概要
この記事は以下のコンテンツを含んでいます。
- Document Intelligence の作成とプライベート エンドポイントと組み合わせた閉域化の手順
- 閉域化された Document Intelligence を Document Intelligence Studio から利用するための注意点
Document Intelligence の作成
Azure Portal で Document Intelligence を作成していきます。
ネットワーク の設定
ここだけ要注意です。
まず「種類」としては「Selected networks, configure network security for your Azure AI Services resource. (選択したネットワークとプライベート エンドポイント)」を選択してください。
そして、ファイアウォールの設定で、以下の 2 つの IP アドレスを許可してください。
- Document Intelligence Studio の IP アドレス
- お使いのコンピュータの IP アドレス
あとは既定で作成します。
現時点での状況は以下の通りです。
- Document Intelligence は作成されました。
- Document Intelligence に対して、2 つの IP アドレスを許可するファイアウォールの設定が完了しました。
- Document Intelligence へのアクセスはパブリック IP アドレスを経由して通信されます。
これをプライベート エンドポイントを使って閉域化(プライベート IP アドレス経由で通信に)します。
プライベート エンドポイントの設定
Document Intelligence のプライベート エンドポイントを設定していきます。
リソース ページのネットワーク ブレードからプライベート エンドポイントを追加します。
使用する仮想ネットワークとしては、Document Intelligence 作成時に自動で作成された仮想ネットワーク(とサブネット)を流用します(もちろんしなくてもいいです)。
パブリック IP アドレス経由のアクセスを無効化
現時点では、仮想ネットワークから、パブリック IP アドレス経由でもプライベート エンドポイント経由でも Document Intelligence にアクセスできます。
なので、パブリック IP アドレス経由のアクセスを無効化します。
ネットワーク ブレードの「Firewalls and virtual networks」欄から選択されている仮想ネットワークをホバーした状態で右クリックして「Remove」を選択し保存することで許可を取り消し、パブリック IP アドレス経由のアクセスを無効化します。
結果
- Document Intelligence へのアクセスはプライベート エンドポイント経由
- 例外として、クライアント PC 上での SDK を使ったアクセスや Document Intelligence Studio からのアクセスはパブリック IP アドレスを経由
Document Intelligence Studio での動作確認
最後に、Document Intelligence Studio から Document Intelligence にアクセスできることを確認します。
まとめ
今回の手順をヴィジュアライズしたものを以下に示します。
①:パブリック IP アドレス経由でのアクセス制限をした Document Intelligence の作成
②:プライベート エンドポイントの設定
③:パブリック IP アドレス経由のアクセスを無効化
いかがだったでしょうか。基本的な内容でありつつ、いくつかの注意点があったかと思います。Document Intelligence のプライベート エンドポイントを使った閉域化を試す際は、この記事を参考にしてみてください。
参考
Discussion