Рекомендуемые параметры для сетевой изоляции

  • Статья

Чтобы ограничить общий доступ к ресурсам QnA Maker, выполните следующие действия. Защита ресурса служб ИИ Azure от общедоступного доступа путем настройки виртуальной сети.

Примечание.

Поддержка службы QnA Maker будет прекращена 31 марта 2025 г. Новая версия вопроса и возможности ответа теперь доступна как часть языка искусственного интеллекта Azure. Сведения о возможностях ответов на вопросы в службе Языка см. в статье с ответами на вопросы. С 1 октября 2022 г. вы не сможете создавать ресурсы QnA Maker. Сведения о переносе существующих баз знаний QnA Maker в функцию вопросов и ответов см. в руководстве по миграции.

Ограничение доступа к Службе приложений (среда выполнения QnA)

Используйте ServiceTag CognitiveServicesMangement, чтобы ограничить входящий доступ к Службе приложений или ASE (Среда службы приложений) в правилах для входящего трафика в группе безопасности сети. Узнайте больше о тегах службы в статье о тегах службы в виртуальной сети.

Обычная служба приложений

  1. Откройте Cloud Shell (PowerShell) на портале Azure.
  2. Выполните следующую команду в окне PowerShell в нижней части страницы:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Убедитесь, что добавленное правило доступа находится в разделе Добавленные ограничения на вкладке Сети:

    Screenshot of access restriction rule

  2. Чтобы получить доступ к области тестирования на портале https://qnamaker.ai, добавьте Общедоступный IP-адрес компьютера, с которого вы хотите открыть портал. На странице "Ограничения доступа" выберите "Добавить правило" и разрешите доступ к IP-адресу клиента.

    Screenshot of access restriction rule with the addition of public IP address

Исходящий доступ из службы приложений

Для Служба приложений QnA Maker требуется исходящий доступ к следующей конечной точке. Убедитесь, что он добавлен в список разрешений, если есть ограничения на исходящий трафик.

Настройка Среды службы приложений для размещения Службы приложений QnA Maker

Среду службы приложений (ASE) можно использовать для размещения экземпляра Службы приложений QnA Maker. Выполните инструкции, описанные ниже.

  1. Создайте ресурс поиска ИИ Azure.

  2. Создайте внешнюю ASE со Службой приложений.

    • Инструкции приводятся в кратком руководстве по Службе приложений. Этот процесс может занять 1–2 часа.
    • Наконец, у вас будет Служба приложений конечная точка, которая будет выглядеть примерно так: https://<app service name>.<ASE name>.p.azurewebsite.net
    • Пример: https:// mywebsite.myase.p.azurewebsite.net

  3. Добавьте следующие конфигурации Службы приложений:

    Имя. Значение
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Добавьте источник CORS "*" в Службе приложений, чтобы разрешить доступ к области тестирования на портале https://qnamaker.ai. CORS находится в заголовке API в области Службы приложений.

    Screenshot of CORS interface within App Service UI

  5. Создайте экземпляр служб ИИ Azure QnA Maker (Microsoft.CognitiveServices/accounts) с помощью Azure Resource Manager. Для конечной точки QnA Maker должна быть установлена конечная точка Службы приложений, созданная выше (https:// mywebsite.myase.p.azurewebsite.net). Ниже приведен пример шаблона Azure Resource Manager, который можно использовать для справки.

Можно ли развернуть QnA Maker во внутренней ASE?

Основная причина использования внешней ASE — обеспечить для серверной части службы QnAMaker (API-интерфейсы создания) возможность связи со Службой приложений через Интернет. Однако вы по-прежнему можете обеспечить защиту, добавив ограничение входящего доступа, чтобы разрешить подключения только с адресов, связанных с тегом службы CognitiveServicesManagement.

Если вы по-прежнему хотите использовать внутреннюю ASE, необходимо предоставить конкретное приложение QnA Maker в общедоступном домене через TLS/SSL-сертификат DNS шлюза приложений. Дополнительные сведения см. в статье о корпоративном развертывание служб приложений.

Ограничение доступа к ресурсу службы Когнитивного поиска

Экземпляр службы Когнитивного поиска можно изолировать через частную конечную точку после создания ресурсов QnA Maker. Чтобы заблокировать доступ, выполните следующие действия.

  1. Создайте новую виртуальную сеть или используйте существующую виртуальную сеть ASE (Среда службы приложений).

  2. Откройте ресурс виртуальной сети и на вкладке Подсети создайте две подсети. Одну — для Службы приложений (appservicesubnet), а другую (searchservicesubnet) — для ресурса Когнитивного поиска без делегирования.

    Screenshot of virtual networks subnets UI interface

  3. На вкладке Сеть в экземпляре службы Когнитивного поиска Azure переключите данные о подключении к конечной точке с общедоступных на частные. Эта операция выполняется достаточно долго и может занять до 30 минут.

    Screenshot of networking UI with public/private toggle button

  4. После переключения ресурса поиска на частный выберите Добавить частную конечную точку.

    • Вкладка "Основы": убедитесь, что вы создаете конечную точку в том же регионе, что и ресурс поиска.
    • Вкладка "Ресурсы": выберите необходимый ресурс поиска типа Microsoft.Search/searchServices.

    Screenshot of create a private endpoint UI window

    • Вкладка "Конфигурация": используйте виртуальную сеть, подсеть (searchservicesubnet), созданную на шаге 2. Затем в разделе Интеграция Частной зоны DNS выберите соответствующую подписку и создайте новую Частную зону DNS с именем privatelink.search.windows.net.

    Screenshot of create private endpoint UI window with subnet field populated

  5. Включите интеграцию виртуальной сети для обычной Службы приложений. Этот шаг можно пропустить для ASE, так как у нее уже есть доступ к виртуальной сети.

    • Перейдите в раздел Сети Службы приложений и откройте раздел Интеграция виртуальной сети.
    • Выполните привязку к выделенной виртуальной сети Службы приложений, подсеть (appservicevnet), созданная на шаге 2.

    Screenshot of VNET integration UI

Создание частных конечных точек для ресурса службы "Поиск" Azure.

Чтобы ограничить общий доступ к ресурсам QnA Maker, выполните следующие действия. Защита ресурса служб ИИ Azure от общедоступного доступа путем настройки виртуальной сети.

После ограничения доступа к ресурсу службы искусственного интеллекта Azure на основе виртуальной сети для просмотра баз знаний на портале https://qnamaker.ai из локальной сети или локального браузера.

  • Предоставьте доступ к локальной сети.

  • Предоставьте доступ к локальному браузеру/компьютеру.

  • Добавьте общедоступный IP-адрес компьютера в разделе брандмауэра на вкладке Сеть. По умолчанию portal.azure.com показывает общедоступный IP-адрес текущего компьютера. Выберите эту запись и нажмите кнопку Сохранить.

    Screenshot of firewall and virtual networks configuration UI