Skapa en privat slutpunkt för en säker anslutning till Azure AI Search

  • Artikel

Den här artikeln beskriver hur du konfigurerar en privat anslutning till Azure AI Search så att den tar emot begäranden från klienter i ett virtuellt nätverk i stället för via en offentlig Internetanslutning:

Andra Azure-resurser som kan ansluta privat till Azure AI Search inkluderar Azure OpenAI för scenarier med "använd dina egna data". Azure AI Studio körs inte i ett virtuellt nätverk, men det kan konfigureras på serverdelen för att skicka begäranden via Microsofts stamnätverk. Konfigurationen för det här trafikmönstret aktiveras av Microsoft när din begäran skickas och godkänns. I det här scenariot:

Viktiga punkter om privata slutpunkter

Privata slutpunkter tillhandahålls av Azure Private Link som en separat fakturerbar tjänst. Mer information om kostnader finns i Priser för Azure Private Link.

När en söktjänst har en privat slutpunkt måste portalåtkomst till tjänsten initieras från en webbläsarsession på en virtuell dator i det virtuella nätverket. Mer information finns i det här steget .

Du kan skapa en privat slutpunkt för en söktjänst i Azure Portal enligt beskrivningen i den här artikeln. Du kan också använda REST API för hantering, Azure PowerShell eller Azure CLI.

Varför ska jag använda en privat slutpunkt?

Privata slutpunkter för Azure AI Search gör det möjligt för en klient i ett virtuellt nätverk att på ett säkert sätt komma åt data i ett sökindex via en Private Link. Den privata slutpunkten använder en IP-adress från det virtuella nätverkets adressutrymme för söktjänsten. Nätverkstrafiken mellan klienten och söktjänsten passerar över det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet. En lista över andra PaaS-tjänster som stöder Private Link finns i avsnittet om tillgänglighet i produktdokumentationen.

Med privata slutpunkter för söktjänsten kan du:

  • Blockera alla anslutningar på den offentliga slutpunkten för söktjänsten.
  • Öka säkerheten för det virtuella nätverket genom att blockera exfiltrering av data från det virtuella nätverket.
  • Anslut säkert till din söktjänst från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.

Skapa det virtuella nätverket

I det här avsnittet skapar du ett virtuellt nätverk och undernät som värd för den virtuella datorn som ska användas för att komma åt söktjänstens privata slutpunkt.

  1. På fliken Azure Portal start väljer du Skapa en resurs>Nätverk Virtuellt>nätverk.

  2. I Skapa virtuellt nätverk anger eller väljer du följande värden:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj Skapa ny, ange ett namn, till exempel myResourceGroup och välj sedan OK
    Name Ange ett namn, till exempel MyVirtualNetwork
    Region Välj en region

  3. Acceptera standardinställningarna för resten av inställningarna. Välj Granska + skapa och sedan Skapa.

Skapa en söktjänst med en privat slutpunkt

I det här avsnittet skapar du en ny Azure AI-tjänsten Search med en privat slutpunkt.

  1. På den övre vänstra sidan av skärmen i Azure Portal väljer du Skapa en resurs>AI + maskininlärning>AI Search.

  2. I Skapa en söktjänst – Grundläggande anger eller väljer du följande värden:

    Inställning Värde
    PROJEKTINFORMATION
    Prenumeration Välj din prenumeration
    Resursgrupp Använd resursgruppen som du skapade i föregående steg
    INSTANSINFORMATION
    webbadress Ange ett unikt namn
    Plats Välj din region
    Prisnivå Välj Ändra prisnivå och välj önskad tjänstnivå. Privata slutpunkter stöds inte på den kostnadsfria nivån. Du måste välja Grundläggande eller högre.

  3. Välj Nästa: Skala.

  4. Acceptera standardvärdena och välj Nästa: Nätverk.

  5. I Skapa en söktjänst – Nätverk väljer du Privat för Slutpunktsanslutning (data).

  6. Välj + Lägg till under Privat slutpunkt.

  7. I Skapa privat slutpunkt anger eller väljer du värden som associerar din söktjänst med det virtuella nätverk som du skapade:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Använd resursgruppen som du skapade i föregående steg
    Plats Välj en region
    Name Ange ett namn, till exempel myPrivateEndpoint
    Underresurs för mål Acceptera standardsöktjänsten
    NÄTVERKANDE
    Virtuellt nätverk Välj det virtuella nätverk som du skapade i föregående steg
    Undernät Välj standardinställningen
    PRIVAT DNS-INTEGRERING
    Aktivera Privat DNS integration Markera kryssrutan
    Privat DNS-zon Acceptera standardinställningen (ny) privatelink.search.windows.net

  8. Markera Lägga till.

  9. Välj Granska + skapa. Du kommer till sidan Granska + skapa där Azure verifierar din konfiguration.

  10. När du ser meddelandet Validering som skickats väljer du Skapa.

  11. När etableringen av den nya tjänsten är klar bläddrar du till den resurs som du skapade.

  12. Välj Inställningar>Nycklar på den vänstra innehållsmenyn.

  13. Kopiera primär administratörsnyckeln för senare, när du ansluter till tjänsten.

Skapa en virtuell dator

  1. Välj Skapa en virtuell dator för beräkning>>på den övre vänstra sidan av skärmen i Azure Portal.

  2. I Skapa en virtuell dator – Grundläggande anger eller väljer du följande värden:

    Inställning Värde
    PROJEKTINFORMATION
    Prenumeration Välj din prenumeration
    Resursgrupp Använd resursgruppen som du skapade i föregående avsnitt
    INSTANSINFORMATION
    Virtual machine name Ange ett namn, till exempel my-vm
    Region Välj din region
    Tillgängliga alternativ Du kan välja Ingen infrastrukturredundans krävs eller välja ett annat alternativ om du behöver funktionerna
    Bild Välj Windows Server 2022 Datacenter: Azure Edition – Gen2
    VM-arkitektur Acceptera standardvärdet x64
    Storlek Acceptera standardvärdet Standard D2S v3
    ADMINISTRATÖRSKONTO
    Username Ange administratörens användarnamn. Använd ett konto som är giltigt för din Azure-prenumeration. Logga in på Azure Portal från den virtuella datorn så att du kan hantera söktjänsten.
    Lösenord Ange kontolösenordet. Lösenordet måste vara minst 12 tecken långt och uppfylla de definierade kraven på komplexitet.
    Bekräfta lösenord Ange lösenord igen
    REGLER FÖR INKOMMANDE PORTAR
    Offentliga inkommande portar Acceptera standardinställningen Tillåt valda portar
    Välj inkommande portar Acceptera standard-RDP (3389)

  3. Välj Nästa: Diskar.

  4. I Skapa en virtuell dator – Diskar accepterar du standardvärdena och väljer Nästa: Nätverk.

  5. I Skapa en virtuell dator – Nätverk anger du följande värden:

    Inställning Värde
    Virtuellt nätverk Välj det virtuella nätverk som du skapade i ett tidigare steg
    Undernät Acceptera standardvärdet 10.1.0.0/24
    Offentlig IP-adress Acceptera standardvärdet
    Nätverkssäkerhetsgrupp för nätverkskort Acceptera standardinställningen Basic
    Offentliga inkommande portar Välj standardinställningen Tillåt valda portar
    Välj inkommande portar Välj HTTP 80, HTTPS (443)och RDP (3389)

    Kommentar

    IPv4-adresser kan uttryckas i CIDR-format . Kom ihåg att undvika DET IP-intervall som är reserverat för privata nätverk enligt beskrivningen i RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Välj Granska + skapa för en verifieringskontroll.

  7. När du ser meddelandet Validering som skickats väljer du Skapa.

Ansluta till den virtuella datorn

Ladda ned och anslut sedan till den virtuella datorn på följande sätt:

  1. I portalens sökfält söker du efter den virtuella dator som skapades i föregående steg.

  2. Välj Anslut. När du har valt knappen Anslut öppnas Anslut till den virtuella datorn.

  3. Välj Hämta RDP-fil. Azure skapar en .rdp-fil (Remote Desktop Protocol) och laddar ned den till datorn.

  4. Öppna den nedladdade .rdp-filen.

    1. Välj Anslut om du uppmanas att göra det.

    2. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn.

      Kommentar

      Du kan behöva välja Fler alternativ>Använd ett annat konto för att ange de autentiseringsuppgifter som du angav när du skapade den virtuella datorn.

  5. Välj OK.

  6. Du kan få en certifikatvarning under inloggningen. Välj Ja eller Fortsätt om du får en certifikatvarning.

  7. När virtuella datorns skrivbord visas kan du minimera det att gå tillbaka till din lokala dator.

Testa anslutningar

I det här avsnittet kontrollerar du åtkomsten till söktjänsten och ansluter privat till den privata slutpunkten.

När söktjänstens slutpunkt är privat inaktiveras vissa portalfunktioner. Du kan visa och hantera inställningar på tjänstnivå, men portalåtkomsten till indexdata och olika andra komponenter i tjänsten, till exempel index, indexerare och kompetensuppsättningsdefinitioner, är begränsad av säkerhetsskäl.

  1. Öppna PowerShell på fjärrskrivbordet i myVM.

  2. Ange nslookup [search service name].search.windows.net.

    Du får ett meddelande som liknar detta:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Från den virtuella datorn ansluter du till söktjänsten och skapar ett index. Du kan följa den här snabbstarten för att skapa ett nytt sökindex i din tjänst med hjälp av REST-API:et. För att konfigurera begäranden från ett webb-API-testverktyg krävs slutpunkten (https://[search service name].search.windows.net) för söktjänsten och den api-nyckel för administratör som du kopierade i ett tidigare steg.

  4. Att slutföra snabbstarten från den virtuella datorn är din bekräftelse på att tjänsten är i full drift.

  5. Stäng fjärrskrivbordsanslutningen till myVM.

  6. Om du vill kontrollera att tjänsten inte är tillgänglig på en offentlig slutpunkt öppnar du en REST-klient på den lokala arbetsstationen och försöker utföra de första uppgifterna i snabbstarten. Om du får ett felmeddelande om att fjärrservern inte finns har du konfigurerat en privat slutpunkt för söktjänsten.

Använd Azure Portal för att få åtkomst till en privat söktjänst

När söktjänstens slutpunkt är privat inaktiveras vissa portalfunktioner. Du kan visa och hantera information på tjänstnivå, men information om index, indexerare och kompetensuppsättningar är dolda av säkerhetsskäl.

Om du vill kringgå den här begränsningen ansluter du till Azure Portal från en webbläsare på en virtuell dator i det virtuella nätverket. Portalen använder den privata slutpunkten på anslutningen och ger dig insyn i innehåll och åtgärder.

  1. Följ stegen för att etablera en virtuell dator som kan komma åt söktjänsten via en privat slutpunkt.

  2. Öppna en webbläsare på en virtuell dator i ditt virtuella nätverk och logga in på Azure Portal. Portalen använder den privata slutpunkten som är kopplad till den virtuella datorn för att ansluta till söktjänsten.

Inaktivera åtkomst till offentligt nätverk

Du kan låsa en söktjänst för att förhindra att den tar emot en begäran från det offentliga Internet. Du kan använda Azure Portal för det här steget.

  1. I Azure Portal går du till den vänstra rutan på söktjänstsidan och väljer Nätverk.

  2. Välj Inaktiveradfliken Brandväggar och virtuella nätverk .

Du kan också använda Azure CLI, Azure PowerShell eller REST-API:et för hantering genom att ange public-access eller public-network-access till disabled.

Rensa resurser

När du arbetar i din egen prenumeration kan det dock vara klokt att i slutet av ett projekt kontrollera om du fortfarande behöver de resurser som du skapade. Resurser som fortsätter att köras kostar pengar.

Du kan ta bort enskilda resurser eller resursgruppen för att ta bort allt du skapade i den här övningen. Välj resursgruppen på en resurss översiktssida och välj sedan Ta bort.

Gå vidare

I den här artikeln har du skapat en virtuell dator i ett virtuellt nätverk och en söktjänst med en privat slutpunkt. Du anslöt till den virtuella datorn från Internet och kommunicerade säkert till söktjänsten med Private Link. Mer information om privata slutpunkter finns i Vad är en privat slutpunkt?