إنشاء نقطة نهاية خاصة لاتصال آمن ب Azure الذكاء الاصطناعي Search

  • مقالة

في هذه المقالة، تعرف على كيفية تكوين اتصال خاص ب Azure الذكاء الاصطناعي Search بحيث يقبل الطلبات من العملاء في شبكة ظاهرية بدلا من الاتصال بالإنترنت العام:

تتضمن موارد Azure الأخرى التي قد تتصل بشكل خاص ب Azure الذكاء الاصطناعي Search Azure OpenAI لسيناريوهات "استخدام بياناتك الخاصة". لا يعمل Azure OpenAI Studio في شبكة ظاهرية، ولكن يمكن تكوينه على الواجهة الخلفية لإرسال الطلبات عبر شبكة Microsoft الأساسية. يتم تمكين التكوين لنمط حركة المرور هذا بواسطة Microsoft عند إرسال طلبك والموافقة عليه. لهذا السيناريو:

  • اتبع الإرشادات الواردة في هذه المقالة لإعداد نقطة النهاية الخاصة.
  • أرسل طلبا ل Azure OpenAI Studio للاتصال باستخدام نقطة النهاية الخاصة بك.
  • اختياريا، قم بتعطيل الوصول إلى الشبكة العامة إذا كان يجب أن تنشأ الاتصالات فقط من العملاء في الشبكة الظاهرية أو من Azure OpenAI عبر اتصال نقطة نهاية خاصة.

النقاط الرئيسية حول نقاط النهاية الخاصة

يتم توفير نقاط النهاية الخاصة بواسطة Azure Private Link، كخدمة منفصلة قابلة للفوترة. لمزيد من المعلومات حول التكاليف، راجع صفحة التسعير.

بمجرد أن تحتوي خدمة البحث على نقطة نهاية خاصة، يجب بدء وصول المدخل إلى تلك الخدمة من جلسة مستعرض على جهاز ظاهري داخل الشبكة الظاهرية. راجع هذه الخطوة للحصول على التفاصيل.

يمكنك إنشاء نقطة نهاية خاصة لخدمة بحث في مدخل Microsoft Azure، كما هو موضح في هذه المقالة. بدلا من ذلك، يمكنك استخدام إصدار Management REST API أو Azure PowerShell أو Azure CLI.

لماذا تستخدم نقطة نهاية خاصة؟

تسمح نقاط النهاية الخاصة ل Azure الذكاء الاصطناعي Search للعميل على شبكة ظاهرية بالوصول بأمان إلى البيانات في فهرس بحث عبر ارتباط خاص. تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان الشبكة الظاهرية لخدمة البحث. تنتقل نسبة استخدام الشبكة بين العميل وخدمة البحث عبر الشبكة الظاهرية ورابط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض من الإنترنت العام. للحصول على قائمة بخدمات PaaS الأخرى التي تدعم Private Link، تحقق من قسم التوفر في وثائق المنتج.

تمكنك نقاط النهاية الخاصة لخدمة البحث من:

  • حظر كافة الاتصالات على نقطة النهاية العامة لخدمة البحث.
  • زيادة الأمان للشبكة الظاهرية، عن طريق تمكينك من حظر النقل غير المصرح به للبيانات من الشبكة الظاهرية.
  • الاتصال بأمان بخدمة البحث من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام VPN أو ExpressRoutes مع نظير خاص.

إنشاء شبكة ظاهرية

في هذا القسم، ستقوم بإنشاء شبكة ظاهرية وشبكة فرعية لاستضافة الجهاز الظاهري الذي سيتم استخدامه للوصول إلى نقطة النهاية الخاصة لخدمة البحث.

  1. من علامة التبويب الصفحة الرئيسية لمدخل Microsoft Azure، حدد Create a resource>Networking>Virtual network.

  2. في إنشاء شبكة ظاهرية، أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد حدد Create new، وأدخل اسما، مثل "myResourceGroup"، ثم حدد OK.
    الاسم أدخل اسما، مثل "MyVirtualNetwork".
    المنطقة حدد المنطقة.

  3. وافق على الإعدادات الافتراضية لبقية الحقول. حدد "Review + create" ثم "Create".

إنشاء خدمة بحث بنقطة نهاية خاصة

في هذا القسم، ستقوم بإنشاء الذكاء الاصطناعي خدمة البحث Azure جديد بنقطة نهاية خاصة.

  1. في الجانب العلوي الأيسر من الشاشة في مدخل Microsoft Azure، حدد Create a resource>Web>Azure الذكاء الاصطناعي Search.

  2. في New Search Service - Basics، أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد استخدم مجموعة الموارد التي قمت بإنشائها في الخطوة السابقة.
    تفاصيل المثيل
    عنوان URL أدخل اسمًا فريدًا.
    ‏‏الموقع حدد منطقتك.
    مستوى الأسعار حدد تغيير مستوى التسعير واختر مستوى الخدمة المطلوب. نقاط النهاية الخاصة غير مدعومة على المستوى المجاني . يجب تحديد أساسي أو أعلى.

  3. حدد Next: Scale.

  4. اقبل الإعدادات الافتراضية وحدد " Next: Networking".

  5. في New Search Service - Networking، حدد Private ل Endpoint connectivity(data).

  6. حدد + إضافة ضمن نقطة النهاية الخاصة.

  7. في إنشاء نقطة نهاية خاصة، أدخل القيم التي تربط خدمة البحث بالشبكة الظاهرية التي أنشأتها أو حددها:

    الإعداد القيمة‬
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد استخدم مجموعة الموارد التي قمت بإنشائها في الخطوة السابقة.
    ‏‏الموقع حدد المنطقة.
    الاسم أدخل اسما، مثل "myPrivateEndpoint".
    مصدر الهدف الفرعي اقبل searchService الافتراضي.
    الشبكات
    الشبكة الظاهرية حدد الشبكة الظاهرية التي أنشأتها في الخطوة السابقة.
    الشبكة الفرعية حدد الإعدادات الافتراضية.
    تكامل DNS الخاص
    التكامل مع منطقة DNS الخاصة اقبل "نعم" الافتراضي.
    منطقة DNS خاصة اقبل privatelink.search.windows.net الافتراضي (جديد).

  8. حدد موافق.

  9. حدد "Review + create". سوف تُنقل إلى صفحة مراجعة + إنشاء حيث يتحقق Azure من صحة التكوين الخاص بك.

  10. عندما ترى رسالة تم التحقق من الصحة، حدد إنشاء.

  11. بمجرد اكتمال توفير الخدمة الجديدة، استعرض وصولا إلى المورد الذي قمت بإنشائه.

  12. حدد Keys من قائمة المحتوى الأيسر.

  13. انسخ مفتاح المسؤول الأساسي لاحقا، عند الاتصال بالخدمة.

إنشاء جهاز ظاهري

  1. في الجانب الأيسر العلوي من الشاشة في بوابة Azure، حدد إنشاء مورد > حساب > آلة ظاهرية .

  2. في Create a virtual machine - Basics، أدخل القيم التالية أو حددها:

    الإعداد القيمة‬
    تفاصيل المشروع
    الاشتراك حدد Subscription الخاص بك.
    مجموعة الموارد استخدم مجموعة الموارد التي قمت بإنشائها في القسم السابق.
    تفاصيل المثيل
    اسم الجهاز الظاهري أدخل اسما، مثل "my-vm".
    المنطقة حدد منطقتك.
    خيارات التوفر يمكنك اختيار عدم الحاجة إلى تكرار البنية الأساسية، أو تحديد خيار آخر إذا كنت بحاجة إلى الوظيفة.
    الصورة حدّد "Windows Server 2022 Datacenter: Azure Edition - Gen2".
    بنية الجهاز الظاهري اقبل x64 الافتراضي.
    الحجم اقبل الإصدار 3 من Standard D2S الافتراضي.
    حساب المسؤول
    اسم مستخدم أدخل اسم المستخدم للمسؤول. استخدم حسابا صالحا لاشتراك Azure الخاص بك. ستحتاج إلى تسجيل الدخول إلى مدخل Microsoft Azure من الجهاز الظاهري بحيث يمكنك إدارة خدمة البحث.
    كلمة المرور أدخل كلمة مرور الحساب. يجب أن تتكون كلمة المرور من 12 حرفًا على الأقل وأن تلبي متطلبات التعقيد المحددة.
    تأكيد كلمة المرور اعادة ادخال كلمة السر.
    قواعد المنفذ الداخلي
    المنافذ العامة الواردة اقبل الإعداد الافتراضي السماح بالمنافذ المحددة.
    حدد المنافذ الداخلية اقبل RDP الافتراضي (3389).

  3. حدد التالي: الأقراص .

  4. في Create a virtual machine - Disks، اقبل الإعدادات الافتراضية وحدد Next: Networking.

  5. في Create a virtual machine - Networking، قم بتوفير القيم التالية:

    الإعداد القيمة‬
    الشبكة الظاهرية حدد الشبكة الظاهرية التي أنشأتها في خطوة سابقة.
    الشبكة الفرعية اقبل الإعداد الافتراضي (10.1.0.0/24).
    المجموعة الأمنية للشبكة NIC قبول "أساسي" الافتراضي
    عنوان IP عام اقبل الافتراضي "(new) myVm-ip".
    المنافذ العامة الواردة حدد الافتراضي "السماح بالمنافذ المحددة".
    حدد المنافذ الداخلية حدد "HTTP 80" و"HTTPS (443)" و"RDP (3389)".

    إشعار

    يمكن التعبير عن عناوين IPv4 بتنسيق CIDR . تذكر تجنب نطاق IP المحجوز للشبكات الخاصة، كما هو موضح في RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. حدد Review + create للتحقق من الصحة.

  7. عندما ترى رسالة تم التحقق من الصحة، حدد إنشاء.

الاتصال بـVM

قم بتنزيل الجهاز الظاهري ثم الاتصال به كما يلي:

  1. في شريط البحث الخاص بالمدخل، ابحث عن الجهاز الظاهري الذي تم إنشاؤه في الخطوة السابقة.

  2. حدد اتصال. بعد تحديد زر Connect، يتم فتح الاتصال إلى الجهاز الظاهري.

  3. حدد Download RDP File. يقوم Azure بإنشاء ملف بروتوكول سطح المكتب البعيد (.rdp) وتنزيله على الكمبيوتر الخاص بك.

  4. افتح الملف الذي تم تنزيله .rdp .

    1. إذا تمت المطالبة، فحدد Connect.

    2. أدخل اسم المستخدم ورمز الوصول اللذين حددتهما عند إنشاء الجهاز الظاهري.

      إشعار

      قد تحتاج إلى تحديد المزيد من الخياراتاستخدم >حسابًا مختلفًا، لتحديد بيانات الاعتماد التي أدخلتها عند إنشاء الجهاز الظاهري.

  5. حدد موافق.

  6. قد تتلقى تحذير مصادقة أثناء عملية تسجيل الدخول. إذا تلقيت شهادة تحذير، فحدد "Yes" أو "Continue".

  7. بمجرد ظهور سطح مكتب الخاص بالجهاز الظاهري، قم بتصغيره للعودة إلى سطح المكتب المحلي.

اختبار التوصيلات

في هذا القسم، ستتحقق من وصول الشبكة الخاصة إلى خدمة البحث وتتصل بشكل خاص باستخدام نقطة النهاية الخاصة.

عندما تكون نقطة نهاية خدمة البحث خاصة، يتم تعطيل بعض ميزات المدخل. ستتمكن من عرض إعدادات مستوى الخدمة وإدارتها، ولكن يتم تقييد وصول المدخل إلى بيانات الفهرس والمكونات الأخرى المختلفة في الخدمة، مثل الفهرس والمفهرس وتعريفات مجموعة المهارات، لأسباب أمنية.

  1. في سطح المكتب البعيد الخاص بـ myVM، افتح PowerShell.

  2. أدخل nslookup [search service name].search.windows.net.

    ستتلقى رسالة مشابهة لهذه النتائج:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. من الجهاز الظاهري، اتصل بخدمة البحث وأنشئ فهرسا. يمكنك اتباع هذا التشغيل السريع لإنشاء فهرس بحث جديد في الخدمة باستخدام واجهة برمجة تطبيقات REST. يتطلب إعداد الطلبات من أداة اختبار واجهة برمجة تطبيقات الويب نقطة نهاية خدمة البحث (https://[اسم خدمة البحث].search.windows.net) ومفتاح واجهة برمجة تطبيقات المسؤول الذي نسخته في خطوة سابقة.

  4. إكمال التشغيل السريع من الجهاز الظاهري هو تأكيدك على أن الخدمة تعمل بشكل كامل.

  5. أغلق اتصال سطح المكتب البعيد بالجهاز الظاهري myVM.

  6. للتحقق من عدم إمكانية الوصول إلى الخدمة على نقطة نهاية عامة، افتح عميل REST على محطة العمل المحلية وحاول تنفيذ المهام المتعددة الأولى في التشغيل السريع. إذا تلقيت خطأ بأن الخادم البعيد غير موجود، فقد قمت بتكوين نقطة نهاية خاصة لخدمة البحث بنجاح.

استخدام مدخل Microsoft Azure للوصول إلى خدمة بحث خاصة

عندما تكون نقطة نهاية خدمة البحث خاصة، يتم تعطيل بعض ميزات المدخل. يمكنك عرض معلومات مستوى الخدمة وإدارتها، ولكن يتم إخفاء معلومات الفهرس والمفهرس ومجموعة المهارات لأسباب أمنية.

للتغلب على هذا التقييد، اتصل بمدخل Azure من مستعرض على جهاز ظاهري داخل الشبكة الظاهرية. يستخدم المدخل نقطة النهاية الخاصة على الاتصال ويمنحك رؤية للمحتوى والعمليات.

  1. اتبع الخطوات لتوفير جهاز ظاهري يمكنه الوصول إلى خدمة البحث من خلال نقطة نهاية خاصة.

  2. على جهاز ظاهري في شبكتك الظاهرية، افتح مستعرضا وسجل الدخول إلى مدخل Microsoft Azure. سيستخدم المدخل نقطة النهاية الخاصة المرفقة بالجهز الظاهري للاتصال بخدمة البحث.

تعطيل الوصول إلى الشبكة العامة

يمكنك تأمين خدمة بحث لمنعها من قبول أي طلب من الإنترنت العام. يمكنك استخدام مدخل Microsoft Azure لهذه الخطوة.

  1. في مدخل Microsoft Azure، في الجزء الموجود في أقصى اليسار من صفحة خدمة البحث، حدد Networking.

  2. حدد معطل في علامة التبويب جدران الحماية والشبكات الظاهرية .

يمكنك أيضا استخدام Azure CLI أو Azure PowerShell أو Management REST API، أو public-network-access إلى public-accessdisabled.

تنظيف الموارد

عندما تعمل على اشتراكك الخاص، من الأفضل أن تُحدد في نهاية المشروع ما إذا كنت لا تزال بحاجة إلى الموارد التي أنشأتها أو لا. الموارد المتبقية قيد التشغيل يمكن أن تكلفك المال.

يمكنك حذف الموارد الفردية أو مجموعة الموارد لحذف كل شيء قمت بإنشائه في هذا التمرين. حدد مجموعة الموارد في صفحة نظرة عامة على أي مورد، ثم حدد حذف.

الخطوات التالية

في هذه المقالة، قمت بإنشاء جهاز ظاهري على شبكة ظاهرية وخدمة بحث مع نقطة نهاية خاصة. لقد قمت بالاتصال بالجهاز الظاهري من الإنترنت وتم توصيلك بأمان إلى خدمة البحث باستخدام Private Link. لمعرفة المزيد حول نقطة النهاية الخاصة، راجع ما هي نقطة النهاية الخاصة Azure؟.