Konfigurace pravidel firewallu protokolu IP pro povolení připojení indexeru z Azure AI Search

  • Článek

Jménem indexeru služba Search vydává odchozí volání externího prostředku Azure, aby během indexování načítá data. Pokud váš prostředek Azure používá pravidla brány firewall protokolu IP k filtrování příchozích volání, musíte v bráně firewall vytvořit příchozí pravidlo, které přijímá požadavky indexeru.

Tento článek vysvětluje, jak najít IP adresu vaší vyhledávací služby a nakonfigurovat příchozí pravidlo IP adresy pro účet Azure Storage. I když je tento přístup specifický pro Azure Storage, funguje tento přístup také pro další prostředky Azure, které pro přístup k datům používají pravidla brány firewall protokolu IP, jako je Azure Cosmos DB a Azure SQL.

Poznámka:

Platí jenom pro Azure Storage. Pokud chcete definovat pravidla firewallu protokolu IP, musí být váš účet úložiště a vaše vyhledávací služba v různých oblastech. Pokud to vaše nastavení nepovoluje, zkuste místo toho použít výjimku důvěryhodné služby nebo pravidlo instance prostředku.

Pro privátní připojení z indexerů k libovolnému podporovanému prostředku Azure doporučujeme nastavit sdílené privátní propojení. Privátní připojení cestují do páteřní sítě Microsoftu a zcela obcházejí veřejný internet.

Získání IP adresy vyhledávací služby

  1. Získejte plně kvalifikovaný název domény (FQDN) vaší vyhledávací služby. Vypadá to jako <search-service-name>.search.windows.net. Plně kvalifikovaný název domény najdete vyhledáním vyhledávací služby na webu Azure Portal.

    Snímek obrazovky se stránkou Přehled vyhledávací služby

  2. Vyhledejte IP adresu vyhledávací služby provedením nslookup plně kvalifikovaného názvu domény na příkazovém řádku (nebo a ping). Ujistěte se, že jste předponu odebrali z plně kvalifikovaného https:// názvu domény.

  3. Zkopírujte IP adresu, abyste ji mohli zadat v příchozím pravidlu v dalším kroku. V následujícím příkladu je IP adresa, kterou byste měli zkopírovat, "150.0.0.1".

    nslookup contoso.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  contoso.search.windows.net

Povolit přístup z IP adresy klienta

Klientské aplikace, které do vyhledávací služby zasílaly požadavky indexování a dotazování, musí být reprezentované v rozsahu IP adres. V Azure můžete obecně určit IP adresu příkazem ping plně kvalifikovaný název domény služby (například ping <your-search-service-name>.search.windows.net vrátí IP adresu vyhledávací služby).

Přidejte IP adresu klienta, abyste povolili přístup ke službě z webu Azure Portal na aktuálním počítači. V levém navigačním podokně přejděte do části Sítě . Změňte přístup k veřejné síti na vybrané sítě a potom zaškrtněte políčko Přidat IP adresu klienta v části Brána firewall.

Snímek obrazovky s přidáním IP adresy klienta do brány firewall vyhledávací služby

Získání IP adresy webu Azure Portal

Pokud k vytvoření indexeru používáte portál nebo průvodce importem dat, potřebujete také příchozí pravidlo pro portál.

Pokud chcete získat IP adresu portálu, proveďte nslookup (nebo ping) na stamp2.ext.search.windows.net, což je doména traffic manageru. V případě nástroje nslookup je IP adresa viditelná v části "Neautoritativní odpověď" odpovědi.

V následujícím příkladu je IP adresa, kterou byste měli zkopírovat, "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Služby v různých oblastech se připojují k různým správcům provozu. Bez ohledu na název domény je IP adresa vrácená příkazem ping správná, která se má použít při definování příchozího pravidla brány firewall pro web Azure Portal ve vaší oblasti.

V případě příkazu ping vyprší časový limit požadavku, ale v odpovědi se zobrazí IP adresa. Například ve zprávě "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" je IP adresa 52.252.175.48.

Získání IP adres pro značku služby AzureCognitiveSearch

Budete také muset vytvořit příchozí pravidlo, které umožňuje požadavky z víceklientských spouštěcích prostředí. Toto prostředí spravuje Microsoft a používá se k přesměrování zpracování náročných úloh, které by jinak mohly zahltit vyhledávací službu. Tato část vysvětluje, jak získat rozsah IP adres potřebných k vytvoření tohoto příchozího pravidla.

Rozsah IP adres je definovaný pro každou oblast, která podporuje Azure AI Search. Zadejte úplný rozsah, abyste zajistili úspěch požadavků pocházejících z víceklientního spouštěcího prostředí.

Tento rozsah IP adres můžete získat ze značky AzureCognitiveSearch služby.

  1. Použijte buď rozhraní API pro zjišťování, nebo soubor JSON ke stažení. Pokud je vyhledávací služba veřejným cloudem Azure, stáhněte si soubor JSON veřejné služby Azure.

  2. Otevřete soubor JSON a vyhledejte AzureCognitiveSearch. Pro vyhledávací službu ve službě WestUS2 jsou IP adresy pro prostředí spouštění víceklientských indexerů:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

  3. U IP adres má příponu /32, v definici pravidla se změní hodnota /32 (40.91.93.84/32 na hodnotu 40.91.93.84). Všechny ostatní IP adresy je možné použít doslovně.

  4. Zkopírujte všechny IP adresy pro oblast.

Přidání IP adres do pravidel brány firewall protokolu IP

Teď, když máte potřebné IP adresy, můžete nastavit příchozí pravidla. Nejjednodušší způsob, jak přidat rozsahy IP adres do pravidla brány firewall účtu úložiště, je prostřednictvím webu Azure Portal.

  1. Na portálu vyhledejte účet úložiště a v levém navigačním podokně otevřete sítě .

  2. Na kartě Brána firewall a virtuální sítě zvolte Vybrané sítě.

    Snímek obrazovky se stránkou brány firewall služby Azure Storage a virtuálních sítí

  3. Přidejte IP adresy získané dříve v rozsahu adres a vyberte Uložit. Měli byste mít pravidla pro vyhledávací službu, Azure Portal (volitelné) a všechny IP adresy pro značku služby AzureCognitiveSearch pro vaši oblast.

    Snímek obrazovky s částí IP adresy na stránce

Aktualizace pravidel brány firewall může trvat pět až deset minut, po kterých by indexery měly mít přístup k datům účtu úložiště za bránou firewall.

Doplnění zabezpečení sítě pomocí ověřování tokenů

Brány firewall a zabezpečení sítě představují první krok, který brání neoprávněnému přístupu k datům a operacím. Autorizace by měla být vaším dalším krokem.

Doporučujeme přístup na základě role, kde jsou uživatelé a skupiny ID Microsoft Entra přiřazeni k rolím, které určují přístup pro čtení a zápis do vaší služby. Popis předdefinovaných rolí a pokynů k vytváření vlastních rolí najdete v tématu Připojení do služby Azure AI Search pomocí řízení přístupu na základě role.

Pokud nepotřebujete ověřování založené na klíčích, doporučujeme zakázat klíče rozhraní API a používat výhradně přiřazení rolí.

Další kroky