Создание частной конечной точки для безопасного подключения к поиску ИИ Azure

В этой статье объясняется, как настроить частное подключение к поиску ИИ Azure, чтобы он признал запросы от клиентов в виртуальной сети вместо общедоступного подключения к Интернету.

Предпосылки

  • Служба поиска ИИ Azure (базовый или более высокий уровень). Частные конечные точки не поддерживаются на уровне "Бесплатный".
  • Роль участника или владельца в группе ресурсов, в которой вы создаете ресурсы.
  • Общий регион с доступностью для поиска ИИ Azure, виртуальной сети и виртуальной машины. Все три ресурса должны находиться в одном регионе.
  • Знакомство с понятиями виртуальной сети Azure (необязательно, но рекомендуется).

Обзор

В этой статье описаны следующие действия.

  1. Создание виртуальной сети Azure (или использование существующей)
  2. Настройка службы поиска с частной конечной точкой
  3. Создание виртуальной машины Azure в той же виртуальной сети
  4. Проверка подключения с виртуальной машины

Частные конечные точки предоставляются Приватный канал Azure, как отдельная оплачиваемая служба. Дополнительные сведения о затратах см. в ценах на Приватный канал Azure.

Вы можете создать частную конечную точку с помощью портала Azure (описанного в этой статье), REST API управления, Azure PowerShell или Azure CLI.

Зачем использовать частную конечную точку?

Частные конечные точки для поиска ИИ Azure позволяют клиенту в виртуальной сети безопасно получать доступ к данным в индексе поиска по частный канал. Частная конечная точка использует для службы поиска IP-адрес из диапазона адресов виртуальной сети. Сетевой трафик между клиентом и службой поиска передается через виртуальную сеть и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков, связанных с использованием общедоступного Интернета. Список других служб PaaS, поддерживающих Приватный канал, см. в разделе доступности в документации по продукту.

Частные конечные точки для службы поиска позволяют:

  • Блокировать все подключения на общедоступном конечном узле для службы поиска.
  • Увеличьте безопасность виртуальной сети, позволяя блокировать кражу данных из виртуальной сети.
  • Безопасно подключайтесь к вашей службе поиска из локальных сетей, связанных с виртуальной сетью, используя VPN или ExpressRoute и частный пиринг.

Создание виртуальной сети

В этом разделе описано, как создать виртуальную сеть и подсеть для размещения виртуальной машины, которая будет использоваться для доступа к частной конечной точке службы поиска.

  1. На домашней вкладке портала Azure выберите Создать ресурс>Службы инфраструктуры>Виртуальная сеть.

  2. В разделе "Создание виртуальной сети" введите или выберите следующие значения:

    Настройка Значение
    Подписка Выберите свою подписку.
    Группа ресурсов Нажмите кнопку "Создать", введите имя, например myResourceGroup, а затем нажмите кнопку "ОК"
    Имя. Введите имя, например MyVirtualNetwork
    Область/регион Выбор региона

  3. Для остальных параметров примите значения по умолчанию. Выберите Просмотр и создание, а затем щелкните Создать.

Создание поисковой службы с частной конечной точкой

В этом разделе вы создаете новый сервис Azure AI с частной конечной точкой.

  1. В левой верхней части экрана на портале Azure выберите Создать ресурсМашинное обучениеПоиск AI.

  2. В разделе "Создание службы поиска " Основные сведения" введите или выберите следующие значения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Используйте группу ресурсов, созданную на предыдущем шаге
    Сведения об экземпляре
    URL Укажите уникальное имя
    Расположение Выберите свой регион. Выберите регион, предоставляющий поиск по искусственному интеллекту Azure.
    Ценовая категория Щелкните Изменить ценовую категорию и выберите нужный уровень служб. Частные конечные точки не поддерживаются в тарифе Бесплатный. Необходимо выбрать "Базовый " или "Выше".

  3. Щелкните Далее: масштабирование.

  4. Примите значения по умолчанию и нажмите кнопку Далее: Сеть.

  5. В разделе "Создание службы поиска — сеть" выберите "Частное" для подключения к конечной точке (данные).

  6. Выберите + Добавить в частную конечную точку.

  7. В разделе "Создание частной конечной точки" введите или выберите значения, которые связывают службу поиска с созданной виртуальной сетью:

    Настройка Значение
    Подписка Выберите свою подписку.
    Группа ресурсов Используйте группу ресурсов, созданную на предыдущем шаге
    Расположение выберите регион. Выберите тот же регион, который используется виртуальной сетью.
    Имя. Введите имя, например myPrivateEndpoint
    Целевой субресурс Примите службу поиска по умолчанию
    СЕТИ
    Виртуальная сеть Выберите виртуальную сеть, созданную на предыдущем шаге
    Подсеть Выберите значение по умолчанию
    ЧАСТНАЯ ИНТЕГРАЦИЯ DNS
    Интегрировать с частной зоной DNS Выберите Да.
    Частная зона DNS Примите значение по умолчанию (новое) privatelink.search.windows.net

  8. Выберите Добавить.

  9. Выберите Просмотреть и создать. Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

  10. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

  11. После завершения подготовки новой службы перейдите к созданному ресурсу.

  12. Выберите Параметры>Ключи в меню слева.

  13. Скопируйте значение параметра Первичный ключ администратора для последующего использования при подключении к службе.

Создание виртуальной машины

  1. В левой верхней части экрана в портале Azure выберите Создать ресурс>Службы инфраструктуры>Виртуальная машина.

  2. В разделе "Создание виртуальной машины — основы" введите или выберите следующие значения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Используйте группу ресурсов, созданную в предыдущем разделе
    Сведения об экземпляре
    Название виртуальной машины Введите имя, например my-vm
    Область/регион Выберите регион
    Параметры доступности Вы можете выбрать опцию без избыточности инфраструктуры или другой вариант, если вам нужна функциональность.
    Тип безопасности Примите виртуальные машины доверенного запуска по умолчанию
    Изображение Выберите Windows Server 2025 Datacenter: Azure Edition — x64 второго поколения
    Архитектура виртуальной машины Примите значение по умолчанию x64
    Размер Примите версию по умолчанию Standard D2S v3
    Учетная запись администратора
    Имя пользователя Введите имя пользователя администратора. Используйте учетную запись, подходящую для вашей подписки Azure. Войдите в портал Azure из виртуальной машины, чтобы управлять службой поиска.
    Пароль Введите пароль учетной записи. Пароль должен содержать минимум 12 символов и соответствовать заданным требованиям к сложности.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Общедоступные входящие порты Примите настройку по умолчанию Разрешить выбранные порты
    Выбрать входящие порты Примите RDP по умолчанию (3389)

  3. Нажмите кнопку "Далее" — диски.

  4. В разделе "Создание виртуальной машины — диски" примите значения по умолчанию и нажмите кнопку "Далее: сеть".

  5. В разделе "Создание виртуальной машины — сеть" укажите следующие значения:

    Настройка Значение
    Виртуальная сеть Выберите виртуальную сеть, созданную на предыдущем шаге
    Подсеть Примите значение по умолчанию 10.1.0.0/24
    Общедоступный IP-адрес Примите значение по умолчанию
    Группа безопасности сети NIC Примите базовый стандарт по умолчанию
    Общедоступные входящие порты Выберите параметр по умолчанию Разрешить выбранные порты
    Выбрать входящие порты Выберите HTTP 80, HTTPS (443) и RDP (3389)

    Примечание.

    IPv4-адреса можно выразить в формате CIDR. Не используйте диапазон IP-адресов, зарезервированный для частных сетей, как описано в RFC 1918.

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Выберите "Рецензирование" и "Создать " для проверки.

  7. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Подключение к виртуальной машине

Скачайте и подключитесь к виртуальной машине следующим образом:

  1. На панели поиска портал Azure найдите виртуальную машину, созданную на предыдущем шаге.

  2. Нажмите Подключиться. После нажатия кнопки Подключиться откроется окно Connect to virtual machine (Подключение к виртуальной машине).

  3. Выберите Скачать RDP-файл. Azure создаст и скачает на ваш компьютер файл протокола удаленного рабочего стола (RDP).

  4. Откройте скачанный файл RDP.

    1. При появлении запроса выберите Подключиться.

    2. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

      Примечание.

      Возможно, потребуется выбрать элементы Дополнительные варианты>Использовать другую учетную запись, чтобы указать учетные данные, введенные при создании виртуальной машины.

  5. Нажмите ОК.

  6. При входе в систему может появиться предупреждение о сертификате. В таком случае выберите Да или Продолжить.

  7. Когда появится рабочий стол виртуальной машины, сверните его, чтобы вернуться на локальный рабочий стол.

Проверка подключения

В этом разделе вы проверяете доступ частной сети к службе поиска и подключаетесь к ней с помощью частной конечной точки.

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы можете просматривать параметры уровня обслуживания и управлять ими, но доступ к данным индекса и различным другим компонентам службы, таким как индексатор, индексатор и определения наборов навыков, ограничен по соображениям безопасности.

  1. Откройте PowerShell на удаленном рабочем столе myVm.

  2. Введите nslookup [search service name].search.windows.net.

    Должно появиться сообщение следующего вида:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

    В поле "Имя" представлен privatelink, а в поле "Адрес" указан частный IP-адрес (10.x.x.x), что подтверждает правильную настройку частной конечной точки.

  3. С виртуальной машины подключитесь к службе поиска и создайте индекс. Вы можете следовать инструкциям в этом кратком руководстве и создать индекс поиска в службе с помощью REST API. Для настройки запросов из средства тестирования веб-API требуется конечная точка (https://[search service name].search.windows.net) службы поиска и ключ api администратора, скопированный на предыдущем шаге.

    Справочник:Создание индекса (REST API)

  4. Завершение быстрого запуска с ВМ подтверждает полную работоспособность службы.

  5. Закройте подключение к удаленному рабочему столу myVM.

  6. Чтобы убедиться, что служба недоступна в общедоступной конечной точке, откройте клиент REST на локальной рабочей станции и попытайтесь выполнить первые несколько задач в кратком руководстве. Если вы получаете сообщение об ошибке, что удаленный сервер не существует, вы успешно настроили частную конечную точку для службы поиска.

Доступ к частной службе поиска с помощью портал Azure

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы можете просматривать сведения об уровне обслуживания и управлять ими, но сведения об индексе, индексаторе и наборе навыков скрыты по соображениям безопасности.

Чтобы обойти это ограничение, подключитесь к портал Azure из браузера на виртуальной машине в виртуальной сети. Портал Azure использует частную конечную точку подключения и позволяет просматривать содержимое и операции.

  1. Выполните действия по подготовке виртуальной машины, которая может получить доступ к службе поиска через частную конечную точку.

  2. На виртуальной машине в виртуальной сети откройте браузер и войдите в портал Azure. портал Azure использует частную конечную точку, подключенную к виртуальной машине, для подключения к службе поиска.

Отключение доступа из общедоступной сети

Вы можете заблокировать службу поиска, чтобы предотвратить прием любого запроса из общедоступного Интернета. Для этого шага можно использовать портал Azure.

  1. На портале Azure, на самой левой панели страницы службы поиска выберите Сетевое взаимодействие.

  2. Выберите "Отключено" на вкладке "Брандмауэры" и "Виртуальные сети ".

Вы также можете использовать Azure CLI, Azure PowerShell или REST API управления, установив public-access или public-network-access на значение disabled.

Очистка ресурсов

Если вы работаете в собственной подписке, в конце проекта следует решить, нужны ли вам созданные ресурсы. Ресурсы, оставленные включёнными, могут стать причиной расходов.

Вы можете удалить отдельные ресурсы или группу ресурсов, чтобы удалить все, что вы создали в этом упражнении. Выберите группу ресурсов на странице обзора любого ресурса и нажмите кнопку "Удалить".

Следующий шаг

В этой статье вы создали виртуальную машину в виртуальной сети и службе поиска с частной конечной точкой. Вы подключились к виртуальной машине из Интернета и безопасно взаимодействовали со службой поиска с помощью Приватного канала. Дополнительные сведения о частных конечных точках см. в статье "Что такое частная конечная точка?

  • Last updated on