Configuración de una IP para firewall para Azure AI Search

Azure AI Search admite reglas ip para el acceso entrante a través de un firewall, similar a las reglas de IP que se encuentran en un grupo de seguridad de red virtual de Azure. Al aplicar reglas de IP, puede restringir el acceso de servicio a un conjunto aprobado de dispositivos y servicios en la nube. Una regla de IP solo permite la solicitud. El acceso a datos y operaciones seguirá siendo necesario que el autor de la llamada presente un token de autorización válido.

Puedes establecer reglas de IP en Azure Portal, como se describe en este artículo, o usar la API de REST de administración, Azure PowerShell o CLI de Azure.

Nota:

Para acceder a un servicio de búsqueda protegido por un firewall de IP a través del portal, permita el acceso desde un cliente específico y la dirección IP del portal.

Requisitos previos

• Un servicio de búsqueda en el nivel de servicio Básico o superior.

Establecimiento de intervalos IP en Azure Portal

1. Inicia sesión en Azure Portal y ve a la página del servicio Search de Azure AI.

2. En el panel de navegación izquierdo, selecciona Redes.

3. Establezca Acceso a la red pública en Redes seleccionadas. Si la conectividad está establecida como Deshabilitada, solo puede obtener acceso al servicio de búsqueda a través de un punto de conexión privado.

   

   Azure Portal admite direcciones IP e intervalos de direcciones IP en formato CIDR. Un ejemplo de notación CIDR es 8.8.8.0/24, que representa las direcciones IP que van de 8.8.8.0 a 8.8.8.255.

4. Selecciona Añadir tu dirección IP del cliente en Firewall para crear una regla de entrada para la dirección IP del sistema.

5. Añade otras direcciones IP de cliente para otras máquinas, dispositivos y servicios que enviarán solicitudes a un servicio de búsqueda.

Después de habilitar la directiva de control de acceso de direcciones IP en el servicio de Azure AI Search, se rechazan todas las solicitudes al plano de datos desde máquinas que estén fuera de la lista permitida de rangos de direcciones IP.

Solicitudes rechazadas

Cuando las solicitudes proceden de direcciones IP que no están en la lista de permitidas, se devuelve una respuesta genérica 403 Prohibido sin detalles adicionales.

Permiso de acceso desde la dirección IP de Azure Portal

Cuando se configuran las reglas de IP, algunas características de Azure Portal se deshabilitan. Puede ver y administrar la información de nivel de servicio, pero el acceso del portal a índices, indexadores y otros recursos de nivel superior está restringido. Puede restaurar el acceso del portal a toda la gama de operaciones del servicio de búsqueda al permitir el acceso desde la dirección IP del portal y la dirección IP del cliente.

Para obtener la dirección IP del portal, realice la operación nslookup (o ping) en stamp2.ext.search.windows.net, que es el dominio del administrador de tráfico. En el caso de nslookup, la dirección IP estará visible en la parte "Respuesta no autoritativa" de la respuesta.

En el ejemplo siguiente, la dirección IP que debe copiar es 52.252.175.48.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Cuando los servicios se ejecutan en regiones diferentes, se conectan a diferentes administradores de tráfico. Independientemente del nombre de dominio, la dirección IP devuelta por ping es la correcta que se va a usar al definir una regla de Firewall de entrada para el Azure Portal en su región.

Para ping, la solicitud agotará el tiempo de espera, pero la dirección IP está visible en la respuesta. Por ejemplo, en el mensaje "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", la dirección IP es 52.252.175.48.

Proporcionar direcciones IP para los clientes garantiza que la solicitud no se rechace directamente; sin embargo, para un acceso correcto al contenido y las operaciones, también es necesaria la autorización. Use una de las metodologías siguientes para autenticar la solicitud:

• Autenticación basada en claves, donde se proporciona una clave de API de consulta o administrador en la solicitud
• Autorización basada en roles, donde el autor de la llamada es miembro de un rol de seguridad en un servicio de búsqueda y la aplicación registrada presenta un token de OAuth desde Microsoft Entra ID.

Pasos siguientes

Si la aplicación cliente es una aplicación web estática en Azure, aprenda a determinar su intervalo IP para su inclusión en una regla de firewall de IP del servicio de búsqueda.

Direcciones IP de entrada y salida en Azure App Service