Zalecane ustawienia izolacji sieci

  • Artykuł

Wykonaj poniższe kroki, aby ograniczyć dostęp publiczny do zasobów usługi QnA Maker. Chroń zasób usług Azure AI przed dostępem publicznym, konfigurując sieć wirtualną.

Uwaga

Usługa QnA Maker jest wycofywana 31 marca 2025 r. Nowsza wersja funkcji pytań i odpowiedzi jest teraz dostępna w ramach języka sztucznej inteligencji platformy Azure. Aby uzyskać odpowiedzi na pytania w usłudze językowej, zobacz odpowiadanie na pytania. Od 1 października 2022 r. nie będzie można tworzyć nowych zasobów usługi QnA Maker. Aby uzyskać informacje na temat migrowania istniejących baza wiedzy usługi QnA Maker do odpowiadania na pytania, zapoznaj się z przewodnikiem migracji.

Ograniczanie dostępu do usługi App Service (środowisko uruchomieniowe QnA)

Za pomocą elementu ServiceTag CognitiveServicesMangement można ograniczyć dostęp przychodzący do sieciowej grupy zabezpieczeń usługi App Service lub środowiska ASE (App Service Environment). Więcej informacji na temat tagów usług można znaleźć w artykule dotyczącym tagów usługi sieci wirtualnej.

Zwykła usługa App Service

  1. Otwórz usługę Cloud Shell (PowerShell) w witrynie Azure Portal.
  2. Uruchom następujące polecenie w oknie programu PowerShell w dolnej części strony:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Sprawdź, czy dodano regułę dostępu znajduje się w sekcji Ograniczenia dostępu na karcie Sieć :

    Screenshot of access restriction rule

  2. Aby uzyskać dostęp do okienka Test w https://qnamaker.ai portalu, dodaj publiczny adres IP maszyny, z której chcesz uzyskać dostęp do portalu. Na stronie Ograniczenia dostępu wybierz pozycję Dodaj regułę i zezwól na dostęp do adresu IP klienta.

    Screenshot of access restriction rule with the addition of public IP address

Dostęp wychodzący z usługi App Service

Usługa App Service usługi QnA Maker wymaga dostępu wychodzącego do poniższego punktu końcowego. Upewnij się, że został dodany do listy dozwolonych, jeśli istnieją jakiekolwiek ograniczenia dotyczące ruchu wychodzącego.

Konfigurowanie środowiska App Service Environment do hostowania usługi App Service usługi QnA Maker

Środowisko App Service Environment (ASE) może służyć do hostowania wystąpienia usługi App Service usługi QnA Maker. Wykonaj następujące czynności:

  1. Utwórz nowy zasób usługi Azure AI Search.

  2. Tworzenie zewnętrznego środowiska ASE przy użyciu usługi App Service.

    • Postępuj zgodnie z instrukcjami w tym przewodniku Szybki start usługi App Service. Ten proces może potrwać do 1–2 godzin.
    • Na koniec będziesz mieć punkt końcowy usługi App Service, który będzie wyglądać podobnie do: https://<app service name>.<ASE name>.p.azurewebsite.net .
    • Przykład: https:// mywebsite.myase.p.azurewebsite.net

  3. Dodaj następujące konfiguracje usługi App Service:

    Nazwa/nazwisko Wartość
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearch Administracja Key <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Dodaj źródło mechanizmu CORS "*" w usłudze App Service, aby zezwolić na dostęp do https://qnamaker.ai okienka testowego portalu. Mechanizm CORS znajduje się w nagłówku interfejsu API w okienku usługi App Service.

    Screenshot of CORS interface within App Service UI

  5. Utwórz wystąpienie usług azure AI usługi QnA Maker (Microsoft.CognitiveServices/accounts) przy użyciu usługi Azure Resource Manager. Punkt końcowy usługi QnA Maker powinien być ustawiony na punkt końcowy usługi App Service utworzony powyżej (https:// mywebsite.myase.p.azurewebsite.net). Oto przykładowy szablon usługi Azure Resource Manager, którego można użyć do celów referencyjnych.

Czy usługa QnA Maker może zostać wdrożona w wewnętrznym środowisku ASE?

Głównym powodem używania zewnętrznego środowiska ASE jest to, że zaplecze usługi QnAMaker (interfejsy API tworzenia) może uzyskać dostęp do usługi App Service za pośrednictwem Internetu. Jednak nadal można go chronić, dodając ograniczenie dostępu przychodzącego, aby zezwolić tylko na połączenia z adresami skojarzonymi z tagiem CognitiveServicesManagement usługi.

Jeśli nadal chcesz użyć wewnętrznego środowiska ASE, musisz uwidocznić określoną aplikację QnA Maker w środowisku ASE w domenie publicznej za pośrednictwem certyfikatu TLS/SSL bramy aplikacji. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wdrażania usług App Services w przedsiębiorstwie.

Ograniczanie dostępu do zasobu usługi Cognitive Search

Wystąpienie usługi Cognitive Search można odizolować za pośrednictwem prywatnego punktu końcowego po utworzeniu zasobów usługi QnA Maker. Aby zablokować dostęp, wykonaj następujące czynności:

  1. Utwórz nową sieć wirtualną lub użyj istniejącej sieci wirtualnej środowiska ASE (App Service Environment).

  2. Otwórz zasób sieci wirtualnej, a następnie na karcie Podsieci utwórz dwie podsieci . Jedna dla usługi App Service (appservicesubnet) i innej podsieci (searchservicesubnet) dla zasobu usługi Cognitive Search bez delegowania.

    Screenshot of virtual networks subnets UI interface

  3. Na karcie Sieć w wystąpieniu usługi Cognitive usługa wyszukiwania przełącz dane łączności punktu końcowego z publicznego na prywatny. Ta operacja jest długotrwałym procesem i może potrwać do 30 minut .

    Screenshot of networking UI with public/private toggle button

  4. Po przełączeniu zasobu wyszukiwania na prywatny wybierz pozycję Dodaj prywatny punkt końcowy.

    • Karta Podstawy: upewnij się, że tworzysz punkt końcowy w tym samym regionie co zasób wyszukiwania.
    • Karta Zasób: wybierz wymagany zasób wyszukiwania typu Microsoft.Search/searchServices.

    Screenshot of create a private endpoint UI window

    • Karta Konfiguracja: użyj sieci wirtualnej, podsieci (searchservicesubnet) utworzonej w kroku 2. Następnie w sekcji Prywatna strefa DNS integracji wybierz odpowiednią subskrypcję i utwórz nową prywatną strefę DNS o nazwie privatelink.search.windows.net.

    Screenshot of create private endpoint UI window with subnet field populated

  5. Włącz integrację z siecią wirtualną dla zwykłej usługi App Service. Możesz pominąć ten krok dla środowiska ASE, ponieważ ma on już dostęp do sieci wirtualnej.

    • Przejdź do sekcji Sieć usługi App Service i otwórz pozycję Integracja z siecią wirtualną.
    • Połącz z dedykowaną siecią wirtualną usługi App Service, podsiecią (appservicevnet) utworzoną w kroku 2.

    Screenshot of VNET integration UI

Utwórz prywatne punkty końcowe do zasobu usługi Azure Search.

Wykonaj poniższe kroki, aby ograniczyć dostęp publiczny do zasobów usługi QnA Maker. Chroń zasób usług Azure AI przed dostępem publicznym, konfigurując sieć wirtualną.

Po ograniczeniu dostępu do zasobu usługi Azure AI na podstawie sieci wirtualnej, aby przeglądać bazy wiedzy w https://qnamaker.ai portalu z sieci lokalnej lub przeglądarki lokalnej.

  • Udzielanie dostępu do sieci lokalnej.

  • Udziel dostępu do lokalnej przeglądarki/komputera.

  • Dodaj publiczny adres IP maszyny w sekcji Zapora na karcie Sieć. Domyślnie portal.azure.com jest wyświetlany publiczny adres IP bieżącego komputera przeglądania (wybierz ten wpis), a następnie wybierz pozycję Zapisz.

    Screenshot of firewall and virtual networks configuration UI