Erstellen eines privaten Endpunkts für sichere Verbindungen mit Azure KI-Suche

In diesem Artikel erfahren Sie, wie Sie eine private Verbindung mit der Azure KI-Suche konfigurieren, damit Anforderungen von Clients in einem virtuellen Netzwerk statt über eine öffentliche Internetverbindung zugelassen werden:

• Erstellen eines virtuellen Azure-Netzwerks (oder Verwenden eines vorhandenen Netzwerks)
• Konfigurieren eines Suchdiensts zur Verwendung eines privaten Endpunkts
• Erstellen eines virtuellen Azure-Computers im gleichen virtuellen Netzwerk
• Testen der Verwendung einer Browsersitzung auf dem virtuellen Computer

Andere Azure-Ressourcen, die möglicherweise privat eine Verbindung mit der Azure KI-Suche herstellen, umfassen Azure OpenAI für Szenarien zur Verwendung eigener Daten. Azure OpenAI Studio wird nicht in einem virtuellen Netzwerk ausgeführt, kann aber im Back-End so konfiguriert werden, dass Anforderungen über das Microsoft-Backbone-Netzwerk gesendet werden. Die Konfiguration für dieses Datenverkehrsmuster wird von Microsoft aktiviert, wenn Ihre Anforderung übermittelt und genehmigt wird. In diesem Szenario:

• Befolgen Sie die Anleitung zum Einrichten des privaten Endpunkts in diesem Artikel.
• Senden Sie eine Anforderung an Azure OpenAI Studio, um eine Verbindung mit Ihrem privaten Endpunkt herzustellen.
• Deaktivieren Sie optional den öffentlichen Netzwerkzugriff, wenn Verbindungen nur von Clients im virtuellen Netzwerk oder von Azure OpenAI über eine private Endpunktverbindung hergestellt werden sollen.

Wichtige Punkte zu privaten Endpunkten

Private Endpunkte werden durch Azure Private Link als separater gebührenpflichtiger Dienst bereitgestellt. Weitere Informationen zu den Kosten finden Sie in der Preisübersicht.

Sobald ein Suchdienst über einen privaten Endpunkt verfügt, muss der Portalzugriff auf diesen Dienst aus einer Browsersitzung auf einem virtuellen Computer innerhalb des virtuellen Netzwerks initiiert werden. Weitere Informationen finden Sie in diesem Schritt.

Sie können einen privaten Endpunkt für einen Suchdienst über das Azure-Portal erstellen, wie in diesem Artikel beschrieben. Alternativ können Sie die Verwaltungs-REST-API, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden.

Warum sollten Sie einen privaten Endpunkt verwenden?

Private Endpunkte für Azure KI Search ermöglichen es einem Client in einem virtuellen Netzwerk, über einen privaten Link sicher auf Daten in einem Suchindex zuzugreifen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum des virtuellen Netzwerks für Ihren Suchdienst. Der Netzwerkdatenverkehr zwischen dem Client und dem Suchdienst wird über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbonenetzwerk geleitet, sodass keine Offenlegung im öffentlichen Internet erfolgt. Eine Liste mit anderen PaaS-Diensten, bei denen Private Link unterstützt wird, finden Sie im Abschnitt Verfügbarkeit in der Produktdokumentation.

Private Endpunkte für Ihren Suchdienst ermöglichen Folgendes:

• Blockieren aller Verbindungen am öffentlichen Endpunkt für den Suchdienst
• Erhöhen der Sicherheit für das virtuelle Netzwerk, indem Sie die Exfiltration von Daten aus dem virtuellen Netzwerk blockieren können
• Sicheres Verbinden mit dem Suchdienst aus lokalen Netzwerken, die eine Verbindung mit dem virtuellen Netzwerk über VPN oder ExpressRoute mit privatem Peering herstellen

Erstellen des virtuellen Netzwerks

In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und das Subnetz zum Hosten des virtuellen Computers, der für den Zugriff auf den privaten Endpunkt des Suchdiensts verwendet wird.

1. Wählen Sie auf der Startregisterkarte des Azure-Portals die Option Ressource erstellen>Netzwerk>Virtuelles Netzwerk aus.

2. Geben Sie unter Virtuelles Netzwerk erstellen die folgenden Werte ein, oder wählen Sie sie aus:

   Einstellung	Wert
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Wählen Sie Neu erstellen aus, geben Sie einen Namen ein, z. B. „myResourceGroup“, und wählen Sie dann OK aus.
   Name	Geben Sie einen Namen ein, z. B. „MyVirtualNetwork“.
   Region	Wählen Sie eine Region aus.

3. Übernehmen Sie für den Rest der Einstellungen die Standardwerte. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

Erstellen eines Suchdiensts mit einem privaten Endpunkt

In diesem Abschnitt erstellen Sie einen neuen Azure KI Search-Dienst mit einem privaten Endpunkt.

1. Wählen Sie oben links auf dem Bildschirm im Azure-Portal die Option Ressource erstellen>Web>Azure KI Search aus.

2. Geben Sie unter Neuer Suchdienst – Grundlagen folgende Werte ein, oder wählen Sie sie aus:

   Einstellung	Wert
   PROJEKTDETAILS
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Verwenden Sie die Ressourcengruppe, die Sie im vorherigen Schritt erstellt haben.
   INSTANZDETAILS
   URL	Geben Sie einen eindeutigen Namen ein.
   Standort	Wählen Sie Ihre Region aus.
   Tarif	Wählen Sie Tarif ändern und dann den gewünschten Tarif aus. Private Endpunkte werden im Free-Tarif nicht unterstützt. Sie müssen Basic oder höher auswählen.

3. Klicken Sie auf Weiter: Skalieren.

4. Übernehmen Sie die Standardeinstellungen, und wählen Sie Weiter: Netzwerk aus.

5. Wählen Sie unter Neuer Suchdienst – Netzwerk die Option Privat für Endpunktkonnektivität (Daten) aus.

6. Wählen Sie unter Privater Endpunkt die Option + Hinzufügen aus.

7. Geben Sie in Privaten Endpunkt erstellen Werte ein, oder wählen Sie Werte aus, die Ihren Suchdienst dem von Ihnen erstellten virtuellen Netzwerk zuordnen:

   Einstellung	Wert
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Verwenden Sie die Ressourcengruppe, die Sie im vorherigen Schritt erstellt haben.
   Standort	Wählen Sie eine Region aus.
   Name	Geben Sie einen Namen ein, z. B. „myPrivateEndpoint“.
   Unterressource des Ziels	Übernehmen Sie den Standardwert searchService.
   NETZWERK
   Virtuelles Netzwerk	Wählen Sie das im vorherigen Schritt erstellte virtuelle Netzwerk aus.
   Subnet	Wählen Sie den Standardwert aus.
   PRIVATE DNS-INTEGRATION
   Integration in eine private DNS-Zone	Übernehmen Sie den Standardwert „Ja“.
   Private DNS-Zone	Übernehmen Sie den Standardwert (Neu) privatelink.search.windows.net.

8. Wählen Sie OK aus.

9. Klicken Sie auf Überprüfen + erstellen. Sie werden zur Seite Überprüfen und erstellen weitergeleitet, auf der Azure Ihre Konfiguration überprüft.

10. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

11. Navigieren Sie nach Abschluss der Bereitstellung des neuen Diensts zu der erstellten Ressource.

12. Wählen Sie im linken Inhaltsmenü die Option Schlüssel aus.

13. Kopieren Sie den primären Administratorschlüssel für später, wenn Sie eine Verbindung mit dem Dienst herstellen.

Erstellen eines virtuellen Computers

1. Wählen Sie oben links auf dem Bildschirm im Azure-Portal die Option Ressource erstellen>Compute>Virtueller Computer aus.

2. Geben Sie unter Virtuellen Computer erstellen – Grundlagen die folgenden Werte ein, oder wählen Sie sie aus:

   Einstellung	Wert
   PROJEKTDETAILS
   Subscription	Wählen Sie Ihr Abonnement aus.
   Resource group	Verwenden Sie die Ressourcengruppe, die Sie im vorherigen Abschnitt erstellt haben.
   INSTANZDETAILS
   Name des virtuellen Computers	Geben Sie einen Namen ein, z. B. „my-vm“.
   Region	Wählen Sie Ihre Region aus.
   Verfügbarkeitsoptionen	Sie können die Option Keine Redundanz der Infrastruktur erforderlich auswählen, bzw. eine andere Option, wenn Sie die Funktionalität benötigen.
   Abbildung	Wählen Sie Windows Server 2022 Datacenter: Azure Edition – Gen2 aus.
   VM-Architektur	Übernehmen Sie den Standardwert x64.
   Größe	Übernehmen Sie den Standardwert Standard D2S v3.
   ADMINISTRATORKONTO
   Username	Geben Sie den Benutzernamen des Administrators ein. Verwenden Sie ein Konto, das für Ihr Azure-Abonnement gültig ist. Sie möchten sich auf dem virtuellen Computer beim Azure-Portal anmelden, damit Sie Ihren Suchdienst verwalten können.
   Kennwort	Geben Sie das Kennwort des Kontos ein. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.
   Kennwort bestätigen	Geben Sie das Kennwort erneut ein.
   REGELN FÜR EINGEHENDE PORTS
   Öffentliche Eingangsports	Übernehmen Sie den Standardwert Ausgewählte Ports zulassen.
   Eingangsports auswählen	Übernehmen Sie den Standardwert RDP (3389).

3. Klicken Sie auf Weiter: Datenträger.

4. Übernehmen Sie unter Virtuellen Computer erstellen – Datenträger die Standardwerte, und wählen Sie Weiter: Netzwerk aus.

5. Geben Sie unter Virtuellen Computer erstellen – Netzwerk die folgenden Werte an:

   Einstellung	Wert
   Virtuelles Netzwerk	Wählen Sie das in einem vorherigen Schritt erstellte virtuelle Netzwerk aus.
   Subnet	Übernehmen Sie den Standardwert (10.1.0.0/24).
   NIC-Netzwerksicherheitsgruppe	Übernehmen Sie den Standardwert „Basic“.
   Öffentliche IP-Adresse	Übernehmen Sie den Standardwert „(neu) myVm-ip“.
   Öffentliche Eingangsports	Wählen Sie den Standardwert „Ausgewählte Ports zulassen“ aus.
   Eingangsports auswählen	Wählen Sie „HTTP (80)“, „HTTPS (443)“ und „RDP (3389)“ aus.

   Hinweis

   IPv4-Adressen können im CIDR-Format ausgedrückt werden. Denken Sie daran, den für private Netzwerke reservierten IP-Adressbereich zu vermeiden, wie in RFC 1918 beschrieben:

   • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
   • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
   • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

6. Wählen Sie Überprüfen und erstellen aus, um eine Validierungsüberprüfung auszuführen.

7. Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Herstellen der Verbindung zur VM

Laden Sie den virtuellen Computer herunter und stellen Sie die Verbindung her. Gehen Sie dazu wie folgt vor:

1. Suchen Sie in der Suchleiste des Portals nach dem virtuellen Computer, der im vorherigen Schritt erstellt wurde.

2. Wählen Sie Verbinden. Nach dem Auswählen der Schaltfläche Verbinden wird Verbindung mit virtuellem Computer herstellen geöffnet.

3. Wählen Sie RDP-Datei herunterladen aus. Azure erstellt eine Remotedesktopprotokoll-Datei (.rdp) und lädt sie auf Ihren Computer herunter.

4. Öffnen Sie die heruntergeladene .rdp-Datei.

   1. Wenn Sie dazu aufgefordert werden, wählen Sie Verbinden aus.

   2. Geben Sie den Benutzernamen und das Kennwort ein, den/das Sie beim Erstellen des virtuellen Computers angegeben haben.

      Hinweis

      Unter Umständen müssen Sie Weitere Optionen>Anderes Konto verwenden auswählen, um die Anmeldeinformationen anzugeben, die Sie beim Erstellen des virtuellen Computers eingegeben haben.

5. Klicken Sie auf OK.

6. Während des Anmeldevorgangs wird unter Umständen eine Zertifikatwarnung angezeigt. Wenn Sie eine Zertifikatwarnung erhalten, wählen Sie Ja oder Weiter aus.

7. Sobald der VM-Desktop angezeigt wird, minimieren Sie ihn, um zu Ihrem lokalen Desktop zurückzukehren.

Testen von Verbindungen

In diesem Abschnitt überprüfen Sie den Zugriff im privaten Netzwerk auf den Suchdienst und stellen über den privaten Endpunkt eine private Verbindung her.

Wenn der Suchdienst-Endpunkt privat ist, sind einige Portalfunktionen deaktiviert. Sie können Einstellungen auf Dienstebene anzeigen und verwalten, aber der Portalzugriff auf Indexdaten und verschiedene andere Komponenten im Dienst sind aus Sicherheitsgründen eingeschränkt. Dazu zählen beispielsweise Index-, Indexer- und Skillsetdefinitionen.

1. Öffnen Sie auf dem Remotedesktop von myVM PowerShell.

2. Geben Sie nslookup [search service name].search.windows.net ein.

   Sie erhalten eine Meldung wie die folgende:

   Server:  UnKnown
   Address:  168.63.129.16
   Non-authoritative answer:
   Name:    [search service name].privatelink.search.windows.net
   Address:  10.0.0.5
   Aliases:  [search service name].search.windows.net
   

3. Stellen Sie über den virtuellen Computer eine Verbindung mit dem Suchdienst her, und erstellen Sie einen Index. Sie können die Anweisungen in diesem Schnellstart befolgen, um einen neuen Suchdienst in Ihrem Dienst mithilfe der REST-API zu erstellen. Zum Einrichten von Anforderungen aus einem Web-API-Testtool sind der Endpunkt des Suchdiensts (https://[Suchdienstname].search.windows.net) und der Administrator-API-Schlüssel, den Sie in einem vorherigen Schritt kopiert haben, erforderlich.

4. Das Ausführen der Schritte des Schnellstarts über den virtuellen Computer dient zur Überprüfung, ob der Dienst voll funktionsfähig ist.

5. Schließen Sie die Remotedesktopverbindung mit myVM.

6. Um sicherzustellen, dass der Dienst nicht über einen öffentlichen Endpunkt zugänglich ist, öffnen Sie einen REST-Client auf Ihrer lokalen Arbeitsstation, und führen Sie die ersten Schritte im Schnellstart aus. Wenn eine Fehlermeldung darüber angezeigt wird, dass der Remoteserver nicht vorhanden ist, haben Sie erfolgreich einen privaten Endpunkt für den Suchdienst konfiguriert.

Verwenden Sie das Azure-Portal für den Zugriff auf einen privaten Suchdienst

Wenn der Suchdienst-Endpunkt privat ist, sind einige Portalfunktionen deaktiviert. Sie können Informationen auf Dienstebene anzeigen und verwalten, aber die Informationen zu Index, Indexer und Skillset sind aus Sicherheitsgründen ausgeblendet.

Um diese Einschränkung zu umgehen, stellen Sie eine Verbindung zum Azure-Portal über einen Browser auf einer virtuellen Maschine innerhalb des virtuellen Netzwerks her. Das Portal verwendet den privaten Endpunkt der Verbindung und bietet Ihnen Einblick in Inhalte und Vorgänge.

1. Folgen Sie den Schritten zur Bereitstellung einer VM, die über einen privaten Endpunkt auf den Suchdienst zugreifen kann.

2. Öffnen Sie auf einer VM in Ihrem virtuellen Netzwerk einen Browser, und melden Sie sich beim Azure-Portal an. Das Portal verwendet den privaten Endpunkt, der mit der virtuellen Maschine verbunden ist, um sich mit Ihrem Suchdienst zu verbinden.

Deaktivieren des Zugriffs auf das öffentliche Netzwerk

Sie können einen Suchdienst sperren, um zu verhindern, dass eine Anforderung aus dem öffentlichen Internet zugelassen wird. Sie können für diesen Schritt das Azure-Portal verwenden.

1. Wählen Sie im Azure-Portal im linken Bereich Ihrer Suchdienstseite die Option Netzwerk aus.

2. Wählen Sie Deaktiviert auf der Registerkarte Firewalls und virtuelle Netzwerke aus.

Sie können auch die Azure CLI, Azure PowerShell oder die Verwaltungs-REST-API verwenden, um public-access oder public-network-access auf disabled festlegen.

Bereinigen von Ressourcen

Wenn Sie in Ihrem eigenen Abonnement arbeiten, sollten Sie sich am Ende eines Projekts überlegen, ob Sie die erstellten Ressourcen noch benötigen. Ressourcen, die weiterhin ausgeführt werden, können Sie Geld kosten.

Sie können einzelne Ressourcen löschen oder die Ressourcengruppe entfernen, um alles zu löschen, was Sie in dieser Übung erstellt haben. Wählen Sie die Ressourcengruppe auf der Übersichtsseite einer beliebigen Ressource aus, und wählen Sie dann Löschen aus.

Nächste Schritte

In diesem Artikel haben Sie einen virtuellen Computer in einem virtuellen Netzwerk und einen Suchdienst mit einem privaten Endpunkt erstellt. Sie haben über das Internet eine Verbindung mit dem virtuellen Computer hergestellt und über Private Link sicher mit dem Suchdienst kommuniziert. Weitere Informationen zu privaten Endpunkten finden Sie unter Was ist ein privater Endpunkt in Azure?.