Impostazioni consigliate per l'isolamento rete

Seguire questa procedura per limitare l'accesso pubblico alle risorse di QnA Maker. Proteggere una risorsa di Servizi di Azure AI dall'accesso pubblico configurando la rete virtuale.

Nota

Il servizio QnA Maker sarà ritirato il 31 marzo 2025. Una versione più recente della funzionalità di domande e risposte è ora disponibile come parte di Lingua di Azure AI. Per le funzionalità di risposta alla domanda all'interno del servizio di linguaggio vedere Risposta alla domanda. A partire dal 1° ottobre 2022 non è più possibile creare nuove risorse di QnA Maker. Per informazioni sulla migrazione delle knowledge base di QnA Maker esistenti alla funzionalità di risposta alla domanda vedere la guida alla migrazione.

Limitare l'accesso al servizio app (runtime QnA)

È possibile usare ServiceTag CognitiveServicesMangement per limitare l'accesso alle regole in ingresso del servizio app o al gruppo di sicurezza di rete dell'ambiente del servizio app (ASE). Per altre informazioni sui tag del servizio, vedere l'articolo tag del servizio di rete virtuale.

Servizio app normale

  1. Aprire Cloud Shell (PowerShell) dal portale di Azure.
  2. Eseguire il comando seguente nella finestra di PowerShell nella parte inferiore della pagina:
Add-AzWebAppAccessRestrictionRule -ResourceGroupName "<resource group name>" -WebAppName "<app service name>" -Name "Cognitive Services Tag" -Priority 100 -Action Allow -ServiceTag "CognitiveServicesManagement" 
  1. Verificare che la regola di accesso aggiunta sia presente nella sezione Restrizioni di accesso della scheda Rete:

    Screenshot della regola di restrizione dell'accesso

  2. Per accedere al Riquadro di test nel portale https://qnamaker.ai, aggiungere l'indirizzo IP pubblico del computerda cui si vuole accedere al portale. Nella pagina Restrizioni di accesso, selezionare Aggiungi regola e consentire l'accesso all'indirizzo IP client.

    Screenshot della regola di restrizione dell'accesso con l'aggiunta dell'indirizzo IP pubblico

Accesso in uscita dal servizio app

Il servizio app QnA Maker richiede l'accesso in uscita agli endpoint seguenti. Assicurarsi che venga aggiunto all'elenco elementi consentiti se esistono restrizioni sul traffico in uscita.

Configurare l'ambiente del servizio app per ospitare il servizio app QnA Maker

L'ambiente del servizio app (ASE) può essere usato per ospitare l'istanza del servizio app QnA Maker. Segui i passaggi riportati di seguito:

  1. Creare una nuova risorsa di Azure AI Search.

  2. Creare un ambiente del servizio app esterno con il servizio app.

    • Per istruzioni, seguire questa guida introduttiva al servizio app. Il processo può richiedere fino a 1-2 ore.
    • Infine, si avrà un endpoint del servizio app che apparirà simile a: https://<app service name>.<ASE name>.p.azurewebsite.net.
    • Esempio: https:// mywebsite.myase.p.azurewebsite.net
  3. Aggiungere le seguenti configurazioni del servizio app:

    Nome valore
    PrimaryEndpointKey <app service name>-PrimaryEndpointKey
    AzureSearchName <Azure AI Search Resource Name from step #1>
    AzureSearchAdminKey <Azure AI Search Resource admin Key from step #1>
    QNAMAKER_EXTENSION_VERSION latest
    DefaultAnswer no answer found
  4. Aggiungere l'origine CORS "*" nel servizio app per consentire l'accesso al riquadro Test del portale https://qnamaker.ai. CORS si trova sotto l'intestazione API nel riquadro Servizio app.

    Screenshot dell'interfaccia CORS nell'interfaccia utente del servizio app

  5. Creare un'istanza di Servizi di Azure AI QnA Maker (Microsoft.CognitiveServices/accounts) usando Azure Resource Manager. L'endpoint QnA Maker deve essere impostato sull'endpoint del servizio app creato in precedenza (https:// mywebsite.myase.p.azurewebsite.net). Di seguito è riportato un modello di Azure Resource Manager di esempio che è possibile usare come riferimento.

QnA Maker può essere distribuito in un ambiente del servizio app interno?

Il motivo principale per usare un ambiente del servizio app esterno è quindi che il back-end del servizio QnAMaker (API di creazione) possa raggiungere il servizio app tramite Internet. È comunque possibile proteggerlo aggiungendo una restrizione di accesso in ingresso per consentire solo le connessioni dagli indirizzi associati al tag del servizio CognitiveServicesManagement.

Se si vuole comunque usare un ambiente del servizio app interno, è necessario esporre tale app specifica di QnA Maker nell'ASE in un dominio pubblico tramite il certificato TLS/SSL DNS del gateway app. Per altre informazioni, vedere questo articolo sulla distribuzione aziendale di Servizi app.

Limitare l'accesso alla risorsa di Ricerca cognitiva

L'istanza di Ricerca cognitiva può essere isolata tramite un endpoint privato dopo la creazione delle risorse di QnA Maker. Usare la procedura seguente per bloccare l'accesso:

  1. Creare una nuova rete virtuale (VNet) o usare una rete virtuale esistente dell'ambiente del servizio app (ASE).

  2. Aprire la risorsa rete virtuale quindi, nella scheda Subnet, creare due subnet. Una per il servizio app (appservicesubnet) e un'altra subnet (searchservicesubnet) per la risorsa di Ricerca cognitiva senza delega.

    Screenshot dell'interfaccia utente delle subnet delle reti virtuali

  3. Nella scheda Rete nell'istanza del servizio Ricerca cognitiva di Azure, cambiare i dati di connettività degli endpoint da pubblico a privato. Questa operazione è un processo a esecuzione prolungata e può richiedere fino a 30 minuti per essere completata.

    Screenshot dell'interfaccia utente di rete con un interruttore pubblico/privato

  4. Dopo che la risorsa di ricerca è passata a privata, selezionare Aggiungi endpoint privato.

    • Scheda Dati principali: assicurarsi di creare l'endpoint nella stessa area della risorsa di ricerca.
    • Scheda Risorsa: selezionare la risorsa di ricerca richiesta di tipo Microsoft.Search/searchServices.

    Screenshot della finestra dell'interfaccia utente per la creazione di un endpoint privato

    • Scheda Configurazione: usare la rete virtuale, la subnet (searchservicesubnet) creata nel passaggio 2. Successivamente, nella sezione Integrazione DNS privato, selezionare la sottoscrizione corrispondente e creare una nuova zona DNS privata denominata privatelink.search.windows.net.

    Screenshot della finestra dell'interfaccia utente per la creazione dell'endpoint privato con il campo subnet popolato

  5. Abilitare Integrazione rete virtuale per il servizio app normale. È possibile ignorare questo passaggio per l'ambiente del servizio app, perché ha già accesso alla rete virtuale.

    • Passare alla sezione Rete del servizio app e aprire Integrazione rete virtuale.
    • Collegamento alla rete virtuale dedicata del servizio app, subnet (appservicevnet) creata nel passaggio 2.

    Screenshot dell'interfaccia utente di integrazione rete virtuale

Creare endpoint privati nella risorsa di Ricerca cognitiva di Azure.

Seguire questa procedura per limitare l'accesso pubblico alle risorse di QnA Maker. Proteggere una risorsa di Servizi di Azure AI dall'accesso pubblico configurando la rete virtuale.

Dopo aver limitato l'accesso alla risorsa di Servizi di Azure AI basata sulla rete virtuale, esplorare le knowledge base nel portale https://qnamaker.ai dalla rete locale o dal browser locale.

  • Concedere l'accesso alla rete locale.

  • Concedere l'accesso al browser/computer locale.

  • Aggiungere l'indirizzo IP pubblico del computer nella sezione Firewall della scheda Rete. Per impostazione predefinita portal.azure.com mostra l'indirizzo IP pubblico del computer di esplorazione corrente: selezionare questa voce, quindi selezionare Salva.

    Screenshot dell'interfaccia utente di configurazione del firewall e delle reti virtuali