Připojení indexeru k instanci SQL Serveru na virtuálním počítači Azure

Při konfiguraci indexeru Azure SQL pro extrahování obsahu z databáze na virtuálním počítači Azure jsou potřeba další kroky pro zabezpečená připojení.

Připojení z Azure AI Search k instanci SQL Serveru na virtuálním počítači je veřejné připojení k internetu. Aby bylo možné zabezpečená připojení úspěšně provést, proveďte následující kroky:

• Získejte certifikát od poskytovatele certifikační autority pro plně kvalifikovaný název domény instance SQL Serveru na virtuálním počítači.

• Nainstalujte certifikát na virtuální počítač.

Po instalaci certifikátu na virtuální počítač jste připraveni provést následující kroky v tomto článku.

Poznámka:

Indexery Služby Azure AI Search v současné době nepodporují sloupce Always Encrypted .

Povolení šifrovaných připojení

Azure AI Search vyžaduje šifrovaný kanál pro všechny požadavky indexeru přes veřejné připojení k internetu. V této části jsou uvedené kroky, které vám pomůžou.

1. Zkontrolujte vlastnosti certifikátu a ověřte, že je název subjektu plně kvalifikovaným názvem domény (FQDN) virtuálního počítače Azure.

   K zobrazení vlastností můžete použít nástroj, jako je CertUtils nebo modul snap-in Certifikáty. Plně kvalifikovaný název domény můžete získat v části Základy služby virtuálního počítače v poli Popisek názvu veřejné IP adresy nebo DNS na webu Azure Portal.

   Plně kvalifikovaný název domény je obvykle formátovaný jako <your-VM-name>.<region>.cloudapp.azure.com

2. Nakonfigurujte SQL Server tak, aby používal certifikát pomocí Editoru registru (regedit).

   I když se sql Server Configuration Manager pro tuto úlohu často používá, nemůžete ho pro tento scénář použít. Importovaný certifikát nenajde, protože plně kvalifikovaný název domény virtuálního počítače v Azure neodpovídá plně kvalifikovanému názvu domény určenému virtuálním počítačem (identifikuje doménu jako místní počítač nebo síťovou doménu, ke které je připojený). Pokud se názvy neshodují, zadejte certifikát pomocí regeditu.

   1. V regedit přejděte na tento klíč registru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      Část [MSSQL13.MSSQLSERVER] se liší v závislosti na názvu verze a instance.

   2. Nastavte hodnotu klíče certifikátu na kryptografický otisk (bez mezer) certifikátu TLS/SSL, který jste naimportovali do virtuálního počítače.

   Existuje několik způsobů, jak získat kryptografický otisk, některé lepší než jiné. Pokud ho zkopírujete z modulu snap-in Certifikáty v konzole MMC, můžete získat neviditelný úvodní znak , jak je popsáno v tomto článku podpory, což při pokusu o připojení způsobí chybu. Pro opravu tohoto problému existuje několik alternativních řešení. Nejjednodušší je backspace přepsat a potom znovu napsat první znak kryptografického otisku, aby se úvodní znak v poli s hodnotou klíče v regeditu odebral. Případně můžete k zkopírování kryptografického otisku použít jiný nástroj.

3. Udělte oprávnění k účtu služby.

   Ujistěte se, že má účet služby SQL Serveru udělená příslušná oprávnění k privátnímu klíči certifikátu TLS/SSL. Pokud tento krok přehlédnete, SQL Server se nespustí. Pro tuto úlohu můžete použít modul snap-in Certifikáty nebo CertUtils .

4. Restartujte službu SQL Server.

Připojení k SQL Serveru

Po nastavení šifrovaného připojení vyžadovaného službou Azure AI Search se připojte k instanci prostřednictvím jejího veřejného koncového bodu. Následující článek vysvětluje požadavky na připojení a syntaxi:

• Připojení k SQL Serveru přes internet

Konfigurace skupiny zabezpečení sítě

Osvědčeným postupem je nakonfigurovat skupinu zabezpečení sítě (NSG) a odpovídající koncový bod Azure nebo seznam řízení přístupu (ACL), aby byl váš virtuální počítač Azure přístupný jiným stranám. Pravděpodobně jste to udělali dříve, abyste umožnili vlastní logiku aplikace připojit se k virtuálnímu počítači SQL Azure. Připojení Azure AI Search k virtuálnímu počítači SQL Azure se nijak neliší.

Následující kroky a odkazy obsahují pokyny ke konfiguraci NSG pro nasazení virtuálních počítačů. Tyto pokyny použijte k ACL koncovému bodu vyhledávací služby na základě jeho IP adresy.

1. Získejte IP adresu vaší vyhledávací služby. Pokyny najdete v následující části .

2. Přidejte IP adresu vyhledávání do seznamu filtrů IP skupiny zabezpečení. Tento postup vysvětluje jeden z následujících článků:

• Kurz: Filtrování síťového provozu pomocí skupiny zabezpečení sítě pomocí webu Azure Portal

• Vytvoření, změna nebo odstranění skupiny zabezpečení sítě

Přidělování IP adres může představovat několik problémů, které se dají snadno překonat, pokud víte o problému a potenciálních řešeních. Zbývající části obsahují doporučení pro zpracování problémů souvisejících s IP adresami v seznamu ACL.

Omezení síťového přístupu ke službě Azure AI Search

Důrazně doporučujeme omezit přístup k IP adrese vaší vyhledávací služby a rozsahu IP adres značky AzureCognitiveSearch služby v seznamu ACL místo otevření virtuálních počítačů AZURE SQL pro všechny žádosti o připojení.

IP adresu můžete zjistit příkazem ping plně kvalifikovaný název domény (například <your-search-service-name>.search.windows.net) vaší vyhledávací služby. I když je možné, že se IP adresa vyhledávací služby změní, je nepravděpodobné, že se změní. IP adresa bývá po celou dobu životnosti služby statická.

Rozsah IP adres značky AzureCognitiveSearch služby můžete zjistit pomocí souborů JSON ke stažení nebo prostřednictvím rozhraní API pro zjišťování značek služeb. Rozsah IP adres se aktualizuje každý týden.

Zahrnutí IP adres webu Azure Portal

Pokud k vytvoření indexeru používáte Azure Portal, musíte portálu udělit příchozí přístup k virtuálnímu počítači SQL Azure. Příchozí pravidlo v bráně firewall vyžaduje, abyste zadali IP adresu portálu.

Pokud chcete získat IP adresu portálu, příkaz ping stamp2.ext.search.windows.net, což je doména traffic manageru. Časový limit požadavku vyprší, ale IP adresa se zobrazí ve stavové zprávě. Například ve zprávě "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" je IP adresa 52.252.175.48.

Clustery v různých oblastech se připojují k různým správcům provozu. Bez ohledu na název domény je IP adresa vrácená příkazem ping správná, která se má použít při definování příchozího pravidla brány firewall pro web Azure Portal ve vaší oblasti.

Doplnění zabezpečení sítě pomocí ověřování tokenů

Brány firewall a zabezpečení sítě představují první krok, který brání neoprávněnému přístupu k datům a operacím. Autorizace by měla být vaším dalším krokem.

Doporučujeme přístup na základě role, kde jsou uživatelé a skupiny ID Microsoft Entra přiřazeni k rolím, které určují přístup pro čtení a zápis do vaší služby. Popis předdefinovaných rolí a pokynů k vytváření vlastních rolí najdete v tématu Připojení do služby Azure AI Search pomocí řízení přístupu na základě role.

Pokud nepotřebujete ověřování založené na klíčích, doporučujeme zakázat klíče rozhraní API a používat výhradně přiřazení rolí.

Další kroky

Díky konfiguraci teď můžete jako zdroj dat pro indexer Azure AI Search zadat SQL Server na virtuálním počítači Azure. Další informace najdete v tématu Indexování dat z Azure SQL.