Udostępnij za pośrednictwem

Tworzenie prywatnego punktu końcowego na potrzeby bezpiecznego połączenia z usługą Azure AI Search

  • Artykuł

W tym artykule dowiesz się, jak skonfigurować połączenie prywatne z usługą Azure AI Search, aby przyznać żądania od klientów w sieci wirtualnej zamiast za pośrednictwem publicznego połączenia internetowego:

Inne zasoby platformy Azure, które mogą prywatnie łączyć się z usługą Azure AI Search, obejmują usługę Azure OpenAI na potrzeby scenariuszy "używania własnych danych". Usługa Azure OpenAI Studio nie działa w sieci wirtualnej, ale można ją skonfigurować na zapleczu w celu wysyłania żądań za pośrednictwem sieci szkieletowej firmy Microsoft. Konfiguracja tego wzorca ruchu jest włączona przez firmę Microsoft po przesłaniu i zatwierdzeniu żądania. W tym scenariuszu:

  • Postępuj zgodnie z instrukcjami w tym artykule, aby skonfigurować prywatny punkt końcowy.
  • Prześlij żądanie dotyczące programu Azure OpenAI Studio, aby nawiązać połączenie przy użyciu prywatnego punktu końcowego.
  • Opcjonalnie wyłącz dostęp do sieci publicznej, jeśli połączenia powinny pochodzić tylko z klientów w sieci wirtualnej lub z usługi Azure OpenAI za pośrednictwem połączenia prywatnego punktu końcowego.

Kluczowe punkty dotyczące prywatnych punktów końcowych

Prywatne punkty końcowe są udostępniane przez usługę Azure Private Link jako oddzielną usługę rozliczaną. Aby uzyskać więcej informacji na temat kosztów, zobacz stronę cennika.

Gdy usługa wyszukiwania ma prywatny punkt końcowy, dostęp portalu do tej usługi musi zostać zainicjowany z sesji przeglądarki na maszynie wirtualnej w sieci wirtualnej. Aby uzyskać szczegółowe informacje, zobacz ten krok .

Prywatny punkt końcowy dla usługi wyszukiwania można utworzyć w witrynie Azure Portal, zgodnie z opisem w tym artykule. Alternatywnie możesz użyć wersji interfejsu API REST zarządzania, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Dlaczego warto używać prywatnego punktu końcowego?

Prywatne punkty końcowe usługi Azure AI Search umożliwiają klientowi w sieci wirtualnej bezpieczny dostęp do danych w indeksie wyszukiwania za pośrednictwem usługi Private Link. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla usługi wyszukiwania. Ruch sieciowy między klientem a usługą wyszukiwania przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu. Aby uzyskać listę innych usług PaaS, które obsługują usługę Private Link, zapoznaj się z sekcją dostępności w dokumentacji produktu.

Prywatne punkty końcowe dla usługi wyszukiwania umożliwiają:

  • Blokuj wszystkie połączenia w publicznym punkcie końcowym usługi wyszukiwania.
  • Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając blokowanie eksfiltracji danych z sieci wirtualnej.
  • Bezpiecznie nawiąż połączenie z usługą wyszukiwania z sieci lokalnych łączących się z siecią wirtualną przy użyciu sieci VPN lub usługi ExpressRoutes z prywatną komunikacją równorzędną.

Tworzenie sieci wirtualnej

W tej sekcji utworzysz sieć wirtualną i podsieć do hostowania maszyny wirtualnej, która będzie używana do uzyskiwania dostępu do prywatnego punktu końcowego usługi wyszukiwania.

  1. Na karcie Narzędzia główne witryny Azure Portal wybierz pozycję Utwórz zasób>Sieć> wirtualna.

  2. W obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz pozycję Utwórz nową, wprowadź nazwę, taką jak "myResourceGroup", a następnie wybierz przycisk OK.
    Nazwisko Wprowadź nazwę, na przykład "MyVirtualNetwork".
    Region (Region) Wybierz region.

  3. Zaakceptuj wartości domyślne pozostałych ustawień. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

Tworzenie usługi wyszukiwania z prywatnym punktem końcowym

W tej sekcji utworzysz nową usługa wyszukiwania usługi Azure AI z prywatnym punktem końcowym.

  1. W lewym górnym rogu ekranu w witrynie Azure Portal wybierz pozycję Utwórz zasób>Web>Azure AI Search.

  2. W obszarze Nowa usługa wyszukiwania — podstawy wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    SZCZEGÓŁY PROJEKTU
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Użyj grupy zasobów utworzonej w poprzednim kroku.
    SZCZEGÓŁY WYSTĄPIENIA
    URL Wprowadź unikatową nazwę.
    Lokalizacja Wybierz swój region.
    Warstwa cenowa Wybierz pozycję Zmień warstwę cenową i wybierz żądaną warstwę usługi. Prywatne punkty końcowe nie są obsługiwane w warstwie Bezpłatna. Musisz wybrać pozycję Podstawowa lub nowsza.

  3. Wybierz pozycję Dalej: Skaluj.

  4. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.

  5. W obszarze Nowa usługa wyszukiwania — sieć wybierz pozycję Prywatna dla pozycji Łączność punktu końcowego (dane)..

  6. Wybierz pozycję + Dodaj w obszarze Prywatny punkt końcowy.

  7. W obszarze Tworzenie prywatnego punktu końcowego wprowadź lub wybierz wartości, które kojarzą usługę wyszukiwania z utworzoną siecią wirtualną:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Użyj grupy zasobów utworzonej w poprzednim kroku.
    Lokalizacja Wybierz region.
    Nazwisko Wprowadź nazwę, taką jak "myPrivateEndpoint".
    Docelowy podźródło Zaakceptuj domyślną usługę wyszukiwania.
    SIECI
    Sieć wirtualna Wybierz sieć wirtualną utworzoną w poprzednim kroku.
    Podsieć Wybierz wartość domyślną.
    INTEGRACJA Z PRYWATNĄ USŁUGĄ DNS
    Integruj z prywatną strefą DNS Zaakceptuj domyślną wartość "Tak".
    Prywatna strefa DNS Zaakceptuj domyślną (nową) privatelink.search.windows.net.

  8. Wybierz przycisk OK.

  9. Wybierz pozycję Przejrzyj i utwórz. Zostanie wyświetlona strona Przeglądanie i tworzenie , na której platforma Azure weryfikuje konfigurację.

  10. Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.

  11. Po zakończeniu aprowizacji nowej usługi przejdź do utworzonego zasobu.

  12. Wybierz pozycję Klucze z menu zawartości po lewej stronie.

  13. Skopiuj klucz administratora podstawowego na później podczas nawiązywania połączenia z usługą.

Tworzenie maszyny wirtualnej

  1. W lewym górnym rogu ekranu w witrynie Azure Portal wybierz pozycję Utwórz zasób>Obliczeniowa>maszyna wirtualna.

  2. W obszarze Tworzenie maszyny wirtualnej — Podstawy wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    SZCZEGÓŁY PROJEKTU
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Użyj grupy zasobów utworzonej w poprzedniej sekcji.
    SZCZEGÓŁY WYSTĄPIENIA
    Virtual machine name Wprowadź nazwę, na przykład "my-vm".
    Region (Region) Wybierz swój region.
    Opcje dostępności Możesz wybrać opcję Brak wymaganej nadmiarowości infrastruktury lub wybrać inną opcję, jeśli potrzebujesz funkcji.
    Obraz Wybierz pozycję Windows Server 2022 Datacenter: Azure Edition — Gen2.
    Architektura maszyny wirtualnej Zaakceptuj wartość domyślną x64.
    Rozmiar Zaakceptuj domyślną warstwę Standardowa D2S w wersji 3.
    KONTO ADMINISTRATORA
    Username Wprowadź nazwę użytkownika administratora. Użyj konta, które jest prawidłowe dla subskrypcji platformy Azure. Aby zarządzać usługą wyszukiwania, musisz zalogować się do witryny Azure Portal z poziomu maszyny wirtualnej.
    Hasło Wprowadź hasło konta. Hasło musi mieć co najmniej 12 znaków i spełniać zdefiniowane wymagania dotyczące złożoności.
    Potwierdź hasło Ponownie wprowadź hasło.
    REGUŁY PORTÓW WEJŚCIOWYCH
    Publiczne porty ruchu przychodzącego Zaakceptuj wartość domyślną Zezwalaj na wybrane porty.
    Wybierz porty wejściowe Zaakceptuj domyślny protokół RDP (3389).

  3. Wybierz pozycję Dalej: dyski.

  4. W obszarze Tworzenie maszyny wirtualnej — dyski zaakceptuj wartości domyślne i wybierz pozycję Dalej: Sieć.

  5. W obszarze Tworzenie maszyny wirtualnej — Sieć podaj następujące wartości:

    Ustawienie Wartość
    Sieć wirtualna Wybierz sieć wirtualną utworzoną w poprzednim kroku.
    Podsieć Zaakceptuj wartość domyślną (10.1.0.0/24).
    Sieciowa grupa zabezpieczeń karty sieciowej Zaakceptuj domyślną wartość "Podstawowa"
    Publiczny adres IP Zaakceptuj wartość domyślną "(new) myVm-ip".
    Publiczne porty ruchu przychodzącego Wybierz wartość domyślną "Zezwalaj na wybrane porty".
    Wybierz porty wejściowe Wybierz pozycję "HTTP 80", "HTTPS (443)" i "RDP (3389)".

    Uwaga

    Adresy IPv4 można wyrazić w formacie CIDR . Pamiętaj, aby uniknąć zakresu adresów IP zarezerwowanego dla sieci prywatnej, zgodnie z opisem w specyfikacji RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Wybierz pozycję Przejrzyj i utwórz , aby sprawdzić poprawność.

  7. Po wyświetleniu komunikatu Walidacja przekazana wybierz pozycję Utwórz.

Nawiązywanie połączenia z maszyną wirtualną

Pobierz i połącz się z maszyną wirtualną w następujący sposób:

  1. Na pasku wyszukiwania portalu wyszukaj maszynę wirtualną utworzoną w poprzednim kroku.

  2. Wybierz pozycję Połącz. Po wybraniu przycisku Połącz zostanie otwarta strona Łączenie z maszyną wirtualną.

  3. Wybierz pozycję Pobierz plik RDP. Platforma Azure tworzy plik protokołu Remote Desktop Protocol (.rdp) i pobiera go na komputer.

  4. Otwórz pobrany .rdp plik.

    1. Po wyświetleniu monitu wybierz pozycję Połącz.

    2. Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej.

      Uwaga

      Może okazać się konieczne wybranie pozycji Więcej opcji>Użyj innego konta, aby podać poświadczenia wprowadzone podczas tworzenia maszyny wirtualnej.

  5. Wybierz przycisk OK.

  6. Podczas procesu logowania może pojawić się ostrzeżenie o certyfikacie. Jeśli zostanie wyświetlone ostrzeżenie o certyfikacie, wybierz opcję Tak lub Kontynuuj.

  7. Po wyświetleniu pulpitu maszyny wirtualnej zminimalizuj ją i wróć z powrotem do pulpitu lokalnego.

Testowanie połączeń

W tej sekcji sprawdzisz dostęp do sieci prywatnej do usługi wyszukiwania i połączysz się prywatnie z użyciem prywatnego punktu końcowego.

Gdy punkt końcowy usługi wyszukiwania jest prywatny, niektóre funkcje portalu są wyłączone. Będziesz mieć możliwość wyświetlania ustawień poziomu usług i zarządzania nimi, ale dostęp portalu do danych indeksowania i różnych innych składników usługi, takich jak indeks, indeksator i definicje zestawu umiejętności, jest ograniczony ze względów bezpieczeństwa.

  1. Na pulpicie zdalnym maszyny wirtualnej myVM otwórz program PowerShell.

  2. Wprowadź nslookup [search service name].search.windows.net.

    Zostanie wyświetlony komunikat podobny do następującego:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Na maszynie wirtualnej połącz się z usługą wyszukiwania i utwórz indeks. Możesz skorzystać z tego przewodnika Szybki start , aby utworzyć nowy indeks wyszukiwania w usłudze przy użyciu interfejsu API REST. Skonfigurowanie żądań z narzędzia do testowania internetowego interfejsu API wymaga punktu końcowego usługi wyszukiwania (https://[nazwa usługi wyszukiwania].search.windows.net) i klucza api-key administratora skopiowanego w poprzednim kroku.

  4. Ukończenie przewodnika Szybki start z maszyny wirtualnej jest potwierdzeniem, że usługa jest w pełni operacyjna.

  5. Zamknij połączenie pulpitu zdalnego z maszyną wirtualną myVM.

  6. Aby sprawdzić, czy usługa nie jest dostępna w publicznym punkcie końcowym, otwórz klienta REST na lokalnej stacji roboczej i spróbuj wykonać pierwsze kilka zadań w przewodniku Szybki start. Jeśli zostanie wyświetlony błąd, że serwer zdalny nie istnieje, pomyślnie skonfigurowano prywatny punkt końcowy dla usługi wyszukiwania.

Uzyskiwanie dostępu do prywatnej usługi wyszukiwania przy użyciu witryny Azure Portal

Gdy punkt końcowy usługi wyszukiwania jest prywatny, niektóre funkcje portalu są wyłączone. Informacje o poziomie usług można wyświetlać i zarządzać nimi, ale informacje dotyczące indeksu, indeksatora i zestawu umiejętności są ukryte ze względów bezpieczeństwa.

Aby obejść to ograniczenie, połącz się z witryną Azure Portal z poziomu przeglądarki na maszynie wirtualnej w sieci wirtualnej. Portal używa prywatnego punktu końcowego w połączeniu i zapewnia wgląd w zawartość i operacje.

  1. Postępuj zgodnie z instrukcjami, aby aprowizować maszynę wirtualną, która może uzyskać dostęp do usługi wyszukiwania za pośrednictwem prywatnego punktu końcowego.

  2. Na maszynie wirtualnej w sieci wirtualnej otwórz przeglądarkę i zaloguj się w witrynie Azure Portal. Portal użyje prywatnego punktu końcowego dołączonego do maszyny wirtualnej, aby nawiązać połączenie z usługą wyszukiwania.

Wyłączanie dostępu do sieci publicznej

Możesz zablokować usługę wyszukiwania, aby uniemożliwić jej przyznanie wszelkich żądań z publicznego Internetu. W tym kroku możesz użyć witryny Azure Portal.

  1. W witrynie Azure Portal w okienku po lewej stronie usługi wyszukiwania wybierz pozycję Sieć.

  2. Wybierz pozycję Wyłączone na karcie Zapory i sieci wirtualne.

Możesz również użyć interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub interfejsu API REST zarządzania, ustawienia public-access lub public-network-access wartości disabled.

Czyszczenie zasobów

Jeśli pracujesz w ramach własnej subskrypcji, dobrym pomysłem po zakończeniu projektu jest sprawdzenie, czy dalej potrzebujesz utworzonych zasobów. Uruchomione zasoby mogą generować koszty.

Możesz usunąć poszczególne zasoby lub grupę zasobów, aby usunąć wszystkie elementy utworzone w tym ćwiczeniu. Wybierz grupę zasobów na stronie przeglądu dowolnego zasobu, a następnie wybierz pozycję Usuń.

Następne kroki

W tym artykule utworzono maszynę wirtualną w sieci wirtualnej i usługę wyszukiwania z prywatnym punktem końcowym. Nawiązano połączenie z maszyną wirtualną z Internetu i bezpiecznie nawiązano połączenie z usługą wyszukiwania przy użyciu usługi Private Link. Aby dowiedzieć się więcej na temat prywatnego punktu końcowego, zobacz Co to jest prywatny punkt końcowy platformy Azure?.