Поделиться через

Рекомендуемые параметры для сетевой изоляции

  • Статья

Чтобы ограничить общий доступ к ресурсам QnA Maker, выполните следующие действия. Защита ресурса служб ИИ Azure от общедоступного доступа путем настройки виртуальной сети.

Примечание.

Поддержка службы QnA Maker будет прекращена 31 марта 2025 г. Новая версия вопроса и возможности ответа теперь доступна как часть языка искусственного интеллекта Azure. Сведения о возможностях ответов на вопросы в службе Языка см. в статье с ответами на вопросы. С 1 октября 2022 г. вы не сможете создавать ресурсы QnA Maker. Сведения о переносе существующих баз знаний QnA Maker в функцию вопросов и ответов см. в руководстве по миграции.

Ограничение доступа к Службе приложений (среда выполнения QnA)

Используйте ServiceTag CognitiveServicesMangement, чтобы ограничить входящий доступ к Службе приложений или ASE (Среда службы приложений) в правилах для входящего трафика в группе безопасности сети. Узнайте больше о тегах службы в статье о тегах службы в виртуальной сети.

Обычная служба приложений

  1. Откройте Cloud Shell (PowerShell) на портале Azure.
  2. Выполните следующую команду в окне PowerShell в нижней части страницы:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Убедитесь, что добавленное правило доступа находится в разделе Добавленные ограничения на вкладке Сети:

    Снимок экрана: правило ограничения доступа

  2. Чтобы получить доступ к области тестирования на портале https://qnamaker.ai, добавьте Общедоступный IP-адрес компьютера, с которого вы хотите открыть портал. На странице "Ограничения доступа" выберите "Добавить правило" и разрешите доступ к IP-адресу клиента.

    Снимок экрана: правило ограничения доступа с добавлением общедоступного IP-адреса

Исходящий доступ из службы приложений

Для Служба приложений QnA Maker требуется исходящий доступ к следующей конечной точке. Убедитесь, что он добавлен в список разрешений, если есть ограничения на исходящий трафик.

Настройка Среды службы приложений для размещения Службы приложений QnA Maker

Среду службы приложений (ASE) можно использовать для размещения экземпляра Службы приложений QnA Maker. Выполните приведенные ниже действия:

  1. Создайте ресурс поиска ИИ Azure.

  2. Создайте внешнюю ASE со Службой приложений.

    • Инструкции приводятся в кратком руководстве по Службе приложений. Этот процесс может занять 1–2 часа.
    • Наконец, у вас будет Служба приложений конечная точка, которая будет выглядеть примерно так: https://<app service name>.<ASE name>.p.azurewebsite.net
    • Пример: https:// mywebsite.myase.p.azurewebsite.net

  3. Добавьте следующие конфигурации Службы приложений:

    Имя. Значение
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Добавьте источник CORS "*" в Службе приложений, чтобы разрешить доступ к области тестирования на портале https://qnamaker.ai. CORS находится в заголовке API в области Службы приложений.

    Снимок экрана: интерфейс CORS в пользовательском интерфейсе Служба приложений

  5. Создайте экземпляр служб ИИ Azure QnA Maker (Microsoft.CognitiveServices/accounts) с помощью Azure Resource Manager. Для конечной точки QnA Maker должна быть установлена конечная точка Службы приложений, созданная выше (https:// mywebsite.myase.p.azurewebsite.net). Ниже приведен пример шаблона Azure Resource Manager, который можно использовать для справки.

Можно ли развернуть QnA Maker во внутренней ASE?

Основная причина использования внешней ASE — обеспечить для серверной части службы QnAMaker (API-интерфейсы создания) возможность связи со Службой приложений через Интернет. Однако вы по-прежнему можете обеспечить защиту, добавив ограничение входящего доступа, чтобы разрешить подключения только с адресов, связанных с тегом службы CognitiveServicesManagement.

Если вы по-прежнему хотите использовать внутреннюю ASE, необходимо предоставить конкретное приложение QnA Maker в общедоступном домене через TLS/SSL-сертификат DNS шлюза приложений. Дополнительные сведения см. в статье о корпоративном развертывание служб приложений.

Ограничение доступа к ресурсу службы Когнитивного поиска

Экземпляр службы Когнитивного поиска можно изолировать через частную конечную точку после создания ресурсов QnA Maker. Чтобы заблокировать доступ, выполните следующие действия.

  1. Создайте новую виртуальную сеть или используйте существующую виртуальную сеть ASE (Среда службы приложений).

  2. Откройте ресурс виртуальной сети и на вкладке Подсети создайте две подсети. Одну — для Службы приложений (appservicesubnet), а другую (searchservicesubnet) — для ресурса Когнитивного поиска без делегирования.

    Снимок экрана: интерфейс пользовательского интерфейса подсетей виртуальных сетей

  3. На вкладке Сеть в экземпляре службы Когнитивного поиска Azure переключите данные о подключении к конечной точке с общедоступных на частные. Эта операция выполняется достаточно долго и может занять до 30 минут.

    Снимок экрана: пользовательский интерфейс сети с кнопкой переключателя общедоступного или закрытого подключения

  4. После переключения ресурса поиска на частный выберите Добавить частную конечную точку.

    • Вкладка "Основы": убедитесь, что вы создаете конечную точку в том же регионе, что и ресурс поиска.
    • Вкладка "Ресурсы": выберите необходимый ресурс поиска типа Microsoft.Search/searchServices.

    Снимок экрана: создание окна пользовательского интерфейса частной конечной точки

    • Вкладка "Конфигурация": используйте виртуальную сеть, подсеть (searchservicesubnet), созданную на шаге 2. Затем в разделе Интеграция Частной зоны DNS выберите соответствующую подписку и создайте новую Частную зону DNS с именем privatelink.search.windows.net.

    Снимок экрана: окно пользовательского интерфейса частной конечной точки с заполненным полем подсети

  5. Включите интеграцию виртуальной сети для обычной Службы приложений. Этот шаг можно пропустить для ASE, так как у нее уже есть доступ к виртуальной сети.

    • Перейдите в раздел Сети Службы приложений и откройте раздел Интеграция виртуальной сети.
    • Выполните привязку к выделенной виртуальной сети Службы приложений, подсеть (appservicevnet), созданная на шаге 2.

    Снимок экрана: пользовательский интерфейс интеграции виртуальной сети

Создание частных конечных точек для ресурса службы "Поиск" Azure.

Чтобы ограничить общий доступ к ресурсам QnA Maker, выполните следующие действия. Защита ресурса служб ИИ Azure от общедоступного доступа путем настройки виртуальной сети.

После ограничения доступа к ресурсу службы искусственного интеллекта Azure на основе виртуальной сети для просмотра баз знаний на портале https://qnamaker.ai из локальной сети или локального браузера.

  • Предоставьте доступ к локальной сети.

  • Предоставьте доступ к локальному браузеру/компьютеру.

  • Добавьте общедоступный IP-адрес компьютера в разделе брандмауэра на вкладке Сеть. По умолчанию portal.azure.com показывает общедоступный IP-адрес текущего компьютера. Выберите эту запись и нажмите кнопку Сохранить.

    Снимок экрана: пользовательский интерфейс конфигурации брандмауэра и виртуальных сетей