Condividi tramite

Impostazioni consigliate per l'isolamento di rete

  • Articolo

Seguire questa procedura per limitare l'accesso pubblico alle risorse di QnA Maker. Proteggere una risorsa dei servizi di intelligenza artificiale di Azure dall'accesso pubblico configurando la rete virtuale.

Nota

Il servizio QnA Maker viene ritirato il 31 marzo 2025. Una versione più recente della funzionalità di domande e risposte è ora disponibile come parte del linguaggio di intelligenza artificiale di Azure. Per le funzionalità di risposta alle domande all'interno del servizio di linguaggio, vedere La risposta alle domande. A partire dal 1° ottobre 2022 non sarà possibile creare nuove risorse di QnA Maker. Per informazioni sulla migrazione delle knowledge base di QnA Maker esistenti alla risposta alle domande, vedere la guida alla migrazione.

Limitare l'accesso a servizio app (runtime QnA)

È possibile usare ServiceTag CognitiveServicesMangement per limitare l'accesso in ingresso alle regole associate a servizio app o A edizione Standard (ambiente del servizio app). Per altre informazioni sui tag del servizio, vedere l'articolo tag del servizio di rete virtuale.

Servizio app regolari

  1. Aprire Cloud Shell (PowerShell) dal portale di Azure.
  2. Eseguire il comando seguente nella finestra di PowerShell nella parte inferiore della pagina:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Verificare che la regola di accesso aggiunta sia presente nella sezione Restrizioni di accesso della scheda Rete :

    Screenshot of access restriction rule

  2. Per accedere al riquadro Test nel https://qnamaker.ai portale, aggiungere l'indirizzo IP pubblico del computer da cui si vuole accedere al portale. Nella pagina Restrizioni di accesso selezionare Aggiungi regola e consentire l'accesso all'indirizzo IP client.

    Screenshot of access restriction rule with the addition of public IP address

Accesso in uscita da servizio app

Il servizio app QnA Maker richiede l'accesso in uscita all'endpoint seguente. Assicurarsi che sia stato aggiunto all'elenco consenti se sono presenti restrizioni sul traffico in uscita.

Configurare ambiente del servizio app per ospitare servizio app QnA Maker

Il ambiente del servizio app (A edizione Standard) può essere usato per ospitare l'istanza di QnA Maker servizio app. Seguire la procedura descritta di seguito:

  1. Creare una nuova risorsa di Ricerca intelligenza artificiale di Azure.

  2. Creare un edizione Standard A esterno con servizio app.

    • Seguire questa servizio app guida introduttiva per istruzioni. Questo processo può richiedere fino a 1-2 ore.
    • Infine, si avrà un endpoint servizio app che apparirà simile a: https://<app service name>.<ASE name>.p.azurewebsite.net .
    • Esempio: https:// mywebsite.myase.p.azurewebsite.net

  3. Aggiungere le configurazioni del servizio app seguenti:

    Name valore
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearch Amministrazione Key <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Aggiungere l'origine CORS "*" nel servizio app per consentire l'accesso al riquadro Test del https://qnamaker.ai portale. CORS si trova sotto l'intestazione API nel riquadro servizio app.

    Screenshot of CORS interface within App Service UI

  5. Creare un'istanza dei servizi di intelligenza artificiale di Azure di QnA Maker (Microsoft.CognitiveServices/accounts) usando Azure Resource Manager. L'endpoint di QnA Maker deve essere impostato sul servizio app Endpoint creato in precedenza (https:// mywebsite.myase.p.azurewebsite.net). Ecco un modello di Azure Resource Manager di esempio che è possibile usare per riferimento.

QnA Maker può essere distribuito in un ambiente A interno edizione Standard?

Il motivo principale per l'uso di un'A edizione Standard esterna è quindi che il back-end del servizio QnAMaker (API di creazione) possa raggiungere il servizio app tramite Internet. Tuttavia, è comunque possibile proteggerlo aggiungendo una restrizione di accesso in ingresso per consentire solo le connessioni dagli indirizzi associati al tag del CognitiveServicesManagement servizio.

Se si vuole comunque usare un'A edizione Standard interna, è necessario esporre l'app QnA Maker specifica in A edizione Standard in un dominio pubblico tramite il certificato TLS/SSL DNS del gateway app. Per altre informazioni, vedere questo articolo sulla distribuzione aziendale di servizio app.

Limitare l'accesso alla risorsa di Ricerca cognitiva

L'istanza di Ricerca cognitiva può essere isolata tramite un endpoint privato dopo la creazione delle risorse di QnA Maker. Usare la procedura seguente per bloccare l'accesso:

  1. Creare una nuova rete virtuale (VNet) o usare una rete virtuale esistente di A edizione Standard (ambiente del servizio app).

  2. Aprire la risorsa rete virtuale, quindi nella scheda Subnet creare due subnet. Uno per il servizio app (appservicesubnet) e un'altra subnet (searchservicesubnet) per la risorsa di Ricerca cognitiva senza delega.

    Screenshot of virtual networks subnets UI interface

  3. Nella scheda Rete della scheda Cognitive servizio di ricerca instance switch endpoint connectivity data from public to private (Connettività degli endpoint da pubblica a privata). Questa operazione è un processo a esecuzione prolungata e può richiedere fino a 30 minuti .

    Screenshot of networking UI with public/private toggle button

  4. Dopo che la risorsa di ricerca è passata a privata, selezionare Aggiungi endpoint privato.

    • Scheda Informazioni di base: assicurarsi di creare l'endpoint nella stessa area della risorsa di ricerca.
    • Scheda Risorsa: selezionare la risorsa di ricerca richiesta di tipo Microsoft.Search/searchServices.

    Screenshot of create a private endpoint UI window

    • Scheda Configurazione: usare la rete virtuale, la subnet (searchservicesubnet) creata nel passaggio 2. Successivamente, nella sezione DNS privato integrazione selezionare la sottoscrizione corrispondente e creare una nuova zona DNS privata denominata privatelink.search.windows.net.

    Screenshot of create private endpoint UI window with subnet field populated

  5. Abilitare l'integrazione della rete virtuale per il normale servizio app. È possibile ignorare questo passaggio per A edizione Standard, perché ha già accesso alla rete virtuale.

    • Passare alla sezione Rete servizio app e aprire Integrazione rete virtuale.
    • Collegamento alla rete virtuale dedicata servizio app, subnet (appservicevnet) creata nel passaggio 2.

    Screenshot of VNET integration UI

Creare endpoint privati nella risorsa di Ricerca di Azure.

Seguire questa procedura per limitare l'accesso pubblico alle risorse di QnA Maker. Proteggere una risorsa dei servizi di intelligenza artificiale di Azure dall'accesso pubblico configurando la rete virtuale.

Dopo aver limitato l'accesso alla risorsa del servizio Di intelligenza artificiale di Azure in base alla rete virtuale, per esplorare le knowledge base nel https://qnamaker.ai portale dalla rete locale o dal browser locale.

  • Concedere l'accesso alla rete locale.

  • Concedere l'accesso al browser/computer locale.

  • Aggiungere l'indirizzo IP pubblico del computer nella sezione Firewall della scheda Rete . Per impostazione predefinita portal.azure.com , mostra l'indirizzo IP pubblico del computer di esplorazione corrente (selezionare questa voce) e quindi selezionare Salva.

    Screenshot of firewall and virtual networks configuration UI