Privát végpont létrehozása biztonságos kapcsolathoz a Azure Cognitive Search

Ebben a cikkben a Azure Portal fog létrehozni egy új Azure Cognitive Search-szolgáltatáspéldányt, amely nem érhető el az interneten keresztül. Ezután konfigurálni fog egy Azure-beli virtuális gépet ugyanabban a virtuális hálózatban, és egy privát végponton keresztül fogja elérni a keresési szolgáltatást.

A privát végpontokat a Azure Private Linkbiztosítja külön szolgáltatásként. A költségekkel kapcsolatos további információkért tekintse meg a díjszabási oldalt.

Létrehozhat egy privát végpontot a Azure Portal a cikkben leírtak szerint. Másik lehetőségként használhatja a Management REST API 2020-03-13-as, a Azure PowerShellvagy az Azure CLI-t.

Megjegyzés

Ha a szolgáltatásvégpont privát, a portál egyes funkciói le vannak tiltva. Megtekintheti és kezelheti a szolgáltatásszint-információkat, de biztonsági okokból az indexelési, indexelői és képességkészlet-információk rejtve maradnak. A portál alternatívájaként használhatja a VS Code-bővítményt a szolgáltatás különböző összetevőinek kezeléshez.

Miért érdemes privát végpontot használni a biztonságos hozzáféréshez?

A virtuális Azure Cognitive Search lehetővé teszik, hogy a virtuális hálózaton lévő ügyfelek biztonságosan hozzáférjenek a keresési indexben lévő adatokhoz egy Private Link. A privát végpont a keresési szolgáltatás virtuális hálózati címterületének IP-címét használja. Az ügyfél és a keresési szolgáltatás közötti hálózati forgalom áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, így kiküszöbölve a nyilvános internetről való kitettséget. A szolgáltatást támogató egyéb PaaS-szolgáltatások Private Link a termékdokumentáció rendelkezésre állási szakaszát.

A keresési szolgáltatás privát végpontjai a következőt teszik lehetővé:

  • Tiltsa le a keresési szolgáltatás nyilvános végpontjára vonatkozó összes kapcsolatot.
  • A virtuális hálózat biztonságának növelése azáltal, hogy lehetővé teszi a virtuális hálózatból származó adatok kiszivárgásának blokkolását.
  • Biztonságosan csatlakozhat a keresési szolgáltatáshoz olyan helyszíni hálózatokról, amelyek VPN vagy ExpressRoute használatával csatlakoznak a virtuális hálózathoz privát társviszony-létesítés használatával.

A virtuális hálózat létrehozása

Ebben a szakaszban egy virtuális hálózatot és alhálózatot fog létrehozni a keresési szolgáltatás privát végpontjának eléréséhez használt virtuális gép gazdagépeként.

  1. A Azure Portal lapon válassza az Erőforrás létrehozása > Hálózati virtuális hálózat > lehetőséget.

  2. A Virtuális hálózat létrehozása részen adja meg vagy válassza ki a következő adatokat:

    Beállítás Érték
    Előfizetés Az előfizetés kiválasztása
    Erőforráscsoport Válassza az Új létrehozása lehetőséget, írja be a myResourceGroup gombra, majd kattintson az OK gombra.
    Name Írja be a MyVirtualNetwork adhatja meg a következőt: MyVirtualNetwork
    Region Válassza ki a kívánt régiót
  3. A többi beállításnál hagyja meg az alapértelmezett értékeket. Kattintson az Áttekintés + létrehozás, majd a Létrehozás elemre.

Keresési szolgáltatás létrehozása privát végponttal

Ebben a szakaszban egy privát végponttal Azure Cognitive Search új szolgáltatás létrehozásához.

  1. A képernyő bal felső részén, a Azure Portal válassza az Erőforrás létrehozása > Webalkalmazás > Azure Cognitive Search.

  2. A New Search Service - Basics (Új keresési szolgáltatás – Alapvető beállítások) mezőben adja meg vagy válassza ki a következő információkat:

    Beállítás Érték
    PROJEKT RÉSZLETEI
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget. Ezt az előző szakaszban hozta létre.
    PÉLDÁNY RÉSZLETEI
    URL-cím Adjon meg egy egyedi nevet.
    Hely Válassza ki a kívánt régiót.
    Tarifacsomag Válassza a Tarifacsomag módosítása lehetőséget, és válassza ki a kívánt szolgáltatási szintet. (Az Ingyenes szinten nem támogatott. Alapszintű vagy magasabb szintűnek kell lennie.)
  3. Válassza a Tovább: Skálázás lehetőséget.

  4. Hagyja meg az alapértelmezett értékeket, és válassza a Tovább: Hálózat lehetőséget.

  5. A New Search Service - Networking (Új keresési szolgáltatás – Hálózat) részen válassza a Private (Privát) lehetőséget a Végponti kapcsolat (adatok) mezőben.

  6. A New Search Service - Networking (Új keresési szolgáltatás – Hálózat) alatt válassza a + Hozzáadás lehetőséget a Private endpoint (Privát végpont) alatt.

  7. A Privát végpont létrehozása mezőben adja meg vagy válassza ki az alábbi adatokat:

    Beállítás Érték
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget. Ezt az előző szakaszban hozta létre.
    Hely Válassza az USA nyugati régiója lehetőséget.
    Name Adja meg a myPrivateEndpoint nevet.
    Célzott alerőforrás Hagyja meg az alapértelmezett searchService értéket.
    HÁLÓZATKEZELÉS
    Virtuális hálózat A myResourceGroup erőforráscsoportban válassza a MyVirtualNetwork lehetőséget.
    Alhálózat Válassza a mySubnet lehetőséget.
    PRIVÁT DNS-INTEGRÁCIÓ
    Integrálás saját DNS-zónával Hagyja meg az alapértelmezett Igen értéket.
    Privát DNS-zóna Hagyja meg az alapértelmezett ** (Új) privatelink.search.windows.net**.
  8. Válassza az OK lehetőséget.

  9. Válassza az Áttekintés + létrehozás lehetőséget. Az Áttekintés és létrehozása lapra kerül, ahol az Azure érvényesíti az Ön konfigurációját.

  10. Amikor megjelenik a Megfelelt az ellenőrzésen üzenet, válassza a Létrehozás lehetőséget.

  11. Miután az új szolgáltatás kiépítése befejeződött, keresse meg az újonnan létrehozott erőforrást.

  12. A bal oldali tartalom menüben válassza a Kulcsok lehetőséget.

  13. Másolja ki az elsődleges rendszergazdai kulcsot későbbi időpontra, amikor csatlakozik a szolgáltatáshoz.

Virtuális gép létrehozása

  1. A képernyő bal felső részén, a Azure Portal válassza az Erőforrás létrehozása Számítási virtuális > > gép lehetőséget.

  2. A Virtuális gép létrehozása – Alapvető beállítások beállításnál adja meg vagy válassza ki a következő adatokat:

    Beállítás Érték
    PROJEKT RÉSZLETEI
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza a myResourceGroup lehetőséget. Ezt az előző szakaszban hozta létre.
    PÉLDÁNY RÉSZLETEI
    Virtuális gép neve Írja be a myVm et.
    Region Válassza az USA nyugati régiója vagy az Ön által használt régiót.
    Rendelkezésre állási beállítások Hagyja meg az alapértelmezett Nincs szükség infrastruktúra-redundanciát beállításra.
    Kép Válassza Windows Server 2019 Datacenter lehetőséget.
    Méret Hagyja meg az alapértelmezett Standard DS1 v2 értéket.
    RENDSZERGAZDAFIÓK
    Felhasználónév Adjon meg egy ön által választott felhasználónevet.
    Jelszó Adjon meg egy tetszőleges jelszót. A jelszónak legalább 12 karakter hosszúnak kell lennie, és meg kell felelnie a meghatározott összetettségi követelményeknek.
    Jelszó megerősítése Jelszó újra megadása.
    BEJÖVŐPORT-SZABÁLYOK
    Nyilvános bejövő portok Hagyja meg az alapértelmezett Kiválasztott portok engedélyezése beállítást.
    Válassza ki a bejövő portokat Hagyja meg az alapértelmezett RDP-t (3389).
    MEGTAKARÍTÁSI LEHETŐSÉG
    Már van Windows-licence? Hagyja meg az alapértelmezett Nem értéket.
  3. Válassza a Tovább: Lemezek lehetőséget.

  4. A Virtuális gép létrehozása – Lemezek lehetőségnél hagyja meg az alapértelmezett értékeket, és válassza a Tovább: Hálózatkezelés lehetőséget.

  5. A Virtuális gép létrehozása – Hálózat lehetőséget választva válassza ki a következő adatokat:

    Beállítás Érték
    Virtuális hálózat Hagyja meg az alapértelmezett MyVirtualNetwork értéket.
    Címtér Hagyja meg az alapértelmezett 10.1.0.0/24 értéket.
    Alhálózat Hagyja meg az alapértelmezett mySubnet (10.1.0.0/24) értéket.
    Nyilvános IP-cím Hagyja meg az alapértelmezett (új) myVm-ip értéket.
    Nyilvános bejövő portok Válassza a Kijelölt portok engedélyezése lehetőséget.
    Válassza ki a bejövő portokat Válassza a HTTP és az RDP lehetőséget.

    Megjegyzés

    Az IPv4-címek CIDR formátumban fejezők ki. Ne felejtse el elkerülni a magánhálózati használatra fenntartott IP-címtartományt az RFC 1918 szabványban leírtak szerint:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Válassza az Áttekintés + létrehozás lehetőséget. Az Áttekintés és létrehozása lapra kerül, ahol az Azure érvényesíti az Ön konfigurációját.

  7. Amikor megjelenik a Megfelelt az ellenőrzésen üzenet, válassza a Létrehozás lehetőséget.

Kapcsolódás a virtuális géphez

Töltse le a myVm virtuális gépet, majd csatlakozzon a következőképpen:

  1. A portál keresési sávjába írja be a myVm szöveget.

  2. Kattintson a Csatlakozás gombra. A Csatlakozás kiválasztása után megnyílik Csatlakozás virtuális géphez való megnyitása.

  3. Válassza az RDP-fájl letöltése lehetőséget. Az Azure létrehoz egy RDP protokoll (.rdp) fájlt, és letölti azt a számítógépre.

  4. Nyissa meg a downloaded.rdp* fájlt.

    1. Ha a rendszer kéri, válassza a Csatlakozás lehetőséget.

    2. Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót.

      Megjegyzés

      Előfordulhat, hogy a Virtuális gép létrehozásakor megadott hitelesítő adatok megadásához a További lehetőségek Másik fiók használata lehetőséget kell > választania.

  5. Válassza az OK lehetőséget.

  6. A bejelentkezés során egy figyelmeztetés jelenhet meg a tanúsítvánnyal kapcsolatban. Ha a tanúsítvány figyelmeztetést kap, válassza az Igen vagy a Folytatás lehetőséget.

  7. Amint megjelenik a virtuális gép asztala, kis méretűre állíthatja, hogy visszatér a helyi asztalra.

Kapcsolatok tesztelése

Ebben a szakaszban ellenőrizni fogja a privát hálózati hozzáférést a keresési szolgáltatáshoz, és privát módon csatlakozik a szolgáltatáshoz a privát végpont használatával.

Ha a keresési szolgáltatás végpontja privát, a portál egyes funkciói le vannak tiltva. Megtekintheti és kezelheti a szolgáltatásiszint-beállításokat, de biztonsági okokból a portálon biztonsági okokból korlátozva van az indexadatokhoz és a szolgáltatás más összetevőihez (például az index, az indexelő és a képességcsoport definícióihoz) való hozzáférés.

  1. A myVM Távoli asztal nyissa meg a PowerShellt.

  2. Írja be a "nslookup [keresési szolgáltatás neve].search.windows.net" nevet

    Egy ehhez hasonló üzenet jelenik meg:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. A virtuális gépről csatlakozzon a keresési szolgáltatáshoz, és hozzon létre egy indexet. Ebben a rövid útmutatóban új keresési indexet hozhat létre a szolgáltatásban a REST API. A webes API-teszteszköztől származó kérések beállításához szükség van a keresési szolgáltatás végpontjára (https://[keresési szolgáltatás neve].search.windows.net) és az előző lépésben kimásott rendszergazdai API-kulcsra.

  4. A virtuális gép gyors üzembe helyezési útmutatója megerősíti, hogy a szolgáltatás teljesen működőképes.

  5. Zárja be a myVM virtuális gép távoli asztali kapcsolatát.

  6. Annak ellenőrzéséhez, hogy a szolgáltatás nem érhető-e el nyilvános végponton, nyissa meg a Postmant a helyi munkaállomáson, és próbálja ki a rövid útmutató első néhány feladatát. Ha hibaüzenetet kap arról, hogy a távoli kiszolgáló nem létezik, sikeresen konfigurált egy privát végpontot a keresési szolgáltatáshoz.

Az erőforrások eltávolítása

Ha végzett a privát végpont, a keresési szolgáltatás és a virtuális gép használatával, törölje az erőforráscsoportot és az összes benne található erőforrást:

  1. A portál tetején található keresőmezőbe írja be a myResourceGroup mezőt, majd válassza ki a    myResourceGroup   et a keresési eredmények közül.
  2. Válassza az Erőforráscsoport törlése elemet.
  3. Írja be  a myResourceGroup nevet az ERŐFORRÁSCSOPORT NEVE mezőbe,   majd válassza a Törlés lehetőséget.

Következő lépések

Ebben a cikkben létrehozott egy virtuális gépet egy virtuális hálózaton, és egy keresési szolgáltatást egy privát végponttal. Csatlakozott a virtuális géphez az internetről, és biztonságosan kommunikált a keresési szolgáltatással az Private Link. További információ a privát végpontról: Mi az az Azure privát végpont?.