اتصالات المفهرس بمثيل SQL Server على جهاز Azure الظاهري

  • مقالة

عند تكوين مفهرس Azure SQL لاستخراج المحتوى من قاعدة بيانات على جهاز Azure ظاهري، يلزم اتخاذ خطوات إضافية للاتصالات الآمنة.

الاتصال من Azure الذكاء الاصطناعي Search إلى مثيل SQL Server على جهاز ظاهري هو اتصال إنترنت عام. من أجل نجاح الاتصالات الآمنة، قم بتنفيذ الخطوات التالية:

  • الحصول على شهادة من موفر المرجع المصدق لاسم المجال المؤهل بالكامل لمثيل SQL Server على الجهاز الظاهري.

  • تثبيت الشهادة على الجهاز الظاهري.

بعد تثبيت الشهادة على الجهاز الظاهري، تصبح جاهزا لإكمال الخطوات التالية في هذه المقالة.

إشعار

أعمدة Always Encrypted غير معتمدة حاليا من قبل مفهرسات Azure الذكاء الاصطناعي Search.

تمكين الاتصالات المشفرة

يتطلب Azure الذكاء الاصطناعي Search قناة مشفرة لجميع طلبات المفهرس عبر اتصال إنترنت عام. يسرد هذا القسم الخطوات لجعل هذا العمل.

  1. تحقق من خصائص الشهادة للتحقق من أن اسم الموضوع هو اسم المجال المؤهل بالكامل (FQDN) لجهاز Azure الظاهري.

    يمكنك استخدام أداة مثل CertUtils أو الأداة الإضافية Certificates لعرض الخصائص. يمكنك الحصول على FQDN من قسم أساسيات صفحة خدمة الجهاز الظاهري، في حقل تسمية اسم عنوان IP العام/DNS، في مدخل Microsoft Azure.

    عادة ما يتم تنسيق FQDN ك <your-VM-name>.<region>.cloudapp.azure.com

  2. تكوين SQL Server لاستخدام الشهادة باستخدام محرر التسجيل (regedit).

    على الرغم من أنه غالبا ما يتم استخدام إدارة تكوين SQL Server لهذه المهمة، لا يمكنك استخدامها لهذا السيناريو. لن يعثر على الشهادة المستوردة لأن FQDN للجهاز الظاهري على Azure لا يتطابق مع FQDN كما يحدده الجهاز الظاهري (يعرف المجال إما على أنه الكمبيوتر المحلي أو مجال الشبكة الذي انضم إليه). عندما لا تتطابق الأسماء، استخدم regedit لتحديد الشهادة.

    1. في regedit، استعرض للوصول إلى مفتاح التسجيل هذا: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      [MSSQL13.MSSQLSERVER] يختلف الجزء بناء على اسم الإصدار والمثيل.

    2. تعيين قيمة مفتاح الشهادة إلى بصمة الإبهام (بدون مسافات) لشهادة TLS/SSL التي قمت باستيرادها إلى الجهاز الظاهري.

    هناك عدة طرق للحصول على بصمة الإبهام، بعضها أفضل من غيرها. إذا قمت بنسخه من الأداة الإضافية Certificates في MMC، فقد تلتقط حرفا بادئيا غير مرئي كما هو موضح في مقالة الدعم هذه، ما يؤدي إلى حدوث خطأ عند محاولة الاتصال. توجد العديد من الحلول البديلة لتصحيح هذه المشكلة. الأسهل هو الرجوع للخلف ثم إعادة كتابة الحرف الأول من بصمة الإبهام لإزالة الحرف البادئ في حقل قيمة المفتاح في regedit. بدلا من ذلك، يمكنك استخدام أداة مختلفة لنسخ بصمة الإبهام.

  3. منح أذونات لحساب الخدمة.

    تأكد من منح حساب خدمة SQL Server الإذن المناسب على المفتاح الخاص لشهادة TLS/SSL. إذا تجاهلت هذه الخطوة، فلن يبدأ تشغيل SQL Server. يمكنك استخدام الأداة الإضافية Certificates أو CertUtils لهذه المهمة.

  4. أعد تشغيل خدمة خادم SQL.

الاتصال بـ SQL Server

بعد إعداد الاتصال المشفر المطلوب بواسطة Azure الذكاء الاصطناعي Search، اتصل بالمثيل من خلال نقطة النهاية العامة الخاصة به. توضح المقالة التالية متطلبات الاتصال وبناء الجملة:

تكوين مجموعة أمان الشبكة

من أفضل الممارسات تكوين مجموعة أمان الشبكة (NSG) ونقطة نهاية Azure المقابلة أو قائمة التحكم بالوصول (ACL) لجعل جهاز Azure الظاهري الخاص بك متاحا للأطراف الأخرى. من المحتمل أنك قمت بذلك من قبل للسماح لمنطق التطبيق الخاص بك بالاتصال بجهاز SQL Azure الظاهري. لا يختلف عن اتصال Azure الذكاء الاصطناعي Search بجهاز SQL Azure الظاهري.

توفر الخطوات والارتباطات التالية إرشادات حول تكوين NSG لتوزيع الجهاز الظاهري. استخدم هذه الإرشادات ل ACL نقطة نهاية خدمة بحث استنادا إلى عنوان IP الخاص بها.

  1. الحصول على عنوان IP لخدمة البحث الخاصة بك. راجع القسم التالي للحصول على الإرشادات.

  2. أضف عنوان IP للبحث إلى قائمة عوامل تصفية IP لمجموعة الأمان. تشرح إحدى المقالات التالية الخطوات التالية:

يمكن أن تشكل معالجة IP بعض التحديات التي يمكن التغلب عليها بسهولة إذا كنت على دراية بالقضية والحلول المحتملة. توفر الأقسام المتبقية توصيات لمعالجة المشكلات المتعلقة بعناوين IP في قائمة التحكم بالوصول.

نوصي بشدة بتقييد الوصول إلى عنوان IP لخدمة البحث ونطاق عنوان IP لعلامة AzureCognitiveSearch الخدمة في قائمة التحكم بالوصول بدلا من جعل أجهزة SQL Azure الظاهرية مفتوحة لجميع طلبات الاتصال.

يمكنك معرفة عنوان IP عن طريق اختبار اتصال FQDN (على سبيل المثال، <your-search-service-name>.search.windows.net) لخدمة البحث الخاصة بك. على الرغم من أنه من الممكن تغيير عنوان IP لخدمة البحث، فمن غير المحتمل أن يتغير. يميل عنوان IP إلى أن يكون ثابتا طوال مدة بقاء الخدمة.

يمكنك معرفة نطاق عنوان IP لعلامة AzureCognitiveSearch الخدمة إما باستخدام ملفات JSON القابلة للتنزيل أو عبر واجهة برمجة تطبيقات اكتشاف علامة الخدمة. يتم تحديث نطاق عناوين IP أسبوعيا.

تضمين عناوين IP لمدخل Azure

إذا كنت تستخدم مدخل Microsoft Azure لإنشاء مفهرس، يجب منح المدخل حق الوصول الوارد إلى جهاز SQL Azure الظاهري. تتطلب قاعدة واردة في جدار الحماية توفير عنوان IP للمدخل.

للحصول على عنوان IP للمدخل، ping stamp2.ext.search.windows.net، وهو مجال مدير نسبة استخدام الشبكة. انتهت مهلة الطلب، ولكن عنوان IP مرئي في رسالة الحالة. على سبيل المثال، في الرسالة "Ping azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"، عنوان IP هو "52.252.175.48".

تتصل المجموعات في مناطق مختلفة بمديري حركة مرور مختلفين. بغض النظر عن اسم المجال، فإن عنوان IP الذي تم إرجاعه من اختبار الاتصال هو العنوان الصحيح الذي يجب استخدامه عند تعريف قاعدة جدار حماية واردة لمدخل Azure في منطقتك.

تكملة أمان الشبكة مع مصادقة الرمز المميز

تعد جدران الحماية وأمان الشبكة خطوة أولى في منع الوصول غير المصرح به إلى البيانات والعمليات. يجب أن يكون التخويل خطوتك التالية.

نوصي بالوصول المستند إلى الدور، حيث يتم تعيين مستخدمي Microsoft Entra ID والمجموعات للأدوار التي تحدد الوصول للقراءة والكتابة إلى خدمتك. راجع الاتصال إلى Azure الذكاء الاصطناعي Search باستخدام عناصر التحكم في الوصول المستندة إلى الدور للحصول على وصف للأدوار المضمنة وإرشادات إنشاء أدوار مخصصة.

إذا لم تكن بحاجة إلى مصادقة تستند إلى المفتاح، نوصي بتعطيل مفاتيح واجهة برمجة التطبيقات واستخدام تعيينات الأدوار حصريا.

الخطوات التالية

مع الخروج من التكوين، يمكنك الآن تحديد SQL Server على جهاز Azure الظاهري كمصدر بيانات لمفهرس Azure الذكاء الاصطناعي Search. لمزيد من المعلومات، راجع فهرسة البيانات من Azure SQL.