Creare un endpoint privato per una connessione sicura as Azure AI Search

Questo articolo illustra come configurare una connessione privata a Ricerca intelligenza artificiale di Azure in modo che ammetta le richieste dai client in una rete virtuale anziché tramite una connessione Internet pubblica:

Altre risorse di Azure che potrebbero connettersi privatamente ad Azure AI Search includono Azure OpenAI per scenari di "uso di dati personalizzati". Azure AI Studio non viene eseguito in una rete virtuale, ma può essere configurato nel back-end per inviare richieste tramite la rete backbone Microsoft. La configurazione per questo modello di traffico è abilitata da Microsoft quando la richiesta viene inviata e approvata. Per questo scenario:

  • Per configurare l’endpoint privato, seguire le istruzioni riportate in questo articolo.
  • Abilitare il servizio attendibile della risorsa di ricerca dal portale di Azure.
  • Facoltativamente, disabilitare l'accesso alla rete pubblica se le connessioni devono avere origine solo dai client nella rete virtuale o da Azure OpenAI tramite una connessione endpoint privato.

Punti chiave sugli endpoint privati

Gli endpoint privati vengono forniti dal collegamento privato di Azure come servizio separato fatturabile. Per altre informazioni sui costi, vedere collegamento privato di Azure prezzi.

Una volta che un servizio di ricerca abbia un endpoint privato, l'accesso del portale per tale servizio deve essere avviato da una sessione del browser in una macchina virtuale all'interno della rete virtuale. Per informazioni dettagliate, vedere questo passaggio.

È possibile creare un endpoint privato per un servizio di ricerca nel portale di Azure, come descritto in questo articolo. In alternativa, è possibile usare l'API REST di gestione, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Perché usare un endpoint privato?

Gli endpoint privati per Ricerca intelligenza artificiale di Azure consentono a un client in una rete virtuale di accedere in modo sicuro ai dati in un indice di ricerca in un collegamento privato. L'endpoint privato usa un indirizzo IP dello spazio indirizzi della rete virtuale per il servizio di ricerca. Il traffico di rete tra il client e il servizio di ricerca attraversa la rete virtuale e un collegamento privato sulla rete backbone Microsoft, eliminando l'esposizione alla rete Internet pubblica. Per un elenco di altri servizi PaaS che supportano il collegamento privato, vedere la sezione disponibilità nella documentazione del prodotto.

Gli endpoint privati per il servizio di ricerca consentono di:

  • Bloccare tutte le connessioni nell'endpoint pubblico per il servizio di ricerca.
  • Aumentare la sicurezza per la rete virtuale, consentendo di bloccare l'esfiltrazione dei dati dalla rete virtuale.
  • Connettersi in modo sicuro alla propria applicazione da reti locali che si connettono alla rete virtuale utilizzando una VPN o un peering privato ExpressRoutes.

Creare la rete virtuale

In questa sezione viene creata una rete virtuale e una subnet per ospitare la macchina virtuale che verrà usata per accedere all'endpoint privato del servizio di ricerca.

  1. Nella scheda Home del portale di Azure, selezionare Crea una risorsa>Rete>Rete virtuale.

  2. In Crea rete virtuale immettere o selezionare i valori seguenti:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione
    Gruppo di risorse Selezionare Crea nuovo, immettere un nome, ad esempio myResourceGroup, quindi selezionare OK
    Nome Immettere un nome, ad esempio MyVirtualNetwork
    Paese Selezionare un'area
  3. Accettare le impostazioni predefinite per il resto delle impostazioni. Selezionare Rivedi e crea e quindi Crea.

Creare un servizio di ricerca con un endpoint privato

In questa sezione viene creato un nuovo servizio di ricerca di intelligenza artificiale di Azure con un endpoint privato.

  1. Nel lato superiore sinistro della schermata nella portale di Azure selezionare Crea una risorsa intelligenza artificiale e Ricerca intelligenza>artificiale di Machine Learning.>

  2. In Crea un servizio di ricerca - Informazioni di base immettere o selezionare i valori seguenti:

    Impostazione Valore
    DETTAGLI DEL PROGETTO
    Subscription Selezionare la sottoscrizione
    Gruppo di risorse Usare il gruppo di risorse creato nel passaggio precedente
    DETTAGLI DELL'ISTANZA
    URL Immettere un nome univoco
    Ufficio Selezionare l'area
    Piano tariffario Selezionare Cambia piano tariffario e scegliere il livello di servizio desiderato. Gli endpoint privati non sono supportati nel livello Gratuito. È necessario selezionare Basic o versione successiva.
  3. Selezionare Avanti: Ridimensiona.

  4. Accettare le impostazioni predefinite e selezionare Avanti: Networking.

  5. In Crea un servizio di ricerca - Rete selezionare Privato per Connettività endpoint (dati).

  6. Selezionare + Aggiungi in Endpoint privato.

  7. In Crea endpoint privato immettere o selezionare i valori che associano il servizio di ricerca alla rete virtuale creata:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione
    Gruppo di risorse Usare il gruppo di risorse creato nel passaggio precedente
    Ufficio Selezionare un'area
    Nome Immettere un nome, ad esempio myPrivateEndpoint
    Sottorisorsa di destinazione Accettare il servizio di ricerca predefinito
    RETE
    Rete virtuale Selezionare la rete virtuale creata nel passaggio precedente
    Subnet Selezionare il valore predefinito
    INTEGRAZIONE DNS PRIVATO
    Abilitare l'integrazione di DNS privato Selezionare la casella di controllo
    Zona DNS privato Accettare il privatelink.search.windows.net predefinito (Nuovo)
  8. Selezionare Aggiungi.

  9. Selezionare Rivedi e crea. Si viene reindirizzati alla pagina Rivedi e crea dove Azure convalida la configurazione.

  10. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

  11. Al termine del provisioning del nuovo servizio, passare alla risorsa creata.

  12. Selezionare Impostazioni>Chiavi dal menu del contenuto a sinistra.

  13. Copiare la chiave amministrazione primaria per usarla in seguito, quando ci si connette al servizio.

Creare una macchina virtuale

  1. Nella parte superiore sinistra della schermata del portale di Azure selezionare Crea una risorsa>Calcolo>Macchina virtuale.

  2. In Crea una macchina virtuale - Dati principali immettere o selezionare i valori seguenti:

    Impostazione Valore
    DETTAGLI DEL PROGETTO
    Subscription Selezionare la sottoscrizione
    Gruppo di risorse Usare il gruppo di risorse creato nella sezione precedente
    DETTAGLI DELL'ISTANZA
    Virtual machine name Immettere un nome, ad esempio my-vm
    Paese Selezionare l'area
    Opzioni di disponibilità È possibile scegliere Nessuna ridondanza dell'infrastruttura necessaria oppure selezionare un'altra opzione se è necessaria la funzionalità
    Immagine Selezionare Windows Server 2022 Datacenter: Azure Edition - Gen2
    Architettura della macchina virtuale Accettare l'impostazione predefinita x64
    Dimensione Accettare il modello D2S standard predefinito v3
    ACCOUNT AMMINISTRATORE
    Username Immettere il nome utente dell'amministratore. Usare un account valido per la sottoscrizione di Azure. Accedere al portale di Azure dalla macchina virtuale in modo da poter gestire il servizio di ricerca.
    Password Immettere la password dell'account. La password deve contenere almeno 12 caratteri e soddisfare i requisiti di complessità definiti.
    Conferma password Reimmettere la password
    REGOLE PORTA IN INGRESSO
    Porte in ingresso pubbliche Accettare le porte predefinite Consenti porte selezionate
    Selezionare le porte in ingresso Accettare il protocollo RDP predefinito (3389)
  3. Selezionare Avanti: dischi.

  4. In Crea una macchina virtuale - Dischi, accettare le impostazioni predefinite e selezionare Avanti: Rete.

  5. In Crea una macchina virtuale - Retespecificare i valori seguenti:

    Impostazione Valore
    Rete virtuale Selezionare la rete virtuale creata in un passaggio precedente
    Subnet Accettare il valore predefinito 10.1.0.0/24
    IP pubblico Accettare l'impostazione predefinita
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Accettare il valore basic predefinito
    Porte in ingresso pubbliche Selezionare l'impostazione predefinita Consenti porte selezionate
    Selezionare le porte in ingresso Selezionare HTTP 80, HTTPS (443) e RDP (3389)

    Nota

    Gli indirizzi IPv4 possono essere espressi in formato CIDR. Ricordare di evitare l'intervallo IP riservato per la rete privata, come descritto in RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Selezionare Rivedi e crea per un controllo di convalida.

  7. Quando viene visualizzato il messaggio Convalida superata, selezionare Crea.

Connettersi alla macchina virtuale

Scaricare e quindi connettersi alla macchina virtuale come indicato di seguito:

  1. Nella barra di ricerca del portale, cercare la macchina virtuale creata nel passaggio precedente.

  2. Selezionare Connetti. Dopo aver selezionato il pulsante Connetti viene aperta la finestra Connetti alla macchina virtuale.

  3. Selezionare Scarica file RDP. Azure crea e scarica nel computer un file Remote Desktop Protocol con estensione .rdp.

  4. Aprire il file con estensione .rdp scaricato.

    1. Quando richiesto, selezionare Connetti.

    2. Immettere il nome utente e la password specificati al momento della creazione della macchina virtuale.

      Nota

      Potrebbe essere necessario selezionare Altre opzioni>Usa un account diverso per specificare le credenziali immesse al momento della creazione della macchina virtuale.

  5. Seleziona OK.

  6. Durante il processo di accesso potrebbe essere visualizzato un avviso relativo al certificato. Se si riceve un avviso relativo al certificato, selezionare oppure Continua.

  7. Quando viene visualizzato il desktop della macchina virtuale, ridurlo a icona per tornare al desktop locale.

Testare le connessioni

In questa sezione viene verificato l'accesso alla rete privata al servizio di ricerca e ci si connette privatamente all'oggetto usando l'endpoint privato.

Se l'endpoint del servizio di ricerca è privato, alcune funzionalità del portale sono disabilitate. È possibile visualizzare e gestire le impostazioni a livello di servizio, ma l'accesso al portale ai dati di indicizzazione e a vari altri componenti del servizio, ad esempio le definizioni di indice, indicizzatore e set di competenze, è limitato per motivi di sicurezza.

  1. Nel Desktop remoto di myVm1 aprire PowerShell.

  2. Immetti nslookup [search service name].search.windows.net.

    Verrà visualizzato un messaggio simile al seguente:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. Dalla VM connettersi al servizio di ricerca e creare un indice. È possibile seguire questa guida di avvio rapido per creare un nuovo indice di ricerca nel servizio usando l'API REST. La configurazione delle richieste da uno strumento di test dell'API Web richiede l'endpoint (https://[search service name].search.windows.net) del servizio di ricerca e la chiave API di amministrazione copiata in un passaggio precedente.

  4. Il completamento dell'avvio rapido dalla VM rappresenta la conferma che il servizio è completamente operativo.

  5. Chiudere la connessione Desktop remoto a myVm.

  6. Per verificare che il servizio non sia accessibile in un endpoint pubblico, aprire un client REST nella workstation locale e tentare le prime attività nell'avvio rapido. Se viene visualizzato un errore che indica che il server remoto non esiste, è stato configurato correttamente un endpoint privato per il servizio di ricerca.

Usare il portale di Azure per accedere a un servizio di ricerca privato

Se l'endpoint del servizio di ricerca è privato, alcune funzionalità del portale sono disabilitate. È possibile visualizzare e gestire le informazioni sul livello di servizio, ma le informazioni su indice, indicizzatore e set di competenze sono nascoste per motivi di sicurezza.

Per ovviare a questa restrizione, connettersi al portale di Azure da un browser in una macchina virtuale all'interno della rete virtuale. Il portale usa l'endpoint privato nella connessione e offre visibilità sul contenuto e sulle operazioni.

  1. Seguire i passi per effettuare il provisioning di una VM in grado di accedere al servizio di ricerca tramite un endpoint privato.

  2. In una macchina virtuale nella rete virtuale, aprire un browser e accedere al portale di Azure. Il portale usa l'endpoint privato collegato alla macchina virtuale per connettersi al servizio di ricerca.

Disabilitare l'accesso alla rete pubblica

È possibile bloccare un servizio di ricerca per impedirne l'accettazione di qualsiasi richiesta dalla rete Internet pubblica. Per questo passaggio è possibile usare il portale di Azure.

  1. Nel portale di Azure selezionare Rete, nel riquadro più a sinistra della pagina del servizio di ricerca.

  2. Selezionare Disabilitato nella scheda Firewall e reti virtuali.

È anche possibile usare l'interfaccia della riga di comando di Azure, Azure PowerShell o l'API REST di gestione impostando public-access o public-network-access su disabled.

Pulire le risorse

Quando si lavora nella propria sottoscrizione, al termine di un progetto è buona norma determinare se le risorse create sono ancora necessarie. Le risorse che rimangono in esecuzione hanno un costo.

È possibile eliminare le singole risorse o il gruppo di risorse, per eliminare tutti gli elementi creati in questo esercizio. Selezionare il gruppo di risorse nella pagina di panoramica di una risorsa, quindi selezionare Elimina.

Passaggio successivo

In questo articolo è stata creata una macchina virtuale in una rete virtuale e un servizio di ricerca con un endpoint privato. È stata effettuata la connessione alla VM da Internet ed è stata stabilita una comunicazione al servizio di ricerca usando il collegamento privato. Per altre informazioni sugli endpoint privati, vedere Che cos'è un endpoint privato?