Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Настройка новой службы поиска ИИ Azure включает в себя несколько задач для оптимизации безопасности, доступа и производительности. В этой статье представлен контрольный список для первого дня, который поможет вам настроить службу на портале Azure.
После создания службы поиска рекомендуется:
Настройка доступа на основе ролей
Доступ на портале основан на назначениях ролей. По умолчанию новые службы поиска имеют по крайней мере одного администратора службы или владельца. Администраторы служб, соадминистраторы и владельцы имеют разрешение на создание дополнительных администраторов и назначение других ролей. Они также имеют доступ ко всем страницам портала и операциям со службами поиска по умолчанию.
Совет
По умолчанию любой администратор или владелец может создавать или удалять службы. Чтобы предотвратить случайное удаление, попробуйте заблокировать ресурсы.
Каждая служба поиска поставляется с ключами API и использует проверку подлинности на основе ключей по умолчанию. Однако мы рекомендуем использовать идентификатор Microsoft Entra и управление доступом на основе ролей (RBAC) для повышения безопасности. RBAC устраняет необходимость хранения и передачи ключей API в виде обычного текста.
При переходе с проверки подлинности на основе ключей на проверку подлинности без ключей администраторы служб должны сами назначать себе роли для управления данными для полного доступа к объектам и данным. К этим ролям относятся специалист службы поиска, вкладчик данных индекса поиска и читатель данных индекса поиска.
Чтобы настроить доступ на основе ролей, выполните приведенные действия.
Включите роли в службе поиска. Мы рекомендуем использовать как ключи API, так и роли.
Назначение ролей плоскости данных для замены функций, потерянных при отключении ключей API. Владельцу требуется только средство чтения индексов поиска, но разработчикам требуется больше ролей.
Назначение ролей может занять несколько минут. До этого страницы портала, используемые для операций плоскости данных, отображают следующее сообщение:
Назначение дополнительных ролей разработчикам решений и приложениям.
Настройка управляемого удостоверения
Если вы планируете использовать индексаторы для автоматического индексирования, примененного ИИ или интегрированной векторизации, необходимо настроить службу поиска для использования управляемого удостоверения. Затем можно назначить роли в других службах Azure, которые авторизуют службу поиска для доступа к данным и операциям.
Для интегрированной векторизации учетная запись службы поиска требует следующих ролей:
- Средство чтения данных BLOB-объектов хранилища в служба хранилища Azure
- Пользователь данных Cognitive Services в многосервисной учетной записи сервисов искусственного интеллекта Azure
Назначение ролей может занять несколько минут.
Прежде чем перейти к сетевой безопасности, рассмотрите возможность тестирования всех точек подключения для проверки назначений ролей. Запустите мастер импорта данных или мастер импортаи векторизации данных для тестирования разрешений.
Настройка безопасности сети
По умолчанию служба поиска принимает прошедшие проверку подлинности и авторизованные запросы через общедоступные интернет-подключения. У вас есть два варианта повышения сетевой безопасности:
- Настройте правила брандмауэра для ограничения сетевого доступа по IP-адресу.
- Настройте частную конечную точку , чтобы разрешить трафик только из виртуальных сетей Azure. Обратите внимание, что при отключении общедоступной конечной точки мастера импорта не будут запускаться.
Дополнительные сведения о входящих и исходящих вызовах в службе "Поиск ИИ Azure" см. в статье "Безопасность" в службе "Поиск ИИ Azure".
Проверка емкости и понимание выставления счетов
По умолчанию служба поиска создается с одной репликой и одной секцией. Вы можете добавить емкость , добавив реплики и секции, но мы рекомендуем ждать, пока тома не требуют его. Многие клиенты выполняют рабочие нагрузки в минимальной конфигурации.
Семантический рангировщик увеличивает стоимость работы вашего сервиса. Если вы не хотите использовать эту функцию, вы можете отключить семантический рангер на уровне обслуживания.
Дополнительные сведения о других функциях, влияющих на выставление счетов, см. в статье "Как взимается плата за поиск ИИ Azure".
Включить ведение журнала диагностики
Включите ведение журнала диагностики для отслеживания действий пользователей. Если пропустить этот шаг, вы по-прежнему получаете журналы действий и метрики платформы автоматически. Однако если требуется информация об индексе и использовании запросов, необходимо включить ведение журнала диагностики и выбрать место для операций с журналами. Рекомендуется использовать рабочую область Log Analytics для устойчивого хранилища, чтобы выполнять системные запросы в портал Azure.
Корпорация Майкрософт собирает данные телеметрии о службе и платформе. Дополнительные сведения о хранении данных см. в разделе "Хранение метрик".
Дополнительные сведения о расположении данных и конфиденциальности см. в разделе "Расположение данных".
Включение семантического ранжирования
Семантический рангировщик предоставляется бесплатно для первых 1000 запросов в месяц. Он включен по умолчанию в новых службах поиска.
Чтобы включить семантический рангер на портале, выберите "Параметры>семантического рангера " на левой панели и выберите бесплатный план. Дополнительные сведения см. в разделе "Включить семантический рангер".
Предоставление сведений о подключении разработчикам
Чтобы подключиться к Службе поиска ИИ Azure, разработчикам потребуется:
- Конечная точка или URL-адрес на странице обзора .
- Ключ API на странице "Ключи " или назначение роли. Мы рекомендуем участник службы поиска, участник данных индекса поиска и средство чтения данных индексов поиска.
Мы рекомендуем использовать доступ на портале для мастера импорта данных, мастера импорта и векторизации данных и обозревателя поиска. Для запуска мастеров необходимо быть участником или выше.
Связанный контент
Сведения о программной поддержке администрирования служб см. в следующих API и модулях:
Вы также можете использовать клиентские библиотеки управления в пакетах SDK Azure для .NET, Python, Java и JavaScript.
Существует четность функций для всех модальности и языков, за исключением функций управления предварительной версией. Как правило, функции управления предварительной версией выпускаются с помощью REST API управления.