Erstellen eines privaten Endpunkts für sichere Verbindungen mit Azure KI-Suche
Dieser Artikel erläutert, wie Sie eine private Verbindung mit Azure KI-Suche konfigurieren, damit Anforderungen von Clients in einem virtuellen Netzwerk statt über eine öffentliche Internetverbindung zugelassen werden:
- Erstellen Sie ein virtuelles Azure-Netzwerk, oder verwenden Sie ein vorhandenes
- Konfigurieren eines Suchdiensts zur Verwendung eines privaten Endpunkts
- Erstellen eines virtuellen Azure-Computers im gleichen virtuellen Netzwerk
- Testen der Verwendung einer Browsersitzung auf dem virtuellen Computer
Andere Azure-Ressourcen, die möglicherweise privat eine Verbindung mit der Azure KI-Suche herstellen, umfassen Azure OpenAI für Szenarien zur Verwendung eigener Daten. Azure AI Foundry wird nicht in einem virtuellen Netzwerk ausgeführt, kann aber im Back-End so konfiguriert werden, dass Anforderungen über das Microsoft-Backbone-Netzwerk gesendet werden. Die Konfiguration für dieses Datenverkehrsmuster wird von Microsoft aktiviert, wenn Ihre Anforderung übermittelt und genehmigt wird. In diesem Szenario:
- Befolgen Sie die Anleitung zum Einrichten des privaten Endpunkts in diesem Artikel.
- Aktivieren Sie den vertrauenswürdigen Dienst Ihrer Suchressource aus dem Azure-Portal.
- Deaktivieren Sie optional den öffentlichen Netzwerkzugriff, wenn Verbindungen nur von Clients im virtuellen Netzwerk oder von Azure OpenAI über eine private Endpunktverbindung hergestellt werden sollen.
Wichtige Punkte zu privaten Endpunkten
Private Endpunkte werden durch Azure Private Link als separater gebührenpflichtiger Dienst bereitgestellt. Weitere Informationen zu Kosten finden Sie unter Azure Private Link-Preise.
Sobald ein Suchdienst über einen privaten Endpunkt verfügt, muss der Portalzugriff auf diesen Dienst aus einer Browsersitzung auf einem virtuellen Computer innerhalb des virtuellen Netzwerks initiiert werden. Weitere Informationen finden Sie in diesem Schritt.
Sie können einen privaten Endpunkt für einen Suchdienst über das Azure-Portal erstellen, wie in diesem Artikel beschrieben. Alternativ können Sie die Verwaltungs-REST-API, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle verwenden.
Warum sollten Sie einen privaten Endpunkt verwenden?
Private Endpunkte für Azure KI-Suche ermöglichen es einem Client in einem virtuellen Netzwerk, über Private Link sicher auf Daten in einem Suchindex zuzugreifen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum des virtuellen Netzwerks für Ihren Suchdienst. Der Netzwerkdatenverkehr zwischen dem Client und dem Suchdienst wird über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbonenetzwerk geleitet, sodass keine Offenlegung im öffentlichen Internet erfolgt. Eine Liste mit anderen PaaS-Diensten, bei denen Private Link unterstützt wird, finden Sie im Abschnitt Verfügbarkeit in der Produktdokumentation.
Private Endpunkte für Ihren Suchdienst erlauben Ihnen Folgendes zu tun:
- Blockieren aller Verbindungen am öffentlichen Endpunkt für den Suchdienst
- Erhöhen der Sicherheit für das virtuelle Netzwerk, indem Sie die Exfiltration von Daten aus dem virtuellen Netzwerk blockieren können.
- Sicheres Verbinden mit dem Suchdienst aus lokalen Netzwerken, die eine Verbindung mit dem virtuellen Netzwerk über VPN oder ExpressRoute mit privatem Peering herstellen
Erstellen des virtuellen Netzwerks
In diesem Abschnitt erstellen Sie ein virtuelles Netzwerk und ein Subnetz zum Hosten der VM, die für den Zugriff auf den privaten Endpunkt Ihres Suchdiensts verwendet wird.
Wählen Sie auf der Startregisterkarte des Azure-Portals die Option Ressource erstellen>Netzwerk>Virtuelles Netzwerk aus.
Geben Sie unter Virtuelles Netzwerk erstellen die folgenden Werte ein, oder wählen Sie sie aus:
Einstellung Wert Abonnement Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie Neu erstellen aus, geben Sie einen Namen ein, z. B. myResourceGroup, und wählen Sie dann OK aus Name Geben Sie einen Namen ein, z. B. MyVirtualNetwork Region Auswählen einer Region Übernehmen Sie für den Rest der Einstellungen die Standardwerte. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.
Erstellen eines Suchdiensts mit einem privaten Endpunkt
In diesem Abschnitt erstellen Sie einen neuen Azure KI-Suche-Dienst mit einem privaten Endpunkt.
Wählen Sie oben links auf dem Bildschirm im Azure-Portal die Option Ressource erstellen>KI + maschinelles Lernen>KI-Suche aus.
Geben Sie unter Erstellen eines Suchdiensts – Grundlagen folgende Werte ein, oder wählen Sie diese aus:
Einstellung Wert PROJEKTDETAILS Subscription Wählen Sie Ihr Abonnement aus. Resource group Verwenden Sie die Ressourcengruppe, die Sie im vorherigen Schritt erstellt haben INSTANZDETAILS URL Geben Sie einen eindeutigen Namen ein. Location Auswählen Ihrer Region Tarif Wählen Sie Tarif ändern und dann den gewünschten Tarif aus. Private Endpunkte werden im Free-Tarif nicht unterstützt. Sie müssen Basic oder höher auswählen. Klicken Sie auf Weiter: Skalieren.
Übernehmen Sie die Standardeinstellungen, und wählen Sie Weiter: Netzwerk aus.
Wählen Sie unter Erstellen eines Suchdiensts – Netzwerk die Option Privat für Endpunktkonnektivität (Daten) aus.
Wählen Sie unter Privater Endpunkt die Option + Hinzufügen aus.
Geben Sie in Privaten Endpunkt erstellen Werte ein, oder wählen Sie Werte aus, die Ihren Suchdienst dem von Ihnen erstellten virtuellen Netzwerk zuordnen:
Einstellung Wert Abonnement Wählen Sie Ihr Abonnement aus. Resource group Verwenden Sie die Ressourcengruppe, die Sie im vorherigen Schritt erstellt haben Location Wählen Sie eine Region aus. Name Geben Sie einen Namen ein, z. B. myPrivateEndpoint Unterressource des Ziels Übernehmen Sie den Standardwert searchService NETZWERK Virtuelles Netzwerk Wählen Sie das im vorherigen Schritt von Ihnen erstellte virtuelle Netzwerk aus Subnet Wählen Sie den Standardwert aus PRIVATE DNS-INTEGRATION Aktivieren der Privates DNS-Integration Wählen Sie das Kontrollkästchen Private DNS-Zone Übernehmen Sie den Standardwert (Neu) privatelink.search.windows.net Wählen Sie Hinzufügen.
Klicken Sie auf Überprüfen + erstellen. Sie werden zur Seite Überprüfen und erstellen weitergeleitet, auf der Azure Ihre Konfiguration überprüft.
Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.
Navigieren Sie nach Abschluss der Bereitstellung des neuen Diensts zu der erstellten Ressource.
Wählen Sie im linken Inhaltsmenü Einstellungen>Schlüssel aus.
Kopieren Sie den primären Administratorschlüssel für später, wenn Sie eine Verbindung mit dem Dienst herstellen.
Erstellen eines virtuellen Computers
Wählen Sie oben links auf dem Bildschirm im Azure-Portal die Option Ressource erstellen>Compute>Virtueller Computer aus.
Geben Sie unter Virtuellen Computer erstellen – Grundlagen die folgenden Werte ein, oder wählen Sie sie aus:
Einstellung Wert PROJEKTDETAILS Subscription Wählen Sie Ihr Abonnement aus. Resource group Verwenden Sie die Ressourcengruppe, die Sie im vorherigen Abschnitt erstellt haben INSTANZDETAILS Name des virtuellen Computers Geben Sie einen Namen ein, z. B. my-vm Region Auswählen Ihrer Region Verfügbarkeitsoptionen Sie können die Option Keine Redundanz der Infrastruktur erforderlich wählen, oder eine andere Option auswählen, wenn Sie die Funktionalität benötigen Abbildung Wählen Sie Windows Server 2022 Datacenter: Azure Edition – Gen2 aus. VM-Architektur Übernehmen Sie en Standardwert x64 Größe Übernehmen Sie den Standardwert Standard D2S v3 ADMINISTRATORKONTO Username Geben Sie den Benutzernamen des Administrators ein. Verwenden Sie ein Konto, das für Ihr Azure-Abonnement gültig ist. Melden Sie sich auf der VM beim Azure-Portal an, damit Sie Ihren Suchdienst verwalten können. Kennwort Geben Sie das Kennwort des Kontos ein. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen. Kennwort bestätigen Geben Sie das Kennwort erneut ein. REGELN FÜR EINGEHENDE PORTS Öffentliche Eingangsports Übernehmen Sie den Standardwert Ausgewählte Ports zulassen Eingangsports auswählen Übernehmen Sie den Standardwert RDP (3389) Klicken Sie auf Weiter: Datenträger.
Übernehmen Sie unter Virtuellen Computer erstellen – Datenträger die Standardwerte, und wählen Sie Weiter: Netzwerk aus.
Geben Sie unter Virtuellen Computer erstellen – Netzwerk die folgenden Werte an:
Einstellung Wert Virtuelles Netzwerk Wählen Sie das in einem vorherigen Schritt von Ihnen erstellte virtuelle Netzwerk aus Subnet Übernehmen Sie den Standardwert 10.1.0.0/24 Öffentliche IP-Adresse Übernehmen Sie den Standardwert. NIC-Netzwerksicherheitsgruppe Übernehmen Sie den Standardwert Basic Öffentliche Eingangsports Wählen Sie den Standardwert Ausgewählte Ports zulassen aus Eingangsports auswählen Wählen Sie HTTP 80, HTTPS (443) und RDP (3389) Hinweis
IPv4-Adressen können im CIDR-Format ausgedrückt werden. Denken Sie daran, den für private Netzwerke reservierten IP-Adressbereich zu vermeiden, wie in RFC 1918 beschrieben:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Wählen Sie Überprüfen und erstellen aus, um eine Validierungsüberprüfung auszuführen.
Wenn die Meldung Überprüfung erfolgreich angezeigt wird, wählen Sie Erstellen aus.
Herstellen der Verbindung zur VM
Laden Sie den virtuellen Computer herunter und stellen Sie die Verbindung her. Gehen Sie dazu wie folgt vor:
Suchen Sie in der Suchleiste von Azure-Portal nach dem virtuellen Computer, der im vorherigen Schritt erstellt wurde.
Wählen Sie Verbinden. Nach dem Auswählen der Schaltfläche Verbinden wird Verbindung mit virtuellem Computer herstellen geöffnet.
Wählen Sie RDP-Datei herunterladen aus. Azure erstellt eine Remotedesktopprotokoll-Datei (RDP) und lädt sie auf Ihren Computer herunter.
Öffnen Sie die heruntergeladene RDP-Datei.
Wenn Sie dazu aufgefordert werden, wählen Sie Verbinden aus.
Geben Sie den Benutzernamen und das Kennwort ein, den/das Sie beim Erstellen des virtuellen Computers angegeben haben.
Hinweis
Unter Umständen müssen Sie Weitere Optionen>Anderes Konto verwenden auswählen, um die Anmeldeinformationen anzugeben, die Sie beim Erstellen des virtuellen Computers eingegeben haben.
Klicken Sie auf OK.
Während des Anmeldevorgangs wird unter Umständen eine Zertifikatwarnung angezeigt. Wenn Sie eine Zertifikatwarnung erhalten, wählen Sie Ja oder Weiter aus.
Sobald der VM-Desktop angezeigt wird, minimieren Sie ihn, um zu Ihrem lokalen Desktop zurückzukehren.
Testen von Verbindungen
In diesem Abschnitt überprüfen Sie den Zugriff im privaten Netzwerk auf den Suchdienst und stellen über den privaten Endpunkt eine private Verbindung her.
Wenn der Suchdienst-Endpunkt privat ist, sind einige Portalfunktionen deaktiviert. Sie können Einstellungen auf Dienstebene anzeigen und verwalten, aber der Portalzugriff auf Indexdaten und verschiedene andere Komponenten im Dienst, beispielsweise Index-, Indexer- und Skillsetdefinitionen, ist aus Sicherheitsgründen eingeschränkt.
Öffnen Sie auf dem Remotedesktop von myVM PowerShell.
Geben Sie
nslookup [search service name].search.windows.net
ein.Sie erhalten eine Meldung wie die folgende:
Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: [search service name].privatelink.search.windows.net Address: 10.0.0.5 Aliases: [search service name].search.windows.net
Stellen Sie über den virtuellen Computer eine Verbindung mit dem Suchdienst her, und erstellen Sie einen Index. Sie können die Anweisungen in diesem Schnellstart befolgen, um einen neuen Suchdienst in Ihrem Dienst mithilfe der REST-API zu erstellen. Das Einrichten von Anforderungen von einem Web-API-Testtool erfordert den Suchdienstendpunkt
(https://[search service name].search.windows.net)
und den Administrator-API-Schlüssel, den Sie in einem vorherigen Schritt kopiert haben.Das Ausführen der Schritte des Schnellstarts über den virtuellen Computer dient zur Überprüfung, ob der Dienst voll funktionsfähig ist.
Schließen Sie die Remotedesktopverbindung mit myVM.
Um sicherzustellen, dass der Dienst nicht über einen öffentlichen Endpunkt zugänglich ist, öffnen Sie einen REST-Client auf Ihrer lokalen Arbeitsstation, und führen Sie die ersten Schritte im Schnellstart aus. Wenn Sie eine Fehlermeldung erhalten, dass der Remoteserver nicht vorhanden ist, haben Sie erfolgreich einen privaten Endpunkt für Ihren Suchdienst konfiguriert.
Verwenden Sie das Azure-Portal für den Zugriff auf einen privaten Suchdienst
Wenn der Suchdienst-Endpunkt privat ist, sind einige Portalfunktionen deaktiviert. Sie können Informationen auf Dienstebene anzeigen und verwalten, aber die Informationen zu Index, Indexer und Skillset sind aus Sicherheitsgründen ausgeblendet.
Um diese Einschränkung zu umgehen, stellen Sie eine Verbindung zum Azure-Portal über einen Browser auf einer virtuellen Maschine innerhalb des virtuellen Netzwerks her. Das Azure-Portal verwendet den privaten Endpunkt der Verbindung und bietet Ihnen Einblick in Inhalte und Vorgänge.
Folgen Sie den Schritten zur Bereitstellung einer VM, die über einen privaten Endpunkt auf den Suchdienst zugreifen kann.
Öffnen Sie auf einer VM in Ihrem virtuellen Netzwerk einen Browser, und melden Sie sich beim Azure-Portal an. Das Azure-Portal verwendet den privaten Endpunkt, der mit dem virtuellen Computer verbunden ist, um eine Verbindung zu Ihrem Suchdienst zu erstellen.
Deaktivieren des Zugriffs auf das öffentliche Netzwerk
Sie können einen Suchdienst sperren, um zu verhindern, dass eine Anforderung aus dem öffentlichen Internet zugelassen wird. Sie können für diesen Schritt das Azure-Portal verwenden.
Wählen Sie im Azure-Portal im linken Bereich Ihrer Suchdienstseite die Option Netzwerk aus.
Wählen Sie Deaktiviert auf der Registerkarte Firewalls und virtuelle Netzwerke aus.
Sie können auch die Azure-Befehlszeilenschnittstelle, Azure PowerShell oder die Verwaltungs-REST-API verwenden, indem Sie public-access
oder public-network-access
auf disabled
festlegen.
Bereinigen von Ressourcen
Wenn Sie in Ihrem eigenen Abonnement arbeiten, sollten Sie sich am Ende eines Projekts überlegen, ob Sie die erstellten Ressourcen noch benötigen. Ressourcen, die weiterhin ausgeführt werden, können Sie Geld kosten.
Sie können einzelne Ressourcen löschen oder die Ressourcengruppe entfernen, um alles zu löschen, was Sie in dieser Übung erstellt haben. Wählen Sie die Ressourcengruppe auf der Übersichtsseite einer beliebigen Ressource aus, und wählen Sie dann Löschen aus.
Nächster Schritt
In diesem Artikel haben Sie eine VM in einem virtuellen Netzwerk und einen Suchdienst mit einem privaten Endpunkt erstellt. Sie haben über das Internet eine Verbindung mit dem virtuellen Computer hergestellt und über Private Link sicher mit dem Suchdienst kommuniziert. Weitere Informationen zu privaten Endpunkten finden Sie unter Was ist ein privater Endpunkt?