تكوين جدار حماية IP ل Azure الذكاء الاصطناعي Search
يدعم Azure الذكاء الاصطناعي Search قواعد IP للوصول الوارد من خلال جدار حماية، على غرار قواعد IP الموجودة في مجموعة أمان شبكة Azure الظاهرية. من خلال تطبيق قواعد IP، يمكنك تقييد وصول الخدمة إلى مجموعة معتمدة من الأجهزة والخدمات السحابية. تسمح قاعدة IP فقط بالطلب من خلال. سيظل الوصول إلى البيانات والعمليات يتطلب من المتصل تقديم رمز مميز صالح للتخويل.
يمكنك تعيين قواعد IP في مدخل Microsoft Azure، كما هو موضح في هذه المقالة، أو استخدام Management REST API أو Azure PowerShell أو Azure CLI.
إشعار
للوصول إلى خدمة بحث محمية بجدار حماية IP من خلال المدخل، اسمح بالوصول من عميل معين وعنوان IP للمدخل.
المتطلبات الأساسية
- خدمة بحث في المستوى الأساسي أو أعلى
تعيين نطاقات IP في مدخل Microsoft Azure
سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى صفحة Azure الذكاء الاصطناعي خدمة البحث.
حدد Networking في جزء التنقل الأيمن.
تعيين الوصول إلى الشبكة العامة إلى الشبكات المحددة. إذا تم تعيين الاتصال إلى معطل، يمكنك فقط الوصول إلى خدمة البحث عبر نقطة نهاية خاصة.
يدعم مدخل Microsoft Azure عناوين IP ونطاقات عناوين IP بتنسيق CIDR. مثال على تدوين CIDR هو 8.8.8.0/24، والذي يمثل عناوين IP التي تتراوح بين 8.8.8.0 و8.8.8.255.
حدد Add your client IP address ضمن Firewall لإنشاء قاعدة واردة لعنوان IP لنظامك.
أضف عناوين IP للعميل الأخرى للأجهزة والأجهزة والخدمات الأخرى التي سترسل الطلبات إلى خدمة بحث.
بعد تمكين نهج التحكم في الوصول إلى IP الذكاء الاصطناعي خدمة البحث Azure، يتم رفض جميع الطلبات إلى مستوى البيانات من الأجهزة خارج القائمة المسموح بها لنطاقات عناوين IP.
الطلبات المرفوضة
عندما تنشأ الطلبات من عناوين IP غير الموجودة في القائمة المسموح بها، يتم إرجاع استجابة عامة 403 ممنوعة دون أي تفاصيل أخرى.
السماح بالوصول من عنوان IP لمدخل Azure
عند تكوين قواعد IP، يتم تعطيل بعض ميزات مدخل Azure. يمكنك عرض معلومات مستوى الخدمة وإدارتها، ولكن يتم تقييد وصول المدخل إلى الفهارس والمفهرسات وموارد المستوى الأعلى الأخرى. يمكنك استعادة وصول المدخل إلى النطاق الكامل لعمليات خدمة البحث عن طريق السماح بالوصول من عنوان IP للمدخل وعنوان IP للعميل.
للحصول على عنوان IP للمدخل، قم بتنفيذ nslookup (أو ping) على stamp2.ext.search.windows.net، وهو مجال مدير حركة المرور. بالنسبة إلى nslookup، يكون عنوان IP مرئيا في جزء "الإجابة غير الموثوقة" من الاستجابة.
في المثال التالي، عنوان IP الذي يجب نسخه هو 52.252.175.48.
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
عند تشغيل الخدمات في مناطق مختلفة، فإنها تتصل بمديري حركة مرور مختلفين. بغض النظر عن اسم المجال، فإن عنوان IP الذي تم إرجاعه من اختبار الاتصال هو العنوان الصحيح الذي يجب استخدامه عند تعريف قاعدة جدار حماية واردة لمدخل Azure في منطقتك.
بالنسبة إلى ping، ستهل مهلة الطلب، ولكن عنوان IP مرئي في الاستجابة. على سبيل المثال، في الرسالة "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"، عنوان IP هو 52.252.175.48.
يضمن توفير عناوين IP للعملاء عدم رفض الطلب بشكل صريح، ولكن للوصول الناجح إلى المحتوى والعمليات، يعد التخويل ضروريا أيضا. استخدم إحدى المنهجيات التالية لمصادقة طلبك:
- المصادقة المستندة إلى المفتاح، حيث يتم توفير مفتاح واجهة برمجة تطبيقات مسؤول أو استعلام عند الطلب
- التخويل المستند إلى الدور، حيث يكون المتصل عضوا في دور أمان في خدمة بحث، ويقدم التطبيق المسجل رمز OAuth المميز من معرف Microsoft Entra.
الخطوات التالية
إذا كان تطبيق العميل الخاص بك هو تطبيق ويب ثابت على Azure، فتعرف على كيفية تحديد نطاق IP الخاص به لتضمينه في قاعدة جدار حماية IP لخدمة البحث.