Создание частной конечной точки для безопасного подключения к поиску ИИ Azure

В этой статье объясняется, как настроить частное подключение к службе "Поиск ИИ Azure", чтобы он признал запросы от клиентов в виртуальной сети, а не через общедоступное подключение к Интернету:

• Создание виртуальной сети Azure или использование существующей
• Настройка службы поиска для использования частной конечной точки
• Создание виртуальной машины Azure в той же виртуальной сети
• Тестирование с помощью сеанса браузера на виртуальной машине

Другие ресурсы Azure, которые могут приватно подключаться к Службе поиска ИИ Azure, включают Azure OpenAI для сценариев использования собственных данных. Azure AI Studio не работает в виртуальной сети, но его можно настроить на серверной части для отправки запросов через магистральную сеть Майкрософт. Настройка этого шаблона трафика включена корпорацией Майкрософт при отправке и утверждении запроса. Для этого сценария:

• Следуйте инструкциям в этой статье, чтобы настроить частную конечную точку.
• Включите надежную службу ресурса поиска из портал Azure.
• При необходимости отключите доступ к общедоступной сети, если подключения должны исходить только от клиентов в виртуальной сети или из Azure OpenAI через подключение частной конечной точки.

Ключевые моменты о частных конечных точках

Частные конечные точки предоставляются Приватный канал Azure как отдельная оплачиваемая служба. Дополнительные сведения о затратах см. в Приватный канал Azure ценах.

После того как служба поиска имеет частную конечную точку, доступ к этой службе должен быть инициирован из сеанса браузера на виртуальной машине внутри виртуальной сети. Дополнительные сведения см . в этом шаге .

Вы можете создать частную конечную точку для службы поиска в портал Azure, как описано в этой статье. Кроме того, можно использовать REST API управления, Azure PowerShell или Azure CLI.

Зачем использовать частную конечную точку?

Частные конечные точки для поиска ИИ Azure позволяют клиенту в виртуальной сети безопасно получать доступ к данным в индексе поиска по Приватный канал. Частная конечная точка использует для службы поиска IP-адрес из диапазона адресов виртуальной сети. Сетевой трафик между клиентом и службой поиска передается через виртуальную сеть и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков, связанных с использованием общедоступного Интернета. Список других служб PaaS, поддерживающих Приватный канал, см. в разделе доступности в документации по продукту.

Частные конечные точки для службы поиска позволяют:

• Блокировать все подключения в общедоступной конечной точке для службы поиска.
• Увеличьте безопасность виртуальной сети, позволяя блокировать кражу данных из виртуальной сети.
• Безопасно подключаться к службе поиска из локальных сетей, которые подключаются к виртуальной сети с использованием VPN или ExpressRoute с частным пирингом.

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть и подсеть для размещения виртуальной машины, которая будет использоваться для доступа к частной конечной точке службы поиска.

1. На вкладке "Главная" портала Azure последовательно выберите Создать ресурс>Сеть>Виртуальная сеть.

2. В разделе "Создание виртуальной сети" введите или выберите следующие значения:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Нажмите кнопку "Создать", введите имя, например myResourceGroup, а затем нажмите кнопку "ОК"
   Имя.	Введите имя, например MyVirtualNetwork
   Область/регион	Выбор региона

3. Для остальных параметров примите значения по умолчанию. Выберите Просмотр и создание, а затем щелкните Создать.

Создание службы с частной конечной точкой

В этом разделе описано, как создать новую служба ИИ Azure с частной конечной точкой.

1. В левой верхней части экрана в портал Azure выберите "Создать ресурс>ИИ и поиск ИИ машинного обучения".>

2. В разделе "Создание службы поиска " Основные сведения" введите или выберите следующие значения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Используйте группу ресурсов, созданную на предыдущем шаге
   Подробности об экземпляре
   URL	Укажите уникальное имя
   Расположение	Выберите регион
   Ценовая категория	Щелкните Изменить ценовую категорию и выберите нужный уровень служб. Частные конечные точки не поддерживаются на уровне "Бесплатный". Необходимо выбрать "Базовый " или "Выше".

3. Щелкните Далее: масштабирование.

4. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.

5. В разделе "Создание службы поиска — сеть" выберите "Частное" для подключения к конечной точке (данные).

6. Выберите + Добавить в частную конечную точку.

7. В разделе "Создание частной конечной точки" введите или выберите значения, которые связывают службу поиска с созданной виртуальной сетью:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Используйте группу ресурсов, созданную на предыдущем шаге
   Расположение	Выбор региона
   Имя.	Введите имя, например myPrivateEndpoint
   Целевой подресурс	Примите службу поиска по умолчанию
   СЕТИ
   Виртуальная сеть	Выберите виртуальную сеть, созданную на предыдущем шаге
   Подсеть	Выберите значение по умолчанию
   ЧАСТНАЯ ИНТЕГРАЦИЯ DNS
   Включение интеграции Частная зона DNS	Установите флажок
   Частная зона DNS	Примите privatelink.search.windows.net по умолчанию (новое)

8. Выберите Добавить.

9. Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

10. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

11. После завершения подготовки новой службы перейдите к созданному ресурсу.

12. Выберите "Ключи> параметров" в меню содержимого слева.

13. Скопируйте значение параметра Первичный ключ администратора для последующего использования при подключении к службе.

Создание виртуальной машины

1. На портале Azure в верхнем левом углу экрана Azure выберите Создать ресурс>Вычисления>Виртуальная машина.

2. В разделе "Создание виртуальной машины — основы" введите или выберите следующие значения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Используйте группу ресурсов, созданную в предыдущем разделе
   Подробности об экземпляре
   Virtual machine name	Введите имя, например my-vm
   Область/регион	Выберите регион
   Параметры доступности	Вы можете выбрать не требуется избыточность инфраструктуры или выбрать другой вариант, если вам нужна функциональность.
   Изображения	Выберите Windows Server 2022 Datacenter: Azure Edition — 2-го поколения.
   Архитектура виртуальной машины	Примите значение по умолчанию x64
   Размер	Примите стандартную версию D2S по умолчанию
   Учетная запись администратора
   Username	Введите имя пользователя администратора. Используйте учетную запись, допустимую для подписки Azure. Войдите в портал Azure из виртуальной машины, чтобы управлять службой поиска.
   Пароль	Введите пароль учетной записи. Пароль должен содержать минимум 12 символов и соответствовать заданным требованиям к сложности.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта
   Общедоступные входящие порты	Примите выбранные порты по умолчанию
   Выбрать входящие порты	Примите RDP по умолчанию (3389)

3. Нажмите кнопку "Далее" — диски.

4. В разделе "Создание виртуальной машины — диски" примите значения по умолчанию и нажмите кнопку "Далее: сеть".

5. В разделе "Создание виртуальной машины — сеть" укажите следующие значения:

   Параметр	Значение
   Виртуальная сеть	Выберите виртуальную сеть, созданную на предыдущем шаге
   Подсеть	Примите значение по умолчанию 10.1.0.0/24
   Общедоступный IP-адрес	Примите значение по умолчанию
   Группа безопасности сети сетевого адаптера	Примите базовый стандарт по умолчанию
   Общедоступные входящие порты	Выберите выбранные порты по умолчанию
   Выбрать входящие порты	Выберите HTTP 80, HTTPS (443) и RDP (3389)

   Примечание.

   IPv4-адреса можно выразить в формате CIDR. Не используйте диапазон IP-адресов, зарезервированный для частных сетей, как описано в RFC 1918.

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. Выберите "Рецензирование" и "Создать " для проверки.

7. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Подключение к виртуальной машине

Скачайте и подключитесь к виртуальной машине следующим образом:

1. На панели поиска портала найдите виртуальную машину, созданную на предыдущем шаге.

2. Нажмите Подключиться. После нажатия кнопки Подключиться откроется окно Connect to virtual machine (Подключение к виртуальной машине).

3. Выберите Скачать RDP-файл. Azure создаст и скачает на ваш компьютер файл протокола удаленного рабочего стола (RDP).

4. Откройте скачанный файл RDP.

   1. При появлении запроса выберите Подключиться.

   2. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

      Примечание.

      Возможно, потребуется выбрать элементы Дополнительные варианты>Использовать другую учетную запись, чтобы указать учетные данные, введенные при создании виртуальной машины.

5. Нажмите ОК.

6. При входе в систему может появиться предупреждение о сертификате. В таком случае выберите Да или Продолжить.

7. Когда появится рабочий стол виртуальной машины, сверните его, чтобы вернуться на локальный рабочий стол.

Проверка подключения

В этом разделе описано, как проверить доступ частной сети к службе поиска и подключиться к частной конечной точке с помощью частной конечной точки.

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы можете просматривать параметры уровня обслуживания и управлять ими, но доступ к данным индекса и различным другим компонентам службы, таким как индексатор, индексатор и определения наборов навыков, ограничен по соображениям безопасности.

1. Откройте PowerShell на удаленном рабочем столе myVm.

2. Введите nslookup [search service name].search.windows.net.

   Должно появиться сообщение следующего вида:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. С виртуальной машины подключитесь к службе поиска и создайте индекс. Вы можете следовать инструкциям в этом кратком руководстве и создать индекс поиска в службе с помощью REST API. Для настройки запросов из средства тестирования веб-API требуется конечная точка (https://[search service name].search.windows.net) службы поиска и ключ api администратора, скопированный на предыдущем шаге.

4. Завершение краткого руководства с виртуальной машины является подтверждением полной работоспособности службы.

5. Закройте подключение к удаленному рабочему столу myVM.

6. Чтобы убедиться, что служба недоступна в общедоступной конечной точке, откройте клиент REST на локальной рабочей станции и попытайтесь выполнить первые несколько задач в кратком руководстве. Если вы получаете сообщение об ошибке, что удаленный сервер не существует, вы успешно настроили частную конечную точку для службы поиска.

Доступ к частной службе поиска с помощью портал Azure

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы можете просматривать сведения об уровне обслуживания и управлять ими, но сведения об индексе, индексаторе и наборе навыков скрыты по соображениям безопасности.

Чтобы обойти это ограничение, подключитесь к портал Azure из браузера на виртуальной машине в виртуальной сети. На портале используется частная конечная точка подключения и предоставляется представление о содержимом и операциях.

1. Выполните действия по подготовке виртуальной машины, которая может получить доступ к службе поиска через частную конечную точку.

2. На виртуальной машине в виртуальной сети откройте браузер и войдите в портал Azure. На портале используется частная конечная точка, подключенная к виртуальной машине, для подключения к службе поиска.

Отключение доступа из общедоступной сети

Вы можете заблокировать службу поиска, чтобы предотвратить прием любого запроса из общедоступного Интернета. Для этого шага можно использовать портал Azure.

1. В портал Azure на самой левой панели страницы службы поиска выберите "Сеть".

2. Выберите "Отключено" на вкладке "Брандмауэры" и "Виртуальные сети ".

Вы также можете использовать Azure CLI, Azure PowerShell или REST API управления, задав или public-network-access указав public-access значение disabled.

Очистка ресурсов

Если вы работаете в собственной подписке, в конце проекта следует решить, нужны ли вам созданные ресурсы. Ресурсы, которые продолжат работать, могут быть платными.

Вы можете удалить отдельные ресурсы или группу ресурсов, чтобы удалить все, что вы создали в этом упражнении. Выберите группу ресурсов на странице обзора любого ресурса и нажмите кнопку "Удалить".

Следующий шаг

В этой статье вы создали виртуальную машину в виртуальной сети и службе поиска с частной конечной точкой. Вы подключились к виртуальной машине из Интернета и безопасно взаимодействовали со службой поиска с помощью Приватного канала. Дополнительные сведения о частных конечных точках см. в статье "Что такое частная конечная точка?