تكوين قواعد جدار حماية IP للسماح باتصالات المفهرس من Azure الذكاء الاصطناعي Search
نيابة عن مفهرس، تصدر خدمة البحث مكالمات صادرة إلى مورد Azure خارجي لسحب البيانات أثناء الفهرسة. إذا كان مورد Azure يستخدم قواعد جدار حماية IP لتصفية المكالمات الواردة، فيجب عليك إنشاء قاعدة واردة في جدار الحماية الذي يقبل طلبات المفهرس.
توضح هذه المقالة كيفية العثور على عنوان IP لخدمة البحث وتكوين قاعدة IP واردة على حساب Azure Storage. على الرغم من أنه خاص ب Azure Storage، يعمل هذا الأسلوب أيضا مع موارد Azure الأخرى التي تستخدم قواعد جدار حماية IP للوصول إلى البيانات، مثل Azure Cosmos DB وAzure SQL.
إشعار
ينطبق على Azure Storage فقط. يجب أن يكون حساب التخزين الخاص بك وخدمة البحث في مناطق مختلفة إذا كنت تريد تحديد قواعد جدار حماية IP. إذا لم يسمح الإعداد الخاص بك بذلك، فجرب استثناء الخدمة الموثوق بها أو قاعدة مثيل المورد بدلا من ذلك.
بالنسبة للاتصالات الخاصة من المفهرسات إلى أي مورد Azure مدعوم، نوصي بإعداد ارتباط خاص مشترك. تنتقل الاتصالات الخاصة إلى شبكة Microsoft الأساسية، متجاوزة الإنترنت العام تماما.
الحصول على عنوان IP لخدمة البحث
احصل على اسم المجال المؤهل بالكامل (FQDN) لخدمة البحث. يبدو هذا مثل
<search-service-name>.search.windows.net. يمكنك العثور على FQDN من خلال البحث عن خدمة البحث الخاصة بك على مدخل Microsoft Azure.
ابحث عن عنوان IP لخدمة البحث عن طريق تنفيذ
nslookup(أوping) من FQDN في موجه الأوامر. تأكد من إزالة البادئةhttps://من FQDN.انسخ عنوان IP بحيث يمكنك تحديده على قاعدة واردة في الخطوة التالية. في المثال التالي، عنوان IP الذي يجب نسخه هو "150.0.0.1".
nslookup contoso.search.windows.net Server: server.example.org Address: 10.50.10.50 Non-authoritative answer: Name: <name> Address: 150.0.0.1 aliases: contoso.search.windows.net
السماح بالوصول من عنوان IP الخاص بالعميل
يجب تمثيل تطبيقات العميل التي تدفع طلبات الفهرسة والاستعلام إلى خدمة البحث في نطاق IP. على Azure، يمكنك بشكل عام تحديد عنوان IP عن طريق اختبار اتصال FQDN لخدمة (على سبيل المثال، ping <your-search-service-name>.search.windows.net إرجاع عنوان IP لخدمة بحث).
أضف عنوان IP للعميل للسماح بالوصول إلى الخدمة من مدخل Microsoft Azure على الكمبيوتر الحالي. انتقل إلى قسم Networking في جزء التنقل الأيمن. قم بتغيير الوصول إلى الشبكة العامة إلى الشبكات المحددة، ثم حدد إضافة عنوان IP للعميل ضمن جدار الحماية.
الحصول على عنوان IP لمدخل Azure
إذا كنت تستخدم المدخل أو معالج استيراد البيانات لإنشاء مفهرس، فأنت بحاجة إلى قاعدة واردة للمدخل أيضا.
للحصول على عنوان IP للمدخل، قم بتنفيذ nslookup (أو ping) على stamp2.ext.search.windows.net، وهو مجال مدير حركة المرور. بالنسبة إلى nslookup، يكون عنوان IP مرئيا في جزء "الإجابة غير الموثوقة" من الاستجابة.
في المثال التالي، عنوان IP الذي يجب نسخه هو "52.252.175.48".
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
تتصل الخدمات في مناطق مختلفة بمديري حركة مرور مختلفين. بغض النظر عن اسم المجال، فإن عنوان IP الذي تم إرجاعه من اختبار الاتصال هو العنوان الصحيح الذي يجب استخدامه عند تعريف قاعدة جدار حماية واردة لمدخل Azure في منطقتك.
بالنسبة إلى ping، انتهت مهلة الطلب، ولكن عنوان IP مرئي في الاستجابة. على سبيل المثال، في الرسالة "Ping azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"، عنوان IP هو "52.252.175.48".
الحصول على عناوين IP لعلامة خدمة "AzureCognitiveSearch"
ستحتاج أيضا إلى إنشاء قاعدة واردة تسمح بالطلبات من بيئة التنفيذ متعددة المستأجرين. تتم إدارة هذه البيئة بواسطة Microsoft وتستخدم لإلغاء تحميل مهام المعالجة المكثفة التي قد تطغى على خدمة البحث الخاصة بك. يشرح هذا القسم كيفية الحصول على نطاق عناوين IP المطلوبة لإنشاء هذه القاعدة الواردة.
يتم تعريف نطاق عنوان IP لكل منطقة تدعم Azure الذكاء الاصطناعي Search. حدد النطاق الكامل لضمان نجاح الطلبات التي تنشأ من بيئة التنفيذ متعددة المستأجرين.
يمكنك الحصول على نطاق عنوان IP هذا من AzureCognitiveSearch علامة الخدمة.
استخدم إما واجهة برمجة تطبيقات الاكتشاف أو ملف JSON القابل للتنزيل. إذا كانت خدمة البحث هي سحابة Azure العامة، فنزل ملف Azure Public JSON.
افتح ملف JSON وابحث عن "AzureCognitiveSearch". بالنسبة لخدمة بحث في WestUS2، عناوين IP لبيئة تنفيذ المفهرس متعدد المستأجرين هي:
{ "name": "AzureCognitiveSearch.WestUS2", "id": "AzureCognitiveSearch.WestUS2", "properties": { "changeNumber": 1, "region": "westus2", "regionId": 38, "platform": "Azure", "systemService": "AzureCognitiveSearch", "addressPrefixes": [ "20.42.129.192/26", "40.91.93.84/32", "40.91.127.116/32", "40.91.127.241/32", "51.143.104.54/32", "51.143.104.90/32", "2603:1030:c06:1::180/121" ], "networkFeatures": null } },بالنسبة لعناوين IP التي تحتوي على لاحقة "/32"، أفلت "/32" (40.91.93.84/32 يصبح 40.91.93.84 في تعريف القاعدة). يمكن استخدام جميع عناوين IP الأخرى حرفيا.
انسخ جميع عناوين IP للمنطقة.
إضافة عناوين IP إلى قواعد جدار حماية IP
الآن بعد أن أصبح لديك عناوين IP الضرورية، يمكنك إعداد القواعد الواردة. أسهل طريقة لإضافة نطاقات عناوين IP إلى قاعدة جدار حماية حساب التخزين هي من خلال مدخل Microsoft Azure.
حدد موقع حساب التخزين على المدخل وافتح Networking في جزء التنقل الأيمن.
في علامة التبويب جدار الحماية والشبكات الظاهرية ، اختر الشبكات المحددة.
أضف عناوين IP التي تم الحصول عليها مسبقا في نطاق العناوين وحدد حفظ. يجب أن يكون لديك قواعد لخدمة البحث، مدخل Microsoft Azure (اختياري)، بالإضافة إلى جميع عناوين IP لعلامة خدمة "AzureCognitiveSearch" لمنطقتك.
قد يستغرق تحديث قواعد جدار الحماية من خمس إلى عشر دقائق، وبعد ذلك يجب أن تكون المفهرسات قادرة على الوصول إلى بيانات حساب التخزين خلف جدار الحماية.
تكملة أمان الشبكة مع مصادقة الرمز المميز
تعد جدران الحماية وأمان الشبكة خطوة أولى في منع الوصول غير المصرح به إلى البيانات والعمليات. يجب أن يكون التخويل خطوتك التالية.
نوصي بالوصول المستند إلى الدور، حيث يتم تعيين مستخدمي Microsoft Entra ID والمجموعات للأدوار التي تحدد الوصول للقراءة والكتابة إلى خدمتك. راجع الاتصال إلى Azure الذكاء الاصطناعي Search باستخدام عناصر التحكم في الوصول المستندة إلى الدور للحصول على وصف للأدوار المضمنة وإرشادات إنشاء أدوار مخصصة.
إذا لم تكن بحاجة إلى مصادقة تستند إلى المفتاح، نوصي بتعطيل مفاتيح واجهة برمجة التطبيقات واستخدام تعيينات الأدوار حصريا.