Konfigurera virtuella nätverk för Azure Cognitive Services

Azure Cognitive Services en skiktad säkerhetsmodell. Med den här modellen kan du begränsa åtkomsten till dina Cognitive Services-konton till utvalda nätverk. När du har konfigurerat nätverksregler kan endast program som begär data över den angivna uppsättningen nätverk komma åt kontot. Du kan begränsa åtkomsten till dina resurser med filtrering av begäranden. Tillåter endast begäranden som kommer från angivna IP-adresser, IP-intervall eller från en lista över undernät i Virtuella Azure-nätverk.

Ett program som har åtkomst Cognitive Services en resurs när nätverksregler tillämpas kräver auktorisering. Auktorisering stöds med Azure Active Directory autentiseringsuppgifter (Azure AD) eller med en giltig API-nyckel.

Viktigt

Om du slår på brandväggsregler för Cognitive Services-kontot blockeras inkommande databegäranden som standard. Ett av följande villkor måste uppfyllas för att tillåta genombegäranden:

  • Begäran ska komma från en tjänst som fungerar i ett Azure Virtual Network (VNet) i listan över tillåtna undernät för Cognitive Services målkontot. Slutpunkten i begäranden som kommer från VNet måste anges som den anpassade underdomänen för ditt Cognitive Services konto.
  • Eller så bör begäran komma från en lista över tillåtna IP-adresser.

Blockerade begäranden är bland annat från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare.

Anteckning

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Scenarier

För att skydda Cognitive Services resurs bör du först konfigurera en regel för att neka åtkomst till trafik från alla nätverk (inklusive Internettrafik) som standard. Sedan bör du konfigurera regler som beviljar åtkomst till trafik från specifika virtuella nätverk. Med den här konfigurationen kan du skapa en säker nätverksgräns för dina program. Du kan också konfigurera regler för att bevilja åtkomst till trafik från utvalda offentliga IP-adressintervall på internet, vilket aktiverar anslutningar från specifika Internetklienter eller lokala klienter.

Nätverksregler tillämpas på alla nätverksprotokoll för att Azure Cognitive Services, inklusive REST och WebSocket. För att komma åt data med hjälp av verktyg som Azure-testkonsolerna måste explicita nätverksregler konfigureras. Du kan tillämpa nätverksregler på befintliga Cognitive Services resurser eller när du skapar nya Cognitive Services resurser. När nätverksregler tillämpas tillämpas de för alla begäranden.

Regioner och tjänsterbjudanden som stöds

Virtuella nätverk (VNET) stöds i regioner där Cognitive Services är tillgängliga. Resursen för flera tjänster stöder för närvarande inte VNET. Cognitive Services stöder tjänsttaggar för konfiguration av nätverksregler. Tjänsterna som anges nedan ingår i tjänsttaggen CognitiveServicesManagement.

  • Avvikelseidentifiering
  • Visuellt innehåll
  • Content Moderator
  • Custom Vision
  • Ansikte
  • Language Understanding (LUIS)
  • Personanpassning
  • Tjänst för taligenkänning
  • Språktjänst
  • QnA Maker
  • Translator Text

Anteckning

Om du använder LUIS eller Speech Services gör taggen CognitiveServicesManagement endast att du kan använda tjänsten med hjälp av SDK eller REST API. Om du vill komma åt och använda LUIS-Speech Studio/Speech Studio från ett virtuellt nätverk måste du använda följande taggar:

  • AzureActiveDirectory
  • AzureFrontDoor.Frontend
  • AzureResourceManager
  • CognitiveServicesManagement

Ändra standardåtkomstregeln för nätverk

Som standard kan Cognitive Services ta emot anslutningar från klienter i alla nätverk. Om du vill begränsa åtkomsten till valda nätverk måste du först ändra standardåtgärden.

Varning

Ändringar i nätverksregler kan påverka dina programs möjlighet att ansluta till Azure Cognitive Services. Om du anger standardnätverksregeln till neka blockeras all åtkomst till data om inte specifika nätverksregler som beviljar åtkomst också tillämpas. Se till att bevilja åtkomst till alla tillåtna nätverk som använder nätverksregler innan du ändrar standardregeln för att neka åtkomst. Om du tillåter att IP-adresser för ditt lokala nätverk listas måste du lägga till alla möjliga utgående offentliga IP-adresser från ditt lokala nätverk.

Hantera standardregler för nätverksåtkomst

Du kan hantera standardregler för nätverksåtkomst för Cognitive Services resurser via Azure Portal, PowerShell eller Azure CLI.

  1. Gå till den Cognitive Services resurs som du vill skydda.

  2. Välj menyn RESURSHANTERING med namnet Virtuellt nätverk.

    Alternativ för virtuellt nätverk

  3. Om du vill neka åtkomst som standard väljer du att tillåta åtkomst från Valda nätverk. Med inställningen Valda nätverk fristående från konfigurerade virtuella nätverk eller Adressintervall nekas all åtkomst i praktiken. När all åtkomst nekas tillåts inte begäranden som försöker använda Cognitive Services resurs. Den Azure Portal, Azure PowerShell eller Azure CLI kan fortfarande användas för att konfigurera Cognitive Services resurs.

  4. Om du vill tillåta trafik från alla nätverk väljer du att tillåta åtkomst från Alla nätverk.

    Neka virtuella nätverk

  5. Klicka på Spara för att tillämpa dina ändringar.

Bevilja åtkomst från ett virtuellt nätverk

Du kan konfigurera Cognitive Services att endast tillåta åtkomst från specifika undernät. De tillåtna undernäten kan tillhöra ett VNet i samma prenumeration eller i en annan prenumeration, inklusive prenumerationer som tillhör en annan Azure Active Directory klientorganisation.

Aktivera en tjänstslutpunkt för Azure Cognitive Services i det virtuella nätverket. Tjänstslutpunkten dirigerar trafik från det virtuella nätverket via en optimal sökväg till Azure Cognitive Services tjänsten. Identiteterna för undernätet och det virtuella nätverket överförs också med varje begäran. Administratörer kan sedan konfigurera nätverksregler för Cognitive Services som tillåter att begäranden tas emot från specifika undernät i ett VNet. Klienter som beviljas åtkomst via dessa nätverksregler måste fortsätta att uppfylla auktoriseringskraven för Cognitive Services för att komma åt data.

Varje Cognitive Services har stöd för upp till 100 regler för virtuella nätverk, som kan kombineras med IP-nätverksregler.

Behörigheter som krävs

Om du vill tillämpa en regel för virtuellt nätverk Cognitive Services en resurs måste användaren ha rätt behörigheter för de undernät som läggs till. Den behörighet som krävs är standardrollen Deltagare eller rollen Cognitive Services Deltagare. Behörigheter som krävs kan också läggas till i anpassade rolldefinitioner.

Cognitive Services och de virtuella nätverk som beviljas åtkomst kan finnas i olika prenumerationer, inklusive prenumerationer som ingår i en annan Azure AD-klientorganisation.

Anteckning

Konfiguration av regler som beviljar åtkomst till undernät i virtuella nätverk som ingår i en annan Azure Active Directory-klientorganisation stöds för närvarande endast via Powershell, CLI och REST API:er. Sådana regler kan inte konfigureras via Azure Portal, även om de kan visas i portalen.

Hantera regler för virtuellt nätverk

Du kan hantera regler för virtuella nätverk Cognitive Services resurser via Azure Portal, PowerShell eller Azure CLI.

  1. Gå till den Cognitive Services resurs som du vill skydda.

  2. Välj menyn RESURSHANTERING med namnet Virtuellt nätverk.

  3. Kontrollera att du har valt att tillåta åtkomst från Valda nätverk.

  4. Om du vill bevilja åtkomst till ett virtuellt nätverk med en befintlig nätverksregel går du till Virtuella nätverk och väljer Lägg till befintligt virtuellt nätverk.

    Lägga till befintligt vNet

  5. Välj alternativen Virtuella nätverk och Undernät och välj sedan Aktivera.

    Lägga till befintlig vNet-information

  6. Om du vill skapa ett nytt virtuellt nätverk och ge det åtkomst väljer du Lägg till nytt virtuellt nätverk.

    Lägg till nytt vNet

  7. Ange den information som krävs för att skapa det nya virtuella nätverket och välj sedan Skapa.

    Skapa vNet

    Anteckning

    Om en tjänstslutpunkt för Azure Cognitive Services inte tidigare har konfigurerats för det valda virtuella nätverket och undernäten kan du konfigurera den som en del av den här åtgärden.

    För närvarande visas endast virtuella nätverk som tillhör Azure Active Directory klientorganisation för val när regeln skapas. Om du vill bevilja åtkomst till ett undernät i ett virtuellt nätverk som tillhör en annan klientorganisation använder du PowerShell, CLI eller REST API:er.

  8. Om du vill ta bort ett virtuellt nätverk eller en undernätsregel väljer du ... för att öppna snabbmenyn för det virtuella nätverket eller undernätet och väljer Ta bort.

    Ta bort vNet

  9. Klicka på Spara för att tillämpa dina ändringar.

Viktigt

Se till att ange standardregeln till neka, annars har nätverksregler ingen effekt.

Bevilja åtkomst från ett IP-intervall på Internet

Du kan konfigurera Cognitive Services att tillåta åtkomst från specifika ip-adressintervall för offentligt Internet. Den här konfigurationen ger åtkomst till specifika tjänster och lokala nätverk, vilket effektivt blockerar allmän Internettrafik.

Ange tillåtna Internetadressintervall med CIDR-notation i formuläret 16.17.18.0/24 eller som enskilda IP-adresser som 16.17.18.19 .

Tips

Små adressintervall med prefixstorlekarna "/31" eller "/32" stöds inte. Dessa intervall bör konfigureras med hjälp av enskilda IP-adressregler.

IP-nätverksregler tillåts endast för offentliga Internet-IP-adresser. IP-adressintervall som är reserverade för privata nätverk (enligt definitionen i RFC 1918) tillåts inte i IP-regler. Privata nätverk innehåller adresser som börjar 10.* med 172.16.* - 172.31.* , och 192.168.* .

Endast IPV4-adresser stöds för närvarande. Varje Cognitive Services har stöd för upp till 100 IP-nätverksregler, som kan kombineras med regler för virtuellt nätverk.

Konfigurera åtkomst från lokala nätverk

Om du vill bevilja åtkomst från dina lokala nätverk till din Cognitive Services-resurs med en IP-nätverksregel måste du identifiera de Internetuppriktade IP-adresser som används av nätverket. Kontakta nätverksadministratören om du behöver hjälp.

Om du använder ExpressRoute lokalt för offentlig peering eller Microsoft-peering måste du identifiera NAT IP-adresserna. För offentlig peering använder varje ExpressRoute-krets som standard två NAT IP-adresser. Var och en tillämpas på Azure-tjänsttrafik när trafiken kommer Microsoft Azure nätverkets stamnät. För Microsoft-peering är de NAT IP-adresser som används antingen kundtilldelar eller tillhandahålls av tjänstleverantören. Om du vill tillåta åtkomst till dina tjänstresurser måste du tillåta dessa offentliga IP-adresser i resursens IP-brandväggsinställning. För att kunna hitta ExpressRoute-kretsens IP-adresser för offentlig peering öppnar du en supportbegäran hos ExpressRoute via Azure-portalen. Lär dig mer om NAT för ExpressRoute offentliga peering och Microsoft-peering.

Hantera IP-nätverksregler

Du kan hantera IP-nätverksregler för Cognitive Services resurser via Azure Portal, PowerShell eller Azure CLI.

  1. Gå till den Cognitive Services resurs som du vill skydda.

  2. Välj menyn RESURSHANTERING med namnet Virtuellt nätverk.

  3. Kontrollera att du har valt att tillåta åtkomst från Valda nätverk.

  4. Om du vill bevilja åtkomst till ett Internet-IP-intervall anger du IP-adressen eller adressintervallet (i CIDR-format)under Brandväggsadressintervall > . Endast giltiga offentliga IP-adresser (icke-reserverade) adresser godkänns.

    Lägg till IP-intervall

  5. Om du vill ta bort en IP-nätverksregel väljer du papperskorgsikonen bredvid adressintervallet.

    Ta bort IP-intervall

  6. Klicka på Spara för att tillämpa dina ändringar.

Viktigt

Se till att ange standardregeln till neka, annars har nätverksregler ingen effekt.

Använda privata slutpunkter

Du kan använda privata slutpunkter för dina Cognitive Services-resurser så att klienter i ett virtuellt nätverk (VNet) på ett säkert sätt kan komma åt data via en Private Link. Den privata slutpunkten använder en IP-adress från VNet-adressutrymmet för din Cognitive Services resurs. Nätverkstrafiken mellan klienterna i det virtuella nätverket och resursen passerar det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.

Med privata slutpunkter för Cognitive Services-resurser kan du:

  • Skydda din Cognitive Services genom att konfigurera brandväggen så att den blockerar alla anslutningar på den offentliga slutpunkten för Cognitive Services tjänsten.
  • Öka säkerheten för det virtuella nätverket genom att du kan blockera exfiltrering av data från det virtuella nätverket.
  • Anslut säkert till Cognitive Services från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.

Begreppsmässig översikt

En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-resurs i ditt virtuella nätverk. Genom att skapa en privat slutpunkt för Cognitive Services resurs får du en säker anslutning mellan klienterna i ditt virtuella nätverk och din resurs. Den privata slutpunkten tilldelas en IP-adress från DITT VNets IP-adressintervall. Anslutningen mellan den privata slutpunkten och Cognitive Services använder en säker privat länk.

Program i det virtuella nätverket kan ansluta till tjänsten via den privata slutpunkten sömlöst med samma anslutningssträngar och auktoriseringsmekanismer som de annars skulle använda. Undantaget är Speech Services, som kräver en separat slutpunkt. Se avsnittet om privata slutpunkter med Speech Services. Privata slutpunkter kan användas med alla protokoll som stöds av Cognitive Services resursen, inklusive REST.

Privata slutpunkter kan skapas i undernät som använder tjänstslutpunkter. Klienter i ett undernät kan ansluta till en Cognitive Services med hjälp av en privat slutpunkt, medan tjänstslutpunkter används för att komma åt andra.

När du skapar en privat slutpunkt för en Cognitive Services-resurs i ditt VNet skickas en begäran om medgivande för godkännande Cognitive Services resursägaren. Om den användare som begär att den privata slutpunkten ska skapas också är ägare till resursen godkänns denna begäran om medgivande automatiskt.

Cognitive Services kan hantera begäranden om medgivande och de privata slutpunkterna via fliken Privata slutpunkter för Cognitive Services i Azure Portal.

Privata slutpunkter

När du skapar den privata slutpunkten måste du ange den Cognitive Services som den ansluter till. Mer information om hur du skapar en privat slutpunkt finns i:

Ansluta till privata slutpunkter

Klienter i ett VNet som använder den privata slutpunkten bör använda samma anslutningssträng för Cognitive Services resursen som klienter som ansluter till den offentliga slutpunkten. Undantaget är Speech Services, som kräver en separat slutpunkt. Se avsnittet om privata slutpunkter med Speech Services. Vi förlitar oss på DNS-upplösning för att automatiskt dirigera anslutningarna från det virtuella nätverket till Cognitive Services via en privat länk.

Som standard skapar vi en privat DNS-zon som är kopplad till det virtuella nätverket med nödvändiga uppdateringar för de privata slutpunkterna. Om du använder en egen DNS-server kan du dock behöva göra ytterligare ändringar i DNS-konfigurationen. Avsnittet om DNS-ändringar nedan beskriver de uppdateringar som krävs för privata slutpunkter.

Privata slutpunkter med Speech Services

Se Använda Speech Services med privata slutpunkter som tillhandahålls av Azure Private Link.

DNS-ändringar för privata slutpunkter

När du skapar en privat slutpunkt uppdateras DNS CNAME-resursposten för Cognitive Services-resursen till ett alias i en underdomän med prefixet " privatelink". Som standard skapar vi också en privat DNS-zonsom motsvarar underdomänen "privatelink" med DNS A-resursposterna för de privata slutpunkterna.

När du löser slutpunkts-URL:en utanför det virtuella nätverket med den privata slutpunkten matchas den till den offentliga slutpunkten för Cognitive Services resursen. När den matchas från det virtuella nätverk som är värd för den privata slutpunkten matchas slutpunktens URL till den privata slutpunktens IP-adress.

Den här metoden ger åtkomst till Cognitive Services med samma anslutningssträng för klienter i det virtuella nätverket som är värd för de privata slutpunkterna och klienterna utanför det virtuella nätverket.

Om du använder en anpassad DNS-server i nätverket måste klienterna kunna matcha det fullständigt kvalificerade domännamnet (FQDN) för Cognitive Services-resursslutpunkten till den privata slutpunktens IP-adress. Konfigurera DNS-servern så att den delegerar din privata länkunderdomän till den privata DNS-zonen för det virtuella nätverket.

Tips

När du använder en anpassad eller lokal DNS-server bör du konfigurera DNS-servern så att den matchar Cognitive Services-resursnamnet i underdomänen "privatelink" till den privata slutpunktens IP-adress. Du kan göra detta genom att delegera underdomänen "privatelink" till det virtuella nätverkets privata DNS-zon eller konfigurera DNS-zonen på DNS-servern och lägga till DNS A-posterna.

Mer information om hur du konfigurerar din egen DNS-server för att stödja privata slutpunkter finns i följande artiklar:

Prissättning

Prisinformation finns i Azure Private Link priser.

Nästa steg