Créer un point de terminaison privé pour une connexion sécurisée à Recherche cognitive AzureCreate a Private Endpoint for a secure connection to Azure Cognitive Search

Dans cet article, vous allez utiliser le Portail Microsoft Azure pour créer une instance de service Recherche cognitive Azure qui n’est pas accessible via Internet.In this article, you'll use the Azure portal to create a new Azure Cognitive Search service instance that can't be accessed via the internet. Ensuite, vous allez configurer une machine virtuelle Azure dans le même réseau virtuel et l’utiliser pour accéder au service Search via un point de terminaison privé.Next, you'll configure an Azure virtual machine in the same virtual network and use it to access the search service via a private endpoint.

Les points de terminaison privés sont fournis par Azure Private Link, en tant que service distinct.Private endpoints are provided by Azure Private Link, as a separate service. Pour plus d’informations sur les coûts, consultez la page Tarification.For more information about costs, see the pricing page.

Vous pouvez définir un point de terminaison privé dans le portail Azure, comme décrit dans cet article.You can create a private endpoint in the Azure portal, as described in this article. Vous pouvez également utiliser l’API REST de gestion version 2020-03-13, Azure PowerShell ou Azure CLI.Alternatively, you can use the Management REST API version 2020-03-13, Azure PowerShell, or Azure CLI.

Notes

Lorsque le point de terminaison de service est privé, certaines fonctionnalités du portail sont désactivées.When the service endpoint is private, some portal features are disabled. Vous pouvez afficher et gérer des informations relatives aux services, toutefois, les informations relatives aux index, aux indexeurs et aux ensembles de compétences sont masquées pour des raisons de sécurité.You can view and manage service level information, but index, indexer, and skillset information is hidden for security reasons. Comme alternative au portail, vous pouvez utiliser l’extension VS Code pour interagir avec les différents composants du service.As an alternative to the portal, you can use the VS Code Extension to interact with the various components in the service.

Pourquoi utiliser un point de terminaison privé pour sécuriser l’accès ?Why use a Private Endpoint for secure access?

Les points de terminaison privésde Recherche cognitive Azure permettent à un client d’un réseau virtuel d’accéder en toute sécurité aux données d’un index de recherche grâce à une liaison privée.Private Endpoints for Azure Cognitive Search allow a client on a virtual network to securely access data in a search index over a Private Link. Ils utilisent une adresse IP de l’espace d’adressage du réseau virtuel pour votre service Search.The private endpoint uses an IP address from the virtual network address space for your search service. Le trafic entre le client et le service Search traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine l’exposition sur l’Internet public.Network traffic between the client and the search service traverses over the virtual network and a private link on the Microsoft backbone network, eliminating exposure from the public internet. Pour obtenir la liste des autres services PaaS qui prennent en charge la liaison privée, consultez la section disponibilité dans la documentation du produit.For a list of other PaaS services that support Private Link, check the availability section in the product documentation.

Les points de terminaison privés de votre service Search vous permettent de :Private endpoints for your search service enables you to:

  • Bloquer toutes les connexions sur le point de terminaison public de votre service Search.Block all connections on the public endpoint for your search service.
  • Renforcer la sécurité du réseau virtuel en assurant le blocage de l’exfiltration des données à partir du réseau virtuel.Increase security for the virtual network, by enabling you to block exfiltration of data from the virtual network.
  • Vous connecter en toute sécurité à votre service Search à partir de réseaux locaux qui se connectent au réseau virtuel à l’aide de VPN ou d’ExpressRoutes avec le peering privé.Securely connect to your search service from on-premises networks that connect to the virtual network using VPN or ExpressRoutes with private-peering.

Créer un réseau virtuelCreate the virtual network

Dans cette section, vous allez créer un réseau virtuel et un sous-réseau pour héberger la machine virtuelle qui est utilisée pour accéder au point de terminaison privé de votre service Search.In this section, you will create a virtual network and subnet to host the VM that will be used to access your search service's private endpoint.

  1. Dans l’onglet Accueil du portail Azure, sélectionnez Créer une ressource > Mise en réseau > Réseau virtuel.From the Azure portal home tab, select Create a resource > Networking > Virtual network.

  2. Dans Créer un réseau virtuel, entrez ou sélectionnez ces informations :In Create virtual network, enter or select this information:

    ParamètreSetting ValeurValue
    AbonnementSubscription Sélectionnez votre abonnementSelect your subscription
    Resource groupResource group Sélectionnez Créer nouveau, entrez myResourceGroup et cliquez sur OKSelect Create new, enter myResourceGroup, then select OK
    NomName Entrez MyVirtualNetworkEnter MyVirtualNetwork
    RégionRegion Sélectionnez la région de votre choixSelect your desired region
  3. Conservez les valeurs par défaut pour les autres paramètres.Leave the defaults for the rest of the settings. Cliquez sur Vérifier + créer, puis sur Créer.Click Review + create and then Create

Créer un service Search avec un point de terminaison privéCreate a search service with a private endpoint

Dans cette section, vous allez créer un service Recherche cognitive Azure avec un point de terminaison privé.In this section, you will create a new Azure Cognitive Search service with a Private Endpoint.

  1. En haut à gauche de l’écran du portail Azure, sélectionnez Créer une ressource > Web > Recherche cognitive Azure.On the upper-left side of the screen in the Azure portal, select Create a resource > Web > Azure Cognitive Search.

  2. Dans Nouveau service Search – Concepts de base, entrez ou sélectionnez les informations suivantes :In New Search Service - Basics, enter or select this information:

    ParamètreSetting ValeurValue
    DÉTAILS DU PROJETPROJECT DETAILS
    AbonnementSubscription Sélectionnez votre abonnement.Select your subscription.
    Resource groupResource group Sélectionnez myResourceGroup.Select myResourceGroup. Vous avez créé cela dans la section précédente.You created this in the previous section.
    DÉTAILS DE L’INSTANCEINSTANCE DETAILS
    URLURL Entrez un nom unique.Enter a unique name.
    EmplacementLocation Sélectionnez la région de votre choix.Select your desired region.
    Niveau tarifairePricing tier Sélectionnez Changer le niveau tarifaire et choisissez le niveau de service souhaité.Select Change Pricing Tier and choose your desired service tier. (Pas de prise en charge pour le niveau Gratuit.(Not support on Free tier. Il doit s’agir du niveau De base ou supérieur.)Must be Basic or higher.)
  3. Sélectionnez Suivant : Mise à l'échelle.Select Next: Scale.

  4. Conservez les valeurs par défaut, puis sélectionnez Suivant : Mise en réseau.Leave the values as default and select Next: Networking.

  5. Dans Nouveau service Search – Mise en réseau, sélectionnez Privé pour la Connectivité du point de terminaison (données) .In New Search Service - Networking, select Private for Endpoint connectivity(data).

  6. Dans Nouveau service Search – Mise en réseau, sélectionnez + Ajouter sous Point de terminaison privé.In New Search Service - Networking, select + Add under Private endpoint.

  7. Dans Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :In Create Private Endpoint, enter or select this information:

    ParamètreSetting ValeurValue
    AbonnementSubscription Sélectionnez votre abonnement.Select your subscription.
    Resource groupResource group Sélectionnez myResourceGroup.Select myResourceGroup. Vous avez créé cela dans la section précédente.You created this in the previous section.
    EmplacementLocation Sélectionnez USA Ouest.Select West US.
    NomName Entrez myPrivateEndpoint.Enter myPrivateEndpoint.
    Sous-ressource cibleTarget sub-resource Conservez le searchService par défaut.Leave the default searchService.
    MISE EN RÉSEAUNETWORKING
    Réseau virtuelVirtual network Sélectionnez MyVirtualNetwork dans le groupe de ressources myResourceGroup.Select MyVirtualNetwork from resource group myResourceGroup.
    SubnetSubnet Sélectionnez mySubnet.Select mySubnet.
    INTÉGRATION À DNS PRIVÉPRIVATE DNS INTEGRATION
    Intégrer à une zone DNS privéeIntegrate with private DNS zone Conservez la valeur par défaut Oui.Leave the default Yes.
    Zone DNS privéePrivate DNS zone Conservez la valeur par défaut ** privatelink.search.windows.net**.Leave the default ** (New) privatelink.search.windows.net**.
  8. Sélectionnez OK.Select OK.

  9. Sélectionnez Revoir + créer.Select Review + create. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.You're taken to the Review + create page where Azure validates your configuration.

  10. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.When you see the Validation passed message, select Create.

  11. Une fois la configuration de votre nouveau service terminée, accédez à la ressource que vous venez de créer.Once provisioning of your new service is complete, browse to the resource that you just created.

  12. Sélectionnez Clés dans le menu de contenu de gauche.Select Keys from the left content menu.

  13. Copiez la clé d’administration principale pour plus tard, lors de la connexion au service.Copy the Primary admin key for later, when connecting to the service.

Création d'une machine virtuelleCreate a virtual machine

  1. En haut à gauche de l’écran du portail Azure, sélectionnez Créer une ressource > Calcul > Machine virtuelle.On the upper-left side of the screen in the Azure portal, select Create a resource > Compute > Virtual machine.

  2. Dans Créer une machine virtuelle - Notions de base, entrez ou sélectionnez ces informations :In Create a virtual machine - Basics, enter or select this information:

    ParamètreSetting ValeurValue
    DÉTAILS DU PROJETPROJECT DETAILS
    AbonnementSubscription Sélectionnez votre abonnement.Select your subscription.
    Resource groupResource group Sélectionnez myResourceGroup.Select myResourceGroup. Vous avez créé cela dans la section précédente.You created this in the previous section.
    DÉTAILS DE L’INSTANCEINSTANCE DETAILS
    Nom de la machine virtuelleVirtual machine name Entrez myVm.Enter myVm.
    RégionRegion Sélectionnez USA Ouest ou la région que vous utilisez.Select West US or whatever region you are using.
    Options de disponibilitéAvailability options Conservez la valeur par défaut Aucune redondance d’infrastructure nécessaire.Leave the default No infrastructure redundancy required.
    ImageImage Sélectionnez Windows Server 2019 Datacenter.Select Windows Server 2019 Datacenter.
    TailleSize Conservez la valeur par défaut Standard DS1 v2.Leave the default Standard DS1 v2.
    COMPTE ADMINISTRATEURADMINISTRATOR ACCOUNT
    Nom d’utilisateurUsername Entrez un nom d’utilisateur de votre choix.Enter a username of your choosing.
    Mot de passePassword Entrez un mot de passe de votre choix.Enter a password of your choosing. Le mot de passe doit contenir au moins 12 caractères et satisfaire aux exigences de complexité définies.The password must be at least 12 characters long and meet the defined complexity requirements.
    Confirmer le mot de passeConfirm Password Retapez le mot de passe.Reenter password.
    RÈGLES DES PORTS D’ENTRÉEINBOUND PORT RULES
    Aucun port d’entrée publicPublic inbound ports Conservez la valeur par défaut Autoriser les ports sélectionnés.Leave the default Allow selected ports.
    Sélectionner des ports d’entréeSelect inbound ports Conservez la valeur par défaut RDP (3389) .Leave the default RDP (3389).
    ÉCONOMISEZ DE L’ARGENTSAVE MONEY
    Vous disposez déjà d’une licence Windows ?Already have a Windows license? Conservez la valeur par défaut Non.Leave the default No.
  3. Sélectionnez Suivant : Disques.Select Next: Disks.

  4. Dans Créer une machine virtuelle - Disks, conservez les valeurs par défaut et sélectionnez Suivant : Mise en réseau.In Create a virtual machine - Disks, leave the defaults and select Next: Networking.

  5. Dans Créer une machine virtuelle - Mise en réseau, sélectionnez ces informations :In Create a virtual machine - Networking, select this information:

    ParamètreSetting ValeurValue
    Réseau virtuelVirtual network Conservez la valeur par défaut, MyVirtualNetwork.Leave the default MyVirtualNetwork.
    Espace d’adressageAddress space Conservez la valeur par défaut, 10.1.0.0/24.Leave the default 10.1.0.0/24.
    SubnetSubnet Conservez la valeur par défaut, mySubnet (10.1.0.0/24) .Leave the default mySubnet (10.1.0.0/24).
    Adresse IP publiquePublic IP Conservez la valeur par défaut (new) myVm-ip.Leave the default (new) myVm-ip.
    Aucun port d’entrée publicPublic inbound ports Sélectionnez Autoriser les ports sélectionnés.Select Allow selected ports.
    Sélectionner des ports d’entréeSelect inbound ports Sélectionnez HTTP et RDP.Select HTTP and RDP.

    Notes

    Les adresses IPv4 peuvent être exprimées au format CIDR .IPv4 addresses can be expressed in CIDR format. Pensez à éviter la plage d'adresses IP réservée aux réseaux privés, comme décrit dans RFC 1918 :Remember to avoid the IP range reserved for private networking, as described in RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Sélectionnez Revoir + créer.Select Review + create. Vous êtes redirigé vers la page Vérifier + créer où Azure valide votre configuration.You're taken to the Review + create page where Azure validates your configuration.

  7. Lorsque le message Validation passed (Validation réussie) apparaît, sélectionnez Créer.When you see the Validation passed message, select Create.

Connexion à la machine virtuelleConnect to the VM

Procédez au téléchargement, puis connectez-vous à la machine virtuelle myVm comme suit :Download and then connect to the VM myVm as follows:

  1. Dans la barre de recherche du portail, entrez myVm.In the portal's search bar, enter myVm.

  2. Sélectionnez le bouton Connexion.Select the Connect button. Après avoir sélectionné le bouton Connecter, Se connecter à la machine virtuelle s’ouvre.After selecting the Connect button, Connect to virtual machine opens.

  3. Sélectionnez Télécharger le fichier RDP.Select Download RDP File. Azure crée un fichier de protocole RDP (Remote Desktop Protocol) ( .rdp) et le télécharge sur votre ordinateur.Azure creates a Remote Desktop Protocol (.rdp) file and downloads it to your computer.

  4. Ouvrez le fichier .rdp* téléchargé.Open the downloaded.rdp* file.

    1. Si vous y êtes invité, sélectionnez Connexion.If prompted, select Connect.

    2. Entrez le nom d’utilisateur et le mot de passe spécifiés lors de la création de la machine virtuelle.Enter the username and password you specified when creating the VM.

      Notes

      Vous devrez peut-être sélectionner Plus de choix > Utiliser un autre compte, pour spécifier les informations d’identification que vous avez entrées lorsque vous avez créé la machine virtuelle.You may need to select More choices > Use a different account, to specify the credentials you entered when you created the VM.

  5. Sélectionnez OK.Select OK.

  6. Un avertissement de certificat peut s’afficher pendant le processus de connexion.You may receive a certificate warning during the sign-in process. Si vous recevez un avertissement de certificat, sélectionnez Oui ou Continuer.If you receive a certificate warning, select Yes or Continue.

  7. Une fois que le bureau de la machine virtuelle s’affiche, réduisez-le pour revenir à votre poste de travail local.Once the VM desktop appears, minimize it to go back to your local desktop.

Tester les connexionsTest connections

Dans cette section, vous vérifierez l’accès au réseau privé du service Search et vous connecter en privé à l’aide du point de terminaison privé.In this section, you will verify private network access to the search service and connect privately to the using the Private Endpoint.

Lorsque le point de terminaison de service de recherche est privé, certaines fonctionnalités du portail sont désactivées.When the search service endpoint is private, some portal features are disabled. Vous pouvez voir et gérer les paramètres du niveau de service, mais l’accès du portail aux données d’index et aux divers autres composants de ce service, comme les définitions d’index, d’indexeur et d’ensemble de compétences, est limité pour des raisons de sécurité.You'll be able to view and manage service level settings, but portal access to index data and various other components in the service, such as the index, indexer, and skillset definitions, is restricted for security reasons.

  1. Dans le Bureau à distance de myVM, ouvrez PowerShell.In the Remote Desktop of myVM, open PowerShell.

  2. Entrez « nslookup [nom du service Search].search.windows.net »Enter 'nslookup [search service name].search.windows.net'

    Vous recevez un message similaire à celui ci :You'll receive a message similar to this:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. À partir de la machine virtuelle, connectez-vous au service Search et créez un index.From the VM, connect to the search service and create an index. Vous pouvez suivre ce démarrage rapide pour créer un index de recherche dans votre service à l’aide de l’API REST.You can follow this quickstart to create a new search index in your service using the REST API. La configuration des demandes à partir d’un outil de test de l’API web nécessite le point de terminaison du service de recherche (https://[nom du service de recherche].search.windows.net) et la clé API de l’administrateur que vous avez copiée à l’étape précédente.Setting up requests from a Web API test tool requires the search service endpoint (https://[search service name].search.windows.net) and the admin api-key you copied in a previous step.

  4. En effectuant le démarrage rapide à partir de la machine virtuelle, vous confirmez que le service est pleinement opérationnel.Completing the quickstart from the VM is your confirmation that the service is fully operational.

  5. Fermez la connexion Bureau à distance à myVM.Close the remote desktop connection to myVM.

  6. Pour vérifier que votre service n’est pas accessible sur un point de terminaison public, ouvrez Postman sur votre station de travail locale et essayez d’effectuer les premières tâches du démarrage rapide.To verify that your service is not accessible on a public endpoint, open Postman on your local workstation and attempt the first several tasks in the quickstart. Si vous recevez un message d’erreur indiquant que le serveur distant n’existe pas, vous avez correctement configuré un point de terminaison privé pour votre service Search.If you receive an error that the remote server does not exist, you have successfully configured a private endpoint for your search service.

Nettoyer les ressourcesClean up resources

Lorsque vous avez fini d’utiliser le point de terminaison privé, le service Search et la machine virtuelle, supprimez le groupe de ressources et toutes les ressources qu’il contient :When you're done using the Private Endpoint, search service, and the VM, delete the resource group and all of the resources it contains:

  1. Entrez  myResourceGroup dans la zone Rechercher en haut du portail, puis sélectionnez  myResourceGroup dans les résultats de la recherche.Enter  myResourceGroup in the Search box at the top of the portal and select myResourceGroup from the search results.
  2. Sélectionnez Supprimer le groupe de ressources.Select Delete resource group.
  3. Entrez  myResourceGroup pour TAPEZ LE NOM DU GROUPE DE RESSOURCES, puis sélectionnez Supprimer.Enter  myResourceGroup for TYPE THE RESOURCE GROUP NAME and select Delete.

Étapes suivantesNext steps

Grâce à cet article, vous avez créé une machine virtuelle sur un réseau virtuel et un service Search avec un point de terminaison privé.In this article, you created a VM on a virtual network and a search service with a Private Endpoint. Vous vous êtes connecté à la machine virtuelle à partir d’Internet et avez communiqué en toute sécurité avec le service Search à l’aide de la liaison privée.You connected to the VM from the internet and securely communicated to the search service using Private Link. Pour en savoir plus sur le point de terminaison privé, consultez Qu’est-ce qu’Azure Private Endpoint ?.To learn more about Private Endpoint, see What is Azure Private Endpoint?.