Creación de un punto de conexión privado para una conexión segura a Búsqueda de Azure AI

En este artículo se explica cómo configurar una conexión privada a Búsqueda de Azure AI para que admita solicitudes de clientes de una red virtual en lugar de a través de una conexión a Internet pública:

• Cree una red virtual de Azure o use una ya existente.
• Configuración de un servicio de búsqueda para usar un punto de conexión privado
• Creación de una máquina virtual de Azure en la misma red virtual
• Prueba mediante una sesión del explorador en la máquina virtual

Otros recursos de Azure que podrían conectarse de forma privada a Búsqueda de Azure AI incluyen Azure OpenAI para escenarios de "uso de sus propios datos". Estudio de IA de Azure no se ejecuta en una red virtual, pero se puede configurar en el back-end para enviar solicitudes a través de la red troncal de Microsoft. Microsoft habilita la configuración de este patrón de tráfico cuando se envía y aprueba la solicitud. En este escenario:

• Siga las instrucciones de este artículo para configurar el punto de conexión privado.
• Habilite el servicio de confianza de su recurso de búsqueda desde Azure Portal.
• Opcionalmente, deshabilitar el acceso a la red pública si las conexiones solo deben originarse desde clientes de la red virtual o desde Azure OpenAI a través de una conexión de punto de conexión privado.

Información clave sobre los puntos de conexión privados

Los puntos de conexión privados se proporcionan mediante Azure Private Link, como un servicio facturable independiente. Para más información sobre los costos, consulte Precios de Azure Private Link.

Una vez que un servicio de búsqueda tiene un punto de conexión privado, el acceso al portal a ese servicio debe iniciarse desde una sesión del explorador en una máquina virtual dentro de la red virtual. Consulte este paso para obtener más información.

Puede crear un punto de conexión privado en Azure Portal, como se describe en este artículo. Como alternativa, puede usar la API de REST de administración, Azure PowerShell o la CLI de Azure.

¿Por qué usar un punto de conexión privado?

Los puntos de conexión privados para Búsqueda de Azure AI permiten a cualquier cliente de una red virtual obtener acceso de forma segura a los datos de un índice de búsqueda a través de un vínculo privado. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el servicio de búsqueda. El tráfico de red entre el cliente y el servicio de búsqueda atraviesa la red virtual y un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición a la red pública de Internet. Para obtener una lista de otros servicios de PaaS que admiten Private Link, compruebe la sección de disponibilidad en la documentación del producto.

Los puntos de conexión privados para su servicio de búsqueda le permiten:

• Bloquear todas las conexiones del punto de conexión público para su servicio de búsqueda.
• Aumentar la seguridad de la red virtual, ya que permite bloquear la filtración de datos de la red virtual.
• Conectarse de forma segura al servicio de búsqueda desde las redes locales que se conectan a la red virtual mediante VPN o instancias de ExpressRoute con emparejamiento privado.

Crear la red virtual

En esta sección, va a crear una red virtual y una subred para hospedar la máquina virtual que se usará para obtener acceso al punto de conexión privado del servicio de búsqueda.

1. En la pestaña Inicio de Azure Portal, seleccione Crear un recurso>Redes>Red virtual.

2. En Crear red virtual, escriba o seleccione los siguientes valores:

   Configuración	Valor
   Suscripción	Selecciona la suscripción
   Resource group	Seleccione Crear nuevo, escriba un nombre, como myResourceGroup, y seleccione Aceptar.
   Nombre	Escriba un nombre, como MyVirtualNetwork
   Region	Seleccione una región.

3. En el resto de la configuración, acepte los valores predeterminados. Seleccione Revisar y crear y, a continuación, Crear.

Creación de un servicio de búsqueda con un punto de conexión privado

En esta sección se crea un nuevo servicio de Búsqueda de IA de Azure con un punto de conexión privado.

1. En la parte superior izquierda de la pantalla en Azure Portal, seleccione Crear un recurso>IA + aprendizaje automático>Búsqueda de IA.

2. En Crear un servicio de búsqueda - Aspectos básicos, escriba o seleccione los siguientes valores:

   Configuración	Valor
   DETALLES DEL PROYECTO
   Suscripción	Selecciona la suscripción
   Resource group	Use el grupo de recursos que creó en el paso anterior.
   DETALLES DE INSTANCIA
   URL	Escriba un nombre único.
   Location	Seleccionar la región
   Plan de tarifa	Seleccione la opción para cambiar el plan de tarifa y elija el nivel de servicio que quiera. Los puntos de conexión privados no se admiten en el nivel Gratis. Debe seleccionar Básico o superior.

3. Selecciona Siguiente: Escala.

4. Acepte los valores predeterminados y seleccione Siguiente: Redes.

5. En Crear un servicio de búsqueda - Redes, seleccione Privado para Conectividad de punto de conexión (datos).

6. Selecciones + Agregar en Punto de conexión privado.

7. En Crear punto de conexión privado, escriba o seleccione los valores que asocian el servicio de búsqueda a la red virtual que ha creado:

   Configuración	Valor
   Suscripción	Selecciona la suscripción
   Resource group	Use el grupo de recursos que creó en el paso anterior.
   Ubicación	Seleccione una región
   Nombre	Escriba un nombre, como myPrivateEndpoint.
   Subrecurso de destino	Acepte el valor predeterminado searchService.
   REDES
   Virtual network	Seleccione la red virtual que creó en el paso anterior.
   Subnet	Seleccione la opción predeterminada.
   INTEGRACIÓN DE DNS PRIVADO
   Habilitación de la integración de DNS privado	Seleccione la casilla
   Zona DNS privada	Acepte el valor predeterminado (New) privatelink.blob.core.windows.net.

8. Seleccione Agregar.

9. Seleccione Revisar + crear. Se le remitirá a la página Revisar y crear, donde Azure validará la configuración.

10. Cuando reciba el mensaje Validación superada, seleccione Crear.

11. Una vez completado del aprovisionamiento de su nuevo servicio, vaya al recurso que ha creado.

12. Seleccione Configuración>Claves en el menú de contenido de la izquierda.

13. Copie la clave de administrador principal para más adelante, al conectarse al servicio.

Creación de una máquina virtual

1. En la parte superior izquierda de Azure Portal, seleccione Crear un recurso>Proceso>Máquina virtual.

2. En Creación de una máquina virtual: conceptos básicos, escriba o seleccione los siguientes valores:

   Configuración	Valor
   DETALLES DEL PROYECTO
   Suscripción	Selecciona la suscripción
   Resource group	Use el grupo de recursos que creó en la sección anterior.
   DETALLES DE INSTANCIA
   Nombre de la máquina virtual	Escriba un nombre, como my-vm
   Region	Seleccionar la región
   Opciones de disponibilidad	Puede elegir Redundancia de infraestructura no requerida o seleccionar otra opción si necesita la funcionalidad.
   Imagen	Seleccione Windows Server 2022 Datacenter: Azure Edition - Gen2
   Arquitectura VM	Acepte el valor predeterminado x64.
   Size	Acepte el valor predeterminado Standard D2S v3.
   CUENTA DE ADMINISTRADOR
   Nombre de usuario	Escriba el nombre de usuario del administrador. Use una cuenta válida para la suscripción de Azure. Inicie sesión en Azure Portal desde la máquina virtual, ya que así podrá administrar el servicio de búsqueda.
   Contraseña	Escriba la contraseña de la cuenta. La contraseña debe tener al menos 12 caracteres de largo y cumplir con los requisitos de complejidad definidos.
   Confirm Password	Vuelva a escribir la contraseña.
   REGLAS DE PUERTO DE ENTRADA
   Puertos de entrada públicos	Acepte el valor predeterminado Permitir los puertos seleccionados.
   Selección de puertos de entrada	Acepte el valor predeterminado RDP (3389).

3. Seleccione Siguiente: Discos.

4. En Creación de una máquina virtual: Discos, acepte los valores predeterminados y seleccione Siguiente: Redes.

5. En Crear una máquina virtual: Redes, introduzca los siguientes valores:

   Configuración	Value
   Red virtual	Seleccione la red virtual que creó en un paso anterior.
   Subnet	Acepte el valor predeterminado 10.1.0.0/24.
   Dirección IP pública	Acepte el valor predeterminado
   Grupo de seguridad de red de NIC	Acepte el nombre predeterminado Básico.
   Puertos de entrada públicos	Seleccione el valor predeterminado Permitir los puertos seleccionados.
   Selección de puertos de entrada	Seleccione HTTP 80, HTTPS (443) y RDP (3389).

   Nota:

   Las direcciones IPv4 se pueden expresar en formato CIDR. Recuerde evitar el intervalo IP reservado para las redes privadas, como se describe en RFC 1918:

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. Seleccione Revisar y crear para obtener una comprobación de la validación.

7. Cuando reciba el mensaje Validación superada, seleccione Crear.

Conexión a la máquina virtual

Descargue y conéctese a la máquina virtual de la siguiente manera:

1. En la barra de búsqueda del portal, busque la máquina virtual creada en el paso anterior.

2. Seleccione Conectar. Después de seleccionar el botón Conectar, se abre Conectar a máquina virtual.

3. Seleccione Descargar archivo RDP. Azure crea un archivo de Protocolo de Escritorio remoto ( .rdp) y lo descarga en su equipo.

4. Abra el archivo .rdp descargado.

   1. Cuando se le pida, seleccione Conectar.

   2. Escriba el nombre de usuario y la contraseña que especificó al crear la VM.

      Nota:

      Puede que deba seleccionar Más opciones>Usar otra cuenta para especificar las credenciales que escribió al crear la máquina virtual.

5. Seleccione Aceptar.

6. Puede recibir una advertencia de certificado durante el proceso de inicio de sesión. Si recibe una advertencia de certificado, seleccione Sí o Continuar.

7. Una vez que aparezca el escritorio de la máquina virtual, minimícelo para volver a su escritorio local.

Prueba de conexiones

En esta sección, comprobará el acceso de la red privada al servicio de búsqueda y se conectará de forma privada a este mediante el punto de conexión privado.

Cuando el punto de conexión del servicio de búsqueda es privado, se deshabilitan algunas características del portal. Puede ver y administrar la configuración del nivel de servicio, pero, por motivos de seguridad, se ha restringido el acceso del portal a los datos del índice y de los distintos componentes de este servicio, como el índice, el indexador y las definiciones del conjunto de aptitudes.

1. En el Escritorio remoto de myVm, abra PowerShell.

2. Escriba nslookup [search service name].search.windows.net.

   Recibirá un mensaje similar a este:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. En la máquina virtual, conéctese al servicio de búsqueda y cree un índice. Puede seguir este inicio rápido para crear un nuevo índice de búsqueda en su servicio mediante la API REST. La configuración de solicitudes de una herramienta de pruebas de API web requiere el punto de conexión del servicio de búsqueda (https://[search service name].search.windows.net) y la clave de API de administración.

4. La finalización del inicio rápido de la máquina virtual es su confirmación de que el servicio es totalmente operativo.

5. Cierre la conexión de Escritorio remoto a myVM.

6. Para comprobar que el servicio no es accesible en un punto de conexión público, abra un cliente REST en la estación de trabajo local e intente las primeras tareas del inicio rápido. Si recibe un error que indica que el servidor remoto no existe, habrá configurado correctamente un punto de conexión privado para su servicio de búsqueda.

Uso del Azure Portal para acceder a un servicio de búsqueda privado

Cuando el punto de conexión del servicio de búsqueda es privado, se deshabilitan algunas características del portal. Puede ver y administrar la información de nivel de servicio, pero la información de índices, indexadores y conjuntos de aptitudes se oculta por motivos de seguridad.

Para solucionar esta restricción, conéctese a Azure Portal desde un explorador de una máquina virtual dentro de la red virtual. El portal usa el punto de conexión privado en la conexión y proporciona visibilidad sobre el contenido y las operaciones.

1. Siga los pasos para aprovisionar una máquina virtual que pueda acceder al servicio de búsqueda a través de un punto de conexión privado.

2. En una máquina virtual de la red virtual, abre un explorador e inicia sesión en el Azure Portal. El portal usará el punto de conexión privado asociado a la máquina virtual para conectarse al servicio de búsqueda.

Deshabilitación del acceso a una red pública

Puede bloquear un servicio de búsqueda para evitar que admita cualquier solicitud de la red pública de Internet. Puede usar Azure Portal para este paso.

1. En Azure Portal, en el panel izquierdo de la página del servicio de búsqueda, seleccione Redes.

2. Seleccione Deshabilitado en la pestaña Firewalls y redes virtuales.

También puede usar la CLI de Azure, Azure PowerShello la API de REST de administración, estableciendo public-access o public-network-access en disabled.

Limpieza de recursos

Cuando trabaje con su propia suscripción, es una buena idea al final de un proyecto identificar si todavía se necesitan los recursos que ha creado. Los recursos que se dejan en ejecución pueden costarle mucho dinero.

Puede eliminar recursos individuales o el grupo de recursos para eliminar todo lo que creó en este ejercicio. Seleccione el grupo de recursos en la página de información general de cualquier recurso y, a continuación, seleccione Eliminar.

Paso siguiente

En este artículo, creó una máquina virtual en una red virtual y un servicio de búsqueda con un punto de conexión privado. Se conectó a la máquina virtual desde Internet y se comunicó de forma segura con el servicio de búsqueda mediante Private Link. Para más información sobre los puntos de conexión privados, consulte ¿Qué es un punto de conexión privado?.