建立私人端點以安全連線至 Azure AI 搜尋服務

本文說明如何設定 Azure AI 搜尋的私人連線，以便允許來自虛擬網路中的用戶端要求，而不是透過公用因特網連線：

• 建立 Azure 虛擬網路，或使用現有的虛擬網路
• 設定搜尋服務以使用私人端點
• 在相同的虛擬網路中建立 Azure 虛擬機器
• 在虛擬機器上使用瀏覽器工作階段進行測試

其他可能私下連線至 Azure AI 搜尋服務的 Azure 資源包括 Azure OpenAI，用於「使用您自己的資料」案例。 Azure AI Studio 不會在虛擬網路中執行，但可以在後端設定，以透過Microsoft骨幹網路傳送要求。 您的要求提交並獲得核准後，Microsoft 即會啟用此流量模式的設定。 在此案例中：

• 依照本文的指示設定私人端點。
• 從 Azure 入口網站 啟用搜尋資源的受信任服務。
• 或者，如果連線僅應來自虛擬網路中的用戶端，或透過私人端點連線源自 Azure OpenAI，請停用公用網路存取。

私人端點的相關要點

私人端點是由 Azure Private Link 以個別計費服務的形式提供。 如需成本的詳細資訊，請參閱 Azure Private Link 定價。

搜尋服務擁有私人端點後，就必須從虛擬網路中虛擬機器的瀏覽器工作階段起始該服務的入口網站存取權。 如需詳細資料，請參閱此步驟。

您可以依照本文的說明，在 Azure 入口網站中為搜尋服務建立私人端點。 或者，您可以使用 管理 REST API、 Azure PowerShell 或 Azure CLI。

為何要使用私人端點？

Azure AI 搜尋的私人端點可讓虛擬網路上的用戶端透過 Private Link 安全地存取搜尋索引中的數據。 私人端點會使用來自虛擬網路位址空間的 IP 位址來執行搜尋服務。 用戶端和搜尋服務之間的網路流量會經過 Microsoft 骨幹網路上的虛擬網路和私人連結，避免暴露在公開網際網路中。 如需其他支援 Private Link 的 PaaS 服務清單，請參閱產品文件中的可用性一節。

搜尋服務的私人端點可讓您：

• 封鎖搜尋服務公用端點上的所有連線。
• 藉由讓您封鎖從虛擬網路外泄數據，來增加虛擬網路的安全性。
• 使用 VPN 或 ExpressRoutes 搭配私人對等互連，從連線至虛擬網路的內部部署網路安全連線至您的搜尋服務。

建立虛擬網路

在本節中，您會建立虛擬網路和子網來裝載將用來存取搜尋服務私人端點的 VM。

1. 在 Azure 入口網站首頁索引標籤中，選取 [建立資源] > [網路] > [虛擬網路]。

2. 在 [建立虛擬網路] 中，輸入或選取下列值：

   設定	值
   訂用帳戶	選取您的訂用帳戶
   資源群組	選取 [ 新建]，輸入名稱，例如 myResourceGroup，然後選取 [ 確定]
   名稱	輸入名稱，例如 MyVirtualNetwork
   區域	選取區域

3. 對於其餘設定，請採用預設值。 選取 [檢閱 + 建立]，然後選取 [建立]。

建立含有私人端點的搜尋服務

在本節中，您會使用私人端點建立新的 Azure AI 搜尋服務。

1. 在 Azure 入口網站 畫面左上角，選取 [建立資源>AI + 機器學習>AI 搜尋]。

2. 在 [建立搜尋服務 - 基本概念] 中，輸入或選取下列值：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶
   資源群組	使用您在上一個步驟中建立的資源群組
   執行個體詳細資料
   URL	輸入唯一名稱
   Location	選取您的區域
   定價層	選取 [變更定價層]，然後選擇需要的服務層級。 免費層不支援私人端點。 您必須選取 [基本] 或更高版本。

3. 選取 [下一步: 擴展]。

4. 接受預設值，然後選取 [下一步：網路]。

5. 在 [建立搜尋服務 - 網络] 中，針對 [端點連線能力] 選取 [私人] （data）。

6. 選取 [私人端點] 底下的 [+ 新增]。

7. 在 [建立私人端點] 中，輸入或選取將搜尋服務與您建立之虛擬網络建立關聯的值：

   設定	值
   訂用帳戶	選取您的訂用帳戶
   資源群組	使用您在上一個步驟中建立的資源群組
   Location	選取區域
   名稱	輸入名稱，例如 myPrivateEndpoint
   目標子資源	接受預設 searchService
   聯網
   虛擬網路	選取您在上一個步驟中建立的虛擬網路
   子網路	選取預設值
   私人 DNS 整合
   啟用 私用 DNS整合	選取核取方塊
   私人 DNS 區域	接受預設值 （新增） privatelink.search.windows.net

8. 選取 [新增]。

9. 選取 [檢閱 + 建立]。 您會移至 [檢閱 + 建立] 頁面，其中 Azure 會驗證您的設定。

10. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

11. 完成佈建新服務後，請瀏覽至您所建立的資源。

12. 從左側內容功能選取 [設定>金鑰]。

13. 連線至服務時，複製主要系統管理金鑰待稍後使用。

建立虛擬機器

1. 在 Azure 入口網站的畫面左上角，選取 [建立資源] > [計算] > [虛擬機器]。

2. 在 [建立虛擬機器 - 基本] 中，輸入或選取下列值：

   設定	值
   專案詳細資料
   訂用帳戶	選取您的訂用帳戶
   資源群組	使用您在上一節中建立的資源群組
   執行個體詳細資料
   虛擬機器名稱	輸入名稱，例如 my-vm
   區域	選取您的區域
   可用性選項	您可以選擇 [不需要基礎結構備援]，或視需要功能選取另一個選項
   映像	選取 [Windows Server 2022 Datacenter：Azure Edition - Gen2]
   VM 架構	接受預設 x64
   大小	接受預設 標準 D2S v3
   系統管理員帳戶
   使用者名稱	輸入系統管理員的使用者名稱。 使用對您 Azure 訂用帳戶有效的帳戶。 從 VM 登入 Azure 入口網站，以便管理您的搜尋服務。
   密碼	輸入帳戶密碼。 密碼長度至少必須有 12 個字元，而且符合定義的複雜度需求。
   確認密碼	再次輸入密碼
   輸入連接埠規則
   公用輸入連接埠	接受預設 [允許選擇的埠]
   選取輸入連接埠	接受預設 RDP （3389）

3. 完成時，選取 [下一步: 磁碟]。

4. 在 [建立虛擬機器 - 磁碟]，接受預設值並選取 [下一步: 網路功能]。

5. 在 [建立虛擬機器 - 網路] 中，提供下列值：

   設定	值
   虛擬網路	選取您在上一個步驟中建立的虛擬網路
   子網路	接受預設 10.1.0.0/24
   公用 IP	接受預設值
   NIC 網路安全性群組	接受預設 的 Basic
   公用輸入連接埠	選取預設 [允許選擇的埠]
   選取輸入連接埠	選取 [HTTP 80]、 [HTTPS]、[443] 和 [RDP] （3389）

   注意

   IPv4 位址能以 CIDR 格式表示。 請記得避開保留給私人網路的 IP 範圍，如 RFC 1918 中所述：

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. 選取 [檢閱 + 建立 ] 以進行驗證檢查。

7. 當您看到 [驗證成功] 訊息時，請選取 [建立]。

連線至 VM

下載並連線至虛擬機器，如下所示：

1. 在入口網站的搜尋列中，搜尋在上一個步驟中建立的虛擬機器。

2. 選取 Connect。 選取 [連線] 按鈕之後，隨即會開啟 [連線至虛擬機器]。

3. 選取 [下載 RDP 檔案]。 Azure 會建立一個「遠端桌面通訊協定」(.rdp) 檔案，並下載至您的電腦。

4. 開啟下載的 .rdp 檔案。

   1. 如果出現提示，請選取 [連接]。

   2. 輸入在建立 VM 時所指定的使用者名稱與密碼。

      注意

      您可能需要選取 [其他選擇]>[使用不同的帳戶]，以指定您在建立 VM 時輸入的認證。

5. 選取 [確定]。

6. 您可能會在登入過程中收到憑證警告。 如果您收到憑證警告，請選取 [是] 或 [繼續]。

7. 當 VM 桌面出現之後，將它最小化以回到您的本機桌面。

測試連接

在本節中，您會確認對搜尋服務的專用網存取權，並使用私人端點私下連線到 。

如果搜尋服務端點是私人的，就會停用某些入口網站功能。 您可以檢視和管理服務等級設定，但基於安全性考慮，入口網站存取索引數據和服務中的其他各種元件，例如索引、索引器和技能集定義。

1. 在 myVm 的遠端桌面中，開啟 PowerShell。

2. 輸入 nslookup [search service name].search.windows.net。

   您將收到如下訊息：

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. 從 VM 連線到搜尋服務並建立索引。 您可以遵循本快速入門，使用 REST API 在服務中建立新的搜尋索引。 設定來自 Web API 測試工具的要求需要搜尋服務端點 (https://[search service name].search.windows.net) 和您在上一個步驟中複製的管理 API 金鑰。

4. 若要從 VM 完成快速入門步驟，需確認服務完全正常運作。

5. 關閉對 myVM 的遠端桌面連線。

6. 若要確認您的服務無法在公用端點上存取，請在本機工作站上開啟 REST 用戶端，並嘗試進行快速入門中的前幾項工作。 如果您收到遠端伺服器不存在的錯誤，您已成功為搜尋服務設定私人端點。

使用 Azure 入口網站來存取私人搜尋服務

如果搜尋服務端點是私人的，就會停用某些入口網站功能。 基於安全考量，您可以檢視和管理服務層級資訊，但會隱藏索引、索引子和技能集資訊。

若要解決此限制，請從虛擬網路內虛擬機器上的瀏覽器連線到 Azure 入口網站。 入口網站會使用連線上的私人端點，並讓您查看內容和作業。

1. 請依照可透過私人端點存取搜尋服務的 VM 佈建步驟操作。

2. 在虛擬網路中的虛擬機器上，開啟瀏覽器並登入 Azure 入口網站。 入口網站會使用連結至虛擬機的私人端點來連線到您的搜尋服務。

停用公用網路存取

您可以鎖定搜尋服務，以防止其接受任何來自公用網際網路的要求。 您可以使用 Azure 入口網站進行此步驟。

1. 在 Azure 入口網站中，從搜尋服務頁面最左側的窗格選取 [網路]。

2. 在 [防火牆與虛擬網路] 索引標籤上，選取 [已停用]。

您也可以藉由將 或 設定為 ，使用 Azure CLI、Azure PowerShell 或管理 REST API。public-access disabledpublic-network-access

清除資源

如果您是在自己的訂用帳戶中進行，建議您在專案結束時判斷自己是否仍需要先前所建立的資源。 資源若繼續執行，將需付費。

您可以刪除個別資源或資源群組，以刪除您在此練習中建立的所有內容。 選取任何資源概觀頁面上的資源群組，然後選取 [刪除]。

後續步驟

在本文中，您已在虛擬網路和具有私人端點的搜尋服務上建立 VM。 您從網際網路連線至 VM，然後使用 Private Link 安全地與搜尋服務進行通訊。 若要深入瞭解私人端點，請參閱 什麼是私人端點？