Sdílet prostřednictvím

Doporučená nastavení pro izolaci sítě

  • Článek

Pomocí následujícího postupu omezte veřejný přístup k prostředkům služby QnA Maker. Chraňte prostředek služeb Azure AI před veřejným přístupem konfigurací virtuální sítě.

Poznámka:

Služba QnA Maker se vyřadí z provozu 31. března 2025. Novější verze funkce pro otázky a odpovědi je teď dostupná jako součást jazyka Azure AI. Možnosti odpovídání na otázky v rámci služby Language Service najdete v tématu odpovědi na otázky. Od 1. října 2022 nebudete moct vytvářet nové prostředky služby QnA Maker. Informace o migraci stávajících znalostní báze služby QnA Maker na zodpovězení otázek najdete v průvodci migrací.

Omezení přístupu ke službě App Service (modul runtime QnA)

Pomocí značky ServiceTag CognitiveServicesMangement můžete omezit příchozí přístup ke skupině zabezpečení sítě App Service nebo ASE (App Service Environment) vázaná pravidla. Další informace o značkách služeb najdete v článku o značkách služeb virtuální sítě.

Běžná služba App Service

  1. Na webu Azure Portal otevřete Cloud Shell (PowerShell).
  2. V okně PowerShellu v dolní části stránky spusťte následující příkaz:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Ověřte, že je přidané pravidlo přístupu k dispozici v části Omezení přístupu na kartě Sítě :

    Snímek obrazovky s pravidlem omezení přístupu

  2. Pokud chcete získat přístup k podoknu Test na portálu https://qnamaker.ai , přidejte veřejnou IP adresu počítače , ze kterého chcete získat přístup k portálu. Na stránce Omezení přístupu vyberte Přidat pravidlo a povolte přístup k IP adrese klienta.

    Snímek obrazovky s pravidlem omezení přístupu s přidáním veřejné IP adresy

Odchozí přístup ze služby App Service

Služba QnA Maker App Service vyžaduje odchozí přístup k následujícímu koncovému bodu. Pokud existují nějaká omezení odchozího provozu, ujistěte se, že je přidaná do seznamu povolených.

Konfigurace služby App Service Environment pro hostování služby QnA Maker App Service

Službu App Service Environment (ASE) je možné použít k hostování instance služby App Service služby QnA Maker. Postupujte následovně:

  1. Vytvořte nový prostředek azure AI Search.

  2. Vytvoření externí služby ASE se službou App Service

    • Pokyny najdete v tomto rychlém startu služby App Service. Tento proces může trvat až 1 až 2 hodiny.
    • Nakonec budete mít koncový bod služby App Service, který bude vypadat nějak takto: https://<app service name>.<ASE name>.p.azurewebsite.net .
    • Příklad: https:// mywebsite.myase.p.azurewebsite.net

  3. Přidejte následující konfigurace služby App Service:

    Jméno Hodnota
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Přidejte zdroj CORS *ve službě App Service, abyste povolili přístup k https://qnamaker.ai podoknu testování portálu. CORS se nachází pod hlavičkou rozhraní API v podokně App Service.

    Snímek obrazovky s rozhraním CORS v uživatelském rozhraní služby App Service

  5. Vytvořte instanci služeb Azure AI služby QnA Maker (Microsoft.CognitiveServices/accounts) pomocí Azure Resource Manageru. Koncový bod služby QnA Maker by měl být nastavený na koncový bod služby App Service vytvořený výše (https:// mywebsite.myase.p.azurewebsite.net). Tady je ukázková šablona Azure Resource Manageru , kterou můžete použít pro referenci.

Je možné službu QnA Maker nasadit do interní služby ASE?

Hlavním důvodem použití externí služby ASE je, aby se back-end služby QnAMaker (vytváření apis) mohl spojit se službou App Service přes internet. Přesto ho ale můžete chránit přidáním omezení příchozího přístupu, které povoluje pouze připojení z adres přidružených ke CognitiveServicesManagement značce služby.

Pokud stále chcete používat interní službu ASE, musíte tuto konkrétní aplikaci QnA Maker zveřejnit ve službě ASE ve veřejné doméně prostřednictvím certifikátu DNS TLS/SSL brány aplikace. Další informace najdete v tomto článku o podnikovém nasazení služby App Services.

Omezení přístupu k prostředku cognitive Search

Instanci kognitivního vyhledávání je možné izolovat prostřednictvím privátního koncového bodu po vytvoření prostředků služby QnA Maker. K uzamčení přístupu použijte následující postup:

  1. Vytvořte novou virtuální síť nebo použijte existující virtuální síť ASE (App Service Environment).

  2. Otevřete prostředek virtuální sítě a pak na kartě Podsítě vytvořte dvě podsítě . Jedna pro službu App Service (appservicesubnet) a jinou podsíť (searchservicesubnet) pro prostředek kognitivního vyhledávání bez delegování.

    Snímek obrazovky s uživatelským rozhraním podsítí virtuálních sítí

  3. Na kartě Sítě ve službě Cognitive Search instance přepněte data připojení koncového bodu z veřejného na privátní. Tato operace je dlouhotrvající proces a dokončení může trvat až 30 minut .

    Snímek obrazovky síťového uživatelského rozhraní s přepínačem veřejného nebo privátního přepínače

  4. Jakmile se prostředek vyhledávání přepne na privátní, vyberte přidat privátní koncový bod.

    • Karta Základy: Ujistěte se, že vytváříte koncový bod ve stejné oblasti jako prostředek vyhledávání.
    • Resource tab: select the required search resource of type Microsoft.Search/searchServices.

    Snímek obrazovky s oknem pro vytvoření uživatelského rozhraní privátního koncového bodu

    • Karta Konfigurace: Použijte virtuální síť, podsíť (searchservicesubnet) vytvořenou v kroku 2. Potom v části Privátní DNS integrace vyberte odpovídající předplatné a vytvořte novou privátní zónu DNS s názvem privatelink.search.windows.net.

    Snímek obrazovky s oknem pro vytvoření uživatelského rozhraní privátního koncového bodu s vyplněným polem podsítě

  5. Povolte integraci virtuální sítě pro běžnou službu App Service. Tento krok pro SLUŽBU ASE můžete přeskočit, protože už má přístup k virtuální síti.

    • Přejděte do části Sítě služby App Service a otevřete integraci virtuální sítě.
    • Propojení s vyhrazenou virtuální sítí App Service, podsítí (appservicevnet) vytvořenou v kroku 2

    Snímek obrazovky s uživatelským rozhraním integrace virtuální sítě

Vytvořte privátní koncové body pro prostředek Služby Azure Search.

Pomocí následujícího postupu omezte veřejný přístup k prostředkům služby QnA Maker. Chraňte prostředek služeb Azure AI před veřejným přístupem konfigurací virtuální sítě.

Po omezení přístupu k prostředku služby Azure AI na základě virtuální sítě můžete procházet znalostní báze na portálu https://qnamaker.ai z místní sítě nebo místního prohlížeče.

  • Udělte přístup k místní síti.

  • Udělte přístup k místnímu prohlížeči nebo počítači.

  • Přidejte veřejnou IP adresu počítače v části Brána firewall na kartě Sítě. Ve výchozím nastavení se zobrazí veřejná IP adresa portal.azure.com aktuálního počítače pro procházení (vyberte tuto položku) a pak vyberte Uložit.

    Snímek obrazovky s uživatelským rozhraním konfigurace brány firewall a virtuálních sítí