Share via

Een privé-eindpunt maken voor een beveiligde verbinding met Azure AI Search

  • Artikel

In dit artikel leert u hoe u een privéverbinding met Azure AI Search configureert, zodat aanvragen van clients in een virtueel netwerk worden toegestaan in plaats van via een openbare internetverbinding:

Andere Azure-resources die privé verbinding kunnen maken met Azure AI Search, omvatten Azure OpenAI voor scenario's voor het gebruik van uw eigen gegevens. Azure OpenAI Studio wordt niet uitgevoerd in een virtueel netwerk, maar kan worden geconfigureerd op de back-end om aanvragen via het Microsoft backbone-netwerk te verzenden. De configuratie voor dit verkeerspatroon wordt door Microsoft ingeschakeld wanneer uw aanvraag wordt ingediend en goedgekeurd. Voor dit scenario:

  • Volg de instructies in dit artikel om het privé-eindpunt in te stellen.
  • Dien een aanvraag in voor Azure OpenAI Studio om verbinding te maken met uw privé-eindpunt.
  • Schakel optioneel openbare netwerktoegang uit als verbindingen alleen afkomstig moeten zijn van clients in een virtueel netwerk of van Azure OpenAI via een privé-eindpuntverbinding.

Belangrijke punten over privé-eindpunten

Privé-eindpunten worden geleverd door Azure Private Link, als een afzonderlijke factureerbare service. Zie de pagina met prijzen voor meer informatie over kosten.

Zodra een zoekservice een privé-eindpunt heeft, moet de portaltoegang tot die service worden gestart vanuit een browsersessie op een virtuele machine in het virtuele netwerk. Zie deze stap voor meer informatie.

U kunt een privé-eindpunt maken voor een zoekservice in Azure Portal, zoals beschreven in dit artikel. U kunt ook de REST API-versie van Management, Azure PowerShell of Azure CLI gebruiken.

Waarom een privé-eindpunt gebruiken?

Met privé-eindpunten voor Azure AI Search kan een client in een virtueel netwerk veilig toegang krijgen tot gegevens in een zoekindex via een Private Link. Het privé-eindpunt maakt gebruik van een IP-adres uit de adresruimte van het virtuele netwerk voor uw zoekservice. Netwerkverkeer tussen de client en de zoekservice loopt via het virtuele netwerk en een privékoppeling in het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd. Raadpleeg de beschikbaarheidssectie in de productdocumentatie voor een lijst met andere PaaS-services die Ondersteuning bieden voor Private Link.

Met privé-eindpunten voor uw zoekservice kunt u het volgende doen:

  • Alle verbindingen op het openbare eindpunt voor uw zoekservice blokkeren.
  • Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
  • Maak veilig verbinding met uw zoekservice vanuit on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van VPN of ExpressRoutes met persoonlijke peering.

Het virtuele netwerk maken

In deze sectie maakt u een virtueel netwerk en subnet om de VIRTUELE machine te hosten die wordt gebruikt voor toegang tot het privé-eindpunt van uw zoekservice.

  1. Selecteer op het tabblad Start van Azure Portal de optie Een virtueel netwerk voor resources>>maken.

  2. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuwe maken, voer een naam in, zoals 'myResourceGroup', en selecteer VERVOLGENS OK.
    Naam Voer een naam in, zoals 'MyVirtualNetwork'.
    Regio Selecteer een regio.

  3. Accepteer de standaardwaarden voor de rest van de instellingen. Selecteer Controleren en maken en vervolgens Maken.

Een zoekservice maken met een privé-eindpunt

In deze sectie maakt u een nieuwe Azure AI-Search-service met een privé-eindpunt.

  1. Selecteer linksboven in het scherm in Azure Portal de optie Een resourceweb>>maken in Azure AI Search.

  2. Voer in New Search Service - Basisbeginselen de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    PROJECTGEGEVENS
    Abonnement Selecteer uw abonnement.
    Resourcegroep Gebruik de resourcegroep die u in de vorige stap hebt gemaakt.
    INSTANTIEDETAILS
    URL Voer een unieke naam in.
    Locatie Selecteer uw regio.
    Prijscategorie Selecteer Prijscategorie wijzigen en kies de gewenste servicelaag. Privé-eindpunten worden niet ondersteund in de gratis laag. U moet Basic of hoger selecteren.

  3. Selecteer Volgende: Schalen.

  4. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.

  5. Selecteer privé voor eindpuntconnectiviteit (gegevens) in New Search Service - Netwerken.

  6. Selecteer + Toevoegen onder Privé-eindpunt.

  7. Voer in Privé-eindpunt maken waarden in die uw zoekservice koppelen aan het virtuele netwerk dat u hebt gemaakt:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement.
    Resourcegroep Gebruik de resourcegroep die u in de vorige stap hebt gemaakt.
    Locatie Selecteer een regio.
    Naam Voer een naam in, zoals 'myPrivateEndpoint'.
    Subresource van doel Accepteer de standaardzoekservice.
    NETWERKEN
    Virtueel netwerk Selecteer het virtuele netwerk dat u in de vorige stap hebt gemaakt.
    Subnet Selecteer de standaardwaarde.
    INTEGRATIE VAN PRIVÉ-DNS
    Integreren met privé-DNS-zone Accepteer de standaardwaarde Ja.
    Privé-DNS-zone Accepteer de standaard (nieuwe) privatelink.search.windows.net.

  8. Selecteer OK.

  9. Selecteer Controleren + maken. De pagina Beoordelen en maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.

  10. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

  11. Zodra het inrichten van de nieuwe service is voltooid, bladert u naar de resource die u hebt gemaakt.

  12. Selecteer Sleutels in het linkerinhoudsmenu.

  13. Kopieer de primaire beheersleutel voor later gebruik wanneer u verbinding maakt met de service.

Maak een virtuele machine

  1. Selecteer linksboven in het scherm in Azure Portal de optie Een virtuele machine voor het>berekenen> van resources maken.

  2. Voer in Een virtuele machine maken - Basisbeginselen de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    PROJECTGEGEVENS
    Abonnement Selecteer uw abonnement.
    Resourcegroep Gebruik de resourcegroep die u in de vorige sectie hebt gemaakt.
    INSTANTIEDETAILS
    Virtual machine name Voer een naam in, zoals 'my-vm'.
    Regio Selecteer uw regio.
    Beschikbaarheidsopties U kunt Geen infrastructuurredundantie vereist kiezen of een andere optie selecteren als u de functionaliteit nodig hebt.
    Afbeelding Selecteer Windows Server 2022 Datacenter: Azure Edition - Gen2.
    VM-architectuur Accepteer de standaard x64.
    Tekengrootte Accepteer de standaard Standard D2S v3.
    ADMINISTRATOR-ACCOUNT
    Username Voer de gebruikersnaam van de beheerder in. Gebruik een account dat geldig is voor uw Azure-abonnement. U moet zich aanmelden bij Azure Portal vanaf de VIRTUELE machine, zodat u uw zoekservice kunt beheren.
    Wachtwoord Voer het accountwachtwoord in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    REGELS VOOR BINNENKOMENDE POORT
    Openbare poorten voor inkomend verkeer Accepteer de standaard geselecteerde poorten toestaan.
    Binnenkomende poorten selecteren Accepteer de standaard-RDP (3389).

  3. Selecteer Volgende: Schijven.

  4. Accepteer in Een virtuele machine maken - Schijven de standaardwaarden en selecteer Volgende: Netwerken.

  5. Geef in Een virtuele machine maken - Netwerken de volgende waarden op:

    Instelling Weergegeven als
    Virtueel netwerk Selecteer het virtuele netwerk dat u in een vorige stap hebt gemaakt.
    Subnet Accepteer de standaardwaarde (10.1.0.0/24).
    NIC-netwerkbeveiligingsgroep Accepteer de standaard 'Basic'
    Openbare IP Accepteer de standaard '(nieuwe) myVm-ip'.
    Openbare poorten voor inkomend verkeer Selecteer de standaardwaarde Geselecteerde poorten toestaan.
    Binnenkomende poorten selecteren Selecteer 'HTTP 80', 'HTTPS (443)' en 'RDP (3389)'.

    Notitie

    IPv4-adressen kunnen worden uitgedrukt in CIDR-indeling . Vergeet niet om het IP-bereik te vermijden dat is gereserveerd voor privénetwerken, zoals beschreven in RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Selecteer Beoordelen en maken voor een validatiecontrole.

  7. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

Verbinding maken met de VM

Download en maak vervolgens als volgt verbinding met de virtuele machine:

  1. Zoek in de zoekbalk van de portal naar de virtuele machine die u in de vorige stap hebt gemaakt.

  2. Selecteer Verbinding maken. Na het selecteren van de knop Verbinden wordt Verbinden met virtuele machine geopend.

  3. Selecteer RDP-bestand downloaden. Azure maakt een Remote Desktop Protocol-bestand (.rdp) en downloadt het naar uw computer.

  4. Open het gedownloade bestand .rdp.

    1. Selecteer Verbinding maken wanneer hierom wordt gevraagd.

    2. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine.

      Notitie

      Mogelijk moet u Meer opties>Een ander account gebruiken selecteren om de referenties op te geven die u hebt ingevoerd tijdens het maken van de VM.

  5. Selecteer OK.

  6. Er wordt mogelijk een certificaatwaarschuwing weergegeven tijdens het aanmelden. Als er een certificaatwaarschuwing wordt weergegeven, selecteert u Ja of Doorgaan.

  7. Wanneer het VM-bureaublad wordt weergegeven, minimaliseert u het om terug te gaan naar het lokale bureaublad.

Verbindingen testen

In deze sectie controleert u de toegang van het privénetwerk tot de zoekservice en maakt u privé verbinding met het privé-eindpunt.

Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt instellingen op serviceniveau weergeven en beheren, maar portaltoegang tot indexgegevens en verschillende andere onderdelen in de service, zoals de index, indexeerfunctie en definities van vaardighedensets, is om veiligheidsredenen beperkt.

  1. Open PowerShell in het extern bureaublad van myVM.

  2. Voer nslookup [search service name].search.windows.net in.

    U ontvangt een bericht dat er ongeveer als volgt uitziet:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Maak vanuit de VIRTUELE machine verbinding met de zoekservice en maak een index. U kunt deze quickstart volgen om een nieuwe zoekindex in uw service te maken met behulp van de REST API. Voor het instellen van aanvragen van een web-API-testprogramma is het eindpunt van de zoekservice vereist (https://[naam van de zoekservice].search.windows.net) en de api-sleutel van de beheerder die u in een vorige stap hebt gekopieerd.

  4. Het voltooien van de quickstart van de VIRTUELE machine is uw bevestiging dat de service volledig operationeel is.

  5. Sluit de externe bureaubladverbinding met myVM.

  6. Als u wilt controleren of uw service niet toegankelijk is op een openbaar eindpunt, opent u een REST-client op uw lokale werkstation en probeert u de eerste verschillende taken in de quickstart uit te voeren. Als u een foutbericht ontvangt dat de externe server niet bestaat, hebt u een privé-eindpunt geconfigureerd voor uw zoekservice.

Azure Portal gebruiken om toegang te krijgen tot een privézoekservice

Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt informatie op serviceniveau weergeven en beheren, maar informatie over indexen, indexeerfuncties en vaardighedensets zijn om veiligheidsredenen verborgen.

Als u deze beperking wilt omzeilen, maakt u vanuit een browser op een virtuele machine in het virtuele netwerk verbinding met Azure Portal. De portal gebruikt het privé-eindpunt voor de verbinding en geeft u inzicht in inhoud en bewerkingen.

  1. Volg de stappen om een VIRTUELE machine in te richten die toegang heeft tot de zoekservice via een privé-eindpunt.

  2. Open op een virtuele machine in uw virtuele netwerk een browser en meld u aan bij Azure Portal. De portal gebruikt het privé-eindpunt dat is gekoppeld aan de virtuele machine om verbinding te maken met uw zoekservice.

Openbare netwerktoegang uitschakelen

U kunt een zoekservice vergrendelen om te voorkomen dat een verzoek van het openbare internet wordt toegegeven. U kunt De Azure-portal voor deze stap gebruiken.

  1. Selecteer Netwerken in azure Portal in het meest linkse deelvenster van uw zoekservicepagina.

  2. Selecteer Uitgeschakeld op het tabblad Firewalls en virtuele netwerken .

U kunt ook de Azure CLI, Azure PowerShell of de BEHEER REST API, instelling public-access of public-network-access naar disabled.

Resources opschonen

Wanneer u in uw eigen abonnement werkt, is het een goed idee om aan het einde van een project te bepalen of u de gemaakte resources nog nodig hebt. Resources die actief blijven, kunnen u geld kosten.

U kunt afzonderlijke resources of de resourcegroep verwijderen om alles te verwijderen dat u in deze oefening hebt gemaakt. Selecteer de resourcegroep op de overzichtspagina van een resource en selecteer vervolgens Verwijderen.

Volgende stappen

In dit artikel hebt u een virtuele machine gemaakt in een virtueel netwerk en een zoekservice met een privé-eindpunt. U hebt via internet verbinding gemaakt met de virtuele machine en veilig met de zoekservice gecommuniceerd via Private Link. Zie Wat is een privé-eindpunt van Azure? voor meer informatie over privé-eindpunten.