Skapa en privat slutpunkt för en säker anslutning till Azure AI Search

I den här artikeln får du lära dig hur du skyddar en Azure AI-tjänsten Search så att den inte kan nås via en offentlig Internetanslutning:

Privata slutpunkter tillhandahålls av Azure Private Link som en separat fakturerbar tjänst. Mer information om kostnader finns på prissidan.

Du kan skapa en privat slutpunkt för en söktjänst i Azure-portalen enligt beskrivningen i den här artikeln. Du kan också använda REST API-versionen för hantering, Azure PowerShell eller Azure CLI.

Kommentar

När en söktjänst har en privat slutpunkt måste portalåtkomst till tjänsten initieras från en webbläsarsession på en virtuell dator i det virtuella nätverket. Mer information finns i det här steget .

Varför ska du använda en privat slutpunkt för säker åtkomst?

Privata slutpunkter för Azure AI Search gör det möjligt för en klient i ett virtuellt nätverk att på ett säkert sätt komma åt data i ett sökindex via en Private Link. Den privata slutpunkten använder en IP-adress från det virtuella nätverkets adressutrymme för söktjänsten. Nätverkstrafiken mellan klienten och söktjänsten passerar över det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet. En lista över andra PaaS-tjänster som stöder Private Link finns i avsnittet om tillgänglighet i produktdokumentationen.

Med privata slutpunkter för söktjänsten kan du:

  • Blockera alla anslutningar på den offentliga slutpunkten för söktjänsten.
  • Öka säkerheten för det virtuella nätverket genom att göra det möjligt att blockera exfiltrering av data från det virtuella nätverket.
  • Anslut säkert till din söktjänst från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.

Skapa det virtuella nätverket

I det här avsnittet skapar du ett virtuellt nätverk och undernät som är värd för den virtuella datorn som ska användas för att komma åt söktjänstens privata slutpunkt.

  1. På startfliken i Azure-portalen väljer du Skapa en resurs>Nätverk virtuellt>nätverk.

  2. I Skapa virtuellt nätverk anger eller väljer du följande värden:

    Inställning Värde
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj Skapa ny, ange ett namn, till exempel "myResourceGroup", och välj sedan OK.
    Name Ange ett namn, till exempel "MyVirtualNetwork".
    Region Välj en region.
  3. Acceptera standardinställningarna för resten av inställningarna. Välj Granska + skapa och sedan Skapa.

Skapa en söktjänst med en privat slutpunkt

I det här avsnittet skapar du en ny Azure AI-tjänsten Search med en privat slutpunkt.

  1. Längst upp till vänster på skärmen i Azure-portalen väljer du Skapa en resurs>Web>Azure AI Search.

  2. I Ny söktjänst – Grunderna anger eller väljer du följande värden:

    Inställning Värde
    PROJEKTINFORMATION
    Prenumeration Välj din prenumeration.
    Resursgrupp Använd den resursgrupp som du skapade i föregående steg.
    INSTANSINFORMATION
    webbadress Ange ett unikt namn.
    Plats Välj din region.
    Prisnivå Välj Ändra prisnivå och välj önskad tjänstnivå. Privata slutpunkter stöds inte på den kostnadsfria nivån. Du måste välja Grundläggande eller högre.
  3. Välj Nästa: Skala.

  4. Acceptera standardvärdena och välj Nästa: Nätverk.

  5. I Ny söktjänst – Nätverk väljer du Privat för Slutpunktsanslutning (data).

  6. Välj + Lägg till under Privat slutpunkt.

  7. I Skapa privat slutpunkt anger eller väljer du värden som associerar din söktjänst med det virtuella nätverk som du skapade:

    Inställning Värde
    Prenumeration Välj din prenumeration.
    Resursgrupp Använd den resursgrupp som du skapade i föregående steg.
    Plats Välj en region.
    Name Ange ett namn, till exempel "myPrivateEndpoint".
    Underresurs för mål Acceptera standardsöktjänsten.
    NÄTVERK
    Virtuellt nätverk Välj det virtuella nätverk som du skapade i föregående steg.
    Undernät Välj standardinställningen.
    PRIVAT DNS-INTEGRERING
    Integrera med privat DNS-zon Acceptera standardinställningen "Ja".
    Privat DNS-zon Acceptera standardinställningen (ny) privatelink.search.windows.net.
  8. Välj OK.

  9. Välj Granska + skapa. Du kommer till sidan Granska + skapa där Azure verifierar din konfiguration.

  10. När du ser meddelandet Validering som skickats väljer du Skapa.

  11. När etableringen av den nya tjänsten är klar bläddrar du till den resurs som du skapade.

  12. Välj Nycklar på den vänstra innehållsmenyn.

  13. Kopiera primär administratörsnyckeln för senare, när du ansluter till tjänsten.

Skapa en virtuell dator

  1. Längst upp till vänster på skärmen i Azure-portalen väljer du Skapa en virtuell dator för beräkning av>resurs.>

  2. I Skapa en virtuell dator – Grundläggande anger eller väljer du följande värden:

    Inställning Värde
    PROJEKTINFORMATION
    Prenumeration Välj din prenumeration.
    Resursgrupp Använd resursgruppen som du skapade i föregående avsnitt.
    INSTANSINFORMATION
    Virtual machine name Ange ett namn, till exempel "my-vm".
    Region Välj din region.
    Tillgängliga alternativ Du kan välja Ingen infrastrukturredundans krävs eller välja ett annat alternativ om du behöver funktionerna.
    Bild Välj Windows Server 2022 Datacenter: Azure Edition – Gen2.
    VM-arkitektur Acceptera standardvärdet x64.
    Storlek Acceptera standardvärdet Standard D2S v3.
    ADMINISTRATÖRSKONTO
    Username Ange administratörens användarnamn. Använd ett konto som är giltigt för din Azure-prenumeration. Du vill logga in på Azure-portalen från den virtuella datorn så att du kan hantera din söktjänst.
    Lösenord Ange kontolösenordet. Lösenordet måste vara minst 12 tecken långt och uppfylla de definierade kraven på komplexitet.
    Bekräfta lösenord Ange lösenordet igen.
    REGLER FÖR INKOMMANDE PORTAR
    Offentliga inkommande portar Acceptera standardinställningen Tillåt valda portar.
    Välj inkommande portar Acceptera standard-RDP (3389).
  3. Välj Nästa: Diskar.

  4. I Skapa en virtuell dator – Diskar accepterar du standardvärdena och väljer Nästa: Nätverk.

  5. I Skapa en virtuell dator – Nätverk anger du följande värden:

    Inställning Värde
    Virtuellt nätverk Välj det virtuella nätverk som du skapade i ett tidigare steg.
    Undernät Acceptera standardvärdet (10.1.0.0/24).
    Nätverkssäkerhetsgrupp för nätverkskort Acceptera standardinställningen "Basic"
    Offentlig IP-adress Acceptera standardvärdet "(ny) myVm-ip".
    Offentliga inkommande portar Välj standardvärdet "Tillåt valda portar".
    Välj inkommande portar Välj "HTTP 80", "HTTPS (443)" och "RDP (3389)".

    Kommentar

    IPv4-adresser kan uttryckas i CIDR-format . Kom ihåg att undvika DET IP-intervall som är reserverat för privata nätverk enligt beskrivningen i RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Välj Granska + skapa för en verifieringskontroll.

  7. När du ser meddelandet Validering som skickats väljer du Skapa.

Ansluta till den virtuella datorn

Ladda ned och anslut sedan till den virtuella datorn på följande sätt:

  1. I portalens sökfält söker du efter den virtuella dator som skapades i föregående steg.

  2. Välj Anslut. När du har valt knappen Anslut öppnas Anslut till den virtuella datorn.

  3. Välj Hämta RDP-fil. Azure skapar en fjärrskrivbordsprotokollfil (.rdp) och laddar ned den till datorn.

  4. Öppna den nedladdade .rdp filen.

    1. Välj Anslut om du uppmanas att göra det.

    2. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn.

      Kommentar

      Du kan behöva välja Fler alternativ>Använd ett annat konto för att ange autentiseringsuppgifterna du angav när du skapade den virtuella datorn.

  5. Välj OK.

  6. Du kan få en certifikatvarning under inloggningen. Välj Ja eller Fortsätt om du får en certifikatvarning.

  7. När virtuella datorns skrivbord visas kan du minimera det att gå tillbaka till din lokala dator.

Testa anslutningar

I det här avsnittet kontrollerar du åtkomsten till det privata nätverket till söktjänsten och ansluter privat till den privata slutpunkten.

När söktjänstens slutpunkt är privat inaktiveras vissa portalfunktioner. Du kommer att kunna visa och hantera inställningar på tjänstnivå, men portalåtkomsten till indexdata och olika andra komponenter i tjänsten, till exempel definitionerna index, indexerare och kompetensuppsättningar, är begränsad av säkerhetsskäl.

  1. Öppna PowerShell på fjärrskrivbordet i myVM.

  2. Ange nslookup [search service name].search.windows.net.

    Du får ett meddelande som liknar detta:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. Från den virtuella datorn ansluter du till söktjänsten och skapar ett index. Du kan följa den här snabbstarten för att skapa ett nytt sökindex i din tjänst med hjälp av REST-API:et. För att konfigurera begäranden från ett webb-API-testverktyg krävs slutpunkten för söktjänsten (https://[söktjänstnamn].search.windows.net) och den api-nyckel för administratör som du kopierade i ett tidigare steg.

  4. Att slutföra snabbstarten från den virtuella datorn är din bekräftelse på att tjänsten är i full drift.

  5. Stäng fjärrskrivbordsanslutningen till myVM.

  6. Om du vill kontrollera att tjänsten inte är tillgänglig på en offentlig slutpunkt öppnar du en REST-klient på den lokala arbetsstationen och försöker utföra de första uppgifterna i snabbstarten. Om du får ett felmeddelande om att fjärrservern inte finns har du konfigurerat en privat slutpunkt för söktjänsten.

Använda Azure-portalen för att få åtkomst till en privat söktjänst

När söktjänstens slutpunkt är privat inaktiveras vissa portalfunktioner. Du kan visa och hantera information på tjänstnivå, men information om index, indexerare och kompetensuppsättningar är dolda av säkerhetsskäl.

Du kan kringgå den här begränsningen genom att ansluta till Azure-portalen från en webbläsare på en virtuell dator i det virtuella nätverket. Portalen använder den privata slutpunkten på anslutningen och ger dig insyn i innehåll och åtgärder.

  1. Följ stegen för att etablera en virtuell dator som kan komma åt söktjänsten via en privat slutpunkt.

  2. Öppna en webbläsare på en virtuell dator i ditt virtuella nätverk och logga in på Azure-portalen. Portalen använder den privata slutpunkten som är kopplad till den virtuella datorn för att ansluta till söktjänsten.

Rensa resurser

När du arbetar i din egen prenumeration kan det dock vara klokt att i slutet av ett projekt kontrollera om du fortfarande behöver de resurser som du skapade. Resurser som fortsätter att köras kostar pengar.

Du kan ta bort enskilda resurser eller resursgruppen för att ta bort allt du skapade i den här övningen. Välj resursgruppen på en resurss översiktssida och välj sedan Ta bort.

Nästa steg

I den här artikeln har du skapat en virtuell dator i ett virtuellt nätverk och en söktjänst med en privat slutpunkt. Du anslöt till den virtuella datorn från Internet och kommunicerade säkert till söktjänsten med Private Link. Mer information om privat slutpunkt finns i Vad är en privat Azure-slutpunkt?.