Creare un endpoint privato per una connessione sicura as Azure AI Search

Questo articolo illustra come configurare una connessione privata a Ricerca intelligenza artificiale di Azure in modo che ammetta le richieste dai client in una rete virtuale anziché tramite una connessione Internet pubblica.

Prerequisiti

• Servizio Ricerca intelligenza artificiale di Azure (livello Basic o superiore). Gli endpoint privati non sono supportati nel livello Gratuito.
• Ruolo Collaboratore o Proprietario nel gruppo di risorse in cui si creano le risorse.
• Un'area comune con disponibilità per Ricerca di intelligenza artificiale di Azure, una rete virtuale e una macchina virtuale. Tutte e tre le risorse devono trovarsi nella stessa area.
• Familiarità con i concetti relativi alla rete virtuale di Azure (facoltativo ma consigliato).

Informazioni generali

Questo articolo illustra i passaggi seguenti:

1. Creare una rete virtuale di Azure (o usarne una esistente)
2. Configurare un servizio di ricerca con un endpoint privato
3. Creare una macchina virtuale di Azure nella stessa rete virtuale
4. Testare la connessione dalla macchina virtuale

Gli endpoint privati vengono forniti dal collegamento privato di Azure come servizio separato fatturabile. Per altre informazioni sui costi, vedere Prezzi collegamento privato di Azure.

È possibile creare un endpoint privato usando il portale di Azure (descritto in questo articolo), l'API REST di gestione, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Perché usare un endpoint privato?

Gli endpoint privati per Azure AI Search consentono a un client in una rete virtuale di accedere in modo sicuro ai dati in un indice di ricerca tramite un collegamento privato. L'endpoint privato usa un indirizzo IP dello spazio indirizzi della rete virtuale per il servizio di ricerca. Il traffico di rete tra il client e il servizio di ricerca attraversa la rete virtuale e un collegamento privato sulla rete backbone Microsoft, eliminando l'esposizione alla rete Internet pubblica. Per un elenco di altri servizi PaaS che supportano il collegamento privato, vedere la sezione disponibilità nella documentazione del prodotto.

Gli endpoint privati per il servizio di ricerca consentono di:

• Bloccare tutte le connessioni nell'endpoint pubblico per il servizio di ricerca.
• Aumentare la sicurezza per la rete virtuale, permettendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
• Connettersi in modo sicuro alla propria applicazione da reti locali che si connettono alla rete virtuale utilizzando una VPN o un peering privato ExpressRoutes.

Creare la rete virtuale

In questa sezione si crea una rete virtuale e una subnet per ospitare la macchina virtuale che verrà usata per accedere all'endpoint privato del servizio di ricerca.

1. Nella scheda Home del portale di Azure selezionare Crea una risorsa> Retevirtuale> infrastruttura.

2. In Crea rete virtuale immettere o selezionare i valori seguenti:

   Impostazione	valore
   Abbonamento	Selezionare la propria sottoscrizione
   Gruppo di risorse	Selezionare Crea nuovo, immettere un nome, ad esempio myResourceGroup, quindi scegliere OK
   Nome	Immettere un nome, ad esempio MyVirtualNetwork
   Region	Selezionare un'area

3. Accettare le impostazioni predefinite per il resto delle impostazioni. Selezionare Rivedi e crea e quindi Crea.

Creare un servizio di ricerca con un endpoint privato

In questa sezione si crea un nuovo servizio di Azure AI Search con un endpoint privato.

1. Nel lato superiore sinistro della schermata nel portale di Azure, selezionare Crea una risorsa>Machine Learning>Ricerca AI.

2. In Crea servizio di ricerca - Dati principali, immettere o selezionare i valori seguenti:

   Impostazione	valore
   DETTAGLI DEL PROGETTO
   Abbonamento	Selezionare la propria sottoscrizione
   Gruppo di risorse	Usare il gruppo di risorse creato nel passaggio precedente
   DETTAGLI DELL'ISTANZA
   URL	Immettere un nome univoco
   Location	Selezionare un'area. Scegliere un'area che fornisce Ricerca di intelligenza artificiale di Azure.
   Piano tariffario	Selezionare Cambia piano tariffario e scegliere il livello di servizio desiderato. Gli endpoint privati non sono supportati nel livello Gratuito. È necessario selezionare Basic o versione successiva.

3. Selezionare Avanti: Ridimensiona.

4. Accettare le impostazioni predefinite e selezionare Avanti: Networking.

5. In Crea servizio di ricerca - Rete, selezionare Privato per Connettività endpoint (dati).

6. Selezionare + Aggiungi in Endpoint privato.

7. In Crea endpoint privato, immettere o selezionare i valori che associano il servizio di ricerca alla rete virtuale creata:

   Impostazione	valore
   Abbonamento	Selezionare la propria sottoscrizione
   Gruppo di risorse	Usare il gruppo di risorse creato nel passaggio precedente
   Location	Scegliere un'area. Scegliere la stessa area usata dalla rete virtuale.
   Nome	Immettere un nome, ad esempio myPrivateEndpoint
   Sottorisorsa di destinazione	Accettare il valore predefinito searchService
   RETE
   Rete virtuale	Selezionare la rete virtuale creata nel passaggio precedente
   Subnet	Selezionare l'opzione predefinita
   INTEGRAZIONE DNS PRIVATO
   Integra con la zona DNS privato	Selezionare Sì.
   Zona DNS privato	Accettare l'impostazione predefinita (Nuovo) privatelink.search.windows.net

8. Selezionare Aggiungi.

9. Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.

10. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

11. Al termine del provisioning del nuovo servizio, passare alla risorsa creata.

12. Selezionare Impostazioni>Chiavi dal menu del contenuto a sinistra.

13. Copiare la chiave amministrazione primaria per usarla in seguito, quando ci si connette al servizio.

Creare una macchina virtuale

1. In alto a sinistra della schermata del portale di Azure, selezionare Crea una risorsa>Servizi di infrastruttura>Macchina virtuale.

2. In Crea una macchina virtuale - Dati principali immettere o selezionare i valori seguenti:

   Impostazione	valore
   DETTAGLI DEL PROGETTO
   Abbonamento	Selezionare la propria sottoscrizione
   Gruppo di risorse	Usare il gruppo di risorse creato nella sezione precedente
   DETTAGLI DELL'ISTANZA
   Nome della macchina virtuale	Immettere un nome, ad esempio my-vm
   Region	Selezionare l'area
   Opzioni di disponibilità	È possibile scegliere Nessuna ridondanza di infrastruttura necessariaoppure, se è necessaria la funzionalità, selezionare un'altra opzione
   Tipo di sicurezza	Accettare le macchine virtuali di avvio attendibili predefinite
   Immagine	Selezionare Windows Server 2025 Datacenter: Azure Edition - x64 Gen2
   Architettura della macchina virtuale	Accettare il valore predefinito x64
   Dimensione	Accettare il valore predefinito Standard D2S v3
   ACCOUNT AMMINISTRATORE
   Nome utente	Immettere il nome utente dell'amministratore. Usare un account valido per la sottoscrizione di Azure. Accedere al portale di Azure dalla macchina virtuale in modo da poter gestire il servizio di ricerca.
   Parola chiave	Immettere la password dell'account. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti.
   Conferma la password	Reimmettere la password
   REGOLE PORTA IN INGRESSO
   Porte in ingresso pubbliche	Accettare l'impostazione predefinita Consenti porte selezionate
   Selezionare le porte in ingresso	Accettare il valore predefinito RDP (3389)

3. Selezionare Avanti:Dischi.

4. In Crea una macchina virtuale - Dischi, accettare le impostazioni predefinite e selezionare Avanti: Rete.

5. In Crea una macchina virtuale - Retespecificare i valori seguenti:

   Impostazione	valore
   Rete virtuale	Selezionare la rete virtuale creata in un passaggio precedente
   Subnet	Accettare il valore predefinito 10.1.0.0/24
   IP pubblico	Accettare il valore predefinito
   Gruppo di sicurezza di rete della scheda di interfaccia di rete	Accettare il valore predefinito Basic
   Porte in ingresso pubbliche	Selezionare il valore predefinito Consenti porte selezionate
   Selezionare le porte in ingresso	Selezionare HTTP 80, HTTPS (443) e RDP (3389)

   Note

   Gli indirizzi IPv4 possono essere espressi in formato CIDR. Ricordare di evitare l'intervallo IP riservato per la rete privata, come descritto in RFC 1918:

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. Selezionare Rivedi e crea per un controllo di convalida.

7. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Connettersi alla VM

Scaricare e quindi connettersi alla macchina virtuale come indicato di seguito:

1. Nella barra di ricerca del portale di Azure, cercare la macchina virtuale creata nel passaggio precedente.

2. Selezionare Connetti. Dopo aver selezionato il pulsante Connetti viene aperta la finestra Connetti alla macchina virtuale.

3. Selezionare Scarica file RDP. Azure crea e scarica nel computer un file Remote Desktop Protocol con estensione .rdp.

4. Aprire il file con estensione .rdp scaricato.

   1. Quando richiesto, selezionare Connetti.

   2. Immettere il nome utente e la password specificati al momento della creazione della macchina virtuale.

      Note

      Potrebbe essere necessario selezionare Altre opzioni>Usa un account diverso per specificare le credenziali immesse al momento della creazione della macchina virtuale.

5. Selezionare OK.

6. Durante il processo di accesso potrebbe essere visualizzato un avviso relativo al certificato. Se si riceve un avviso relativo al certificato, selezionare Sì oppure Continua.

7. Quando viene visualizzato il desktop della macchina virtuale, ridurlo a icona per tornare al desktop locale.

Testare le connessioni

In questa sezione viene verificato l'accesso alla rete privata al servizio di ricerca e ci si connette privatamente all'oggetto usando l'endpoint privato.

Se l'endpoint del servizio di ricerca è privato, alcune funzionalità del portale sono disabilitate. È possibile visualizzare e gestire le impostazioni a livello di servizio, ma l'accesso del portale ai dati di indicizzazione e a vari altri componenti del servizio, ad esempio le definizioni di indice, indicizzatore e set di competenze, è limitato per motivi di sicurezza.

1. Nel Desktop remoto di myVm1 aprire PowerShell.

2. Immettere nslookup [search service name].search.windows.net.

   Verrà visualizzato un messaggio simile al seguente:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

   Nel privatelink campo Nome e nell'indirizzo IP privato (10.x.x.x) nel campo Indirizzo verificare che l'endpoint privato sia configurato correttamente.

3. Dalla VM connettersi al servizio di ricerca e creare un indice. È possibile seguire questa guida di avvio rapido per creare un nuovo indice di ricerca nel servizio usando l'API REST. La configurazione delle richieste da uno strumento di test dell'API Web richiede l'endpoint del servizio di ricerca (https://[search service name].search.windows.net) e la chiave API di amministrazione copiata in un passaggio precedente.

   Reference:Create Index (API REST)

4. Il completamento dell'avvio rapido dalla VM rappresenta la conferma che il servizio è completamente operativo.

5. Chiudere la connessione Desktop remoto a myVm.

6. Per verificare che il servizio non sia accessibile in un endpoint pubblico, aprire un client REST nella workstation locale e tentare le prime attività nell'avvio rapido. Se si riceve un errore indicante che il server remoto non esiste, significa che è stato configurato correttamente un endpoint privato per il servizio di ricerca.

Usare il portale di Azure per accedere a un servizio di ricerca privato

Se l'endpoint del servizio di ricerca è privato, alcune funzionalità del portale sono disabilitate. È possibile visualizzare e gestire le informazioni sul livello di servizio, ma le informazioni su indice, indicizzatore e set di competenze sono nascoste per motivi di sicurezza.

Per ovviare a questa restrizione, connettersi al portale di Azure da un browser in una macchina virtuale all'interno della rete virtuale. Il portale di Azure usa l'endpoint privato nella connessione e offre visibilità sul contenuto e sulle operazioni.

1. Seguire i passi per effettuare il provisioning di una VM in grado di accedere al servizio di ricerca tramite un endpoint privato.

2. In una macchina virtuale nella rete virtuale, aprire un browser e accedere al portale di Azure. Il portale di Azure usa l'endpoint privato collegato alla macchina virtuale per connettersi al servizio di ricerca.

Disabilitare l'accesso alla rete pubblica

È possibile bloccare un servizio di ricerca per impedirne l'accettazione di qualsiasi richiesta dalla rete Internet pubblica. Per questo passaggio è possibile usare il portale di Azure.

1. Nel portale di Azure selezionare Rete, nel riquadro più a sinistra della pagina del servizio di ricerca.

2. Selezionare Disabilitato nella scheda Firewall e reti virtuali.

È anche possibile usare l'interfaccia della riga di comando di Azure, Azure PowerShell o API REST di gestione, impostando public-access o public-network-access su disabled.

Pulire le risorse

Quando si lavora nella propria sottoscrizione, alla fine di un progetto è opportuno verificare se le risorse create sono ancora necessarie. L'esecuzione continua delle risorse può avere un costo.

È possibile eliminare le singole risorse o il gruppo di risorse, per eliminare tutti gli elementi creati in questo esercizio. Selezionare il gruppo di risorse nella pagina di panoramica di una risorsa, quindi selezionare Elimina.

Passaggio successivo

In questo articolo è stata creata una macchina virtuale in una rete virtuale e un servizio di ricerca con un endpoint privato. È stata effettuata la connessione alla VM da Internet ed è stata stabilita una comunicazione al servizio di ricerca usando il collegamento privato. Per altre informazioni sugli endpoint privati, vedere Che cos'è un endpoint privato?