Přístup indexeru k obsahu chráněnému zabezpečením sítě Azure

Pokud požadavky vašeho řešení vyhledávání zahrnují virtuální síť Azure, tento článek s konceptem vysvětluje, jak indexer vyhledávání může přistupovat k obsahu chráněnému zabezpečením sítě. Popisuje vzorce odchozího provozu a spouštěcí prostředí indexeru. Zahrnuje také ochranu sítě podporovanou službou Azure AI Search a faktory, které můžou ovlivnit vaši strategii zabezpečení. A konečně, protože Azure Storage se používá pro přístup k datům i trvalé úložiště, tento článek se zabývá také aspekty sítě, které jsou specifické pro vyhledávání a připojení k úložišti.

Hledáte místo toho podrobné pokyny? Přečtěte si, jak nakonfigurovat pravidla brány firewall tak, aby umožňovala přístup k indexeru nebo jak provádět odchozí připojení prostřednictvím privátního koncového bodu.

Prostředky, ke které mají přístup indexery

Indexery Azure AI Search můžou během provádění provádět odchozí volání různých prostředků Azure. Indexer provádí odchozí volání ve třech situacích:

• Připojení při indexování do externích zdrojů dat
• Připojení zapouzdření externího, zapouzdřeného kódu prostřednictvím sady dovedností, která zahrnuje vlastní dovednosti
• Připojení při spouštění sady dovedností do služby Azure Storage za účelem rozšiřování mezipaměti, uložení stavu relace ladění nebo zápisu do úložiště znalostí

Seznam všech možných typů prostředků Azure, ke kterým může indexer přistupovat v typickém spuštění, najdete v následující tabulce.

Zdroj	Účel v rámci spuštění indexeru
Azure Storage (objekty blob, ADLS Gen2, soubory, tabulky)	Zdroj dat
Azure Storage (objekty blob, tabulky)	Sady dovedností (rozšiřování mezipaměti, ladicí relace, projekce úložiště znalostí)
Azure Cosmos DB (různá rozhraní API)	Zdroj dat
Azure SQL Database	Zdroj dat
SQL Server na virtuálním počítači Azure	Zdroj dat
Spravovaná instance SQL	Zdroj dat
Azure Functions	Připojeno ke sadě dovedností a slouží k hostování vlastních dovedností webového rozhraní API.

Poznámka:

Indexer se také připojuje ke službám Azure AI pro integrované dovednosti. Toto připojení se však provádí přes interní síť a nepodléhá žádným síťovým ustanovením pod vaší kontrolou.

Podporovaná ochrana sítě

Vaše prostředky Azure můžou být chráněné pomocí libovolného počtu mechanismů izolace sítě, které nabízí Azure. V závislosti na prostředku a oblasti můžou indexery Služby Azure AI Search provádět odchozí připojení prostřednictvím bran firewall protokolu IP a privátních koncových bodů podle omezení uvedených v následující tabulce.

Zdroj	Omezení IP adres	Privátní koncový bod
Azure Storage pro indexování na základě textu (objekty blob, ADLS Gen2, soubory, tabulky)	Podporováno pouze v případě, že účet úložiště a vyhledávací služba jsou v různých oblastech.	Podporováno
Azure Storage pro rozšiřování AI (ukládání do mezipaměti, ladicí relace, úložiště znalostí)	Podporováno pouze v případě, že účet úložiště a vyhledávací služba jsou v různých oblastech.	Podporováno
Azure Cosmos DB for NoSQL	Podporováno	Podporováno
Azure Cosmos DB pro MongoDB	Podporováno	Nepodporované
Azure Cosmos DB pro Apache Gremlin	Podporováno	Nepodporované
Azure SQL Database	Podporováno	Podporováno
SQL Server na virtuálním počítači Azure	Podporováno	–
Spravovaná instance SQL	Podporováno	–
Azure Functions	Podporováno	Podporováno pouze pro určité úrovně funkcí Azure

Spouštěcí prostředí indexeru

Azure AI Search má koncept spouštěcího prostředí indexeru, které optimalizuje zpracování na základě charakteristik úlohy. Existují dvě prostředí. Pokud k řízení přístupu k prostředkům Azure používáte bránu firewall protokolu IP, znalost prostředí spouštění vám pomůže nastavit rozsah IP adres, který zahrnuje obojí.

Pro každé spuštění indexeru azure AI Search určuje nejlepší prostředí, ve kterém se má indexer spustit. V závislosti na počtu a typech přiřazených úkolů se indexer spustí v jednom ze dvou prostředí:

• Prostředí privátního spouštění, které je interní pro vyhledávací službu.

  Indexery spuštěné v privátním prostředí sdílejí výpočetní prostředky s jinými úlohami indexování a dotazování ve stejné vyhledávací službě. V tomto prostředí se obvykle spouští pouze indexery, které provádějí indexování založené na textu (bez sad dovedností).

• Víceklientské prostředí spravované a zabezpečené Microsoftem bez dalších poplatků. Nepodléhá žádným síťovým ustanovením pod vaší kontrolou.

  Toto prostředí se používá k přesměrování výpočetního zpracování náročného na zpracování a ponechání prostředků specifických pro službu k dispozici pro rutinní operace. Mezi příklady úloh indexeru náročných na prostředky patří připojení sad dovedností, zpracování velkých dokumentů nebo zpracování velkého objemu dokumentů.

Následující část vysvětluje konfiguraci PROTOKOLU IP pro přijímání požadavků z libovolného spouštěcího prostředí.

Nastavení rozsahů IP adres pro provádění indexeru

Pokud prostředek Azure poskytující zdrojová data existuje za bránou firewall, potřebujete příchozí pravidla, která přijímají připojení indexeru pro všechny IP adresy, ze kterých může požadavek indexeru pocházet. IP adresy zahrnují ip adresy používané vyhledávací službou a prostředím s více tenanty.

• Pokud chcete získat IP adresu vyhledávací služby (a prostředí privátního spouštění), použijte nslookup (nebo ping) k vyhledání plně kvalifikovaného názvu domény (FQDN) vaší vyhledávací služby. Plně kvalifikovaný název domény vyhledávací služby ve veřejném cloudu by byl <service-name>.search.windows.net.

• Pokud chcete získat IP adresy prostředí s více tenanty, ve kterých může indexer běžet, použijte AzureCognitiveSearch značku služby.

  Značky služeb Azure mají publikovaný rozsah IP adres pro každou službu. Tyto IP adresy najdete pomocí rozhraní API pro zjišťování nebo souboru JSON ke stažení. Rozsahy IP adres se přidělují podle oblasti, proto před zahájením zkontrolujte oblast vyhledávací služby.

Při nastavování pravidla PROTOKOLU IP pro prostředí s více tenanty podporují některé zdroje dat SQL jednoduchý přístup pro specifikaci IP adres. Místo vytvoření výčtu všech IP adres v pravidle můžete vytvořit pravidlo skupiny zabezpečení sítě, které určuje AzureCognitiveSearch značku služby.

Značku služby můžete zadat, pokud je zdrojem dat:

• SQL Server na virtuálních počítačích Azure

• Spravované instance SQL

Všimněte si, že pokud jste zadali značku služby pro pravidlo IP adresy prostředí s více tenanty, budete stále potřebovat explicitní příchozí pravidlo pro privátní spouštěcí prostředí (to znamená, že samotná vyhledávací služba), jak je získáno prostřednictvím nslookup.

Volba přístupu k připojení

Při integraci služby Azure AI Search do řešení, které běží ve virtuální síti, zvažte následující omezení:

• Indexer nemůže vytvořit přímé připojení ke koncovému bodu služby virtuální sítě. Veřejné koncové body s přihlašovacími údaji, privátními koncovými body, důvěryhodnými službami a přidělováním IP adres jsou jedinými podporovanými metodologiemi pro připojení indexeru.

• Vyhledávací služba vždy běží v cloudu a nedá se zřídit v konkrétní virtuální síti, která běží nativně na virtuálním počítači. Azure AI Search tuto funkci nenabízí.

Vzhledem k výše uvedeným omezením máte na výběr, jak dosáhnout integrace vyhledávání ve virtuální síti:

• Nakonfigurujte příchozí pravidlo brány firewall pro prostředek Azure PaaS, které přijímá požadavky indexeru na data.

• Nakonfigurujte odchozí připojení z vyhledávání, které vytváří připojení indexeru pomocí privátního koncového bodu.

  U privátního koncového bodu je připojení vyhledávací služby k chráněnému prostředku prostřednictvím sdíleného privátního propojení. Sdílený privátní odkaz je prostředek Azure Private Link , který je vytvořený, spravovaný a používaný ve službě Azure AI Search. Pokud jsou vaše prostředky plně uzamčené (spuštěné v chráněné virtuální síti nebo jinak nejsou dostupné přes veřejné připojení), je vaším jediným výběrem privátní koncový bod.

  Připojení iony prostřednictvím privátního koncového bodu musí pocházet z prostředí privátního spouštění vyhledávací služby. Abyste tento požadavek splnili, budete muset zakázat spouštění s více tenanty. Tento krok je popsaný v části Vytváření odchozích připojení prostřednictvím privátního koncového bodu.

Konfigurace brány firewall protokolu IP je bezplatná. Vliv na fakturaci má privátní koncový bod založený na službě Azure Private Link.

Práce s privátním koncovým bodem

Tato část shrnuje hlavní kroky nastavení privátního koncového bodu pro odchozí připojení indexeru. Tento souhrn vám může pomoct rozhodnout, jestli je pro váš scénář nejlepší volbou privátní koncový bod. Podrobné kroky jsou popsané v tématu Postup provádění odchozích připojení prostřednictvím privátního koncového bodu.

Dopad fakturace služby Azure Private Link

• Sdílený privátní odkaz vyžaduje fakturovatelnou vyhledávací službu, kde je minimální úroveň Basic pro indexování založená na textu nebo standard 2 (S2) pro indexování na základě dovedností. Podrobnosti najdete v limitech úrovní pro počet privátních koncových bodů .

• Na příchozí a odchozí připojení se vztahují ceny služby Azure Private Link.

Krok 1: Vytvoření privátního koncového bodu pro zabezpečený prostředek

Sdílený privátní odkaz vytvoříte buď na stránkách portálu vaší vyhledávací služby, nebo prostřednictvím rozhraní API pro správu.

Ve službě Azure AI Search musí být vaše vyhledávací služba alespoň úroveň Basic pro textové indexery a S2 pro indexery se sadami dovedností.

Připojení privátního koncového bodu bude přijímat požadavky z prostředí pro spouštění privátního indexeru, ale ne z prostředí s více tenanty. Abyste tento požadavek splnili, budete muset zakázat provádění s více tenanty, jak je popsáno v kroku 3.

Krok 2: Schválení připojení privátního koncového bodu

Když se dokončí (asynchronní) operace, která vytvoří prostředek sdíleného privátního propojení, vytvoří se připojení privátního koncového bodu ve stavu Čeká na vyřízení. Přes připojení zatím neprotékají žádné přenosy.

Tuto žádost budete muset vyhledat a schválit u zabezpečeného prostředku. V závislosti na prostředku můžete tuto úlohu dokončit pomocí webu Azure Portal. Jinak použijte rozhraní REST API služby Private Link.

Krok 3: Vynucení spuštění indexerů v "privátním" prostředí

U připojení privátních koncových bodů je povinné nastavit executionEnvironment indexer na "Private". Tento krok zajistí, že se všechna spuštění indexeru omezí na privátní prostředí zřízené v rámci vyhledávací služby.

Toto nastavení je omezené na indexer, nikoli vyhledávací službu. Pokud chcete, aby se všechny indexery připojovaly přes privátní koncové body, musí mít každá z nich následující konfiguraci:

    {
      "name" : "myindexer",
      ... other indexer properties
      "parameters" : {
          ... other parameters
          "configuration" : {
            ... other configuration properties
            "executionEnvironment": "Private"
          }
        }
    }

Jakmile budete mít schválený privátní koncový bod pro prostředek, indexery, které jsou nastavené jako soukromé , se pokusí získat přístup prostřednictvím privátního propojení vytvořeného a schváleného pro prostředek Azure.

Azure AI Search ověří, že volající privátního koncového bodu mají odpovídající oprávnění role Azure RBAC. Pokud například požadujete připojení privátního koncového bodu k účtu úložiště s oprávněními jen pro čtení, bude toto volání odmítnuto.

Pokud privátní koncový bod není schválený nebo pokud indexer nepoužíval připojení privátního koncového bodu, zobrazí transientFailure se chybová zpráva v historii spuštění indexeru.

Přístup k účtu úložiště chráněnému sítí

Vyhledávací služba ukládá indexy a seznamy synonym. Pro další funkce, které vyžadují úložiště, azure AI Search využívá závislost na Azure Storage. Ukládání do mezipaměti, ladicí relace a úložiště znalostí spadají do této kategorie. Umístění každé služby a všech síťových ochrany pro úložiště určí strategii přístupu k datům.

Služby stejné oblasti

Přístup přes bránu firewall ve službě Azure Storage vyžaduje, aby požadavek pochází z jiné oblasti. Pokud jsou Azure Storage a Azure AI Search ve stejné oblasti, můžete obejít omezení IP adres účtu úložiště tím, že k datům přistupujete pod systémovou identitou vyhledávací služby.

Existují dvě možnosti podpory přístupu k datům pomocí systémové identity:

• Nakonfigurujte vyhledávání tak, aby se spustilo jako důvěryhodná služba , a použijte výjimku důvěryhodné služby ve službě Azure Storage.

• Nakonfigurujte pravidlo instance prostředku ve službě Azure Storage, které přijímá příchozí požadavky z prostředku Azure.

Výše uvedené možnosti závisí na ID Microsoft Entra pro ověřování, což znamená, že připojení musí být provedeno s přihlášením Microsoft Entra. V současné době se pro připojení stejné oblasti prostřednictvím brány firewall podporuje jenom spravovaná identita přiřazená systémem azure AI Search.

Služby v různých oblastech

Pokud jsou vyhledávání a úložiště v různých oblastech, můžete použít dříve uvedené možnosti nebo nastavit pravidla PROTOKOLU IP, která přijímají požadavky z vaší služby. V závislosti na úloze možná budete muset nastavit pravidla pro více spouštěcích prostředí, jak je popsáno v další části.

Další kroky

Teď, když znáte možnosti přístupu k datům indexeru pro řešení nasazená ve virtuální síti Azure, si projděte některý z následujících článků s návody jako další krok:

• Jak nastavit připojení indexeru k privátnímu koncovému bodu
• Postup připojení indexeru přes bránu firewall protokolu IP