Paylaşılan özel bağlantı üzerinden giden bağlantılar oluşturma
Bu makalede, Azure sanal ağı içinde çalışan bir Azure PaaS kaynağına Azure AI Search'ten özel, giden çağrıların nasıl yapılandırıldığını açıklar.
Özel bağlantı ayarlamak, arama hizmetinin İnternet'e açık bir bağlantı noktası yerine sanal ağ IP adresine bağlanmasına olanak tanır. Bağlantı için oluşturulan nesne paylaşılan özel bağlantı olarak adlandırılır. Bağlantıda, arama hizmeti ağ sınırı içindeki bir Azure PaaS kaynağına ulaşmak için paylaşılan özel bağlantıyı dahili olarak kullanır.
Paylaşılan özel bağlantı, kullanıma göre faturalandırılan bir premium özelliktir. Paylaşılan bir özel bağlantı ayarladığınızda, özel uç nokta ücretleri Azure faturanıza eklenir. Paylaşılan özel bağlantıyı kullanırken, gelen ve giden erişim için veri aktarım oranları da faturalanır. Ayrıntılar için bkz. fiyatlandırma Azure Özel Bağlantı.
Not
bir SQL Yönetilen Örneği özel dizin oluşturucu bağlantısı kuruyorsanız, bu kaynak türüne özgü adımlar için bunun yerine bu makaleye bakın.
Paylaşılan özel bağlantı ne zaman kullanılır?
Azure AI Search, aşağıdaki senaryolarda diğer Azure PaaS kaynaklarına giden çağrılar yapar:
- Metinden vektöre eklemeler için Azure OpenAI'ye dizin oluşturucu veya arama altyapısı bağlantıları
- Desteklenen veri kaynaklarına dizin oluşturucu bağlantıları
- Zenginleştirmeleri önbelleğe almak, oturum sate hatalarını ayıklamak veya bilgi deposuna yazmak için Azure Depolama'ya dizin oluşturucu (beceri kümesi) bağlantıları
- Azure Key Vault'a şifreleme anahtarı istekleri
- Azure İşlevleri veya benzer bir kaynağa yönelik özel beceri istekleri
Paylaşılan özel bağlantılar yalnızca Azure'a bağlantılar için çalışır. OpenAI'ye veya başka bir dış modele bağlanıyorsanız, bağlantının genel İnternet üzerinden olması gerekir.
Paylaşılan özel bağlantılar, Azure kaynakları veya bir Azure sanal ağında çalışan istemciler için özel uç nokta üzerinden erişilen işlemlere ve verilere yönelik olarak sağlanır.
Paylaşılan özel bağlantı:
- Azure AI Arama araçları, API'leri veya SDK'ları kullanılarak oluşturuldu
- Azure PaaS kaynak sahibi tarafından onaylandı
- Azure AI Search tarafından belirli bir Azure kaynağına özel bağlantıda dahili olarak kullanılır
Yalnızca arama hizmetiniz oluşturduğu özel bağlantıları kullanabilir ve hizmetinizde her kaynak ve alt kaynak bileşimi için yalnızca bir paylaşılan özel bağlantı oluşturulabilir.
Özel bağlantıyı ayarladıktan sonra, arama hizmeti bu PaaS kaynağına her bağlandığında otomatik olarak kullanılır. bağlantı için kullanılan cihazın Azure PaaS kaynağının güvenlik duvarında yetkili bir IP kullanarak bağlanması gerekse de, istekleri göndermek için kullandığınız istemciyi değiştirmeniz veya bağlantı dizesi değiştirmeniz gerekmez.
Azure Özel Bağlantı ve Azure AI Arama'yı birlikte kullanmak için iki senaryo vardır.
Senaryo bir: Azure PaaS'a giden (dizin oluşturucu) bağlantısı özel bağlantı gerektirdiğinde paylaşılan bir özel bağlantı oluşturun.
senaryo iki: sanal ağda çalışan istemcilerden gelen özel bağlantı için aramayı yapılandırın.
Senaryo bir, bu makalede ele alınmıştır.
Her iki senaryo da Azure Özel Bağlantı bağımlılığına sahip olsa da bağımsızdır. Özel uç nokta için kendi arama hizmetinizi yapılandırmak zorunda kalmadan paylaşılan bir özel bağlantı oluşturabilirsiniz.
Sınırlamalar
Senaryonuz için paylaşılan özel bağlantıları değerlendirirken bu kısıtlamaları unutmayın.
Paylaşılan özel bağlantıda kullanılan kaynak türlerinin bazıları önizleme aşamasındadır. Bir önizleme kaynağına (MySQL için Azure Veritabanı veya Azure SQL Yönetilen Örneği) bağlanıyorsanız, paylaşılan özel bağlantıyı oluşturmak için Yönetim REST API'sinin önizleme sürümünü kullanın. Bu sürümler ,
2021-04-01-preview
,2024-03-01-preview
ve2024-06-01-preview
sürümlerini içerir2020-08-01-preview
. En son önizleme API'sini öneririz.Dizin oluşturucu yürütmesi, arama hizmetinize özgü özel yürütme ortamını kullanmalıdır. Özel uç nokta bağlantıları çok kiracılı ortamda desteklenmez. Bu gereksinim için yapılandırma ayarı bu makalede ele alınmıştır.
Önkoşullar
Yalnızca tümleşik vektörleştirme için, paylaşılan özel bağlantı üzerinden giden bağlantılar tüm faturalanabilir katmanlarda desteklenir, yalnızca daha yüksek kapasite sağlayan bölgelerde bulunan 3 Nisan 2024'te oluşturulan hizmetlerde desteklenir.
3 Nisan 2024'e kadar oluşturulan hizmetlere ekleme becerisi içermeyen yapay zeka zenginleştirme, beceri kümesi işleme için Azure AI Search'ün Standart 2 (S2) veya üzeri olması gerekir.
Beceri kümelerini içermeyen diğer tüm kullanım örnekleri için Azure AI Search Temel veya daha yüksek olabilir.
Aşağıdaki desteklenen kaynak türleri listesinden bir Azure PaaS kaynağı, sanal ağda çalışacak şekilde yapılandırılmıştır.
Hem Azure AI Search hem de veri kaynağı üzerindeki izinler:
Azure PaaS kaynağında özel uç nokta bağlantılarını onaylama izniniz olmalıdır. Örneğin, veri kaynağı olarak bir Azure Depolama hesabı kullanıyorsanız (Blob kapsayıcısı, Azure Dosyalar paylaşımı, Azure tablosu gibi) gerekir
Microsoft.Storage/storageAccounts/privateEndpointConnectionsApproval/action
.Arama hizmetinde, paylaşılan özel bağlantı kaynakları ve okuma işlemi durumlarında okuma ve yazma izinleriniz olmalıdır:
Microsoft.Search/searchServices/sharedPrivateLinkResources/write
Microsoft.Search/searchServices/sharedPrivateLinkResources/read
Microsoft.Search/searchServices/sharedPrivateLinkResources/operationStatuses/read
Desteklenen kaynak türleri
Aşağıdaki kaynaklar için paylaşılan bir özel bağlantı oluşturabilirsiniz.
Kaynak türü | Alt kaynak (veya Grup Kimliği) |
---|---|
Microsoft.Storage/storageAccounts 1 | blob , table , dfs , file |
Microsoft.DocumentDB/databaseAccounts 2 | Sql |
Microsoft.Sql/servers 3 | sqlServer |
Microsoft.KeyVault/vaults | vault |
Microsoft.DBforMySQL/servers (önizleme) | mysqlServer |
Microsoft.Web/sites 4 | sites |
Microsoft.Sql/managedInstances (önizleme) 5 | managedInstance |
Microsoft.CognitiveServices/accounts 6 7 | openai_account |
1 Azure Depolama ve Azure AI Search aynı bölgedeyse, depolama bağlantısı Microsoft omurga ağı üzerinden yapılır ve bu da paylaşılan özel bağlantının bu yapılandırma için yedekli olduğu anlamına gelir. Ancak, Azure Depolama için zaten bir özel uç nokta ayarladıysanız, paylaşılan bir özel bağlantı da ayarlamanız gerekir, aksi takdirde depolama tarafında bağlantı reddedilir. Ayrıca, aramadaki çeşitli senaryolar için birden çok depolama biçimi kullanıyorsanız, her alt kaynak için ayrı bir paylaşılan özel bağlantı oluşturduğunuzdan emin olun.
2 Microsoft.DocumentDB/databaseAccounts
Kaynak türü, NoSQL için Azure Cosmos DB'ye dizin oluşturucu bağlantıları için kullanılır. Sağlayıcı adı ve grup kimliği büyük/küçük harfe duyarlıdır.
3 Microsoft.Sql/servers
Kaynak türü, Azure SQL veritabanı bağlantıları için kullanılır. Şu anda Azure Synapse SQL'e yönelik paylaşılan bir özel bağlantı için destek bulunmamaktadır.
4 Microsoft.Web/sites
Kaynak türü App service ve Azure işlevleri için kullanılır. Azure AI Search bağlamında, azure işlevi daha olası bir senaryodur. Azure işlevi genellikle özel bir becerinin mantığını barındırmak için kullanılır. Azure İşlevi Tüketim, Premium ve Ayrılmış App Service barındırma planlarını içerir. App Service Ortamı (ASE),Azure Kubernetes Service (AKS) ve Azure API Management şu anda desteklenmemaktadır.
5 Yönergeler için bkz. SQL Yönetilen Örneği için paylaşılan özel bağlantı oluşturma.
6 Kaynak türü, Microsoft.CognitiveServices/accounts
tümleşik Vektörleştirme uygulanırken Azure OpenAI'ye vektörleştirici ve dizin oluşturucu bağlantıları için kullanılır. Şu anda Azure AI Studio model kataloğuna veya Azure AI Vision çoklu modül API'sine model eklemeye yönelik paylaşılan özel bağlantı desteği yoktur.
7 Azure OpenAI için paylaşılan Özel Bağlantı yalnızca genel bulutta desteklenir. Microsoft Azure Kamu gibi diğer bulut teklifleri, Grup Kimliği için Paylaşılan Özel Bağlantı openai_account
desteğine sahip değildir.
1 - Paylaşılan özel bağlantı oluşturma
Paylaşılan bir özel bağlantı oluşturmak için Azure portalını, Yönetim REST API'sini, Azure CLI'yı veya Azure PowerShell'i kullanın.
İşte birkaç ipucu:
- Özel bağlantıya anlamlı bir ad verin. Azure PaaS kaynağında, diğer özel uç noktaların yanında paylaşılan bir özel bağlantı görüntülenir. "shared-private-link-for-search" gibi bir ad nasıl kullanıldığını anımsatabilir.
Bu bölümdeki adımları tamamladığınızda, bekleme durumunda sağlanan paylaşılan bir özel bağlantınız olur. Bağlantının oluşturulması birkaç dakika sürer. Oluşturulduktan sonra, kaynak sahibinin çalışmadan önce isteği onaylaması gerekir.
Azure portalında oturum açın ve arama hizmetinizi bulun.
Sol gezinti bölmesindeki Ayarlar'ın altında Ağ'ı seçin.
Paylaşılan Özel Erişim sayfasında + Paylaşılan Özel Erişim Ekle'yi seçin.
Dizinimdeki bir Azure kaynağına bağlan'ı veya Kaynak kimliğine göre Azure kaynağına bağlan'ı seçin.
İlk seçeneği belirlerseniz (önerilir), portal uygun Azure kaynağını seçmenize yardımcı olur ve kaynağın grup kimliği ve kaynak türü gibi diğer özellikleri doldurur.
İkinci seçeneği belirlerseniz, Azure kaynak kimliğini el ile girin ve bu makalenin başındaki listeden uygun grup kimliğini seçin.
Sağlama durumunun "Güncelleştiriliyor" olduğunu onaylayın.
Kaynak başarıyla oluşturulduktan sonra kaynağın sağlama durumu "Başarılı" olarak değişir.
Paylaşılan özel bağlantı oluşturma iş akışı
202 Accepted
Başarılı olduğunda bir yanıt döndürülür. Giden özel uç nokta oluşturma işlemi uzun süre çalışan (zaman uyumsuz) bir işlemdir. Bu, aşağıdaki kaynakların dağıtılmasını içerir:
Bir durumda özel IP adresiyle
"Pending"
ayrılmış bir özel uç nokta. Özel IP adresi, arama hizmetine özgü özel dizin oluşturucu için yürütme ortamının sanal ağına ayrılan adres alanından alınır. Özel uç noktanın onaylanmasının ardından, Azure AI Search'ten Azure kaynağına yapılan tüm iletişimler özel IP adresinden ve güvenli bir özel bağlantı kanalından kaynaklanır.Kaynak türü için grup kimliğine göre özel bir DNS bölgesi. Bu kaynağı dağıtarak, özel kaynaktaki tüm DNS aramalarının özel uç noktayla ilişkili IP adresini kullandığından emin olursunuz.
2 - Özel uç nokta bağlantısını onaylama
Azure PaaS tarafında özel uç nokta bağlantısının onayı verilir. Kaynak sahibi tarafından açık onay gereklidir. Aşağıdaki adımlar Azure portalını kullanarak onayı kapsar, ancak Azure PaaS tarafından bağlantıyı program aracılığıyla onaylamaya yönelik bazı bağlantılar aşağıdadır:
- Azure Depolama'da Özel Uç Nokta Bağlantılarını kullanma - Yerleştirme
- Azure Cosmos DB'de Özel Uç Nokta Bağlantıları - Oluştur veya Güncelleştir'i kullanın
- Azure OpenAI'de Özel Uç Nokta Bağlantıları - Oluştur veya Güncelleştir'i kullanın
Azure portalını kullanarak aşağıdaki adımları uygulayın:
Azure PaaS kaynağının Ağ sayfasını açın.Metin
Özel uç nokta bağlantılarını listeleyen bölümü bulun. Aşağıdaki örnek bir depolama hesabı içindir.
Bağlantıyı seçin ve ardından Onayla'yı seçin. Durumun portalda güncelleştirilmiş olması birkaç dakika sürebilir.
Özel uç nokta onaylandıktan sonra Azure AI Search, bu uç nokta için oluşturulan DNS bölgesinde gerekli DNS bölgesi eşlemelerini oluşturur.
Ağ sayfasındaki özel uç nokta bağlantısı etkin olsa da çözümlenmez.
Bağlantı seçildiğinde hata oluşur. Ve durum iletisi "The access token is from the wrong issuer"
must match the tenant associated with this subscription
görüntülenir çünkü arka uç özel uç kaynağı Microsoft tarafından Microsoft tarafından yönetilen bir kiracıda sağlanırken bağlı kaynak (Azure AI Search) kiracınızdadır. Tasarım gereği özel uç nokta bağlantı bağlantısını seçerek özel uç nokta kaynağına erişemezsiniz.
Paylaşılan özel bağlantınızın durumunu denetlemek için sonraki bölümdeki yönergeleri izleyin.
3 - Paylaşılan özel bağlantı durumunu denetleme
Azure AI Arama tarafında, arama hizmeti Ağ oluşturma sayfasının Paylaşılan Özel Erişim sayfasını yeniden ziyaret ederek istek onayını onaylayabilirsiniz. Bağlantı durumu onaylanmalıdır.
Alternatif olarak, Paylaşılan Özel Bağlantı Kaynakları - Al'ı kullanarak da bağlantı durumunu alabilirsiniz.
az rest --method get --uri https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contoso/providers/Microsoft.Search/searchServices/contoso-search/sharedPrivateLinkResources/blob-pe?api-version=2024-07-01
Bu, bağlantı durumunun "özellikler" bölümünün altında "durum" olarak gösterildiği bir JSON döndürür. Aşağıda bir depolama hesabı örneği verilmiştir.
{
"name": "blob-pe",
"properties": {
"privateLinkResourceId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/contoso/providers/Microsoft.Storage/storageAccounts/contoso-storage",
"groupId": "blob",
"requestMessage": "please approve",
"status": "Approved",
"resourceRegion": null,
"provisioningState": "Succeeded"
}
}
Kaynağın sağlama durumu (properties.provisioningState
) "Başarılı" ve bağlantı durumu(properties.status
) "Onaylandı" ise, paylaşılan özel bağlantı kaynağının işlevsel olduğu ve dizin oluşturucunun özel uç nokta üzerinden iletişim kuracak şekilde yapılandırılabildiği anlamına gelir.
4 - Dizin oluşturucuyu özel ortamda çalışacak şekilde yapılandırma
Dizin oluşturucu yürütmesi , arama hizmetine özgü özel bir ortamda veya birden çok müşteri için pahalı beceri kümesi işlemlerini boşaltmak için dahili olarak kullanılan çok kiracılı bir ortamda gerçekleşir.
Yürütme ortamı saydamdır, ancak güvenlik duvarı kuralları oluşturmaya veya özel bağlantılar kurmaya başladıktan sonra dizin oluşturucu yürütmeyi hesaba katmalısınız. Özel bağlantı için dizin oluşturucu yürütmesini her zaman özel ortamda çalışacak şekilde yapılandırın.
Bu adım, REST API kullanarak dizin oluşturucunun özel ortamda çalışacak şekilde nasıl yapılandırabileceğinizi gösterir. Yürütme ortamını portaldaki JSON düzenleyicisini kullanarak da ayarlayabilirsiniz.
Not
Özel uç nokta bağlantısı onay almadan önce bu adımı gerçekleştirebilirsiniz. Ancak, özel uç nokta bağlantısı onaylandı olarak gösterilene kadar, güvenli bir kaynakla (depolama hesabı gibi) iletişim kurmaya çalışan tüm mevcut dizin oluşturucular geçici bir hata durumuna gelir ve yeni dizin oluşturucular oluşturulamaz.
Veri kaynağı tanımını, dizinini ve beceri kümesini (kullanıyorsanız) normalde yaptığınız gibi oluşturun. Bu tanımların hiçbirinde paylaşılan özel uç nokta kullanılırken değişen özellikler yoktur.
Önceki adımda oluşturduğunuz veri kaynağına, dizine ve beceri kümesine işaret eden bir dizin oluşturucu oluşturun. Ayrıca, dizin oluşturucu yapılandırma özelliğini
private
olarak ayarlayarak dizin oluşturucuyuexecutionEnvironment
özel yürütme ortamında çalışmaya zorlayın.{ "name": "indexer", "dataSourceName": "blob-datasource", "targetIndexName": "index", "parameters": { "configuration": { "executionEnvironment": "private" } }, "fieldMappings": [] }
Dizin oluşturucu başarıyla oluşturulduktan sonra özel uç nokta bağlantısı üzerinden Azure kaynağına bağlanmalıdır. Dizin Oluşturucu Durum API'sini kullanarak dizin oluşturucunun durumunu izleyebilirsiniz.
Not
Zaten var olan dizin oluşturucularınız varsa, bunu olarak ayarlayarak veya portaldaki JSON düzenleyicisini executionEnvironment
private
kullanarak PUT API'si aracılığıyla güncelleştirebilirsiniz.
5 - Paylaşılan özel bağlantıyı test edin
Henüz yapmadıysanız Azure PaaS kaynağınızın genel İnternet'ten gelen bağlantıları reddettiğini doğrulayın. Bağlantılar kabul edilirse, Azure PaaS kaynağınızın Ağ sayfasındaki DNS ayarlarını gözden geçirin.
Özel uç noktaya dizin oluşturucu bağlantısı gibi giden istek senaryolarını çağırabilen bir araç seçin. Verileri içeri aktarma sihirbazını kullanmak kolay bir seçenektir, ancak daha hassas olması için rest istemcisini ve REST API'lerini de deneyebilirsiniz. Arama hizmetinizin de özel bağlantı için yapılandırılmadığını varsayarsak, arama için REST istemci bağlantısı genel İnternet üzerinden olabilir.
bağlantı dizesi özel Azure PaaS kaynağına ayarlayın. paylaşılan özel bağlantı için bağlantı dizesi biçimi değişmez. Arama hizmeti, paylaşılan özel bağlantıyı dahili olarak çağırır.
Dizin oluşturucu iş yükleri için bağlantı dizesi veri kaynağı tanımındadır. Bir veri kaynağı örneği aşağıdaki gibi görünebilir:
{ "name": "my-blob-ds", "type": "azureblob", "subtype": null, "credentials": { "connectionString": "DefaultEndpointsProtocol=https;AccountName=<YOUR-STORAGE-ACCOUNT>;AccountKey=..." }
Dizin oluşturucu iş yükleri için, dizin oluşturucu tanımında yürütme ortamını ayarlamayı unutmayın. Dizin oluşturucu tanımı örneği şöyle görünebilir:
"name": "indexer", "dataSourceName": "my-blob-ds", "targetIndexName": "my-index", "parameters": { "configuration": { "executionEnvironment": "private" } }, "fieldMappings": [] }
Dizin oluşturucuyu çalıştırın. Dizin oluşturucu yürütmesi başarılı olursa ve arama dizini doldurulursa, paylaşılan özel bağlantı çalışır.
Sorun giderme
Dizin oluşturucu oluşturma işleminiz "Veri kaynağı kimlik bilgileri geçersiz" hatasıyla başarısız olursa, bağlantıda hata ayıklamadan önce paylaşılan özel bağlantının onay durumunu denetleyin. Durum ise
Approved
özelliğini denetleyinproperties.provisioningState
. iseIncomplete
, temel bağımlılıklarla ilgili bir sorun olabilir. Bu durumda,PUT
paylaşılan özel bağlantıyı yeniden oluşturma isteğini yeniden oluşturun. Onay adımını tekrarlamanız da gerekebilir.Dizin oluşturucular tutarlı veya aralıklı olarak başarısız olursa dizin oluşturucudaki
executionEnvironment
özelliği denetleyin. Değeri olarakprivate
ayarlanmalıdır. Bu özelliği ayarlamadıysanız ve dizin oluşturucu geçmişte başarılı olduysa, bunun nedeni arama hizmetinin kendi kendine özel bir ortam kullanmasıdır. Sistem yük altındaysa, arama hizmeti işlemeyi standart ortamın dışına taşır.Paylaşılan özel bağlantı oluştururken hata alırsanız, katmanınızın kotası altında olduğunuzu doğrulamak için hizmet sınırlarını denetleyin.
Sonraki adımlar
Özel uç noktalar ve diğer güvenli bağlantı yöntemleri hakkında daha fazla bilgi edinin: