Bagikan melalui

Membuat titik akhir privat untuk koneksi aman ke Azure AI Search

  • Artikel

Artikel ini menjelaskan cara mengonfigurasi koneksi privat ke Azure AI Search sehingga mengakui permintaan dari klien di jaringan virtual alih-alih melalui koneksi internet publik:

Sumber daya Azure lainnya yang mungkin tersambung secara privat ke Azure AI Search termasuk Azure OpenAI untuk skenario "gunakan data Anda sendiri". Azure AI Studio tidak berjalan di jaringan virtual, tetapi dapat dikonfigurasi di backend untuk mengirim permintaan melalui jaringan backbone Microsoft. Konfigurasi untuk pola lalu lintas ini diaktifkan oleh Microsoft saat permintaan Anda dikirimkan dan disetujui. Untuk skenario ini:

  • Ikuti instruksi dalam artikel ini untuk menyiapkan titik akhir privat.
  • Aktifkan layanan tepercaya sumber daya pencarian Anda dari portal Azure.
  • Secara opsional, nonaktifkan akses jaringan publik jika koneksi hanya boleh berasal dari klien di jaringan virtual atau dari Azure OpenAI melalui koneksi titik akhir privat.

Poin utama tentang titik akhir privat

Titik akhir privat disediakan oleh Azure Private Link, sebagai layanan terpisah yang dapat ditagih. Untuk informasi selengkapnya tentang biaya, lihat Harga Azure Private Link.

Setelah layanan pencarian memiliki titik akhir privat, akses portal ke layanan tersebut harus dimulai dari sesi browser pada komputer virtual di dalam jaringan virtual. Lihat langkah ini untuk detailnya.

Anda dapat membuat titik akhir privat untuk layanan pencarian di portal Azure, seperti yang dijelaskan dalam artikel ini. Atau, Anda dapat menggunakan Management REST API, Azure PowerShell, atau Azure CLI.

Mengapa menggunakan titik akhir privat?

Titik akhir privat untuk Azure AI Search memungkinkan klien di jaringan virtual mengakses data dengan aman dalam indeks pencarian melalui Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat jaringan virtual untuk layanan penelusuran Anda. Lalu lintas jaringan antara klien dan layanan penelusuran melintasi jaringan virtual dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan dari internet publik. Untuk daftar layanan PaaS lain yang mendukung Private Link, periksa bagian ketersediaan dalam dokumentasi produk.

Titik akhir privat untuk layanan pencarian memungkinkan Anda untuk:

  • Blokir semua koneksi di titik akhir publik untuk layanan penelusuran Anda.
  • Tingkatkan keamanan untuk jaringan virtual, dengan memungkinkan Anda memblokir eksfiltrasi data dari jaringan virtual.
  • Sambungkan dengan aman ke layanan penelusuran Anda dari jaringan lokal yang tersambung ke jaringan virtual menggunakan VPN atau ExpressRoutes dengan peering privat.

Membuat jaringan virtual

Di bagian ini, Anda membuat jaringan virtual dan subnet untuk menghosting VM yang akan digunakan untuk mengakses titik akhir privat layanan pencarian Anda.

  1. Dari tab beranda portal Azure, pilih Buat sumber daya>Jaringan>Jaringan virtual.

  2. Di Buat jaringan virtual, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Anda
    Grup sumber daya Pilih Buat baru, masukkan nama, seperti myResourceGroup, lalu pilih OK
    Nama Masukkan nama, seperti MyVirtualNetwork
    Wilayah Pilih wilayah

  3. Menerima default untuk pengaturan lainnya. Pilih Ulas + buat, lalu pilih Buat.

Buat layanan penelusuran dengan titik akhir privat

Di bagian ini, Anda membuat azure AI baru layanan Pencarian dengan titik akhir privat.

  1. Di sisi kiri atas layar di portal Azure, pilih Buat AI sumber daya>+ Pencarian AI pembelajaran>mesin.

  2. Di Buat layanan pencarian - Dasar-dasar, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    DETAIL PROYEK
    Langganan Pilih langganan Anda
    Grup sumber daya Gunakan grup sumber daya yang Anda buat di langkah sebelumnya
    DETAIL INSTANS
    URL Masukkan nama yang unik
    Lokasi Pilih wilayah Anda
    Tingkatan harga Pilih Ubah Tingkat Harga dan pilih tingkat layanan yang Anda inginkan. Titik akhir privat tidak didukung pada tingkat Gratis . Anda harus memilih Dasar atau lebih tinggi.

  3. Pilih Berikutnya: Skala.

  4. Terima default dan pilih Selanjutnya: Jaringan.

  5. Di Buat layanan pencarian - Jaringan, pilih Privat untuk Konektivitas titik akhir (data).

  6. Pilih + Tambahkan di bawah Titik akhir privat.

  7. Di Buat titik akhir privat, masukkan atau pilih nilai yang mengaitkan layanan pencarian Anda dengan jaringan virtual yang Anda buat:

    Pengaturan Nilai
    Langganan Pilih langganan Anda
    Grup sumber daya Gunakan grup sumber daya yang Anda buat di langkah sebelumnya
    Lokasi Pilih wilayah
    Nama Masukkan nama, seperti myPrivateEndpoint
    Subresource target Menerima searchService default
    JARINGAN
    Jaringan virtual Pilih jaringan virtual yang Anda buat di langkah sebelumnya
    Subnet Pilih default
    INTEGRASI DNS PRIVAT
    Mengaktifkan Integrasi DNS Privat Pilih kotak centang
    Zona DNS Privat Terima privatelink.search.windows.net default (Baru)

  8. Pilih Tambahkan.

  9. Pilih Tinjau + buat. Anda dibawa ke halaman Tinjau + buat di mana Azure memvalidasi konfigurasi Anda.

  10. Setelah muncul pesan Validasi berhasil, pilih Buat.

  11. Setelah provisi layanan baru Anda selesai, telusuri ke sumber daya yang Anda buat.

  12. Pilih Tombol Pengaturan>dari menu konten kiri.

  13. Salin Kunci admin utama untuk nanti, saat menyambung ke layanan.

Membuat mesin virtual

  1. Di sisi kiri atas layar di portal Azure, pilih Buat sumber daya>Komputasi>Komputer virtual.

  2. Di Buat komputer virtual - Dasar-dasar, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    DETAIL PROYEK
    Langganan Pilih langganan Anda
    Grup sumber daya Gunakan grup sumber daya yang Anda buat di bagian sebelumnya
    DETAIL INSTANS
    Nama komputer virtual Masukkan nama, seperti my-vm
    Wilayah Pilih wilayah Anda
    Opsi ketersediaan Anda dapat memilih Tidak ada redundansi infrastruktur yang diperlukan, atau memilih opsi lain jika Anda memerlukan fungsionalitas
    Gambar Pilih Pusat Data Windows Server 2022: Edisi Azure - Gen2
    Arsitektur Mesin virtual Terima x64 default
    Ukuran Menerima Standar default D2S v3
    AKUN ADMINISTRATOR
    Nama Pengguna Masukkan nama pengguna administrator. Gunakan akun yang valid untuk langganan Azure Anda. Masuk ke portal Azure dari VM sehingga Anda dapat mengelola layanan pencarian Anda.
    Kata sandi Masukkan kata sandi akun. Panjang kata sandi harus minimal 12 karakter dan memenuhi persyaratan kompleksitas yang ditentukan.
    Konfirmasi Kata Sandi Masukkan ulang kata sandi
    ATURAN PORT MASUK
    Port masuk publik Terima default Izinkan port terpilih
    Pilih port masuk Menerima RDP default (3389)

  3. Pilih Selanjutnya:Disk.

  4. Di Buat komputer virtual - Disk, terima default dan pilih Berikutnya: Jaringan.

  5. Di Buat komputer virtual - Jaringan, berikan nilai berikut:

    Pengaturan Nilai
    Jaringan virtual Pilih jaringan virtual yang Anda buat di langkah sebelumnya
    Subnet Terima default 10.1.0.0/24
    IP Publik Menerima default
    kelompok keamanan jaringan NIC Menerima Dasar default
    Port masuk publik Pilih default Izinkan port yang dipilih
    Pilih port masuk Pilih HTTP 80, HTTPS (443), dan RDP (3389)

    Catatan

    Alamat IPv4 dapat dinyatakan dalam format CIDR. Ingatlah untuk menghindari rentang IP yang disediakan untuk jaringan privat, seperti yang dijelaskan dalam RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Pilih Tinjau + buat untuk pemeriksaan validasi.

  7. Setelah muncul pesan Validasi berhasil, pilih Buat.

Menyambungkan ke VM

Unduh lalu sambungkan ke komputer virtual sebagai berikut:

  1. Di bilah pencarian portal, cari komputer virtual yang dibuat di langkah sebelumnya.

  2. Pilih Sambungkan. Setelah memilih tombol Sambungkan, Sambungkan ke komputer virtual akan terbuka.

  3. Pilih Unduh File RDP. Azure membuat file Protokol Desktop Jauh (.rdp) dan mengunduhnya ke komputer Anda.

  4. Buka file .rdp yang diunduh.

    1. Ketika diminta, pilih Sambungkan.

    2. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat VM.

      Catatan

      Anda mungkin perlu memilih Pilihan lainnya>Gunakan akun lain, untuk menentukan info masuk yang Anda masukkan saat membuat VM.

  5. Pilih OK.

  6. Anda mungkin menerima peringatan sertifikat selama proses masuk. Jika Anda menerima peringatan sertifikat, pilih Ya atau Lanjutkan.

  7. Setelah desktop VM muncul, kecilkan untuk kembali ke desktop lokal Anda.

Menguji koneksi

Di bagian ini, Anda memverifikasi akses jaringan privat ke layanan pencarian dan terhubung secara privat ke menggunakan Titik Akhir Privat.

Jika titik akhir layanan penelusuran bersifat privat, beberapa fitur portal dinonaktifkan. Anda dapat melihat dan mengelola pengaturan tingkat layanan, tetapi akses portal ke data indeks dan berbagai komponen lain dalam layanan, seperti definisi indeks, pengindeks, dan skillset, dibatasi karena alasan keamanan.

  1. Di Desktop Jauh myVM, buka PowerShell.

  2. Memasuki nslookup [search service name].search.windows.net.

    Anda akan menerima pesan yang mirip dengan pesan berikut:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Dari VM, sambungkan ke layanan penelusuran dan buat file index. Anda dapat mengikuti mulai cepat ini untuk membuat indeks penelusuran baru di layanan Anda menggunakan REST API. Menyiapkan permintaan dari alat uji API Web memerlukan titik (https://[search service name].search.windows.net) akhir layanan pencarian dan kunci api admin yang Anda salin di langkah sebelumnya.

  4. Menyelesaikan panduan mulai cepat dari VM adalah konfirmasi Anda bahwa layanan beroperasi penuh.

  5. Tutup sambungan desktop jauh ke myVM.

  6. Untuk memverifikasi bahwa layanan Anda tidak dapat diakses di titik akhir publik, buka klien REST di stasiun kerja lokal Anda dan coba beberapa tugas pertama dalam mulai cepat. Jika Anda menerima kesalahan bahwa server jarak jauh tidak ada, Anda berhasil mengonfigurasi titik akhir privat untuk layanan pencarian Anda.

Menggunakan portal Azure untuk mengakses layanan pencarian privat

Jika titik akhir layanan penelusuran bersifat privat, beberapa fitur portal dinonaktifkan. Anda dapat melihat dan mengelola informasi tingkat layanan, tetapi informasi indeks, pengindeks, dan keterampilan disembunyikan karena alasan keamanan.

Untuk mengatasi pembatasan ini, sambungkan ke portal Azure dari browser pada komputer virtual di dalam jaringan virtual. Portal menggunakan titik akhir privat pada koneksi dan memberi Anda visibilitas ke dalam konten dan operasi.

  1. Ikuti langkah-langkah untuk menyediakan VM yang dapat mengakses layanan pencarian melalui titik akhir privat.

  2. Pada komputer virtual di jaringan virtual Anda, buka browser dan masuk ke portal Azure. Portal menggunakan titik akhir privat yang dilampirkan ke komputer virtual untuk terhubung ke layanan pencarian Anda.

Nonaktifkan akses jaringan publik

Anda dapat mengunci layanan pencarian untuk mencegahnya menerima permintaan apa pun dari internet publik. Anda dapat menggunakan portal Azure untuk langkah ini.

  1. Di portal Azure, di panel paling kiri halaman layanan pencarian Anda, pilih Jaringan.

  2. Pilih Dinonaktifkan pada tab Firewall dan jaringan virtual.

Anda juga dapat menggunakan Azure CLI, Azure PowerShell, atau REST API Manajemen, dengan mengatur public-access atau public-network-access ke disabled.

Membersihkan sumber daya

Saat bekerja dengan langganan Anda sendiri, sebaiknya identifikasi apakah Anda masih membutuhkan sumber daya yang Anda buat di akhir proyek. Sumber daya yang dibiarkan berjalan dapat menghabiskan uang Anda.

Anda dapat menghapus sumber daya individual atau grup sumber daya untuk menghapus semua yang Anda buat dalam latihan ini. Pilih grup sumber daya di halaman gambaran umum sumber daya apa pun, lalu pilih Hapus.

Langkah selanjutnya

Dalam artikel ini, Anda membuat VM di jaringan virtual dan layanan pencarian dengan titik akhir privat. Anda terhubung ke VM dari internet dan berkomunikasi dengan aman ke layanan penelusuran menggunakan Private Link. Untuk mempelajari selengkapnya tentang titik akhir privat, lihat Apa itu titik akhir privat?