Post

Azure AI Search index private endpoints

Posted
By Otto Gudszent
1 min read

Mindenki is AI projektet futtat, ehhez persze több út vezet, hogy megtapasztalhassuk a jelenlegi lehetőségeket. Maga a Microsoft is természetesen ad referencia implementációt, amik nagyban segítik megismerni az ügyfelnek hogy miről is szól az egész. Az egyik ilyen volt az általam is telepített https://github.com/Azure-Samples/azure-search-openai-demo/, mely ismerkedésnek tökéletes. Röviden az openAI-al beszélgetünk, közben pedig az AI Search beindexeli a dokumentumainkat és az openAI onnan szemezget a felhasználó kéréseinek megfelelően. Természetesen minden publikusan van összekötve, amit azért az ITSecurity annyira nem preferál, tehát jöhet a kedvenc részem, hogy a dolgokat privátba tegyük. Ebben a cikkben az AI Search index privátba helyezését mutatom be, tehát hogy hogyan tudunk private storage account-ot használni az index létrehozásához.

AI Search

Sajnos a Free tier-ben nem érhető el a private endpoint csatlakoztatási lehetőség, de a Basic-től felfelé már igen. Amennyiben létrehozunk egy AI Search erőforrást, nyissuk meg és menjünk a network részleghez.

Private endpoint

AI Search

Itt láthatjuk a hálózati beállításokat, ahol a beérkező kommmunikációt konfigurálhatjuk.

3 lehetőségünk van:

  • Disabled (Publikus kommunikációt nem engedélyezünk, csak a hálózatunkon belülről érhető el az AI Search.)
  • Selected networks (Kiválaszthatjuk, hogy melyik vnet-ből engedélyezzük a beérkező kommunikációt. Fontos, hogy a route táblát módosítani fogja, ami azért okozhat egyéb gondokat is.)
  • All Networks (Minden hálózatról engedélyezzük a beérkező kommunikációt.)

A legnagyobb hibát az emberek itt szokták elkövetni, hogy a beérkező kommunikációt állítják be és ha adatot akarunk beküldeni indexelésre, akkor helyben járunk el, de inkább más erőforrásokat akarnak indexelni AI Search-el, tehát valójában a kimenő kommunikációt kellene beállítani.

Shared Private Access

Amennyiben egy private Storage account-ot szeretnénk például indexelni, akkor a Shared Private Access beállítást kell használnunk. Ennek segítségével tudjuk elérni, hogy egy olyan Storage account-ot elérjünk, ami nem publikus, tehát csak a hálózatunkon belülről érhető el.
Hozzunk létre egy Shared Private Access-t és adjuk meg a Storage account-ot.

AI Search

Ezzel kezdeményeztünk egy private endpoint létrehozást, a storage accounthoz. Nem szokványos Private endpoint létrehozás, tehát vnet-et és subnet-et nem kell megadni. Viszont hiába van jogosultságunk a másik erőforráson, manuálisan is jóvá kell hagyni a létrehozást a másik erőforrásnál is.

AI Search

Ezután már minden a szokott módon fog menni.

Azure
Azure AI Search
This post is licensed under CC BY 4.0 by the author.