 내용은 가격 책정을 참조하세요. FQDN 아웃바운드 규칙은 포트 80 및 443만 지원합니다.
사용자 고유의 Azure Firewall 관리되는 가상 네트워크로 가져올 수 없습니다. 승인된 아웃바운드 모드만 허용을 사용하는 경우 Foundry 계정에 대해 관리되는 방화벽이 자동으로 만들어집니다.
여러 Foundry 계정에 대해 동일한 관리형 방화벽을 다시 사용할 수 없습니다. 승인 된 아웃바운드 모드만 허용 을 사용하는 경우 각 Foundry 계정은 자체 관리형 방화벽을 만듭니다.
관리형 가상 네트워크를 사용하도록 설정된 Foundry 리소스 내에서 새 프로젝트를 만드는 경우 프로젝트 기능 호스트를 다시 만들어 프로젝트가 BYO 리소스 및 관리형 네트워크를 사용하고 있는지 확인해야 합니다. 파운드리 샘플 리포지토리의 관리형 네트워크 설정을 위한 추가 지침이 README에 있습니다.

관리형 가상 네트워크 격리 모드 배포

관리형 가상 네트워크 Foundry 리소스 배포를 시작하려면 아래 단계를 수행합니다.

Azure CLI
Bicep / Terraform

1단계: 네트워크 삽입을 사용하여 AI Services 계정 만들기

계정은 생성 시 customSubDomainName, allowProjectManagement, 및 networkInjections가 설정되어 만들어져야 합니다. 계정을 만든 후에는 이러한 속성을 추가할 수 없습니다.

중요

Azure CLI 아직 네트워크 삽입을 사용하여 Foundry 리소스 만들기를 지원하지 않으므로 네트워크 삽입을 사용하여 계정 만들기에 az rest 명령을 사용해야 합니다.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2026-03-01" \
  --body '{
    "location": "{region}",
    "kind": "AIServices",
    "sku": { "name": "S0" },
    "identity": { "type": "SystemAssigned" },
    "properties": {
      "allowProjectManagement": true,
      "customSubDomainName": "{account-name}",
      "networkInjections": [
        {
          "scenario": "agent",
          "subnetArmId": "",
          "useMicrosoftManagedNetwork": true
        }
      ],
      "disableLocalAuth": false
    }
  }' \
  --headers "Content-Type=application/json"

provisioningState에 도달할 때까지 Succeeded를 기다린 후 계속합니다.

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}?api-version=2026-03-01" \
  --query "properties.provisioningState" -o tsv

2단계: 관리되는 ID의 주체 ID를 가져옵니다.

계정에서 시스템에서 지정한 관리 ID의 주체 ID를 검색합니다.

az cognitiveservices account show \
  --resource-group {resource-group} \
  --name {account-name} \
  --query identity.principalId -o tsv

3단계: 네트워크 연결 승인자 역할 할당

Azure AI Enterprise 네트워크 연결 승인자 역할(역할 ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea)을 Foundry 계정의 관리 ID에 할당합니다. 이렇게 하면 관리형 네트워크 프라이빗 엔드포인트를 자동으로 승인할 수 있습니다.

az role assignment create \
  --assignee-object-id {principal-id} \
  --assignee-principal-type ServicePrincipal \
  --role "b556d68e-0be0-4f35-a333-ad7ee1ce17ea" \
  --scope /subscriptions/{subscription-id}/resourceGroups/{resource-group}

참고

대상 리소스(스토리지, Cosmos DB, AI Search)가 다른 리소스 그룹에 있는 경우 역할 할당 범위를 해당 리소스 그룹 또는 구독으로 지정합니다.

4단계: 관리되는 네트워크 만들기

계정에 관리되는 네트워크 자식 리소스를 만듭니다. 그러면 네트워크 격리 모드가 설정되고 네트워크 인프라가 프로비전됩니다.

인터넷 아웃바운드 허용을 사용하여 관리되는 네트워크를 만들려면 다음을 수행합니다.

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_internet_outbound

승인된 아웃바운드만 허용으로 관리되는 네트워크를 만들려면 다음을 수행합니다.

az cognitiveservices account managed-network create \
  --resource-group {resource-group} \
  --name {account-name} \
  --managed-network allow_only_approved_outbound \
  --firewall-sku Standard

foundry-samples 리포지토리에서 Bicep 또는 Terraform 템플릿을 사용하여 배포할 수 있습니다.

Bicep: 18-managed-virtual-network
Terraform: 18-managed-virtual-network

Bicep의 경우:

리포지토리를 foundry-samples 복제하거나 다운로드합니다.
폴더managed-network.bicep에서 modules-network-secured 템플릿을 엽니다.
선택한 격리 모드에 따라 격리 모드 매개 변수 IsolationMode 를 설정합니다. 또는 AllowInternetOutbound. AllowOnlyApprovedOutbound
README.md 파일에서 Azure에 배포 버튼을 선택합니다. 이 작업은 빠른 배포를 위해 Azure 포털에서 템플릿을 엽니다.
지역, 리소스 그룹, 가상 네트워크 이름 등과 같은 매개 변수를 배포하기 전에 모든 매개 변수를 완료합니다. 고유한 Cosmos DB, Storage 또는 Search를 가져오는 경우 리소스 ID도 포함되어 있는지 확인합니다.
마지막으로 템플릿을 배포합니다. 템플릿 배포는 약 30분이 소요됩니다.

Terraform의 경우:

리포지토리를 foundry-samples 복제하거나 다운로드합니다.
infrastructure/infrastructure-setup-terraform/18-managed-virtual-network 폴더로 이동하세요.
사용자 환경에 필요한 변수(지역, 리소스 그룹, 격리 모드 및 기존 리소스 ID)를 구성합니다.
terraform init, terraform plan, 및 terraform apply를 실행하여 배포합니다.

관리형 가상 네트워크 배포에 필요한 매개 변수에 대한 자세한 내용은 Microsoft 참조하세요. CognitiveServices/accounts/managedNetworks.

관리형 가상 네트워크 배포 확인

배포가 완료되면 관리되는 가상 네트워크가 올바르게 구성되었는지 확인합니다.

Azure CLI
az-rest

Foundry 리소스가 있고 관리되는 네트워크가 사용하도록 설정되어 있는지 확인합니다.
```
az cognitiveservices account managed-network show \
  --resource-group {resource-group} \
  --name {account-name}
```
응답에는 선택한 모드(isolationMode 또는 AllowInternetOutbound)로 AllowOnlyApprovedOutbound이 설정되어 있어야 합니다.

모든 아웃바운드 규칙 및 해당 상태를 나열합니다.

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

특정 아웃바운드 규칙을 표시합니다.

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

Foundry 프로젝트에서 기본 에이전트를 만들고 실행하여 에이전트 연결을 테스트합니다. 에이전트가 성공적으로 완료되면 관리되는 네트워크가 제대로 작동합니다.

Foundry 리소스가 있고 관리되는 네트워크가 사용하도록 설정되어 있는지 확인합니다.

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default?api-version=2026-03-01" \
  --query "properties.managedNetwork"

응답에는 선택한 모드(isolationMode 또는 AllowInternetOutbound)로 AllowOnlyApprovedOutbound이 설정되어 있어야 합니다.

관리되는 프라이빗 엔드포인트를 나열하여 생성되었는지 확인합니다.

az rest --method GET \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules?api-version=2026-03-01" \
  --query "value[].{name:name, type:properties.type, status:properties.status}"

Foundry 프로젝트에서 기본 에이전트를 만들고 실행하여 에이전트 연결을 테스트합니다. 에이전트가 성공적으로 완료되면 관리되는 네트워크가 제대로 작동합니다.

아웃바운드 규칙 관리

배포 후에는 아웃바운드 규칙을 추가, 업데이트, 나열 및 제거하여 관리되는 네트워크에서 연결할 수 있는 대상을 제어할 수 있습니다. 지원되는 아웃바운드 규칙 유형은 다음과 같습니다.

형식	설명	예제 대상
`fqdn`	정규화된 도메인 이름에 대한 아웃바운드 트래픽을 허용합니다.	`"*.openai.azure.com"`
`privateendpoint`	프라이빗 엔드포인트 규칙을 통해 아웃바운드 트래픽을 허용합니다.	프라이빗 엔드포인트 구성 JSON
`servicetag`	Azure 서비스 태그, 프로토콜 및 포트 범위에 대한 아웃바운드 트래픽을 허용합니다.	`'{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'`

Azure CLI
az-rest

FQDN 아웃바운드 규칙 만들기 또는 업데이트

FQDN 규칙을 사용하여 도메인 이름 또는 와일드카드 도메인에 대한 트래픽을 허용합니다.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type fqdn \
  --destination "*.openai.azure.com"

서비스 태그 아웃바운드 규칙 만들기 또는 업데이트

서비스 태그 규칙을 사용하여 특정 프로토콜 및 포트 범위에 대한 Azure 서비스 태그에 대한 트래픽을 허용합니다.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type servicetag \
  --destination '{"serviceTag":"Storage","protocol":"TCP","portRanges":"443"}'

프라이빗 엔드포인트 아웃바운드 규칙 만들기 또는 업데이트

프라이빗 엔드포인트 규칙을 사용하여 프라이빗 엔드포인트를 통해 Azure 리소스로의 트래픽을 허용합니다.

az cognitiveservices account managed-network outbound-rule set \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name} \
  --type privateendpoint \
  --destination '{"serviceResourceId":"/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.Storage/storageAccounts/{storage-name}","subresourceTarget":"blob"}'

일반적인 하위 리소스 대상에는 Azure Storage blob, Azure AI 검색 searchService, Azure Cosmos DB Sql, Azure Key Vault vault 등이 있습니다.

아웃바운드 규칙 목록을 나열합니다.

az cognitiveservices account managed-network outbound-rule list \
  --resource-group {resource-group} \
  --name {account-name}

아웃바운드 규칙 표시

az cognitiveservices account managed-network outbound-rule show \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

아웃바운드 규칙 대량 생성 또는 업데이트

YAML 또는 JSON 파일에서 여러 아웃바운드 규칙을 만들거나 업데이트하는 데 사용합니다 bulk-set .

az cognitiveservices account managed-network outbound-rule bulk-set \
  --resource-group {resource-group} \
  --name {account-name} \
  --file rules.yaml

아웃바운드 규칙 제거

az cognitiveservices account managed-network outbound-rule remove \
  --resource-group {resource-group} \
  --name {account-name} \
  --rule {rule-name}

ARM REST API를 사용하여 아웃바운드 규칙을 업데이트하려면 이 az rest 명령을 사용합니다. 다음 예제에서는 Azure Cosmos DB 리소스에 프라이빗 엔드포인트 아웃바운드 규칙을 만듭니다.

az rest --method PUT \
  --url "https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.CognitiveServices/accounts/{account-name}/managedNetworks/default/outboundRules/{rule-name}?api-version=2026-03-01" \
  --body '{
    "properties": {
      "type": "PrivateEndpoint",
      "destination": {
        "serviceResourceId": "/subscriptions/{subscription-id}/resourceGroups/{resource-group}/providers/Microsoft.DocumentDB/databaseAccounts/{cosmosdb-account-name}",
        "subresourceTarget": "Sql",
        "sparkEnabled": false
      }
    }
  }'

플레이스홀더를 사용자 환경에 맞는 값으로 교체하십시오. 다른 리소스 형식의 경우 serviceResourceId 및 subresourceTarget 값을 적절히 변경합니다. 일반적인 하위 리소스 대상에는 Azure Storage blob, Azure AI 검색 searchService, Azure Key Vault vault 등이 있습니다.

자세한 내용은 foundry 샘플 리포지토리의 아웃바운드 규칙 CLI 파일의 지침을 따르세요.

관리형 가상 네트워크 아웃바운드 규칙에 필요한 매개 변수에 대한 자세한 내용은 Microsoft 참조하세요. CognitiveServices/accounts/managedNetworks/outboundRules.

Azure Firewall 버전 선택

관리되는 가상 네트워크의 경우 승인된 아웃바운드만 허용 모드에서 아웃바운드 FQDN 규칙을 추가할 때 Azure Firewall 자동으로 프로비전됩니다.

기본 SKU는 방화벽의 표준입니다. 고급 기능이 필요하지 않은 경우 비용 절감을 위해 기본 SKU를 대신 선택할 수 있습니다. 가격 책정에 대한 자세한 내용은 가격 책정을 참조하세요. 배포 시 방화벽 SKU를 선택하면 배포 후에는 변경할 수 없습니다. 이 방화벽은 관리형 방화벽으로서, 테넌트에 속하지 않으며 사용자의 직접적인 관리 하에 있지 않습니다. 제어할 수 있는 유일한 설정은 방화벽 SKU입니다.

프라이빗 엔드포인트

관리형 가상 네트워크를 사용하도록 설정하면 에이전트가 공용 인터넷을 사용하지 않고 필요한 Azure 리소스에 안전하게 연결할 수 있도록 관리형 프라이빗 엔드포인트를 만들 수 있습니다. 이러한 프라이빗 엔드포인트는 관리되는 네트워크에서 스토리지, AI Search 및 Foundry 프로젝트에 사용되는 기타 종속성과 같은 서비스로 격리된 개인 IP 기반 연결을 제공합니다. 고객 관리형 가상 네트워크와 달리 Foundry의 관리형 프라이빗 엔드포인트는 고객에게 네트워크 인터페이스 또는 서브넷 구성을 노출하지 않습니다. 개인 IP 기반 연결은 Microsoft 완전히 관리되며 고객의 구독에서 NIC로 표시되지 않습니다.

다음 리소스는 관리되는 네트워크의 프라이빗 엔드포인트를 지원합니다. CLI를 사용하여 프라이빗 엔드포인트를 만들어야 합니다.

Microsoft Foundry(AI Services)
Azure Application Gateway(L4 또는 L7 트래픽을 사용하여 온-프레미스 리소스에 연결)
Azure API Management(VNet 삽입이 없는 클래식 계층 및 가상 네트워크 통합을 사용하는 표준 V2 계층만 지원)
Azure AI 검색
Azure 컨테이너 레지스트리
Azure Cosmos DB
Azure Data Factory
Azure Database for MariaDB (Azure의 MariaDB 데이터베이스)
Azure Database for MySQL (Azure의 MySQL용 데이터베이스)
Azure Database for PostgreSQL 단일 서버
Azure Database for PostgreSQL 유연한 서버
Azure Databricks
Azure Event Hubs
Azure Key Vault
Azure Machine Learning
Azure Cache for Redis - Redis용 클라우드 캐시 솔루션
Azure SQL Server
Azure Storage
Azure 애플리케이션 Insights (Azure Monitor Private Link 범위를 통해)

Foundry 관리형 가상 네트워크에서 고객 소유 대상 리소스로 관리되는 프라이빗 엔드포인트를 만들 때 Foundry 리소스의 관리 ID 는 해당 대상 리소스에 대한 올바른 권한이 있어야 프라이빗 엔드포인트 연결을 만들고 승인할 수 있습니다. 이 요구 사항은 Foundry가 리소스에 대한 안전한 프라이빗 링크를 설정할 수 있는 명시적으로 권한을 부여받도록 합니다.

이 요구 사항을 간소화하려면 Azure AI Enterprise Network Connection Approver 역할(역할 ID: b556d68e-0be0-4f35-a333-ad7ee1ce17ea)을 Foundry 계정의 관리 ID에 할당합니다. 이 역할에는 가장 일반적으로 사용되는 Azure 서비스에 필요한 권한이 포함되며 일반적으로 Foundry가 사용자 대신 프라이빗 엔드포인트를 만들고 승인할 수 있는 충분한 액세스 권한을 제공합니다. 연결을 승인하면 Foundry는 프라이빗 엔드포인트를 완전히 관리하며 추가 고객 구성이 필요하지 않습니다.

필수 아웃바운드 규칙

관리되는 가상 네트워크의 승인된 아웃바운드 모드에서 에이전트 서비스와 같은 기능에 대해 몇 가지 필수 아웃바운드 규칙이 만들어집니다. 여기에는 다음이 포함됩니다.

Cosmos DB 리소스에 대한 프라이빗 엔드포인트
스토리지 계정에 대한 프라이빗 엔드포인트
인공지능 검색 리소스에 대한 비공개 엔드포인트
ServiceTag에서 AzureActiveDirectory로
ServiceTag에서 AzureMachineLearning으로(평가 카탈로그용)

시나리오별 아웃바운드 규칙

승인된 아웃바운드 모드에서 관리되는 가상 네트워크를 사용하여 Foundry를 배포하는 경우 송신 트래픽이 허용되는지 확인하기 위해 다음 아웃바운드 FQDN 규칙을 추가해야 할 수 있습니다. 다음은 Foundry의 시나리오 또는 기능에 따라 아웃바운드 규칙을 만드는 신뢰할 수 있는 FQDN(정규화된 도메인 이름) 목록입니다.

시나리오	FQDNs	설명
에이전트	`.identity.azure.net`, `login.microsoftonline.com`, `.login.microsoftonline.com` 또는 `*.login.microsoft.com`, `mcr.microsoft.com` AAD 서비스 태그	에이전트 서비스에 대한 Azure 컨테이너 앱 위임에 필요합니다. 컨테이너 이미지 끌어오기용 Microsoft Container Registry를 포함합니다.
Application Insights 리소스를 사용한 평가 및 추적	`settings.sdk.monitor.azure.com`, `.livediagnostics.monitor.azure.com`, `.in.applicationinsights.azure.com`	평가자 카탈로그와 연결된 Application Insights 리소스로 결과를 보내는 데 사용됩니다.
미세 조정	`raw.githubusercontent.com`	사용자가 Foundry 포털에서 큐레이팅된 샘플 데이터 세트를 선택하는 경우 미세 조정에 사용됩니다.

가격

Foundry 관리형 가상 네트워크 기능은 무료입니다. 그러나 관리되는 가상 네트워크에서 사용하는 다음 리소스에 대한 요금이 청구됩니다.

Azure Private Link - 솔루션은 관리되는 가상 네트워크와 Azure 리소스 간의 통신을 보호하는 프라이빗 엔드포인트에 대한 Azure Private Link 사용합니다. 가격 책정에 대한 자세한 내용은 Azure Private Link 가격 책정 참조하세요.
FQDN 아웃바운드 규칙 - Azure Firewall 사용하여 FQDN 아웃바운드 규칙을 구현합니다. 아웃바운드 FQDN 규칙을 사용하는 경우 청구에 Azure Firewall 대한 요금을 추가합니다. 표준 버전의 Azure Firewall 기본적으로 사용됩니다. 기본 버전을 선택할 수 있습니다. 방화벽은 아웃바운드 FQDN 규칙을 추가할 때까지 만들어지지 않습니다.

Azure 가격 책정에 대한 자세한 내용은 Private Link 가격 책정 및 Azure Firewall 가격 책정 참조하세요.

관리형 및 사용자 지정(BYO) 네트워크 비교

엔터프라이즈의 네트워킹 요구 사항 및 제한 사항에 따라 적합한 아웃바운드 네트워크 격리 모드를 선택합니다.

양상	관리되는 네트워크	BYO(사용자 지정) 네트워크
혜택	Microsoft 서브넷 범위, IP 선택, 위임을 처리합니다.	모든 권한: 사용자 지정 방화벽 가져오기, 사용자 정의 경로 설정, 네트워크 피어링, 서브넷 위임
제한	승인된 아웃바운드만 허용하도록 자체 방화벽을 가져올 수 없습니다. 안전한 온-프레미스(Application Gateway의 L7 및 L4 트래픽 지원)를 위한 Application Gateway가 필요합니다. 아웃바운드 트래픽 지원의 로깅은 아직 없습니다.	더 복잡한 설정에는 Azure Container Apps에 대한 서브넷 위임과 같은 것이 포함됩니다. 올바른 CapHost 만들기가 필요합니다. 공용 또는 CGNAT IP 주소 범위가 허용되지 않는 프라이빗 클래스 A, B 및 C가 필요합니다. 에이전트 위임을 위해 최소 /27 서브넷이 필요합니다.

에이전트에 대한 가상 네트워크 삽입 설정 및 제한 사항에 대한 자세한 내용은 에이전트에 대한 사용자 지정 가상 네트워크 구성을 참조하세요.

리소스 정리

관리되는 가상 네트워크 Foundry 리소스를 정리하려면 Foundry 리소스를 삭제합니다. 이 작업은 관리되는 가상 네트워크도 삭제합니다.

문제 해결

CapHost 만들기 실패
- 결함이 있는 CapHost 리소스를 삭제하고 템플릿을 다시 배포합니다.
FQDN 규칙이 적용되지 않음
- 방화벽 SKU가 프로비전되었는지 확인하고 포트가 80 또는 443으로 제한되는지 확인합니다.
프라이빗 엔드포인트 충돌
- 서비스 엔드포인트 구성을 제거하고 프라이빗 엔드포인트만 사용합니다.

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-05-12