Azure AI Search'e güvenli bir bağlantı için Özel Uç Nokta oluşturma

  • Makale

Bu makalede, Genel İnternet bağlantısı yerine sanal ağdaki istemcilerden gelen istekleri kabul etmek için Azure AI Search'e özel bağlantı yapılandırmayı öğrenin:

Azure AI Search'e özel olarak bağlanabilen diğer Azure kaynakları arasında "kendi verilerinizi kullanın" senaryoları için Azure OpenAI bulunur. Azure OpenAI Studio bir sanal ağda çalışmaz, ancak microsoft omurga ağı üzerinden istek göndermek için arka uçta yapılandırılabilir. İsteğiniz gönderildiğinde ve onaylandığında bu trafik düzeni için yapılandırma Microsoft tarafından etkinleştirilir. Bu senaryo için:

Özel uç noktalar hakkındaki önemli noktalar

Özel uç noktalar Azure Özel Bağlantı tarafından ayrı faturalanabilir bir hizmet olarak sağlanır. Maliyetler hakkında daha fazla bilgi için fiyatlandırma sayfasına bakın.

Arama hizmetinin özel uç noktası olduğunda, bu hizmete portal erişimi sanal ağın içindeki bir sanal makinedeki bir tarayıcı oturumundan başlatılmalıdır. Ayrıntılar için bu adıma bakın.

Bu makalede açıklandığı gibi Azure portalında bir arama hizmeti için özel uç nokta oluşturabilirsiniz. Alternatif olarak, Yönetim REST API sürümünü, Azure PowerShell'i veya Azure CLI'yı kullanabilirsiniz.

Özel uç nokta neden kullanılır?

Azure AI Search için Özel Uç Noktalar, sanal ağdaki bir istemcinin bir Özel Bağlantı üzerinden arama dizinindeki verilere güvenli bir şekilde erişmesini sağlar. Özel uç nokta, arama hizmetiniz için sanal ağ adres alanından bir IP adresi kullanır. İstemci ile arama hizmeti arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki özel bir bağlantı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır. Özel Bağlantı destekleyen diğer PaaS hizmetlerinin listesi için ürün belgelerindeki kullanılabilirlik bölümüne bakın.

Arama hizmetiniz için özel uç noktalar, şu işlemleri yapmanızı sağlar:

  • Arama hizmetinizin genel uç noktasındaki tüm bağlantıları engelleyin.
  • Sanal ağdan veri sızdırmayı engellemenizi sağlayarak sanal ağ güvenliğini artırın.
  • Özel eşleme ile VPN veya ExpressRoutes kullanarak sanal ağa bağlanan şirket içi ağlardan arama hizmetinize güvenli bir şekilde bağlanın.

Sanal ağı oluşturma

Bu bölümde, arama hizmetinizin özel uç noktasına erişmek için kullanılacak VM'yi barındırmak için bir sanal ağ ve alt ağ oluşturacaksınız.

  1. Azure portalı giriş sekmesinde Kaynak>oluştur Ağ>Sanal ağı'nı seçin.

  2. Sanal ağ oluştur bölümünde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur'u seçin, "myResourceGroup" gibi bir ad girin ve tamam'ı seçin.
    Veri Akışı Adı "MyVirtualNetwork" gibi bir ad girin.
    Bölge Bölge seçin.

  3. Diğer ayarlar için varsayılan değerleri kabul edin. Gözden Geçir + oluştur'u ve ardından Oluştur'u seçin.

Özel uç nokta ile arama hizmeti oluşturma

Bu bölümde Özel Uç Nokta ile yeni bir Azure AI Arama hizmeti oluşturacaksınız.

  1. Azure portalında ekranın sol üst tarafında Kaynak>oluştur Web>Azure Yapay Zeka Araması'nı seçin.

  2. Yeni Arama Hizmeti - Temel Bilgiler'de aşağıdaki değerleri girin veya seçin:

    Ayar Value
    PROJE AYRINTILARI
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Önceki adımda oluşturduğunuz kaynak grubunu kullanın.
    ÖRNEK AYRINTILARI
    URL Benzersiz bir ad girin.
    Konum Bölgenizi seçin.
    Fiyatlandırma katmanı Fiyatlandırma Katmanını Değiştir'i seçin ve istediğiniz hizmet katmanını seçin. Özel uç noktalar Ücretsiz katmanında desteklenmez. Temel veya üzerini seçmelisiniz.

  3. İleri: Ölçek'i seçin.

  4. Varsayılanları kabul edin ve İleri: Ağ'ı seçin.

  5. Yeni Arama Hizmeti - Ağ bölümünde Uç nokta bağlantısı (veriler) için Özel'i seçin.

  6. Özel uç nokta altında + Ekle'yi seçin.

  7. Özel Uç Nokta Oluştur bölümünde, arama hizmetinizi oluşturduğunuz sanal ağ ile ilişkilendiren değerleri girin veya seçin:

    Ayar Value
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Önceki adımda oluşturduğunuz kaynak grubunu kullanın.
    Konum Bölge seçin.
    Veri Akışı Adı "myPrivateEndpoint" gibi bir ad girin.
    Hedef alt kaynak Varsayılan searchService'i kabul edin.
    Sanal ağ Önceki adımda oluşturduğunuz sanal ağı seçin.
    Alt ağ Varsayılanı seçin.
    ÖZEL DNS TÜMLEŞTIRMESI
    Özel DNS bölgesi ile tümleştirme Varsayılan "Evet"i kabul edin.
    Özel DNS bölgesi Varsayılan (Yeni) privatelink.search.windows.net kabul edin.

  8. Tamam'ı seçin.

  9. Gözden geçir ve oluştur’u seçin. Azure'ın yapılandırmanızı doğruladığı Gözden Geçir ve oluştur sayfasına yönlendirilirsiniz.

  10. Doğrulama başarılı iletisini gördüğünüzde Oluştur'u seçin.

  11. Yeni hizmetinizin sağlanması tamamlandıktan sonra oluşturduğunuz kaynağa göz atın.

  12. Sol içerik menüsünden Anahtarlar'ı seçin.

  13. Hizmete bağlanırken birincil yönetici anahtarını daha sonra kullanmak üzere kopyalayın.

Sanal makine oluşturun

  1. Azure portalında ekranın sol üst tarafında Kaynak>oluştur İşlem>Sanal makinesi'ni seçin.

  2. Sanal makine oluşturma - Temel bilgiler bölümünde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    PROJE AYRINTILARI
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Önceki bölümde oluşturduğunuz kaynak grubunu kullanın.
    ÖRNEK AYRINTILARI
    Virtual machine name "my-vm" gibi bir ad girin.
    Bölge Bölgenizi seçin.
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekli değil'i seçebilir veya işleve ihtiyacınız varsa başka bir seçenek belirleyebilirsiniz.
    Görsel Windows Server 2022 Datacenter: Azure Edition - 2. Nesil'i seçin.
    VM mimarisi Varsayılan x64'leri kabul edin.
    Size Varsayılan Standart D2S v3'leri kabul edin.
    YÖNETICI HESABı
    Username Yöneticinin kullanıcı adını girin. Azure aboneliğiniz için geçerli bir hesap kullanın. Arama hizmetinizi yönetebilmek için VM'den Azure portalında oturum açmak istersiniz.
    Parola Hesap parolasını girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanmış karmaşıklık gereksinimlerini karşılamalıdır.
    Parolayı Onayla Parolayı yeniden girin.
    GELEN BAĞLANTı NOKTASı KURALLARı
    Genel gelen bağlantı noktaları Varsayılan Seçili bağlantı noktalarına izin ver'i kabul edin.
    Gelen bağlantı noktalarını seçin Varsayılan RDP'yi (3389) kabul edin.

  3. İleri: Diskler'i seçin.

  4. Sanal makine oluşturma - Diskler bölümünde varsayılan değerleri kabul edin ve İleri: Ağ'ı seçin.

  5. Sanal makine oluşturma - Ağ bölümünde aşağıdaki değerleri sağlayın:

    Ayar Value
    Sanal ağ Önceki adımda oluşturduğunuz sanal ağı seçin.
    Alt ağ Varsayılanı kabul edin (10.1.0.0/24).
    NIC ağ güvenlik grubu Varsayılan "Temel" kabul et
    Genel IP Varsayılan "(yeni) myVm-ip" seçeneğini kabul edin.
    Genel gelen bağlantı noktaları Varsayılan "Seçili bağlantı noktalarına izin ver" seçeneğini belirleyin.
    Gelen bağlantı noktalarını seçin "HTTP 80", "HTTPS (443)" ve "RDP (3389)" seçeneğini belirleyin.

    Not

    IPv4 adresleri CIDR biçiminde ifade edilebilir. RFC 1918'de açıklandığı gibi özel ağ için ayrılmış IP aralığından kaçınmayı unutmayın:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Doğrulama denetimi için Gözden geçir ve oluştur'u seçin.

  7. Doğrulama başarılı iletisini gördüğünüzde Oluştur'u seçin.

VM’ye bağlanma

Aşağıdaki gibi sanal makineyi indirin ve sanal makineye bağlanın:

  1. Portalın arama çubuğunda, önceki adımda oluşturulan sanal makineyi arayın.

  2. Bağlan'ı seçin. Bağlan düğmesini seçtikten sonra sanal makineye Bağlan açılır.

  3. RDP Dosyasını İndir’i seçin. Azure bir Uzak Masaüstü Protokolü (.rdp) dosyası oluşturur ve dosyayı bilgisayarınıza indirir.

  4. İndirilen .rdp dosyayı açın.

    1. İstendiğinde Bağlan’ı seçin.

    2. VM'yi oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.

      Not

      VM'yi oluştururken girdiğiniz kimlik bilgilerini belirtmek için Diğer seçenekler>Farklı bir hesap kullan'ı seçmeniz gerekebilir.

  5. Tamam'ı seçin.

  6. Oturum açma işlemi sırasında bir sertifika uyarısı alabilirsiniz. Sertifika uyarısı alırsanız Evet veya Devam'ı seçin.

  7. VM masaüstü göründüğünde, yerel masaüstünüze geri dönmek için simge durumuna küçültün.

Bağlantıları test et

Bu bölümde, arama hizmetine özel ağ erişimini doğrulayacak ve Özel Uç Nokta kullanarak özel olarak öğesine bağlanacaksınız.

Arama hizmeti uç noktası özel olduğunda, bazı portal özellikleri devre dışı bırakılır. Hizmet düzeyi ayarlarını görüntüleyebilir ve yönetebilirsiniz, ancak dizin verilerine ve dizin, dizin oluşturucu ve beceri kümesi tanımları gibi hizmetteki diğer bileşenlere portal erişimi güvenlik nedeniyle kısıtlanmıştır.

  1. myVM'nin Uzak Masaüstü'nde PowerShell'i açın.

  2. nslookup [search service name].search.windows.net girin.

    Şuna benzer bir ileti alırsınız:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. VM'den arama hizmetine bağlanın ve bir dizin oluşturun. REST API kullanarak hizmetinizde yeni bir arama dizini oluşturmak için bu hızlı başlangıcı izleyebilirsiniz. Web API'sinin test aracından istekleri ayarlamak için arama hizmeti uç noktası (https://[arama hizmeti adı].search.windows.net) ve önceki adımda kopyaladığınız yönetici api-anahtarı gerekir.

  4. Vm'den hızlı başlangıcı tamamlamak, hizmetin tamamen çalışır durumda olduğunu onaylamanızdır.

  5. myVM'ye uzak masaüstü bağlantısını kapatın.

  6. Hizmetinizin genel bir uç noktada erişilebilir olmadığını doğrulamak için yerel iş istasyonunuzda bir REST istemcisi açın ve hızlı başlangıçtaki ilk birkaç görevi deneyin. Uzak sunucunun mevcut olmadığını belirten bir hata alırsanız, arama hizmetiniz için özel bir uç noktayı başarıyla yapılandırmış olursunuz.

Özel arama hizmetine erişmek için Azure portalını kullanma

Arama hizmeti uç noktası özel olduğunda, bazı portal özellikleri devre dışı bırakılır. Hizmet düzeyi bilgilerini görüntüleyebilir ve yönetebilirsiniz, ancak dizin, dizin oluşturucu ve beceri kümesi bilgileri güvenlik nedeniyle gizlenir.

Bu kısıtlamaya geçici bir çözüm olarak, sanal ağın içindeki bir sanal makinedeki bir tarayıcıdan Azure portalına bağlanın. Portal, bağlantıdaki özel uç noktayı kullanır ve size içerik ve işlemler hakkında görünürlük sağlar.

  1. Özel uç nokta üzerinden arama hizmetine erişebilen bir VM sağlamak için adımları izleyin.

  2. Sanal ağınızdaki bir sanal makinede bir tarayıcı açın ve Azure portalında oturum açın. Portal, arama hizmetinize bağlanmak için sanal makineye bağlı özel uç noktayı kullanır.

Genel ağ erişimini devre dışı bırakma

Genel İnternet'ten gelen herhangi bir isteği kabul etmesini önlemek için bir arama hizmetini kilitleyebilirsiniz. Bu adım için Azure portalını kullanabilirsiniz.

  1. Azure portalında, arama hizmeti sayfanızın en sol bölmesinde Ağ'ı seçin.

  2. Güvenlik duvarları ve sanal ağlar sekmesinde Devre Dışı'nı seçin.

Azure CLI, Azure PowerShell veya Yönetim REST API'sini veya ayarını public-accessdisabledpublic-network-access da kullanabilirsiniz.

Kaynakları temizleme

Kendi aboneliğinizde çalışırken, projenin sonunda oluşturduğunuz kaynaklara hala ihtiyacınız olup olmadığını belirlemek iyi bir fikirdir. Çalışır durumda bırakılan kaynaklar maliyetlerin artmasına neden olabilir.

Bu alıştırmada oluşturduğunuz her şeyi silmek için tek tek kaynakları veya kaynak grubunu silebilirsiniz. Herhangi bir kaynağın genel bakış sayfasında kaynak grubunu seçin ve ardından Sil'i seçin.

Sonraki adımlar

Bu makalede, sanal ağda bir VM ve Özel Uç Nokta içeren bir arama hizmeti oluşturdunuz. VM'ye İnternet'ten bağlandınız ve Özel Bağlantı kullanarak arama hizmetine güvenli bir şekilde iletişim kurdunız. Özel Uç Nokta hakkında daha fazla bilgi edinmek için bkz . Azure Özel Uç Noktası nedir?.