Share via

Paramétrages recommandés pour l’isolement réseau

  • Article

Effectuez les étapes suivantes pour restreindre l’accès public aux ressources QnA Maker. Protégez une ressource Azure AI Services contre l’accès public en configurant le réseau virtuel.

Remarque

Le service QnA Maker sera mis hors service le 31 mars 2025. Une version plus récente de la fonctionnalité de questions et réponses est désormais disponible dans le cadre d’Azure AI Language. Pour obtenir des réponses aux questions au sein du service de langage, consultez Réponses aux questions. À partir du 1er octobre 2022 vous ne pourrez plus créer de nouvelles ressources QnA Maker. Pour plus d’informations sur la migration de bases de connaissances QnA Maker existantes vers Réponses aux questions, consultez le Guide de migration.

Restreindre l’accès à App Service (runtime QnA)

Vous pouvez utiliser le ServiceTag CognitiveServicesMangement pour restreindre l’accès entrant à App Service ou des règles de trafic entrant de groupe de sécurité réseau ASE (App Service Environment). Pour plus d’informations sur les étiquettes de service, consultez l’article sur les étiquettes de service de réseau virtuel.

App Service standard

  1. Ouvrez Cloud Shell (PowerShell) à partir du portail Azure.
  2. Exécutez la commande suivante dans la fenêtre PowerShell au bas de la page :
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Vérifiez que la règle d’accès ajoutée est présente dans la section Restrictions d’accès de l’onglet Réseau :

    Screenshot of access restriction rule

  2. Pour accéder au volet de test sur le portail https://qnamaker.ai, ajoutez l’adresse IP publique de la machine à partir de laquelle vous souhaitez accéder au portail. Sur la page Restrictions d’accès, sélectionnez Ajouter une règle, puis autorisez l’accès à votre IP cliente.

    Screenshot of access restriction rule with the addition of public IP address

Accès sortant à partir d’App Service

L’instance App Service QnA Maker nécessite un accès sortant aux points de terminaison ci-dessous. Veuillez vous assurer qu’il est ajouté à la liste verte s’il existe des restrictions sur le trafic sortant.

Configurer App Service Environment pour héberger le service d’application QnA Maker

L’environnement ASE (App Service Environment) peut être utilisé pour héberger l’instance App Service QnA Maker. Effectuez les étapes ci-dessous :

  1. Créer une nouvelle ressource Azure AI Search.

  2. Créez un environnement ASE externe avec App Service.

    • Suivez ce guide de démarrage rapide App Service pour obtenir des instructions. Ce processus peut prendre jusqu’à 1 ou 2 heures.
    • Vous disposerez finalement d’un point de terminaison App Service qui se présentera comme suit : https://<app service name>.<ASE name>.p.azurewebsite.net.
    • Exemple : https:// mywebsite.myase.p.azurewebsite.net

  3. Ajoutez les configurations App Service suivantes :

    Nom Valeur
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Ajoutez une origine CORS « * » au service d’application pour autoriser l’accès au volet de test du portail https://qnamaker.ai. L’interface CORS est disponible sous l’en-tête d’API du volet App Service.

    Screenshot of CORS interface within App Service UI

  5. Créez une instance Azure AI Services QnA Maker (Microsoft.CognitiveServices/accounts) à l’aide d’Azure Resource Manager. Le point de terminaison QnA Maker doit être défini sur le point de terminaison App Service créé plus haut (https:// mywebsite.myase.p.azurewebsite.net). Vous pouvez utiliser cet exemple de modèle Azure Resource Manager pour référence.

QnA Maker peut-il être déployé sur un environnement ASE interne ?

Un environnement ASE externe est principalement utilisé pour que le back-end du service QnA Maker (API de création) puisse atteindre le service d’application par Internet. Toutefois, vous pouvez toujours le protéger en ajoutant une restriction d’accès entrant pour autoriser uniquement les connexions à partir des adresses associées à l’étiquette de service CognitiveServicesManagement.

Si vous souhaitez toujours utiliser un environnement ASE interne, vous devez exposer cette application QnA Maker spécifique dans l’environnement ASE sur un domaine public via le certificat TLS/SSL DNS de la passerelle d’application. Pour plus d’informations, consultez cet article sur le déploiement en entreprise de services d’application.

Restreindre l’accès à une ressource Recherche cognitive

L’instance Recherche cognitive peut être isolée par le biais d’un point de terminaison privé après la création de ressources QnA Maker. Pour verrouiller l’accès, effectuez les étapes suivantes :

  1. Créez un réseau virtuel ou utilisez un réseau virtuel existant d’un environnement ASE (App Service Environment).

  2. Ouvrez la ressource de réseau virtuel, puis, sous l’onglet Sous-réseaux, créez deux sous-réseaux : un pour le service d’application (appservicesubnet) et un autre pour le sous-réseau (searchservicesubnet) pour la ressource Recherche cognitive sans délégation.

    Screenshot of virtual networks subnets UI interface

  3. Sous l’onglet Réseau de l’instance du service Recherche cognitive, basculez les données de connectivité du point de terminaison de Public vers Privé. Cette opération est un long processus qui peut prendre jusqu’à 30 minutes.

    Screenshot of networking UI with public/private toggle button

  4. Après le basculement de la ressource de recherche sur Privé, sélectionnez Point de terminaison privé en regard du signe +.

    • Onglet Informations de base : veillez à créer votre point de terminaison dans la même région que la ressource de recherche.
    • Onglet Ressource : sélectionnez la ressource de recherche nécessaire de type Microsoft.Search/searchServices.

    Screenshot of create a private endpoint UI window

    • Onglet Configuration : utilisez le sous-réseau de réseau virtuel (searchservicesubnet) créé à l’étape 2. Après cela, dans la section Intégration à DNS privé, sélectionnez l’abonnement correspondant et créez une zone DNS privée nommée privatelink.search.windows.net.

    Screenshot of create private endpoint UI window with subnet field populated

  5. Activez l’intégration au réseau virtuel pour le service d’application standard. Vous pouvez ignorer cette étape pour ASE, qui a déjà accès au réseau virtuel.

    • Accédez à la section Réseau d’App Service, puis ouvrez Intégration de réseau virtuel.
    • Effectuez la liaison avec le sous-réseau de réseau virtuel App Service dédié (appservicevnet) créé à l’étape 2.

    Screenshot of VNET integration UI

Créez des points de terminaison privés sur la ressource Recherche Azure.

Effectuez les étapes suivantes pour restreindre l’accès public aux ressources QnA Maker. Protégez une ressource Azure AI Services contre l’accès public en configurant le réseau virtuel.

Après avoir restreint l’accès à la ressource Azure AI Services en fonction du sous-réseau, effectuez les étapes suivantes pour parcourir les bases de connaissances sur le portail https://qnamaker.ai à partir de votre réseau local ou de votre navigateur local.

  • Accordez l’accès au réseau local.

  • Accordez l’accès à votre machine/navigateur local.

  • Ajoutez l’adresse IP publique de la machine sous la section Pare-feu de l’onglet Réseau. Par défaut, portal.azure.com affiche l’IP publique de la machine de navigation actuelle. Sélectionnez cette entrée, puis Enregistrer.

    Screenshot of firewall and virtual networks configuration UI