Rekommenderade inställningar för nätverksisolering

Följ stegen nedan för att begränsa offentlig åtkomst till QnA Maker-resurser. Skydda en Azure AI-tjänstresurs från offentlig åtkomst genom att konfigurera det virtuella nätverket.

Kommentar

QnA Maker-tjänsten dras tillbaka den 31 mars 2025. En nyare version av fråge- och svarsfunktionen är nu tillgänglig som en del av Azure AI Language. Information om funktioner för frågesvar i språktjänsten finns i svar på frågor. Från och med den 1 oktober 2022 kommer du inte att kunna skapa nya QnA Maker-resurser. Information om hur du migrerar befintliga QnA Maker-kunskapsbas till frågesvar finns i migreringsguiden.

Begränsa åtkomsten till App Service (QnA-körning)

Du kan använda ServiceTag CognitiveServicesMangement för att begränsa inkommande åtkomst till App Service eller ASE(App Service-miljön) regler för nätverkssäkerhetsgrupp. Läs mer om tjänsttaggar i artikeln om tjänsttaggar för virtuella nätverk.

Vanlig App Service

1. Öppna Cloud Shell (PowerShell) från Azure-portalen.
2. Kör följande kommando i PowerShell-fönstret längst ned på sidan:

Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement" 

3. Kontrollera att den tillagda åtkomstregeln finns i avsnittet Åtkomstbegränsningar på fliken Nätverk :

   

4. Om du vill komma åt testfönstret på portalen https://qnamaker.ai lägger du till den offentliga IP-adressen för datorn där du vill komma åt portalen. På sidan Åtkomstbegränsningar väljer du Lägg till regel och tillåter åtkomst till din klient-IP.

   

Utgående åtkomst från App Service

QnA Maker App Service kräver utgående åtkomst till slutpunkten nedan. Se till att den läggs till i listan över tillåtna om det finns några begränsningar för den utgående trafiken.

• https://qnamakerconfigprovider.trafficmanager.net

Konfigurera App Service-miljön som värd för QnA Maker App Service

App Service-miljön (ASE) kan användas som värd för QnA Maker App Service-instansen. Följ stegen nedan:

1. Skapa en ny Azure AI Search-resurs.

2. Skapa en extern ASE med App Service.

   • Följ den här App Service-snabbstarten för anvisningar. Den här processen kan ta upp till 1–2 timmar.
   • Slutligen har du en App Service-slutpunkt som ser ut ungefär så här: https://<app service name>.<ASE name>.p.azurewebsite.net .
   • Exempel: https:// mywebsite.myase.p.azurewebsite.net

3. Lägg till följande App Service-konfigurationer:

   Namn	Värde
   PrimaryEndpointKey	<app service name>-PrimaryEndpointKey
   AzureSearchName	<Azure AI Search Resource Name from step #1>
   AzureSearchAdminKey	<Azure AI Search Resource admin Key from step #1>
   QNAMAKER_EXTENSION_VERSION	latest
   DefaultAnswer	no answer found

4. Lägg till CORS-ursprunget "*" i App Service för att tillåta åtkomst till https://qnamaker.ai portalens testfönster. CORS finns under API-huvudet i App Service-fönstret.

   

5. Skapa en QnA Maker Azure AI-tjänstinstans (Microsoft.CognitiveServices/accounts) med Hjälp av Azure Resource Manager. QnA Maker-slutpunkten ska anges till den App Service-slutpunkt som skapades ovan (https:// mywebsite.myase.p.azurewebsite.net). Här är ett exempel på en Azure Resource Manager-mall som du kan använda som referens.

Relaterade frågor

Kan QnA Maker distribueras till en intern ASE?

Den främsta orsaken till att använda en extern ASE är att QnAMaker-tjänstens serverdel (redigerings-API: er) kan nå App Service via Internet. Du kan dock fortfarande skydda den genom att lägga till begränsning för inkommande åtkomst för att endast tillåta anslutningar från adresser som är associerade med CognitiveServicesManagement tjänsttaggen.

Om du fortfarande vill använda en intern ASE måste du exponera den specifika QnA Maker-appen i ASE på en offentlig domän via appgatewayens DNS TLS/SSL-certifikat. Mer information finns i den här artikeln om Företagsdistribution av App Services.

Begränsa åtkomsten till Cognitive Search-resursen

Cognitive Search-instansen kan isoleras via en privat slutpunkt när QnA Maker-resurserna har skapats. Använd följande steg för att låsa åtkomsten:

1. Skapa ett nytt virtuellt nätverk (VNet) eller använd ett befintligt VNet för ASE (App Service-miljön).

2. Öppna VNet-resursen och skapa två undernät under fliken Undernät . En för App Service (appservicesubnet) och ett annat undernät (searchservicesubnet) för Cognitive Search-resursen utan delegering.

   

3. På fliken Nätverk i Cognitive tjänsten Search-instansen växlar du slutpunktsanslutningsdata från offentlig till privat. Den här åtgärden är en tidskrävande process och kan ta upp till 30 minuter att slutföra.

   

4. När sökresursen har växlats till privat väljer du Lägg till privat slutpunkt.

   • Fliken Grundläggande: Se till att du skapar slutpunkten i samma region som sökresursen.
   • Fliken Resurs: Välj den sökresurs som krävs av typen Microsoft.Search/searchServices.

   

   • Fliken Konfiguration: Använd VNet, undernätet (searchservicesubnet) som skapades i steg 2. Därefter i avsnittet Privat DNS integrering väljer du motsvarande prenumeration och skapar en ny privat DNS-zon med namnet privatelink.search.windows.net.

   

5. Aktivera VNET-integrering för den vanliga App Service. Du kan hoppa över det här steget för ASE eftersom det redan har åtkomst till det virtuella nätverket.

   • Gå till avsnittet App Service-nätverk och öppna VNet-integrering.
   • Länka till det dedikerade virtuella App Service-nätverket, undernätet (appservicevnet) som skapades i steg 2.

   

Skapa privata slutpunkter till Azure Search-resursen.

Följ stegen nedan för att begränsa offentlig åtkomst till QnA Maker-resurser. Skydda en Azure AI-tjänstresurs från offentlig åtkomst genom att konfigurera det virtuella nätverket.

När du har begränsat åtkomsten till Azure AI-tjänstresursen baserat på VNet bläddrar du till kunskapsbaser på portalen https://qnamaker.ai från ditt lokala nätverk eller din lokala webbläsare.

• Bevilja åtkomst till det lokala nätverket.

• Bevilja åtkomst till din lokala webbläsare/dator.

• Lägg till datorns offentliga IP-adress under avsnittet Brandvägg på fliken Nätverk . Som standard portal.azure.com visas den aktuella webbläsardatorns offentliga IP-adress (välj den här posten) och välj sedan Spara.