Compartilhar via

Criar um ponto de extremidade privado para uma conexão segura com a Pesquisa de IA do Azure

  • Artigo

Este artigo explica como configurar uma conexão privada com a Pesquisa de IA do Azure para que ela aceite solicitações de clientes em uma rede virtual em vez de uma conexão pública com a Internet:

Outros recursos do Azure que podem se conectar de modo privado à Pesquisa de IA do Azure incluem o OpenAI do Azure para cenários de "utilização dos próprios dados". O Azure AI Foundry não funciona em uma rede virtual, mas pode ser configurado no back-end para enviar solicitações por meio da rede de backbone da Microsoft. A configuração desse padrão de tráfego é habilitada pela Microsoft quando sua solicitação é enviada e aprovada. Para este cenário, faça o seguinte:

  • Siga as instruções neste artigo para configurar o ponto de extremidade privado.
  • Habilitar o serviço confiável do recurso de pesquisa no portal do Azure.
  • Também será possível desabilitar o acesso à rede pública se as conexões só tiverem origem em clientes na rede virtual ou no OpenAI do Azure através de uma conexão de ponto de extremidade privado.

Informações importantes sobre os pontos de extremidade privados

Pontos de extremidade privados são fornecidos pelo Link Privado do Azure, como um serviço faturável. Para obter mais informações sobre custos, consulte preços do Link Privado do Azure.

Depois que um serviço de pesquisa tiver um ponto de extremidade privado, o acesso ao portal para esse serviço deve ser iniciado em uma sessão do navegador em uma máquina virtual dentro da rede virtual. Confira esta etapa para obter detalhes.

Você pode criar um ponto de extremidade privado para um serviço de pesquisa no portal do Azure, conforme descrito neste artigo. Como alternativa, você pode usar a API REST de Gerenciamento, o Azure PowerShell ou a CLI do Azure.

Por que usar um ponto de extremidade privado?

Os pontos de extremidade privados da Pesquisa de IA do Azure permitem que um cliente em uma rede virtual acesse dados com segurança em um índice de pesquisa por um Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da rede virtual para o serviço de pesquisa. O tráfego de rede entre o cliente e o serviço de pesquisa atravessa a rede virtual e o link privado na rede de backbone da Microsoft, eliminando a exposição na Internet pública. Para obter uma lista de outros serviços de PaaS que dão suporte ao Link Privado, verifique a seção de disponibilidade na documentação do produto.

Os pontos de extremidade privados para o serviço de pesquisa permitem que você:

  • Bloquear todas as conexões no ponto de extremidade público para o serviço de pesquisa.
  • Aumente a segurança da rede virtual, permitindo que você bloqueio a exfiltração de dados da rede virtual.
  • Conectar-se com segurança aos recursos dos serviços nas redes locais que se conectam à rede virtual usando VPN ou ExpressRoutes com emparelhamento privado.

Criar a rede virtual

Nesta seção, você criará uma rede virtual e uma sub-rede para hospedar a VM que será usada para acessar o ponto de extremidade privado do serviço de pesquisa.

  1. Na guia da página inicial do portal do Azure, selecione Criar um recurso>Rede>Rede virtual.

  2. Em Criar rede virtual, insira ou selecione os valores a seguir:

    Configuração Valor
    Subscription Selecionar sua assinatura
    Grupo de recursos Selecione Criar novo, insira um nome, como myResourceGroup e selecione OK
    Nome Insira um nome, como MyVirtualNetwork
    Region Selecionar uma região

  3. Aceite os padrões para o restante das configurações. Selecione Examinar + criar e depois Criar.

Criar um serviço de pesquisa com um ponto de extremidade privado

Nesta seção, você criará um novo serviço da Pesquisa de IA do Azure com um ponto de extremidade privado.

  1. No lado superior esquerdo da tela no portal do Azure, selecione Criar um recurso>IA + aprendizado de máquina>Pesquisa de IA.

  2. Em Criar um serviço de pesquisa – Noções básicas, insira ou selecione os valores a seguir:

    Configuração Valor
    DETALHES DO PROJETO
    Subscription Selecionar sua assinatura
    Grupo de recursos Use o grupo de recursos criado na etapa anterior
    DETALHES DA INSTÂNCIA
    URL Insira um nome exclusivo
    Localidade Selecione sua região
    Tipo de preços Selecione Alterar Tipo de Preço e escolha a camada de serviço desejada. Não há suporte para pontos de extremidade privados na camada Gratuita. Você deve selecionar Básico ou superior.

  3. Em seguida, selecione Avançar: Escala.

  4. Aceite os padrões e selecione Avançar: Rede.

  5. Em Criar um serviço de pesquisa – Rede, selecione Privado para Conectividade do ponto de extremidade (dados).

  6. Selecione + Adicionar, em Ponto de Extremidade Privado.

  7. Em Criar ponto de extremidade privado, insira ou selecione valores que associam o serviço de pesquisa à rede virtual criada:

    Configuração Valor
    Subscription Selecionar sua assinatura
    Grupo de recursos Use o grupo de recursos criado na etapa anterior
    Localidade Selecionar uma região
    Nome Insira um nome, como myPrivateEndpoint
    Sub-recurso de destino Aceite o padrão searchService
    REDE
    Rede virtual Selecione a rede virtual criada na etapa anterior
    Sub-rede Selecione o padrão
    INTEGRAÇÃO DE DNS PRIVADO
    Habilitar Integração de DNS privado Marque a caixa de seleção
    Zona DNS privada Aceite o padrão (novo) privatelink.search.windows.net

  8. Selecione Adicionar.

  9. Selecione Examinar + criar. Você é levado até a página Examinar + criar, na qual o Azure valida sua configuração.

  10. Quando vir a mensagem Validação aprovada, selecione Criar.

  11. Depois que o provisionamento do novo serviço for concluído, navegue até o recurso que você criou.

  12. Selecione Configurações>Chaves no menu de conteúdo à esquerda.

  13. Copie a Chave de administração primária para mais tarde, ao conectar-se ao serviço.

Criar uma máquina virtual

  1. No lado superior esquerdo da tela no portal do Azure, selecione Criar um recurso>Computação>Máquina Virtual.

  2. Em Criar uma máquina virtual – Informações Básicas, insira ou selecione os valores a seguir:

    Configuração Valor
    DETALHES DO PROJETO
    Subscription Selecionar sua assinatura
    Grupo de recursos Use o grupo de recursos criado na seção anterior
    DETALHES DA INSTÂNCIA
    Nome da máquina virtual Insira um nome, como my-vm
    Region Selecione sua região
    Opções de disponibilidade Você pode escolher Nenhum redundância de infraestrutura necessária ou selecionar outra opção, se precisar da funcionalidade
    Imagem Selecione Windows Server 2022 Datacenter: edição do Azure – Gen2
    Arquitetura de VMs Aceite o padrão x64
    Tamanho Aceite o padrão Standard D2S v3
    CONTA DE ADMINISTRADOR
    Nome de Usuário Insira o nome de usuário do administrador. Use uma conta válida para sua assinatura do Azure. Entre no portal do Azure por meio da VM para que possa gerenciar seu serviço de pesquisa.
    Senha Insira a senha da conta. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Confirmar Senha Insira novamente a senha
    REGRAS DE PORTA DE ENTRADA
    Porta de entrada públicas Aceite o padrão Permitir portas selecionadas
    Selecione as portas de entrada Aceite o padrão RDP (3389)

  3. Selecione Avançar: Discos.

  4. Em Criar uma máquina virtual – Discos, aceite os padrões e selecione Avançar: Rede.

  5. Em Criar uma máquina virtual – Rede, forneça os valores a seguir:

    Configuração Valor
    Rede virtual Selecione a rede virtual criada em uma etapa anterior
    Sub-rede Aceite o padrão 10.1.0.0/24
    IP público Aceite o padrão
    Grupo de segurança de rede da NIC Aceite o padrão Básico
    Porta de entrada públicas Selecione o padrão Permitir portas selecionadas
    Selecione as portas de entrada Selecione HTTP 80, HTTPS (443) e RDP (3389)

    Observação

    Os endereços IPv4 podem ser expressos no formato CIDR. Lembre-se de evitar o intervalo de IP reservado para rede privada, conforme descrito em RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Selecione Examinar e criar para uma verificação de validação.

  7. Quando vir a mensagem Validação aprovada, selecione Criar.

Conectar-se à VM

Baixe e conecte-se à máquina virtual da seguinte maneira:

  1. Na barra de pesquisa do portal do Azure, procure a máquina virtual criada na etapa anterior.

  2. Selecione Conectar. Depois de selecionar o botão Conectar, Conectar-se à máquina virtual abre.

  3. Selecione Baixar Arquivo RDP. O Azure cria um arquivo .rdp (protocolo RDP) e ele é baixado no computador.

  4. Abra o arquivo .rdp baixado.

    1. Se solicitado, selecione Conectar.

    2. Insira o nome de usuário e a senha que você especificou ao criar a VM.

      Observação

      Talvez seja necessário selecionar Mais opções>Usar uma conta diferente para especificar as credenciais inseridas durante a criação da VM.

  5. Selecione OK.

  6. Você pode receber um aviso de certificado durante o processo de entrada. Se você receber um aviso de certificado, selecione Sim ou Continuar.

  7. Depois que a área de trabalho da VM for exibida, minimize-a para voltar para sua área de trabalho local.

Conexões de teste

Nesta seção, você verificará o acesso à rede privada do serviço de pesquisa e se conectará a ela de modo privado usando o ponto de extremidade privado.

Quando o ponto de extremidade de serviço estiver privado, alguns recursos do portal serão desabilitados. Você poderá exibir e gerenciar as configurações de nível de serviço, mas o acesso ao portal para indexar dados e vários outros componentes no serviço, como o índice, o indexador e as definições de conjunto de habilidades, é restrito por motivos de segurança.

  1. Na Área de Trabalho Remota do myVM, abra o PowerShell.

  2. Digite nslookup [search service name].search.windows.net.

    Você receberá uma mensagem semelhante a esta:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Na VM, conecte-se ao serviço de pesquisa e crie um índice. Você pode seguir este guia de início rápido para criar um novo índice de pesquisa no serviço usando a API REST. A configuração de solicitações de uma ferramenta de teste da API Web requer o ponto de extremidade de serviço de pesquisa (https://[search service name].search.windows.net) e a chave de API do administrador que você copiou em uma etapa anterior.

  4. A conclusão do início rápido da VM é a confirmação de que o serviço está totalmente operacional.

  5. Feche a Conexão da Área de Trabalho Remota com myVM.

  6. Para verificar se o serviço não está acessível em um ponto de extremidade público, abra um cliente REST em sua estação de trabalho local e tente realizar as primeiras tarefas do início rápido. Se você receber um erro informando que o servidor remoto não existe, você configurou com êxito um ponto de extremidade privado para o serviço de pesquisa.

Usar o portal do Azure para acessar um serviço de pesquisa privado

Quando o ponto de extremidade de serviço estiver privado, alguns recursos do portal serão desabilitados. Você pode exibir e gerenciar as informações de nível de serviço, mas as informações de índice, indexador e conjunto de habilidades ficam ocultas por motivos de segurança.

Para contornar essa restrição, conecte-se ao portal do Azure de um navegador em uma máquina virtual dentro da rede virtual. O portal do Azure usa o ponto de extremidade privado na conexão e fornece visibilidade do conteúdo e das operações.

  1. Siga as etapas para provisionar uma VM que pode acessar o serviço de pesquisa por meio de um ponto de extremidade privado.

  2. Em uma máquina virtual em sua rede virtual, abra um navegador e entre no portal do Azure. O portal do Azure usa o ponto de extremidade privado anexado à máquina virtual para se conectar ao serviço de pesquisa.

Desabilitar o acesso de redes públicas

É possível bloquear um serviço de pesquisa para evitar que ele aceite solicitações da Internet pública. É possível usar o portal do Azure nesta etapa.

  1. No portal do Azure, no painel mais à esquerda da página do serviço de pesquisa, selecione Rede.

  2. Selecione Desabilitar na guia Firewalls e redes virtuais.

Você também pode usar a CLI do Azure, o Azure PowerShell ou a API REST de Gerenciamento, definindo public-access ou public-network-access para disabled.

Limpar os recursos

Quando você está trabalhando em sua própria assinatura, é uma boa ideia identificar, no final de um projeto, se você ainda precisa dos recursos criados. Recursos deixados em execução podem custar dinheiro.

Você pode excluir recursos individuais ou o grupo de recursos para excluir tudo o que você criou neste exercício. Selecione o grupo de recursos na página de visão geral de qualquer recurso e selecione Excluir.

Próxima etapa

Neste artigo, você criou uma VM em uma rede virtual e um serviço de pesquisa com um ponto de extremidade privado. Você se conectou a uma VM pela Internet e se comunicou com segurança com servidor de pesquisa usando o Link Privado. Para saber mais sobre pontos de extremidade privados, consulte O que é um ponto de extremidade privado?