Udostępnij za pośrednictwem


Tworzenie prywatnego punktu końcowego na potrzeby bezpiecznego połączenia z usługą Azure AI Search

W tym artykule wyjaśniono, jak skonfigurować połączenie prywatne z usługą Azure AI Search w taki sposób, aby przyznała żądania od klientów w sieci wirtualnej zamiast za pośrednictwem publicznego połączenia internetowego:

Inne zasoby platformy Azure, które mogą prywatnie łączyć się z usługą Azure AI Search, obejmują usługę Azure OpenAI na potrzeby scenariuszy "używania własnych danych". Usługa Azure AI Studio nie działa w sieci wirtualnej, ale można ją skonfigurować na zapleczu w celu wysyłania żądań za pośrednictwem sieci szkieletowej firmy Microsoft. Konfiguracja tego wzorca ruchu jest włączona przez firmę Microsoft po przesłaniu i zatwierdzeniu żądania. W tym scenariuszu:

  • Postępuj zgodnie z instrukcjami w tym artykule, aby skonfigurować prywatny punkt końcowy.
  • Włącz zaufaną usługę zasobu wyszukiwania w witrynie Azure Portal.
  • Opcjonalnie wyłącz dostęp do sieci publicznej, jeśli połączenia powinny pochodzić tylko z klientów w sieci wirtualnej lub z usługi Azure OpenAI za pośrednictwem połączenia prywatnego punktu końcowego.

Kluczowe punkty dotyczące prywatnych punktów końcowych

Prywatne punkty końcowe są udostępniane przez usługę Azure Private Link jako oddzielną usługę rozliczaną. Aby uzyskać więcej informacji na temat kosztów, zobacz Cennik usługi Azure Private Link.

Gdy usługa wyszukiwania ma prywatny punkt końcowy, dostęp portalu do tej usługi musi zostać zainicjowany z sesji przeglądarki na maszynie wirtualnej w sieci wirtualnej. Aby uzyskać szczegółowe informacje, zobacz ten krok .

Prywatny punkt końcowy dla usługi wyszukiwania można utworzyć w witrynie Azure Portal, zgodnie z opisem w tym artykule. Alternatywnie możesz użyć interfejsu API REST zarządzania, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Dlaczego warto używać prywatnego punktu końcowego?

Prywatne punkty końcowe usługi Azure AI Search umożliwiają klientowi w sieci wirtualnej bezpieczny dostęp do danych w indeksie wyszukiwania za pośrednictwem usługi Private Link. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla usługi wyszukiwania. Ruch sieciowy między klientem a usługą wyszukiwania przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu. Aby uzyskać listę innych usług PaaS, które obsługują usługę Private Link, zapoznaj się z sekcją dostępności w dokumentacji produktu.

Prywatne punkty końcowe usługi wyszukiwania umożliwiają:

  • Blokuj wszystkie połączenia w publicznym punkcie końcowym usługi wyszukiwania.
  • Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
  • Bezpiecznie nawiąż połączenie z usługą wyszukiwania z sieci lokalnych łączących się z siecią wirtualną przy użyciu sieci VPN lub usługi ExpressRoutes z prywatną komunikacją równorzędną.

Tworzenie sieci wirtualnej

W tej sekcji utworzysz sieć wirtualną i podsieć do hostowania maszyny wirtualnej, która będzie używana do uzyskiwania dostępu do prywatnego punktu końcowego usługi wyszukiwania.

  1. Na karcie Narzędzia główne witryny Azure Portal wybierz pozycję Utwórz zasób>Sieć> wirtualna.

  2. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję
    Grupa zasobów Wybierz pozycję Utwórz nową, wprowadź nazwę, taką jak myResourceGroup, a następnie wybierz przycisk OK.
    Nazwisko Wprowadź nazwę, taką jak MyVirtualNetwork
    Region (Region) Wybierz region
  3. Zaakceptuj wartości domyślne pozostałych ustawień. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

Tworzenie usługi wyszukiwania z prywatnym punktem końcowym

W tej sekcji utworzysz nową usługa wyszukiwania usługi Azure AI z prywatnym punktem końcowym.

  1. W lewym górnym rogu ekranu w witrynie Azure Portal wybierz pozycję Utwórz zasób>AI i wyszukiwanie sztucznej inteligencji uczenia>maszynowego.

  2. W obszarze Tworzenie usługi wyszukiwania — podstawy wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    SZCZEGÓŁY PROJEKTU
    Subskrypcja Wybierz swoją subskrypcję
    Grupa zasobów Użyj grupy zasobów utworzonej w poprzednim kroku
    SZCZEGÓŁY WYSTĄPIENIA
    URL Wprowadź unikatową nazwę
    Lokalizacja Wybierz swój region
    Warstwa cenowa Wybierz pozycję Zmień warstwę cenową i wybierz żądaną warstwę usługi. Prywatne punkty końcowe nie są obsługiwane w warstwie Bezpłatna. Musisz wybrać pozycję Podstawowa lub nowsza.
  3. Wybierz pozycję Dalej: Skaluj.

  4. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.

  5. W obszarze Tworzenie usługi wyszukiwania — sieć wybierz pozycję Prywatna dla pozycji Łączność z punktem końcowym (dane)..

  6. Wybierz pozycję + Dodaj w obszarze Prywatny punkt końcowy.

  7. W obszarze Tworzenie prywatnego punktu końcowego wprowadź lub wybierz wartości, które kojarzą usługę wyszukiwania z utworzoną siecią wirtualną:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję
    Grupa zasobów Użyj grupy zasobów utworzonej w poprzednim kroku
    Lokalizacja Wybierz region
    Nazwisko Wprowadź nazwę, na przykład myPrivateEndpoint
    Docelowy podźródło Zaakceptuj domyślną usługę wyszukiwania
    SIECI
    Sieć wirtualna Wybierz sieć wirtualną utworzoną w poprzednim kroku
    Podsieć Wybierz wartość domyślną
    INTEGRACJA Z PRYWATNĄ USŁUGĄ DNS
    Włączanie integracji Prywatna strefa DNS Zaznacz pole wyboru
    Prywatna strefa DNS Zaakceptuj domyślną (nową) privatelink.search.windows.net
  8. Wybierz Dodaj.

  9. Wybierz pozycję Przejrzyj i utwórz. Zostanie wyświetlona strona Przeglądanie i tworzenie , na której platforma Azure weryfikuje konfigurację.

  10. Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.

  11. Po zakończeniu aprowizacji nowej usługi przejdź do utworzonego zasobu.

  12. Wybierz pozycję Klucze ustawień>z menu zawartości po lewej stronie.

  13. Skopiuj klucz administratora podstawowego na później podczas nawiązywania połączenia z usługą.

Tworzenie maszyny wirtualnej

  1. W lewym górnym rogu ekranu w witrynie Azure Portal wybierz pozycję Utwórz zasób>Obliczeniowa>maszyna wirtualna.

  2. W obszarze Tworzenie maszyny wirtualnej — Podstawy wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    SZCZEGÓŁY PROJEKTU
    Subskrypcja Wybierz swoją subskrypcję
    Grupa zasobów Użyj grupy zasobów utworzonej w poprzedniej sekcji
    SZCZEGÓŁY WYSTĄPIENIA
    Virtual machine name Wprowadź nazwę, na przykład my-vm
    Region (Region) Wybierz swój region
    Opcje dostępności Możesz wybrać opcję Brak wymaganej nadmiarowości infrastruktury lub wybrać inną opcję, jeśli potrzebujesz funkcji
    Obraz Wybierz pozycję Windows Server 2022 Datacenter: Azure Edition — Gen2
    Architektura maszyny wirtualnej Zaakceptuj wartość domyślną x64
    Rozmiar Zaakceptuj domyślną warstwę Standardowa D2S w wersji 3
    KONTO ADMINISTRATORA
    Username Wprowadź nazwę użytkownika administratora. Użyj konta, które jest prawidłowe dla subskrypcji platformy Azure. Zaloguj się do witryny Azure Portal z maszyny wirtualnej, aby móc zarządzać usługą wyszukiwania.
    Hasło Wprowadź hasło konta. Hasło musi mieć co najmniej 12 znaków i spełniać zdefiniowane wymagania dotyczące złożoności.
    Potwierdź hasło Ponowne wprowadź hasło
    REGUŁY PORTÓW WEJŚCIOWYCH
    Publiczne porty ruchu przychodzącego Zaakceptuj domyślne zezwalanie na wybrane porty
    Wybierz porty wejściowe Zaakceptuj domyślny protokół RDP (3389)
  3. Wybierz pozycję Dalej: dyski.

  4. W obszarze Tworzenie maszyny wirtualnej — dyski zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.

  5. W obszarze Tworzenie maszyny wirtualnej — Sieć podaj następujące wartości:

    Ustawienie Wartość
    Sieć wirtualna Wybierz sieć wirtualną utworzoną w poprzednim kroku
    Podsieć Zaakceptuj domyślną 10.1.0.0/24
    Publiczny adres IP Zaakceptuj wartość domyślną
    Sieciowa grupa zabezpieczeń karty sieciowej Zaakceptuj domyślną podstawową wartość
    Publiczne porty ruchu przychodzącego Wybierz domyślną opcję Zezwalaj na wybrane porty
    Wybierz porty wejściowe Wybierz pozycję HTTP 80, HTTPS (443) i RDP (3389)

    Uwaga

    Adresy IPv4 można wyrazić w formacie CIDR . Pamiętaj, aby uniknąć zakresu adresów IP zarezerwowanego dla sieci prywatnej, zgodnie z opisem w specyfikacji RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Wybierz pozycję Przejrzyj i utwórz , aby sprawdzić poprawność.

  7. Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.

Nawiązywanie połączenia z maszyną wirtualną

Pobierz i połącz się z maszyną wirtualną w następujący sposób:

  1. Na pasku wyszukiwania portalu wyszukaj maszynę wirtualną utworzoną w poprzednim kroku.

  2. Wybierz pozycję Połącz. Po wybraniu przycisku Połącz zostanie otwarta strona Łączenie z maszyną wirtualną.

  3. Wybierz pozycję Pobierz plik RDP. Plik Remote Desktop Protocol (.rdp) zostanie utworzony na platformie Azure, a następnie pobrany na komputer.

  4. Otwórz pobrany plik rdp.

    1. Po wyświetleniu monitu wybierz pozycję Połącz.

    2. Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej.

      Uwaga

      Może być konieczne wybranie pozycji Więcej opcji>Użyj innego konta, aby określić poświadczenia wprowadzone podczas tworzenia maszyny wirtualnej.

  5. Wybierz przycisk OK.

  6. Podczas procesu logowania może pojawić się ostrzeżenie o certyfikacie. Jeśli zostanie wyświetlone ostrzeżenie o certyfikacie, wybierz opcję Tak lub Kontynuuj.

  7. Po wyświetleniu pulpitu maszyny wirtualnej zminimalizuj ją i wróć z powrotem do pulpitu lokalnego.

Testowanie połączeń

W tej sekcji zweryfikujesz dostęp do sieci prywatnej do usługi wyszukiwania i połączysz się prywatnie z użyciem prywatnego punktu końcowego.

Gdy punkt końcowy usługi wyszukiwania jest prywatny, niektóre funkcje portalu są wyłączone. Ustawienia poziomu usług można wyświetlać i zarządzać nimi, ale dostęp portalu do danych indeksowania i różnych innych składników usługi, takich jak indeks, indeksator i definicje zestawu umiejętności, jest ograniczony ze względów bezpieczeństwa.

  1. Na pulpicie zdalnym maszyny wirtualnej myVM otwórz program PowerShell.

  2. Wprowadź nslookup [search service name].search.windows.net.

    Zostanie wyświetlony komunikat podobny do następującego:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. Na maszynie wirtualnej połącz się z usługą wyszukiwania i utwórz indeks. Możesz skorzystać z tego przewodnika Szybki start , aby utworzyć nowy indeks wyszukiwania w usłudze przy użyciu interfejsu API REST. Skonfigurowanie żądań z narzędzia do testowania internetowego interfejsu API wymaga punktu końcowego (https://[search service name].search.windows.net) usługi wyszukiwania i klucza api-key administratora skopiowanego w poprzednim kroku.

  4. Ukończenie przewodnika Szybki start z maszyny wirtualnej jest potwierdzeniem, że usługa jest w pełni operacyjna.

  5. Zamknij połączenie pulpitu zdalnego z maszyną wirtualną myVM.

  6. Aby sprawdzić, czy usługa nie jest dostępna w publicznym punkcie końcowym, otwórz klienta REST na lokalnej stacji roboczej i spróbuj wykonać pierwsze kilka zadań w przewodniku Szybki start. Jeśli zostanie wyświetlony błąd, że serwer zdalny nie istnieje, pomyślnie skonfigurowano prywatny punkt końcowy dla usługi wyszukiwania.

Uzyskiwanie dostępu do prywatnej usługi wyszukiwania przy użyciu witryny Azure Portal

Gdy punkt końcowy usługi wyszukiwania jest prywatny, niektóre funkcje portalu są wyłączone. Informacje o poziomie usług można wyświetlać i zarządzać nimi, ale informacje dotyczące indeksu, indeksatora i zestawu umiejętności są ukryte ze względów bezpieczeństwa.

Aby obejść to ograniczenie, połącz się z witryną Azure Portal z poziomu przeglądarki na maszynie wirtualnej w sieci wirtualnej. Portal używa prywatnego punktu końcowego w połączeniu i zapewnia wgląd w zawartość i operacje.

  1. Postępuj zgodnie z instrukcjami, aby aprowizować maszynę wirtualną, która może uzyskać dostęp do usługi wyszukiwania za pośrednictwem prywatnego punktu końcowego.

  2. Na maszynie wirtualnej w sieci wirtualnej otwórz przeglądarkę i zaloguj się w witrynie Azure Portal. Portal używa prywatnego punktu końcowego dołączonego do maszyny wirtualnej, aby nawiązać połączenie z usługą wyszukiwania.

Wyłączanie dostępu do sieci publicznej

Możesz zablokować usługę wyszukiwania, aby uniemożliwić jej przyznanie wszelkich żądań z publicznego Internetu. W tym kroku możesz użyć witryny Azure Portal.

  1. W witrynie Azure Portal w okienku po lewej stronie usługi wyszukiwania wybierz pozycję Sieć.

  2. Wybierz pozycję Wyłączone na karcie Zapory i sieci wirtualne.

Możesz również użyć interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub interfejsu API REST zarządzania, ustawiając wartość public-access lub .disabledpublic-network-access

Czyszczenie zasobów

Jeśli pracujesz w ramach własnej subskrypcji, dobrym pomysłem po zakończeniu projektu jest sprawdzenie, czy dalej potrzebujesz utworzonych zasobów. Uruchomione zasoby mogą generować koszty.

Możesz usunąć poszczególne zasoby lub grupę zasobów, aby usunąć wszystkie elementy utworzone w tym ćwiczeniu. Wybierz grupę zasobów na stronie przeglądu dowolnego zasobu, a następnie wybierz pozycję Usuń.

Następny krok

W tym artykule utworzono maszynę wirtualną w sieci wirtualnej i usługę wyszukiwania z prywatnym punktem końcowym. Nawiązano połączenie z maszyną wirtualną z Internetu i bezpiecznie nawiązano połączenie z usługą wyszukiwania przy użyciu usługi Private Link. Aby dowiedzieć się więcej na temat prywatnych punktów końcowych, zobacz Co to jest prywatny punkt końcowy?