Aracılığıyla paylaş

Azure AI Search'e güvenli bağlantı için özel uç nokta oluşturma

  • Makale

Bu makalede, genel İnternet bağlantısı yerine sanal ağdaki istemcilerden gelen istekleri kabul etmek için Azure AI Search'e özel bağlantı yapılandırma adımları açıklanmaktadır:

Azure AI Search'e özel olarak bağlanabilen diğer Azure kaynakları arasında "kendi verilerinizi kullanın" senaryoları için Azure OpenAI bulunur. Azure AI Foundry bir sanal ağda çalışmaz, ancak microsoft omurga ağı üzerinden istek göndermek için arka uçta yapılandırılabilir. İsteğiniz gönderildiğinde ve onaylandığında bu trafik düzeni için yapılandırma Microsoft tarafından etkinleştirilir. Bu senaryo için:

Özel uç noktalar hakkındaki önemli noktalar

Özel uç noktalar Azure Özel Bağlantı tarafından ayrı faturalanabilir bir hizmet olarak sağlanır. Maliyetler hakkında daha fazla bilgi için bkz. Azure Özel Bağlantı fiyatlandırma.

Arama hizmetinin özel uç noktası olduğunda, bu hizmete portal erişimi sanal ağın içindeki bir sanal makinedeki bir tarayıcı oturumundan başlatılmalıdır. Ayrıntılar için bu adıma bakın.

Bu makalede açıklandığı gibi Azure portalında bir arama hizmeti için özel uç nokta oluşturabilirsiniz. Alternatif olarak Yönetim REST API'sini, Azure PowerShell'i veya Azure CLI'yı kullanabilirsiniz.

Özel uç nokta neden kullanılır?

Azure AI Search için özel uç noktalar, sanal ağdaki bir istemcinin bir Özel Bağlantı üzerinden arama dizinindeki verilere güvenli bir şekilde erişmesini sağlar. Özel uç nokta, arama hizmetiniz için sanal ağ adres alanından bir IP adresi kullanır. İstemci ile arama hizmeti arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki özel bir bağlantı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır. Özel Bağlantı destekleyen diğer PaaS hizmetlerinin listesi için ürün belgelerindeki kullanılabilirlik bölümüne bakın.

Arama hizmetinizin özel uç noktaları şunları yapmanızı sağlar:

  • Arama hizmetinizin genel uç noktasındaki tüm bağlantıları engelleyin.
  • Sanal ağdan veri sızdırmayı engellemenize izin vererek sanal ağ güvenliğini artırın.
  • Özel eşleme ile VPN veya ExpressRoutes kullanarak sanal ağa bağlanan şirket içi ağlardan arama hizmetinize güvenli bir şekilde bağlanın.

Sanal ağı oluşturma

Bu bölümde, arama hizmetinizin özel uç noktasına erişmek için kullanılacak VM'yi barındırmak için bir sanal ağ ve alt ağ oluşturacaksınız.

  1. Azure portalı giriş sekmesinde Kaynak>oluştur Ağ>Sanal ağı'nı seçin.

  2. Sanal ağ oluştur bölümünde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Yeni oluştur'u seçin, myResourceGroup gibi bir ad girin ve tamam'ı seçin
    Veri Akışı Adı MyVirtualNetwork gibi bir ad girin
    Bölge Bir bölge seçin

  3. Diğer ayarlar için varsayılan değerleri kabul edin. Gözden Geçir + oluştur'u ve ardından Oluştur'u seçin.

Özel uç nokta ile arama hizmeti oluşturma

Bu bölümde, özel uç nokta ile yeni bir Azure AI Arama hizmeti oluşturacaksınız.

  1. Azure portalında ekranın sol üst tarafında Kaynak>yapay zekası oluştur + makine öğrenmesi>yapay zeka araması'nı seçin.

  2. Arama hizmeti oluşturma - Temel bilgiler bölümünde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    PROJE AYRINTILARI
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Önceki adımda oluşturduğunuz kaynak grubunu kullanın
    ÖRNEK AYRINTILARI
    URL Benzersiz bir ad girin
    Konum Bölgenizi seçin
    Fiyatlandırma katmanı Fiyatlandırma Katmanını Değiştir'i seçin ve istediğiniz hizmet katmanını seçin. Özel uç noktalar Ücretsiz katmanında desteklenmez. Temel veya üzerini seçmelisiniz.

  3. İleri: Ölçek'i seçin.

  4. Varsayılanları kabul edin ve İleri: Ağ'ı seçin.

  5. Arama hizmeti oluşturma - Ağ bölümünde Uç nokta bağlantısı (veriler) için Özel'i seçin.

  6. Özel uç nokta altında + Ekle'yi seçin.

  7. Özel uç nokta oluştur bölümünde, arama hizmetinizi oluşturduğunuz sanal ağ ile ilişkilendiren değerleri girin veya seçin:

    Ayar Value
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Önceki adımda oluşturduğunuz kaynak grubunu kullanın
    Konum Bir bölge seçin
    Veri Akışı Adı myPrivateEndpoint gibi bir ad girin
    Hedef alt kaynak Varsayılan searchService'i kabul etme
    Sanal ağ Önceki adımda oluşturduğunuz sanal ağı seçin
    Alt ağ Varsayılanı seçin
    ÖZEL DNS TÜMLEŞTIRMESI
    Özel DNS Tümleştirmesini Etkinleştirme Onay kutusunu seçin
    Özel DNS bölgesi Varsayılan (Yeni) privatelink.search.windows.net kabul edin

  8. Ekle'yi seçin.

  9. Gözden geçir ve oluştur’u seçin. Azure'ın yapılandırmanızı doğruladığı Gözden Geçir ve oluştur sayfasına yönlendirilirsiniz.

  10. Doğrulama başarılı iletisini gördüğünüzde Oluştur'u seçin.

  11. Yeni hizmetinizin sağlanması tamamlandıktan sonra oluşturduğunuz kaynağa göz atın.

  12. Soldaki içerik menüsünden Ayarlar>Anahtarları'nı seçin.

  13. Hizmete bağlanırken birincil yönetici anahtarını daha sonra kullanmak üzere kopyalayın.

Sanal makine oluşturun

  1. Azure portalında ekranın sol üst tarafında Kaynak>oluştur İşlem>Sanal makinesi'ni seçin.

  2. Sanal makine oluşturma - Temel bilgiler bölümünde aşağıdaki değerleri girin veya seçin:

    Ayar Value
    PROJE AYRINTILARI
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Önceki bölümde oluşturduğunuz kaynak grubunu kullanın
    ÖRNEK AYRINTILARI
    Virtual machine name My-vm gibi bir ad girin
    Bölge Bölgenizi seçin
    Kullanılabilirlik seçenekleri Altyapı yedekliliği gerekli değil'i seçebilir veya işleve ihtiyacınız varsa başka bir seçenek belirleyebilirsiniz
    Görsel Windows Server 2022 Datacenter: Azure Edition - 2. Nesil'i seçin
    VM mimarisi Varsayılan x64'leri kabul etme
    Size Varsayılan Standart D2S v3'leri kabul etme
    YÖNETICI HESABı
    Username Yöneticinin kullanıcı adını girin. Azure aboneliğiniz için geçerli bir hesap kullanın. Arama hizmetinizi yönetebilmeniz için VM'den Azure portalında oturum açın.
    Parola Hesap parolasını girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanmış karmaşıklık gereksinimlerini karşılamalıdır.
    Parolayı Onayla Parolayı yeniden girin
    GELEN BAĞLANTı NOKTASı KURALLARı
    Genel gelen bağlantı noktaları Varsayılan Seçili bağlantı noktalarına izin ver'i kabul etme
    Gelen bağlantı noktalarını seçin Varsayılan RDP'yi kabul etme (3389)

  3. İleri: Diskler'i seçin.

  4. Sanal makine oluşturma - Diskler bölümünde varsayılan değerleri kabul edin ve İleri: Ağ'ı seçin.

  5. Sanal makine oluşturma - Ağ bölümünde aşağıdaki değerleri sağlayın:

    Ayar Value
    Sanal ağ Önceki adımda oluşturduğunuz sanal ağı seçin
    Alt ağ Varsayılan 10.1.0.0/24'i kabul edin
    Genel IP Varsayılan değeri kabul edin
    NIC ağ güvenlik grubu Varsayılan Temel'i kabul etme
    Genel gelen bağlantı noktaları Varsayılan Seçili bağlantı noktalarına izin ver'i seçin
    Gelen bağlantı noktalarını seçin HTTP 80, HTTPS (443) ve RDP (3389) seçeneğini belirleyin

    Not

    IPv4 adresleri CIDR biçiminde ifade edilebilir. RFC 1918'de açıklandığı gibi özel ağ için ayrılmış IP aralığından kaçınmayı unutmayın:

    • 10.0.0.0 - 10.255.255.255 (10/8 prefix)
    • 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    • 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

  6. Doğrulama denetimi için Gözden geçir ve oluştur'u seçin.

  7. Doğrulama başarılı iletisini gördüğünüzde Oluştur'u seçin.

VM’ye bağlanma

Aşağıdaki gibi sanal makineyi indirin ve sanal makineye bağlanın:

  1. Azure portalının arama çubuğunda, önceki adımda oluşturulan sanal makineyi arayın.

  2. Bağlan'ı seçin. Bağlan düğmesini seçtikten sonra Sanal makineye bağlan açılır.

  3. RDP Dosyasını İndir’i seçin. Azure bir Uzak Masaüstü Protokolü (.rdp) dosyası oluşturur ve dosyayı bilgisayarınıza indirir.

  4. İndirilen .rdp dosyasını açın.

    1. İstendiğinde Bağlan’ı seçin.

    2. VM'yi oluştururken belirttiğiniz kullanıcı adını ve parolayı girin.

      Not

      VM'yi oluştururken girdiğiniz kimlik bilgilerini belirtmek için Diğer seçenekler>Farklı bir hesap kullan'ı seçmeniz gerekebilir.

  5. Tamam'ı seçin.

  6. Oturum açma işlemi sırasında bir sertifika uyarısı alabilirsiniz. Sertifika uyarısı alırsanız Evet veya Devam'ı seçin.

  7. VM masaüstü göründüğünde, yerel masaüstünüze geri dönmek için simge durumuna küçültün.

Bağlantıları test et

Bu bölümde, arama hizmetine özel ağ erişimini doğrular ve Özel Uç Nokta'yı kullanarak özel olarak öğesine bağlanırsınız.

Arama hizmeti uç noktası özel olduğunda, bazı portal özellikleri devre dışı bırakılır. Hizmet düzeyi ayarlarını görüntüleyebilir ve yönetebilirsiniz, ancak dizin verilerine ve dizin, dizin oluşturucu ve beceri kümesi tanımları gibi hizmetteki diğer bileşenlere portal erişimi güvenlik nedeniyle kısıtlanmıştır.

  1. myVM'nin Uzak Masaüstü'nde PowerShell'i açın.

  2. nslookup [search service name].search.windows.net girin.

    Şuna benzer bir ileti alırsınız:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    [search service name].privatelink.search.windows.net
Address:  10.0.0.5
Aliases:  [search service name].search.windows.net

  3. VM'den arama hizmetine bağlanın ve bir dizin oluşturun. REST API kullanarak hizmetinizde yeni bir arama dizini oluşturmak için bu hızlı başlangıcı izleyebilirsiniz. Bir Web API'si test aracından istekleri ayarlamak için arama hizmeti uç noktası (https://[search service name].search.windows.net) ve önceki adımda kopyaladığınız yönetici api anahtarı gerekir.

  4. Vm'den hızlı başlangıcı tamamlamak, hizmetin tamamen çalışır durumda olduğunu onaylamanızdır.

  5. myVM'ye uzak masaüstü bağlantısını kapatın.

  6. Hizmetinizin genel bir uç noktada erişilebilir olmadığını doğrulamak için yerel iş istasyonunuzda bir REST istemcisi açın ve hızlı başlangıçtaki ilk birkaç görevi deneyin. Uzak sunucunun mevcut olmadığını belirten bir hata alırsanız, arama hizmetiniz için özel bir uç noktayı başarıyla yapılandırmış olursunuz.

Özel arama hizmetine erişmek için Azure portalını kullanma

Arama hizmeti uç noktası özel olduğunda, bazı portal özellikleri devre dışı bırakılır. Hizmet düzeyi bilgilerini görüntüleyebilir ve yönetebilirsiniz, ancak dizin, dizin oluşturucu ve beceri kümesi bilgileri güvenlik nedeniyle gizlenir.

Bu kısıtlamaya geçici bir çözüm olarak, sanal ağın içindeki bir sanal makinedeki bir tarayıcıdan Azure portalına bağlanın. Azure portalı, bağlantıdaki özel uç noktayı kullanır ve size içerik ve işlemler hakkında görünürlük sağlar.

  1. Özel uç nokta üzerinden arama hizmetine erişebilen bir VM sağlamak için adımları izleyin.

  2. Sanal ağınızdaki bir sanal makinede bir tarayıcı açın ve Azure portalında oturum açın. Azure portalı, arama hizmetinize bağlanmak için sanal makineye bağlı özel uç noktayı kullanır.

Genel ağ erişimini devre dışı bırakma

Genel İnternet'ten gelen herhangi bir isteği kabul etmesini önlemek için bir arama hizmetini kilitleyebilirsiniz. Bu adım için Azure portalını kullanabilirsiniz.

  1. Azure portalında, arama hizmeti sayfanızın en sol bölmesinde Ağ'ı seçin.

  2. Güvenlik duvarları ve sanal ağlar sekmesinde Devre Dışı'nı seçin.

veya ayarını public-network-accesspublic-access yaparak Azure CLI, Azure PowerShell veya Yönetim REST API'sini disabledde kullanabilirsiniz.

Kaynakları temizleme

Kendi aboneliğinizde çalışırken, projenin sonunda oluşturduğunuz kaynaklara hala ihtiyacınız olup olmadığını belirlemek iyi bir fikirdir. Çalışır durumda bırakılan kaynaklar maliyetlerin artmasına neden olabilir.

Bu alıştırmada oluşturduğunuz her şeyi silmek için tek tek kaynakları veya kaynak grubunu silebilirsiniz. Herhangi bir kaynağın genel bakış sayfasında kaynak grubunu seçin ve ardından Sil'i seçin.

Sonraki adım

Bu makalede, sanal ağda bir VM ve özel uç nokta içeren bir arama hizmeti oluşturdunuz. VM'ye İnternet'ten bağlandınız ve Özel Bağlantı kullanarak arama hizmetine güvenli bir şekilde iletişim kurdunız. Özel uç noktalar hakkında daha fazla bilgi edinmek için bkz. Özel uç nokta nedir?