Crie um Ponto Final Privado para uma ligação segura à Azure Cognitive Search

Neste artigo, você vai aprender a garantir um serviço de Azure Cognitive Search para que não possa ser acedido através da internet:

Os pontos finais privados são fornecidos por Azure Private Link, como um serviço de faturação separado. Para obter mais informações sobre os custos, consulte a página de preços.

Pode criar um ponto final privado no portal do Azure, conforme descrito neste artigo. Em alternativa, pode utilizar a versão API Management REST 2020-03-13, Azure PowerShell ou Azure CLI.

Nota

Uma vez que um serviço de pesquisa tenha um ponto final privado, o acesso ao portal a esse serviço deve ser iniciado a partir de uma sessão de navegador numa máquina virtual dentro da rede virtual. Veja este passo para mais detalhes.

Porquê usar um Ponto Final Privado para um acesso seguro?

Os Pontos Finais Privados para Azure Cognitive Search permitem que um cliente numa rede virtual aceda de forma segura a dados num índice de pesquisa ao longo de um Private Link. O ponto final privado utiliza um endereço IP a partir do espaço de endereço de rede virtual para o seu serviço de pesquisa. O tráfego de rede entre o cliente e o serviço de pesquisa atravessa a rede virtual e uma ligação privada na rede Microsoft espinha dorsal, eliminando a exposição da internet pública. Para obter uma lista de outros serviços PaaS que suportam Private Link, consulte a secção de disponibilidade na documentação do produto.

Os pontos finais privados do seu serviço de pesquisa permitem-lhe:

  • Bloqueie todas as ligações no ponto final público para o seu serviço de pesquisa.
  • Aumentar a segurança para a rede virtual, permitindo-lhe bloquear a exfiltração de dados da rede virtual.
  • Ligue-se seguramente ao seu serviço de pesquisa a partir de redes no local que se conectam à rede virtual usando VPN ou ExpressRoutes com observação privada.

Criar a rede virtual

Nesta secção, irá criar uma rede virtual e uma sub-rede para hospedar o VM que será usado para aceder ao ponto final privado do seu serviço de pesquisa.

  1. A partir do separador portal do Azure casa, selecione Criar umarede virtualde rede de> recursos>.

  2. Na Criação de rede virtual, introduza ou selecione os seguintes valores:

    Definição Valor
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione Criar novo, introduza um nome, como "myResourceGroup", e depois selecione OK.
    Name Insira um nome, como "MyVirtualNetwork".
    Região selecione uma região.
  3. Aceite os predefinidos para o resto das definições. Selecione Rever + criar e, em seguida, criar.

Criar um serviço de pesquisa com um ponto final privado

Nesta secção, você vai criar um novo serviço de Azure Cognitive Search com um Private Endpoint.

  1. No lado superior esquerdo do ecrã no portal do Azure, selecione Criar umaWeb>de recursos > Azure Cognitive Search.

  2. Em Novo Serviço de Pesquisa - Básicos, insira ou selecione os seguintes valores:

    Definição Valor
    DETALHES DO PROJETO
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Utilize o grupo de recursos que criou no passo anterior.
    DETALHES DE INSTÂNCIA
    URL Introduza um nome exclusivo.
    Localização Selecione a sua região.
    Escalão de preço Selecione Alterar o Nível de Preços e escolha o nível de serviço pretendido. Os pontos finais privados não são suportados no nível Livre . Tem de selecionar Básico ou superior.
  3. Selecione Seguinte: Escala.

  4. Aceite os predefinidos e selecione Seguinte: Networking.

  5. Em New Search Service - Networking, selecione Private for Endpoint conectividade (dados).

  6. Selecione + Adicione em ponto final privado.

  7. Em Criar Ponto Final Privado, introduza ou selecione valores que associem o seu serviço de pesquisa à rede virtual que criou:

    Definição Valor
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Utilize o grupo de recursos que criou no passo anterior.
    Localização selecione uma região.
    Name Insira um nome, como "myPrivateEndpoint".
    Subresource-alvo Aceite o serviço de pesquisa predefinido.
    REDES
    Rede virtual Selecione a rede virtual criada no passo anterior.
    Sub-rede Selecione o predefinitivo.
    INTEGRAÇÃO DE DNS PRIVADO
    Integrar com zona DNS privada Aceite o padrão "Sim".
    Zona DNS Privado Aceite o padrão (Novo) privatelink.search.windows.net.
  8. Selecione OK.

  9. Selecione Rever + criar. Acedeu à página Rever + criar, onde o Azure valida a sua configuração.

  10. Quando vir a mensagem A validação passou, selecione Criar.

  11. Assim que o fornecimento do seu novo serviço estiver concluído, navegue pelo recurso que criou.

  12. Selecione Chaves do menu de conteúdo esquerdo.

  13. Copie a tecla de administração Principal para mais tarde, quando ligar ao serviço.

Criar uma máquina virtual

  1. No lado superior esquerdo do ecrã no portal do Azure, selecione Criar umamáquina VirtualCompute>de recurso>.

  2. Em Criar uma máquina virtual - Básicos, introduzir ou selecionar os seguintes valores:

    Definição Valor
    DETALHES DO PROJETO
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Utilize o grupo de recursos que criou na secção anterior.
    DETALHES DE INSTÂNCIA
    Nome da máquina virtual Insira um nome, como "my-vm".
    Região Selecione a sua região.
    Opções de disponibilidade Pode escolher Não é necessária redundância de infraestrutura ou selecionar outra opção se precisar da funcionalidade.
    Imagem Selecione o Centro de Dados 2022 do Windows Server: Azure Edition - Gen2.
    Arquitetura VM Aceite o x64 padrão padrão.
    Tamanho Aceite o padrão D2S v3.
    CONTA DE ADMINISTRADOR
    Nome de utilizador Insira o nome de utilizador do administrador. Utilize uma conta válida para a sua subscrição Azure. Você vai querer iniciar sôms no portal do Azure a partir do VM para que você possa gerir o seu serviço de pesquisa.
    Palavra-passe Introduza a senha da conta. A palavra-passe deve ter pelo menos 12 caracteres de comprimento e satisfazer os requisitos de complexidade definidos.
    Confirmar Palavra-passe Reentre na senha.
    REGRAS DA PORTA DE ENTRADA
    Portas de entrada públicas Aceite o predefinido Permitir portas selecionadas.
    Selecione as portas de entrada Aceite o PDR predefinido (3389).
  3. Selecione Seguinte: Discos.

  4. Em Criar uma máquina virtual - Discos, aceitar as predefinições e selecionar Seguinte: Networking.

  5. Na Criação de uma máquina virtual - Networking, forneça os seguintes valores:

    Definição Valor
    Rede virtual Selecione a rede virtual criada num passo anterior.
    Sub-rede Aceite o predefinido (10.1.0.0/24).
    Grupo de segurança de rede NIC Aceite o padrão "Básico"
    IP público Aceite o padrão "(novo) myVm-ip".
    Portas de entrada públicas Selecione o padrão "Permitir portas selecionadas".
    Selecione as portas de entrada Selecione "HTTP 80", "HTTPS (443)" e "PDR (3389)".

    Nota

    Os endereços IPv4 podem ser expressos em formato CIDR . Lembre-se de evitar a gama IP reservada para a rede privada, conforme descrito no RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Selecione Review + crie para uma verificação de validação.

  7. Quando vir a mensagem A validação passou, selecione Criar.

Ligar à VM

Faça o download e, em seguida, ligue-se à máquina virtual da seguinte forma:

  1. Na barra de pesquisa do portal, procure a máquina virtual criada no passo anterior.

  2. Selecione Ligar. Depois de selecionar o botão Ligar , o Connect à máquina virtual abre-se.

  3. Selecione Transferir Ficheiro RDP. O Azure cria um ficheiro Remote Desktop Protocol (.rdp) e transfere-o para o seu computador.

  4. Abra o ficheiro descarregado .rdp .

    1. Se lhe for pedido, selecione Ligar.

    2. Introduza o nome de utilizador e a palavra-passe que especificou ao criar o VM.

      Nota

      Pode ter de selecionar Mais escolhas>Utilize uma conta diferente, para especificar as credenciais que introduziu quando criou o VM.

  5. Selecione OK.

  6. Poderá receber um aviso de certificado durante o processo de início de sessão. Se recebeu um aviso de certificado, selecione Sim ou Continuar.

  7. Assim que o ambiente de trabalho em VM aparecer, minimize-o para voltar ao seu ambiente de trabalho local.

Ligações de teste

Nesta secção, você verificará o acesso da rede privada ao serviço de pesquisa e ligará-o em privado ao uso do Private Endpoint.

Quando o ponto final do serviço de pesquisa é privado, algumas funcionalidades do portal são desativadas. Poderá ver e gerir as definições de nível de serviço, mas o acesso do portal aos dados de índices e a vários outros componentes do serviço, como as definições de índice, indexador e skillset, é restringido por razões de segurança.

  1. No ambiente de trabalho remoto do myVM, abra o PowerShell.

  2. Introduza nslookup [search service name].search.windows.net.

    Irá receber uma mensagem semelhante a esta:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. A partir do VM, ligue-se ao serviço de pesquisa e crie um índice. Pode seguir este quickstart para criar um novo índice de pesquisa no seu serviço utilizando a API REST. A configuração de pedidos a partir de uma ferramenta de teste web API requer o ponto final do serviço de pesquisa (https://[nome do serviço de pesquisa].search.windows.net) e a chave api-api de administração que copiou num passo anterior.

  4. A completar o arranque rápido do VM é a sua confirmação de que o serviço está totalmente operacional.

  5. Feche a ligação remota do ambiente de trabalho ao myVM.

  6. Para verificar se o seu serviço não está acessível num ponto final público, abra o Carteiro na sua estação de trabalho local e tente as primeiras várias tarefas no arranque rápido. Se receber um erro que o servidor remoto não existe, configura com sucesso um ponto final privado para o seu serviço de pesquisa.

Use o portal do Azure para aceder a um serviço de pesquisa privado

Quando o ponto final do serviço de pesquisa é privado, algumas funcionalidades do portal são desativadas. Pode ver e gerir as informações do nível de serviço, mas as informações do índice, do indexador e do conjunto de competências são ocultadas por razões de segurança.

Para contornar esta restrição, conecte-se a portal do Azure de um navegador numa máquina virtual dentro da rede virtual. O portal utiliza o ponto final privado na ligação e dá-lhe visibilidade em conteúdos e operações.

  1. Siga os passos para obter um VM que possa aceder ao serviço de pesquisa através de um ponto final privado.

  2. Numa máquina virtual na sua rede virtual, abra um browser e inscreva-se no portal do Azure. O portal utilizará o ponto final privado ligado à máquina virtual para ligar ao seu serviço de pesquisa.

Limpar os recursos

Ao trabalhar na sua própria subscrição, recomendamos que verifique, depois de concluir um projeto, se irá precisar dos recursos que criou. Os recursos que deixar em execução podem custar-lhe dinheiro.

Pode eliminar recursos individuais ou o grupo de recursos para eliminar tudo o que criou neste exercício. Selecione o grupo de recursos na página geral de qualquer recurso e, em seguida, selecione Delete.

Passos seguintes

Neste artigo, criou um VM numa rede virtual e um serviço de pesquisa com um Ponto Final Privado. Ligou-se ao VM a partir da internet e comunicou-se de forma segura ao serviço de pesquisa utilizando Private Link. Para saber mais sobre o Private Endpoint, veja o que é Azure Private Endpoint?.