إنشاء نقطة نهاية خاصة لاتصال آمن ب Azure الذكاء الاصطناعي Search

توضح هذه المقالة كيفية تكوين اتصال خاص ب Azure الذكاء الاصطناعي Search بحيث يقبل الطلبات من العملاء في شبكة ظاهرية بدلا من الاتصال بالإنترنت العام:

• إنشاء شبكة Azure ظاهرية، أو استخدام شبكة موجودة
• تكوين خدمة بحث لاستخدام نقطة نهاية خاصة
• إنشاء جهاز ظاهري Azure (عميل) في نفس الشبكة الظاهرية
• اختبار باستخدام جلسة مستعرض على الجهاز الظاهري

تتضمن موارد Azure الأخرى التي قد تتصل بشكل خاص ب Azure الذكاء الاصطناعي Search Azure OpenAI لسيناريوهات "استخدام بياناتك الخاصة". لا يعمل Azure الذكاء الاصطناعي Foundry في شبكة ظاهرية، ولكن يمكن تكوينه على الخلفية لإرسال الطلبات عبر شبكة Microsoft الأساسية. يتم تمكين التكوين لنمط حركة المرور هذا بواسطة Microsoft عند إرسال طلبك والموافقة عليه. لهذا السيناريو:

• اتبع الإرشادات الواردة في هذه المقالة لإعداد نقطة النهاية الخاصة.
• تمكين الخدمة الموثوق بها لمورد البحث من مدخل Microsoft Azure.
• اختياريا، قم بتعطيل الوصول إلى الشبكة العامة إذا كان يجب أن تنشأ الاتصالات فقط من العملاء في الشبكة الظاهرية أو من Azure OpenAI عبر اتصال نقطة نهاية خاصة.

النقاط الرئيسية حول نقاط النهاية الخاصة

يتم توفير نقاط النهاية الخاصة بواسطة Azure Private Link، كخدمة منفصلة قابلة للفوترة. لمزيد من المعلومات حول التكاليف، راجع تسعير Azure Private Link.

بمجرد أن تحتوي خدمة البحث على نقطة نهاية خاصة، يجب بدء وصول المدخل إلى تلك الخدمة من جلسة مستعرض على جهاز ظاهري داخل الشبكة الظاهرية. راجع هذه الخطوة للحصول على التفاصيل.

يمكنك إنشاء نقطة نهاية خاصة لخدمة بحث في مدخل Microsoft Azure، كما هو موضح في هذه المقالة. بدلا من ذلك، يمكنك استخدام Management REST API أو Azure PowerShell أو Azure CLI.

لماذا تستخدم نقطة نهاية خاصة؟

تسمح نقاط النهاية الخاصة ل Azure الذكاء الاصطناعي Search للعميل على شبكة ظاهرية بالوصول بأمان إلى البيانات في فهرس بحث عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان الشبكة الظاهرية لخدمة البحث. تنتقل نسبة استخدام الشبكة بين العميل وخدمة البحث عبر الشبكة الظاهرية ورابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض من الإنترنت العام. للحصول على قائمة بخدمات PaaS الأخرى التي تدعم Private Link، تحقق من قسم التوفر في وثائق المنتج.

تسمح لك نقاط النهاية الخاصة لخدمة البحث بما يلي:

• حظر كافة الاتصالات على نقطة النهاية العامة لخدمة البحث.
• زيادة الأمان للشبكة الظاهرية، عن طريق السماح لك بحظر النقل غير المصرح به للبيانات من الشبكة الظاهرية.
• الاتصال بأمان بخدمة البحث من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام VPN أو ExpressRoutes مع نظير خاص.

إنشاء شبكة ظاهرية

في هذا القسم، يمكنك إنشاء شبكة ظاهرية وشبكة فرعية لاستضافة الجهاز الظاهري الذي سيتم استخدامه للوصول إلى نقطة النهاية الخاصة بخدمة البحث.

1. من علامة التبويب الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource>>Virtual network.

2. في إنشاء شبكة ظاهرية، أدخل القيم التالية أو حددها:

   الإعداد	قيمة
   الاشتراك	تحديد اشتراكك
   مجموعة الموارد	حدد Create new، وأدخل اسما، مثل myResourceGroup، ثم حدد OK
   اسم	أدخل اسما، مثل MyVirtualNetwork
   المنطقة	حدد منطقة

3. وافق على الإعدادات الافتراضية لبقية الحقول. حدد "Review + create" ثم "Create".

إنشاء خدمة بحث بنقطة نهاية خاصة

في هذا القسم، يمكنك إنشاء خدمة Azure الذكاء الاصطناعي Search جديدة بنقطة نهاية خاصة.

1. في الجانب العلوي الأيسر من الشاشة في مدخل Microsoft Azure، حدد Create a resource>الذكاء الاصطناعي + machine learning>الذكاء الاصطناعي Search.

2. في Create a search service - Basics، أدخل القيم التالية أو حددها:

   الإعداد	قيمة
   تفاصيل المشروع
   الاشتراك	تحديد اشتراكك
   مجموعة الموارد	استخدام مجموعة الموارد التي قمت بإنشائها في الخطوة السابقة
   تفاصيل المثيل
   عنوان URL	أدخل اسماً فريداً
   مكان	تحديد منطقتك
   مستوى الأسعار	حدد تغيير مستوى التسعير واختر مستوى الخدمة المطلوب. نقاط النهاية الخاصة غير مدعومة على المستوى المجاني . يجب تحديد أساسي أو أعلى.

3. حدد Next: Scale.

4. اقبل الإعدادات الافتراضية وحدد " Next: Networking".

5. في Create a search service - Networking، حدد Private for Endpoint connectivity (data).

6. حدد + إضافة ضمن نقطة النهاية الخاصة.

7. في إنشاء نقطة نهاية خاصة، أدخل القيم التي تربط خدمة البحث بالشبكة الظاهرية التي أنشأتها أو حددها:

   الإعداد	قيمة
   الاشتراك	تحديد اشتراكك
   مجموعة الموارد	استخدام مجموعة الموارد التي قمت بإنشائها في الخطوة السابقة
   مكان	حدد منطقة
   اسم	أدخل اسما، مثل myPrivateEndpoint
   مصدر الهدف الفرعي	قبول searchService الافتراضي
   الشبكات
   الشبكة الظاهرية	حدد الشبكة الظاهرية التي أنشأتها في الخطوة السابقة
   الشبكه الفرعيه	حدد الإعداد الافتراضي
   تكامل DNS الخاص
   تمكين تكامل DNS الخاص	تحديد خانة الاختيار
   منطقة DNS خاصة	قبول privatelink.search.windows.net الافتراضي (جديد)

8. حدد إضافة.

9. حدد "Review + create". سوف تُنقل إلى صفحة مراجعة + إنشاء حيث يتحقق Azure من صحة التكوين الخاص بك.

10. عندما ترى رسالة تم التحقق من الصحة، حدد إنشاء.

11. بمجرد اكتمال توفير الخدمة الجديدة، استعرض وصولا إلى المورد الذي قمت بإنشائه.

12. حدد Settings>Keys من قائمة المحتوى الأيسر.

13. انسخ مفتاح المسؤول الأساسي لاحقا، عند الاتصال بالخدمة.

إنشاء جهاز ظاهري

1. في الجانب الأيسر العلوي من الشاشة في بوابة Azure، حدد إنشاء مورد > حساب > آلة ظاهرية .

2. في Create a virtual machine - Basics، أدخل القيم التالية أو حددها:

   الإعداد	قيمة
   تفاصيل المشروع
   الاشتراك	تحديد اشتراكك
   مجموعة الموارد	استخدام مجموعة الموارد التي قمت بإنشائها في القسم السابق
   تفاصيل المثيل
   اسم الجهاز الظاهري	أدخل اسما، مثل my-vm
   المنطقة	تحديد منطقتك
   خيارات التوفر	يمكنك اختيار عدم الحاجة إلى تكرار البنية الأساسية، أو تحديد خيار آخر إذا كنت بحاجة إلى الوظيفة
   الصورة	حدد Windows Server 2022 Datacenter: Azure Edition - Gen2
   بنية الجهاز الظاهري	قبول x64 الافتراضي
   الحجم	قبول الإصدار 3 من Standard D2S الافتراضي
   حساب المسؤول
   اسم مستخدم	أدخل اسم المستخدم للمسؤول. استخدم حسابا صالحا لاشتراك Azure الخاص بك. سجل الدخول إلى مدخل Microsoft Azure من الجهاز الظاهري بحيث يمكنك إدارة خدمة البحث.
   كلمة المرور	أدخل كلمة مرور الحساب. يجب أن تتكون كلمة المرور من 12 حرفًا على الأقل وأن تلبي متطلبات التعقيد المحددة.
   تأكيد كلمة المرور	إعادة إدخال كلمة السر
   قواعد المنفذ الداخلي
   المنافذ العامة الواردة	قبول المنافذ الافتراضية السماح بالمنافذ المحددة
   حدد المنافذ الداخلية	قبول RDP الافتراضي (3389)

3. حدد التالي: الأقراص .

4. في Create a virtual machine - Disks، اقبل الإعدادات الافتراضية وحدد Next: Networking.

5. في Create a virtual machine - Networking، قم بتوفير القيم التالية:

   الإعداد	قيمة
   الشبكة الظاهرية	حدد الشبكة الظاهرية التي أنشأتها في خطوة سابقة
   الشبكه الفرعيه	قبول الافتراضي 10.1.0.0/24
   عنوان IP عام	قبول الإعداد الافتراضي
   المجموعة الأمنية للشبكة NIC	قبول الأساسي الافتراضي
   المنافذ العامة الواردة	حدد المنافذ الافتراضية السماح بالمنافذ المحددة
   حدد المنافذ الداخلية	حدد HTTP 80وHTTPS (443)وRDP (3389)

   ‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫مُلاحَظَة

   يمكن التعبير عن عناوين IPv4 بتنسيق CIDR . تذكر تجنب نطاق IP المحجوز للشبكات الخاصة، كما هو موضح في RFC 1918:

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. حدد Review + create للتحقق من الصحة.

7. عندما ترى رسالة تم التحقق من الصحة، حدد إنشاء.

الاتصال بـVM

قم بتنزيل الجهاز الظاهري ثم الاتصال به كما يلي:

1. في شريط البحث في مدخل Microsoft Azure، ابحث عن الجهاز الظاهري الذي تم إنشاؤه في الخطوة السابقة.

2. حدد Connect. بعد تحديد زر Connect، يتم فتح الاتصال إلى الجهاز الظاهري.

3. حدد Download RDP File. يعمل "Azure" على إنشاء ملف "Remote Desktop Protocol" (.rdp)وتنزيله إلى الكمبيوتر.

4. افتح ملف .rdp الذي تم تنزيله.

   1. إذا تمت المطالبة، فحدد Connect.

   2. أدخل اسم المستخدم ورمز الوصول اللذين حددتهما عند إنشاء الجهاز الظاهري.

      ‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫‏‫مُلاحَظَة

      قد تحتاج إلى تحديد "More choices">"Use a different account"، لتحديد بيانات الاعتماد التي أدخلتها عند إنشاء الجهاز الافتراضي.

5. حدد مُوافق.

6. قد تتلقى تحذيرًا بشأن الشهادة أثناء عملية تسجيل الدخول. إذا تلقيت شهادة تحذير، فحدد "Yes" أو "Continue".

7. بمجرد ظهور سطح مكتب الخاص بالجهاز الظاهري، قم بتصغيره للعودة إلى سطح المكتب المحلي.

اختبار التوصيلات

في هذا القسم، يمكنك التحقق من وصول الشبكة الخاصة إلى خدمة البحث والاتصال بشكل خاص باستخدام نقطة النهاية الخاصة.

عندما تكون نقطة نهاية خدمة البحث خاصة، يتم تعطيل بعض ميزات المدخل. يمكنك عرض إعدادات مستوى الخدمة وإدارتها، ولكن يتم تقييد وصول المدخل إلى بيانات الفهرس والمكونات الأخرى المختلفة في الخدمة، مثل الفهرس والمفهرس وتعريفات مجموعة المهارات، لأسباب أمنية.

1. في سطح المكتب البعيد الخاص بـ myVM، افتح PowerShell.

2. أدخل nslookup [search service name].search.windows.net.

   ستتلقى رسالة مشابهة لهذه النتائج:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. من الجهاز الظاهري، اتصل بخدمة البحث وأنشئ فهرسا. يمكنك اتباع هذا التشغيل السريع لإنشاء فهرس بحث جديد في الخدمة باستخدام واجهة برمجة تطبيقات REST. يتطلب إعداد الطلبات من أداة اختبار واجهة برمجة تطبيقات الويب نقطة (https://[search service name].search.windows.net) نهاية خدمة البحث ومفتاح api المسؤول الذي نسخته في خطوة سابقة.

4. إكمال التشغيل السريع من الجهاز الظاهري هو تأكيدك على أن الخدمة تعمل بشكل كامل.

5. أغلق اتصال سطح المكتب البعيد بالجهاز الظاهري myVM.

6. للتحقق من عدم إمكانية الوصول إلى الخدمة على نقطة نهاية عامة، افتح عميل REST على محطة العمل المحلية وحاول تنفيذ المهام المتعددة الأولى في التشغيل السريع. إذا تلقيت خطأ بأن الخادم البعيد غير موجود، فقم بتكوين نقطة نهاية خاصة لخدمة البحث بنجاح.

استخدام مدخل Microsoft Azure للوصول إلى خدمة بحث خاصة

عندما تكون نقطة نهاية خدمة البحث خاصة، يتم تعطيل بعض ميزات المدخل. يمكنك عرض معلومات مستوى الخدمة وإدارتها، ولكن يتم إخفاء معلومات الفهرس والمفهرس ومجموعة المهارات لأسباب أمنية.

للتغلب على هذا التقييد، اتصل بمدخل Azure من مستعرض على جهاز ظاهري داخل الشبكة الظاهرية. يستخدم مدخل Microsoft Azure نقطة النهاية الخاصة على الاتصال ويمنحك رؤية للمحتوى والعمليات.

1. اتبع الخطوات لتوفير جهاز ظاهري يمكنه الوصول إلى خدمة البحث من خلال نقطة نهاية خاصة.

2. على جهاز ظاهري في شبكتك الظاهرية، افتح مستعرضا وسجل الدخول إلى مدخل Microsoft Azure. يستخدم مدخل Microsoft Azure نقطة النهاية الخاصة المرفقة بالجهاز الظاهري للاتصال بخدمة البحث.

تعطيل الوصول إلى الشبكة العامة

يمكنك تأمين خدمة بحث لمنعها من قبول أي طلب من الإنترنت العام. يمكنك استخدام مدخل Microsoft Azure لهذه الخطوة.

1. في مدخل Microsoft Azure، في الجزء الموجود في أقصى اليسار من صفحة خدمة البحث، حدد Networking.

2. حدد معطل في علامة التبويب جدران الحماية والشبكات الظاهرية .

يمكنك أيضا استخدام Azure CLI أو Azure PowerShell أو Management REST API، عن طريق إعداد public-access أو public-network-access إلى disabled.

تنظيف الموارد

عندما تعمل على اشتراكك الخاص، من الأفضل أن تُحدد في نهاية المشروع ما إذا كنت لا تزال بحاجة إلى الموارد التي أنشأتها أو لا. الموارد المتبقية قيد التشغيل يمكن أن تكلفك المال.

يمكنك حذف الموارد الفردية أو مجموعة الموارد لحذف كل شيء قمت بإنشائه في هذا التمرين. حدد مجموعة الموارد في صفحة نظرة عامة على أي مورد، ثم حدد حذف.

الخطوة التالية

في هذه المقالة، قمت بإنشاء جهاز ظاهري على شبكة ظاهرية وخدمة بحث بنقطة نهاية خاصة. لقد قمت بالاتصال بالجهاز الظاهري من الإنترنت وتم توصيلك بأمان إلى خدمة البحث باستخدام Private Link. لمعرفة المزيد حول نقاط النهاية الخاصة، راجع ما هي نقطة النهاية الخاصة؟