Creación de un punto de conexión privado para una conexión segura a Azure AI Search

En este artículo, aprenderá a proteger un servicio Búsqueda de Azure AI para que no se pueda acceder a él a través de una conexión a Internet pública:

Los puntos de conexión privados se proporcionan mediante Azure Private Link, como un servicio facturable independiente. Para obtener más información sobre los costos, vea la página de precios.

Puede crear un punto de conexión privado en Azure Portal, como se describe en este artículo. También puede usar la API de REST de administración, versión, Azure PowerShell o la CLI de Azure.

Nota:

Una vez que un servicio de búsqueda tiene un punto de conexión privado, el acceso al portal a ese servicio debe iniciarse desde una sesión del explorador en una máquina virtual dentro de la red virtual. Consulte este paso para obtener más información.

¿Por qué usar un punto de conexión privado para obtener un acceso seguro?

Los puntos de conexión privados para Azure AI Search permiten a cualquier cliente de una red virtual obtener acceso de forma segura a los datos de un índice de búsqueda a través de un vínculo privado. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el servicio de búsqueda. El tráfico de red entre el cliente y el servicio de búsqueda atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición a la red pública de Internet. Para obtener una lista de otros servicios de PaaS que admiten Private Link, compruebe la sección de disponibilidad en la documentación del producto.

Los puntos de conexión privados para su servicio de búsqueda le permiten:

  • Bloquear todas las conexiones del punto de conexión público para su servicio de búsqueda.
  • Aumentar la seguridad de la red virtual, ya que permite bloquear la filtración de datos de la red virtual.
  • Conectarse de forma segura al servicio de búsqueda desde las redes locales que se conectan a la red virtual mediante VPN o instancias de ExpressRoute con emparejamiento privado.

Crear la red virtual

En esta sección, va a crear una red virtual y una subred para hospedar la máquina virtual que se usará para obtener acceso al punto de conexión privado del servicio de búsqueda.

  1. En la pestaña Inicio de Azure Portal, seleccione Crear un recurso>Redes>Red virtual.

  2. En Crear red virtual, escriba o seleccione los siguientes valores:

    Configuración Valor
    Suscripción Seleccione su suscripción.
    Resource group Seleccione Crear nuevo, escriba un nombre, como "myResourceGroup", y seleccione Aceptar.
    Nombre Escriba un nombre, como "MyVirtualNetwork".
    Region Seleccione una región.
  3. En el resto de la configuración, acepte los valores predeterminados. Seleccione Revisar y crear y, a continuación, Crear.

Creación de un servicio de búsqueda con un punto de conexión privado

En esta sección, crearás un nuevo servicio Azure AI Search con un punto de conexión privado.

  1. En la parte superior izquierda de la pantalla en Azure Portal, selecciona Crear un recurso>Web>Azure AI Search.

  2. En Nuevo servicio de búsqueda: Conceptos básicos, escriba o seleccione los siguientes valores:

    Configuración Value
    DETALLES DEL PROYECTO
    Subscription Seleccione su suscripción.
    Resource group Use el grupo de recursos que creó en el paso anterior.
    DETALLES DE INSTANCIA
    URL Escriba un nombre único.
    Location Seleccione su región.
    Plan de tarifa Seleccione la opción para cambiar el plan de tarifa y elija el nivel de servicio que quiera. Los puntos de conexión privados no se admiten en el nivel Gratis. Debe seleccionar Básico o superior.
  3. Selecciona Siguiente: Escala.

  4. Acepte los valores predeterminados y seleccione Siguiente: Redes.

  5. En Nuevo servicio de búsqueda: Redes, seleccione Privado para Conectividad de punto de conexión (datos).

  6. Selecciones + Agregar en Punto de conexión privado.

  7. En Crear punto de conexión privado, escriba o seleccione los valores que asocian el servicio de búsqueda a la red virtual que ha creado:

    Configuración Valor
    Suscripción Seleccione su suscripción.
    Resource group Use el grupo de recursos que creó en el paso anterior.
    Location Seleccione una región.
    Nombre Escriba un nombre, como "myPrivateEndpoint".
    Subrecurso de destino Acepte el valor predeterminado searchService.
    REDES
    Virtual network Seleccione la red virtual que creó en el paso anterior.
    Subnet Seleccione el valor predeterminado.
    INTEGRACIÓN DE DNS PRIVADO
    Integración con una zona DNS privada Acepte el valor predeterminado "Yes".
    Zona DNS privada Acepte el valor predeterminado (New) privatelink.blob.core.windows.net.
  8. Seleccione Aceptar.

  9. Seleccione Revisar + crear. Se le remitirá a la página Revisar y crear, donde Azure validará la configuración.

  10. Cuando reciba el mensaje Validación superada, seleccione Crear.

  11. Una vez completado del aprovisionamiento de su nuevo servicio, vaya al recurso que ha creado.

  12. Seleccione Claves en el menú de contenido de la izquierda.

  13. Copie la clave de administrador principal para más adelante, al conectarse al servicio.

Creación de una máquina virtual

  1. En la parte superior izquierda de Azure Portal, seleccione Crear un recurso>Proceso>Máquina virtual.

  2. En Creación de una máquina virtual: conceptos básicos, escriba o seleccione los siguientes valores:

    Configuración Value
    DETALLES DEL PROYECTO
    Subscription Seleccione su suscripción.
    Resource group Use el grupo de recursos que creó en la sección anterior.
    DETALLES DE INSTANCIA
    Nombre de la máquina virtual Escriba un nombre, como "my-vm".
    Region Seleccione la región.
    Opciones de disponibilidad Puede elegir Redundancia de infraestructura no requerida o seleccionar otra opción si necesita la funcionalidad.
    Imagen Seleccione Windows Server 2022 Datacenter: Azure Edition - Gen2.
    Arquitectura VM Acepte el valor predeterminado x64.
    Size Acepte el valor predeterminado Standard D2S v3.
    CUENTA DE ADMINISTRADOR
    Nombre de usuario Escriba el nombre de usuario del administrador. Use una cuenta válida para la suscripción de Azure. En este caso, inicia sesión en el Azure Portal desde la máquina virtual, ya que así podrás administrar el servicio de búsqueda.
    Contraseña Escriba la contraseña de la cuenta. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos.
    Confirm Password Vuelva a escribir la contraseña.
    REGLAS DE PUERTO DE ENTRADA
    Puertos de entrada públicos Acepte el valor predeterminado Permitir los puertos seleccionados.
    Selección de puertos de entrada Acepte el valor predeterminado RDP (3389).
  3. Seleccione Siguiente: Discos.

  4. En Creación de una máquina virtual: Discos, acepte los valores predeterminados y seleccione Siguiente: Redes.

  5. En Crear una máquina virtual: Redes, introduzca los siguientes valores:

    Configuración Value
    Virtual network Seleccione la red virtual que creó en un paso anterior.
    Subnet Acepte el valor predeterminado (10.1.0.0/24).
    Grupo de seguridad de red de NIC Acepte el nombre predeterminado "Básico".
    Dirección IP pública Acepte el valor predeterminado "(nuevo) myVm-ip".
    Puertos de entrada públicos Seleccione el valor predeterminado "Permitir los puertos seleccionados".
    Selección de puertos de entrada Seleccione "HTTP 80", "HTTPS (443)" y "RDP (3389)".

    Nota:

    Las direcciones IPv4 se pueden expresar en formato CIDR. Recuerde evitar el intervalo IP reservado para las redes privadas, como se describe en RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Seleccione Revisar y crear para obtener una comprobación de la validación.

  7. Cuando reciba el mensaje Validación superada, seleccione Crear.

Conexión a la máquina virtual

Descargue y conéctese a la máquina virtual de la siguiente manera:

  1. En la barra de búsqueda del portal, busque la máquina virtual creada en el paso anterior.

  2. Seleccione Conectar. Después de seleccionar el botón Conectar, se abre Conectar a máquina virtual.

  3. Seleccione Descargar archivo RDP. Azure crea un archivo de Protocolo de Escritorio remoto (.rdp) y lo descarga en su equipo.

  4. Abra el archivo .rdp que ha descargado.

    1. Cuando se le pida, seleccione Conectar.

    2. Escriba el nombre de usuario y la contraseña que especificó al crear la VM.

      Nota:

      Es posible que tenga que seleccionar Más opciones>Usar otra cuenta para especificar las credenciales que escribió al crear la máquina virtual.

  5. Seleccione Aceptar.

  6. Puede recibir una advertencia de certificado durante el proceso de inicio de sesión. Si recibe una advertencia de certificado, seleccione o Continuar.

  7. Una vez que aparezca el escritorio de la máquina virtual, minimícelo para volver a su escritorio local.

Prueba de conexiones

En esta sección, comprobará el acceso de la red privada al servicio de búsqueda y se conectará de forma privada a este mediante el punto de conexión privado.

Cuando el punto de conexión del servicio de búsqueda es privado, se deshabilitan algunas características del portal. Podrá ver y administrar la configuración del nivel de servicio, pero, por motivos de seguridad, se ha restringido el acceso del portal a los datos del índice y de los distintos componentes de este servicio, como el índice, el indexador y las definiciones del conjunto de aptitudes.

  1. En el Escritorio remoto de myVm, abra PowerShell.

  2. Escriba nslookup [search service name].search.windows.net.

    Recibirá un mensaje similar a este:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. En la máquina virtual, conéctese al servicio de búsqueda y cree un índice. Puede seguir este inicio rápido para crear un nuevo índice de búsqueda en su servicio mediante la API REST. La configuración de solicitudes de una herramienta de pruebas de API web requiere el punto de conexión del servicio de búsqueda (https://[nombre del servicio de búsqueda].search.windows.net) y la clave de API de administración.

  4. La finalización del inicio rápido de la máquina virtual es su confirmación de que el servicio es totalmente operativo.

  5. Cierre la conexión de Escritorio remoto a myVM.

  6. Para comprobar que el servicio no es accesible en un punto de conexión público, abra un cliente REST en la estación de trabajo local e intente las primeras tareas del inicio rápido. Si recibe un error que indica que el servidor remoto no existe, habrá configurado correctamente un punto de conexión privado para su servicio de búsqueda.

Uso del Azure Portal para acceder a un servicio de búsqueda privado

Cuando el punto de conexión del servicio de búsqueda es privado, se deshabilitan algunas características del portal. Puede ver y administrar la información de nivel de servicio, pero la información de índices, indexadores y conjuntos de aptitudes se oculta por motivos de seguridad.

Para solucionar esta restricción, conéctese a Azure Portal desde un explorador de una máquina virtual dentro de la red virtual. El portal usa el punto de conexión privado en la conexión y proporciona visibilidad sobre el contenido y las operaciones.

  1. Siga los pasos para aprovisionar una máquina virtual que pueda acceder al servicio de búsqueda a través de un punto de conexión privado.

  2. En una máquina virtual de la red virtual, abre un explorador e inicia sesión en el Azure Portal. El portal usará el punto de conexión privado asociado a la máquina virtual para conectarse al servicio de búsqueda.

Limpieza de recursos

Cuando trabaje con su propia suscripción, es una buena idea al final de un proyecto identificar si todavía se necesitan los recursos que ha creado. Los recursos que se dejan en ejecución pueden costarle mucho dinero.

Puede eliminar recursos individuales o el grupo de recursos para eliminar todo lo que creó en este ejercicio. Seleccione el grupo de recursos en la página de información general de cualquier recurso y, a continuación, seleccione Eliminar.

Pasos siguientes

En este artículo, creó una máquina virtual en una red virtual y un servicio de búsqueda con un punto de conexión privado. Se conectó a la máquina virtual desde Internet y se comunicó de forma segura con el servicio de búsqueda mediante Private Link. Para más información sobre los puntos de conexión privados, vea ¿Qué es un punto de conexión privado de Azure?.