Criar um Ponto de Extremidade Privado para uma conexão segura com o Azure AI Search

  • Artigo

Neste artigo, aprenda a configurar uma conexão privada com a Pesquisa de IA do Azure para que ela aceite solicitações de clientes em uma rede virtual em vez de através de uma conexão pública com a Internet:

Outros recursos do Azure que podem se conectar de modo privado à Pesquisa de IA do Azure incluem o OpenAI do Azure para cenários de "utilização dos próprios dados". O Estúdio do OpenAI do Azure não funciona em uma rede virtual, mas pode ser configurado no back-end para enviar solicitações por meio da rede de backbone da Microsoft. A configuração desse padrão de tráfego é habilitada pela Microsoft quando sua solicitação é enviada e aprovada. Para este cenário, faça o seguinte:

  • Siga as instruções neste artigo para configurar o ponto de extremidade privado.
  • Envie uma solicitação para que o Estúdio do OpenAI do Azure se conecte usando o ponto de extremidade privado.
  • Também será possível desabilitar o acesso à rede pública se as conexões só tiverem origem em clientes na rede virtual ou no OpenAI do Azure através de uma conexão de ponto de extremidade privado.

Informações importantes sobre os pontos de extremidade privados

Pontos de extremidade privados são fornecidos pelo Link Privado do Azure, como um serviço faturável. Para mais informações sobre custos, confira a página de preços.

Depois que um serviço de pesquisa tiver um ponto de extremidade privado, o acesso ao portal para esse serviço deve ser iniciado em uma sessão do navegador em uma máquina virtual dentro da rede virtual. Confira esta etapa para obter detalhes.

Você pode criar um ponto de extremidade privado para um serviço de pesquisa no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a versão da API REST de Gerenciamento, o Azure PowerShell ou a CLI do Azure.

Por que usar um ponto de extremidade privado?

Os Pontos de Extremidade Privados da Pesquisa de IA do Azure permitem que um cliente em uma rede virtual acesse dados com segurança em um índice de pesquisa por um Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da rede virtual para o serviço de pesquisa. O tráfego de rede entre o cliente e o serviço de pesquisa atravessa a rede virtual e o link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública. Para obter uma lista de outros serviços de PaaS que dão suporte ao Link Privado, verifique a seção de disponibilidade na documentação do produto.

Pontos de extremidade privados para o serviço de pesquisa permitem que você:

  • Bloquear todas as conexões no ponto de extremidade público para o serviço de pesquisa.
  • Aumente a segurança da rede virtual, permitindo que você bloqueie o vazamento de dados da rede virtual.
  • Conectar-se com segurança aos recursos dos serviços nas redes locais que se conectam à rede virtual usando VPN ou ExpressRoutes com emparelhamento privado.

Criar a rede virtual

Nesta seção, você criará uma rede virtual e uma sub-rede para hospedar a VM que será usada para acessar o ponto de extremidade privado do serviço de pesquisa.

  1. Na guia da página inicial do portal do Azure, selecione Criar um recurso>Rede>Rede virtual.

  2. Em Criar rede virtual, insira ou selecione os valores a seguir:

    Configuração Valor
    Subscription Selecione sua assinatura.
    Resource group Selecione Criar novo, insira um nome, como "myResourceGroup" e depois selecione OK.
    Nome Insira um nome, como "MyVirtualNetwork".
    Region Selecione uma região.

  3. Aceite os padrões para o restante das configurações. Selecione Examinar + criar e depois Criar.

Criar um serviço de pesquisa com um ponto de extremidade privado

Nesta seção, você criará um novo serviço do Azure AI Search com um ponto de extremidade privado.

  1. No lado superior esquerdo da tela no portal do Azure, selecione Criar um recurso>Web>Azure AI Search.

  2. Em Novos serviço de pesquisa - noções básicas, insira ou selecione os valores a seguir:

    Configuração Valor
    DETALHES DO PROJETO
    Subscription Selecione sua assinatura.
    Resource group Use o grupo de recursos criado na etapa anterior.
    DETALHES DA INSTÂNCIA
    URL Insira um nome exclusivo.
    Location Selecione sua região.
    Tipo de preço Selecione Alterar Tipo de Preço e escolha a camada de serviço desejada. Não há suporte para pontos de extremidade privados na camada Gratuita. Você deve selecionar Básico ou superior.

  3. Em seguida, selecione Avançar: Escala.

  4. Aceite os padrões e selecione Avançar: Rede.

  5. Em Novo Serviço de Pesquisa – Rede, selecione Privado para Conectividade do ponto de extremidade (dados).

  6. Selecione + Adicionar, em Ponto de Extremidade Privado.

  7. Em Criar Ponto de Extremidade Privado, insira ou selecione valores que associam o serviço de pesquisa à rede virtual que você criou:

    Configuração Valor
    Subscription Selecione sua assinatura.
    Resource group Use o grupo de recursos criado na etapa anterior.
    Location Selecione uma região.
    Nome Insira um nome, como "myPrivateEndpoint".
    Sub-recurso de destino Aceite o padrão searchService.
    REDE
    Rede virtual Selecione a rede virtual que você criou na etapa anterior.
    Sub-rede Selecione o padrão.
    INTEGRAÇÃO DE DNS PRIVADO
    Integrar com a zona DNS privado Aceite o padrão "Sim".
    Zona DNS privada Aceite o padrão (Novo) privatelink.search.windows.net.

  8. Selecione OK.

  9. Selecione Examinar + criar. Você é levado até a página Examinar + criar, na qual o Azure valida sua configuração.

  10. Quando vir a mensagem Validação aprovada, selecione Criar.

  11. Depois que o provisionamento do novo serviço for concluído, navegue até o recurso que você criou.

  12. Em seguida, selecione Chaves no menu à esquerda.

  13. Copie a Chave de administração primária para mais tarde, ao conectar-se ao serviço.

Criar uma máquina virtual

  1. No lado superior esquerdo da tela no portal do Azure, selecione Criar um recurso>Computação>Máquina Virtual.

  2. Em Criar uma máquina virtual – Informações Básicas, insira ou selecione os valores a seguir:

    Configuração Valor
    DETALHES DO PROJETO
    Subscription Selecione sua assinatura.
    Resource group Use o grupo de recursos criado na seção anterior.
    DETALHES DA INSTÂNCIA
    Nome da máquina virtual Insira um nome, como "my-vm".
    Region Selecione sua região.
    Opções de disponibilidade Você pode escolher Nenhuma redundância de infraestrutura necessária ou selecionar outra opção, se precisar da funcionalidade.
    Imagem Selecione Windows Server 2022 Datacenter: edição do Azure – Gen2.
    Arquitetura de VMs; Aceite o padrão x64.
    Tamanho Aceite o padrão Standard D2S v3.
    CONTA DE ADMINISTRADOR
    Nome de Usuário Insira o nome de usuário do administrador. Use uma conta válida para sua assinatura do Azure. Você deseja entrar no portal do Azure por meio da VM para que possa gerenciar seu serviço Pesquisa.
    Senha Insira a senha da conta. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Confirmar Senha Reinsira a senha.
    REGRAS DE PORTA DE ENTRADA
    Porta de entrada públicas Aceite o padrão Permitir portas selecionadas.
    Selecione as portas de entrada Aceite o padrão RDP (3389).

  3. Selecione Avançar: Discos.

  4. Em Criar uma máquina virtual – Discos, aceite os padrões e selecione Avançar: Rede.

  5. Em Criar uma máquina virtual – Rede, forneça os valores a seguir:

    Configuração Valor
    Rede virtual Selecione a rede virtual que você criou em uma etapa anterior.
    Sub-rede Aceite o padrão (10.1.0.0/24).
    Grupo de segurança de rede da NIC Aceite o nome padrão "Básico"
    IP público Aceite o nome padrão "(novo) myVm-ip".
    Porta de entrada públicas Selecione o padrão "Permitir portas selecionadas".
    Selecione as portas de entrada Selecione "HTTP 80", "HTTPS (443)" e "RDP (3389)".

    Observação

    Os endereços IPv4 podem ser expressos no formato CIDR. Lembre-se de evitar o intervalo de IP reservado para rede privada, conforme descrito em RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Selecione Examinar e criar para uma verificação de validação.

  7. Quando vir a mensagem Validação aprovada, selecione Criar.

Conectar-se à VM

Baixe e conecte-se à máquina virtual da seguinte maneira:

  1. Na barra de pesquisa do portal, procure a máquina virtual criada na etapa anterior.

  2. Selecione Conectar. Depois de selecionar o botão Conectar, Conectar-se à máquina virtual abre.

  3. Selecione Baixar Arquivo RDP. O Azure cria um arquivo de protocolo RDP (.rdp) e ele é baixado no seu computador.

  4. Abra o arquivo .rdp baixado.

    1. Se solicitado, selecione Conectar.

    2. Insira o nome de usuário e a senha que você especificou ao criar a VM.

      Observação

      Talvez seja necessário selecionar Mais escolhas>Usar uma conta diferente para especificar as credenciais inseridas durante a criação da VM.

  5. Selecione OK.

  6. Você pode receber um aviso do certificado durante o processo de logon. Se você receber um aviso de certificado, selecione Sim ou Continuar.

  7. Depois que a área de trabalho da VM for exibida, minimize-a para voltar para sua área de trabalho local.

Conexões de teste

Nesta seção, você verificará o acesso à rede privada do serviço de pesquisa e se conectará a ela de modo privado usando o ponto de extremidade privado.

Quando o ponto de extremidade de serviço estiver privado, alguns recursos do portal serão desabilitados. Você poderá exibir e gerenciar as configurações de nível de serviço, mas o acesso ao portal para indexar dados e vários outros componentes no serviço, como o índice, o indexador e as definições de qualificações, é restrito por motivos de segurança.

  1. Na Área de Trabalho Remota do myVM, abra o PowerShell.

  2. Digite nslookup [search service name].search.windows.net.

    Você receberá uma mensagem semelhante a esta:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Na VM, conecte-se ao serviço de pesquisa e crie um índice. Você pode seguir este guia de início rápido para criar um novo índice de pesquisa no serviço usando a API REST. A configuração de solicitações de uma ferramenta de teste da API Web requer o ponto de extremidade do serviço de pesquisa (https://[nome do serviço de pesquisa].search.windows.net) e a chave de API de administrador que você copiou em uma etapa anterior.

  4. A conclusão do início rápido da VM é a confirmação de que o serviço está totalmente operacional.

  5. Feche a Conexão da Área de Trabalho Remota com myVM.

  6. Para verificar se o serviço não está acessível em um ponto de extremidade público, abra um cliente REST em sua estação de trabalho local e tente realizar as primeiras tarefas do início rápido. Se receber um erro informando que o servidor remoto não existe, você configurou com êxito um ponto de extremidade privado para o serviço de pesquisa.

Usar o portal do Azure para acessar um serviço de pesquisa privado

Quando o ponto de extremidade de serviço estiver privado, alguns recursos do portal serão desabilitados. Você pode exibir e gerenciar as informações de nível de serviço, mas as informações de índice, indexador e conjunto de habilidades ficam ocultas por motivos de segurança.

Para contornar essa restrição, conecte-se ao portal do Azure de um navegador em uma máquina virtual dentro da rede virtual. O portal usa o ponto de extremidade privado na conexão e fornece visibilidade do conteúdo e das operações.

  1. Siga as etapas para provisionar uma VM que pode acessar o serviço de pesquisa por meio de um ponto de extremidade privado.

  2. Em uma máquina virtual em sua rede virtual, abra um navegador e entre no portal do Azure. O portal usará o ponto de extremidade privado anexado à máquina virtual para se conectar ao serviço de pesquisa.

Desabilitar o acesso de redes públicas

É possível bloquear um serviço de pesquisa para evitar que ele aceite solicitações da Internet pública. É possível usar o portal do Azure nesta etapa.

  1. No portal do Azure, no painel mais à esquerda da página do serviço de pesquisa, selecione Rede.

  2. Selecione Desabilitar na guia Firewalls e redes virtuais.

Também é possível usar a CLI do Azure, o Azure PowerShell na API REST de gerenciamento, a configuração public-access ou public-network-access para disabled.

Limpar os recursos

Quando você está trabalhando em sua própria assinatura, é uma boa ideia identificar, no final de um projeto, se você ainda precisa dos recursos criados. Recursos deixados em execução podem custar dinheiro.

Você pode excluir recursos individuais ou o grupo de recursos para excluir tudo o que você criou neste exercício. Selecione o grupo de recursos na página de visão geral de qualquer recurso e selecione Excluir.

Próximas etapas

Neste artigo, você criou uma VM em uma rede virtual e um serviço de pesquisa com um ponto de extremidade privado. Você se conectou a uma VM pela Internet e se comunicou com segurança com servidor de pesquisa usando o Link Privado. Para saber mais sobre pontos de extremidade privados, consulte O que é o ponto de extremidade privado do Azure?.