Membuat Titik Akhir Privat untuk koneksi aman ke Azure AI Search

  • Artikel

Dalam artikel ini, pelajari cara mengonfigurasi koneksi privat ke Azure AI Search sehingga mengakui permintaan dari klien di jaringan virtual alih-alih melalui koneksi internet publik:

Sumber daya Azure lainnya yang mungkin tersambung secara privat ke Azure AI Search termasuk Azure OpenAI untuk skenario "gunakan data Anda sendiri". Azure OpenAI Studio tidak berjalan di jaringan virtual, tetapi dapat dikonfigurasi di backend untuk mengirim permintaan melalui jaringan backbone Microsoft. Konfigurasi untuk pola lalu lintas ini diaktifkan oleh Microsoft saat permintaan Anda dikirimkan dan disetujui. Untuk skenario ini:

  • Ikuti instruksi dalam artikel ini untuk menyiapkan titik akhir privat.
  • Kirim permintaan agar Azure OpenAI Studio tersambung menggunakan titik akhir privat Anda.
  • Secara opsional, nonaktifkan akses jaringan publik jika koneksi hanya boleh berasal dari klien di jaringan virtual atau dari Azure OpenAI melalui koneksi titik akhir privat.

Poin utama tentang titik akhir privat

Titik akhir privat disediakan oleh Azure Private Link, sebagai layanan terpisah yang dapat ditagih. Untuk informasi selengkapnya tentang biaya, lihat halaman harga.

Setelah layanan pencarian memiliki titik akhir privat, akses portal ke layanan tersebut harus dimulai dari sesi browser pada komputer virtual di dalam jaringan virtual. Lihat langkah ini untuk detailnya.

Anda dapat membuat titik akhir privat untuk layanan pencarian di portal Azure, seperti yang dijelaskan dalam artikel ini. Atau, Anda dapat menggunakan versi MANAGEMENT REST API, Azure PowerShell, atau Azure CLI.

Mengapa menggunakan titik akhir privat?

Titik Akhir Privat untuk Azure AI Search memungkinkan klien di jaringan virtual mengakses data dengan aman dalam indeks pencarian melalui Private Link. Titik akhir privat menggunakan alamat IP dari ruang alamat jaringan virtual untuk layanan penelusuran Anda. Lalu lintas jaringan antara klien dan layanan penelusuran melintasi jaringan virtual dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan dari internet publik. Untuk daftar layanan PaaS lain yang mendukung Private Link, periksa bagian ketersediaan dalam dokumentasi produk.

Titik akhir privat untuk layanan pencarian memungkinkan Anda untuk:

  • Blokir semua koneksi di titik akhir publik untuk layanan penelusuran Anda.
  • Tingkatkan keamanan untuk jaringan virtual, dengan memungkinkan Anda memblokir eksfiltrasi data dari jaringan virtual.
  • Sambungkan dengan aman ke layanan penelusuran Anda dari jaringan lokal yang tersambung ke jaringan virtual menggunakan VPN atau ExpressRoutes dengan peering privat.

Membuat jaringan virtual

Di bagian ini, Anda akan membuat jaringan virtual dan subnet untuk menghosting VM yang akan digunakan untuk mengakses titik akhir privat layanan pencarian Anda.

  1. Dari tab beranda portal Azure, pilih Buat sumber daya>Jaringan>Jaringan virtual.

  2. Di Buat jaringan virtual, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih Buat baru, masukkan nama, seperti "myResourceGroup", lalu pilih OK.
    Nama Masukkan nama, seperti "MyVirtualNetwork".
    Wilayah Pilih wilayah.

  3. Menerima default untuk pengaturan lainnya. Pilih Ulas + buat, lalu pilih Buat.

Buat layanan penelusuran dengan titik akhir privat

Di bagian ini, Anda akan membuat azure AI baru layanan Pencarian dengan Titik Akhir Privat.

  1. Di sisi kiri atas layar di portal Azure, pilih Buat Sumber Daya>Pencarian Azure AI Web.>

  2. Di Layanan Pencarian Baru - Dasar-dasar, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    DETAIL PROYEK
    Langganan Pilih langganan Anda.
    Grup sumber daya Gunakan grup sumber daya yang Anda buat di langkah sebelumnya.
    DETAIL INSTANS
    URL Masukkan nama yang unik.
    Lokasi Pilih wilayah Anda.
    Tingkatan harga Pilih Ubah Tingkat Harga dan pilih tingkat layanan yang Anda inginkan. Titik akhir privat tidak didukung pada tingkat Gratis . Anda harus memilih Dasar atau lebih tinggi.

  3. Pilih Berikutnya: Skala.

  4. Terima default dan pilih Selanjutnya: Jaringan.

  5. Di Layanan Penelusuran Baru - Jaringan, pilih Privat untuk Konektivitas titik akhir(data).

  6. Pilih + Tambahkan di bawah Titik akhir privat.

  7. Di Buat Titik Akhir Privat, masukkan atau pilih nilai yang mengaitkan layanan pencarian Anda dengan jaringan virtual yang Anda buat:

    Pengaturan Nilai
    Langganan Pilih langganan Anda.
    Grup sumber daya Gunakan grup sumber daya yang Anda buat di langkah sebelumnya.
    Lokasi Pilih wilayah.
    Nama Masukkan nama, seperti "myPrivateEndpoint".
    Subresource target Terima searchService default.
    JARINGAN
    Jaringan virtual Pilih jaringan virtual yang Anda buat di langkah sebelumnya.
    Subnet Pilih default.
    INTEGRASI DNS PRIVAT
    Integrasikan dengan zona DNS privat Terima default "Ya".
    Zona DNS Privat Terima privatelink.search.windows.net default (Baru).

  8. Pilih OK.

  9. Pilih Tinjau + buat. Anda dibawa ke halaman Tinjau + buat di mana Azure memvalidasi konfigurasi Anda.

  10. Setelah muncul pesan Validasi berhasil, pilih Buat.

  11. Setelah provisi layanan baru Anda selesai, telusuri ke sumber daya yang Anda buat.

  12. Pilih Tombol dari menu konten sebelah kiri.

  13. Salin Kunci admin utama untuk nanti, saat menyambung ke layanan.

Membuat mesin virtual

  1. Di sisi kiri atas layar di portal Azure, pilih Buat sumber daya>Komputasi>Komputer virtual.

  2. Di Buat komputer virtual - Dasar-dasar, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    DETAIL PROYEK
    Langganan Pilih langganan Anda.
    Grup sumber daya Gunakan grup sumber daya yang Anda buat di bagian sebelumnya.
    DETAIL INSTANS
    Nama komputer virtual Masukkan nama, seperti "my-vm".
    Wilayah Pilih wilayah Anda.
    Opsi ketersediaan Anda dapat memilih Tidak ada redundansi infrastruktur yang diperlukan, atau memilih opsi lain jika Anda memerlukan fungsionalitas.
    Gambar Pilih Pusat Data Windows Server 2022: Edisi Azure - Gen2.
    Arsitektur Mesin virtual Terima x64 default.
    Ukuran Terima Standar Default D2S v3.
    AKUN ADMINISTRATOR
    Nama Pengguna Masukkan nama pengguna administrator. Gunakan akun yang valid untuk langganan Azure Anda. Anda mungkin ingin masuk ke portal Azure dari VM sehingga Anda dapat mengelola layanan pencarian Anda.
    Kata sandi Masukkan kata sandi akun. Panjang kata sandi harus minimal 12 karakter dan memenuhi persyaratan kompleksitas yang ditentukan.
    Konfirmasi Kata Sandi Masukkan ulang kata sandi.
    ATURAN PORT MASUK
    Port masuk publik Terima default Izinkan port terpilih.
    Pilih port masuk Terima RDP default (3389).

  3. Pilih Selanjutnya:Disk.

  4. Di Buat komputer virtual - Disk, terima default dan pilih Berikutnya: Jaringan.

  5. Di Buat komputer virtual - Jaringan, berikan nilai berikut:

    Pengaturan Nilai
    Jaringan virtual Pilih jaringan virtual yang Anda buat di langkah sebelumnya.
    Subnet Terima default (10.1.0.0/24).
    kelompok keamanan jaringan NIC Terima default "Dasar"
    IP Publik Terima default "(baru) myVm-ip".
    Port masuk publik Pilih default "Izinkan port yang dipilih".
    Pilih port masuk Pilih "HTTP 80", "HTTPS (443)" dan "RDP (3389)".

    Catatan

    Alamat IPv4 dapat dinyatakan dalam format CIDR. Ingatlah untuk menghindari rentang IP yang disediakan untuk jaringan privat, seperti yang dijelaskan dalam RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Pilih Tinjau + buat untuk pemeriksaan validasi.

  7. Setelah muncul pesan Validasi berhasil, pilih Buat.

Menyambungkan ke VM

Unduh lalu sambungkan ke komputer virtual sebagai berikut:

  1. Di bilah pencarian portal, cari komputer virtual yang dibuat di langkah sebelumnya.

  2. Pilih Sambungkan. Setelah memilih tombol Sambungkan, Sambungkan ke komputer virtual akan terbuka.

  3. Pilih Unduh File RDP. Azure membuat file Protokol Desktop Jauh (.rdp) dan mengunduhnya ke komputer Anda.

  4. Buka file yang diunduh .rdp .

    1. Ketika diminta, pilih Sambungkan.

    2. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat VM.

      Catatan

      Anda mungkin perlu memilih Pilihan lainnya>Gunakan akun lain, untuk menentukan informasi masuk yang Anda masukkan saat membuat VM.

  5. Pilih OK.

  6. Anda mungkin menerima peringatan sertifikat selama proses masuk. Jika Anda menerima peringatan sertifikat, pilih Ya atau Lanjutkan.

  7. Setelah desktop VM muncul, kecilkan untuk kembali ke desktop lokal Anda.

Menguji koneksi

Di bagian ini, Anda akan memverifikasi akses jaringan privat ke layanan pencarian dan terhubung secara privat ke menggunakan Titik Akhir Privat.

Jika titik akhir layanan penelusuran bersifat privat, beberapa fitur portal dinonaktifkan. Anda akan dapat melihat dan mengelola pengaturan tingkat layanan, tetapi akses portal ke data indeks dan berbagai komponen lain dalam layanan, seperti indeks, pengindeks, dan definisi skillset, dibatasi karena alasan keamanan.

  1. Di Desktop Jauh myVM, buka PowerShell.

  2. Memasuki nslookup [search service name].search.windows.net.

    Anda akan menerima pesan yang mirip dengan pesan berikut:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. Dari VM, sambungkan ke layanan penelusuran dan buat file index. Anda dapat mengikuti mulai cepat ini untuk membuat indeks penelusuran baru di layanan Anda menggunakan REST API. Menyiapkan permintaan dari alat uji API Web memerlukan titik akhir layanan penelusuran (https://[nama layanan penelusuran].search.windows.net) dan kunci api admin yang Anda salin di langkah sebelumnya.

  4. Menyelesaikan panduan mulai cepat dari VM adalah konfirmasi Anda bahwa layanan beroperasi penuh.

  5. Tutup sambungan desktop jauh ke myVM.

  6. Untuk memverifikasi bahwa layanan Anda tidak dapat diakses di titik akhir publik, buka klien REST di stasiun kerja lokal Anda dan coba beberapa tugas pertama dalam mulai cepat. Jika Anda menerima kesalahan bahwa server jarak jauh tidak ada, Anda telah berhasil mengonfigurasi titik akhir privat untuk layanan pencarian Anda.

Menggunakan portal Azure untuk mengakses layanan pencarian privat

Jika titik akhir layanan penelusuran bersifat privat, beberapa fitur portal dinonaktifkan. Anda dapat melihat dan mengelola informasi tingkat layanan, tetapi informasi indeks, pengindeks, dan keterampilan disembunyikan karena alasan keamanan.

Untuk mengatasi pembatasan ini, sambungkan ke portal Azure dari browser pada komputer virtual di dalam jaringan virtual. Portal menggunakan titik akhir privat pada koneksi dan memberi Anda visibilitas ke dalam konten dan operasi.

  1. Ikuti langkah-langkah untuk menyediakan VM yang dapat mengakses layanan pencarian melalui titik akhir privat.

  2. Pada komputer virtual di jaringan virtual Anda, buka browser dan masuk ke portal Azure. Portal akan menggunakan titik akhir privat yang terpasang pada komputer virtual untuk menyambungkan ke layanan pencarian Anda.

Nonaktifkan akses jaringan publik

Anda dapat mengunci layanan pencarian untuk mencegahnya menerima permintaan apa pun dari internet publik. Anda dapat menggunakan portal Azure untuk langkah ini.

  1. Di portal Azure, di panel paling kiri halaman layanan pencarian Anda, pilih Jaringan.

  2. Pilih Dinonaktifkan pada tab Firewall dan jaringan virtual.

Anda juga dapat menggunakan Azure CLI, Azure PowerShell, atau REST API Manajemen, mengatur public-access atau public-network-access ke disabled.

Membersihkan sumber daya

Saat bekerja dengan langganan Anda sendiri, sebaiknya identifikasi apakah Anda masih membutuhkan sumber daya yang Anda buat di akhir proyek. Sumber daya yang dibiarkan berjalan dapat menghabiskan uang Anda.

Anda dapat menghapus sumber daya individual atau grup sumber daya untuk menghapus semua yang Anda buat dalam latihan ini. Pilih grup sumber daya di halaman gambaran umum sumber daya apa pun, lalu pilih Hapus.

Langkah berikutnya

Di artikel ini, Anda membuat VM di jaringan virtual dan layanan penelusuran dengan Titik Akhir Privat. Anda terhubung ke VM dari internet dan berkomunikasi dengan aman ke layanan penelusuran menggunakan Private Link. Untuk mempelajari selengkapnya tentang Titik Akhir Privat, lihat Apa itu Titik Akhir Privat Azure?.