Delen via


Een privé-eindpunt maken voor een beveiligde verbinding met Azure AI Search

In dit artikel wordt uitgelegd hoe u een privéverbinding met Azure AI Search configureert, zodat aanvragen van clients in een virtueel netwerk worden toegestaan in plaats van via een openbare internetverbinding:

Andere Azure-resources die privé verbinding kunnen maken met Azure AI Search, omvatten Azure OpenAI voor scenario's voor het gebruik van uw eigen gegevens. Azure AI Foundry wordt niet uitgevoerd in een virtueel netwerk, maar kan worden geconfigureerd op de back-end om aanvragen via het Microsoft-backbonenetwerk te verzenden. De configuratie voor dit verkeerspatroon wordt door Microsoft ingeschakeld wanneer uw aanvraag wordt ingediend en goedgekeurd. Voor dit scenario:

Belangrijke punten over privé-eindpunten

Privé-eindpunten worden geleverd door Azure Private Link, als een afzonderlijke factureerbare service. Zie prijzen voor Azure Private Link voor meer informatie over kosten.

Zodra een zoekservice een privé-eindpunt heeft, moet de portaltoegang tot die service worden gestart vanuit een browsersessie op een virtuele machine in het virtuele netwerk. Zie deze stap voor meer informatie.

U kunt een privé-eindpunt maken voor een zoekservice in Azure Portal, zoals beschreven in dit artikel. U kunt ook de REST API van Management, Azure PowerShell of de Azure CLI gebruiken.

Waarom een privé-eindpunt gebruiken?

Met privé-eindpunten voor Azure AI Search kan een client in een virtueel netwerk veilig toegang krijgen tot gegevens in een zoekindex via een Private Link. Het privé-eindpunt maakt gebruik van een IP-adres uit de adresruimte van het virtuele netwerk voor uw zoekservice. Netwerkverkeer tussen de client en de zoekservice loopt via het virtuele netwerk en een privékoppeling in het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd. Raadpleeg de beschikbaarheidssectie in de productdocumentatie voor een lijst met andere PaaS-services die Ondersteuning bieden voor Private Link.

Met privé-eindpunten voor uw zoekservice kunt u het volgende doen:

  • Alle verbindingen op het openbare eindpunt voor uw zoekservice blokkeren.
  • Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
  • Maak veilig verbinding met uw zoekservice vanuit on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van VPN of ExpressRoutes met persoonlijke peering.

Het virtuele netwerk maken

In deze sectie maakt u een virtueel netwerk en subnet om de VIRTUELE machine te hosten die wordt gebruikt voor toegang tot het privé-eindpunt van uw zoekservice.

  1. Selecteer op het tabblad Start van Azure Portal de optie Een virtueel netwerk voor resources>>maken.

  2. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer Nieuwe maken, voer een naam in, zoals myResourceGroup en selecteer VERVOLGENS OK
    Naam Voer een naam in, zoals MyVirtualNetwork
    Regio Een regio selecteren
  3. Accepteer de standaardwaarden voor de rest van de instellingen. Selecteer Controleren en maken en vervolgens Maken.

Een zoekservice maken met een privé-eindpunt

In deze sectie maakt u een nieuwe Azure AI-Search-service met een privé-eindpunt.

  1. Selecteer linksboven in het scherm in Azure Portal de optie Een resource-AI>en machine learning>AI Search maken.

  2. Voer in Een zoekservice maken - Basisbeginselen de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    PROJECTGEGEVENS
    Abonnement Selecteer uw abonnement
    Resourcegroep Gebruik de resourcegroep die u in de vorige stap hebt gemaakt
    INSTANTIEDETAILS
    URL Voer een unieke naam in
    Locatie Uw regio selecteren
    Prijscategorie Selecteer Prijscategorie wijzigen en kies de gewenste servicelaag. Privé-eindpunten worden niet ondersteund in de gratis laag. U moet Basic of hoger selecteren.
  3. Selecteer Volgende: Schalen.

  4. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.

  5. Selecteer privé voor eindpuntconnectiviteit (gegevens) in Een zoekservice maken - Netwerken.

  6. Selecteer + Toevoegen onder Privé-eindpunt.

  7. Voer in Privé-eindpunt maken waarden in die uw zoekservice koppelen aan het virtuele netwerk dat u hebt gemaakt:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement
    Resourcegroep Gebruik de resourcegroep die u in de vorige stap hebt gemaakt
    Locatie Een regio selecteren
    Naam Voer een naam in, zoals myPrivateEndpoint
    Subresource van doel Accepteer de standaardzoekservice
    NETWERKEN
    Virtueel netwerk Selecteer het virtuele netwerk dat u in de vorige stap hebt gemaakt
    Subnet Selecteer de standaardwaarde
    INTEGRATIE VAN PRIVÉ-DNS
    Integratie van Privé-DNS inschakelen Het selectievakje inschakelen
    Privé-DNS-zone Accepteer de standaard (nieuwe) privatelink.search.windows.net
  8. Selecteer Toevoegen.

  9. Selecteer Controleren + maken. De pagina Beoordelen en maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.

  10. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

  11. Zodra het inrichten van de nieuwe service is voltooid, bladert u naar de resource die u hebt gemaakt.

  12. Selecteer Instellingensleutels> in het linkerinhoudsmenu.

  13. Kopieer de primaire beheersleutel voor later gebruik wanneer u verbinding maakt met de service.

Maak een virtuele machine

  1. Selecteer linksboven in het scherm in Azure Portal de optie Een virtuele machine voor het>berekenen> van resources maken.

  2. Voer in Een virtuele machine maken - Basisbeginselen de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    PROJECTGEGEVENS
    Abonnement Selecteer uw abonnement
    Resourcegroep Gebruik de resourcegroep die u in de vorige sectie hebt gemaakt
    INSTANTIEDETAILS
    Virtual machine name Voer een naam in, zoals mijn vm
    Regio Uw regio selecteren
    Beschikbaarheidsopties U kunt geen infrastructuurredundantie kiezen of een andere optie selecteren als u de functionaliteit nodig hebt
    Afbeelding Selecteer Windows Server 2022 Datacenter: Azure Edition - Gen2
    VM-architectuur Accepteer de standaard x64
    Tekengrootte Accepteer de standaard standard D2S v3
    ADMINISTRATOR-ACCOUNT
    Username Voer de gebruikersnaam van de beheerder in. Gebruik een account dat geldig is voor uw Azure-abonnement. Meld u aan bij Azure Portal vanaf de VIRTUELE machine, zodat u uw zoekservice kunt beheren.
    Wachtwoord Voer het accountwachtwoord in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in
    REGELS VOOR BINNENKOMENDE POORT
    Openbare poorten voor inkomend verkeer De standaardpoorten toestaan accepteren
    Binnenkomende poorten selecteren Accepteer de standaard-RDP (3389)
  3. Selecteer Volgende: Schijven.

  4. Accepteer in Een virtuele machine maken - Schijven de standaardwaarden en selecteer Volgende: Netwerken.

  5. Geef in Een virtuele machine maken - Netwerken de volgende waarden op:

    Instelling Weergegeven als
    Virtueel netwerk Selecteer het virtuele netwerk dat u in een vorige stap hebt gemaakt
    Subnet Accepteer de standaardwaarde 10.1.0.0/24
    Openbare IP De standaardwaarde accepteren
    NIC-netwerkbeveiligingsgroep De standaard basic accepteren
    Openbare poorten voor inkomend verkeer Selecteer de standaard geselecteerde poorten toestaan
    Binnenkomende poorten selecteren SELECTEER HTTP 80, HTTPS (443) en RDP (3389)

    Notitie

    IPv4-adressen kunnen worden uitgedrukt in CIDR-indeling . Vergeet niet om het IP-bereik te vermijden dat is gereserveerd voor privénetwerken, zoals beschreven in RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Selecteer Beoordelen en maken voor een validatiecontrole.

  7. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

Verbinding maken met de VM

Download en maak vervolgens als volgt verbinding met de virtuele machine:

  1. Zoek in de zoekbalk van Azure Portal naar de virtuele machine die u in de vorige stap hebt gemaakt.

  2. Selecteer Verbinding maken. Na het selecteren van de knop Verbinden wordt Verbinden met virtuele machine geopend.

  3. Selecteer RDP-bestand downloaden. Azure maakt een Remote Desktop Protocol-bestand (.rdp) en downloadt het bestand naar uw computer.

  4. Open het gedownloade RDP-bestand.

    1. Selecteer Verbinding maken wanneer hierom wordt gevraagd.

    2. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine.

      Notitie

      Mogelijk moet u Meer opties>Een ander account gebruiken selecteren om de aanmeldingsgegevens op te geven die u hebt ingevoerd tijdens het maken van de VM.

  5. Selecteer OK.

  6. Er wordt mogelijk een certificaatwaarschuwing weergegeven tijdens het aanmelden. Als er een certificaatwaarschuwing wordt weergegeven, selecteert u Ja of Doorgaan.

  7. Wanneer het VM-bureaublad wordt weergegeven, minimaliseert u het om terug te gaan naar het lokale bureaublad.

Verbindingen testen

In deze sectie controleert u de toegang van het privénetwerk tot de zoekservice en maakt u privé verbinding met het privé-eindpunt.

Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt instellingen voor serviceniveau weergeven en beheren, maar portaltoegang tot indexgegevens en verschillende andere onderdelen in de service, zoals de definitie van de index, indexeerfunctie en vaardighedenset, is om veiligheidsredenen beperkt.

  1. Open PowerShell in het extern bureaublad van myVM.

  2. Voer nslookup [search service name].search.windows.net in.

    U ontvangt een bericht dat er ongeveer als volgt uitziet:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. Maak vanuit de VIRTUELE machine verbinding met de zoekservice en maak een index. U kunt deze quickstart volgen om een nieuwe zoekindex in uw service te maken met behulp van de REST API. Voor het instellen van aanvragen van een web-API-testprogramma is het eindpunt (https://[search service name].search.windows.net) van de zoekservice en de api-sleutel van de beheerder vereist die u in een vorige stap hebt gekopieerd.

  4. Het voltooien van de quickstart van de VIRTUELE machine is uw bevestiging dat de service volledig operationeel is.

  5. Sluit de externe bureaubladverbinding met myVM.

  6. Als u wilt controleren of uw service niet toegankelijk is op een openbaar eindpunt, opent u een REST-client op uw lokale werkstation en probeert u de eerste verschillende taken in de quickstart uit te voeren. Als er een foutbericht wordt weergegeven dat de externe server niet bestaat, hebt u een privé-eindpunt geconfigureerd voor uw zoekservice.

Azure Portal gebruiken om toegang te krijgen tot een privézoekservice

Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt informatie op serviceniveau weergeven en beheren, maar informatie over indexen, indexeerfuncties en vaardighedensets zijn om veiligheidsredenen verborgen.

Als u deze beperking wilt omzeilen, maakt u vanuit een browser op een virtuele machine in het virtuele netwerk verbinding met Azure Portal. Azure Portal maakt gebruik van het privé-eindpunt voor de verbinding en geeft u inzicht in inhoud en bewerkingen.

  1. Volg de stappen om een VIRTUELE machine in te richten die toegang heeft tot de zoekservice via een privé-eindpunt.

  2. Open op een virtuele machine in uw virtuele netwerk een browser en meld u aan bij Azure Portal. Azure Portal maakt gebruik van het privé-eindpunt dat is gekoppeld aan de virtuele machine om verbinding te maken met uw zoekservice.

Openbare netwerktoegang uitschakelen

U kunt een zoekservice vergrendelen om te voorkomen dat een verzoek van het openbare internet wordt toegegeven. U kunt De Azure-portal voor deze stap gebruiken.

  1. Selecteer Netwerken in azure Portal in het meest linkse deelvenster van uw zoekservicepagina.

  2. Selecteer Uitgeschakeld op het tabblad Firewalls en virtuele netwerken .

U kunt ook de Azure CLI, Azure PowerShell of de REST API voor beheer gebruiken door deze in of in te disabledstellenpublic-access.public-network-access

Resources opschonen

Wanneer u in uw eigen abonnement werkt, is het een goed idee om aan het einde van een project te bepalen of u de gemaakte resources nog nodig hebt. Resources die actief blijven, kunnen u geld kosten.

U kunt afzonderlijke resources of de resourcegroep verwijderen om alles te verwijderen dat u in deze oefening hebt gemaakt. Selecteer de resourcegroep op de overzichtspagina van een resource en selecteer vervolgens Verwijderen.

Volgende stap

In dit artikel hebt u een virtuele machine gemaakt in een virtueel netwerk en een zoekservice met een privé-eindpunt. U hebt via internet verbinding gemaakt met de virtuele machine en veilig met de zoekservice gecommuniceerd via Private Link. Zie Wat is een privé-eindpunt voor meer informatie over privé-eindpunten?