建立私人端點以安全地連線至 Azure AI 搜尋

  • 發行項

在本文中,瞭解如何設定 Azure AI 搜尋的私人連線,以便允許來自虛擬網路中的用戶端要求,而不是透過公用因特網連線:

其他可能私下連線到 Azure AI 搜尋的 Azure 資源包括 Azure OpenAI,以「使用您自己的數據」案例。 Azure OpenAI Studio 不會在虛擬網路中執行,但可以在後端設定,以透過 Microsoft 骨幹網路傳送要求。 當您的要求提交並核准時,Microsoft 會啟用此流量模式的設定。 在此案例中:

私人端點的要點

私人端點是由 Azure Private Link 提供,作為個別計費服務。 如需成本的詳細資訊,請參閱 定價頁面

一旦搜尋服務具有私人端點,就必須從虛擬網路內虛擬機上的瀏覽器會話起始該服務的入口網站存取權。 如需詳細資訊,請參閱 此步驟

您可以在 Azure 入口網站 中建立搜尋服務的私人端點,如本文所述。 或者,您可以使用 管理 REST API 版本Azure PowerShellAzure CLI

為何要使用私人端點?

Azure AI 搜尋的私人端點可讓虛擬網路上的用戶端透過 Private Link 安全地存取搜尋索引中的數據。 私人端點會針對您的搜尋服務使用虛擬網路位址空間中的IP位址。 用戶端與搜尋服務之間的網路流量會透過虛擬網路和 Microsoft 骨幹網路上的私人連結周遊,從而消除來自公用因特網的風險。 如需支援 Private Link 的其他 PaaS 服務清單,請查看 產品檔中的可用性一節

搜尋服務的私人端點可讓您:

  • 封鎖搜尋服務公用端點上的所有連線。
  • 藉由讓您封鎖從虛擬網路外泄數據,來增加虛擬網路的安全性。
  • 使用 VPNExpressRoutes 搭配私人對等互連,從聯機到虛擬網路的內部部署網路安全地連線到您的搜尋服務。

建立虛擬網路

在本節中,您將建立虛擬網路和子網來裝載將用來存取搜尋服務私人端點的 VM。

  1. 從 [Azure 入口網站 首頁] 索引標籤中,選取 [建立資源>網络>虛擬網络]。

  2. [建立虛擬網络] 中,輸入或選取下列值:

    設定
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [ 新建],輸入名稱,例如 “myResourceGroup”,然後選取 [ 確定]。
    名稱 輸入名稱,例如 「MyVirtualNetwork」。。
    區域 選取區域。

  3. 對於其餘設定,請採用預設值。 選取 [檢閱 + 建立],然後選取 [建立]

使用私人端點建立搜尋服務

在本節中,您將使用私人端點建立新的 Azure AI 搜尋服務。

  1. 在 Azure 入口網站 畫面左上角,選取 [建立資源>Web>Azure AI 搜尋]。

  2. [新增搜尋服務 - 基本] 中,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 使用您在上一個步驟中建立的資源群組。
    執行個體詳細資料
    URL 輸入唯一名稱。
    Location 選取您的區域。
    定價層 選取 [ 變更定價層 ],然後選擇所需的服務層級。 免費層不支援私人端點。 您必須選取 [ 基本 ] 或更新版本。

  3. 選取 [ 下一步:調整]。

  4. 接受預設值,然後選取 [下一步:網路]

  5. [新增搜尋服務 - 網络] 中,針對 [端點連線能力][數據] 選取 [私人]。

  6. 選取 [私人端點] 底下的 [+ 新增]。

  7. [建立私人端點] 中,輸入或選取將搜尋服務與您建立之虛擬網络建立關聯的值:

    設定
    訂用帳戶 選取您的訂用帳戶。
    資源群組 使用您在上一個步驟中建立的資源群組。
    Location 選取區域。
    名稱 輸入名稱,例如 「myPrivateEndpoint」。。
    目標子資源 接受預設 searchService
    網路
    虛擬網路 選取您在上一個步驟中建立的虛擬網路。
    子網路 選取預設值。
    私人 DNS 整合
    與私人 DNS 區域整合 接受預設的 「是」。
    私人 DNS 區域 接受預設 [新增] privatelink.search.windows.net

  8. 選取 [確定]。

  9. 選取 [檢閱 + 建立]。 您會移至 [檢閱 + 建立] 頁面,其中 Azure 會驗證您的設定。

  10. 當您看到 [驗證成功] 訊息時,請選取 [建立]

  11. 布建新服務完成後,請流覽至您建立的資源。

  12. 從左側內容功能選取 [金鑰 ]。

  13. 在聯機到服務時,複製主要管理員密鑰以供稍後使用。

建立虛擬機器

  1. 在 Azure 入口網站 畫面左上角,選取 [建立資源>計算>虛擬機]。

  2. [建立虛擬機 - 基本概念] 中,輸入或選取下列值:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 使用您在上一節中建立的資源群組。
    執行個體詳細資料
    虛擬機器名稱 輸入名稱,例如 「my-vm」。
    區域 選取您的區域。
    可用性選項 您可以選擇 [不需要基礎結構備援],或視需要功能選取另一個選項。
    映像 選取 [Windows Server 2022 Datacenter:Azure Edition - Gen2]
    VM 架構 接受預設 x64
    大小 接受預設 的標準 D2S v3
    系統管理員帳戶
    使用者名稱 輸入系統管理員的用戶名稱。 使用適用於 Azure 訂用帳戶的帳戶。 您想要從 VM 登入 Azure 入口網站,以便管理您的搜尋服務。
    密碼 輸入帳戶密碼。 密碼長度至少必須有 12 個字元,而且符合定義的複雜度需求
    確認密碼 重新輸入密碼。
    輸入連接埠規則
    公用輸入連接埠 接受預設 [允許選取的埠]。
    選取輸入連接埠 接受預設 RDP (3389)

  3. 完成時,選取 [下一步: 磁碟]。

  4. [建立虛擬機 - 磁碟] 中,接受預設值,然後選取 [下一步:網络]。

  5. [建立虛擬機 - 網络] 中,提供下列值:

    設定
    虛擬網路 選取您在上一個步驟中建立的虛擬網路。
    子網路 接受預設值 (10.1.0.0/24)。
    NIC 網路安全性群組 接受預設的 “Basic”
    公用 IP 接受預設 「(new) myVm-ip」。
    公用輸入連接埠 選取預設的 [允許選取的埠]。
    選取輸入連接埠 選取 [HTTP 80]、[HTTPS(443)] 和 [RDP (3389)]。

    注意

    IPv4 位址可以用 CIDR 格式表示。 請記得避免保留給專用網的IP範圍,如 RFC 1918 中所述

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. 選取 [ 檢閱 + 建立 ] 進行驗證檢查。

  7. 當您看到 [驗證成功] 訊息時,請選取 [建立]

連線至 VM

下載然後連線到虛擬機,如下所示:

  1. 在入口網站的搜尋列中,搜尋在上一個步驟中建立的虛擬機。

  2. 選取 Connect。 選取 [連線] 按鈕之後,隨即會開啟 [連線至虛擬機器]

  3. 選取 [下載 RDP 檔案]。 Azure 會建立遠端桌面通訊協定 (.rdp) 檔案,並將它下載到您的電腦。

  4. 開啟下載的 .rdp 檔案。

    1. 如果出現提示,請選取 [連接]

    2. 輸入在建立 VM 時所指定的使用者名稱與密碼。

      注意

      您可能需要選取 [其他選擇]>[使用不同的帳戶],以指定您在建立 VM 時輸入的認證。

  5. 選取 [確定]。

  6. 您可能會在登入程序期間收到憑證警告。 如果您收到憑證警告,請選取 [是] 或 [繼續]

  7. 當 VM 桌面出現之後,將它最小化以回到您的本機桌面。

測試連接

在本節中,您將確認對搜尋服務的專用網存取權,並使用私人端點私下連線到 。

當搜尋服務端點是私人的時,會停用某些入口網站功能。 您將能夠檢視和管理服務等級設定,但入口網站存取服務中的索引數據和各種其他元件,例如索引、索引器和技能集定義,會因為安全性原因而受到限制。

  1. 在 myVm 的遠端桌面中,開啟 PowerShell。

  2. 輸入 nslookup [search service name].search.windows.net

    您將收到如下訊息:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. 從 VM 連線到搜尋服務並建立索引。 您可以遵循本 快速入門 ,使用 REST API 在服務中建立新的搜尋索引。 設定來自 Web API 測試工具的要求需要搜尋服務端點 (https://[search service name].search.windows.net] 和您在上一個步驟中複製的管理 API 密鑰。

  4. 從 VM 完成快速入門是確認服務可完全運作。

  5. 關閉 myVM遠端桌面連線。

  6. 若要確認您的服務無法在公用端點上存取,請在本機工作站上開啟 REST 用戶端,並在快速入門中嘗試前幾個工作。 如果您收到遠端伺服器不存在的錯誤,您已成功為搜尋服務設定私人端點。

使用 Azure 入口網站 存取私人搜尋服務

當搜尋服務端點是私人的時,會停用某些入口網站功能。 您可以檢視和管理服務等級資訊,但基於安全性考慮,索引器、索引器和技能集資訊會隱藏。

若要解決此問題,請從虛擬網路內的虛擬機上的瀏覽器連線到 Azure 入口網站。 入口網站會使用連線上的私人端點,並讓您了解內容和作業。

  1. 請遵循下列步驟來布建可透過私人端點存取搜尋服務的 VM。

  2. 在虛擬網路中的虛擬機上,開啟瀏覽器並登入 Azure 入口網站。 入口網站會使用連結至虛擬機的私人端點來連線到您的搜尋服務。

停用公用網路存取

您可以鎖定搜尋服務,以防止其接受來自公用因特網的任何要求。 您可以針對此步驟使用 Azure 入口網站。

  1. 在 [Azure 入口網站] 的搜尋服務頁面最左邊窗格上,選取 [網络]。

  2. 在 [防火牆和虛擬網络] 索引卷標上選取 [已停用]。

您也可以使用 Azure CLIAzure PowerShell管理 REST API,將 或 public-network-access 設定public-accessdisabled

清除資源

如果您是在自己的訂用帳戶中進行,建議您在專案結束時判斷自己是否仍需要先前所建立的資源。 資源若繼續執行,將需付費。

您可以刪除個別資源或資源群組,以刪除您在此練習中建立的所有專案。 選取任何資源概觀頁面上的資源群組,然後選取 [ 刪除]。

下一步

在本文中,您已在虛擬網路和具有私人端點的搜尋服務上建立 VM。 您已從因特網連線到 VM,並使用 Private Link 安全地與搜尋服務通訊。 若要深入了解私人端點,請參閱什麼是 Azure 私人端點?