Создание частной конечной точки для безопасного подключения к службе "Когнитивный поиск Azure"

В этой статье вы будете использовать портал Azure для создания нового экземпляра службы"Когнитивный поиск Azure", который недоступен через Интернет. Далее вы настроите виртуальную машину Azure в той же виртуальной сети и будете использовать ее для доступа к службе поиска через частную конечную точку.

Частные конечные точки предоставляются Приватным каналом Azure в виде отдельной службы. Дополнительные сведения о расценках см. на странице цен.

Вы можете создать частную конечную точку на портале Azure, как описано в этой статье. Кроме того, можно использовать REST API управления версии 2020-03-13, Azure PowerShell или Azure CLI.

Примечание

Если конечная точка службы является частной, некоторые функции портала будут отключены. Вы можете просматривать сведения об уровне обслуживания и управлять ими, но сведения об индексе, индексаторе и наборе навыков скрыты по соображениям безопасности. В качестве альтернативы порталу можно использовать расширение VS Code для взаимодействия с различными компонентами службы.

Почему следует использовать частную конечную точку для безопасного доступа?

Частные конечные точки для Когнитивного поиска Azure позволяют клиенту в виртуальной сети безопасно получать доступ к данным по индексу поиска через приватный канал. Частная конечная точка использует для службы поиска IP-адрес из диапазона адресов виртуальной сети. Сетевой трафик между клиентом и службой поиска передается через виртуальную сеть и приватный канал в магистральной сети Майкрософт, что позволяет избежать рисков, связанных с использованием общедоступного Интернета. Список других служб PaaS, поддерживающих Приватный канал, см. в разделе доступности в документации по продукту.

Частные конечные точки для службы поиска позволяют выполнять следующие задачи.

  • Блокировать все подключения в общедоступной конечной точке для службы поиска.
  • Повысить уровень безопасности виртуальной сети благодаря предотвращению кражи данных из виртуальной сети.
  • Безопасно подключаться к службе поиска из локальных сетей, которые подключаются к виртуальной сети с использованием VPN или ExpressRoute с частным пирингом.

Создание виртуальной сети

В этом разделе вы создадите виртуальную сеть и подсеть для размещения виртуальной машины, которая будет использоваться для доступа к частной конечной точке службы поиска.

  1. На вкладке "Главная" портала Azure последовательно выберите Создать ресурс > Сеть > Виртуальная сеть.

  2. В подменю Создать виртуальную сеть введите или выберите следующую информацию:

    Параметр Значение
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите Создать, а затем введите myResourceGroup и нажмите кнопку OK.
    Имя Введите myVirtualNetwork.
    Region Выберите нужный регион.
  3. Для остальных параметров оставьте значения по умолчанию. Выберите Просмотр и создание, а затем щелкните Создать.

Создание службы с частной конечной точкой

В этом разделе вы создадите новую службу "Когнитивный поиск Azure" с частной конечной точкой.

  1. На портале Azure в верхнем левом углу экрана выберите Создать ресурс > Интернет > Когнитивный поиск Azure.

  2. На странице Создание службы поиска — Основные сведения введите или выберите следующие сведения.

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup. Вы создали ее в предыдущем разделе.
    Подробности об экземпляре
    URL-адрес Укажите уникальное имя.
    Расположение Выберите нужный регион.
    Ценовая категория Щелкните Изменить ценовую категорию и выберите нужный уровень служб. (Не поддерживается на уровне Бесплатный. Поддерживается на уровне Базовый или выше.)
  3. Щелкните Далее: масштабирование.

  4. Оставьте значения по умолчанию и щелкните Далее: сеть.

  5. На странице Создание службы поиска — сеть выберите Частная для параметра Подключение к конечной точке (данные) .

  6. На странице Создание службы поиска — сеть щелкните + Добавить в разделе Частная конечная точка.

  7. В окне Создание частной конечной точки введите или выберите следующие сведения.

    Параметр Значение
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup. Вы создали ее в предыдущем разделе.
    Расположение Выберите Западная часть США.
    Имя Введите myPrivateEndpoint.
    Целевой подресурс Оставьте значение по умолчанию searchService.
    СЕТИ
    Виртуальная сеть Выберите MyVirtualNetwork в группе ресурсов myResourceGroup.
    Подсеть Выберите mySubnet.
    ЧАСТНАЯ ИНТЕГРАЦИЯ DNS
    Интеграция с частной зоной DNS Оставьте значение по умолчанию Да.
    Частная зона DNS Оставьте значение по умолчанию ** (New) privatelink.search.windows.net**.
  8. Щелкните ОК.

  9. Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

  10. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

  11. После завершения подготовки новой службы перейдите к только что созданному ресурсу.

  12. В меню слева выберите Ключи.

  13. Скопируйте значение параметра Первичный ключ администратора для последующего использования при подключении к службе.

Создание виртуальной машины

  1. На портале Azure в верхнем левом углу экрана Azure выберите Создать ресурс > Вычисления > Виртуальная машина.

  2. В окне Создание виртуальной машины — Основы введите или выберите следующую информацию:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup. Вы создали ее в предыдущем разделе.
    Подробности об экземпляре
    Имя виртуальной машины Введите myVm.
    Регион Выберите Западная часть США или любой регион, который вы используете.
    Параметры доступности Оставьте значение по умолчанию No infrastructure redundancy required (Избыточность инфраструктуры не требуется).
    Образ — Выберите Центр обработки данных Windows Server 2019.
    Размер Оставьте значение по умолчанию Standard DS1 v2.
    Учетная запись администратора
    Имя пользователя Введите выбранное имя пользователя.
    Пароль Введите выбранный пароль. Пароль должен включать минимум 12 символов и соответствовать определенным требованиям к сложности.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Общедоступные входящие порты Оставьте значение по умолчанию Разрешить выбранные порты.
    Выбрать входящие порты Оставьте значение по умолчанию RDP (3389) .
    Экономия
    Already have a Windows license? (У вас уже есть лицензия Windows?) Оставьте значение по умолчанию Нет.
  3. По завершении выберите Next: Диски.

  4. В окне Создание виртуальной машины — Диски оставьте значения по умолчанию и выберите Далее: Сети.

  5. В окне Создание виртуальной машины — Сети выберите такую информацию:

    Параметр Значение
    Виртуальная сеть Оставьте значение по умолчанию myVirtualNetwork.
    Пространство адресов Оставьте значение по умолчанию 10.1.0.0/24.
    Подсеть Оставьте значение по умолчанию mySubnet (10.1.0.0/24) .
    Общедоступный IP-адрес Оставьте значение по умолчанию (new) myVm-ip.
    Общедоступные входящие порты Выберите Разрешить выбранные порты.
    Выбрать входящие порты Выберите HTTP и RDP.

    Примечание

    IPv4-адреса можно выразить в формате CIDR. Не используйте диапазон IP-адресов, зарезервированный для частных сетей, как описано в RFC 1918.

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на страницу Просмотр и создание, где Azure проверит вашу конфигурацию.

  7. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Подключение к виртуальной машине

Скачайте файл и подключитесь к виртуальной машине myVm, выполните приведенные ниже действия.

  1. На портале в строке поиска введите myVm.

  2. Нажмите кнопку Подключиться. После нажатия кнопки Подключиться откроется окно Connect to virtual machine (Подключение к виртуальной машине).

  3. Щелкните Скачать RDP-файл. Azure создаст и скачает на ваш компьютер файл протокола удаленного рабочего стола (RDP).

  4. Откройте скачанный RDP-файл*.

    1. При появлении запроса выберите Подключиться.

    2. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

      Примечание

      Возможно, потребуется выбрать More choices > Use a different account (Дополнительные варианты > Использовать другую учетную запись), чтобы указать учетные данные, введенные при создании виртуальной машины.

  5. Щелкните ОК.

  6. При входе в систему может появиться предупреждение о сертификате. В таком случае выберите Да или Продолжить.

  7. Когда появится рабочий стол виртуальной машины, сверните его, чтобы вернуться на локальный рабочий стол.

Проверка подключения

В этом разделе вы проверите доступ частной сети к службе поиска и воспользуетесь частным подключением к службе с помощью частной конечной точки.

Если конечная точка службы поиска является частной, некоторые функции портала будут отключены. Вы сможете просматривать параметру уровня службы и управлять им, но доступ портала к данным индекса и различным другим компонентам службы, таким как индексы, индексаторы и наборы навыков, ограничивается по соображениям безопасности.

  1. Откройте PowerShell на удаленном рабочем столе myVm.

  2. Введите nslookup [имя службы поиска].search.windows.net.

    Должно появиться сообщение следующего вида:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. С виртуальной машины подключитесь к службе поиска и создайте индекс. Вы можете следовать инструкциям в этом кратком руководстве и создать индекс поиска в службе с помощью REST API. Для настройки запросов из средства тестирования веб-API требуется конечная точка службы поиска (https://[имя службы поиска].search.windows.net) и ключ API администратора, скопированный на предыдущем шаге.

  4. Завершение краткого руководства с виртуальной машины является подтверждением полной работоспособности службы.

  5. Закройте подключение к удаленному рабочему столу myVM.

  6. Чтобы убедиться, что служба недоступна в общедоступной конечной точке, откройте Postman на локальной рабочей станции и попытайтесь выполнить первые несколько задач из краткого руководства. Если появится сообщение о том, что удаленный сервер не существует, значит, вы успешно настроили частную конечную точку для службы поиска.

Очистка ресурсов

После завершения работы с частной конечной точкой, службой поиска и виртуальными машинами удалите группу ресурсов и все содержащиеся в ней ресурсы.

  1. Введите  myResourceGroup в поле Поиск в верхней части портала и выберите  myResourceGroup в результатах поиска.
  2. Выберите Удалить группу ресурсов.
  3. Введите  myResourceGroup  в поле ВВЕДИТЕ ИМЯ ГРУППЫ РЕСУРСОВ и нажмите кнопку Удалить.

Дальнейшие действия

В этой статье вы создали виртуальную машину в виртуальной сети и службу поиска с частной конечной точкой. Вы подключились к виртуальной машине из Интернета и безопасно взаимодействовали со службой поиска с помощью Приватного канала. Дополнительные сведения о частных конечных точках см. в статье  Что такое частная конечная точка Azure?