Criar um ponto de extremidade privado para uma conexão segura com a Pesquisa de IA do Azure
Artigo
Este artigo explica como configurar uma conexão privada com a Pesquisa de IA do Azure para que ela aceite solicitações de clientes em uma rede virtual em vez de uma conexão pública com a Internet:
Outros recursos do Azure que podem se conectar de modo privado à Pesquisa de IA do Azure incluem o OpenAI do Azure para cenários de "utilização dos próprios dados". O Azure AI Foundry não funciona em uma rede virtual, mas pode ser configurado no back-end para enviar solicitações por meio da rede de backbone da Microsoft. A configuração desse padrão de tráfego é habilitada pela Microsoft quando sua solicitação é enviada e aprovada. Para este cenário, faça o seguinte:
Siga as instruções neste artigo para configurar o ponto de extremidade privado.
Também será possível desabilitar o acesso à rede pública se as conexões só tiverem origem em clientes na rede virtual ou no OpenAI do Azure através de uma conexão de ponto de extremidade privado.
Informações importantes sobre os pontos de extremidade privados
Depois que um serviço de pesquisa tiver um ponto de extremidade privado, o acesso ao portal para esse serviço deve ser iniciado em uma sessão do navegador em uma máquina virtual dentro da rede virtual. Confira esta etapa para obter detalhes.
Você pode criar um ponto de extremidade privado para um serviço de pesquisa no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a API REST de Gerenciamento, o Azure PowerShell ou a CLI do Azure.
Por que usar um ponto de extremidade privado?
Os pontos de extremidade privados da Pesquisa de IA do Azure permitem que um cliente em uma rede virtual acesse dados com segurança em um índice de pesquisa por um Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da rede virtual para o serviço de pesquisa. O tráfego de rede entre o cliente e o serviço de pesquisa atravessa a rede virtual e o link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública. Para obter uma lista de outros serviços de PaaS que dão suporte ao Link Privado, verifique a seção de disponibilidade na documentação do produto.
Os pontos de extremidade privados para o serviço de pesquisa permitem que você:
Bloquear todas as conexões no ponto de extremidade público para o serviço de pesquisa.
Aumente a segurança da rede virtual, permitindo que você bloqueio a exfiltração de dados da rede virtual.
Conectar-se com segurança aos recursos dos serviços nas redes locais que se conectam à rede virtual usando VPN ou ExpressRoutes com emparelhamento privado.
Criar a rede virtual
Nesta seção, você criará uma rede virtual e uma sub-rede para hospedar a VM que será usada para acessar o ponto de extremidade privado do serviço de pesquisa.
Na guia da página inicial do portal do Azure, selecione Criar um recurso>Rede>Rede virtual.
Em Criar rede virtual, insira ou selecione os valores a seguir:
Configuração
Valor
Subscription
Selecionar sua assinatura
Grupo de recursos
Selecione Criar novo, insira um nome, como myResourceGroup e selecione OK
Nome
Insira um nome, como MyVirtualNetwork
Region
Selecionar uma região
Aceite os padrões para o restante das configurações. Selecione Examinar + criar e depois Criar.
Criar um serviço de pesquisa com um ponto de extremidade privado
Nesta seção, você criará um novo serviço da Pesquisa de IA do Azure com um ponto de extremidade privado.
No lado superior esquerdo da tela no portal do Azure, selecione Criar um recurso>IA + aprendizado de máquina>Pesquisa de IA.
Em Criar um serviço de pesquisa – Noções básicas, insira ou selecione os valores a seguir:
Configuração
Valor
DETALHES DO PROJETO
Subscription
Selecionar sua assinatura
Grupo de recursos
Use o grupo de recursos criado na etapa anterior
DETALHES DA INSTÂNCIA
URL
Insira um nome exclusivo
Localidade
Selecione sua região
Tipo de preços
Selecione Alterar Tipo de Preço e escolha a camada de serviço desejada. Não há suporte para pontos de extremidade privados na camada Gratuita. Você deve selecionar Básico ou superior.
Em seguida, selecione Avançar: Escala.
Aceite os padrões e selecione Avançar: Rede.
Em Criar um serviço de pesquisa – Rede, selecione Privado para Conectividade do ponto de extremidade (dados).
Selecione + Adicionar, em Ponto de Extremidade Privado.
Em Criar ponto de extremidade privado, insira ou selecione valores que associam o serviço de pesquisa à rede virtual criada:
Configuração
Valor
Subscription
Selecionar sua assinatura
Grupo de recursos
Use o grupo de recursos criado na etapa anterior
Localidade
Selecionar uma região
Nome
Insira um nome, como myPrivateEndpoint
Sub-recurso de destino
Aceite o padrão searchService
REDE
Rede virtual
Selecione a rede virtual criada na etapa anterior
Sub-rede
Selecione o padrão
INTEGRAÇÃO DE DNS PRIVADO
Habilitar Integração de DNS privado
Marque a caixa de seleção
Zona DNS privada
Aceite o padrão (novo) privatelink.search.windows.net
Selecione Adicionar.
Selecione Examinar + criar. Você é levado até a página Examinar + criar, na qual o Azure valida sua configuração.
Quando vir a mensagem Validação aprovada, selecione Criar.
Depois que o provisionamento do novo serviço for concluído, navegue até o recurso que você criou.
Selecione Configurações>Chaves no menu de conteúdo à esquerda.
Copie a Chave de administração primária para mais tarde, ao conectar-se ao serviço.
Criar uma máquina virtual
No lado superior esquerdo da tela no portal do Azure, selecione Criar um recurso>Computação>Máquina Virtual.
Em Criar uma máquina virtual – Informações Básicas, insira ou selecione os valores a seguir:
Configuração
Valor
DETALHES DO PROJETO
Subscription
Selecionar sua assinatura
Grupo de recursos
Use o grupo de recursos criado na seção anterior
DETALHES DA INSTÂNCIA
Nome da máquina virtual
Insira um nome, como my-vm
Region
Selecione sua região
Opções de disponibilidade
Você pode escolher Nenhum redundância de infraestrutura necessária ou selecionar outra opção, se precisar da funcionalidade
Imagem
Selecione Windows Server 2022 Datacenter: edição do Azure – Gen2
Arquitetura de VMs
Aceite o padrão x64
Tamanho
Aceite o padrão Standard D2S v3
CONTA DE ADMINISTRADOR
Nome de Usuário
Insira o nome de usuário do administrador. Use uma conta válida para sua assinatura do Azure. Entre no portal do Azure por meio da VM para que possa gerenciar seu serviço de pesquisa.
Em Criar uma máquina virtual – Discos, aceite os padrões e selecione Avançar: Rede.
Em Criar uma máquina virtual – Rede, forneça os valores a seguir:
Configuração
Valor
Rede virtual
Selecione a rede virtual criada em uma etapa anterior
Sub-rede
Aceite o padrão 10.1.0.0/24
IP público
Aceite o padrão
Grupo de segurança de rede da NIC
Aceite o padrão Básico
Porta de entrada públicas
Selecione o padrão Permitir portas selecionadas
Selecione as portas de entrada
Selecione HTTP 80, HTTPS (443) e RDP (3389)
Observação
Os endereços IPv4 podem ser expressos no formato CIDR. Lembre-se de evitar o intervalo de IP reservado para rede privada, conforme descrito em RFC 1918:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Selecione Examinar e criar para uma verificação de validação.
Quando vir a mensagem Validação aprovada, selecione Criar.
Conectar-se à VM
Baixe e conecte-se à máquina virtual da seguinte maneira:
Na barra de pesquisa do portal do Azure, procure a máquina virtual criada na etapa anterior.
Selecione Conectar. Depois de selecionar o botão Conectar, Conectar-se à máquina virtual abre.
Selecione Baixar Arquivo RDP. O Azure cria um arquivo .rdp (protocolo RDP) e ele é baixado no computador.
Abra o arquivo .rdp baixado.
Se solicitado, selecione Conectar.
Insira o nome de usuário e a senha que você especificou ao criar a VM.
Observação
Talvez seja necessário selecionar Mais opções>Usar uma conta diferente para especificar as credenciais inseridas durante a criação da VM.
Selecione OK.
Você pode receber um aviso de certificado durante o processo de entrada. Se você receber um aviso de certificado, selecione Sim ou Continuar.
Depois que a área de trabalho da VM for exibida, minimize-a para voltar para sua área de trabalho local.
Conexões de teste
Nesta seção, você verificará o acesso à rede privada do serviço de pesquisa e se conectará a ela de modo privado usando o ponto de extremidade privado.
Quando o ponto de extremidade de serviço estiver privado, alguns recursos do portal serão desabilitados. Você poderá exibir e gerenciar as configurações de nível de serviço, mas o acesso ao portal para indexar dados e vários outros componentes no serviço, como o índice, o indexador e as definições de conjunto de habilidades, é restrito por motivos de segurança.
Na Área de Trabalho Remota do myVM, abra o PowerShell.
Digite nslookup [search service name].search.windows.net.
Você receberá uma mensagem semelhante a esta:
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: [search service name].privatelink.search.windows.net
Address: 10.0.0.5
Aliases: [search service name].search.windows.net
Na VM, conecte-se ao serviço de pesquisa e crie um índice. Você pode seguir este guia de início rápido para criar um novo índice de pesquisa no serviço usando a API REST. A configuração de solicitações de uma ferramenta de teste da API Web requer o ponto de extremidade de serviço de pesquisa (https://[search service name].search.windows.net) e a chave de API do administrador que você copiou em uma etapa anterior.
A conclusão do início rápido da VM é a confirmação de que o serviço está totalmente operacional.
Feche a Conexão da Área de Trabalho Remota com myVM.
Para verificar se o serviço não está acessível em um ponto de extremidade público, abra um cliente REST em sua estação de trabalho local e tente realizar as primeiras tarefas do início rápido. Se você receber um erro informando que o servidor remoto não existe, você configurou com êxito um ponto de extremidade privado para o serviço de pesquisa.
Usar o portal do Azure para acessar um serviço de pesquisa privado
Quando o ponto de extremidade de serviço estiver privado, alguns recursos do portal serão desabilitados. Você pode exibir e gerenciar as informações de nível de serviço, mas as informações de índice, indexador e conjunto de habilidades ficam ocultas por motivos de segurança.
Para contornar essa restrição, conecte-se ao portal do Azure de um navegador em uma máquina virtual dentro da rede virtual. O portal do Azure usa o ponto de extremidade privado na conexão e fornece visibilidade do conteúdo e das operações.
Em uma máquina virtual em sua rede virtual, abra um navegador e entre no portal do Azure. O portal do Azure usa o ponto de extremidade privado anexado à máquina virtual para se conectar ao serviço de pesquisa.
Desabilitar o acesso de redes públicas
É possível bloquear um serviço de pesquisa para evitar que ele aceite solicitações da Internet pública. É possível usar o portal do Azure nesta etapa.
No portal do Azure, no painel mais à esquerda da página do serviço de pesquisa, selecione Rede.
Selecione Desabilitar na guia Firewalls e redes virtuais.
Quando você está trabalhando em sua própria assinatura, é uma boa ideia identificar, no final de um projeto, se você ainda precisa dos recursos criados. Recursos deixados em execução podem custar dinheiro.
Você pode excluir recursos individuais ou o grupo de recursos para excluir tudo o que você criou neste exercício. Selecione o grupo de recursos na página de visão geral de qualquer recurso e selecione Excluir.
Próxima etapa
Neste artigo, você criou uma VM em uma rede virtual e um serviço de pesquisa com um ponto de extremidade privado. Você se conectou a uma VM pela Internet e se comunicou com segurança com servidor de pesquisa usando o Link Privado. Para saber mais sobre pontos de extremidade privados, consulte O que é um ponto de extremidade privado?
Você aprenderá a projetar e a implementar o acesso privado aos Serviços do Azure com o Link Privado do Azure, além de pontos de extremidade de serviço de rede virtual.