Upprätta utgående anslutningar via en delad privat länk

Den här artikeln beskriver hur du konfigurerar privata, utgående anrop från Azure AI Search till en Azure PaaS-resurs som körs i ett virtuellt nätverk.

Om du konfigurerar en privat anslutning kan en söktjänst ansluta till en VIRTUELL nätverks-IP-adress i stället för en port som är öppen för Internet. Objektet som skapas för anslutningen kallas för en delad privat länk. På anslutningen använder söktjänsten den delade privata länken internt för att nå en Azure PaaS-resurs inom nätverksgränsen.

Delad privat länk är en premiumfunktion som debiteras av användning. När du konfigurerar en delad privat länk läggs avgifter för den privata slutpunkten till på din Azure-faktura. När du använder den delade privata länken faktureras även dataöverföringshastigheter för inkommande och utgående åtkomst. Mer information finns i Priser för Azure Private Link.

Kommentar

Om du konfigurerar en privat indexerareanslutning till en SQL Managed Instance kan du läsa den här artikeln i stället.

När du ska använda en delad privat länk

Azure AI Search gör utgående anrop till andra Azure PaaS-resurser i följande scenarier:

• Indexerare eller sökmotor ansluter till Azure OpenAI för text-till-vektorinbäddningar
• Indexeraren ansluter till datakällor som stöds
• Indexerareanslutningar (kompetensuppsättning) till Azure Storage för cachelagring av berikningar, felsökning av sessionssat eller skrivning till ett kunskapslager
• Krypteringsnyckelbegäranden till Azure Key Vault
• Anpassade kunskapsförfrågningar till Azure Functions eller liknande resurs

Delade privata länkar fungerar endast för Azure-till-Azure-anslutningar. Om du ansluter till OpenAI eller en annan extern modell måste anslutningen vara via det offentliga Internet.

Delade privata länkar gäller åtgärder och data som nås via en privat slutpunkt för Azure-resurser eller -klienter som körs i ett virtuellt Azure-nätverk.

En delad privat länk är:

• Skapad med hjälp av Azure AI Search-verktyg, API:er eller SDK:er
• Godkänd av Azure PaaS-resursägaren
• Används internt av Azure AI Search på en privat anslutning till en specifik Azure-resurs

Endast din söktjänst kan använda de privata länkar som den skapar, och det kan bara finnas en delad privat länk som skapas på din tjänst för varje kombination av resurs och underresurs.

När du har konfigurerat den privata länken används den automatiskt när söktjänsten ansluter till den PaaS-resursen. Du behöver inte ändra anslutningssträng eller ändra klienten som du använder för att utfärda begäranden, även om enheten som används för anslutningen måste ansluta med hjälp av en auktoriserad IP-adress i Azure PaaS-resursens brandvägg.

Det finns två scenarier för att använda Azure Private Link och Azure AI Search tillsammans.

• Scenario ett: Skapa en delad privat länk när en utgående (indexerare) anslutning till Azure PaaS kräver en privat anslutning.

• Scenario två: Konfigurera sökning efter en privat inkommande anslutning från klienter som körs i ett virtuellt nätverk.

Scenario ett beskrivs i den här artikeln.

Båda scenarierna är beroende av Azure Private Link, men de är oberoende. Du kan skapa en delad privat länk utan att behöva konfigurera din egen söktjänst för en privat slutpunkt.

Begränsningar

När du utvärderar delade privata länkar för ditt scenario bör du komma ihåg dessa begränsningar.

• Flera av de resurstyper som används i en delad privat länk finns i förhandsversionen. Om du ansluter till en förhandsversionsresurs (Azure Database for MySQL, Azure Functions eller Azure SQL Managed Instance) använder du en förhandsversion av REST API:et för hantering för att skapa den delade privata länken. Dessa versioner inkluderar 2020-08-01-preview, 2021-04-01-previewoch 2024-03-01-preview.

• Indexerarens körning måste använda den privata körningsmiljö som är specifik för din söktjänst. Privata slutpunktsanslutningar stöds inte från miljön för flera klienter. Konfigurationsinställningen för det här kravet beskrivs i den här artikeln.

Förutsättningar

• En Azure AI-sökning på Basic-nivån eller högre. Om du använder AI-berikning och kompetensuppsättningar måste nivån vara Standard 2 (S2) eller högre. Mer information finns i Tjänstbegränsningar .

• En Azure PaaS-resurs från följande lista över resurstyper som stöds, konfigurerad för att köras i ett virtuellt nätverk.

• Behörigheter för både Azure AI Search och datakällan:

  • På Azure PaaS-resursen måste du ha behörighet att godkänna privata slutpunktsanslutningar. Om du till exempel använder ett Azure Storage-konto som datakälla (till exempel Blob-container, Azure Files-resurs, Azure-tabell) behöver Microsoft.Storage/storageAccounts/privateEndpointConnectionsApproval/actiondu .

  • I söktjänsten måste du ha läs- och skrivbehörighet för delade privata länkresurser och status för läsåtgärder:

    • Microsoft.Search/searchServices/sharedPrivateLinkResources/write
    • Microsoft.Search/searchServices/sharedPrivateLinkResources/read
    • Microsoft.Search/searchServices/sharedPrivateLinkResources/operationStatuses/read

Resurstyper som stöds

Du kan skapa en delad privat länk för följande resurser.

Resurstyp	Underresurs (eller grupp-ID)
Microsoft.Storage/storageAccounts 1	blob, table, , dfsfile
Microsoft.DocumentDB/databaseAccounts 2	Sql
Microsoft.Sql/servers	sqlServer
Microsoft.KeyVault/vaults	vault
Microsoft.DBforMySQL/servers (förhandsversion)	mysqlServer
Microsoft.Web/sites (förhandsversion) 3	sites
Microsoft.Sql/managedInstances (förhandsversion) 4	managedInstance
Microsoft.CognitiveServices/accounts (förhandsversion) 5	openai_account

¹ Om Azure Storage och Azure AI Search finns i samma region görs anslutningen till lagringen via Microsofts stamnätverk, vilket innebär att en delad privat länk är redundant för den här konfigurationen. Men om du redan har konfigurerat en privat slutpunkt för Azure Storage bör du också konfigurera en delad privat länk eller så nekas anslutningen på lagringssidan. Om du använder flera lagringsformat för olika scenarier i sökningen måste du också skapa en separat delad privat länk för varje underresurs.

² Resurstypen Microsoft.DocumentDB/databaseAccounts används för indexerareanslutningar till Azure Cosmos DB för NoSQL. Providernamnet och grupp-ID:t är skiftlägeskänsliga.

³ Resurstypen Microsoft.Web/sites används för App Service- och Azure-funktioner. När det gäller Azure AI Search är en Azure-funktion det mer sannolika scenariot. En Azure-funktion används ofta för att hantera logiken för en anpassad färdighet. Azure Function har värdplaner för förbrukning, Premium och Dedikerad App Service. App Service-miljön (ASE) och Azure Kubernetes Service (AKS) stöds inte just nu.

⁴ Se Skapa en delad privat länk för en SQL Managed Instance för instruktioner.

⁵ Resurstypen Microsoft.CognitiveServices/accounts används för indexerareanslutningar till Azure OpenAI vid implementering av integrerad vektorisering.

1 – Skapa en delad privat länk

Använd Azure-portalen, REST API för hantering, Azure CLI eller Azure PowerShell för att skapa en delad privat länk.

Här är några tips:

• Ge den privata länken ett beskrivande namn. I Azure PaaS-resursen visas en delad privat länk tillsammans med andra privata slutpunkter. Ett namn som "shared-private-link-for-search" kan påminna dig om hur det används.

När du slutför stegen i det här avsnittet har du en delad privat länk som har etablerats i ett väntande tillstånd. Det tar flera minuter att skapa länken. När den har skapats måste resursägaren godkänna begäran innan den tas i drift.

Azure-portalen

1. Logga in på Azure-portalen och leta reda på söktjänsten.

2. Under Inställningar i det vänstra navigeringsfönstret väljer du Nätverk.

3. På sidan Delad privat åtkomst väljer du + Lägg till delad privat åtkomst.

4. Välj antingen Anslut till en Azure-resurs i min katalog eller Anslut till en Azure-resurs efter resurs-ID.

5. Om du väljer det första alternativet (rekommenderas) hjälper portalen dig att välja rätt Azure-resurs och fyller i andra egenskaper, till exempel resursens grupp-ID och resurstyp.

   

6. Om du väljer det andra alternativet anger du Azure-resurs-ID:t manuellt och väljer lämpligt grupp-ID i listan i början av den här artikeln.

   

7. Bekräfta att etableringsstatusen är "Uppdatera".

   

8. När resursen har skapats ändras etableringstillståndet för resursen till "Lyckades".

   

REST-API

Kommentar

Förhandsversioner av API:et, antingen 2020-08-01-preview eller 2021-04-01-preview, krävs för grupp-ID:n som är i förhandsversion. Följande resurstyper är i förhandsversion: managedInstance, mySqlServer, sites.

Även om verktyg som Azure-portalen, Azure PowerShell eller Azure CLI har inbyggda mekanismer för kontoinloggning måste en REST-klient tillhandahålla en ägartoken som gör att din begäran kan gå igenom.

Eftersom det är enkelt och snabbt använder det här avsnittet Azure CLI-steg för att hämta en ägartoken. Mer hållbara metoder finns i Hantera med REST.

1. Öppna en kommandorad och kör az login för Azure-inloggning.

2. Visa det aktiva kontot och prenumerationen. Kontrollera att den här prenumerationen är samma som har Azure PaaS-resursen som du skapar den delade privata länken för.

   az account show
   

   Ändra prenumerationen om den inte är rätt:

   az account set --subscription {{Azure PaaS subscription ID}}
   

3. Skapa en ägartoken och kopiera sedan hela token (allt mellan citattecknen).

   az account get-access-token
   

4. Växla till en REST-klient och konfigurera en GET Shared Private Link-resurs. Granska befintliga delade privata länkar för att se till att du inte duplicerar en länk. Det kan bara finnas en delad privat länk för varje resurs och en kombination av underresurser.

   @subscriptionId = PASTE-HERE
   @rg-name = PASTE-HERE
   @service-name = PASTE-HERE
   @token = PASTE-TOKEN-HERE
   
   GET https://https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{rg-name}}/providers/Microsoft.Search/searchServices/{{service-name}}/sharedPrivateLinkResources?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   

5. Skicka begäran. Du bör få en lista över alla delade privata länkresurser som finns för din söktjänst. Kontrollera att det inte finns någon befintlig delad privat länk för resurs- och underresurskombinationen.

6. Formulera en PUT-begäran om att skapa eller uppdatera delad privat länk för Azure PaaS-resursen.

   PUT https://https://management.azure.com/subscriptions/{{subscriptionId}}/resourceGroups/{{rg-name}}/providers/Microsoft.Search/searchServices/{{service-name}}/sharedPrivateLinkResources/{{shared-private-link-name}}?api-version=2023-11-01 HTTP/1.1
     Content-type: application/json
     Authorization: Bearer {{token}}
   
   {
       "properties":
        {
           "groupID": "blob",
           "privateLinkResourceId": "/subscriptions/{{subscriptionId}}/resourceGroups/{{rg-name}}/providers/Microsoft.Storage/storageAccounts/{{storage-account-name}}",
           "provisioningState": "",
           "requestMessage": "Please approve this request.",
           "resourceRegion": "",
           "status": ""
        }
   }
   

   Om Azure PaaS-resursen finns i en annan prenumeration använder du Azure CLI för att ändra prenumerationen och hämtar sedan en ägartoken som är giltig för den prenumerationen:

   az account set --subscription {{Azure PaaS subscription ID}}
   
   az account get-access-token
   

7. Skicka begäran. Om du vill kontrollera statusen kör du den första GET Shared Private Link-begäran för att övervaka etableringstillståndet när det övergår från uppdatering till lyckades.

PowerShell

Mer information om hur du kommer igång finns i Hantera med PowerShell .

Börja med att använda Get-AzSearchSharedPrivateLinkResource för att granska eventuella befintliga delade privata länkar för att säkerställa att du inte duplicerar en länk. Det kan bara finnas en delad privat länk för varje resurs och en kombination av underresurser.

Get-AzSearchSharedPrivateLinkResource -ResourceGroupName <search-service-resource-group-name> -ServiceName <search-service-name>

Använd New-AzSearchSharedPrivateLinkResource för att skapa en delad privat länk som ersätter giltiga värden för platshållarna. Det här exemplet gäller bloblagring.

New-AzSearchSharedPrivateLinkResource -ResourceGroupName <search-service-resource-group-name> -ServiceName <search-service-name> -Name <spl-name> -PrivateLinkResourceId /subscriptions/<alphanumeric-subscription-ID>/resourceGroups/<storage-resource-group-name>/providers/Microsoft.Storage/storageAccounts/myBlobStorage -GroupId blob -RequestMessage "Please approve"

Kör den första begäran om att övervaka etableringstillståndet när det övergår från uppdatering till lyckades.

Azure CLI

Mer information om hur du kommer igång finns i Hantera med Azure CLI .

Använd först listan az-search-shared-private-link-resource för att granska befintliga delade privata länkar för att säkerställa att du inte duplicerar en länk. Det kan bara finnas en delad privat länk för varje resurs och en kombination av underresurser.

az search shared-private-link-resource list --service-name {{your-search-service-name}} --resource-group {{your-search-service-resource-group}}

Använd az-search-shared-private-link-resource create för nästa steg. Det här exemplet gäller För Azure Cosmos DB för NoSQL.

Syntaxen är skiftlägeskänslig, så se till att grupp-ID:t är Sql och providernamnet är Microsoft.DocumentDB.

az search shared-private-link-resource create --name {{your-shared-private-link-name}} --service-name {{your-search-service-name}} --resource-group {{your-search-service-resource-group}} --group-id Sql --resource-id "/subscriptions/{{your-subscription-ID}}/{{your-cosmos-db-resource-group}}/providers/Microsoft.DocumentDB/databaseAccounts/{{your-cosmos-db-account-name}}" 

Kör den första begäran om att övervaka etableringstillståndet när det övergår från uppdatering till lyckades.

Arbetsflöde för skapande av delad privat länk

Ett 202 Accepted svar returneras vid lyckat resultat. Processen att skapa en utgående privat slutpunkt är en tidskrävande (asynkron) åtgärd. Det innebär att du distribuerar följande resurser:

• En privat slutpunkt, allokerad med en privat IP-adress i ett "Pending" tillstånd. Den privata IP-adressen hämtas från adressutrymmet som allokeras till det virtuella nätverket i körningsmiljön för den söktjänstspecifika privata indexeraren. När den privata slutpunkten har godkänts kommer all kommunikation från Azure AI Search till Azure-resursen från den privata IP-adressen och en säker privat länkkanal.

• En privat DNS-zon för resurstypen baserat på grupp-ID: t. Genom att distribuera den här resursen ser du till att alla DNS-sökningar till den privata resursen använder DEN IP-adress som är associerad med den privata slutpunkten.

2 – Godkänn den privata slutpunktsanslutningen

Godkännande av den privata slutpunktsanslutningen beviljas på Azure PaaS-sidan. Uttryckligt godkännande av resursägaren krävs. Följande steg beskriver godkännande med hjälp av Azure-portalen, men här är några länkar för att godkänna anslutningen programmatiskt från Azure PaaS-sidan:

• I Azure Storage använder du private endpoint Anslut ions – Put
• I Azure Cosmos DB använder du private endpoint Anslut ions – Skapa eller uppdatera

Utför följande steg med hjälp av Azure-portalen:

1. Öppna sidan Nätverk för Azure PaaS-resursen.Text

2. Leta reda på avsnittet som visar de privata slutpunktsanslutningarna. Följande exempel är för ett lagringskonto.

   

3. Välj anslutningen och välj sedan Godkänn. Det kan ta några minuter innan statusen uppdateras i portalen.

   

När den privata slutpunkten har godkänts skapar Azure AI Search nödvändiga DNS-zonmappningar i DNS-zonen som skapas för den.

Även om den privata slutpunktslänken på sidan Nätverk är aktiv löses den inte.

Om du väljer länken genereras ett fel. Ett statusmeddelande för "The access token is from the wrong issuer" och must match the tenant associated with this subscription visas eftersom den privata slutpunktsresursen för serverdelen etableras av Microsoft i en Microsoft-hanterad klientorganisation, medan den länkade resursen (Azure AI Search) finns i din klientorganisation. Det är avsiktligt att du inte kan komma åt den privata slutpunktsresursen genom att välja länken för privat slutpunktsanslutning.

Följ anvisningarna i nästa avsnitt för att kontrollera statusen för din delade privata länk.

3 – Kontrollera status för delad privat länk

På Azure AI Search-sidan kan du bekräfta godkännande av begäran genom att gå tillbaka till sidan Delad privat åtkomst på söktjänstens nätverkssida . Anslut ionstillstånd bör godkännas.

Du kan också hämta anslutningstillstånd med hjälp av API:et GET Shared Private Link.

az rest --method get --uri https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Search/searchServices/contoso-search/sharedPrivateLinkResources/blob-pe?api-version=2023-11-01

Detta returnerar en JSON, där anslutningstillståndet visas som "status" under avsnittet "egenskaper". Följande är ett exempel för ett lagringskonto.

{
      "name": "blob-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/contoso/providers/Microsoft.Storage/storageAccounts/contoso-storage",
        "groupId": "blob",
        "requestMessage": "please approve",
        "status": "Approved",
        "resourceRegion": null,
        "provisioningState": "Succeeded"
      }
}

Om etableringstillståndet (properties.provisioningState) för resursen är "Lyckades" och anslutningstillstånd(properties.status) är "Godkänd" innebär det att resursen för delad privat länk fungerar och att indexeraren kan konfigureras för att kommunicera via den privata slutpunkten.

4 – Konfigurera indexeraren så att den körs i den privata miljön

Indexerarens körning sker antingen i en privat miljö som är specifik för söktjänsten eller i en miljö med flera klientorganisationer som används internt för att avlasta dyr kompetensuppsättningsbearbetning för flera kunder.

Körningsmiljön är transparent, men när du börjar skapa brandväggsregler eller upprätta privata anslutningar måste du ta hänsyn till indexerarens körning. För en privat anslutning konfigurerar du indexerarens körning så att den alltid körs i den privata miljön.

Det här steget visar hur du konfigurerar indexeraren så att den körs i den privata miljön med hjälp av REST-API:et. Du kan också ange körningsmiljön med JSON-redigeraren i portalen.

Kommentar

Du kan utföra det här steget innan den privata slutpunktsanslutningen godkänns. Men tills den privata slutpunktsanslutningen visas som godkänd kommer alla befintliga indexerare som försöker kommunicera med en säker resurs (till exempel lagringskontot) att hamna i ett tillfälligt feltillstånd och nya indexerare kommer inte att skapas.

1. Skapa datakällans definition, index och kompetensuppsättning (om du använder en) som vanligt. Det finns inga egenskaper i någon av dessa definitioner som varierar när du använder en delad privat slutpunkt.

2. Skapa en indexerare som pekar på datakällan, indexet och kompetensuppsättningen som du skapade i föregående steg. Tvinga dessutom indexeraren att köras i den privata körningsmiljön genom att ange indexerarens executionEnvironment konfigurationsegenskap till private.

   {
       "name": "indexer",
       "dataSourceName": "blob-datasource",
       "targetIndexName": "index",
       "parameters": {
           "configuration": {
               "executionEnvironment": "private"
           }
       },
       "fieldMappings": []
   }
   

När indexeraren har skapats bör den ansluta till Azure-resursen via den privata slutpunktsanslutningen. Du kan övervaka indexerarens status med indexerarens status-API.

Kommentar

Om du redan har befintliga indexerare kan du uppdatera dem via PUT-API:et executionEnvironment genom att ange till private eller använda JSON-redigeraren i portalen.

5 – Testa den delade privata länken

1. Om du inte redan har gjort det kontrollerar du att Azure PaaS-resursen nekar anslutningar från det offentliga Internet. Om anslutningar godkänns granskar du DNS-inställningarna på sidan Nätverk för din Azure PaaS-resurs.

2. Välj ett verktyg som kan anropa ett scenario för utgående begäran, till exempel en indexerareanslutning till en privat slutpunkt. Ett enkelt val är att använda guiden Importera data , men du kan också prova en REST-klient och REST-API:er för mer precision. Förutsatt att söktjänsten inte också har konfigurerats för en privat anslutning kan REST-klientanslutningen för sökning ske via det offentliga Internet.

3. Ange anslutningssträng till den privata Azure PaaS-resursen. Formatet för anslutningssträng ändras inte för delad privat länk. Söktjänsten anropar den delade privata länken internt.

   För indexerares arbetsbelastningar finns anslutningssträng i datakällans definition. Ett exempel på en datakälla kan se ut så här:

    {
      "name": "my-blob-ds",
      "type": "azureblob",
      "subtype": null,
      "credentials": {
        "connectionString": "DefaultEndpointsProtocol=https;AccountName=<YOUR-STORAGE-ACCOUNT>;AccountKey=..."
      }
   

4. Kom ihåg att ange körningsmiljön i indexerardefinitionen för indexerarens arbetsbelastningar. Ett exempel på en indexerares definition kan se ut så här:

   "name": "indexer",
   "dataSourceName": "my-blob-ds",
   "targetIndexName": "my-index",
   "parameters": {
      "configuration": {
          "executionEnvironment": "private"
          }
      },
   "fieldMappings": []
   }
   

5. Kör indexeraren. Om indexerarens körning lyckas och sökindexet fylls i fungerar den delade privata länken.

Felsökning

• Om det inte går att skapa indexeraren med "Datakällans autentiseringsuppgifter är ogiltiga" kontrollerar du godkännandestatusen för den delade privata länken innan du felsöker anslutningen. Om statusen är Approvedkontrollerar du egenskapen properties.provisioningState . Om det är Incompletekan det finnas ett problem med underliggande beroenden. I det här fallet skickar PUT du begäran igen för att återskapa den delade privata länken. Du kan också behöva upprepa godkännandesteget.

• Om indexerare misslyckas konsekvent eller tillfälligt kontrollerar du executionEnvironment egenskapen på indexeraren. Värdet ska anges till private. Om du inte angav den här egenskapen och indexerarens körningar lyckades tidigare beror det på att söktjänsten använde en privat miljö av egen vilja. En söktjänst flyttar bearbetningen från standardmiljön om systemet är under belastning.

• Om du får ett fel när du skapar en delad privat länk kontrollerar du tjänstbegränsningarna för att kontrollera att du är under kvoten för din nivå.

Nästa steg

Läs mer om privata slutpunkter och andra säkra anslutningsmetoder:

• Felsöka problem med delade privata länkresurser
• Vad är privata slutpunkter?
• DNS-konfigurationer som behövs för privata slutpunkter
• Indexerarens åtkomst till innehåll som skyddas av Azure-nätverkssäkerhetsfunktioner