Zalecane ustawienia izolacji sieci
Wykonaj poniższe kroki, aby ograniczyć dostęp publiczny do zasobów usługi QnA Maker. Chroń zasób usług Azure AI przed dostępem publicznym, konfigurując sieć wirtualną.
Uwaga
Usługa QnA Maker jest wycofywana 31 marca 2025 r. Nowsza wersja funkcji pytań i odpowiedzi jest teraz dostępna w ramach języka sztucznej inteligencji platformy Azure. Aby uzyskać odpowiedzi na pytania w usłudze językowej, zobacz odpowiadanie na pytania. Od 1 października 2022 r. nie będzie można tworzyć nowych zasobów usługi QnA Maker. Aby uzyskać informacje na temat migrowania istniejących baza wiedzy usługi QnA Maker do odpowiadania na pytania, zapoznaj się z przewodnikiem migracji.
Ograniczanie dostępu do usługi App Service (środowisko uruchomieniowe QnA)
Za pomocą elementu ServiceTag CognitiveServicesMangement
można ograniczyć dostęp przychodzący do sieciowej grupy zabezpieczeń usługi App Service lub środowiska ASE (App Service Environment). Więcej informacji na temat tagów usług można znaleźć w artykule dotyczącym tagów usługi sieci wirtualnej.
Zwykła usługa App Service
- Otwórz usługę Cloud Shell (PowerShell) w witrynie Azure Portal.
- Uruchom następujące polecenie w oknie programu PowerShell w dolnej części strony:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"
Sprawdź, czy dodano regułę dostępu znajduje się w sekcji Ograniczenia dostępu na karcie Sieć :
Aby uzyskać dostęp do okienka Test w https://qnamaker.ai portalu, dodaj publiczny adres IP maszyny, z której chcesz uzyskać dostęp do portalu. Na stronie Ograniczenia dostępu wybierz pozycję Dodaj regułę i zezwól na dostęp do adresu IP klienta.
Dostęp wychodzący z usługi App Service
Usługa App Service usługi QnA Maker wymaga dostępu wychodzącego do poniższego punktu końcowego. Upewnij się, że został dodany do listy dozwolonych, jeśli istnieją jakiekolwiek ograniczenia dotyczące ruchu wychodzącego.
Konfigurowanie środowiska App Service Environment do hostowania usługi App Service usługi QnA Maker
Środowisko App Service Environment (ASE) może służyć do hostowania wystąpienia usługi App Service usługi QnA Maker. Wykonaj poniższe kroki:
Utwórz nowy zasób usługi Azure AI Search.
Tworzenie zewnętrznego środowiska ASE przy użyciu usługi App Service.
- Postępuj zgodnie z instrukcjami w tym przewodniku Szybki start usługi App Service. Ten proces może potrwać do 1–2 godzin.
- Na koniec będziesz mieć punkt końcowy usługi App Service, który będzie wyglądać podobnie do:
https://<app service name>.<ASE name>.p.azurewebsite.net
. - Przykład:
https:// mywebsite.myase.p.azurewebsite.net
Dodaj następujące konfiguracje usługi App Service:
Nazwa/nazwisko Wartość PrimaryEndpointKey <app service name>-PrimaryEndpointKey
AzureSearchName <Azure AI Search Resource Name from step #1>
AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
QNAMAKER_EXTENSION_VERSION latest
DefaultAnswer no answer found
Dodaj źródło mechanizmu CORS "*" w usłudze App Service, aby zezwolić na dostęp do https://qnamaker.ai okienka testowego portalu. Mechanizm CORS znajduje się w nagłówku interfejsu API w okienku usługi App Service.
Utwórz wystąpienie usług azure AI usługi QnA Maker (Microsoft.CognitiveServices/accounts) przy użyciu usługi Azure Resource Manager. Punkt końcowy usługi QnA Maker powinien być ustawiony na punkt końcowy usługi App Service utworzony powyżej (
https:// mywebsite.myase.p.azurewebsite.net
). Oto przykładowy szablon usługi Azure Resource Manager, którego można użyć do celów referencyjnych.
Powiązane pytania
Czy usługa QnA Maker może zostać wdrożona w wewnętrznym środowisku ASE?
Głównym powodem używania zewnętrznego środowiska ASE jest to, że zaplecze usługi QnAMaker (interfejsy API tworzenia) może uzyskać dostęp do usługi App Service za pośrednictwem Internetu. Jednak nadal można go chronić, dodając ograniczenie dostępu przychodzącego, aby zezwolić tylko na połączenia z adresami skojarzonymi z tagiem CognitiveServicesManagement
usługi.
Jeśli nadal chcesz użyć wewnętrznego środowiska ASE, musisz uwidocznić określoną aplikację QnA Maker w środowisku ASE w domenie publicznej za pośrednictwem certyfikatu TLS/SSL bramy aplikacji. Aby uzyskać więcej informacji, zobacz ten artykuł dotyczący wdrażania usług App Services w przedsiębiorstwie.
Ograniczanie dostępu do zasobu usługi Cognitive Search
Wystąpienie usługi Cognitive Search można odizolować za pośrednictwem prywatnego punktu końcowego po utworzeniu zasobów usługi QnA Maker. Aby zablokować dostęp, wykonaj następujące czynności:
Utwórz nową sieć wirtualną lub użyj istniejącej sieci wirtualnej środowiska ASE (App Service Environment).
Otwórz zasób sieci wirtualnej, a następnie na karcie Podsieci utwórz dwie podsieci . Jedna dla usługi App Service (appservicesubnet) i innej podsieci (searchservicesubnet) dla zasobu usługi Cognitive Search bez delegowania.
Na karcie Sieć w wystąpieniu usługi Cognitive usługa wyszukiwania przełącz dane łączności punktu końcowego z publicznego na prywatny. Ta operacja jest długotrwałym procesem i może potrwać do 30 minut .
Po przełączeniu zasobu wyszukiwania na prywatny wybierz pozycję Dodaj prywatny punkt końcowy.
- Karta Podstawy: upewnij się, że tworzysz punkt końcowy w tym samym regionie co zasób wyszukiwania.
- Karta Zasób: wybierz wymagany zasób wyszukiwania typu
Microsoft.Search/searchServices
.
- Karta Konfiguracja: użyj sieci wirtualnej, podsieci (searchservicesubnet) utworzonej w kroku 2. Następnie w sekcji Prywatna strefa DNS integracji wybierz odpowiednią subskrypcję i utwórz nową prywatną strefę DNS o nazwie privatelink.search.windows.net.
Włącz integrację z siecią wirtualną dla zwykłej usługi App Service. Możesz pominąć ten krok dla środowiska ASE, ponieważ ma on już dostęp do sieci wirtualnej.
- Przejdź do sekcji Sieć usługi App Service i otwórz pozycję Integracja z siecią wirtualną.
- Połącz z dedykowaną siecią wirtualną usługi App Service, podsiecią (appservicevnet) utworzoną w kroku 2.
Utwórz prywatne punkty końcowe do zasobu usługi Azure Search.
Wykonaj poniższe kroki, aby ograniczyć dostęp publiczny do zasobów usługi QnA Maker. Chroń zasób usług Azure AI przed dostępem publicznym, konfigurując sieć wirtualną.
Po ograniczeniu dostępu do zasobu usługi Azure AI na podstawie sieci wirtualnej, aby przeglądać bazy wiedzy w https://qnamaker.ai portalu z sieci lokalnej lub przeglądarki lokalnej.
Udzielanie dostępu do sieci lokalnej.
Udziel dostępu do lokalnej przeglądarki/komputera.
Dodaj publiczny adres IP maszyny w sekcji Zapora na karcie Sieć. Domyślnie
portal.azure.com
jest wyświetlany publiczny adres IP bieżącego komputera przeglądania (wybierz ten wpis), a następnie wybierz pozycję Zapisz.