Indexelőkapcsolatok egy Azure-beli virtuális gépen lévő SQL Server-példányhoz

Ha egy Azure SQL-indexelőt úgy konfigurál, hogy tartalmat nyerjen ki egy Azure-beli virtuális gépen lévő adatbázisból, további lépésekre van szükség a biztonságos kapcsolatokhoz.

Az Azure AI Search és a virtuális gép SQL Server-példánya közötti kapcsolat nyilvános internetkapcsolat. Ahhoz, hogy a biztonságos kapcsolatok sikeresek lehessenek, a következő követelményeknek kell megfelelnie:

• Tanúsítvány beszerzése egy hitelesítésszolgáltatótól a virtuális gépen található SQL Server-példány teljes tartománynevéhez.

• Telepítse a tanúsítványt a virtuális gépre.

Miután telepítette a tanúsítványt a virtuális gépre, készen áll a cikkben szereplő alábbi lépések végrehajtására.

Megjegyzés:

Az Azure AI Search indexelői jelenleg nem támogatják az Always Encrypted oszlopokat.

Titkosított kapcsolatok engedélyezése

Az Azure AI Search egy titkosított csatornát igényel az indexelők nyilvános internetkapcsolaton keresztüli kéréseihez. Ez a szakasz a munka végrehajtásának lépéseit sorolja fel.

1. Ellenőrizze a tanúsítvány tulajdonságait annak ellenőrzéséhez, hogy a tulajdonos neve az Azure-beli virtuális gép teljes tartományneve(FQDN).

   A tulajdonságok megtekintéséhez használhat olyan eszközt, mint a CertUtils vagy a Tanúsítványok beépülő modul. Az FQDN-t a virtuálisgép-szolgáltatás panelJének Essentials szakaszában, a Nyilvános IP-cím/DNS-név címke mezőjében, az Azure Portalon szerezheti be.

   A teljes tartománynév általában a következő formátumban van formázva: <your-VM-name>.<region>.cloudapp.azure.com

2. Konfigurálja az SQL Servert a tanúsítvány használatára a Beállításszerkesztő (regedit) használatával.

   Bár a SQL Server Konfigurációkezelő gyakran használják ehhez a feladathoz, ebben a forgatókönyvben nem használhatja. Nem találja az importált tanúsítványt, mert az Azure-beli virtuális gép teljes tartományneve nem egyezik meg a virtuális gép által meghatározott teljes tartománynévvel (a tartományt a helyi számítógépként vagy a hálózati tartományként azonosítja, amelyhez csatlakozik). Ha a nevek nem egyeznek, a regedit használatával adja meg a tanúsítványt.

   1. A regeditben keresse meg ezt a beállításkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      A [MSSQL13.MSSQLSERVER] rész a verzió és a példány neve alapján változik.

   2. Állítsa a tanúsítványkulcs értékét a virtuális gépre importált TLS/SSL-tanúsítvány ujjlenyomatára (szóközök nélkül).

   Többféleképpen is beszerezheti az ujjlenyomatot, némelyik jobb, mint mások. Ha a Tanúsítvány beépülő modulból másolja az MMC-be, valószínűleg egy láthatatlan kezdő karaktert fog felvenni a támogatási cikkben leírtak szerint, ami hibát eredményez a kapcsolat megkísérlésekor. A probléma megoldásához számos áthidaló megoldás létezik. A legegyszerűbb, ha visszatereli az ujjlenyomatot, majd újra begépeli az ujjlenyomat első karakterét a regedit kulcsérték mezőjében lévő kezdő karakter eltávolításához. Másik lehetőségként másik eszközzel másolhatja az ujjlenyomatot.

3. Adjon engedélyeket a szolgáltatásfióknak.

   Győződjön meg arról, hogy az SQL Server szolgáltatásfiók megfelelő engedélyt kap a TLS/SSL-tanúsítvány titkos kulcsára. Ha figyelmen kívül hagyja ezt a lépést, az SQL Server nem indul el. Ehhez a feladathoz használhatja a Tanúsítványok beépülő modult vagy a CertUtilst .

4. Indítsa újra az SQL Server szolgáltatást.

Csatlakozás az SQL Serverhez

Az Azure AI Search által igényelt titkosított kapcsolat beállítása után a nyilvános végponton keresztül csatlakozik a példányhoz. A következő cikk a kapcsolati követelményeket és szintaxist ismerteti:

• Csatlakozás az SQL Serverhez az interneten keresztül

A hálózati biztonsági csoport konfigurálása

Nem szokatlan a hálózati biztonsági csoport és a megfelelő Azure-végpont vagy hozzáférés-vezérlési lista (ACL) konfigurálása, hogy az Azure-beli virtuális gép más felek számára is elérhető legyen. Valószínű, hogy korábban már tette, hogy lehetővé tegye a saját alkalmazáslogika számára az SQL Azure-beli virtuális géphez való csatlakozást. Az Azure AI Search és az SQL Azure-beli virtuális gép közötti kapcsolat nem különbözik.

Az alábbi hivatkozások útmutatást nyújtanak a virtuális gépek üzembe helyezéséhez szükséges NSG-konfigurációval kapcsolatban. Ezeket az utasításokat követve a keresési szolgáltatás végpontját az IP-címe alapján adhatja meg.

1. Szerezze be a keresési szolgáltatás IP-címét. Útmutatásért tekintse meg a következő szakaszt .

2. Adja hozzá a keresési IP-címet a biztonsági csoport IP-szűrőlistájához. A következő cikkek bármelyike ismerteti a lépéseket:

• Oktatóanyag: Hálózati forgalom szűrése hálózati biztonsági csoporttal az Azure Portal használatával

• Hálózati biztonsági csoport létrehozása, módosítása vagy törlése

Az IP-címzés néhány olyan kihívást jelenthet, amelyek könnyen leküzdhetők, ha tisztában van a problémával és a lehetséges megkerülő megoldásokkal. A fennmaradó szakaszok javaslatokat nyújtanak az ACL IP-címeivel kapcsolatos problémák kezelésére.

Az Azure AI Searchhez való hozzáférés korlátozása

Határozottan javasoljuk, hogy korlátozza a keresési szolgáltatás IP-címéhez és a szolgáltatáscímkék IP-címtartományához AzureCognitiveSearchvaló hozzáférést az ACL-ben ahelyett, hogy az SQL Azure-beli virtuális gépeket minden kapcsolatkérésre megnyitná.

Az IP-címet a keresési szolgáltatás teljes tartománynevének (például <your-search-service-name>.search.windows.net) pingelésével állapíthatja meg. Bár lehetséges, hogy a keresési szolgáltatás IP-címe megváltozik, nem valószínű, hogy megváltozik. Az IP-cím általában statikus a szolgáltatás teljes élettartama alatt.

A szolgáltatáscímke IP-címtartományát AzureCognitiveSearchletöltő JSON-fájlokkal vagy a Service Tag Discovery API-val derítheti ki. Az IP-címtartomány hetente frissül.

Az Azure AI Search portál IP-címeinek megadása

Ha az Azure Portalt használja indexelő létrehozásához, bejövő hozzáférést kell adnia a portálnak az SQL Azure-beli virtuális géphez. A tűzfal bejövő szabályához meg kell adnia a portál IP-címét.

A portál IP-címének lekéréséhez pingelje stamp2.ext.search.windows.neta forgalomkezelő tartományát. A kérés időtúllépést fog végrehajtani, de az IP-cím látható lesz az állapotüzenetben. A "Pingelés azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" üzenetben például az IP-cím "52.252.175.48".

A különböző régiókban lévő fürtök különböző forgalomkezelőkhöz csatlakoznak. A tartománynévtől függetlenül a pingelésből visszaadott IP-cím a megfelelő, amelyet a régióban lévő Azure Portal bejövő tűzfalszabályának definiálásakor használhat.

Következő lépések

Ha a konfiguráció nem megfelelő, most már megadhatja az Azure-beli virtuális gépen lévő SQL Servert egy Azure AI Search-indexelő adatforrásaként. További információ: Indexadatok az Azure SQL-ből.