Sdílet prostřednictvím

Vytvoření privátního koncového bodu pro zabezpečené připojení k Azure AI Search

  • Článek

Tento článek vysvětluje, jak nakonfigurovat privátní připojení ke službě Azure AI Search tak, aby přijímala požadavky klientů ve virtuální síti místo přes veřejné připojení k internetu:

Mezi další prostředky Azure, které se můžou soukromě připojit ke službě Azure AI Search, patří Azure OpenAI pro scénáře použití vlastních dat. Azure AI Foundry se nespouští ve virtuální síti, ale dá se nakonfigurovat v back-endu tak, aby odesílala požadavky přes páteřní síť Microsoftu. Konfigurace pro tento model provozu povolí Microsoft při odeslání a schválení vaší žádosti. Pro tento scénář:

  • Podle pokynů v tomto článku nastavte privátní koncový bod.
  • Na webu Azure Portal povolte důvěryhodnou službu vašeho vyhledávacího prostředku.
  • Volitelně můžete zakázat přístup k veřejné síti, pokud by připojení měla pocházet pouze z klientů ve virtuální síti nebo z Azure OpenAI přes připojení privátního koncového bodu.

Klíčové body týkající se privátních koncových bodů

Privátní koncové body poskytuje Azure Private Link jako samostatnou fakturovatelnou službu. Další informace o nákladech najdete v tématu Ceny služby Azure Private Link.

Jakmile má vyhledávací služba privátní koncový bod, musí být přístup k této službě inicializován z relace prohlížeče na virtuálním počítači uvnitř virtuální sítě. Podrobnosti najdete v tomto kroku .

Privátní koncový bod pro vyhledávací službu můžete vytvořit na webu Azure Portal, jak je popsáno v tomto článku. Alternativně můžete použít rozhraní REST API pro správu, Azure PowerShell nebo Azure CLI.

Proč používat privátní koncový bod?

Privátní koncové body služby Azure AI Search umožňují klientovi ve virtuální síti bezpečně přistupovat k datům v indexu vyhledávání přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro vaši vyhledávací službu. Síťový provoz mezi klientem a vyhledávací službou prochází přes virtuální síť a privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu. Seznam dalších služeb PaaS, které podporují službu Private Link, najdete v části dostupnost v dokumentaci k produktu.

Privátní koncové body pro vaši vyhledávací službu umožňují:

  • Zablokujte všechna připojení ve veřejném koncovém bodu pro vaši vyhledávací službu.
  • Zvyšte zabezpečení virtuální sítě tím, že umožníte blokovat exfiltraci dat z virtuální sítě.
  • Bezpečně se připojte k vyhledávací službě z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo ExpressRoutes s privátním partnerským vztahem.

Vytvoření virtuální sítě

V této části vytvoříte virtuální síť a podsíť pro hostování virtuálního počítače, který se použije pro přístup k privátnímu koncovému bodu vyhledávací služby.

  1. Na kartě Domů webu Azure Portal vyberte Vytvořit virtuální síť sítě prostředků>>.

  2. V části Vytvořit virtuální síť zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte Vytvořit nový, zadejte název, například myResourceGroup, a pak vyberte OK.
    Název Zadejte název, například MyVirtualNetwork.
    Oblast Výběr oblasti

  3. U ostatních nastavení přijměte výchozí hodnoty. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Vytvoření vyhledávací služby s privátním koncovým bodem

V této části vytvoříte novou Search Azure AI s privátním koncovým bodem.

  1. Na levé horní straně obrazovky na webu Azure Portal vyberte Vytvořit AI a vyhledávání AI prostředků>a strojového učení>.

  2. V části Vytvořit vyhledávací službu – Základy zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    PODROBNOSTI PROJEKTU
    Předplatné Vyberte své předplatné.
    Skupina prostředků Použijte skupinu prostředků, kterou jste vytvořili v předchozím kroku.
    PODROBNOSTI O INSTANCI
    Adresa URL Zadejte jedinečný název.
    Umístění Vybrat oblast
    Cenová úroveň Vyberte Změnit cenovou úroveň a zvolte požadovanou úroveň služby. Privátní koncové body nejsou na úrovni Free podporované. Musíte vybrat Základní nebo vyšší.

  3. Vyberte Další: Škálování.

  4. Přijměte výchozí hodnoty a vyberte Další: Sítě.

  5. V části Vytvořit vyhledávací službu – Sítě vyberte privátní pro připojení koncového bodu (data).

  6. V části Privátní koncový bod vyberte + Přidat.

  7. V části Vytvořit privátní koncový bod zadejte nebo vyberte hodnoty, které přidružují vaši vyhledávací službu k virtuální síti, kterou jste vytvořili:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Použijte skupinu prostředků, kterou jste vytvořili v předchozím kroku.
    Umístění Výběr oblasti
    Název Zadejte název, například myPrivateEndpoint.
    Cílový podsourc Přijmout výchozí vyhledávací službu
    SÍŤOVÁNÍ
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili v předchozím kroku.
    Podsíť Výběr výchozího nastavení
    INTEGRACE PRIVÁTNÍHO DNS
    Povolení integrace Privátní DNS Zaškrtněte políčko
    Zóna privátního DNS Přijmout výchozí privatelink.search.windows.net (Nový)

  8. Vyberte Přidat.

  9. Vyberte Zkontrolovat a vytvořit. Přejdete na stránku Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.

  10. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

  11. Po dokončení zřizování nové služby přejděte k vytvořenému prostředku.

  12. V nabídce levého obsahu vyberte Klíče nastavení>.

  13. Zkopírujte primární klíč správce pro pozdější připojení ke službě.

Vytvoření virtuálního počítače

  1. Na levé horní straně obrazovky na webu Azure Portal vyberte Vytvořit výpočetní>virtuální počítač prostředku.>

  2. V části Vytvořit virtuální počítač – Základy zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    PODROBNOSTI PROJEKTU
    Předplatné Vyberte své předplatné.
    Skupina prostředků Použijte skupinu prostředků, kterou jste vytvořili v předchozí části.
    PODROBNOSTI O INSTANCI
    Virtual machine name Zadejte název, například my-vm.
    Oblast Vybrat oblast
    Možnosti dostupnosti Pokud potřebujete funkce, můžete zvolit možnost Bez redundance infrastruktury nebo vybrat jinou možnost.
    Image Vyberte Windows Server 2022 Datacenter: Azure Edition – Gen2.
    Architektura virtuálního počítače Přijmout výchozí x64
    Velikost Přijměte výchozí standard D2S v3.
    ÚČET SPRÁVCE
    Username Zadejte uživatelské jméno správce. Použijte účet, který je platný pro vaše předplatné Azure. Přihlaste se k webu Azure Portal z virtuálního počítače, abyste mohli spravovat vyhledávací službu.
    Heslo Zadejte heslo účtu. Heslo musí obsahovat nejméně 12 znaků a musí splňovat zadané požadavky na složitost.
    Potvrdit heslo Opětovné zadání hesla
    PRAVIDLA PORTŮ PRO PŘÍCHOZÍ SPOJENÍ
    Veřejné příchozí porty Přijmout výchozí povolit vybrané porty
    Vyberte příchozí porty Přijměte výchozí protokol RDP (3389)

  3. Vyberte Další: Disky.

  4. V části Vytvořit virtuální počítač – Disky přijměte výchozí hodnoty a vyberte Další: Sítě.

  5. V části Vytvořit virtuální počítač – Sítě zadejte následující hodnoty:

    Nastavení Hodnota
    Virtuální síť Vyberte virtuální síť, kterou jste vytvořili v předchozím kroku.
    Podsíť Přijměte výchozí hodnotu 10.1.0.0/24.
    Veřejná IP adresa Přijměte výchozí hodnotu.
    Skupina zabezpečení sítě síťových adaptérů Přijmout výchozí základní
    Veřejné příchozí porty Vyberte výchozí povolit vybrané porty.
    Vyberte příchozí porty Vyberte HTTP 80, HTTPS (443) a RDP (3389)

    Poznámka:

    Adresy IPv4 se dají vyjádřit ve formátu CIDR . Nezapomeňte se vyhnout rozsahu IP adres vyhrazeným pro privátní sítě, jak je popsáno v dokumentu RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Vyberte Zkontrolovat a vytvořit pro ověření.

  7. Až se zobrazí zpráva o úspěšném ověření, vyberte Vytvořit.

Připojení k virtuálnímu počítači

Stáhněte a pak se připojte k virtuálnímu počítači následujícím způsobem:

  1. Na panelu hledání na webu Azure Portal vyhledejte virtuální počítač vytvořený v předchozím kroku.

  2. Vyberte Připojit. Po výběru tlačítka Připojit se otevře připojení k virtuálnímu počítači .

  3. Vyberte Stáhnout soubor RDP. Azure vytvoří soubor protokolu RDP (Remote Desktop Protocol) a stáhne ho do počítače.

  4. Otevřete stažený soubor .rdp .

    1. Pokud se zobrazí výzva, vyberte Připojit.

    2. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

      Poznámka:

      Možná budete muset vybrat Další volby>Použít jiný účet, abyste zadali přihlašovací údaje, které jste zadali při vytváření virtuálního počítače.

  5. Vyberte OK.

  6. Při přihlášení se může zobrazit upozornění na certifikát. Pokud se zobrazí upozornění na certifikát, vyberte Ano nebo Pokračovat.

  7. Jakmile se zobrazí plocha virtuálního počítače, minimalizujte ji, abyste se vrátili na místní plochu.

Testování připojení

V této části ověříte privátní síťový přístup k vyhledávací službě a privátní připojení k použití privátního koncového bodu.

Pokud je koncový bod vyhledávací služby privátní, některé funkce portálu jsou zakázané. Nastavení úrovně služeb můžete zobrazit a spravovat, ale přístup portálu k datům indexu a různým dalším komponentám služby, jako je index, indexer a definice sady dovedností, je z bezpečnostních důvodů omezený.

  1. Ve vzdálené ploše virtuálního počítače myVM otevřete PowerShell.

  2. Zadejte nslookup [search service name].search.windows.net.

    Zobrazí se zpráva podobná této:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Z virtuálního počítače se připojte k vyhledávací službě a vytvořte index. Pomocí tohoto rychlého startu můžete ve službě vytvořit nový index vyhledávání pomocí rozhraní REST API. Nastavení požadavků z testovacího nástroje webového rozhraní API vyžaduje koncový bod (https://[search service name].search.windows.net) vyhledávací služby a klíč api-key správce, který jste zkopírovali v předchozím kroku.

  4. Dokončením rychlého startu z virtuálního počítače potvrdíte, že služba je plně funkční.

  5. Zavřete připojení ke vzdálené ploše virtuálního počítače myVM.

  6. Pokud chcete ověřit, že vaše služba není přístupná na veřejném koncovém bodu, otevřete na místní pracovní stanici klienta REST a v rychlém startu zkuste provést několik prvních úloh. Pokud se zobrazí chyba, že vzdálený server neexistuje, úspěšně jste pro svou vyhledávací službu nakonfigurovali privátní koncový bod.

Použití webu Azure Portal pro přístup k privátní vyhledávací službě

Pokud je koncový bod vyhledávací služby privátní, některé funkce portálu jsou zakázané. Informace o úrovni služeb můžete zobrazit a spravovat, ale informace o indexu, indexeru a sadě dovedností jsou skryté z bezpečnostních důvodů.

Pokud chcete toto omezení obejít, připojte se k webu Azure Portal z prohlížeče na virtuálním počítači ve virtuální síti. Azure Portal používá privátní koncový bod připojení a poskytuje přehled o obsahu a operacích.

  1. Podle pokynů zřiďte virtuální počítač, který má přístup k vyhledávací službě prostřednictvím privátního koncového bodu.

  2. Na virtuálním počítači ve vaší virtuální síti otevřete prohlížeč a přihlaste se k webu Azure Portal. Azure Portal používá privátní koncový bod připojený k virtuálnímu počítači pro připojení k vaší vyhledávací službě.

Zakázání přístupu k veřejné síti

Vyhledávací službu můžete uzamknout, abyste ji zabránili v přijímání jakýchkoli požadavků z veřejného internetu. Pro tento krok můžete použít Azure Portal.

  1. Na webu Azure Portal v levém podokně stránky vyhledávací služby vyberte Sítě.

  2. Na kartě Brány firewall a virtuální sítě vyberte Zakázáno.

Můžete také použít Azure CLI, Azure PowerShell nebo rozhraní REST API pro správu nastavením public-access nebo public-network-access na disabled.

Vyčištění prostředků

Pokud pracujete s vlastním předplatným, je vhodné vždy na konci projektu zkontrolovat, jestli budete vytvořené prostředky ještě potřebovat. Prostředky, které necháte spuštěné, vás stojí peníze.

Můžete odstranit jednotlivé prostředky nebo skupinu prostředků a odstranit tak vše, co jste vytvořili v tomto cvičení. Na stránce přehledu libovolného prostředku vyberte skupinu prostředků a pak vyberte Odstranit.

Další krok

V tomto článku jste vytvořili virtuální počítač ve virtuální síti a vyhledávací službu s privátním koncovým bodem. Připojili jste se k virtuálnímu počítači z internetu a bezpečně jste komunikovali s vyhledávací službou pomocí služby Private Link. Další informace o privátních koncových bodech najdete v tématu Co je privátní koncový bod?