Skapa en privat slutpunkt för en säker anslutning till Azure Cognitive Search

I den här artikeln använder du Azure Portal för att skapa en Azure Cognitive Search tjänstinstans som inte kan nås via Internet. Därefter konfigurerar du en virtuell Azure-dator i samma virtuella nätverk och använder den för att komma åt söktjänsten via en privat slutpunkt.

Privata slutpunkter tillhandahålls av Azure Private Link, som en separat tjänst. Mer information om kostnader finns på prissättningssidan.

Du kan skapa en privat slutpunkt i Azure Portal enligt beskrivningen i den här artikeln. Du kan också använda management-REST API version 2020-03-13, Azure PowerShelleller Azure CLI.

Anteckning

När tjänstslutpunkten är privat inaktiveras vissa portalfunktioner. Du kan visa och hantera information på servicenivån, men information om index, indexerare och kompetensuppsättning är dold av säkerhetsskäl. Som ett alternativ till portalen kan du använda VS Code-tillägget för att interagera med de olika komponenterna i tjänsten.

Varför ska jag använda en privat slutpunkt för säker åtkomst?

Privata slutpunkter för Azure Cognitive Search tillåta en klient i ett virtuellt nätverk att på ett säkert sätt komma åt data i ett sökindex över en Private Link. Den privata slutpunkten använder en IP-adress från det virtuella nätverkets adressutrymme för söktjänsten. Nätverkstrafiken mellan klienten och söktjänsten passerar över det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet. En lista över andra PaaS-tjänster Private Link finns i avsnittet tillgänglighet i produktdokumentationen.

Med privata slutpunkter för söktjänsten kan du:

  • Blockera alla anslutningar på den offentliga slutpunkten för söktjänsten.
  • Öka säkerheten för det virtuella nätverket genom att du kan blockera exfiltrering av data från det virtuella nätverket.
  • Anslut säkert till söktjänsten från lokala nätverk som ansluter till det virtuella nätverket med VPN eller ExpressRoutes med privat peering.

Skapa det virtuella nätverket

I det här avsnittet skapar du ett virtuellt nätverk och undernät som är värd för den virtuella dator som ska användas för åtkomst till söktjänstens privata slutpunkt.

  1. Från startfliken Azure Portal väljer du Skapa en resurs > Virtuellt nätverk för > nätverk.

  2. I Skapa virtuellt nätverk anger eller väljer du följande information:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj Skapa ny, ange myResourceGroup och välj sedan OK
    Name Ange MyVirtualNetwork
    Region Välj önskad region
  3. Lämna standardinställningarna för resten av inställningarna. Klicka på Granska + skapa och sedan på Skapa

Skapa en söktjänst med en privat slutpunkt

I det här avsnittet skapar du en ny tjänst Azure Cognitive Search med en privat slutpunkt.

  1. Längst upp till vänster på skärmen i fönstret Azure Portal du Skapa en resurs > webbapp > Azure Cognitive Search.

  2. I Ny söktjänst – Grunder anger eller väljer du den här informationen:

    Inställning Värde
    PROJEKTINFORMATION
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup. Du skapade detta i föregående avsnitt.
    INSTANSINFORMATION
    URL Ange ett unikt namn.
    Location Välj önskad region.
    Prisnivå Välj Ändra prisnivå och välj önskad tjänstnivå. (Inte stöd för den kostnadsfria nivån. Måste vara Basic eller senare.)
  3. Välj Nästa: Skala.

  4. Lämna värdena som standard och välj Nästa: Nätverk.

  5. I Ny söktjänst – Nätverk väljer du Privat för Slutpunktsanslutning(data).

  6. I Ny söktjänst – Nätverk väljer du + Lägg till under Privat slutpunkt.

  7. I Skapa privat slutpunkt anger eller väljer du den här informationen:

    Inställning Värde
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup. Du skapade detta i föregående avsnitt.
    Location Välj USA, västra.
    Name Ange myPrivateEndpoint.
    Målunderresurs Lämna standardinställningen searchService.
    NÄTVERK
    Virtuellt nätverk Välj MyVirtualNetwork från resursgruppen myResourceGroup.
    Undernät Välj mySubnet.
    PRIVAT DNS-INTEGRATION
    Integrera med privat DNS-zon Lämna kvar standardinställningen Ja.
    Privat DNS-zon Låt standardvärdet ** (ny) privatelink.search.windows.net**.
  8. Välj OK.

  9. Välj Granska + skapa. Du tas till sidan Granska + skapa där Azure verifierar din konfiguration.

  10. När du ser ett meddelande som anger att valideringen har slutförts klickar du på Skapa.

  11. När etableringen av den nya tjänsten är klar bläddrar du till den resurs som du nyss skapade.

  12. Välj Nycklar på den vänstra innehållsmenyn.

  13. Kopiera den primära administratörsnyckeln för senare anslutning till tjänsten.

Skapa en virtuell dator

  1. Längst upp till vänster på skärmen i fönstret Azure Portal väljer du Skapa en virtuell dator > för > resursbearbetning.

  2. I Skapa en virtuell dator – grunder anger eller väljer du följande information:

    Inställning Värde
    PROJEKTINFORMATION
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup. Du skapade detta i föregående avsnitt.
    INSTANSINFORMATION
    Namn på virtuell dator Ange myVm.
    Region Välj USA, västra eller den region som du använder.
    Alternativ för tillgänglighet Lämna kvar standardinställningen Ingen infrastruktursredundans krävs.
    Bild Välj Windows Server 2019 Datacenter.
    Storlek Låt standardinställningen Standard DS1 v2 vara kvar.
    ADMINISTRATÖRSKONTO
    Användarnamn Ange val av användarnamn.
    Lösenord Ange ett valfritt lösenord. Lösenordet måste vara minst 12 tecken långt och uppfylla de definierade komplexitetskraven.
    Bekräfta lösenord Ange lösenordet igen.
    REGLER FÖR INKOMMANDE PORTAR
    Offentliga inkommande portar Låt standardinställningen Tillåt valda portar vara kvar.
    Välj inkommande portar Lämna standardinställningen RDP (3389).
    SPARA PENGAR
    Har du redan en Windows-licens? Lämna kvar standardinställningen Nej.
  3. Välj Nästa: Diskar.

  4. I Skapa en virtuell dator – diskar lämnar du standardinställningarna och väljer Nästa: Nätverk.

  5. I Skapa en virtuell dator – Nätverk väljer du följande information:

    Inställning Värde
    Virtuellt nätverk Lämna kvar standardinställningen MyVirtualNetwork.
    Adressutrymme Låt standardvärdet 10.1.0.0/24 vara kvar.
    Undernät Lämna kvar standardinställningen mySubnet (10.1.0.0/24).
    Offentlig IP-adress Lämna standardinställningen (ny) myVm-ip.
    Offentliga inkommande portar Välj Tillåt valda portar.
    Välj inkommande portar Välj HTTP och RDP.

    Anteckning

    IPv4-adresser kan uttryckas i CIDR-format. Kom ihåg att undvika IP-intervallet som är reserverat för privata nätverk, enligt beskrivningen i RFC 1918:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
  6. Välj Granska + skapa. Du tas till sidan Granska + skapa där Azure verifierar din konfiguration.

  7. När du ser ett meddelande som anger att valideringen har slutförts klickar du på Skapa.

Anslut till VM:en

Ladda ned och anslut sedan till den virtuella datorn myVm på följande sätt:

  1. I portalens sökfältet anger du myVm.

  2. Välj knappen Anslut. När du har valt knappen Anslut öppnas Anslut till den virtuella datorn.

  3. Välj Hämta RDP-fil. Azure skapar en Remote Desktop Protocol -fil (.rdp) och laddar ned den till datorn.

  4. Öppna filen downloaded.rdp*.

    1. Välj Anslut om du uppmanas att göra det.

    2. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn.

      Anteckning

      Du kan behöva välja Fler alternativ Använd ett annat konto för att > ange autentiseringsuppgifterna som du angav när du skapade den virtuella datorn.

  5. Välj OK.

  6. Du kan få en certifikatvarning under inloggningen. Välj Ja eller Fortsätt om du får en certifikatvarning.

  7. När virtuella datorns skrivbord visas kan du minimera det att gå tillbaka till din lokala dator.

Testa anslutningar

I det här avsnittet verifierar du åtkomsten till söktjänsten i det privata nätverket och ansluter privat till med hjälp av den privata slutpunkten.

När söktjänstens slutpunkt är privat inaktiveras vissa portalfunktioner. Du kommer att kunna visa och hantera inställningar på tjänstnivå, men portalåtkomsten till indexdata och olika andra komponenter i tjänsten, till exempel index, indexerare och kompetensuppsättningsdefinitioner, är begränsad av säkerhetsskäl.

  1. Öppna PowerShell på fjärrskrivbordet för myVM.

  2. Ange "nslookup [search service name].search.windows.net"

    Du får ett meddelande som liknar detta:

    Server:  UnKnown
    Address:  168.63.129.16
    Non-authoritative answer:
    Name:    [search service name].privatelink.search.windows.net
    Address:  10.0.0.5
    Aliases:  [search service name].search.windows.net
    
  3. Anslut till söktjänsten från den virtuella datorn och skapa ett index. Du kan följa den här snabbstarten för att skapa ett nytt sökindex i tjänsten med hjälp av REST API. För att konfigurera begäranden från ett testverktyg för webb-API krävs söktjänstens slutpunkt (https://[söktjänstens namn].search.windows.net) och den api-administratörsnyckel som du kopierade i föregående steg.

  4. När du slutför snabbstarten från den virtuella datorn bekräftar du att tjänsten fungerar fullt ut.

  5. Stäng fjärrskrivbordsanslutningen till myVM.

  6. Kontrollera att tjänsten inte är tillgänglig på en offentlig slutpunkt genom att öppna Postman på den lokala arbetsstationen och försöka utföra de första uppgifterna i snabbstarten. Om du får ett felmeddelande om att fjärrservern inte finns har du konfigurerat en privat slutpunkt för söktjänsten.

Rensa resurser

När du är klar med att använda den privata slutpunkten, söktjänsten och den virtuella datorn tar du bort resursgruppen och alla resurser som den innehåller:

  1. Ange  myResourceGroup   i sökrutan överst i portalen och välj  myResourceGroup   i sökresultatet.
  2. Välj Ta bort resursgrupp.
  3. Ange  myResourceGroup som   SKRIV RESURSGRUPPENS NAMN och välj Ta bort.

Nästa steg

I den här artikeln har du skapat en virtuell dator i ett virtuellt nätverk och en söktjänst med en privat slutpunkt. Du har anslutit till den virtuella datorn från Internet och kommunicerat säkert till söktjänsten med hjälp av Private Link. Mer information om privat slutpunkt finns i Vad är privat Azure-slutpunkt?.