Vytvoření privátního koncového bodu pro zabezpečené připojení k Azure AI Search

  • Článek

V tomto článku se dozvíte, jak nakonfigurovat privátní připojení ke službě Azure AI Search, aby přijímal požadavky klientů ve virtuální síti místo přes veřejné připojení k internetu:

Mezi další prostředky Azure, které se můžou soukromě připojit ke službě Azure AI Search, patří Azure OpenAI pro scénáře použití vlastních dat. Azure OpenAI Studio se nespouští ve virtuální síti, ale dá se nakonfigurovat v back-endu tak, aby odesílala požadavky přes páteřní síť Microsoftu. Konfigurace pro tento model provozu povolí Microsoft při odeslání a schválení vaší žádosti. Pro tento scénář:

  • Podle pokynů v tomto článku nastavte privátní koncový bod.
  • Odešlete žádost o azure OpenAI Studio pro připojení pomocí privátního koncového bodu.
  • Volitelně můžete zakázat přístup k veřejné síti, pokud by připojení měla pocházet pouze z klientů ve virtuální síti nebo z Azure OpenAI přes připojení privátního koncového bodu.

Klíčové body týkající se privátních koncových bodů

Privátní koncové body poskytuje Azure Private Link jako samostatnou fakturovatelnou službu. Další informace o nákladech najdete na stránce s cenami.

Jakmile má vyhledávací služba privátní koncový bod, musí být přístup k této službě inicializován z relace prohlížeče na virtuálním počítači uvnitř virtuální sítě. Podrobnosti najdete v tomto kroku .

Privátní koncový bod pro vyhledávací službu můžete vytvořit na webu Azure Portal, jak je popsáno v tomto článku. Alternativně můžete použít verzi rozhraní REST API pro správu, Azure PowerShell nebo Azure CLI.

Proč používat privátní koncový bod?

Privátní koncové body pro Azure AI Search umožňují klientovi ve virtuální síti zabezpečený přístup k datům v indexu vyhledávání přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro vaši vyhledávací službu. Síťový provoz mezi klientem a vyhledávací službou prochází přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu. Seznam dalších služeb PaaS, které podporují službu Private Link, najdete v části dostupnost v dokumentaci k produktu.

Privátní koncové body pro vaši vyhledávací službu umožňují:

  • Zablokujte všechna připojení ve veřejném koncovém bodu pro vaši vyhledávací službu.
  • Zvyšte zabezpečení virtuální sítě tím, že umožníte blokovat exfiltraci dat z virtuální sítě.
  • Bezpečně se připojte k vyhledávací službě z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo ExpressRoutes s privátním partnerským vztahem.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť a podsíť pro hostování virtuálního počítače, který se použije pro přístup k privátnímu koncovému bodu vyhledávací služby.

  1. Na kartě Domů webu Azure Portal vyberte Vytvořit virtuální síť sítě prostředků>>.

  2. V části Vytvořit virtuální síť zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte Vytvořit nový, zadejte název, například myResourceGroup, a pak vyberte OK.
    Název Zadejte název, například MyVirtualNetwork.
    Oblast Vyberte oblast.

  3. U ostatních nastavení přijměte výchozí hodnoty. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Vytvoření vyhledávací služby s privátním koncovým bodem

V této části vytvoříte novou Search Azure AI s privátním koncovým bodem.

  1. Na levé horní straně obrazovky na webu Azure Portal vyberte Vytvořit prostředek>webové>služby Azure AI Search.

  2. V nové vyhledávací službě – Základy zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    PODROBNOSTI PROJEKTU
    Předplatné Vyberte své předplatné.
    Skupina prostředků Použijte skupinu prostředků, kterou jste vytvořili v předchozím kroku.
    PODROBNOSTI O INSTANCI
    Adresa URL Zadejte jedinečný název.
    Umístění Vyberte svou oblast.
    Cenová úroveň Vyberte Změnit cenovou úroveň a zvolte požadovanou úroveň služby. Privátní koncové body nejsou na úrovni Free podporované. Musíte vybrat Základní nebo vyšší.

  3. Vyberte Další: Škálování.

  4. Přijměte výchozí hodnoty a vyberte Další: Sítě.

  5. V nové vyhledávací službě – Sítě vyberte privátní pro připojení koncového bodu (data).

  6. V části Privátní koncový bod vyberte + Přidat.

  7. V části Vytvořit privátní koncový bod zadejte nebo vyberte hodnoty, které přidružují vaši vyhledávací službu k virtuální síti, kterou jste vytvořili:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Použijte skupinu prostředků, kterou jste vytvořili v předchozím kroku.
    Umístění Vyberte oblast.
    Název Zadejte název, například myPrivateEndpoint.
    Cílový podsourc Přijměte výchozí vyhledávací službu.
    SÍTÍ
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili v předchozím kroku.
    Podsíť Vyberte výchozí hodnotu.
    INTEGRACE PRIVÁTNÍHO DNS
    Integrovat s privátní zónou DNS Přijměte výchozí hodnotu Ano.
    Zóna privátního DNS Přijměte výchozí privatelink.search.windows.net (Nový).

  8. Vyberte OK.

  9. Vyberte Zkontrolovat a vytvořit. Přejdete na stránku Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.

  10. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

  11. Po dokončení zřizování nové služby přejděte k vytvořenému prostředku.

  12. V nabídce levého obsahu vyberte klávesy .

  13. Zkopírujte primární klíč správce pro pozdější připojení ke službě.

Vytvoření virtuálního počítače

  1. Na levé horní straně obrazovky na webu Azure Portal vyberte Vytvořit výpočetní>virtuální počítač prostředku.>

  2. V části Vytvořit virtuální počítač – Základy zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    PODROBNOSTI PROJEKTU
    Předplatné Vyberte své předplatné.
    Skupina prostředků Použijte skupinu prostředků, kterou jste vytvořili v předchozí části.
    PODROBNOSTI O INSTANCI
    Virtual machine name Zadejte název, například "my-vm".
    Oblast Vyberte svou oblast.
    Možnosti dostupnosti Pokud potřebujete funkce, můžete zvolit možnost Bez redundance infrastruktury nebo vybrat jinou možnost.
    Image Vyberte Windows Server 2022 Datacenter: Azure Edition – Gen2.
    Architektura virtuálního počítače Přijměte výchozí x64.
    Velikost Přijměte výchozí standard D2S v3.
    ÚČET SPRÁVCE
    Username Zadejte uživatelské jméno správce. Použijte účet, který je platný pro vaše předplatné Azure. Z virtuálního počítače se budete chtít přihlásit k webu Azure Portal, abyste mohli spravovat vyhledávací službu.
    Heslo Zadejte heslo účtu. Heslo musí obsahovat nejméně 12 znaků a musí splňovat zadané požadavky na složitost.
    Potvrdit heslo Zadejte znovu heslo.
    PRAVIDLA PORTŮ PRO PŘÍCHOZÍ SPOJENÍ
    Veřejné příchozí porty Přijměte výchozí možnost Povolit vybrané porty.
    Vyberte příchozí porty Přijměte výchozí protokol RDP (3389).

  3. Vyberte Další: Disky.

  4. V části Vytvořit virtuální počítač – Disky přijměte výchozí hodnoty a vyberte Další: Sítě.

  5. V části Vytvořit virtuální počítač – Sítě zadejte následující hodnoty:

    Nastavení Hodnota
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili v předchozím kroku.
    Podsíť Přijměte výchozí hodnotu (10.1.0.0/24).
    Skupina zabezpečení sítě síťových adaptérů Přijměte výchozí hodnotu Basic.
    Veřejná IP adresa Přijměte výchozí "(nový) myVm-ip".
    Veřejné příchozí porty Vyberte výchozí možnost Povolit vybrané porty.
    Vyberte příchozí porty Vyberte HTTP 80, HTTPS (443) a RDP (3389).

    Poznámka:

    Adresy IPv4 se dají vyjádřit ve formátu CIDR . Nezapomeňte se vyhnout rozsahu IP adres vyhrazeným pro privátní sítě, jak je popsáno v dokumentu RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Vyberte Zkontrolovat a vytvořit pro ověření.

  7. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

Připojení k virtuálnímu počítači

Stáhněte a pak se připojte k virtuálnímu počítači následujícím způsobem:

  1. Na panelu hledání na portálu vyhledejte virtuální počítač vytvořený v předchozím kroku.

  2. Vyberte Připojit. Po výběru tlačítka Připojení se otevře Připojení k virtuálnímu počítači.

  3. Vyberte Stáhnout soubor RDP. Azure vytvoří soubor protokolu Remote Desktop Protocol (.rdp) a stáhne ho do počítače.

  4. Otevřete stažený .rdp soubor.

    1. Pokud se zobrazí výzva, vyberte Připojit.

    2. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

      Poznámka:

      Možná budete muset vybrat Další volby>Použít jiný účet, abyste zadali přihlašovací údaje, které jste zadali při vytváření virtuálního počítače.

  5. Vyberte OK.

  6. Během procesu přihlášení se může zobrazit upozornění certifikátu. Pokud se zobrazí upozornění na certifikát, vyberte Ano nebo Pokračovat.

  7. Jakmile se zobrazí plocha virtuálního počítače, minimalizujte ji, abyste se vrátili na místní plochu.

Testování připojení

V této části ověříte privátní síťový přístup k vyhledávací službě a privátní připojení k použití privátního koncového bodu.

Pokud je koncový bod vyhledávací služby privátní, některé funkce portálu jsou zakázané. Budete moct zobrazit a spravovat nastavení na úrovni služeb, ale přístup portálu k datům indexu a různým dalším komponentám služby, jako je index, indexer a definice sad dovedností, je z bezpečnostních důvodů omezený.

  1. Ve vzdálené ploše virtuálního počítače myVM otevřete PowerShell.

  2. Zadejte nslookup [search service name].search.windows.net.

    Zobrazí se zpráva podobná této:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Z virtuálního počítače se připojte k vyhledávací službě a vytvořte index. Pomocí tohoto rychlého startu můžete ve službě vytvořit nový index vyhledávání pomocí rozhraní REST API. Nastavení požadavků z testovacího nástroje webového rozhraní API vyžaduje koncový bod vyhledávací služby (https://[název vyhledávací služby].search.windows.net) a klíč api-key správce, který jste zkopírovali v předchozím kroku.

  4. Dokončením rychlého startu z virtuálního počítače potvrdíte, že služba je plně funkční.

  5. Zavřete připojení ke vzdálené ploše virtuálního počítače myVM.

  6. Pokud chcete ověřit, že vaše služba není přístupná na veřejném koncovém bodu, otevřete na místní pracovní stanici klienta REST a v rychlém startu zkuste provést několik prvních úloh. Pokud se zobrazí chyba, že vzdálený server neexistuje, úspěšně jste pro svou vyhledávací službu nakonfigurovali privátní koncový bod.

Použití webu Azure Portal pro přístup k privátní vyhledávací službě

Pokud je koncový bod vyhledávací služby privátní, některé funkce portálu jsou zakázané. Informace o úrovni služeb můžete zobrazit a spravovat, ale informace o indexu, indexeru a sadě dovedností jsou skryté z bezpečnostních důvodů.

Pokud chcete toto omezení obejít, připojte se k webu Azure Portal z prohlížeče na virtuálním počítači ve virtuální síti. Portál používá privátní koncový bod v připojení a poskytuje přehled o obsahu a operacích.

  1. Podle pokynů zřiďte virtuální počítač, který má přístup k vyhledávací službě prostřednictvím privátního koncového bodu.

  2. Na virtuálním počítači ve vaší virtuální síti otevřete prohlížeč a přihlaste se k webu Azure Portal. Portál použije privátní koncový bod připojený k virtuálnímu počítači pro připojení k vaší vyhledávací službě.

Zakázání přístupu k veřejné síti

Vyhledávací službu můžete uzamknout, abyste ji zabránili v přijímání jakýchkoli požadavků z veřejného internetu. Pro tento krok můžete použít Azure Portal.

  1. Na webu Azure Portal v levém podokně stránky vyhledávací služby vyberte Sítě.

  2. Na kartě Brány firewall a virtuální sítě vyberte Zakázáno.

Můžete také použít Azure CLI, Azure PowerShell nebo rozhraní REST API pro správu, nastavení public-access nebo public-network-access nastavení disabled.

Vyčištění prostředků

Pokud pracujete s vlastním předplatným, je vhodné vždy na konci projektu zkontrolovat, jestli budete vytvořené prostředky ještě potřebovat. Prostředky, které necháte spuštěné, vás stojí peníze.

Můžete odstranit jednotlivé prostředky nebo skupinu prostředků a odstranit tak vše, co jste vytvořili v tomto cvičení. Na stránce přehledu libovolného prostředku vyberte skupinu prostředků a pak vyberte Odstranit.

Další kroky

V tomto článku jste vytvořili virtuální počítač ve virtuální síti a vyhledávací službu s privátním koncovým bodem. Připojili jste se k virtuálnímu počítači z internetu a bezpečně jste komunikovali s vyhledávací službou pomocí služby Private Link. Další informace o privátním koncovém bodu najdete v tématu Co je privátní koncový bod Azure?