Een privé-eindpunt maken voor een beveiligde verbinding met Azure AI Search

In dit artikel wordt uitgelegd hoe u een privéverbinding met Azure AI Search configureert, zodat aanvragen van clients in een virtueel netwerk worden toegestaan in plaats van via een openbare internetverbinding:

• Een virtueel Azure-netwerk maken of een bestaand netwerk gebruiken
• Een zoekservice configureren voor het gebruik van een privé-eindpunt
• Een virtuele Azure-machine maken in hetzelfde virtuele netwerk
• Testen met behulp van een browsersessie op de virtuele machine

Andere Azure-resources die privé verbinding kunnen maken met Azure AI Search, omvatten Azure OpenAI voor scenario's voor het gebruik van uw eigen gegevens. Azure AI Foundry wordt niet uitgevoerd in een virtueel netwerk, maar kan worden geconfigureerd op de back-end om aanvragen via het Microsoft-backbonenetwerk te verzenden. De configuratie voor dit verkeerspatroon wordt door Microsoft ingeschakeld wanneer uw aanvraag wordt ingediend en goedgekeurd. Voor dit scenario:

• Volg de instructies in dit artikel om het privé-eindpunt in te stellen.
• Schakel de vertrouwde service van uw zoekresource in vanuit Azure Portal.
• Schakel optioneel openbare netwerktoegang uit als verbindingen alleen afkomstig moeten zijn van clients in een virtueel netwerk of van Azure OpenAI via een privé-eindpuntverbinding.

Belangrijke punten over privé-eindpunten

Privé-eindpunten worden geleverd door Azure Private Link, als een afzonderlijke factureerbare service. Zie prijzen voor Azure Private Link voor meer informatie over kosten.

Zodra een zoekservice een privé-eindpunt heeft, moet de portaltoegang tot die service worden gestart vanuit een browsersessie op een virtuele machine in het virtuele netwerk. Zie deze stap voor meer informatie.

U kunt een privé-eindpunt maken voor een zoekservice in Azure Portal, zoals beschreven in dit artikel. U kunt ook de REST API van Management, Azure PowerShell of de Azure CLI gebruiken.

Waarom een privé-eindpunt gebruiken?

Met privé-eindpunten voor Azure AI Search kan een client in een virtueel netwerk veilig toegang krijgen tot gegevens in een zoekindex via een Private Link. Het privé-eindpunt maakt gebruik van een IP-adres uit de adresruimte van het virtuele netwerk voor uw zoekservice. Netwerkverkeer tussen de client en de zoekservice loopt via het virtuele netwerk en een privékoppeling in het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd. Raadpleeg de beschikbaarheidssectie in de productdocumentatie voor een lijst met andere PaaS-services die Ondersteuning bieden voor Private Link.

Met privé-eindpunten voor uw zoekservice kunt u het volgende doen:

• Alle verbindingen op het openbare eindpunt voor uw zoekservice blokkeren.
• Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
• Maak veilig verbinding met uw zoekservice vanuit on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van VPN of ExpressRoutes met persoonlijke peering.

Het virtuele netwerk maken

In deze sectie maakt u een virtueel netwerk en subnet om de VIRTUELE machine te hosten die wordt gebruikt voor toegang tot het privé-eindpunt van uw zoekservice.

1. Selecteer op het tabblad Start van Azure Portal de optie Een virtueel netwerk voor resources>>maken.

2. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze:

   Instelling	Weergegeven als
   Abonnement	Selecteer uw abonnement
   Resourcegroep	Selecteer Nieuwe maken, voer een naam in, zoals myResourceGroup en selecteer VERVOLGENS OK
   Naam	Voer een naam in, zoals MyVirtualNetwork
   Regio	Een regio selecteren

3. Accepteer de standaardwaarden voor de rest van de instellingen. Selecteer Controleren en maken en vervolgens Maken.

Een zoekservice maken met een privé-eindpunt

In deze sectie maakt u een nieuwe Azure AI-Search-service met een privé-eindpunt.

1. Selecteer linksboven in het scherm in Azure Portal de optie Een resource-AI>en machine learning>AI Search maken.

2. Voer in Een zoekservice maken - Basisbeginselen de volgende waarden in of selecteer deze:

   Instelling	Weergegeven als
   PROJECTGEGEVENS
   Abonnement	Selecteer uw abonnement
   Resourcegroep	Gebruik de resourcegroep die u in de vorige stap hebt gemaakt
   INSTANTIEDETAILS
   URL	Voer een unieke naam in
   Locatie	Uw regio selecteren
   Prijscategorie	Selecteer Prijscategorie wijzigen en kies de gewenste servicelaag. Privé-eindpunten worden niet ondersteund in de gratis laag. U moet Basic of hoger selecteren.

3. Selecteer Volgende: Schalen.

4. Accepteer de standaardwaarden en selecteer Volgende: Netwerken.

5. Selecteer privé voor eindpuntconnectiviteit (gegevens) in Een zoekservice maken - Netwerken.

6. Selecteer + Toevoegen onder Privé-eindpunt.

7. Voer in Privé-eindpunt maken waarden in die uw zoekservice koppelen aan het virtuele netwerk dat u hebt gemaakt:

   Instelling	Weergegeven als
   Abonnement	Selecteer uw abonnement
   Resourcegroep	Gebruik de resourcegroep die u in de vorige stap hebt gemaakt
   Locatie	Een regio selecteren
   Naam	Voer een naam in, zoals myPrivateEndpoint
   Subresource van doel	Accepteer de standaardzoekservice
   NETWERKEN
   Virtueel netwerk	Selecteer het virtuele netwerk dat u in de vorige stap hebt gemaakt
   Subnet	Selecteer de standaardwaarde
   INTEGRATIE VAN PRIVÉ-DNS
   Integratie van Privé-DNS inschakelen	Het selectievakje inschakelen
   Privé-DNS-zone	Accepteer de standaard (nieuwe) privatelink.search.windows.net

8. Selecteer Toevoegen.

9. Selecteer Controleren + maken. De pagina Beoordelen en maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.

10. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

11. Zodra het inrichten van de nieuwe service is voltooid, bladert u naar de resource die u hebt gemaakt.

12. Selecteer Instellingensleutels> in het linkerinhoudsmenu.

13. Kopieer de primaire beheersleutel voor later gebruik wanneer u verbinding maakt met de service.

Maak een virtuele machine

1. Selecteer linksboven in het scherm in Azure Portal de optie Een virtuele machine voor het>berekenen> van resources maken.

2. Voer in Een virtuele machine maken - Basisbeginselen de volgende waarden in of selecteer deze:

   Instelling	Weergegeven als
   PROJECTGEGEVENS
   Abonnement	Selecteer uw abonnement
   Resourcegroep	Gebruik de resourcegroep die u in de vorige sectie hebt gemaakt
   INSTANTIEDETAILS
   Virtual machine name	Voer een naam in, zoals mijn vm
   Regio	Uw regio selecteren
   Beschikbaarheidsopties	U kunt geen infrastructuurredundantie kiezen of een andere optie selecteren als u de functionaliteit nodig hebt
   Afbeelding	Selecteer Windows Server 2022 Datacenter: Azure Edition - Gen2
   VM-architectuur	Accepteer de standaard x64
   Tekengrootte	Accepteer de standaard standard D2S v3
   ADMINISTRATOR-ACCOUNT
   Username	Voer de gebruikersnaam van de beheerder in. Gebruik een account dat geldig is voor uw Azure-abonnement. Meld u aan bij Azure Portal vanaf de VIRTUELE machine, zodat u uw zoekservice kunt beheren.
   Wachtwoord	Voer het accountwachtwoord in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten.
   Wachtwoord bevestigen	Voer het wachtwoord opnieuw in
   REGELS VOOR BINNENKOMENDE POORT
   Openbare poorten voor inkomend verkeer	De standaardpoorten toestaan accepteren
   Binnenkomende poorten selecteren	Accepteer de standaard-RDP (3389)

3. Selecteer Volgende: Schijven.

4. Accepteer in Een virtuele machine maken - Schijven de standaardwaarden en selecteer Volgende: Netwerken.

5. Geef in Een virtuele machine maken - Netwerken de volgende waarden op:

   Instelling	Weergegeven als
   Virtueel netwerk	Selecteer het virtuele netwerk dat u in een vorige stap hebt gemaakt
   Subnet	Accepteer de standaardwaarde 10.1.0.0/24
   Openbare IP	De standaardwaarde accepteren
   NIC-netwerkbeveiligingsgroep	De standaard basic accepteren
   Openbare poorten voor inkomend verkeer	Selecteer de standaard geselecteerde poorten toestaan
   Binnenkomende poorten selecteren	SELECTEER HTTP 80, HTTPS (443) en RDP (3389)

   Notitie

   IPv4-adressen kunnen worden uitgedrukt in CIDR-indeling . Vergeet niet om het IP-bereik te vermijden dat is gereserveerd voor privénetwerken, zoals beschreven in RFC 1918:

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. Selecteer Beoordelen en maken voor een validatiecontrole.

7. Als u het bericht Validatie geslaagd ziet, selecteert u Maken.

Verbinding maken met de VM

Download en maak vervolgens als volgt verbinding met de virtuele machine:

1. Zoek in de zoekbalk van Azure Portal naar de virtuele machine die u in de vorige stap hebt gemaakt.

2. Selecteer Verbinding maken. Na het selecteren van de knop Verbinden wordt Verbinden met virtuele machine geopend.

3. Selecteer RDP-bestand downloaden. Azure maakt een Remote Desktop Protocol-bestand (.rdp) en downloadt het bestand naar uw computer.

4. Open het gedownloade RDP-bestand.

   1. Selecteer Verbinding maken wanneer hierom wordt gevraagd.

   2. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine.

      Notitie

      Mogelijk moet u Meer opties>Een ander account gebruiken selecteren om de aanmeldingsgegevens op te geven die u hebt ingevoerd tijdens het maken van de VM.

5. Selecteer OK.

6. Er wordt mogelijk een certificaatwaarschuwing weergegeven tijdens het aanmelden. Als er een certificaatwaarschuwing wordt weergegeven, selecteert u Ja of Doorgaan.

7. Wanneer het VM-bureaublad wordt weergegeven, minimaliseert u het om terug te gaan naar het lokale bureaublad.

Verbindingen testen

In deze sectie controleert u de toegang van het privénetwerk tot de zoekservice en maakt u privé verbinding met het privé-eindpunt.

Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt instellingen voor serviceniveau weergeven en beheren, maar portaltoegang tot indexgegevens en verschillende andere onderdelen in de service, zoals de definitie van de index, indexeerfunctie en vaardighedenset, is om veiligheidsredenen beperkt.

1. Open PowerShell in het extern bureaublad van myVM.

2. Voer nslookup [search service name].search.windows.net in.

   U ontvangt een bericht dat er ongeveer als volgt uitziet:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. Maak vanuit de VIRTUELE machine verbinding met de zoekservice en maak een index. U kunt deze quickstart volgen om een nieuwe zoekindex in uw service te maken met behulp van de REST API. Voor het instellen van aanvragen van een web-API-testprogramma is het eindpunt (https://[search service name].search.windows.net) van de zoekservice en de api-sleutel van de beheerder vereist die u in een vorige stap hebt gekopieerd.

4. Het voltooien van de quickstart van de VIRTUELE machine is uw bevestiging dat de service volledig operationeel is.

5. Sluit de externe bureaubladverbinding met myVM.

6. Als u wilt controleren of uw service niet toegankelijk is op een openbaar eindpunt, opent u een REST-client op uw lokale werkstation en probeert u de eerste verschillende taken in de quickstart uit te voeren. Als er een foutbericht wordt weergegeven dat de externe server niet bestaat, hebt u een privé-eindpunt geconfigureerd voor uw zoekservice.

Azure Portal gebruiken om toegang te krijgen tot een privézoekservice

Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt informatie op serviceniveau weergeven en beheren, maar informatie over indexen, indexeerfuncties en vaardighedensets zijn om veiligheidsredenen verborgen.

Als u deze beperking wilt omzeilen, maakt u vanuit een browser op een virtuele machine in het virtuele netwerk verbinding met Azure Portal. Azure Portal maakt gebruik van het privé-eindpunt voor de verbinding en geeft u inzicht in inhoud en bewerkingen.

1. Volg de stappen om een VIRTUELE machine in te richten die toegang heeft tot de zoekservice via een privé-eindpunt.

2. Open op een virtuele machine in uw virtuele netwerk een browser en meld u aan bij Azure Portal. Azure Portal maakt gebruik van het privé-eindpunt dat is gekoppeld aan de virtuele machine om verbinding te maken met uw zoekservice.

Openbare netwerktoegang uitschakelen

U kunt een zoekservice vergrendelen om te voorkomen dat een verzoek van het openbare internet wordt toegegeven. U kunt De Azure-portal voor deze stap gebruiken.

1. Selecteer Netwerken in azure Portal in het meest linkse deelvenster van uw zoekservicepagina.

2. Selecteer Uitgeschakeld op het tabblad Firewalls en virtuele netwerken .

U kunt ook de Azure CLI, Azure PowerShell of de REST API voor beheer gebruiken door deze in of in te disabledstellenpublic-access.public-network-access

Resources opschonen

Wanneer u in uw eigen abonnement werkt, is het een goed idee om aan het einde van een project te bepalen of u de gemaakte resources nog nodig hebt. Resources die actief blijven, kunnen u geld kosten.

U kunt afzonderlijke resources of de resourcegroep verwijderen om alles te verwijderen dat u in deze oefening hebt gemaakt. Selecteer de resourcegroep op de overzichtspagina van een resource en selecteer vervolgens Verwijderen.

Volgende stap

In dit artikel hebt u een virtuele machine gemaakt in een virtueel netwerk en een zoekservice met een privé-eindpunt. U hebt via internet verbinding gemaakt met de virtuele machine en veilig met de zoekservice gecommuniceerd via Private Link. Zie Wat is een privé-eindpunt voor meer informatie over privé-eindpunten?