وصول المفهرس إلى المحتوى المحمي بواسطة أمان شبكة Azure

مقالة
05/03/2024

إذا تم نشر موارد Azure في شبكة Azure الظاهرية، فإن مقالة المفهوم هذه تشرح كيف يمكن لمفهرس البحث الوصول إلى المحتوى المحمي بأمان الشبكة. وهو يصف أنماط حركة المرور الصادرة وبيئات تنفيذ المفهرس. كما يغطي حماية الشبكة التي تدعمها Azure الذكاء الاصطناعي Search والعوامل التي قد تؤثر على استراتيجية الأمان الخاصة بك. وأخيرا، نظرا لاستخدام Azure Storage للوصول إلى البيانات والتخزين المستمر، تغطي هذه المقالة أيضا اعتبارات الشبكة الخاصة بالاتصال والتخزين.

هل تبحث عن إرشادات خطوة بخطوة بدلا من ذلك؟ راجع كيفية تكوين قواعد جدار الحماية للسماح بالوصول إلى المفهرس أو كيفية إجراء اتصالات صادرة من خلال نقطة نهاية خاصة.

الموارد التي يتم الوصول إليها من قبل المفهرسات

يمكن لمفهرسات Azure الذكاء الاصطناعي Search إجراء مكالمات صادرة إلى موارد Azure المختلفة في ثلاث حالات:

الاتصال إلى مصادر البيانات الخارجية أثناء الفهرسة
الاتصال إلى تعليمات برمجية خارجية مغلفة من خلال مجموعة مهارات تتضمن مهارات مخصصة
الاتصال إلى Azure Storage أثناء تنفيذ مجموعة المهارات لإثراء ذاكرة التخزين المؤقت أو حفظ حالة جلسة تتبع الأخطاء أو الكتابة إلى مخزن معارف

يتم سرد قائمة بجميع أنواع موارد Azure المحتملة التي قد يصل إليها المفهرس في تشغيل نموذجي في الجدول أدناه.

Resource	الغرض ضمن تشغيل المفهرس
تخزين Azure (الكائنات الثنائية كبيرة الحجم، ADLS Gen 2، الملفات، الجداول)	Data source
تخزين Azure (الكائنات الثنائية كبيرة الحجم والجداول)	مجموعات المهارات (إثراء التخزين المؤقت، جلسات تصحيح الأخطاء، إسقاطات مخزن المعرفة)
Azure Cosmos DB (واجهات برمجة التطبيقات المختلفة)	Data source
قاعدة بيانات Azure SQL	Data source
Microsoft SQL Server على أجهزة Azure الظاهرية	Data source
مثيل SQL المدار	Data source
دالات Azure	مرفق بمجموعة مهارات ويستخدم لاستضافة مهارات واجهة برمجة تطبيقات الويب المخصصة

إشعار

يتصل المفهرس أيضا بخدمات Azure الذكاء الاصطناعي للمهارات المضمنة. ومع ذلك، يتم إجراء هذا الاتصال عبر الشبكة الداخلية ولا يخضع لأية أحكام شبكة تحت سيطرتك.

تتصل المفهرسات بالموارد باستخدام الأساليب التالية:

نقطة نهاية عامة مع بيانات اعتماد
نقطة نهاية خاصة، باستخدام Azure Private Link
الاتصال كخدمة موثوق بها
الاتصال من خلال عنوان IP

إذا كان مورد Azure الخاص بك على شبكة ظاهرية، فيجب عليك استخدام نقطة نهاية خاصة أو عنوان IP لقبول اتصالات المفهرس بالبيانات.

حماية الشبكة المدعومة

يمكن حماية موارد Azure باستخدام أي عدد من آليات عزل الشبكة التي تقدمها Azure. اعتمادا على المورد والمنطقة، يمكن لمفهرسات Azure الذكاء الاصطناعي Search إجراء اتصالات صادرة من خلال جدران حماية IP ونقاط النهاية الخاصة، وفقا للقيود المشار إليها في الجدول التالي.

Resource	تقييد IP	نقطة النهاية الخاصة
تخزين Azure للفهرسة المستندة إلى النص (الكائنات الثنائية كبيرة الحجم، ADLS Gen 2، الملفات، الجداول)	يتم دعمه فقط إذا كان حساب التخزين وخدمة البحث في مناطق مختلفة.	مدعوم
تخزين Azure لإثراء الذكاء الاصطناعي (التخزين المؤقت، جلسات تصحيح الأخطاء، مخزن المعرفة)	يتم دعمه فقط إذا كان حساب التخزين وخدمة البحث في مناطق مختلفة.	مدعوم
Azure Cosmos DB لـ NoSQL	مدعوم	مدعوم
Azure Cosmos DB for MongoDB	مدعوم	غير مدعوم
Azure Cosmos DB لـ Apache Gremlin	مدعوم	غير مدعوم
قاعدة بيانات Azure SQL	مدعوم	مدعوم
Microsoft SQL Server على أجهزة Azure الظاهرية	مدعوم	‏‫غير متوفر‬
مثيل SQL المدار	مدعوم	‏‫غير متوفر‬
دالات Azure	مدعوم	مدعوم، فقط لمستويات معينة من وظائف Azure

بيئة تنفيذ المفهرس

يحتوي Azure الذكاء الاصطناعي Search على مفهوم بيئة تنفيذ المفهرس التي تحسن المعالجة استنادا إلى خصائص الوظيفة. هناك بيئتان. إذا كنت تستخدم جدار حماية IP للتحكم في الوصول إلى موارد Azure، فستساعدك معرفة بيئات التنفيذ على إعداد نطاق IP شامل لكلا البيئتين.

بالنسبة لأي تشغيل مفهرس معين، يحدد Azure الذكاء الاصطناعي Search أفضل بيئة لتشغيل المفهرس. اعتمادا على عدد وأنواع المهام المعينة، سيتم تشغيل المفهرس في أحد البيئتين.

بيئة التنفيذ	‏‏الوصف
خاصة	داخلي لخدمة بحث. تشترك المفهرسات التي تعمل في البيئة الخاصة في موارد الحوسبة مع أحمال عمل الفهرسة والاستعلام الأخرى على نفس خدمة البحث. عادة ما يتم تشغيل المفهرسات التي تقوم بالفهرسة المستندة إلى النص فقط (بدون مجموعات المهارات) في هذه البيئة. إذا قمت بإعداد اتصال خاص بين مفهرس وبياناتك، فهذا هو إجراء التنفيذ الوحيد الذي يمكنك استخدامه.
متعدد المستأجرين	تتم إدارتها وتأمينها من قبل Microsoft دون أي تكلفة إضافية. لا يخضع لأية أحكام للشبكة تحت سيطرتك. يتم استخدام هذه البيئة لإلغاء تحميل المعالجة المكثفة حسابيا، وترك الموارد الخاصة بالخدمة متاحة للعمليات الروتينية. تتضمن أمثلة مهام المفهرس كثيفة الموارد إرفاق مجموعات المهارات أو معالجة المستندات الكبيرة أو معالجة حجم كبير من المستندات.

بيئة التنفيذ

‏‏الوصف

خاصة

داخلي لخدمة بحث. تشترك المفهرسات التي تعمل في البيئة الخاصة في موارد الحوسبة مع أحمال عمل الفهرسة والاستعلام الأخرى على نفس خدمة البحث. عادة ما يتم تشغيل المفهرسات التي تقوم بالفهرسة المستندة إلى النص فقط (بدون مجموعات المهارات) في هذه البيئة. إذا قمت بإعداد اتصال خاص بين مفهرس وبياناتك، فهذا هو إجراء التنفيذ الوحيد الذي يمكنك استخدامه.

متعدد المستأجرين

تتم إدارتها وتأمينها من قبل Microsoft دون أي تكلفة إضافية. لا يخضع لأية أحكام للشبكة تحت سيطرتك. يتم استخدام هذه البيئة لإلغاء تحميل المعالجة المكثفة حسابيا، وترك الموارد الخاصة بالخدمة متاحة للعمليات الروتينية. تتضمن أمثلة مهام المفهرس كثيفة الموارد إرفاق مجموعات المهارات أو معالجة المستندات الكبيرة أو معالجة حجم كبير من المستندات.

إعداد نطاقات IP لتنفيذ المفهرس

يشرح هذا القسم تكوين جدار حماية IP لقبول الطلبات من بيئة التنفيذ.

إذا كان مورد Azure الخاص بك خلف جدار حماية، فقم بإعداد القواعد الواردة التي تسمح باتصالات المفهرس لجميع عناوين IP التي يمكن أن ينشأ منها طلب المفهرس. يتضمن ذلك عنوان IP المستخدم من قبل خدمة البحث وعناوين IP المستخدمة من قبل البيئة متعددة المستأجرين.

للحصول على عنوان IP لخدمة البحث (وبيئة التنفيذ الخاصة)، استخدم nslookup (أو ping) للعثور على اسم المجال المؤهل بالكامل (FQDN) لخدمة البحث. سيكون <service-name>.search.windows.netFQDN لخدمة البحث في السحابة العامة .
للحصول على عناوين IP للبيئات متعددة المستأجرين التي قد يتم تشغيل المفهرس داخلها، استخدم AzureCognitiveSearch علامة الخدمة.

تحتوي علامات خدمة Azure على نطاق منشور من عناوين IP للبيئات متعددة المستأجرين لكل منطقة. يمكنك العثور على عناوين IP هذه باستخدام واجهة برمجة تطبيقات الاكتشاف أو ملف JSON القابل للتنزيل. يتم تخصيص نطاقات IP حسب المنطقة، لذا تحقق من منطقة خدمة البحث قبل البدء.

إعداد قواعد IP ل Azure SQL

عند تعيين قاعدة IP للبيئة متعددة المستأجرين، تدعم بعض مصادر بيانات SQL نهجا بسيطا لمواصفات عنوان IP. بدلا من تعداد كافة عناوين IP في القاعدة، يمكنك إنشاء قاعدة مجموعة أمان الشبكة التي تحدد AzureCognitiveSearch علامة الخدمة.

يمكنك تحديد علامة الخدمة إذا كان مصدر البيانات الخاص بك إما:

لاحظ أنه إذا حددت علامة الخدمة لقاعدة IP للبيئة متعددة المستأجرين، فستظل بحاجة إلى قاعدة واردة صريحة لبيئة التنفيذ الخاصة (بمعنى خدمة البحث نفسها)، كما تم الحصول عليها من خلال nslookup.

اختيار نهج الاتصال

لا يمكن توفير خدمة بحث في شبكة ظاهرية معينة، تعمل أصلا على جهاز ظاهري. على الرغم من أن بعض موارد Azure توفر نقاط نهاية خدمة الشبكة الظاهرية، فلن يتم تقديم هذه الوظيفة بواسطة Azure الذكاء الاصطناعي Search. يجب أن تخطط لتنفيذ أحد النهج التالية.

النهج	التفاصيل
تأمين الاتصال الوارد بمورد Azure	تكوين قاعدة جدار حماية واردة على مورد Azure الذي يقبل طلبات المفهرس لبياناتك. يجب أن يتضمن تكوين جدار الحماية علامة الخدمة للتنفيذ متعدد المستأجرين وعنوان IP لخدمة البحث. راجع تكوين قواعد جدار الحماية للسماح بالوصول إلى المفهرس.
اتصال خاص بين Azure الذكاء الاصطناعي Search ومورد Azure	تكوين ارتباط خاص مشترك تستخدمه خدمة البحث حصريا للاتصالات بموردك. الاتصال تنتقل عبر الشبكة الداخلية وتتجاوز الإنترنت العام. إذا كانت مواردك مؤمنة بالكامل (تعمل على شبكة ظاهرية محمية، أو لم تكن متوفرة عبر اتصال عام)، فإن نقطة النهاية الخاصة هي خيارك الوحيد. راجع إجراء اتصالات صادرة من خلال نقطة نهاية خاصة.

النهج

التفاصيل

تأمين الاتصال الوارد بمورد Azure

تكوين قاعدة جدار حماية واردة على مورد Azure الذي يقبل طلبات المفهرس لبياناتك. يجب أن يتضمن تكوين جدار الحماية علامة الخدمة للتنفيذ متعدد المستأجرين وعنوان IP لخدمة البحث. راجع تكوين قواعد جدار الحماية للسماح بالوصول إلى المفهرس.

اتصال خاص بين Azure الذكاء الاصطناعي Search ومورد Azure

تكوين ارتباط خاص مشترك تستخدمه خدمة البحث حصريا للاتصالات بموردك. الاتصال تنتقل عبر الشبكة الداخلية وتتجاوز الإنترنت العام. إذا كانت مواردك مؤمنة بالكامل (تعمل على شبكة ظاهرية محمية، أو لم تكن متوفرة عبر اتصال عام)، فإن نقطة النهاية الخاصة هي خيارك الوحيد. راجع إجراء اتصالات صادرة من خلال نقطة نهاية خاصة.

يجب أن تنشأ الاتصال من خلال نقطة نهاية خاصة من بيئة التنفيذ الخاصة لخدمة البحث.

تكوين جدار حماية IP مجاني. نقطة النهاية الخاصة، التي تستند إلى Azure Private Link، لها تأثير الفوترة. راجع تسعير Azure Private Link للحصول على التفاصيل.

بعد تكوين أمان الشبكة، اتبع تعيينات الأدوار التي تحدد المستخدمين والمجموعات الذين لديهم حق الوصول للقراءة والكتابة إلى البيانات والعمليات.

اعتبارات استخدام نقطة نهاية خاصة

يضيق هذا القسم في خيار الاتصال الخاص.

يتطلب الارتباط الخاص المشترك خدمة بحث قابلة للفوترة، حيث يكون المستوى الأدنى إما أساسيا للفهرسة المستندة إلى النص أو قياسي 2 (S2) للفهرسة المستندة إلى المهارات. راجع حدود الطبقة على عدد نقاط النهاية الخاصة للحصول على التفاصيل.

بمجرد إنشاء ارتباط خاص مشترك، تستخدمه خدمة البحث دائما لكل اتصال مفهرس بمورد Azure المحدد هذا. يتم تأمين الاتصال الخاص وفرضه داخليا. لا يمكنك تجاوز الاتصال الخاص لاتصال عام.
يتطلب مورد Azure Private Link قابل للفوترة.
يتطلب موافقة مالك الاشتراك على اتصال نقطة النهاية الخاصة.
يتطلب إيقاف تشغيل بيئة التنفيذ متعددة المستأجرين للمفهرس.

يمكنك القيام بذلك عن طريق تعيين المفهرس executionEnvironment إلى "Private". تضمن هذه الخطوة أن جميع عمليات تنفيذ المفهرس تقتصر على البيئة الخاصة المتوفرة داخل خدمة البحث. يتم تحديد نطاق هذا الإعداد لمفهرس وليس خدمة البحث. إذا كنت تريد أن تتصل جميع المفهرسات عبر نقاط النهاية الخاصة، يجب أن يكون لكل واحد التكوين التالي:
```
    {
      "name" : "myindexer",
      ... other indexer properties
      "parameters" : {
          ... other parameters
          "configuration" : {
            ... other configuration properties
            "executionEnvironment": "Private"
          }
        }
    }
```

بمجرد أن يكون لديك نقطة نهاية خاصة معتمدة لمورد، تقوم المفهرسات التي تم تعيينها على أنها محاولة خاصة للحصول على حق الوصول عبر الارتباط الخاص الذي تم إنشاؤه والموافقة عليه لمورد Azure.

سيقوم Azure الذكاء الاصطناعي Search بالتحقق من أن المتصلين بنقطة النهاية الخاصة لديهم تعيينات دور مناسبة. على سبيل المثال، إذا طلبت اتصال نقطة نهاية خاصة بحساب تخزين بأذونات للقراءة فقط، فسيتم رفض هذا الاستدعاء.

إذا لم تتم الموافقة على نقطة النهاية الخاصة، أو إذا لم يستخدم المفهرس اتصال نقطة النهاية الخاصة، فستجد transientFailure رسالة خطأ في محفوظات تنفيذ المفهرس.

تكملة أمان الشبكة مع مصادقة الرمز المميز

تعد جدران الحماية وأمان الشبكة خطوة أولى في منع الوصول غير المصرح به إلى البيانات والعمليات. يجب أن يكون التخويل خطوتك التالية.

نوصي بالوصول المستند إلى الدور، حيث يتم تعيين مستخدمي Microsoft Entra ID والمجموعات للأدوار التي تحدد الوصول للقراءة والكتابة إلى خدمتك. راجع الاتصال إلى Azure الذكاء الاصطناعي Search باستخدام عناصر التحكم في الوصول المستندة إلى الدور للحصول على وصف للأدوار المضمنة وإرشادات إنشاء أدوار مخصصة.

إذا لم تكن بحاجة إلى مصادقة تستند إلى المفتاح، نوصي بتعطيل مفاتيح واجهة برمجة التطبيقات واستخدام تعيينات الأدوار حصريا.

الوصول إلى حساب تخزين محمي بالشبكة

تخزن خدمة البحث الفهارس وقوائم المرادفات. بالنسبة للميزات الأخرى التي تتطلب التخزين، يأخذ Azure الذكاء الاصطناعي Search تبعية على Azure Storage. يندرج التخزين المؤقت للإثراء وجلسات تصحيح الأخطاء ومخازن المعرفة في هذه الفئة. سيحدد موقع كل خدمة، وأي حماية للشبكة مقامة للتخزين، استراتيجية الوصول إلى البيانات الخاصة بك.

خدمات المنطقة نفسها

في Azure Storage، يتطلب الوصول من خلال جدار حماية أن ينشأ الطلب من منطقة مختلفة. إذا كان Azure Storage وAzure الذكاء الاصطناعي Search في نفس المنطقة، يمكنك تجاوز قيود IP على حساب التخزين عن طريق الوصول إلى البيانات ضمن هوية النظام لخدمة البحث.

هناك خياران لدعم الوصول إلى البيانات باستخدام هوية النظام:

تكوين البحث لتشغيله كخدمة موثوق بها واستخدام استثناء الخدمة الموثوق به في Azure Storage.
تكوين قاعدة مثيل مورد في Azure Storage تسمح بالطلبات الواردة من مورد Azure.

تعتمد الخيارات المذكورة أعلاه على معرف Microsoft Entra للمصادقة، ما يعني أنه يجب إجراء الاتصال بتسجيل دخول Microsoft Entra. حاليا، يتم دعم الهوية المدارة المعينة من قبل نظام البحث في Azure الذكاء الاصطناعي فقط لاتصالات المنطقة نفسها من خلال جدار حماية.

الخدمات في مناطق مختلفة

عندما يكون البحث والتخزين في مناطق مختلفة، يمكنك استخدام الخيارات المذكورة سابقا أو إعداد قواعد IP التي تقبل الطلبات من خدمتك. اعتمادا على حمل العمل، قد تحتاج إلى إعداد قواعد لبيئات تنفيذ متعددة كما هو موضح في القسم التالي.

الخطوات التالية

الآن بعد أن أصبحت على دراية بخيارات الوصول إلى بيانات المفهرس للحلول المنشورة في شبكة Azure الظاهرية، راجع أيا من مقالات الكيفية التالية كخطوة تالية:

مشاركة عبر