Configurações recomendadas para isolamento de rede

  • Artigo

Siga as etapas abaixo para restringir o acesso público aos recursos do QnA Maker. Proteja um recurso de serviços de IA do Azure do acesso público configurando a rede virtual.

Nota

O serviço QnA Maker será desativado no dia 31 de março de 2025. Uma versão mais recente do recurso de perguntas e respostas agora está disponível como parte da Linguagem de IA do Azure. Para obter os recursos de resposta a perguntas no Serviço Linguístico, consulte Resposta a perguntas. A partir de 1º de outubro de 2022, você não poderá criar novos recursos do QnA Maker. Para obter informações sobre como migrar bases de conhecimento existentes do QnA Maker para responder a perguntas, consulte o guia de migração.

Restringir o acesso ao Serviço de Aplicativo (tempo de execução do QnA)

Você pode usar a ServiceTag CognitiveServicesMangement para restringir o acesso de entrada às regras de entrada do grupo de segurança de rede do Serviço de Aplicativo ou ASE (Ambiente do Serviço de Aplicativo). Confira mais informações sobre tags de serviço no artigo Tags de serviço de rede virtual.

Serviço de Aplicativo Regular

  1. Abra o Cloud Shell (PowerShell) no portal do Azure.
  2. Execute o seguinte comando na janela do PowerShell na parte inferior da página:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Verifique se a regra de acesso adicionada está presente na seção Restrições de acesso da guia Rede :

    Screenshot of access restriction rule

  2. Para acessar o painel Teste no https://qnamaker.ai portal, adicione o endereço IP público da máquina de onde você deseja acessar o portal. Na página Restrições de acesso , selecione Adicionar regra e permita o acesso ao IP do cliente.

    Screenshot of access restriction rule with the addition of public IP address

Acesso de saída do Serviço de Aplicativo

O QnA Maker App Service requer acesso de saída ao ponto de extremidade abaixo. Certifique-se de que ele foi adicionado à lista de permissões se houver alguma restrição no tráfego de saída.

Configurar o Ambiente do Serviço de Aplicativo para hospedar o QnA Maker App Service

O Ambiente do Serviço de Aplicativo (ASE) pode ser usado para hospedar a instância do QnA Maker App Service. Siga os passos abaixo:

  1. Crie um novo Recurso de Pesquisa de IA do Azure.

  2. Crie um ASE externo com o Serviço de Aplicativo.

    • Siga este início rápido do Serviço de Aplicativo para obter instruções. Este processo pode levar até 1-2 horas.
    • Finalmente, você terá um ponto de extremidade do Serviço de Aplicativo que será semelhante a: https://<app service name>.<ASE name>.p.azurewebsite.net .
    • Exemplo: https:// mywebsite.myase.p.azurewebsite.net

  3. Adicione as seguintes configurações do Serviço de aplicativo:

    Nome valor
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Adicione a origem CORS "*" no Serviço de Aplicativo para permitir o acesso ao painel Teste do https://qnamaker.ai portal. O CORS está localizado sob o cabeçalho da API no painel Serviço de Aplicativo.

    Screenshot of CORS interface within App Service UI

  5. Crie uma instância de serviços de IA do Azure do QnA Maker (Microsoft.CognitiveServices/accounts) usando o Azure Resource Manager. O ponto de extremidade do QnA Maker deve ser definido como o Ponto de Extremidade do Serviço de Aplicativo criado acima (https:// mywebsite.myase.p.azurewebsite.net). Aqui está um modelo de exemplo do Azure Resource Manager que você pode usar para referência.

O QnA Maker pode ser implantado em um ASE interno?

A principal razão para usar um ASE externo é para que o back-end do serviço QnAMaker (apis de criação) possa acessar o Serviço de Aplicativo pela Internet. No entanto, você ainda pode protegê-lo adicionando restrição de acesso de entrada para permitir apenas conexões de endereços associados à CognitiveServicesManagement etiqueta de serviço.

Se você ainda quiser usar um ASE interno, precisará expor esse aplicativo QnA Maker específico no ASE em um domínio público por meio do certificado DNS TLS/SSL do gateway de aplicativo. Para obter mais informações, consulte este artigo sobre a implantação corporativa dos Serviços de Aplicativo.

Restringir o acesso ao recurso de Pesquisa Cognitiva

A instância de Pesquisa Cognitiva pode ser isolada por meio de um ponto de extremidade privado após a criação dos recursos do QnA Maker. Use as seguintes etapas para bloquear o acesso:

  1. Crie uma nova rede virtual (VNet) ou use a VNet existente do ASE (Ambiente do Serviço de Aplicativo).

  2. Abra o recurso VNet e, em seguida, na guia Sub-redes , crie duas sub-redes. Uma para o Serviço de Aplicativo (appservicesubnet) e outra sub-rede (searchservicesubnet) para o recurso de Pesquisa Cognitiva sem delegação.

    Screenshot of virtual networks subnets UI interface

  3. Na guia Rede, na instância do serviço de Pesquisa Cognitiva, alterne os dados de conectividade de ponto de extremidade de público para privado. Esta operação é um processo de longa duração e pode levar até 30 minutos para ser concluída.

    Screenshot of networking UI with public/private toggle button

  4. Quando o recurso de Pesquisa for alternado para privado, selecione adicionar ponto de extremidade privado.

    • Guia Noções básicas: verifique se você está criando seu ponto de extremidade na mesma região do recurso de pesquisa.
    • Guia Recurso: selecione o recurso de pesquisa necessário do tipo Microsoft.Search/searchServices.

    Screenshot of create a private endpoint UI window

    • Guia Configuração: use a rede virtual, sub-rede (searchservicesubnet) criada na etapa 2. Depois disso, na seção Integração de DNS privado, selecione a assinatura correspondente e crie uma nova zona DNS privada chamada privatelink.search.windows.net.

    Screenshot of create private endpoint UI window with subnet field populated

  5. Habilite a integração VNET para o Serviço de Aplicativo regular. Você pode pular esta etapa para o ASE, pois ele já tem acesso à VNET.

    • Vá para a seção Rede do Serviço de Aplicativo e abra Integração de VNet.
    • Link para a VNet dedicada do Serviço de Aplicativo, Sub-rede (appservicevnet) criada na etapa 2.

    Screenshot of VNET integration UI

Crie pontos de extremidade privados para o recurso Azure Search.

Siga as etapas abaixo para restringir o acesso público aos recursos do QnA Maker. Proteja um recurso de serviços de IA do Azure do acesso público configurando a rede virtual.

Depois de restringir o acesso ao recurso de serviço de IA do Azure com base na rede virtual, Para procurar bases de conhecimento no portal a https://qnamaker.ai partir da sua rede local ou do seu navegador local.

  • Conceda acesso à rede local.

  • Conceda acesso ao seu navegador/máquina local.

  • Adicione o endereço IP público da máquina na seção Firewall da guia Rede . Por padrão portal.azure.com , mostra o IP público da máquina de navegação atual (selecione esta entrada) e, em seguida, selecione Salvar.

    Screenshot of firewall and virtual networks configuration UI