建立私人端點以安全連線至 Azure AI 搜尋服務

在本文中，了解如何設定 Azure AI 搜尋服務的私人連線，使其接受虛擬網路中的用戶端提出的要求，而不是透過公用網際網路連線的要求：

• 建立 Azure 虛擬網路 (或使用現有的虛擬網路)
• 設定搜尋服務以使用私人端點
• 在相同的虛擬網路中建立 Azure 虛擬機器
• 在虛擬機器上使用瀏覽器工作階段進行測試

其他可能私下連線至 Azure AI 搜尋服務的 Azure 資源包括 Azure OpenAI，用於「使用您自己的資料」案例。 Azure OpenAI Studio 不會在虛擬網路中執行，但可在後端設定，以透過 Microsoft 骨幹網路傳送要求。 您的要求提交並獲得核准後，Microsoft 即會啟用此流量模式的設定。 在此案例中：

• 依照本文的指示設定私人端點。
• 提交要求，讓 Azure OpenAI Studio 使用您的私人端點進行連線。
• 或者，如果連線僅應來自虛擬網路中的用戶端，或透過私人端點連線源自 Azure OpenAI，請停用公用網路存取。

私人端點的相關要點

私人端點是由 Azure Private Link 以個別計費服務的形式提供。 如需成本的詳細資訊，請參閱定價頁面。

搜尋服務擁有私人端點後，就必須從虛擬網路中虛擬機器的瀏覽器工作階段起始該服務的入口網站存取權。 如需詳細資料，請參閱此步驟。

您可以依照本文的說明，在 Azure 入口網站中為搜尋服務建立私人端點。 或者，您可以使用管理 REST API 版本、Azure PowerShell 或 Azure CLI。

為何要使用私人端點？

適用於 Azure AI 搜尋服務的私人端點可讓虛擬網路上的用戶端透過私人連結，安全存取搜尋索引中的資料。 私人端點會使用來自虛擬網路位址空間的 IP 位址來執行搜尋服務。 用戶端和搜尋服務之間的網路流量會經過 Microsoft 骨幹網路上的虛擬網路和私人連結，避免暴露在公開網際網路中。 如需其他支援 Private Link 的 PaaS 服務清單，請參閱產品文件中的可用性一節。

搜尋服務的私人端點可讓您：

• 封鎖搜尋服務公用端點上的所有連線。
• 防止虛擬網路中的資料外流，進而提升虛擬網路的安全性。
• 使用 VPN 或 ExpressRoutes 搭配私人對等互連，從連線至虛擬網路的內部部署網路安全連線至您的搜尋服務。

建立虛擬網路

在本節中，您將建立虛擬網路和子網路，以託管用於存取搜尋服務私人端點的 VM。

1. 在 Azure 入口網站首頁索引標籤中，選取 [建立資源] > [網路] > [虛擬網路]。

2. 在 [建立虛擬網路] 中，輸入或選取下列值：

   設定	值
   訂用帳戶	選取您的訂用帳戶。
   資源群組	選取 [新建]，輸入名稱 (例如「myResourceGroup」)，然後選取 [確定]。
   名稱	輸入名稱，例如「MyVirtualNetwork」。
   區域	選取區域。

3. 對於其餘設定，請採用預設值。 選取 [檢閱 + 建立]，然後選取 [建立]。

建立含有私人端點的搜尋服務

在本節中，您會建立含有私人端點的新 Azure AI 搜尋服務。

1. 在 Azure 入口網站畫面的左上角，選取 [建立資源] > [Web] > [Azure AI 搜尋服務]。

2. 在 [新增搜尋服務 - 基本] 中，輸入或選取下列值：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	使用您在上一個步驟建立的資源群組。
   執行個體詳細資料
   URL	輸入唯一名稱。
   Location	選取您的區域。
   定價層	選取 [變更定價層]，然後選擇需要的服務層級。 免費層不支援私人端點。 您必須選取 [基本] 或更高版本。

3. 選取 [下一步: 擴展]。

4. 接受預設值，然後選取 [下一步：網路]。

5. 在 [新增搜尋服務 - 網路] 中，為 [端點連線 (資料)] 選取 [私人]。

6. 選取 [私人端點] 底下的 [+ 新增]。

7. 在 [建立私人端點] 中，輸入或選取將搜尋服務與您所建立虛擬網路建立關聯的值：

   設定	值
   訂用帳戶	選取您的訂用帳戶。
   資源群組	使用您在上一個步驟建立的資源群組。
   Location	選取區域。
   名稱	輸入名稱，例如「myPrivateEndpoint」。
   目標子資源	接受預設值 [searchService]。
   網路
   虛擬網路	選取您在上一個步驟建立的虛擬網路。
   子網路	選取預設值。
   私人 DNS 整合
   與私人 DNS 區域整合	接受預設值 [Yes]。
   私人 DNS 區域	接受預設值 [(New) privatelink.search.windows.net]。

8. 選取 [確定]。

9. 選取 [檢閱 + 建立]。 您會移至 [檢閱 + 建立] 頁面，其中 Azure 會驗證您的設定。

10. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

11. 完成佈建新服務後，請瀏覽至您所建立的資源。

12. 從左側功能表中選取 [金鑰]。

13. 連線至服務時，複製主要系統管理金鑰待稍後使用。

建立虛擬機器

1. 在 Azure 入口網站的畫面左上角，選取 [建立資源] > [計算] > [虛擬機器]。

2. 在 [建立虛擬機器 - 基本] 中，輸入或選取下列值：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶。
   資源群組	使用您在上一節中建立的資源群組。
   執行個體詳細資料
   虛擬機器名稱	輸入名稱，例如「my-vm」。
   區域	選取您的區域。
   可用性選項	如果您需要此功能，您可以選擇 [不需要基礎結構備援]，或選取其他選項。
   映像	選取 [Windows Server 2022 Datacenter：Azure Edition - Gen2]。
   VM 架構	接受預設值 [x64]。
   大小	接受預設值 [Standard D2S v3]。
   系統管理員帳戶
   使用者名稱	輸入系統管理員的使用者名稱。 使用對您 Azure 訂用帳戶有效的帳戶。 您可從 VM 登入 Azure 入口網站，方便管理您的搜尋服務。
   密碼	輸入帳戶密碼。 密碼長度至少必須有 12 個字元，而且符合定義的複雜度需求。
   確認密碼	重新輸入密碼。
   輸入連接埠規則
   公用輸入連接埠	接受預設值 [允許選取的連接埠]。
   選取輸入連接埠	接受預設值 [RDP (3389)]。

3. 完成時，選取 [下一步: 磁碟]。

4. 在 [建立虛擬機器 - 磁碟]，接受預設值並選取 [下一步: 網路功能]。

5. 在 [建立虛擬機器 - 網路] 中，提供下列值：

   設定	值
   虛擬網路	選取您在先前的步驟中建立的虛擬網路。
   子網路	接受預設值 (10.1.0.0/24)。
   NIC 網路安全性群組	接受預設值 [Basic]
   公用 IP	接受預設值 [(new) myVm-ip]。
   公用輸入連接埠	接受預設值 [允許選取的連接埠]。
   選取輸入連接埠	選取 [HTTP 80]、[HTTPS (443)] 和 [RDP (3389)]。

   注意

   IPv4 位址能以 CIDR 格式表示。 請記得避開保留給私人網路的 IP 範圍，如 RFC 1918 中所述：

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. 選取 [檢閱 + 建立 ] 以進行驗證檢查。

7. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

連線至 VM

下載並連線至虛擬機器，如下所示：

1. 在入口網站的搜尋列中，搜尋在上一個步驟中建立的虛擬機器。

2. 選取 Connect。 選取 [連線] 按鈕之後，隨即會開啟 [連線至虛擬機器]。

3. 選取 [下載 RDP 檔案]。 Azure 會建立一個遠端桌面通訊協定 (.rdp) 檔案，並下載至您的電腦。

4. 開啟下載的 .rdp 檔案。

   1. 如果出現提示，請選取 [連接]。

   2. 輸入在建立 VM 時所指定的使用者名稱與密碼。

      注意

      您可能需要選取 [其他選擇]>[使用不同的帳戶]，以指定您在建立 VM 時輸入的認證。

5. 選取 [確定]。

6. 您可能會在登入程序期間收到憑證警告。 如果您收到憑證警告，請選取 [是] 或 [繼續]。

7. 當 VM 桌面出現之後，將它最小化以回到您的本機桌面。

測試連接

在本節中，您將驗證對搜尋服務的私人網路存取權，並使用私人端點進行私人連線。

如果搜尋服務端點是私人的，就會停用某些入口網站功能。 您將能檢視和管理服務等級設定，但服務中的索引資料和各種其他元件 (例如索引、索引子和技能定義) 的入口網站存取，會基於安全考量而受到限制。

1. 在 myVm 的遠端桌面中，開啟 PowerShell。

2. 輸入 nslookup [search service name].search.windows.net。

   您將收到如下訊息：

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. 從 VM 連線到搜尋服務並建立索引。 您可以遵循本快速入門，使用 REST API 在服務中建立新的搜尋索引。 設定 Web API 測試工具所提出需要搜尋服務端點 (https://[search service name].search.windows.net) 的要求，以及您在先前步驟中複製的系統管理 API 金鑰。

4. 若要從 VM 完成快速入門步驟，需確認服務完全正常運作。

5. 關閉對 myVM 的遠端桌面連線。

6. 若要確認您的服務無法在公用端點上存取，請在本機工作站上開啟 REST 用戶端，並嘗試進行快速入門中的前幾項工作。 如果您收到遠端伺服器不存在的錯誤，表示已成功為搜尋服務設定私人端點。

使用 Azure 入口網站來存取私人搜尋服務

如果搜尋服務端點是私人的，就會停用某些入口網站功能。 基於安全考量，您可以檢視和管理服務層級資訊，但會隱藏索引、索引子和技能集資訊。

若要解決此限制，請從虛擬網路內虛擬機器上的瀏覽器連線到 Azure 入口網站。 入口網站會使用連線上的私人端點，並讓您查看內容和作業。

1. 請依照可透過私人端點存取搜尋服務的 VM 佈建步驟操作。

2. 在虛擬網路中的虛擬機器上，開啟瀏覽器並登入 Azure 入口網站。 入口網站會使用連結至虛擬機器的私人端點來連線到您的搜尋服務。

停用公用網路存取

您可以鎖定搜尋服務，以防止其接受任何來自公用網際網路的要求。 您可以使用 Azure 入口網站進行此步驟。

1. 在 Azure 入口網站中，從搜尋服務頁面最左側的窗格選取 [網路]。

2. 在 [防火牆與虛擬網路] 索引標籤上，選取 [已停用]。

您也可以使用 Azure CLI、Azure PowerShell 或 Management REST API，將 public-access 或 public-network-access 設定為 disabled。

清除資源

如果您是在自己的訂用帳戶中進行，建議您在專案結束時判斷自己是否仍需要先前所建立的資源。 資源若繼續執行，將需付費。

您可以刪除個別資源或資源群組，以刪除您在此練習中建立的所有內容。 選取任何資源概觀頁面上的資源群組，然後選取 [刪除]。

下一步

在本文中，您在虛擬網路和具有私人端點的搜尋服務上建立了 VM。 您從網際網路連線至 VM，然後使用 Private Link 安全地與搜尋服務進行通訊。 若要深入瞭解私人端點，請參閱什麼是 Azure 私人端點？。