Een privé-eindpunt maken voor een beveiligde verbinding met Azure AI Search
In dit artikel wordt uitgelegd hoe u een privéverbinding met Azure AI Search configureert, zodat aanvragen van clients in een virtueel netwerk worden toegestaan in plaats van via een openbare internetverbinding:
- Een virtueel Azure-netwerk maken of een bestaand netwerk gebruiken
- Een zoekservice configureren voor het gebruik van een privé-eindpunt
- Een virtuele Azure-machine maken in hetzelfde virtuele netwerk
- Testen met behulp van een browsersessie op de virtuele machine
Andere Azure-resources die privé verbinding kunnen maken met Azure AI Search, omvatten Azure OpenAI voor scenario's voor het gebruik van uw eigen gegevens. Azure AI Foundry wordt niet uitgevoerd in een virtueel netwerk, maar kan worden geconfigureerd op de back-end om aanvragen via het Microsoft-backbonenetwerk te verzenden. De configuratie voor dit verkeerspatroon wordt door Microsoft ingeschakeld wanneer uw aanvraag wordt ingediend en goedgekeurd. Voor dit scenario:
- Volg de instructies in dit artikel om het privé-eindpunt in te stellen.
- Schakel de vertrouwde service van uw zoekresource in vanuit Azure Portal.
- Schakel optioneel openbare netwerktoegang uit als verbindingen alleen afkomstig moeten zijn van clients in een virtueel netwerk of van Azure OpenAI via een privé-eindpuntverbinding.
Belangrijke punten over privé-eindpunten
Privé-eindpunten worden geleverd door Azure Private Link, als een afzonderlijke factureerbare service. Zie prijzen voor Azure Private Link voor meer informatie over kosten.
Zodra een zoekservice een privé-eindpunt heeft, moet de portaltoegang tot die service worden gestart vanuit een browsersessie op een virtuele machine in het virtuele netwerk. Zie deze stap voor meer informatie.
U kunt een privé-eindpunt maken voor een zoekservice in Azure Portal, zoals beschreven in dit artikel. U kunt ook de REST API van Management, Azure PowerShell of de Azure CLI gebruiken.
Waarom een privé-eindpunt gebruiken?
Met privé-eindpunten voor Azure AI Search kan een client in een virtueel netwerk veilig toegang krijgen tot gegevens in een zoekindex via een Private Link. Het privé-eindpunt maakt gebruik van een IP-adres uit de adresruimte van het virtuele netwerk voor uw zoekservice. Netwerkverkeer tussen de client en de zoekservice loopt via het virtuele netwerk en een privékoppeling in het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd. Raadpleeg de beschikbaarheidssectie in de productdocumentatie voor een lijst met andere PaaS-services die Ondersteuning bieden voor Private Link.
Met privé-eindpunten voor uw zoekservice kunt u het volgende doen:
- Alle verbindingen op het openbare eindpunt voor uw zoekservice blokkeren.
- Verhoog de beveiliging voor het virtuele netwerk door exfiltratie van gegevens uit het virtuele netwerk te blokkeren.
- Maak veilig verbinding met uw zoekservice vanuit on-premises netwerken die verbinding maken met het virtuele netwerk met behulp van VPN of ExpressRoutes met persoonlijke peering.
Het virtuele netwerk maken
In deze sectie maakt u een virtueel netwerk en subnet om de VIRTUELE machine te hosten die wordt gebruikt voor toegang tot het privé-eindpunt van uw zoekservice.
Selecteer op het tabblad Start van Azure Portal de optie Een virtueel netwerk voor resources>>maken.
Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze:
Instelling Weergegeven als Abonnement Selecteer uw abonnement Resourcegroep Selecteer Nieuwe maken, voer een naam in, zoals myResourceGroup en selecteer VERVOLGENS OK Naam Voer een naam in, zoals MyVirtualNetwork Regio Een regio selecteren Accepteer de standaardwaarden voor de rest van de instellingen. Selecteer Controleren en maken en vervolgens Maken.
Een zoekservice maken met een privé-eindpunt
In deze sectie maakt u een nieuwe Azure AI-Search-service met een privé-eindpunt.
Selecteer linksboven in het scherm in Azure Portal de optie Een resource-AI>en machine learning>AI Search maken.
Voer in Een zoekservice maken - Basisbeginselen de volgende waarden in of selecteer deze:
Instelling Weergegeven als PROJECTGEGEVENS Abonnement Selecteer uw abonnement Resourcegroep Gebruik de resourcegroep die u in de vorige stap hebt gemaakt INSTANTIEDETAILS URL Voer een unieke naam in Locatie Uw regio selecteren Prijscategorie Selecteer Prijscategorie wijzigen en kies de gewenste servicelaag. Privé-eindpunten worden niet ondersteund in de gratis laag. U moet Basic of hoger selecteren. Selecteer Volgende: Schalen.
Accepteer de standaardwaarden en selecteer Volgende: Netwerken.
Selecteer privé voor eindpuntconnectiviteit (gegevens) in Een zoekservice maken - Netwerken.
Selecteer + Toevoegen onder Privé-eindpunt.
Voer in Privé-eindpunt maken waarden in die uw zoekservice koppelen aan het virtuele netwerk dat u hebt gemaakt:
Instelling Weergegeven als Abonnement Selecteer uw abonnement Resourcegroep Gebruik de resourcegroep die u in de vorige stap hebt gemaakt Locatie Een regio selecteren Naam Voer een naam in, zoals myPrivateEndpoint Subresource van doel Accepteer de standaardzoekservice NETWERKEN Virtueel netwerk Selecteer het virtuele netwerk dat u in de vorige stap hebt gemaakt Subnet Selecteer de standaardwaarde INTEGRATIE VAN PRIVÉ-DNS Integratie van Privé-DNS inschakelen Het selectievakje inschakelen Privé-DNS-zone Accepteer de standaard (nieuwe) privatelink.search.windows.net Selecteer Toevoegen.
Selecteer Controleren + maken. De pagina Beoordelen en maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.
Als u het bericht Validatie geslaagd ziet, selecteert u Maken.
Zodra het inrichten van de nieuwe service is voltooid, bladert u naar de resource die u hebt gemaakt.
Selecteer Instellingensleutels> in het linkerinhoudsmenu.
Kopieer de primaire beheersleutel voor later gebruik wanneer u verbinding maakt met de service.
Maak een virtuele machine
Selecteer linksboven in het scherm in Azure Portal de optie Een virtuele machine voor het>berekenen> van resources maken.
Voer in Een virtuele machine maken - Basisbeginselen de volgende waarden in of selecteer deze:
Instelling Weergegeven als PROJECTGEGEVENS Abonnement Selecteer uw abonnement Resourcegroep Gebruik de resourcegroep die u in de vorige sectie hebt gemaakt INSTANTIEDETAILS Virtual machine name Voer een naam in, zoals mijn vm Regio Uw regio selecteren Beschikbaarheidsopties U kunt geen infrastructuurredundantie kiezen of een andere optie selecteren als u de functionaliteit nodig hebt Afbeelding Selecteer Windows Server 2022 Datacenter: Azure Edition - Gen2 VM-architectuur Accepteer de standaard x64 Tekengrootte Accepteer de standaard standard D2S v3 ADMINISTRATOR-ACCOUNT Username Voer de gebruikersnaam van de beheerder in. Gebruik een account dat geldig is voor uw Azure-abonnement. Meld u aan bij Azure Portal vanaf de VIRTUELE machine, zodat u uw zoekservice kunt beheren. Wachtwoord Voer het accountwachtwoord in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten. Wachtwoord bevestigen Voer het wachtwoord opnieuw in REGELS VOOR BINNENKOMENDE POORT Openbare poorten voor inkomend verkeer De standaardpoorten toestaan accepteren Binnenkomende poorten selecteren Accepteer de standaard-RDP (3389) Selecteer Volgende: Schijven.
Accepteer in Een virtuele machine maken - Schijven de standaardwaarden en selecteer Volgende: Netwerken.
Geef in Een virtuele machine maken - Netwerken de volgende waarden op:
Instelling Weergegeven als Virtueel netwerk Selecteer het virtuele netwerk dat u in een vorige stap hebt gemaakt Subnet Accepteer de standaardwaarde 10.1.0.0/24 Openbare IP De standaardwaarde accepteren NIC-netwerkbeveiligingsgroep De standaard basic accepteren Openbare poorten voor inkomend verkeer Selecteer de standaard geselecteerde poorten toestaan Binnenkomende poorten selecteren SELECTEER HTTP 80, HTTPS (443) en RDP (3389) Notitie
IPv4-adressen kunnen worden uitgedrukt in CIDR-indeling . Vergeet niet om het IP-bereik te vermijden dat is gereserveerd voor privénetwerken, zoals beschreven in RFC 1918:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Selecteer Beoordelen en maken voor een validatiecontrole.
Als u het bericht Validatie geslaagd ziet, selecteert u Maken.
Verbinding maken met de VM
Download en maak vervolgens als volgt verbinding met de virtuele machine:
Zoek in de zoekbalk van Azure Portal naar de virtuele machine die u in de vorige stap hebt gemaakt.
Selecteer Verbinding maken. Na het selecteren van de knop Verbinden wordt Verbinden met virtuele machine geopend.
Selecteer RDP-bestand downloaden. Azure maakt een Remote Desktop Protocol-bestand (.rdp) en downloadt het bestand naar uw computer.
Open het gedownloade RDP-bestand.
Selecteer Verbinding maken wanneer hierom wordt gevraagd.
Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine.
Notitie
Mogelijk moet u Meer opties>Een ander account gebruiken selecteren om de aanmeldingsgegevens op te geven die u hebt ingevoerd tijdens het maken van de VM.
Selecteer OK.
Er wordt mogelijk een certificaatwaarschuwing weergegeven tijdens het aanmelden. Als er een certificaatwaarschuwing wordt weergegeven, selecteert u Ja of Doorgaan.
Wanneer het VM-bureaublad wordt weergegeven, minimaliseert u het om terug te gaan naar het lokale bureaublad.
Verbindingen testen
In deze sectie controleert u de toegang van het privénetwerk tot de zoekservice en maakt u privé verbinding met het privé-eindpunt.
Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt instellingen voor serviceniveau weergeven en beheren, maar portaltoegang tot indexgegevens en verschillende andere onderdelen in de service, zoals de definitie van de index, indexeerfunctie en vaardighedenset, is om veiligheidsredenen beperkt.
Open PowerShell in het extern bureaublad van myVM.
Voer
nslookup [search service name].search.windows.net
in.U ontvangt een bericht dat er ongeveer als volgt uitziet:
Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: [search service name].privatelink.search.windows.net Address: 10.0.0.5 Aliases: [search service name].search.windows.net
Maak vanuit de VIRTUELE machine verbinding met de zoekservice en maak een index. U kunt deze quickstart volgen om een nieuwe zoekindex in uw service te maken met behulp van de REST API. Voor het instellen van aanvragen van een web-API-testprogramma is het eindpunt
(https://[search service name].search.windows.net)
van de zoekservice en de api-sleutel van de beheerder vereist die u in een vorige stap hebt gekopieerd.Het voltooien van de quickstart van de VIRTUELE machine is uw bevestiging dat de service volledig operationeel is.
Sluit de externe bureaubladverbinding met myVM.
Als u wilt controleren of uw service niet toegankelijk is op een openbaar eindpunt, opent u een REST-client op uw lokale werkstation en probeert u de eerste verschillende taken in de quickstart uit te voeren. Als er een foutbericht wordt weergegeven dat de externe server niet bestaat, hebt u een privé-eindpunt geconfigureerd voor uw zoekservice.
Azure Portal gebruiken om toegang te krijgen tot een privézoekservice
Wanneer het eindpunt van de zoekservice privé is, worden sommige portalfuncties uitgeschakeld. U kunt informatie op serviceniveau weergeven en beheren, maar informatie over indexen, indexeerfuncties en vaardighedensets zijn om veiligheidsredenen verborgen.
Als u deze beperking wilt omzeilen, maakt u vanuit een browser op een virtuele machine in het virtuele netwerk verbinding met Azure Portal. Azure Portal maakt gebruik van het privé-eindpunt voor de verbinding en geeft u inzicht in inhoud en bewerkingen.
Open op een virtuele machine in uw virtuele netwerk een browser en meld u aan bij Azure Portal. Azure Portal maakt gebruik van het privé-eindpunt dat is gekoppeld aan de virtuele machine om verbinding te maken met uw zoekservice.
Openbare netwerktoegang uitschakelen
U kunt een zoekservice vergrendelen om te voorkomen dat een verzoek van het openbare internet wordt toegegeven. U kunt De Azure-portal voor deze stap gebruiken.
Selecteer Netwerken in azure Portal in het meest linkse deelvenster van uw zoekservicepagina.
Selecteer Uitgeschakeld op het tabblad Firewalls en virtuele netwerken .
U kunt ook de Azure CLI, Azure PowerShell of de REST API voor beheer gebruiken door deze in of in te disabled
stellenpublic-access
.public-network-access
Resources opschonen
Wanneer u in uw eigen abonnement werkt, is het een goed idee om aan het einde van een project te bepalen of u de gemaakte resources nog nodig hebt. Resources die actief blijven, kunnen u geld kosten.
U kunt afzonderlijke resources of de resourcegroep verwijderen om alles te verwijderen dat u in deze oefening hebt gemaakt. Selecteer de resourcegroep op de overzichtspagina van een resource en selecteer vervolgens Verwijderen.
Volgende stap
In dit artikel hebt u een virtuele machine gemaakt in een virtueel netwerk en een zoekservice met een privé-eindpunt. U hebt via internet verbinding gemaakt met de virtuele machine en veilig met de zoekservice gecommuniceerd via Private Link. Zie Wat is een privé-eindpunt voor meer informatie over privé-eindpunten?