1. Foundry·Codex 시나리오에서 흔한 “반쯤 성공” 패턴
포털에서 엔드포인트 테스트는 통과하는데 VS Code 확장의 인라인 제안만 실패하거나, 첫 토큰까지는 오고 이후 스트림이 끊기는 패턴은 2026년 현재 검색 러닝이 급격히 기업 망으로 기울면서 보고 빈도가 늘었습니다. 사용자 입장에서는 모두 “Codex가 불안정하다”로 읽히지만, Clash 연결 패널을 펼쳐 보면 *.openai.azure.com 과 login.microsoftonline.com·graph.microsoft.com 계열, 그리고 *.microsoft.com 정적 자산 호스트가 같은 밀리초대에 서로 다른 정책 이름으로 찍히는 경우가 많습니다. 한 줄만 국선 필터에 걸려 재전송 타이머가 길어지면 UI는 타임아웃으로 끊기고, 터미널에서 직접 친 REST 호출은 짧게 성공하는 식의 불일치가 생깁니다.
증상을 재현할 때는 브라우저 탭·다른 확장·백그라운드 동기화를 최소화하고 Codex 작업 하나만 남긴 뒤, 동일 시나리오를 두세 번 반복해 FQDN 목록의 공통분모를 적어 두는 편이 이후 규칙 설계 속도를 올립니다.
2. Azure OpenAI·Foundry 트래픽을 네 덩어리로 나누기
실무에서는 다음 네 축으로 먼저 나누면 로그 읽기가 단순해집니다. 첫째, 배포된 모델에 대한 추론·채팅 완료 API가 붙는 Azure OpenAI 리소스 엔드포인트입니다. 둘째, 구독·키·네트워킹·정책 UI를 여는 Azure Portal·Foundry 관련 관리 호스트 줄입니다. 셋째, CSS·JS·확장 아이콘·마켓 메타데이터처럼 브라우저와 Electron 런타임이 함께 쓰는 Azure CDN·마이크로소프트 CDN 계열입니다. 넷째, 디바이스 코드·브라우저 창을 왕복하는 login.microsoftonline.com·login.live.com 등 인증·토큰 교환 게이트입니다. 반프록시에서 이 중 일부만 우회 노드를 타면 TLS는 성공해도 후속 WebSocket·이벤트 스트림이 다른 출구로 틀어져 클라이언트가 중단한 것처럼 보일 수 있습니다.
팁. Azure 리소스 이름은 팀마다 다르지만 로그에 남는 호스트 접미사 패턴은 안정적입니다. 인터넷의 고정 도메인 목록을 통째로 붙여 넣기보다 본인 세션에서 실제로 찍힌 문자열을 기준으로 규칙을 만드세요.
3. VS Code 확장·런타임 경로
VS Code 는 Chromium 기반 렌더러와 Node 런타임을 함께 쓰므로, OS 시스템 프록시를 따르는 소켓과 마켓플레이스에서 내려받은 번들이 참조하는 다른 호스트가 한 화면 안에서 섞입니다. 확장이 백그라운드에서 작은 헬스 체크를 던질 때와 사용자가 긴 프롬프트를 보낼 때가 다른 FQDN 세트를 밟는 경우도 있어, “가벼운 질문은 되고 긴 컨텍스트만 실패”처럼 보이기도 합니다. Clash Verge 같이 빠르게 프록시/TUN을 바꿀 수 있는 클라이언트라면 같은 명령을 프록시 단일 모드와 TUN 추가 모드에서 각각 실행해 패널 diff를 비교하는 방법이 빠릅니다.
HTTP/3(QUIC) 줄이 섞이면 패널에 표시되는 이름과 실제 경로가 어긋날 수 있으므로, 브라우저 기반 로그인 단계가 끼어 있다면 크롬 쪽 절차를 Chrome·QUIC 실측 글 과 함께 점검하는 것도 도움이 됩니다.
4. Azure OpenAI 엔드포인트와 리전 일관성
Azure OpenAI 호출은 리전·리소스 이름이 URL에 박혀 나가며, 조직 정책상 특정 리전만 허용되는 경우가 많습니다. 규칙 파일 맨 아래의 넓은 GEOIP 가 개별 DOMAIN-SUFFIX,openai.azure.com 블록보다 위에 있으면 의도와 다르게 먼저 매칭되어 다른 노드로 나가기 쉽습니다. 반대로 모든 *.azure.com 을 한 그룹에 묶으면 스토리지·모니터링까지 함께 끌려와 체감 지연이 커질 수 있으므로, 로그에 반복 등장한 호스트만 작은 묶음으로 올리는 방식이 현실적입니다.
장시간 스트리밍 응답은 중간 프록시의 유휴 타임아웃과도 맞물립니다. 연결이 끊겼다가 곧바로 재시도하는 패턴이 보이면 노드 교체뿐 아니라 동일 정책 그룹 내 다른 서버로의 페일오버 설정도 함께 보세요.
5. 마이크로소프트 CDN·정적 자산 줄
문서·튜토리얼·UI 번들은 learn.microsoft.com·docs.microsoft.com·지역별 static 접미사로 퍼질 수 있습니다. Azure CDN 이라는 표현이 혼용되는 이유도, 실제 응답이 여러 엣지 이름으로 나뉘기 때문입니다. HTML은 빠른데 스크립트만 느리면 확장 패널이 반쯤 그려진 채 멈춘 것처럼 보입니다. 이때 다운로드 속도 자체보다 규칙 분기·SNI·중간 보안 장비와의 상호작용을 의심하는 편이 낫습니다.
대형 행사 시즌의 VS·Learn 트래픽 분기는 Build·Learn 실측 글 과 호스트가 겹칩니다. Codex 전용 규칙을 새로 만들 때 기존 “개발자 CDN” 묶음을 참고하면 중복 행을 줄일 수 있습니다.
6. 인증·조건부 액세스 줄
엔터프라이즈 계정으로 Microsoft Foundry 포털과 VS Code 를 같이 쓰면 브라우저 창과 디바이스 등록·토큰 갱신이 섞입니다. login.microsoftonline.com 만 직접 연결되고 나머지는 노드로 나가면 브라우저는 정상인데 확장만 401·403 루프에 빠지는 식입니다. 조건부 액세스가 특정 출구 IP를 요구한다면 “전부 우회”가 아니라 허용 범위 안에서 동일 출구를 맞추는 설계가 필요합니다.
주의. 보안 정책을 우회하라는 뜻이 아닙니다. IT에서 허용한 경로 안에서 장애 원인을 기술적으로 좁히는 절차로만 사용하세요.
7. DNS·fake-ip·분기 일치
Clash 의 DNS 모듈이 프록시와 다른 업스트림을 쓰거나, OS 수준 DoH가 우선하면 규칙에 적어 둔 DOMAIN 과 실제 소켓이 향하는 주소 세트가 달라질 수 있습니다. fake-ip 를 쓰는 환경에서는 정책을 바꾼 직후에도 캐시가 잠깐 남아 이전 출구가 이어지는 것처럼 보일 수 있어, 문제 재현 전 DNS 캐시를 비우거나 앱을 재시작하는 루틴을 고정해 두는 편이 좋습니다.
8. rules 상단 순서와 GEOIP 함정
흔한 실수는 넓은 GEOIP 나 MATCH 가 세부 규칙보다 위에 있는 경우입니다. 특히 “특정 국가 그룹으로 보내라”는 정책이 먼저 먹히면 Azure OpenAI 호스트 일부가 우회 없이 직접 연결로 떨어져 회사망 필터에 걸립니다. 규칙 공급자 파일을 여러 곳에서 합친 뒤에는 실제 로드 순서를 디버그 화면에서 한 번 확인하세요.
9. 시스템 프록시와 TUN, Clash Verge 실무
일부 네이티브 모듈은 시스템 프록시를 무시합니다. 이때 TUN 을 켜면 같은 머신의 출구를 한 계층에서 묶기 쉬운 반면, 다른 상시 VPN 스택과 경로가 겹치면 루프나 이중 NAT 처럼 보일 수 있습니다. Clash Verge 를 쓰는 팀은 “프록시만”“프록시+TUN” 두 베이스라인을 문서화해 두면 신규 입사자 온보딩 비용이 줄어듭니다. 전체 흐름은 TUN 모드 가이드 와 대조해 보세요.
실측 노트. 한 번에 바꾸는 변수는 하나로 제한하세요. TUN·브라우저 확장 프록시·회사 PAC·개인 VPN을 동시에 켜 두면 원인 추적이 거의 불가능해집니다.
10. 연결 로그로 검증하는 최소 절차
- 문제 작업 하나만 실행합니다.
- 패널에서 동시에 보이는 FQDN을 시간 순으로 캡처합니다.
- 각 이름 옆 정책(
DIRECT·프록시 그룹·REJECT)을 적습니다. - DNS 화면에서 같은 시각대의 질의를 대조합니다.
- 규칙 한 블록만 조정한 뒤 동일 절차를 반복합니다.
- 개선이 없으면 TUN·다른 VPN 공존 여부를 순서대로 바꿉니다.
동료에게 전달할 때는 스크린샷보다 호스트 문자열과 정책 이름 표가 재현에 유리합니다.
11. GitHub Copilot·공개 Codex 축과 무엇이 다른가
GitHub Copilot 이 Microsoft·GitHub 모델 API를 왕복할 때의 묶음은 마켓플레이스·github.com 줄이 강하게 끼어듭니다. 반면 이 글의 초점인 Microsoft Foundry·Azure OpenAI·GPT‑5.2‑Codex 는 테넌트 엔드포인트·Azure 관리 줄 비중이 더 큽니다. 증상 문구가 비슷해 보여도 규칙 세트를 그대로 복사하면 한 제품만 고쳐지고 다른 제품이 깨지는 일이 잦으니, 제품별로 얇은 규칙 파일을 층으로 쌓아 두는 편이 유지보수에 유리합니다.
12. 자주 묻는 질문
Q1. 공개 OpenAI Codex 절차를 그대로 쓰면 되나요?
부분적으로만 맞습니다. 공개망 실측은 OpenAI Codex 분류 글 의 api.openai.com 축이 중심입니다. Azure OpenAI 는 호스트·인증·조직 정책이 달라 규칙을 새로 수집해야 합니다.
Q2. Visual Studio 2022 위젯도 같은가요?
런타임과 확장 마켓 구조가 다릅니다. Visual Studio 설치기·워크로드 CDN 증상은 Build·VS 글 쪽이 더 가깝습니다.
Q3. Clash Verge를 꼭 써야 하나요?
아니요. 코어는 Mihomo 호환 설정이 같습니다. 다만 GUI 전환이 빨라 실측 루프는 짧아질 수 있습니다.
13. 조직망·컴플라이언스
회사 장비에서는 트래픽 분류 자체가 보안 정책에 속합니다. 내부 가이드와 충돌하지 않는 범위에서 장애 분석 목적으로만 적용하세요.
14. 정리
Microsoft Foundry·Azure OpenAI·GPT‑5.2‑Codex·VS Code 조합은 추론·관리 UI·마이크로소프트 CDN·인증 줄이 한 세션 안에서도 여러 갈래로 흩어집니다. 분류 규칙 과 DNS·TUN 을 연결 로그에 맞춰 정렬하면 “포털은 되는데 확장만 타임아웃” 같은 반프록시 증상을 빠르게 줄일 수 있습니다.
이때 전 구간을 하나의 상용 VPN으로만 통째로 우회하면 인증 IP 제한이나 감사 로그 요구와 충돌하기 쉽고, 브라우저 확장 프록시만 켜 두면 Electron 런타임 줄은 여전히 빗나가는 경우가 많습니다. 반면 Mihomo 기반 Clash 는 도메인 단위 정책·실시간 패널·TUN 까지 한 클라이언트에서 묶어 주어 Azure OpenAI 와 Foundry 체인을 단계적으로 안정화하기에 수월합니다. 동일한 목표라면 먼저 로그에 찍힌 FQDN을 모은 뒤 필요한 출구만 정돈하는 편이 노드 비용 대비 체감 개선이 큽니다. → 지금 무료로 Clash를 내려받아 같은 실측 루틴을 적용해 보세요.