Создание частной конечной точки для безопасного подключения к поиску ИИ Azure

Из этой статьи вы узнаете, как настроить частное подключение к службе "Поиск ИИ Azure", чтобы он признал запросы от клиентов в виртуальной сети, а не через общедоступное подключение к Интернету:

• Создание виртуальной сети Azure (или использование существующей)
• Настройка службы поиска для использования частной конечной точки
• Создание виртуальной машины Azure в той же виртуальной сети
• Тестирование с помощью сеанса браузера на виртуальной машине

Другие ресурсы Azure, которые могут приватно подключаться к Службе поиска ИИ Azure, включают Azure OpenAI для сценариев использования собственных данных. Azure OpenAI Studio не выполняется в виртуальной сети, но его можно настроить на серверной части для отправки запросов через магистральную сеть Майкрософт. Настройка этого шаблона трафика включена корпорацией Майкрософт при отправке и утверждении запроса. Для этого сценария:

• Следуйте инструкциям в этой статье, чтобы настроить частную конечную точку.
• Отправьте запрос на подключение к Azure OpenAI Studio с помощью частной конечной точки.
• При необходимости отключите доступ к общедоступной сети, если подключения должны исходить только от клиентов в виртуальной сети или из Azure OpenAI через подключение частной конечной точки.

Ключевые моменты о частных конечных точках

Частные конечные точки предоставляются Приватный канал Azure как отдельная оплачиваемая служба. Дополнительные сведения о расценках см. на странице цен.

После того как служба поиска имеет частную конечную точку, доступ к этой службе должен быть инициирован из сеанса браузера на виртуальной машине внутри виртуальной сети. Дополнительные сведения см . в этом шаге .

Вы можете создать частную конечную точку для службы поиска в портал Azure, как описано в этой статье. Кроме того, можно использовать версию REST API управления, Azure PowerShell или Azure CLI.

Зачем использовать частную конечную точку?

Частные конечные точки для поиска ИИ Azure позволяют клиенту в виртуальной сети безопасно получать доступ к данным в индексе поиска по Приватный канал. Частная конечная точка использует для службы поиска IP-адрес из диапазона адресов виртуальной сети. Сетевой трафик между клиентом и службой поиска передается через виртуальную сеть и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков, связанных с использованием общедоступного Интернета. Список других служб PaaS, поддерживающих Приватный канал, см. в разделе доступности в документации по продукту.

Частные конечные точки для службы поиска позволяют:

• Блокировать все подключения в общедоступной конечной точке для службы поиска.
• Повысить уровень безопасности виртуальной сети благодаря предотвращению кражи данных из виртуальной сети.
• Безопасно подключаться к службе поиска из локальных сетей, которые подключаются к виртуальной сети с использованием VPN или ExpressRoute с частным пирингом.

Создание виртуальной сети

В этом разделе вы создадите виртуальную сеть и подсеть для размещения виртуальной машины, которая будет использоваться для доступа к частной конечной точке службы поиска.

1. На вкладке "Главная" портала Azure последовательно выберите Создать ресурс>Сеть>Виртуальная сеть.

2. В разделе "Создание виртуальной сети" введите или выберите следующие значения:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Нажмите кнопку "Создать", введите имя, например "myResourceGroup", а затем нажмите кнопку "ОК".
   Имя.	Введите имя, например MyVirtualNetwork.
   Область/регион	выберите регион.

3. Для остальных параметров примите значения по умолчанию. Выберите Просмотр и создание, а затем щелкните Создать.

Создание службы с частной конечной точкой

В этом разделе вы создадите новую служба ИИ Azure с частной конечной точкой.

1. В левой верхней части экрана в портал Azure выберите "Создать ресурс>" в службе "Поиск ИИ Azure".>

2. В новой службе поиска — основные сведения введите или выберите следующие значения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Используйте группу ресурсов, созданную на предыдущем шаге.
   Подробности об экземпляре
   URL	Введите уникальное имя.
   Расположение	Выберите свой регион.
   Ценовая категория	Щелкните Изменить ценовую категорию и выберите нужный уровень служб. Частные конечные точки не поддерживаются на уровне "Бесплатный". Необходимо выбрать "Базовый " или "Выше".

3. Щелкните Далее: масштабирование.

4. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.

5. На странице Создание службы поиска — сеть выберите Частная для параметра Подключение к конечной точке (данные).

6. Выберите + Добавить в частную конечную точку.

7. В разделе "Создание частной конечной точки" введите или выберите значения, которые связывают службу поиска с созданной виртуальной сетью:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Используйте группу ресурсов, созданную на предыдущем шаге.
   Расположение	выберите регион.
   Имя.	Введите имя, например myPrivateEndpoint.
   Целевой подресурс	Примите службу поиска по умолчанию.
   СЕТИ
   Виртуальная сеть	Выберите виртуальную сеть, созданную на предыдущем шаге.
   Подсеть	Выберите значение по умолчанию.
   ЧАСТНАЯ ИНТЕГРАЦИЯ DNS
   Интегрировать с частной зоной DNS	Примите значение по умолчанию "Да".
   Частная зона DNS	Примите privatelink.search.windows.net по умолчанию (новое).

8. Нажмите ОК.

9. Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

10. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

11. После завершения подготовки новой службы перейдите к созданному ресурсу.

12. В меню слева выберите Ключи.

13. Скопируйте значение параметра Первичный ключ администратора для последующего использования при подключении к службе.

Создание виртуальной машины

1. На портале Azure в верхнем левом углу экрана Azure выберите Создать ресурс>Вычисления>Виртуальная машина.

2. В разделе "Создание виртуальной машины — основы" введите или выберите следующие значения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Используйте группу ресурсов, созданную в предыдущем разделе.
   Подробности об экземпляре
   Virtual machine name	Введите имя, например "my-vm".
   Область/регион	Выберите свой регион.
   Параметры доступности	Вы можете выбрать не требуется избыточность инфраструктуры или выбрать другой вариант, если вам нужна функциональность.
   Изображения	Выберите Windows Server 2022 Datacenter: Azure Edition — 2-го поколения.
   Архитектура виртуальной машины	Примите значение по умолчанию x64.
   Размер	Примите стандартную версию D2S по умолчанию.
   Учетная запись администратора
   Username	Введите имя пользователя администратора. Используйте учетную запись, допустимую для подписки Azure. Вы хотите войти в портал Azure из виртуальной машины, чтобы управлять службой поиска.
   Пароль	Введите пароль учетной записи. Пароль должен содержать минимум 12 символов и соответствовать заданным требованиям к сложности.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта
   Общедоступные входящие порты	Примите выбранные порты по умолчанию.
   Выбрать входящие порты	Примите RDP по умолчанию (3389).

3. Нажмите кнопку "Далее" — диски.

4. В разделе "Создание виртуальной машины — диски" примите значения по умолчанию и нажмите кнопку "Далее: сеть".

5. В разделе "Создание виртуальной машины — сеть" укажите следующие значения:

   Параметр	Значение
   Виртуальная сеть	Выберите виртуальную сеть, созданную на предыдущем шаге.
   Подсеть	Примите значение по умолчанию (10.1.0.0/24).
   Группа безопасности сети сетевого адаптера	Примите значение по умолчанию "Базовый"
   Общедоступный IP-адрес	Примите значение по умолчанию "(new) myVm-ip".
   Общедоступные входящие порты	Выберите значение по умолчанию "Разрешить выбранные порты".
   Выбрать входящие порты	Выберите "HTTP 80", "HTTPS (443)" и "RDP (3389)".

   Примечание.

   IPv4-адреса можно выразить в формате CIDR. Не используйте диапазон IP-адресов, зарезервированный для частных сетей, как описано в RFC 1918.

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. Выберите "Проверка и создание" для проверка проверки.

7. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Подключение к виртуальной машине

Скачайте и подключитесь к виртуальной машине следующим образом:

1. На панели поиска портала найдите виртуальную машину, созданную на предыдущем шаге.

2. Нажмите Подключиться. После нажатия кнопки Подключиться откроется окно Connect to virtual machine (Подключение к виртуальной машине).

3. Выберите Скачать RDP-файл. Azure создает файл протокола удаленного рабочего стола и.rdp загружает его на компьютер.

4. Откройте загруженный файл .rdp.

   1. При появлении запроса выберите Подключиться.

   2. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

      Примечание.

      Возможно, потребуется выбрать More choices>Use a different account (Дополнительные варианты > Использовать другую учетную запись), чтобы указать учетные данные, введенные при создании виртуальной машины.

5. Нажмите ОК.

6. При входе в систему может появиться предупреждение о сертификате. В таком случае выберите Да или Продолжить.

7. Когда появится рабочий стол виртуальной машины, сверните его, чтобы вернуться на локальный рабочий стол.

Проверка подключения

В этом разделе описано, как проверить доступ частной сети к службе поиска и подключиться к частной конечной точке с помощью частной конечной точки.

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы сможете просматривать параметру уровня службы и управлять им, но доступ портала к данным индекса и различным другим компонентам службы, таким как индексы, индексаторы и наборы навыков, ограничивается по соображениям безопасности.

1. Откройте PowerShell на удаленном рабочем столе myVm.

2. Введите nslookup [search service name].search.windows.net.

   Должно появиться сообщение следующего вида:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. С виртуальной машины подключитесь к службе поиска и создайте индекс. Вы можете следовать инструкциям в этом кратком руководстве и создать индекс поиска в службе с помощью REST API. Для настройки запросов из средства тестирования веб-API требуется конечная точка службы поиска (https://[имя службы поиска].search.windows.net) и ключ API администратора, скопированный на предыдущем шаге.

4. Завершение краткого руководства с виртуальной машины является подтверждением полной работоспособности службы.

5. Закройте подключение к удаленному рабочему столу myVM.

6. Чтобы убедиться, что служба недоступна в общедоступной конечной точке, откройте клиент REST на локальной рабочей станции и попытайтесь выполнить первые несколько задач в кратком руководстве. Если вы получаете сообщение об ошибке, что удаленный сервер не существует, вы успешно настроили частную конечную точку для службы поиска.

Доступ к частной службе поиска с помощью портал Azure

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы можете просматривать сведения об уровне обслуживания и управлять ими, но сведения об индексе, индексаторе и наборе навыков скрыты по соображениям безопасности.

Чтобы обойти это ограничение, подключитесь к портал Azure из браузера на виртуальной машине в виртуальной сети. На портале используется частная конечная точка подключения и предоставляется представление о содержимом и операциях.

1. Выполните действия по подготовке виртуальной машины, которая может получить доступ к службе поиска через частную конечную точку.

2. На виртуальной машине в виртуальной сети откройте браузер и войдите в портал Azure. Портал будет использовать частную конечную точку, подключенную к виртуальной машине, для подключения к службе поиска.

Отключение доступа из общедоступной сети

Вы можете заблокировать службу поиска, чтобы предотвратить прием любого запроса из общедоступного Интернета. Для этого шага можно использовать портал Azure.

1. В портал Azure на самой левой панели страницы службы поиска выберите "Сеть".

2. Выберите "Отключено" на вкладке "Брандмауэры" и "Виртуальные сети ".

Вы также можете использовать Azure CLI, Azure PowerShell или REST API управления, параметр public-access или public-network-access значение disabled.

Очистка ресурсов

Если вы работаете в собственной подписке, в конце проекта следует решить, нужны ли вам созданные ресурсы. Ресурсы, которые продолжат работать, могут быть платными.

Вы можете удалить отдельные ресурсы или группу ресурсов, чтобы удалить все, что вы создали в этом упражнении. Выберите группу ресурсов на странице обзора любого ресурса и нажмите кнопку "Удалить".

Следующие шаги

В этой статье вы создали виртуальную машину в виртуальной сети и службу поиска с частной конечной точкой. Вы подключились к виртуальной машине из Интернета и безопасно взаимодействовали со службой поиска с помощью Приватного канала. Дополнительные сведения о частных конечных точках см. в разделе Что такое частная конечная точка Azure?.