Lire en anglais

Partager via


Créer un point de terminaison privé pour une connexion sécurisée à Recherche Azure AI

Cet article explique comment configurer une connexion privée à Recherche Azure AI afin qu’elle admette les demandes des clients dans un réseau virtuel au lieu d’une connexion Internet publique :

D’autres ressources Azure sont susceptibles de se connecter en privé à Recherche Azure AI, dont Azure OpenAI dans des cas d’« utilisation de vos propres données ». Azure AI Foundry ne s’exécute pas sur un réseau virtuel, mais il peut être configuré sur le backend pour envoyer des requêtes sur le réseau principal Microsoft. La configuration de ce modèle de trafic est activée par Microsoft lorsque votre requête est envoyée et approuvée. Pour ce scénario :

  • Suivez les instructions indiquées dans cet article pour configurer le point de terminaison privé.
  • Activer le service approuvé de votre ressource de recherche à partir du portail Azure.
  • Si vous le souhaitez, désactivez l’accès aux réseaux publics si les connexions doivent provenir uniquement de clients sur un réseau virtuel ou d’Azure OpenAI au moyen d’une connexion à point de terminaison privé.

Points clés à propos des points de terminaison privés

Les points de terminaison privés sont fournis par Azure Private Link, en tant que service facturable distinct. Pour plus d’informations sur les coûts, consultez tarification Azure Private Link.

Une fois qu’un service de recherche a un point de terminaison privé, l’accès du portail à ce service doit être initié à partir d’une session de navigateur sur une machine virtuelle à l’intérieur du réseau virtuel. Pour plus d’informations, consultez cette étape.

Vous pouvez créer un point de terminaison privé pour un service de recherche dans le Portail Microsoft Azure, comme décrit dans cet article. Vous pouvez également utiliser l’API REST Management, Azure PowerShell ou Azure CLI.

Pourquoi utiliser un point de terminaison privé ?

Les points de terminaison privés pour la Recherche Azure AI permettent à un client sur un réseau virtuel d’accéder en toute sécurité aux données d’un index de recherche grâce à une liaison privée. Ils utilisent une adresse IP de l’espace d’adressage du réseau virtuel pour votre service Search. Le trafic entre le client et le service Search traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine l’exposition sur l’Internet public. Pour obtenir la liste des autres services PaaS qui prennent en charge la liaison privée, consultez la section disponibilité dans la documentation du produit.

Les points de terminaison privés de votre service de recherche vous permettent de :

  • Bloquer toutes les connexions sur le point de terminaison public de votre service Search.
  • Augmenter la sécurité du réseau virtuel en vous permettant de bloquer l’exfiltration des données du réseau virtuel.
  • Vous connecter en toute sécurité à votre service Search à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide de VPN ou d’ExpressRoutes avec le peering privé.

Créer un réseau virtuel

Dans cette section, vous allez créer un réseau virtuel et un sous-réseau pour héberger la machine virtuelle qui sera utilisée pour accéder au point de terminaison privé de votre service de recherche.

  1. Dans l’onglet Accueil du portail Azure, sélectionnez Créer une ressource>Mise en réseau>Réseau virtuel.

  2. Dans Créer un réseau virtuel, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement
    Resource group Sélectionnez Créer, entrez un nom, tel que monGroupeRessources, puis sélectionnez OK
    Nom Entrez un nom, tel que MonRéseauVirtuel
    Région Sélectionner une région
  3. Acceptez les valeurs par défaut pour les autres paramètres. Sélectionnez Vérifier + créer, puis Créer.

Créer un service Search avec un point de terminaison privé

Dans cette section, vous allez créer un service Recherche Azure AI avec un point de terminaison privé.

  1. Dans le coin supérieur gauche de l’écran dans le portail Azure, sélectionnez Créer une ressource>IA + Machine Learning>Recherche IA.

  2. Dans Créer un service de recherche - Informations de base, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    DÉTAILS DU PROJET
    Abonnement Sélectionnez votre abonnement
    Resource group Utilisez le groupe de ressources que vous avez créé à l’étape précédente
    DÉTAILS DE L’INSTANCE
    URL Entrer un nom unique
    Emplacement Sélectionner votre région
    Niveau tarifaire Sélectionnez Changer le niveau tarifaire et choisissez le niveau de service souhaité. Les points de terminaison privés ne sont pas pris en charge au niveau Gratuit. Vous devez sélectionner De base ou un niveau supérieur.
  3. Sélectionnez Suivant : Mettre à l’échelle.

  4. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.

  5. Dans Créer un service de recherche - Mise en réseau, sélectionnez privé pour connectivité de point de terminaison.

  6. Sélectionnez Ajouter sous Point de terminaison privé.

  7. Dans Créer un point de terminaison privé, entrez ou sélectionnez des valeurs qui associent votre service de recherche au réseau virtuel que vous avez créé :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement
    Resource group Utilisez le groupe de ressources que vous avez créé à l’étape précédente
    Emplacement Sélectionner une région
    Nom Entrez un nom, tel que monPointTerminaisonPrivé
    Sous-ressource cible Acceptez le searchService par défaut
    MISE EN RÉSEAU
    Réseau virtuel Sélectionnez le réseau virtuel créé à l’étape précédente
    Sous-réseau Sélectionnez l’option par défaut
    INTÉGRATION À DNS PRIVÉ
    Activer l’intégration de DNS privé Activez la case à cocher.
    Zone DNS privée Acceptez la valeur par défaut (Nouveau) privatelink.search.windows.net
  8. Sélectionnez Ajouter.

  9. Sélectionnez Revoir + créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.

  10. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

  11. Une fois la configuration de votre nouveau service terminée, accédez à la ressource que vous avez créée.

  12. Sélectionnez Paramètres>Clés dans le menu de contenu de gauche.

  13. Copiez la clé d’administration principale pour plus tard, lors de la connexion au service.

Création d'une machine virtuelle

  1. En haut à gauche de l’écran du portail Azure, sélectionnez Créer une ressource>Calcul>Machine virtuelle.

  2. Dans Créer une machine virtuelle - Notions de base, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    DÉTAILS DU PROJET
    Abonnement Sélectionnez votre abonnement
    Resource group Utilisez le groupe de ressources que vous avez créé dans la section précédente
    DÉTAILS DE L’INSTANCE
    Nom de la machine virtuelle Entrez un nom tel que ma-MV
    Région Sélectionner votre région
    Options de disponibilité Vous pouvez choisir Aucune redondance d’infrastructure requise ou sélectionner une autre option si vous avez besoin de la fonctionnalité
    Image Sélectionnez Centre de données Windows Server 2022 : Édition Azure - Gen2
    Architecture de machine virtuelle Acceptez la valeur par défaut x64
    Taille Acceptez la valeur par défaut Standard D2S v3
    COMPTE ADMINISTRATEUR
    Nom d’utilisateur Entrez le nom d’utilisateur de l’administrateur. Utilisez un compte valide pour votre abonnement Azure. Connectez-vous au portail Azure à partir de la machine virtuelle pour pouvoir gérer votre service de recherche.
    Mot de passe Entrez le mot de passe du compte. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Entrez à nouveau le mot de passe
    RÈGLES DES PORTS D’ENTRÉE
    Aucun port d’entrée public Acceptez la valeur par défaut Autoriser les ports sélectionnés
    Sélectionner des ports d’entrée Acceptez la valeur par défaut RDP (3389)
  3. Sélectionnez Suivant : Disques.

  4. Dans Créer une machine virtuelle - Disks, acceptez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.

  5. Dans Créer une machine virtuelle - Mise en réseau, sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Réseau virtuel Sélectionnez le réseau virtuel que vous avez créé à l’étape précédente
    Sous-réseau Acceptez la par défaut 10.1.0.0/24
    IP publique Acceptez la valeur par défaut
    Groupe de sécurité réseau de la carte réseau Acceptez la valeur par défaut De base
    Aucun port d’entrée public Sélectionnez la valeur par défaut Autoriser les ports sélectionnés
    Sélectionner des ports d’entrée Sélectionnez HTTP 80, HTTPS (443), et RDP (3389)

    Notes

    Les adresses IPv4 peuvent être exprimées au format CIDR . Pensez à éviter la plage d'adresses IP réservée aux réseaux privés, comme décrit dans RFC 1918 :

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Sélectionnez Vérifier + créer pour une vérification de validation.

  7. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Connexion à la machine virtuelle

Téléchargez puis connectez-vous à la machine virtuelle comme suit :

  1. Dans la barre de recherche du portail Azure, recherchez la machine virtuelle créée à l’étape précédente.

  2. Sélectionnez Connecter. Après avoir sélectionné le bouton Connecter, Se connecter à la machine virtuelle s’ouvre.

  3. Sélectionnez Télécharger le fichier RDP. Azure crée un fichier de protocole RDP (Remote Desktop Protocol) ( .rdp) et le télécharge sur votre ordinateur.

  4. Ouvrez le fichier .rdp téléchargé.

    1. Si vous y êtes invité, sélectionnez Connexion.

    2. Entrez le nom d’utilisateur et le mot de passe spécifiés lors de la création de la machine virtuelle.

      Notes

      Vous devrez peut-être sélectionner Plus de choix>Utiliser un autre compte pour spécifier les informations d’identification que vous avez entrées lors de la création de la machine virtuelle.

  5. Sélectionnez OK.

  6. Un avertissement de certificat peut s’afficher pendant le processus de connexion. Si vous recevez un avertissement de certificat, sélectionnez Oui ou Continuer.

  7. Une fois que le bureau de la machine virtuelle s’affiche, réduisez-le pour revenir à votre poste de travail local.

Tester les connexions

Dans cette section, vous allez vérifier l’accès au réseau privé au service de recherche et vous connecter en privé à l’utilisation du point de terminaison privé.

Lorsque le point de terminaison de service de recherche est privé, certaines fonctionnalités du portail sont désactivées. Vous pouvez afficher et gérer les paramètres de niveau de service, mais l’accès au portail aux données d’index et à divers autres composants du service, tels que les définitions d’index, d’indexeur et d’ensemble de compétences, est limité pour des raisons de sécurité.

  1. Dans le Bureau à distance de myVM, ouvrez PowerShell.

  2. Saisissez nslookup [search service name].search.windows.net.

    Vous recevez un message similaire à celui ci :

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. À partir de la machine virtuelle, connectez-vous au service Search et créez un index. Vous pouvez suivre ce démarrage rapide pour créer un index de recherche dans votre service à l’aide de l’API REST. La configuration des demandes à partir d’un outil de test d’API web nécessite le point de terminaison de service de recherche (https://[search service name].search.windows.net) et la clé API d’administration que vous avez copiée à l’étape précédente.

  4. En effectuant le démarrage rapide à partir de la machine virtuelle, vous confirmez que le service est pleinement opérationnel.

  5. Fermez la connexion Bureau à distance à myVM.

  6. Pour vérifier que votre service n'est pas accessible sur un point de terminaison public, ouvrez un client REST sur votre poste de travail local et effectuez les premières tâches du démarrage rapide. Si vous recevez une erreur indiquant que le serveur distant n’existe pas, vous avez correctement configuré un point de terminaison privé pour votre service de recherche.

Utiliser le Portail Azure pour accéder à un service de recherche privé

Lorsque le point de terminaison de service de recherche est privé, certaines fonctionnalités du portail sont désactivées. Vous pouvez afficher et gérer les informations sur les niveaux de service, mais les informations sur l'index, l'indexeur et les compétences sont masquées pour des raisons de sécurité.

Pour contourner cette restriction, connectez-vous au Portail Azure depuis un navigateur sur une machine virtuelle à l’intérieur du réseau virtuel. Le portail Azure utilise le point de terminaison privé sur la connexion et vous donne une visibilité sur le contenu et les opérations.

  1. Suivez les étapes de provisionnement d’une machine virtuelle qui peut accéder au service de recherche via un point de terminaison privé.

  2. Sur une machine virtuelle de votre réseau virtuel, ouvrez un navigateur et connectez-vous au Portail Azure. Le portail Azure utilise le point de terminaison privé attaché à la machine virtuelle pour se connecter à votre service de recherche.

Désactiver l’accès au réseau public

Vous pouvez verrouiller un service de recherche pour l’empêcher d’admettre toute requête depuis l’Internet public. Vous pouvez utiliser le portail Azure pour cette étape.

  1. Dans le portail Azure, dans le volet le plus à gauche de votre page de service de recherche, sélectionnez Mise en réseau.

  2. Sélectionnez Désactivé dans l’onglet Pare-feux et réseaux virtuels.

Vous pouvez également utiliser le Azure CLI, Azure PowerShell ou l’API REST Management, en définissant public-access ou public-network-access sur disabled.

Nettoyer les ressources

Lorsque vous travaillez dans votre propre abonnement, il est recommandé, à la fin de chaque projet, de déterminer si vous avez toujours besoin des ressources que vous avez créées. Les ressources laissées en cours d’exécution peuvent vous coûter de l’argent.

Vous pouvez supprimer des ressources individuelles ou le groupe de ressources pour supprimer tout ce que vous avez créé dans cet exercice. Sélectionnez le groupe de ressources sur la page de vue d’ensemble de n’importe quelle ressource, puis sélectionnez Supprimer.

Étape suivante

Grâce à cet article, vous avez créé une machine virtuelle sur un réseau virtuel et un service Search avec un point de terminaison privé. Vous vous êtes connecté à la machine virtuelle à partir d’Internet et avez communiqué en toute sécurité avec le service Search à l’aide de la liaison privée. Pour en savoir plus sur les points de terminaison privés, consultez Qu’est-ce qu’un point de terminaison privé ?