Criar um ponto de extremidade privado para uma conexão segura com o Azure AI Search

  • Artigo

Neste artigo, saiba como configurar uma conexão privada com o Azure AI Search para que ele admita solicitações de clientes em uma rede virtual em vez de por uma conexão pública com a Internet:

Outros recursos do Azure que podem se conectar de forma privada ao Azure AI Search incluem o Azure OpenAI para cenários de "usar seus próprios dados". O Azure OpenAI Studio não é executado em uma rede virtual, mas pode ser configurado no back-end para enviar solicitações pela rede de backbone da Microsoft. A configuração para esse padrão de tráfego é habilitada pela Microsoft quando sua solicitação é enviada e aprovada. Para este cenário:

  • Siga as instruções neste artigo para configurar o ponto de extremidade privado.
  • Envie uma solicitação para que o Azure OpenAI Studio se conecte usando seu ponto de extremidade privado.
  • Opcionalmente, desative o acesso à rede pública se as conexões só devem ser originadas de clientes na rede virtual ou do Azure OpenAI em uma conexão de ponto de extremidade privada.

Pontos-chave sobre endpoints privados

Os pontos de extremidade privados são fornecidos pelo Azure Private Link como um serviço faturável separado. Para obter mais informações sobre custos, consulte a página de preços.

Quando um serviço de pesquisa tem um ponto de extremidade privado, o acesso do portal a esse serviço deve ser iniciado a partir de uma sessão do navegador em uma máquina virtual dentro da rede virtual. Consulte esta etapa para obter detalhes.

Você pode criar um ponto de extremidade privado para um serviço de pesquisa no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a versão da API REST de gerenciamento, o Azure PowerShell ou a CLI do Azure.

Por que usar um endpoint privado?

Os Pontos de Extremidade Privados para a Pesquisa de IA do Azure permitem que um cliente em uma rede virtual acesse com segurança os dados em um índice de pesquisa por meio de um Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço de rede virtual para seu serviço de pesquisa. O tráfego de rede entre o cliente e o serviço de pesquisa atravessa a rede virtual e um link privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública. Para obter uma lista de outros serviços PaaS que suportam Private Link, verifique a seção de disponibilidade na documentação do produto.

Os pontos de extremidade privados para o seu serviço de pesquisa permitem-lhe:

  • Bloqueie todas as conexões no ponto de extremidade público para seu serviço de pesquisa.
  • Aumente a segurança da rede virtual, permitindo que você bloqueie a exfiltração de dados da rede virtual.
  • Conecte-se com segurança ao seu serviço de pesquisa a partir de redes locais que se conectam à rede virtual usando VPN ou ExpressRoutes com emparelhamento privado.

Criar a rede virtual

Nesta seção, você criará uma rede virtual e uma sub-rede para hospedar a VM que será usada para acessar o ponto de extremidade privado do seu serviço de pesquisa.

  1. Na guia inicial do portal do Azure, selecione Criar um recurso>Rede virtual de rede.>

  2. Em Criar rede virtual, insira ou selecione os seguintes valores:

    Definição Value
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione Criar novo, insira um nome, como "myResourceGroup", e selecione OK.
    Nome Insira um nome, como "MyVirtualNetwork".
    País/Região Selecione uma região.

  3. Aceite os padrões para o restante das configurações. Selecione Rever + criar e, em seguida, Criar.

Criar um serviço de pesquisa com um ponto de extremidade privado

Nesta seção, você criará um novo serviço Azure AI Search com um Ponto de Extremidade Privado.

  1. No canto superior esquerdo da tela no portal do Azure, selecione Criar um recurso>Web>Azure AI Search.

  2. Em Novo Serviço de Pesquisa - Noções básicas, insira ou selecione os seguintes valores:

    Definição Value
    DETALHES DO PROJETO
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Use o grupo de recursos que você criou na etapa anterior.
    DETALHES DA INSTÂNCIA
    URL Introduza um nome exclusivo.
    Location Selecione a sua região.
    Escalão de preço Selecione Alterar nível de preço e escolha o nível de serviço desejado. Os pontos de extremidade privados não são suportados no nível Gratuito . Você deve selecionar Básico ou superior.

  3. Selecione Next: Scale.

  4. Aceite os padrões e selecione Avançar: Rede.

  5. Em Novo Serviço de Pesquisa - Rede, selecione Privado para Conectividade de ponto de extremidade (dados).

  6. Selecione + Adicionar em Ponto de extremidade privado.

  7. Em Criar Ponto de Extremidade Privado, insira ou selecione valores que associem seu serviço de pesquisa à rede virtual que você criou:

    Definição Value
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Use o grupo de recursos que você criou na etapa anterior.
    Location Selecione uma região.
    Nome Insira um nome, como "myPrivateEndpoint".
    Subrecurso de destino Aceite o searchService padrão.
    CRIAÇÃO DE REDES
    Rede virtual Selecione a rede virtual que você criou na etapa anterior.
    Sub-rede Selecione o padrão.
    INTEGRAÇÃO DNS PRIVADA
    Integrar com zona DNS privada Aceite o padrão "Sim".
    Zona DNS Privado Aceite o padrão (Novo) privatelink.search.windows.net.

  8. Selecione OK.

  9. Selecione Rever + criar. Você será direcionado para a página Revisar + criar, onde o Azure valida sua configuração.

  10. Quando vir a mensagem Validação aprovada , selecione Criar.

  11. Quando o provisionamento do novo serviço estiver concluído, navegue até o recurso que você criou.

  12. Selecione Teclas no menu de conteúdo à esquerda.

  13. Copie a chave de administração primária para mais tarde, ao conectar-se ao serviço.

Criar uma máquina virtual

  1. No canto superior esquerdo da tela no portal do Azure, selecione Criar uma máquina virtual de computação>de recurso.>

  2. Em Criar uma máquina virtual - Noções básicas, insira ou selecione os seguintes valores:

    Definição Value
    DETALHES DO PROJETO
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Use o grupo de recursos que você criou na seção anterior.
    DETALHES DA INSTÂNCIA
    Virtual machine name Insira um nome, como "my-vm".
    País/Região Selecione a sua região.
    Opções de disponibilidade Você pode escolher Sem necessidade de redundância de infraestrutura ou selecionar outra opção se precisar da funcionalidade.
    Image Selecione Windows Server 2022 Datacenter: Azure Edition - Gen2.
    Arquitetura VM Aceite o x64 padrão.
    Tamanho Aceite o padrão D2S v3.
    CONTA DE ADMINISTRADOR
    Username Digite o nome de usuário do administrador. Use uma conta válida para sua assinatura do Azure. Você desejará entrar no portal do Azure a partir da VM para gerenciar seu serviço de pesquisa.
    Palavra-passe Introduza a palavra-passe da conta. A palavra-passe tem de ter, pelo menos, 12 carateres e cumprir os requisitos de complexidade definidos.
    Confirmar Palavra-passe Reintroduza a palavra-passe.
    REGRAS DE PORTA DE ENTRADA
    Portas de entrada públicas Aceite o padrão Permitir portas selecionadas.
    Selecione as portas de entrada Aceite o RDP padrão (3389).

  3. Selecione Next: Disks.

  4. Em Criar uma máquina virtual - Discos, aceite os padrões e selecione Avançar: Rede.

  5. Em Criar uma máquina virtual - Rede, forneça os seguintes valores:

    Definição Value
    Rede virtual Selecione a rede virtual que você criou em uma etapa anterior.
    Sub-rede Aceite o padrão (10.1.0.0/24).
    Grupo de segurança de rede NIC Aceite o padrão "Básico"
    IP público Aceite o padrão "(novo) myVm-ip".
    Portas de entrada públicas Selecione o padrão "Permitir portas selecionadas".
    Selecione as portas de entrada Selecione "HTTP 80", "HTTPS (443)" e "RDP (3389)".

    Nota

    Os endereços IPv4 podem ser expressos em formato CIDR . Lembre-se de evitar o intervalo de IP reservado para redes privadas, conforme descrito no RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Selecione Rever + criar para uma verificação de validação.

  7. Quando vir a mensagem Validação aprovada , selecione Criar.

Ligar-se à VM

Transfira e, em seguida, ligue-se à máquina virtual da seguinte forma:

  1. Na barra de pesquisa do portal, procure a máquina virtual criada na etapa anterior.

  2. Selecione Ligar. Depois de selecionar o botão Conectar , Conectar à máquina virtual é aberto.

  3. Selecione Transferir Ficheiro RDP. O Azure cria um ficheiro de Protocolo de Ambiente de Trabalho Remoto (.rdp) e transfere-o para o seu computador.

  4. Abra o ficheiro transferido .rdp .

    1. Se lhe for pedido, selecione Ligar.

    2. Digite o nome de usuário e a senha que você especificou ao criar a VM.

      Nota

      Talvez seja necessário selecionar Mais opções>Usar uma conta diferente, para especificar as credenciais inseridas quando você criou a VM.

  5. Selecione OK.

  6. Poderá receber um aviso de certificado durante o processo de início de sessão. Se você receber um aviso de certificado, selecione Sim ou Continuar.

  7. Quando a área de trabalho da VM aparecer, minimize-a para voltar à área de trabalho local.

Conexões de teste

Nesta seção, você verificará o acesso à rede privada ao serviço de pesquisa e se conectará de forma privada ao usando o Ponto de Extremidade Privado.

Quando o ponto de extremidade do serviço de pesquisa é privado, alguns recursos do portal são desativados. Você poderá visualizar e gerenciar as configurações de nível de serviço, mas o acesso do portal aos dados de índice e a vários outros componentes no serviço, como as definições de índice, indexador e conjunto de habilidades, é restrito por motivos de segurança.

  1. Na Área de Trabalho Remota do myVM, abra o PowerShell.

  2. Introduzir nslookup [search service name].search.windows.net.

    Você receberá uma mensagem semelhante a esta:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Na VM, conecte-se ao serviço de pesquisa e crie um índice. Você pode seguir este início rápido para criar um novo índice de pesquisa em seu serviço usando a API REST. A configuração de solicitações de uma ferramenta de teste de API da Web requer o ponto de extremidade do serviço de pesquisa (https://[nome do serviço de pesquisa].search.windows.net) e a chave de api admin copiada em uma etapa anterior.

  4. Concluir o início rápido a partir da VM é a sua confirmação de que o serviço está totalmente operacional.

  5. Feche a ligação ao ambiente de trabalho remoto para myVM.

  6. Para verificar se o serviço não está acessível em um ponto de extremidade público, abra um cliente REST na estação de trabalho local e tente as primeiras tarefas no início rápido. Se você receber um erro informando que o servidor remoto não existe, configurou com êxito um ponto de extremidade privado para seu serviço de pesquisa.

Usar o portal do Azure para acessar um serviço de pesquisa privado

Quando o ponto de extremidade do serviço de pesquisa é privado, alguns recursos do portal são desativados. Você pode exibir e gerenciar informações de nível de serviço, mas as informações de índice, indexador e conjunto de habilidades ficam ocultas por motivos de segurança.

Para contornar essa restrição, conecte-se ao portal do Azure a partir de um navegador em uma máquina virtual dentro da rede virtual. O portal usa o ponto de extremidade privado na conexão e oferece visibilidade do conteúdo e das operações.

  1. Siga as etapas para provisionar uma VM que possa acessar o serviço de pesquisa por meio de um ponto de extremidade privado.

  2. Em uma máquina virtual em sua rede virtual, abra um navegador e entre no portal do Azure. O portal usará o ponto de extremidade privado anexado à máquina virtual para se conectar ao seu serviço de pesquisa.

Desativar o acesso à rede pública

Você pode bloquear um serviço de pesquisa para impedir que ele admita qualquer solicitação da internet pública. Você pode usar o portal do Azure para esta etapa.

  1. No portal do Azure, no painel mais à esquerda da página do serviço de pesquisa, selecione Rede.

  2. Selecione Desativado na guia Firewalls e redes virtuais.

Você também pode usar a CLI do Azure, o Azure PowerShell ou a API REST de Gerenciamento, ou public-accesspublic-network-access para disabled.

Clean up resources (Limpar recursos)

Ao trabalhar na sua própria subscrição, recomendamos que verifique, depois de concluir um projeto, se ainda vai precisar dos recursos que criou. Os recursos que deixar em execução podem custar dinheiro.

Você pode excluir recursos individuais ou o grupo de recursos para excluir tudo o que criou neste exercício. Selecione o grupo de recursos na página de visão geral de qualquer recurso e, em seguida, selecione Excluir.

Próximos passos

Neste artigo, você criou uma VM em uma rede virtual e um serviço de pesquisa com um ponto de extremidade privado. Você se conectou à VM a partir da Internet e se comunicou com segurança ao serviço de pesquisa usando o Private Link. Para saber mais sobre o Ponto de Extremidade Privado, consulte O que é o Ponto de Extremidade Privado do Azure?.