Megosztás a következőn keresztül:

Privát végpont létrehozása az Azure AI Searchhöz való biztonságos kapcsolathoz

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhat privát kapcsolatot az Azure AI Search szolgáltatással úgy, hogy nyilvános internetkapcsolat helyett virtuális hálózaton lévő ügyfelektől érkező kéréseket fogadjon el:

Az Azure AI Search szolgáltatáshoz privát módon csatlakozó egyéb Azure-erőforrások közé tartozik az Azure OpenAI a "saját adatok használata" forgatókönyvekhez. Az Azure AI Studio nem virtuális hálózaton fut, de a háttérrendszeren konfigurálható úgy, hogy kéréseket küldjön a Microsoft gerinchálózatán keresztül. Ennek a forgalmi mintának a konfigurációját a Microsoft engedélyezi a kérés elküldésekor és jóváhagyásakor. Ebben a forgatókönyvben:

  • A privát végpont beállításához kövesse az ebben a cikkben található utasításokat.
  • Engedélyezze a keresési erőforrás megbízható szolgáltatását az Azure Portalról.
  • Szükség esetén tiltsa le a nyilvános hálózati hozzáférést, ha a kapcsolatoknak csak a virtuális hálózaton lévő ügyfelekről vagy az Azure OpenAI-ról kell származnia privát végpontkapcsolaton keresztül.

Kulcspontok a privát végpontokkal kapcsolatban

A privát végpontokat az Azure Private Link biztosítja külön számlázható szolgáltatásként. A költségekkel kapcsolatos további információkért tekintse meg az Azure Private Link díjszabását.

Miután a keresési szolgáltatás rendelkezik privát végponttal, a szolgáltatáshoz való portál-hozzáférést a virtuális hálózaton belüli virtuális gépen futó böngésző munkamenetből kell kezdeményezni. A részletekért tekintse meg ezt a lépést .

A jelen cikkben ismertetett módon létrehozhat egy privát végpontot egy keresési szolgáltatáshoz az Azure Portalon. Másik lehetőségként használhatja a Felügyeleti REST API-t, az Azure PowerShellt vagy az Azure CLI-t.

Miért érdemes privát végpontot használni?

Az Azure AI Search privát végpontjai lehetővé teszik, hogy egy virtuális hálózaton lévő ügyfél biztonságosan hozzáférjen a keresési indexben lévő adatokhoz egy privát kapcsolaton keresztül. A privát végpont a keresési szolgáltatás virtuális hálózati címteréből származó IP-címet használ. Az ügyfél és a keresési szolgáltatás közötti hálózati forgalom a virtuális hálózaton keresztül halad át, a Microsoft gerinchálózatán pedig egy privát kapcsolaton keresztül, kiküszöbölve a nyilvános internetről való kitettséget. A Private Linket támogató egyéb PaaS-szolgáltatások listájáért tekintse meg a termékdokumentáció rendelkezésre állási szakaszát .

A keresési szolgáltatás privát végpontjai lehetővé teszik a következőket:

  • Tiltsa le a keresési szolgáltatás nyilvános végpontján lévő összes kapcsolatot.
  • Növelje a virtuális hálózat biztonságát azáltal, hogy letiltja az adatok kiszivárgását a virtuális hálózatból.
  • Biztonságosan csatlakozhat a keresési szolgáltatáshoz olyan helyszíni hálózatokról, amelyek VPN vagy ExpressRoutes használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítéssel.

A virtuális hálózat létrehozása

Ebben a szakaszban egy virtuális hálózatot és alhálózatot hoz létre a keresési szolgáltatás privát végpontjához való hozzáféréshez használt virtuális gép üzemeltetéséhez.

  1. Az Azure Portal kezdőlapján válassza az Erőforrás-hálózat>létrehozása>virtuális hálózat létrehozása lehetőséget.

  2. A Virtuális hálózat létrehozása területen adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Az előfizetés kiválasztása
    Erőforráscsoport Válassza az Új létrehozása lehetőséget, adjon meg egy nevet(például myResourceGroup), majd válassza az OK gombot
    Név Adjon meg egy nevet, például MyVirtualNetwork
    Régió Régió kiválasztása

  3. Fogadja el a többi beállítás alapértelmezett beállításait. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget.

Keresési szolgáltatás létrehozása privát végponttal

Ebben a szakaszban egy új Azure AI-Search szolgáltatás hoz létre egy privát végponttal.

  1. Az Azure Portal képernyőjének bal felső részén válassza az Erőforrás>AI + gépi tanulási>AI-keresés létrehozása lehetőséget.

  2. A Keresési szolgáltatás létrehozása – Alapszintű beállítások területen adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    PROJEKT RÉSZLETEI
    Előfizetés Az előfizetés kiválasztása
    Erőforráscsoport Az előző lépésben létrehozott erőforráscsoport használata
    PÉLDÁNY RÉSZLETEI
    URL-cím Adjon meg egy egyedi nevet
    Hely Válassza ki a régiót
    Tarifacsomag Válassza a Tarifacsomag módosítása lehetőséget, és válassza ki a kívánt szolgáltatási szintet. A privát végpontok nem támogatottak az ingyenes szinten. Az Alapszintű vagy magasabb lehetőséget kell választania.

  3. Válassza a Tovább elemet : Skálázás.

  4. Fogadja el az alapértelmezett beállításokat, és válassza a Tovább: Hálózatkezelés lehetőséget.

  5. A Keresési szolgáltatás létrehozása – Hálózatkezelés területen válassza a Privát végpontkapcsolat (adatok) lehetőséget.

  6. Válassza a + Hozzáadás lehetőséget a Privát végpont alatt.

  7. A Privát végpont létrehozása területen adja meg vagy válassza ki azokat az értékeket, amelyek társítják a keresési szolgáltatást a létrehozott virtuális hálózathoz:

    Beállítás Érték
    Előfizetés Az előfizetés kiválasztása
    Erőforráscsoport Az előző lépésben létrehozott erőforráscsoport használata
    Hely Régió kiválasztása
    Név Adjon meg egy nevet, például a myPrivateEndpointot
    Cél-alforrás Az alapértelmezett searchService elfogadása
    HÁLÓZATI
    Virtuális hálózat Válassza ki az előző lépésben létrehozott virtuális hálózatot
    Alhálózat Az alapértelmezett beállítás kiválasztása
    PRIVÁT DNS-INTEGRÁCIÓ
    Saját DNS integráció engedélyezése Jelölje be a jelölőnégyzetet
    Privát DNS-zóna Fogadja el az alapértelmezett (új) privatelink.search.windows.net

  8. Válassza a Hozzáadás lehetőséget.

  9. Válassza az Áttekintés + létrehozás lehetőséget. Ekkor megjelenik a Felülvizsgálat + létrehozás lap, ahol az Azure ellenőrzi a konfigurációt.

  10. Amikor megjelenik az Ellenőrzés átadott üzenet, válassza a Létrehozás lehetőséget.

  11. Az új szolgáltatás üzembe helyezése után keresse meg a létrehozott erőforrást.

  12. Válassza a Beállítások>gombot a bal oldali tartalommenüben.

  13. Másolja ki az elsődleges rendszergazdai kulcsot a szolgáltatáshoz való csatlakozáskor.

Virtuális gép létrehozása

  1. Az Azure Portal képernyőjének bal felső részén válassza az Erőforrás>számítási>virtuális gép létrehozása lehetőséget.

  2. A Virtuális gép létrehozása – Alapismeretek területen adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    PROJEKT RÉSZLETEI
    Előfizetés Az előfizetés kiválasztása
    Erőforráscsoport Az előző szakaszban létrehozott erőforráscsoport használata
    PÉLDÁNY RÉSZLETEI
    Virtuális gép neve Adjon meg egy nevet, például a saját virtuális gépet
    Régió Válassza ki a régiót
    Rendelkezésre állási beállítások Választhatja a Nincs szükség infrastruktúra-redundanciára lehetőséget, vagy másik lehetőséget is választhat, ha szüksége van a funkciókra
    Kép Válassza a Windows Server 2022 Datacenter: Azure Edition – Gen2 lehetőséget
    Virtuálisgép-architektúra Az alapértelmezett x64 elfogadása
    Méret Az alapértelmezett Standard D2S v3 elfogadása
    RENDSZERGAZDAI FIÓK
    Felhasználónév Adja meg a rendszergazda felhasználónevet. Olyan fiókot használjon, amely érvényes az Azure-előfizetésére. Jelentkezzen be az Azure Portalra a virtuális gépről, hogy kezelni tudja a keresési szolgáltatást.
    Jelszó Adja meg a fiók jelszavát. A jelszónak legalább 12 karakter hosszúságúnak kell lennie, az összetettségre vonatkozó követelmények teljesülése mellett.
    Jelszó megerősítése Jelszó újraküldése
    BEJÖVŐ PORTSZABÁLYOK
    Nyilvános bejövő portok A kijelölt portok alapértelmezett engedélyezése
    Bejövő portok kiválasztása Fogadja el az alapértelmezett RDP-t (3389)

  3. Válassza a Tovább: Lemezek lehetőséget.

  4. A Virtuális gép létrehozása – Lemezek területen fogadja el az alapértelmezett beállításokat, és válassza a Tovább: Hálózatkezelés lehetőséget.

  5. A Virtuális gép létrehozása – Hálózatkezelés területen adja meg a következő értékeket:

    Beállítás Érték
    Virtuális hálózat Válassza ki az előző lépésben létrehozott virtuális hálózatot
    Alhálózat Fogadja el az alapértelmezett 10.1.0.0/24-et
    Nyilvános IP-cím Fogadja el az alapértelmezett beállítást
    Hálózati hálózati biztonsági csoport Az alapértelmezett alapszintű elem elfogadása
    Nyilvános bejövő portok Válassza ki a kijelölt portok alapértelmezett engedélyezése lehetőséget
    Bejövő portok kiválasztása Válassza a HTTP 80, a HTTPS (443) és az RDP (3389) lehetőséget

    Feljegyzés

    Az IPv4-címek CIDR formátumban fejezhetők ki. Ne felejtse el elkerülni a privát hálózatkezeléshez fenntartott IP-tartományt az RFC 1918-ban leírtak szerint:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Válassza a Véleményezés + létrehozás ellenőrzési ellenőrzéshez lehetőséget.

  7. Amikor megjelenik az Ellenőrzés átadott üzenet, válassza a Létrehozás lehetőséget.

Kapcsolódás a virtuális géphez

Töltse le, majd csatlakozzon a virtuális géphez az alábbiak szerint:

  1. A portál keresősávjában keresse meg az előző lépésben létrehozott virtuális gépet.

  2. Válassza a Kapcsolódás lehetőséget. A Csatlakozás gomb kiválasztása után megnyílik a csatlakozás a virtuális géphez.

  3. Válassza az RDP-fájl letöltése lehetőséget. Az Azure létrehoz egy távoli asztali protokollfájlt (.rdp), és letölti azt a számítógépre.

  4. Nyissa meg a letöltött .rdp fájlt.

    1. Ha a rendszer kéri, válassza a Csatlakozás lehetőséget.

    2. Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót.

      Feljegyzés

      Előfordulhat, hogy a További lehetőségek lehetőséget>kell választania: Másik fiók használata a virtuális gép létrehozásakor megadott hitelesítő adatok megadásához.

  5. Kattintson az OK gombra.

  6. A bejelentkezés során egy figyelmeztetés jelenhet meg a tanúsítvánnyal kapcsolatban. Ha figyelmeztetést kap a tanúsítványról, válassza az Igen vagy a Folytatás lehetőséget.

  7. Amint megjelenik a virtuális gép asztala, kis méretűre kell csökkenteni, hogy visszalépjen a helyi asztalra.

Kapcsolatok tesztelése

Ebben a szakaszban ellenőrzi a keresési szolgáltatáshoz való privát hálózati hozzáférést, és privát módon csatlakozik a privát végponthoz.

Ha a keresési szolgáltatás végpontja privát, egyes portálfunkciók le lesznek tiltva. Megtekintheti és kezelheti a szolgáltatásszint-beállításokat, de a portál hozzáférése az indexadatokhoz és a szolgáltatás különböző egyéb összetevőihez, például az indexhez, az indexelőhöz és a képességkészlet-definíciókhoz biztonsági okokból korlátozott.

  1. A myVM távoli asztalán nyissa meg a PowerShellt.

  2. Írja be nslookup [search service name].search.windows.net.

    A következőhöz hasonló üzenet jelenik meg:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. A virtuális gépről csatlakozzon a keresési szolgáltatáshoz, és hozzon létre egy indexet. Ezt a rövid útmutatót követve létrehozhat egy új keresési indexet a szolgáltatásban a REST API használatával. A webes API-teszteszköz kéréseinek beállításához a keresési szolgáltatás végpontja (https://[search service name].search.windows.net) és az előző lépésben másolt rendszergazdai API-kulcs szükséges.

  4. A virtuális gépről történő gyorsútmutató befejezése annak megerősítése, hogy a szolgáltatás teljes mértékben működőképes.

  5. Zárja be a távoli asztali kapcsolatot a myVM-hez.

  6. Annak ellenőrzéséhez, hogy a szolgáltatás nem érhető-e el nyilvános végponton, nyisson meg egy REST-ügyfelet a helyi munkaállomáson, és próbálja meg a rövid útmutató első néhány feladatát. Ha hibaüzenetet kap arról, hogy a távoli kiszolgáló nem létezik, sikeresen konfigurált egy privát végpontot a keresési szolgáltatáshoz.

Privát keresési szolgáltatás elérése az Azure Portal használatával

Ha a keresési szolgáltatás végpontja privát, egyes portálfunkciók le lesznek tiltva. Megtekintheti és kezelheti a szolgáltatásszintű információkat, de az indexelő, az indexelő és a készségkészlet adatai biztonsági okokból rejtve vannak.

A korlátozás megkerüléséhez csatlakozzon az Azure Portalhoz egy böngészőből a virtuális hálózaton belüli virtuális gépen. A portál a privát végpontot használja a kapcsolaton, és betekintést nyújt a tartalomba és a műveletekbe.

  1. Kövesse az alábbi lépéseket egy olyan virtuális gép kiépítéséhez, amely privát végponton keresztül férhet hozzá a keresési szolgáltatáshoz.

  2. Nyisson meg egy böngészőt a virtuális hálózaton lévő virtuális gépen, és jelentkezzen be az Azure Portalra. A portál a virtuális géphez csatlakoztatott privát végpontot használja a keresési szolgáltatáshoz való csatlakozáshoz.

Nyilvános hálózati hozzáférés letiltása

Zárolhat egy keresőszolgáltatást, hogy megakadályozza, hogy a nyilvános internetről érkező kéréseket beengedje. Ehhez a lépéshez használhatja az Azure Portalt.

  1. Az Azure Portalon, a keresési szolgáltatás oldalának bal szélső ablaktábláján válassza a Hálózatkezelés lehetőséget.

  2. Válassza a Tűzfalak és virtuális hálózatok lapon a Letiltva lehetőséget.

Használhatja az Azure CLI-t, az Azure PowerShellt vagy a Felügyeleti REST API-t is a beállítással vagy public-network-access a beállítással public-access disabled.

Az erőforrások eltávolítása

Ha a saját előfizetésében dolgozik, érdemes az egyes projektek végén eldöntenie, hogy szüksége lesz-e még a létrehozott erőforrásokra. A továbbra is futó erőforrások költségekkel járhatnak.

Törölheti az egyes erőforrásokat vagy az erőforráscsoportot a gyakorlatban létrehozott összes elem törléséhez. Jelölje ki az erőforráscsoportot bármely erőforrás áttekintési lapján, majd válassza a Törlés lehetőséget.

Következő lépés

Ebben a cikkben létrehozott egy virtuális gépet egy virtuális hálózaton és egy privát végponttal rendelkező keresőszolgáltatást. Az internetről csatlakozott a virtuális géphez, és biztonságosan kommunikált a keresési szolgáltatással a Private Link használatával. A privát végpontokkal kapcsolatos további információkért lásd : Mi az a privát végpont?