Créer un point de terminaison privé pour une connexion sécurisée à Recherche Azure AI

  • Article

Dans cet article, découvrez comment configurer une connexion privée à Recherche Azure AI afin qu’elle admette les demandes des clients sur un réseau virtuel au lieu d’une connexion Internet publique :

D’autres ressources Azure sont susceptibles de se connecter en privé à Recherche Azure AI, dont Azure OpenAI dans des cas d’« utilisation de vos propres données ». Azure OpenAI Studio ne s’exécute pas sur un réseau virtuel, mais il peut être configuré sur le serveur principal pour envoyer des requêtes sur le réseau principal Microsoft. La configuration de ce modèle de trafic est activée par Microsoft lorsque votre requête est envoyée et approuvée. Pour ce scénario :

  • Suivez les instructions indiquées dans cet article pour configurer le point de terminaison privé.
  • Envoyer une requête pour qu’Azure OpenAI Studio se connecte à l’aide de votre point de terminaison privé.
  • Si vous le souhaitez, désactivez l’accès aux réseaux publics si les connexions doivent provenir uniquement de clients sur un réseau virtuel ou d’Azure OpenAI au moyen d’une connexion à point de terminaison privé.

Points clés à propos des points de terminaison privés

Les points de terminaison privés sont fournis par Azure Private Link, en tant que service facturable distinct. Pour plus d’informations sur les coûts, consultez la page Tarification.

Une fois qu’un service de recherche a un point de terminaison privé, l’accès du portail à ce service doit être initié à partir d’une session de navigateur sur une machine virtuelle à l’intérieur du réseau virtuel. Pour plus d’informations, consultez cette étape.

Vous pouvez créer un point de terminaison privé pour un service de recherche dans le Portail Microsoft Azure, comme décrit dans cet article. Vous pouvez également utiliser l’API REST Gestion, Azure PowerShell ou Azure CLI.

Pourquoi utiliser un point de terminaison privé ?

Les points de terminaison privés pour la recherche Azure AI permettent à un client sur un réseau virtuel d’accéder en toute sécurité aux données d’un index de recherche grâce à une liaison privée. Ils utilisent une adresse IP de l’espace d’adressage du réseau virtuel pour votre service Search. Le trafic entre le client et le service Search traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine l’exposition sur l’Internet public. Pour obtenir la liste des autres services PaaS qui prennent en charge la liaison privée, consultez la section disponibilité dans la documentation du produit.

Les points de terminaison privés de votre service de recherche vous permettent de :

  • Bloquer toutes les connexions sur le point de terminaison public de votre service Search.
  • Renforcer la sécurité du réseau virtuel en assurant le blocage de l’exfiltration des données à partir du réseau virtuel.
  • Vous connecter en toute sécurité à votre service Search à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide de VPN ou d’ExpressRoutes avec le peering privé.

Créer un réseau virtuel

Dans cette section, vous allez créer un réseau virtuel et un sous-réseau pour héberger la machine virtuelle qui est utilisée pour accéder au point de terminaison privé de votre service de recherche.

  1. Dans l’onglet Accueil du portail Azure, sélectionnez Créer une ressource>Mise en réseau>Réseau virtuel.

  2. Dans Créer un réseau virtuel, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer, entrez un nom, tel que « monGroupeRessources », puis sélectionnez OK.
    Nom Entrez un nom, tel que « MonRéseauVirtuel ».
    Région Sélectionnez une région.

  3. Acceptez les valeurs par défaut pour les autres paramètres. Sélectionnez Vérifier + créer, puis Créer.

Créer un service Search avec un point de terminaison privé

Dans cette section, vous créez un service Recherche Azure AI avec un point de terminaison privé.

  1. En haut à gauche de l’écran du Portail Azure, sélectionnez Créer une ressource>Web>Recherche Azure AI.

  2. Dans Nouveau service Search – Concepts de base, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    DÉTAILS DU PROJET
    Abonnement Sélectionnez votre abonnement.
    Resource group Utilisez le groupe de ressources que vous avez créé à l’étape précédente.
    DÉTAILS DE L’INSTANCE
    URL Entrez un nom unique.
    Emplacement Sélectionnez votre région.
    Niveau tarifaire Sélectionnez Changer le niveau tarifaire et choisissez le niveau de service souhaité. Les points de terminaison privés ne sont pas pris en charge au niveau Gratuit. Vous devez sélectionner De base ou un niveau supérieur.

  3. Sélectionnez Suivant : Mettre à l’échelle.

  4. Acceptez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.

  5. Dans Nouveau service Search – Mise en réseau, sélectionnez Privé pour la Connectivité du point de terminaison (données).

  6. Sélectionnez Ajouter sous Point de terminaison privé.

  7. Dans Créer un point de terminaison privé, entrez ou sélectionnez des valeurs qui associent votre service de recherche au réseau virtuel que vous avez créé :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    Resource group Utilisez le groupe de ressources que vous avez créé à l’étape précédente.
    Emplacement Sélectionnez une région.
    Nom Entrez un nom, tel que « monPointTerminaisonPrivé ».
    Sous-ressource cible Acceptez le searchService par défaut.
    MISE EN RÉSEAU
    Réseau virtuel Sélectionnez le réseau virtuel créé à l’étape précédente.
    Subnet Sélectionnez la valeur par défaut.
    INTÉGRATION À DNS PRIVÉ
    Intégrer à une zone DNS privée Acceptez la valeur « Oui » par défaut.
    Zone DNS privée Acceptez la valeur par défaut (Nouveau) privatelink.search.windows.net.

  8. Sélectionnez OK.

  9. Sélectionnez Revoir + créer. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.

  10. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

  11. Une fois la configuration de votre nouveau service terminée, accédez à la ressource que vous avez créée.

  12. Sélectionnez Clés dans le menu de contenu de gauche.

  13. Copiez la clé d’administration principale pour plus tard, lors de la connexion au service.

Création d'une machine virtuelle

  1. En haut à gauche de l’écran du portail Azure, sélectionnez Créer une ressource>Calcul>Machine virtuelle.

  2. Dans Créer une machine virtuelle - Notions de base, entrez ou sélectionnez les valeurs suivantes :

    Paramètre Valeur
    DÉTAILS DU PROJET
    Abonnement Sélectionnez votre abonnement.
    Resource group Utilisez le groupe de ressources que vous avez créé dans la section précédente.
    DÉTAILS DE L’INSTANCE
    Nom de la machine virtuelle Entrez un nom tel que « ma-MV ».
    Région Sélectionnez votre région.
    Options de disponibilité Vous pouvez choisir Aucune redondance d’infrastructure requise ou sélectionner une autre option si vous avez besoin de la fonctionnalité.
    Image Sélectionnez Centre de données Windows Server 2022 : Édition Azure - Gen2.
    Architecture de machine virtuelle Acceptez la valeur par défaut x64.
    Taille Acceptez la valeur par défaut Standard D2S v3.
    COMPTE ADMINISTRATEUR
    Nom d’utilisateur Entrez le nom d’utilisateur de l’administrateur. Utilisez un compte valide pour votre abonnement Azure. Vous devez vous connecter au Portail Azure à partir de la machine virtuelle afin de pouvoir gérer votre service de recherche.
    Mot de passe Entrez le mot de passe du compte. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.
    Confirmer le mot de passe Retapez le mot de passe.
    RÈGLES DES PORTS D’ENTRÉE
    Aucun port d’entrée public Acceptez la valeur par défaut Autoriser les ports sélectionnés.
    Sélectionner des ports d’entrée Acceptez la valeur par défaut RDP (3389).

  3. Sélectionnez Suivant : Disques.

  4. Dans Créer une machine virtuelle - Disks, acceptez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.

  5. Dans Créer une machine virtuelle - Mise en réseau, sélectionnez les valeurs suivantes :

    Paramètre Valeur
    Réseau virtuel Sélectionnez le réseau virtuel que vous avez créé à l’étape précédente.
    Subnet Acceptez la valeur par défaut (10.1.0.0/24).
    Groupe de sécurité réseau de la carte réseau Acceptez la valeur par défaut « De base »
    Adresse IP publique Acceptez la valeur par défaut « (new) myVm-ip ».
    Aucun port d’entrée public Sélectionnez la valeur par défaut « Autoriser les ports sélectionnés ».
    Sélectionner des ports d’entrée Sélectionnez « HTTP (80) », « HTTPS (443) » et « RDP (3389) ».

    Remarque

    Les adresses IPv4 peuvent être exprimées au format CIDR . Pensez à éviter la plage d'adresses IP réservée aux réseaux privés, comme décrit dans RFC 1918 :

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Sélectionnez Vérifier + créer pour une vérification de validation.

  7. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.

Connexion à la machine virtuelle

Téléchargez puis connectez-vous à la machine virtuelle comme suit :

  1. Dans la barre de recherche du portail, recherchez la machine virtuelle créée à l’étape précédente.

  2. Cliquez sur Se connecter. Après avoir sélectionné le bouton Connecter, Se connecter à la machine virtuelle s’ouvre.

  3. Sélectionnez Télécharger le fichier RDP. Azure crée un fichier RDP (.rdp) et le télécharge sur votre ordinateur.

  4. Ouvrez le fichier .rdp téléchargé.

    1. Si vous y êtes invité, sélectionnez Connexion.

    2. Entrez le nom d’utilisateur et le mot de passe spécifiés lors de la création de la machine virtuelle.

      Remarque

      Vous devrez peut-être sélectionner Plus de choix>Utiliser un autre compte, pour spécifier les informations d’identification que vous avez entrées lorsque vous avez créé la machine virtuelle.

  5. Cliquez sur OK.

  6. Un avertissement de certificat peut s’afficher pendant le processus de connexion. Si vous recevez un avertissement de certificat, sélectionnez Oui ou Continuer.

  7. Une fois que le bureau de la machine virtuelle s’affiche, réduisez-le pour revenir à votre poste de travail local.

Tester les connexions

Dans cette section, vous vérifierez l’accès au réseau privé du service de recherche et vous connecter en privé à l’aide du point de terminaison privé.

Lorsque le point de terminaison de service de recherche est privé, certaines fonctionnalités du portail sont désactivées. Vous pouvez voir et gérer les paramètres du niveau de service, mais l’accès du portail aux données d’index et aux divers autres composants de ce service, comme les définitions d’index, d’indexeur et d’ensemble de compétences, est limité pour des raisons de sécurité.

  1. Dans le Bureau à distance de myVM, ouvrez PowerShell.

  2. Saisissez nslookup [search service name].search.windows.net.

    Vous recevez un message similaire à celui ci :

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. À partir de la machine virtuelle, connectez-vous au service Search et créez un index. Vous pouvez suivre ce démarrage rapide pour créer un index de recherche dans votre service à l’aide de l’API REST. La configuration des demandes à partir d’un outil de test de l’API web nécessite le point de terminaison du service de recherche (https://[nom du service de recherche].search.windows.net) et la clé API de l’administrateur que vous avez copiée à l’étape précédente.

  4. En effectuant le démarrage rapide à partir de la machine virtuelle, vous confirmez que le service est pleinement opérationnel.

  5. Fermez la connexion Bureau à distance à myVM.

  6. Pour vérifier que votre service n'est pas accessible sur un point de terminaison public, ouvrez un client REST sur votre poste de travail local et effectuez les premières tâches du démarrage rapide. Si vous recevez un message d’erreur indiquant que le serveur distant n’existe pas, vous avez correctement configuré un point de terminaison privé pour votre service de recherche.

Utiliser le Portail Azure pour accéder à un service de recherche privé

Lorsque le point de terminaison de service de recherche est privé, certaines fonctionnalités du portail sont désactivées. Vous pouvez afficher et gérer les informations sur les niveaux de service, mais les informations sur l'index, l'indexeur et les compétences sont masquées pour des raisons de sécurité.

Pour contourner cette restriction, connectez-vous au Portail Azure depuis un navigateur sur une machine virtuelle à l’intérieur du réseau virtuel. Le portail utilise le point de terminaison privé sur la connexion et vous donne une visibilité sur le contenu et les opérations.

  1. Suivez les étapes de provisionnement d’une machine virtuelle qui peut accéder au service de recherche via un point de terminaison privé.

  2. Sur une machine virtuelle de votre réseau virtuel, ouvrez un navigateur et connectez-vous au Portail Azure. Le portail utilisera le point de terminaison privé attaché à la machine virtuelle pour se connecter à votre service de recherche.

Désactiver l’accès au réseau public

Vous pouvez verrouiller un service de recherche pour l’empêcher d’admettre toute requête depuis l’Internet public. Vous pouvez utiliser le portail Azure pour cette étape.

  1. Dans le portail Azure, dans le volet le plus à gauche de votre page de service de recherche, sélectionnez Mise en réseau.

  2. Sélectionnez Désactivé dans l’onglet Pare-feux et réseaux virtuels.

Vous pouvez utiliser Azure CLI, Azure PowerShell ou l’API REST de gestion, en paramétrant public-access ou public-network-access sur disabled.

Nettoyer les ressources

Lorsque vous travaillez dans votre propre abonnement, il est recommandé, à la fin de chaque projet, de déterminer si vous avez toujours besoin des ressources que vous avez créées. Les ressources laissées en cours d’exécution peuvent vous coûter de l’argent.

Vous pouvez supprimer des ressources individuelles ou le groupe de ressources pour supprimer tout ce que vous avez créé dans cet exercice. Sélectionnez le groupe de ressources sur la page de vue d’ensemble de n’importe quelle ressource, puis sélectionnez Supprimer.

Étapes suivantes

Grâce à cet article, vous avez créé une machine virtuelle sur un réseau virtuel et un service Search avec un point de terminaison privé. Vous vous êtes connecté à la machine virtuelle à partir d’Internet et avez communiqué en toute sécurité avec le service Search à l’aide de la liaison privée. Pour plus d’informations sur les points de terminaison privés, consultez Qu’est-ce qu’Azure Private Endpoint ?.