Sdílet prostřednictvím


Nastavení odchozích připojení prostřednictvím sdíleného privátního propojení

Tento článek vysvětluje, jak nakonfigurovat privátní odchozí volání z Azure AI Search do prostředku Azure, který běží ve virtuální síti Azure.

Nastavení privátního připojení umožňuje vyhledávací službě připojit se k IP adrese virtuální sítě místo portu otevřeného pro internet. Objekt vytvořený pro připojení se nazývá sdílené privátní propojení. Na připojení vyhledávací služba interně používá sdílené privátní propojení pro přístup k prostředku Azure uvnitř hranice sítě.

Sdílený privátní odkaz je prémiová funkce, která se účtuje podle využití. Když nastavíte sdílený privátní odkaz, poplatky za privátní koncový bod se přidají na fakturu za Azure. Při použití sdíleného privátního propojení se také fakturují přenosové sazby za příchozí a odchozí přístup. Podrobnosti najdete v tématu s cenami služby Azure Private Link.

Poznámka:

Pokud nastavujete privátní připojení indexeru ke službě SQL Managed Instance, přečtěte si místo toho tento článek o krocích specifických pro tento typ prostředku.

Azure AI Search provádí odchozí volání do jiných prostředků Azure v následujících scénářích:

  • Indexer nebo dotazování připojení k Azure OpenAI, Azure AI Vision nebo katalogu modelů Azure AI Foundry pro vektorizaci
  • Připojení indexeru k podporovaným zdrojům dat
  • Připojení indexeru (sady dovedností) ke službě Azure Storage pro ukládání do mezipaměti, ladění relací nebo zápis do úložiště znalostí
  • Připojení indexeru (sady dovedností) ke službám Azure AI pro účely fakturace
  • Požadavky šifrovacího klíče do služby Azure Key Vault
  • Vlastní požadavky na dovednosti pro Azure Functions nebo podobný prostředek

Sdílené privátní propojení fungují jenom pro připojení Azure-to-Azure. Pokud se připojujete k OpenAI nebo jinému externímu modelu, musí být připojení přes veřejný internet.

Sdílené privátní propojení jsou určené pro operace a data přístupná prostřednictvím privátního koncového bodu pro prostředky Azure nebo klienty, kteří běží ve virtuální síti Azure.

Sdílený privátní odkaz je:

  • Vytvořeno pomocí nástrojů Azure AI Search, rozhraní API nebo sad SDK
  • Schváleno vlastníkem prostředku Azure
  • Azure AI Search interně používá privátní připojení ke konkrétnímu prostředku Azure.

Privátní propojení, která vytvoří, může používat pouze vaše vyhledávací služba a pro každou kombinaci prostředků a podsourců může být ve službě vytvořeno pouze jedno sdílené privátní propojení.

Jakmile nastavíte privátní propojení, použije se automaticky při každém připojení vyhledávací služby k danému prostředku. Nemusíte upravovat připojovací řetězec ani měnit klienta, který používáte k vydávání požadavků, i když se zařízení používané pro připojení musí připojit pomocí autorizované IP adresy v bráně firewall prostředku Azure.

Existují dva scénáře společného používání služby Azure Private Link a Azure AI Search.

Scénář 1 je popsaný v tomto článku.

I když oba scénáře jsou závislé na službě Azure Private Link, jsou nezávislé. Můžete vytvořit sdílený privátní odkaz, aniž byste museli konfigurovat vlastní vyhledávací službu pro privátní koncový bod.

Omezení

Při vyhodnocování sdílených privátních propojení pro váš scénář si tato omezení zapamatujte.

  • Několik typů prostředků používaných ve sdíleném privátním propojení je ve verzi Preview. Pokud se připojujete k prostředku verze Preview (Azure Database for MySQL nebo Azure SQL Managed Instance), vytvořte sdílený privátní odkaz pomocí verze Preview rozhraní REST API pro správu. Mezi tyto verze patří 2020-08-01-preview, 2021-04-01-preview, 2024-03-01-preview, a 2024-06-01-preview. Doporučujeme nejnovější rozhraní API ve verzi Preview.

  • Spuštění indexeru musí používat privátní spouštěcí prostředí , které je specifické pro vaši vyhledávací službu. Připojení privátního koncového bodu nejsou podporována v prostředí pro zpracování obsahu s více tenanty. Nastavení konfigurace pro tento požadavek je popsáno v tomto článku.

  • Zkontrolujte limity prostředků sdíleného privátního propojení pro každou úroveň.

Požadavky

  • Podporovaný prostředek Azure nakonfigurovaný tak, aby běžel ve virtuální síti.

  • Azure AI Search s požadavky na vrstvu a oblast podle úloh:

    Úloha Požadavky na vrstvu Požadavky na oblast Požadavky na vytvoření služby
    Indexery bez sad dovedností Základní a vyšší Nic Nic
    Sady dovedností s vloženými dovednostmi (integrovaná vektorizace) Základní a vyšší Oblasti s vysokou kapacitou Po 3. dubnu 2024
    Sady dovedností s využitím dalších předdefinovaných nebo vlastních dovedností Standard 2 (S2) a vyšší Nic Po 3. dubnu 2024
  • Oprávnění ke službě Azure AI Search i prostředku Azure:

    Prostředek Oprávnění
    Azure AI Vyhledávač Microsoft.Search/searchServices/sharedPrivateLinkResources/write
    Microsoft.Search/searchServices/sharedPrivateLinkResources/read
    Microsoft.Search/searchServices/sharedPrivateLinkResources/operationStatuses/read
    Jiný prostředek Azure Oprávnění ke schválení připojení privátních koncových bodů Například ve službě Azure Storage potřebujete Microsoft.Storage/storageAccounts/privateEndpointConnectionsApproval/action.

Podporované typy prostředků

Můžete vytvořit sdílený privátní odkaz pro následující prostředky.

Typ prostředku Podsourc (nebo ID skupiny)
Microsoft.Storage/storageAccounts 1 blob, table, , dfsfile
Microsoft.DocumentDB/databaseAccounts 2 Sql
Microsoft.Sql/servers 3 sqlServer
Microsoft.KeyVault/vaults vault
Microsoft.DBforMySQL/servery (Preview) mysqlServer
Microsoft.Web/sites 4 sites
Microsoft.Sql/managedInstances (Preview) 5 managedInstance
Microsoft.CognitiveServices/accounts 6 7 openai_account
Microsoft.CognitiveServices/accounts 8 cognitiveservices_account

1 Pokud jsou Azure Storage a Azure AI Search ve stejné oblasti, vytvoří se připojení k úložišti přes páteřní síť Microsoftu, což znamená, že pro tuto konfiguraci je redundantní sdílené privátní propojení. Pokud jste už ale pro Azure Storage nastavili privátní koncový bod, měli byste také nastavit sdílené privátní propojení nebo připojení se na straně úložiště odmítne. Pokud používáte více formátů úložiště pro různé scénáře hledání, nezapomeňte pro každý dílčí zdroj vytvořit samostatný sdílený privátní odkaz.

2 Typ Microsoft.DocumentDB/databaseAccounts prostředku se používá pro připojení indexeru ke službě Azure Cosmos DB for NoSQL. V názvu zprostředkovatele a ID skupiny se rozlišují malá a velká písmena.

3 Typ Microsoft.Sql/servers prostředku se používá pro připojení k databázi Azure SQL. V současné době není k dispozici žádná podpora sdíleného privátního propojení s Azure Synapse SQL.

4 Typ Microsoft.Web/sites prostředku se používá pro App Service a Azure Functions. V kontextu služby Azure AI Search je nejpravděpodobnějším scénářem funkce Azure. Funkce Azure se běžně používá k hostování logiky vlastní dovednosti. Azure Functions má plány hostování služby Consumption, Premium a Dedicated App Service. Služba App Service Environment (ASE), Azure Kubernetes Service (AKS) a Azure API Management se v tuto chvíli nepodporují.

5 Pokyny najdete v tématu Vytvoření sdíleného privátního propojení pro službu SQL Managed Instance .

6 Typ Microsoft.CognitiveServices/accounts prostředku se používá pro vektorizační a indexerová připojení k modelům vkládání Azure OpenAI při implementaci integrované vektorizace. Od 19. listopadu 2024 teď existuje podpora sdíleného privátního propojení pro vkládání modelů do katalogu modelů Azure AI Foundry nebo multimodálního rozhraní API služby Azure AI Vision.

7 Sdílené privátní propojení pro Azure OpenAI se podporuje jenom ve veřejném cloudu. Ostatní nabídky cloudu, jako je Microsoft Azure Government , nemají podporu sdílených privátních propojení pro openai_account ID skupiny.

8 Sdílené privátní odkazy jsou nyní podporovány (od listopadu 2024) pro připojení k účtům s více službami Azure AI. Azure AI Search se připojuje k víceslužbám Azure AI pro účely fakturace. Tato připojení teď můžou být privátní prostřednictvím sdíleného privátního propojení. Sdílené privátní propojení se podporuje jenom při konfiguraci spravované identity (bez klíče) v definici sady dovedností.

K vytvoření sdíleného privátního propojení použijte Azure Portal, rozhraní REST API pro správu, Azure CLI nebo Azure PowerShell.

Tady je několik tipů:

  • Pojmenujte privátní propojení smysluplným názvem. V prostředku Azure PaaS se vedle dalších privátních koncových bodů zobrazí sdílený privátní odkaz. Název, například "shared-private-link-for-search", vám může připomenout, jak se používá.

Po dokončení kroků v této části máte sdílený privátní odkaz, který je zřízený ve stavu čekání na vyřízení. Vytvoření odkazu trvá několik minut. Po vytvoření musí vlastník prostředku žádost před provozem schválit.

  1. Přihlaste se k webu Azure Portal a vyhledejte vyhledávací službu.

  2. V části Nastavení v levém navigačním podokně vyberte Sítě.

  3. Na stránce Sdílený privátní přístup vyberte + Přidat sdílený privátní přístup.

  4. V adresáři vyberte Připojit k prostředku Azure nebo připojit se k prostředku Azure podle ID prostředku.

  5. Pokud vyberete první možnost (doporučeno), azure Portal vám pomůže vybrat příslušný prostředek Azure a vyplnit další vlastnosti, jako je ID skupiny prostředku a typ prostředku.

    Snímek obrazovky se stránkou Přidat sdílený privátní přístup zobrazující prostředí s asistencí pro vytvoření prostředku sdíleného privátního propojení

  6. Pokud vyberete druhou možnost, zadejte ID prostředku Azure ručně a v seznamu na začátku tohoto článku zvolte příslušné ID skupiny.

    Snímek obrazovky se stránkou Přidat sdílený privátní přístup zobrazující ruční prostředí pro vytvoření prostředku sdíleného privátního propojení

  7. Ověřte, že stav zřizování je "Aktualizace".

    Snímek obrazovky se stránkou Přidat sdílený privátní přístup zobrazující probíhající vytváření prostředků

  8. Po úspěšném vytvoření prostředku se stav zřizování prostředku změní na Úspěch.

    Snímek obrazovky se stránkou Přidat sdílený privátní přístup zobrazující dokončené vytvoření prostředku

Při 202 Accepted úspěchu se vrátí odpověď. Proces vytvoření odchozího privátního koncového bodu je dlouhotrvající (asynchronní) operace. Zahrnuje nasazení následujících prostředků:

  • Privátní koncový bod přidělený privátní IP adresou ve "Pending" stavu. Privátní IP adresa se získá z adresního prostoru, který je přidělen virtuální síti spouštěcího prostředí pro privátní indexer specifický pro vyhledávací službu. Po schválení privátního koncového bodu veškerá komunikace z Azure AI Search s prostředkem Azure pochází z privátní IP adresy a zabezpečeného kanálu privátního propojení.

  • Privátní zóna DNS pro typ prostředku na základě ID skupiny. Nasazením tohoto prostředku zajistíte, že jakékoli vyhledávání DNS na privátní prostředek využívá IP adresu přidruženou k privátnímu koncovému bodu.

2. Schválení připojení privátního koncového bodu

Schválení připojení privátního koncového bodu je uděleno na straně Azure PaaS. Vyžaduje se explicitní schválení vlastníkem prostředku. Následující kroky zahrnují schválení pomocí webu Azure Portal, ale tady jsou některé odkazy pro schválení připojení prostřednictvím kódu programu na straně Azure PaaS:

Pomocí webu Azure Portal proveďte následující kroky:

  1. Otevřete stránku Sítě prostředku Azure PaaS.Text

  2. Najděte část se seznamem připojení privátních koncových bodů. Následující příklad je pro účet úložiště.

    Snímek obrazovky webu Azure Portal zobrazující podokno připojení privátního koncového bodu

  3. Vyberte připojení a pak vyberte Schválit. Aktualizace stavu na webu Azure Portal může trvat několik minut.

    Snímek obrazovky webu Azure Portal zobrazující stav Schváleno v podokně Připojení privátního koncového bodu

Po schválení privátního koncového bodu azure AI Search vytvoří potřebná mapování zón DNS v zóně DNS, která je pro ni vytvořená.

I když je odkaz privátního koncového bodu na stránce Sítě aktivní, nepřeloží se.

Snímek obrazovky odkazu privátního koncového bodu na stránce sítě Azure PaaS

Výběrem odkazu dojde k chybě. Stavová zpráva a zobrazí se, protože prostředek privátního "The access token is from the wrong issuer" must match the tenant associated with this subscription koncového bodu back-endu zřizuje Microsoft v tenantovi spravovaném Microsoftem, zatímco propojený prostředek (Azure AI Search) je ve vašem tenantovi. Přístup k prostředku privátního koncového bodu nemůžete získat tak, že vyberete propojení připojení privátního koncového bodu.

Podle pokynů v další části zkontrolujte stav sdíleného privátního propojení.

Na straně služby Azure AI Search můžete potvrdit schválení žádostí tím, že na stránce Sítě vyhledávací služby zkontrolujete stránku sdíleného privátního přístupu. Stav připojení by měl být schválen.

Snímek obrazovky webu Azure Portal zobrazující prostředek schváleného sdíleného privátního propojení

Další možností je získat stav připojení pomocí prostředků sdíleného privátního propojení – Get.

az rest --method get --uri https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contoso/providers/Microsoft.Search/searchServices/contoso-search/sharedPrivateLinkResources/blob-pe?api-version=2024-07-01

Vrátí se json, kde se stav připojení zobrazí jako stav v části Vlastnosti. Následuje příklad účtu úložiště.

{
      "name": "blob-pe",
      "properties": {
        "privateLinkResourceId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contoso/providers/Microsoft.Storage/storageAccounts/contoso-storage",
        "groupId": "blob",
        "requestMessage": "please approve",
        "status": "Approved",
        "resourceRegion": null,
        "provisioningState": "Succeeded"
      }
}

Pokud je stav zřizování (properties.provisioningState) prostředku úspěšný a stav připojení (properties.status) je Schváleno, znamená to, že sdílený prostředek privátního propojení je funkční a indexer je možné nakonfigurovat tak, aby komunikoval přes privátní koncový bod.

4. Konfigurace indexeru pro spuštění v privátním prostředí

Provádění indexeru probíhá buď v privátním prostředí, které je specifické pro vyhledávací službu, nebo víceklientské prostředí, které se používá interně k přesměrování nákladného zpracování sady dovedností pro více zákazníků.

Spouštěcí prostředí je transparentní, ale jakmile začnete vytvářet pravidla brány firewall nebo navazovat privátní připojení, musíte vzít v úvahu spuštění indexeru. U privátního připojení nakonfigurujte spuštění indexeru tak, aby se vždy spouštěl v privátním prostředí.

V tomto kroku se dozvíte, jak nakonfigurovat indexer tak, aby běžel v privátním prostředí pomocí rozhraní REST API. Spouštěcí prostředí můžete také nastavit pomocí editoru JSON na webu Azure Portal.

Poznámka:

Tento krok můžete provést před schválením připojení privátního koncového bodu. Dokud se ale připojení privátního koncového bodu nezobrazí jako schválené, všechny existující indexery, které se pokusí komunikovat se zabezpečeným prostředkem (například účtem úložiště), skončí v přechodném stavu selhání a nové indexery se nevytvořijí.

  1. Vytvořte definici, index a sadu dovedností zdroje dat (pokud ji používáte) jako obvykle. V žádné z těchto definic nejsou žádné vlastnosti, které se při použití sdíleného privátního koncového bodu liší.

  2. Vytvořte indexer , který odkazuje na zdroj dat, index a sadu dovedností, které jste vytvořili v předchozím kroku. Kromě toho vynutit, aby indexer běžel v privátním spouštěcím prostředí nastavením vlastnosti konfigurace indexeru executionEnvironment na private.

    {
        "name": "indexer",
        "dataSourceName": "blob-datasource",
        "targetIndexName": "index",
        "parameters": {
            "configuration": {
                "executionEnvironment": "private"
            }
        },
        "fieldMappings": []
    }
    

Po úspěšném vytvoření indexeru by se měl připojit k prostředku Azure přes připojení privátního koncového bodu. Stav indexeru můžete monitorovat pomocí rozhraní API stavu indexeru.

Poznámka:

Pokud už máte existující indexery, můžete je aktualizovat prostřednictvím rozhraní PUT API nastavením executionEnvironment private editoru JSON na webu Azure Portal nebo pomocí editoru JSON.

  1. Pokud jste to ještě neudělali, ověřte, že váš prostředek Azure PaaS odmítne připojení z veřejného internetu. Pokud jsou připojení přijata, zkontrolujte nastavení DNS na stránce Sítě vašeho prostředku Azure PaaS.

  2. Zvolte nástroj, který může vyvolat scénář odchozích požadavků, například připojení indexeru k privátnímu koncovému bodu. Jednoduchou volbou je průvodce importem dat , ale můžete také vyzkoušet klienta REST a rozhraní REST API pro větší přesnost. Za předpokladu, že vyhledávací služba není nakonfigurovaná také pro privátní připojení, může být připojení klienta REST ke vyhledávání přes veřejný internet.

  3. Nastavte připojovací řetězec na privátní prostředek Azure PaaS. Formát připojovací řetězec se u sdíleného privátního propojení nezmění. Vyhledávací služba interně vyvolá sdílený privátní odkaz.

    U úloh indexeru je připojovací řetězec v definici zdroje dat. Příklad zdroje dat může vypadat takto:

     {
       "name": "my-blob-ds",
       "type": "azureblob",
       "subtype": null,
       "credentials": {
         "connectionString": "DefaultEndpointsProtocol=https;AccountName=<YOUR-STORAGE-ACCOUNT>;AccountKey=..."
       }
    
  4. U úloh indexeru nezapomeňte nastavit spouštěcí prostředí v definici indexeru. Příklad definice indexeru může vypadat takto:

    "name": "indexer",
    "dataSourceName": "my-blob-ds",
    "targetIndexName": "my-index",
    "parameters": {
       "configuration": {
           "executionEnvironment": "private"
           }
       },
    "fieldMappings": []
    }
    
  5. Spusťte indexer. Pokud se spuštění indexeru úspěšně spustí a index vyhledávání se naplní, funguje sdílený privátní odkaz.

Řešení problému

  • Pokud vytvoření indexeru selže s chybou Přihlašovací údaje ke zdroji dat jsou neplatné, před laděním připojení zkontrolujte stav schválení sdíleného privátního propojení. Pokud je Approvedstav, zkontrolujte properties.provisioningState vlastnost. Pokud ano Incomplete, může se jednat o problém se základními závislostmi. V takovém případě znovu PUT vytvořte sdílené privátní propojení. Možná budete muset tento krok schválení zopakovat.

  • Pokud indexery selžou konzistentně nebo přerušovaně, zkontrolujte executionEnvironment vlastnost indexeru. Hodnota by měla být nastavena na privatehodnotu . Pokud jste tuto vlastnost nenastavili a indexer běží úspěšně v minulosti, je to proto, že vyhledávací služba použila soukromé prostředí vlastní dohodu. Vyhledávací služba přesune zpracování z víceklientských prostředí, pokud je systém zatížený.

  • Pokud při vytváření sdíleného privátního propojení dojde k chybě, zkontrolujte limity služeb a ověřte, že jste v rámci kvóty pro vaši úroveň.

Další kroky

Další informace o privátních koncových bodech a dalších metodách zabezpečeného připojení: