Megosztás a következőn keresztül:

IP-tűzfalszabályok konfigurálása az Indexelők Azure AI Searchből való kapcsolatainak engedélyezéséhez

  • Cikk

Egy indexelő nevében a keresési szolgáltatás kimenő hívásokat ad ki egy külső Azure-erőforráshoz, hogy adatokat kérhessen le az indexelés során. Ha az Azure-erőforrás IP-tűzfalszabályokat használ a bejövő hívások szűréséhez, létre kell hoznia egy bejövő szabályt a tűzfalon, amely fogadja az indexelő kéréseket.

Ez a cikk bemutatja, hogyan keresheti meg a keresési szolgáltatás IP-címét, és hogyan konfigurálhat bejövő IP-szabályt egy Azure Storage-fiókon. Ez a megközelítés az Azure Storage-ra jellemzően más Azure-erőforrások esetében is működik, amelyek IP-tűzfalszabályokat használnak az adathozzáféréshez, például az Azure Cosmos DB-t és az Azure SQL-t.

Feljegyzés

Csak az Azure Storage-ra vonatkozik. Ha IP-tűzfalszabályokat szeretne definiálni, a tárfióknak és a keresési szolgáltatásnak különböző régiókban kell lennie. Ha a beállítás nem teszi lehetővé ezt, próbálja meg inkább a megbízható szolgáltatáskivételt vagy erőforráspéldány-szabályt .

Az indexelők és bármely támogatott Azure-erőforrás közötti privát kapcsolatok esetében javasoljuk, hogy állítson be egy megosztott privát hivatkozást. A privát kapcsolatok a Microsoft gerinchálózatán haladnak át, és teljesen megkerülik a nyilvános internetet.

Keresési szolgáltatás IP-címének lekérése

  1. Kérje le a keresési szolgáltatás teljes tartománynevét (FQDN). Ez úgy néz ki, mint <search-service-name>.search.windows.net. A teljes tartománynevet az Azure Portal keresési szolgáltatásának megkeresésével találja meg.

    Képernyőkép a keresési szolgáltatás áttekintési oldaláról.

  2. A keresési szolgáltatás IP-címének megkereséséhez hajtsa végre nslookup a teljes tartománynév egy (vagy egy ping) elemét egy parancssorban. Győződjön meg arról, hogy eltávolítja az https:// előtagot a teljes tartománynévből.

  3. Másolja ki az IP-címet, hogy a következő lépésben meg tudja adni egy bejövő szabályon. Az alábbi példában a másolandó IP-cím a "150.0.0.1".

    nslookup contoso.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  contoso.search.windows.net

Hozzáférés engedélyezése az ügyfél IP-címéről

Az indexelést és lekérdezési kéréseket a keresési szolgáltatásnak leküldésesen leküldéses ügyfélalkalmazásoknak IP-tartományban kell ábrázolni. Az Azure-ban általában egy szolgáltatás teljes tartománynevének pingelésével határozhatja meg az IP-címet (például ping <your-search-service-name>.search.windows.net egy keresési szolgáltatás IP-címét adja vissza).

Adja hozzá az ügyfél IP-címét, hogy engedélyezze a szolgáltatás elérését az Azure Portalról az aktuális számítógépen. Lépjen a bal oldali navigációs panel Hálózatkezelés szakaszára. Módosítsa a nyilvános hálózati hozzáférést a kijelölt hálózatokhoz, majd jelölje be az Ügyfél IP-címének hozzáadása lehetőséget a Tűzfal területen.

Képernyőkép az ügyfél IP-címének keresési szolgáltatás tűzfalhoz való hozzáadásáról

Az Azure Portal IP-címének lekérése

Ha az Azure Portalt vagy az Adatok importálása varázslót használja egy indexelő létrehozásához, az Azure Portalhoz is szüksége van egy bejövő szabályra.

Az Azure Portal IP-címének lekéréséhez hajtsa végre nslookup (vagy ping) stamp2.ext.search.windows.neta traffic manager tartományát. Az nslookup esetében az IP-cím a válasz "Nem mérvadó válasz" részében látható.

Az alábbi példában a másolandó IP-cím az "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

A különböző régiókban található szolgáltatások különböző forgalomkezelőkhöz csatlakoznak. A tartománynévtől függetlenül a pingelésből visszaadott IP-cím a megfelelő, amelyet a régióban lévő Azure Portal bejövő tűzfalszabályának definiálásakor használhat.

Ping esetén a kérés túllépi az időkorlátot, de az IP-cím látható a válaszban. A "Pingelés azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" üzenetben például az IP-cím "52.252.175.48".

Ip-címek lekérése az "AzureCognitiveSearch" szolgáltatáscímkéhez

Létre kell hoznia egy bejövő szabályt is, amely lehetővé teszi a több-bérlős végrehajtási környezetből érkező kéréseket. Ezt a környezetet a Microsoft felügyeli, és olyan intenzív feladatok kiszervezésére szolgál, amelyek egyébként túlterhelhetik a keresési szolgáltatást. Ez a szakasz bemutatja, hogyan szerezheti be a bejövő szabály létrehozásához szükséges IP-címek tartományát.

Minden olyan régióhoz meg van határozva EGY IP-címtartomány, amely támogatja az Azure AI Search szolgáltatást. Adja meg a teljes tartományt a több-bérlős végrehajtási környezetből származó kérések sikerességének biztosításához.

Ezt az IP-címtartományt a AzureCognitiveSearch szolgáltatáscímkéből szerezheti be.

  1. Használja a felderítési API-t vagy a letölthető JSON-fájlt. Ha a keresési szolgáltatás az Azure Nyilvános felhő, töltse le az Azure Public JSON-fájlt.

  2. Nyissa meg a JSON-fájlt, és keressen rá az "AzureCognitiveSearch" kifejezésre. A WestUS2 keresési szolgáltatásában a több-bérlős indexelő végrehajtási környezetÉNEK IP-címei a következők:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

  3. Ha az IP-címeknek a "/32" utótagja van, a szabálydefinícióban adja meg a "/32" utótagot (a 40.91.93.84/32 40.91.93.84 lesz). Az összes többi IP-cím szó szerint használható.

  4. Másolja ki a régió összes IP-címét.

IP-címek hozzáadása IP-tűzfalszabályokhoz

Most, hogy rendelkezik a szükséges IP-címmel, beállíthatja a bejövő szabályokat. Az IP-címtartományok a tárfiók tűzfalszabályához való hozzáadásának legegyszerűbb módja az Azure Portalon keresztül.

  1. Keresse meg a tárfiókot az Azure Portalon, és nyissa meg a hálózatkezelést a bal oldali navigációs panelen.

  2. A Tűzfal és a virtuális hálózatok lapon válassza a Kijelölt hálózatok lehetőséget.

    Képernyőkép az Azure Storage Tűzfal és a virtuális hálózatok oldaláról

  3. Adja hozzá a címtartományban korábban beszerzett IP-címeket, és válassza a Mentés lehetőséget. Rendelkeznie kell a keresési szolgáltatásra, az Azure Portalra (nem kötelező) vonatkozó szabályokkal, valamint a régióhoz tartozó "AzureCognitiveSearch" szolgáltatáscímkéhez tartozó összes IP-címmel.

    Képernyőkép a lap IP-cím szakaszáról.

A tűzfalszabályok frissítése öt-tíz percet is igénybe vehet, majd az indexelőknek hozzá kell férni a tűzfal mögötti tárfiókadatokhoz.

Hálózati biztonság kiegészítése jogkivonat-hitelesítéssel

A tűzfalak és a hálózati biztonság az adatokhoz és műveletekhez való jogosulatlan hozzáférés megelőzésének első lépése. Az engedélyezésnek a következő lépésnek kell lennie.

A szerepköralapú hozzáférést javasoljuk, ahol a Microsoft Entra ID felhasználói és csoportjai olyan szerepkörökhöz vannak rendelve, amelyek meghatározzák a szolgáltatás olvasási és írási hozzáférését. A beépített szerepkörök leírását és az egyéni szerepkörök létrehozására vonatkozó utasításokat lásd: Csatlakozás az Azure AI Searchhöz szerepköralapú hozzáférés-vezérlőkkel .

Ha nincs szüksége kulcsalapú hitelesítésre, javasoljuk, hogy tiltsa le az API-kulcsokat, és kizárólag szerepkör-hozzárendeléseket használjon.

Következő lépések