Creare un endpoint privato per una connessione sicura a Ricerca di intelligenza artificiale di Azure
Questo articolo illustra come configurare una connessione privata a Ricerca intelligenza artificiale di Azure in modo che ammetta le richieste dai client in una rete virtuale anziché tramite una connessione Internet pubblica:
- Creare una rete virtuale di Azure (o usarne una esistente)
- Configurare un servizio di ricerca per l'uso di un endpoint privato
- Creare una macchina virtuale di Azure nella stessa rete virtuale
- Testare l'uso di una sessione del browser nella macchina virtuale
Altre risorse di Azure che potrebbero connettersi privatamente a Ricerca di intelligenza artificiale di Azure includono Azure OpenAI per scenari di "uso di dati personalizzati". Azure OpenAI Studio non viene eseguito in una rete virtuale, ma può essere configurato nel back-end per inviare richieste tramite la rete backbone Microsoft. La configurazione per questo modello di traffico è abilitata da Microsoft quando la richiesta viene inviata e approvata. Per questo scenario:
- Seguire le istruzioni in questo articolo per configurare l'endpoint privato.
- Inviare una richiesta per Azure OpenAI Studio per connettersi usando l'endpoint privato.
- Facoltativamente, disabilitare l'accesso alla rete pubblica se le connessioni devono avere origine solo dai client nella rete virtuale o da Azure OpenAI tramite una connessione endpoint privato.
Punti chiave sugli endpoint privati
Gli endpoint privati vengono forniti da collegamento privato di Azure, come servizio fatturabile separato. Per altre informazioni sui costi, vedere la pagina dei prezzi.
Dopo che un servizio di ricerca ha un endpoint privato, l'accesso al portale a tale servizio deve essere avviato da una sessione del browser in una macchina virtuale all'interno della rete virtuale. Per informazioni dettagliate, vedere questo passaggio .
È possibile creare un endpoint privato per un servizio di ricerca nel portale di Azure, come descritto in questo articolo. In alternativa, è possibile usare la versione dell'API REST di gestione, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Perché usare un endpoint privato?
Gli endpoint privati per Ricerca intelligenza artificiale di Azure consentono a un client in una rete virtuale di accedere in modo sicuro ai dati in un indice di ricerca in un collegamento privato. L'endpoint privato usa un indirizzo IP dallo spazio di indirizzi della rete virtuale per il servizio di ricerca. Il traffico di rete tra il client e il servizio di ricerca attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica. Per un elenco di altri servizi PaaS che supportano collegamento privato, vedere la sezione relativa alla disponibilità nella documentazione del prodotto.
Gli endpoint privati per il servizio di ricerca consentono di:
- Bloccare tutte le connessioni nell'endpoint pubblico per il servizio di ricerca.
- Aumentare la sicurezza per la rete virtuale, consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
- Connettersi in modo sicuro al servizio di ricerca da reti locali che si connettono alla rete virtuale tramite VPN o ExpressRoutes con peering privato.
Creare la rete virtuale
In questa sezione si creerà una rete virtuale e una subnet per ospitare la macchina virtuale che verrà usata per accedere all'endpoint privato del servizio di ricerca.
Nella scheda portale di Azure home selezionare Crea una risorsa>Rete>virtuale di rete.
In Crea rete virtuale immettere o selezionare i valori seguenti:
Impostazione Valore Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo, immettere un nome, ad esempio "myResourceGroup", quindi selezionare OK. Nome Immettere un nome, ad esempio "MyVirtualNetwork". Paese Scegliere un'area. Accettare le impostazioni predefinite per le altre impostazioni. Selezionare Rivedi e crea e quindi Crea.
Creare un servizio di ricerca con un endpoint privato
In questa sezione si creerà un nuovo servizio di ricerca di intelligenza artificiale di Azure con un endpoint privato.
Nel lato superiore sinistro della schermata nella portale di Azure selezionare Crea una risorsa Ricerca intelligenza>artificiale di Azure Web.>
In Nuovo servizio di ricerca - Informazioni di base immettere o selezionare i valori seguenti:
Impostazione Valore DETTAGLI DEL PROGETTO Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Usare il gruppo di risorse creato nel passaggio precedente. DETTAGLI DELL'ISTANZA URL Immettere un nome univoco. Ufficio Selezionare un'area. Piano tariffario Selezionare Cambia piano tariffario e scegliere il livello di servizio desiderato. Gli endpoint privati non sono supportati nel livello Gratuito . È necessario selezionare Basic o versione successiva. Selezionare Avanti: Ridimensiona.
Accettare le impostazioni predefinite e selezionare Avanti: Rete.
In New Search Service - Networking (Nuovo servizio di ricerca - Rete) selezionare Privato per Connettività endpoint (dati).
Selezionare + Aggiungi in Endpoint privato.
In Crea endpoint privato immettere o selezionare i valori che associano il servizio di ricerca alla rete virtuale creata:
Impostazione Valore Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Usare il gruppo di risorse creato nel passaggio precedente. Ufficio Scegliere un'area. Nome Immettere un nome, ad esempio "myPrivateEndpoint". Sottorisorsa di destinazione Accettare il valore searchService predefinito. RETE Rete virtuale Selezionare la rete virtuale creata nel passaggio precedente. Subnet Selezionare l'impostazione predefinita. INTEGRAZIONE DNS PRIVATO Integra con la zona DNS privato Accettare il valore predefinito "Sì". Zona DNS privato Accettare il privatelink.search.windows.net predefinito (Nuovo). Seleziona OK.
Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.
Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.
Al termine del provisioning del nuovo servizio, passare alla risorsa creata.
Selezionare Chiavi dal menu del contenuto a sinistra.
Copiare la chiave di amministrazione primaria per un secondo momento, quando ci si connette al servizio.
Creare una macchina virtuale
Nel lato superiore sinistro della schermata nella portale di Azure selezionare >Crea una macchina virtuale di calcolo risorsa.>
In Creare una macchina virtuale - Informazioni di base immettere o selezionare i valori seguenti:
Impostazione Valore DETTAGLI DEL PROGETTO Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Usare il gruppo di risorse creato nella sezione precedente. DETTAGLI DELL'ISTANZA Virtual machine name Immettere un nome, ad esempio "my-vm". Paese Selezionare un'area. Opzioni di disponibilità È possibile scegliere Nessuna ridondanza dell'infrastruttura necessaria oppure selezionare un'altra opzione se è necessaria la funzionalità. Immagine Selezionare Windows Server 2022 Datacenter: Azure Edition - Gen2. Architettura della macchina virtuale Accettare l'impostazione predefinita x64. Dimensione Accettare l'impostazione predefinita Standard D2S v3. ACCOUNT AMMINISTRATORE Username Immettere il nome utente dell'amministratore. Usare un account valido per la sottoscrizione di Azure. Si vuole accedere al portale di Azure dalla macchina virtuale in modo da poter gestire il servizio di ricerca. Password Immettere la password dell'account. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti. Conferma password Reimmettere la password. REGOLE PORTA IN INGRESSO Porte in ingresso pubbliche Accettare l'impostazione predefinita Consenti porte selezionate. Selezionare le porte in ingresso Accettare il protocollo RDP predefinito (3389). Selezionare Avanti: dischi.
In Crea una macchina virtuale - Dischi accettare le impostazioni predefinite e selezionare Avanti: Rete.
In Creare una macchina virtuale - Rete specificare i valori seguenti:
Impostazione Valore Rete virtuale Selezionare la rete virtuale creata in un passaggio precedente. Subnet Accettare il valore predefinito (10.1.0.0/24). Gruppo di sicurezza di rete della scheda di interfaccia di rete Accettare il valore predefinito "Basic" IP pubblico Accettare il valore predefinito "(new) myVm-ip". Porte in ingresso pubbliche Selezionare il valore predefinito "Consenti porte selezionate". Selezionare le porte in ingresso Selezionare "HTTP 80", "HTTPS (443)" e "RDP (3389)". Nota
Gli indirizzi IPv4 possono essere espressi in formato CIDR . Ricordarsi di evitare l'intervallo IP riservato per la rete privata, come descritto in RFC 1918:
10.0.0.0 - 10.255.255.255 (10/8 prefix)172.16.0.0 - 172.31.255.255 (172.16/12 prefix)192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Selezionare Rivedi e crea per un controllo di convalida.
Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.
Connettersi alla macchina virtuale
Scaricare e quindi connettersi alla macchina virtuale come indicato di seguito:
Nella barra di ricerca del portale cercare la macchina virtuale creata nel passaggio precedente.
Selezionare Connetti. Dopo aver selezionato il pulsante Connetti viene aperta la finestra Connetti alla macchina virtuale.
Selezionare Scarica file RDP. Azure crea un file Remote Desktop Protocol (
.rdp) e lo scarica nel computer.Aprire il file
.rdpscaricato.Quando richiesto, selezionare Connetti.
Immettere il nome utente e la password specificati al momento della creazione della macchina virtuale.
Nota
Potrebbe essere necessario selezionare Altre opzioni>Usa un altro account per specificare le credenziali immesse al momento della creazione della macchina virtuale.
Seleziona OK.
Durante il processo di accesso, è possibile che venga visualizzato un avviso relativo al certificato. Se si riceve un avviso relativo al certificato, selezionare Sì oppure Continua.
Quando viene visualizzato il desktop della macchina virtuale, ridurlo a icona per tornare al desktop locale.
Testare le connessioni
In questa sezione si verificherà l'accesso alla rete privata al servizio di ricerca e ci si connetterà privatamente all'oggetto usando l'endpoint privato.
Quando l'endpoint del servizio di ricerca è privato, alcune funzionalità del portale sono disabilitate. Sarà possibile visualizzare e gestire le impostazioni a livello di servizio, ma l'accesso al portale ai dati di indicizzazione e a vari altri componenti del servizio, ad esempio le definizioni di indice, indicizzatore e set di competenze, è limitato per motivi di sicurezza.
Nel Desktop remoto di myVm1 aprire PowerShell.
Immetti
nslookup [search service name].search.windows.net.Verrà visualizzato un messaggio simile al seguente:
Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: [search service name].privatelink.search.windows.net Address: 10.0.0.5 Aliases: [search service name].search.windows.netDalla macchina virtuale connettersi al servizio di ricerca e creare un indice. È possibile seguire questa guida introduttiva per creare un nuovo indice di ricerca nel servizio usando l'API REST. La configurazione delle richieste da uno strumento di test dell'API Web richiede l'endpoint del servizio di ricerca (https://[nome servizio di ricerca].search.windows.net) e la chiave API amministratore copiata in un passaggio precedente.
Il completamento dell'avvio rapido dalla macchina virtuale è la conferma che il servizio è completamente operativo.
Chiudere la connessione Desktop remoto a myVm.
Per verificare che il servizio non sia accessibile in un endpoint pubblico, aprire un client REST nella workstation locale e tentare le prime attività nell'avvio rapido. Se viene visualizzato un errore che indica che il server remoto non esiste, è stato configurato correttamente un endpoint privato per il servizio di ricerca.
Usare il portale di Azure per accedere a un servizio di ricerca privato
Quando l'endpoint del servizio di ricerca è privato, alcune funzionalità del portale sono disabilitate. È possibile visualizzare e gestire le informazioni a livello di servizio, ma le informazioni sull'indice, l'indicizzatore e il set di competenze sono nascoste per motivi di sicurezza.
Per ovviare a questa restrizione, connettersi a portale di Azure da un browser in una macchina virtuale all'interno della rete virtuale. Il portale usa l'endpoint privato nella connessione e offre visibilità sul contenuto e sulle operazioni.
Seguire la procedura per effettuare il provisioning di una macchina virtuale in grado di accedere al servizio di ricerca tramite un endpoint privato.
In una macchina virtuale nella rete virtuale aprire un browser e accedere al portale di Azure. Il portale userà l'endpoint privato collegato alla macchina virtuale per connettersi al servizio di ricerca.
Disabilitare l'accesso alla rete pubblica
È possibile bloccare un servizio di ricerca per impedirne l'accettazione di qualsiasi richiesta dalla rete Internet pubblica. È possibile usare il portale di Azure per questo passaggio.
Nella portale di Azure selezionare Rete nel riquadro più a sinistra della pagina del servizio di ricerca.
Selezionare Disabilitato nella scheda Firewall e reti virtuali.
È anche possibile usare l'interfaccia della riga di comando di Azure, Azure PowerShell o l'API REST di gestione, l'impostazione public-accesso public-network-access su disabled.
Pulire le risorse
Quando si lavora nella propria sottoscrizione, al termine di un progetto è buona norma determinare se le risorse create sono ancora necessarie. Le risorse che rimangono in esecuzione hanno un costo.
È possibile eliminare singole risorse o il gruppo di risorse per eliminare tutti gli elementi creati in questo esercizio. Selezionare il gruppo di risorse nella pagina di panoramica di una risorsa e quindi selezionare Elimina.
Passaggi successivi
In questo articolo è stata creata una macchina virtuale in una rete virtuale e un servizio di ricerca con un endpoint privato. La connessione alla macchina virtuale da Internet è stata comunicata in modo sicuro al servizio di ricerca usando collegamento privato. Per altre informazioni sugli endpoint privati, vedere Informazioni sull'endpoint privato di Azure.