Partilhar via

Configurações recomendadas para isolamento de rede

  • Artigo

Siga as etapas abaixo para restringir o acesso público aos recursos do QnA Maker. Proteja um recurso de serviços de IA do Azure do acesso público configurando a rede virtual.

Nota

O serviço QnA Maker será desativado no dia 31 de março de 2025. Uma versão mais recente do recurso de perguntas e respostas agora está disponível como parte da Linguagem de IA do Azure. Para obter os recursos de resposta a perguntas no Serviço Linguístico, consulte Resposta a perguntas. A partir de 1º de outubro de 2022, você não poderá criar novos recursos do QnA Maker. Para obter informações sobre como migrar bases de conhecimento existentes do QnA Maker para responder a perguntas, consulte o guia de migração.

Restringir o acesso ao Serviço de Aplicativo (tempo de execução do QnA)

Você pode usar a ServiceTag CognitiveServicesMangement para restringir o acesso de entrada às regras de entrada do grupo de segurança de rede do Serviço de Aplicativo ou ASE (Ambiente do Serviço de Aplicativo). Confira mais informações sobre tags de serviço no artigo Tags de serviço de rede virtual.

Serviço de Aplicativo Regular

  1. Abra o Cloud Shell (PowerShell) no portal do Azure.
  2. Execute o seguinte comando na janela do PowerShell na parte inferior da página:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement"

  1. Verifique se a regra de acesso adicionada está presente na seção Restrições de acesso da guia Rede :

    Captura de ecrã da regra de restrição de acesso

  2. Para acessar o painel Teste no https://qnamaker.ai portal, adicione o endereço IP público da máquina de onde você deseja acessar o portal. Na página Restrições de acesso , selecione Adicionar regra e permita o acesso ao IP do cliente.

    Captura de tela da regra de restrição de acesso com a adição de endereço IP público

Acesso de saída do Serviço de Aplicativo

O QnA Maker App Service requer acesso de saída ao ponto de extremidade abaixo. Certifique-se de que ele foi adicionado à lista de permissões se houver alguma restrição no tráfego de saída.

Configurar o Ambiente do Serviço de Aplicativo para hospedar o QnA Maker App Service

O Ambiente do Serviço de Aplicativo (ASE) pode ser usado para hospedar a instância do QnA Maker App Service. Siga os passos abaixo:

  1. Crie um novo Recurso de Pesquisa de IA do Azure.

  2. Crie um ASE externo com o Serviço de Aplicativo.

    • Siga este início rápido do Serviço de Aplicativo para obter instruções. Este processo pode levar até 1-2 horas.
    • Finalmente, você terá um ponto de extremidade do Serviço de Aplicativo que será semelhante a: https://<app service name>.<ASE name>.p.azurewebsite.net .
    • Exemplo: https:// mywebsite.myase.p.azurewebsite.net

  3. Adicione as seguintes configurações do Serviço de aplicativo:

    Nome Valor
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found

  4. Adicione a origem CORS "*" no Serviço de Aplicativo para permitir o acesso ao painel Teste do https://qnamaker.ai portal. O CORS está localizado sob o cabeçalho da API no painel Serviço de Aplicativo.

    Captura de tela da interface CORS na interface do usuário do Serviço de Aplicativo

  5. Crie uma instância de serviços de IA do Azure do QnA Maker (Microsoft.CognitiveServices/accounts) usando o Azure Resource Manager. O ponto de extremidade do QnA Maker deve ser definido como o Ponto de Extremidade do Serviço de Aplicativo criado acima (https:// mywebsite.myase.p.azurewebsite.net). Aqui está um modelo de exemplo do Azure Resource Manager que você pode usar para referência.

O QnA Maker pode ser implantado em um ASE interno?

A principal razão para usar um ASE externo é para que o back-end do serviço QnAMaker (apis de criação) possa acessar o Serviço de Aplicativo pela Internet. No entanto, você ainda pode protegê-lo adicionando restrição de acesso de entrada para permitir apenas conexões de endereços associados à CognitiveServicesManagement etiqueta de serviço.

Se você ainda quiser usar um ASE interno, precisará expor esse aplicativo QnA Maker específico no ASE em um domínio público por meio do certificado DNS TLS/SSL do gateway de aplicativo. Para obter mais informações, consulte este artigo sobre a implantação corporativa dos Serviços de Aplicativo.

Restringir o acesso ao recurso de Pesquisa Cognitiva

A instância de Pesquisa Cognitiva pode ser isolada por meio de um ponto de extremidade privado após a criação dos recursos do QnA Maker. Use as seguintes etapas para bloquear o acesso:

  1. Crie uma nova rede virtual (VNet) ou use a VNet existente do ASE (Ambiente do Serviço de Aplicativo).

  2. Abra o recurso VNet e, em seguida, na guia Sub-redes , crie duas sub-redes. Uma para o Serviço de Aplicativo (appservicesubnet) e outra sub-rede (searchservicesubnet) para o recurso de Pesquisa Cognitiva sem delegação.

    Captura de ecrã da interface do utilizador de sub-redes de redes virtuais

  3. Na guia Rede, na instância do serviço de Pesquisa Cognitiva, alterne os dados de conectividade de ponto de extremidade de público para privado. Esta operação é um processo de longa duração e pode levar até 30 minutos para ser concluída.

    Captura de tela da interface do usuário de rede com botão de alternância público/privado

  4. Quando o recurso de Pesquisa for alternado para privado, selecione adicionar ponto de extremidade privado.

    • Guia Noções básicas: verifique se você está criando seu ponto de extremidade na mesma região do recurso de pesquisa.
    • Guia Recurso: selecione o recurso de pesquisa necessário do tipo Microsoft.Search/searchServices.

    Captura de tela da janela de criação de uma interface do usuário de ponto de extremidade privada

    • Guia Configuração: use a rede virtual, sub-rede (searchservicesubnet) criada na etapa 2. Depois disso, na seção Integração de DNS privado, selecione a assinatura correspondente e crie uma nova zona DNS privada chamada privatelink.search.windows.net.

    Captura de ecrã da janela de interface do utilizador do ponto de extremidade privado com o campo de sub-rede preenchido

  5. Habilite a integração VNET para o Serviço de Aplicativo regular. Você pode pular esta etapa para o ASE, pois ele já tem acesso à VNET.

    • Vá para a seção Rede do Serviço de Aplicativo e abra Integração de VNet.
    • Link para a VNet dedicada do Serviço de Aplicativo, Sub-rede (appservicevnet) criada na etapa 2.

    Captura de tela da interface do usuário de integração VNET

Crie pontos de extremidade privados para o recurso Azure Search.

Siga as etapas abaixo para restringir o acesso público aos recursos do QnA Maker. Proteja um recurso de serviços de IA do Azure do acesso público configurando a rede virtual.

Depois de restringir o acesso ao recurso de serviço de IA do Azure com base na rede virtual, Para procurar bases de conhecimento no portal a https://qnamaker.ai partir da sua rede local ou do seu navegador local.

  • Conceda acesso à rede local.

  • Conceda acesso ao seu navegador/máquina local.

  • Adicione o endereço IP público da máquina na seção Firewall da guia Rede . Por padrão portal.azure.com , mostra o IP público da máquina de navegação atual (selecione esta entrada) e, em seguida, selecione Salvar.

    Captura de tela da interface do usuário de configuração de firewall e redes virtuais