Indexelő hozzáférés az Azure hálózati biztonsága által védett tartalmakhoz
Ha az Azure-erőforrások egy Azure-beli virtuális hálózaton vannak üzembe helyezve, ez a fogalomcikk azt ismerteti, hogyan férhet hozzá a keresési indexelő a hálózati biztonság által védett tartalmakhoz. Ismerteti a kimenő forgalom mintáit és az indexelő végrehajtási környezeteit. Emellett az Azure AI Search által támogatott hálózati védelmet és azokat a tényezőket is ismerteti, amelyek befolyásolhatják a biztonsági stratégiát. Végül, mivel az Azure Storage az adathozzáféréshez és az állandó tároláshoz is használható, ez a cikk a keresési és tárolási kapcsolatokra vonatkozó hálózati szempontokat is ismerteti.
Lépésenkénti utasításokat keres? Tekintse meg a tűzfalszabályok konfigurálását az indexelők hozzáférésének engedélyezéséhez, illetve a kimenő kapcsolatok privát végponton keresztüli létesítéséhez.
Indexelők által elért erőforrások
Az Azure AI Search indexelői három esetben indíthatnak kimenő hívásokat különböző Azure-erőforrásokhoz:
- Csatlakozás külső adatforrások indexelése során
- Csatlakozás külső, belefoglalt kódra az egyéni képességeket tartalmazó készségkészleten keresztül
- Csatlakozás képességek végrehajtása során az Azure Storage-ba való átirányítással gyorsítótárazhatja a bővítéseket, mentheti a hibakeresési munkamenet állapotát, vagy írhat egy tudástárba
Az indexelők által egy tipikus futtatás során elérhető összes lehetséges Azure-erőforrástípus listája az alábbi táblázatban található.
| Erőforrás | Az indexelő futtatásának célja |
|---|---|
| Azure Storage (blobok, ADLS Gen 2, fájlok, táblák) | Adatforrás |
| Azure Storage (blobok, táblák) | Képességkészletek (gyorsítótárazási bővítések, hibakeresési munkamenetek, tudástár-előrejelzések) |
| Azure Cosmos DB (különböző API-k) | Adatforrás |
| Azure SQL Database | Adatforrás |
| Azure-beli virtuális gépen futó SQL Server | Adatforrás |
| SQL Managed Instance | Adatforrás |
| Azure Functions | Egy készségkészlethez csatolva, és egyéni webes API-képességek üzemeltetésére szolgál |
Feljegyzés
Az indexelők az Azure AI-szolgáltatásokhoz is csatlakoznak a beépített készségek érdekében. Ez a kapcsolat azonban a belső hálózaton keresztül jön létre, és nem vonatkoznak az Ön felügyelete alá tartozó hálózati rendelkezésekre.
Az indexelők az alábbi módszerekkel csatlakoznak az erőforrásokhoz:
- Nyilvános végpont hitelesítő adatokkal
- Privát végpont az Azure Private Link használatával
- Csatlakozás megbízható szolgáltatásként
- CSATLAKOZÁS IP-címzésen keresztül
Ha az Azure-erőforrás egy virtuális hálózaton található, akkor privát végpontot vagy IP-címzést kell használnia az indexelők adatkapcsolatainak felvételéhez.
Támogatott hálózati védelem
Az Azure-erőforrások bármilyen számú, az Azure által kínált hálózatelkülönítési mechanizmussal védhetők. Az erőforrástól és a régiótól függően az Azure AI Search indexelői IP-tűzfalakon és privát végpontokon keresztül hozhatnak létre kimenő kapcsolatokat, az alábbi táblázatban ismertetett korlátozásokra is figyelemmel.
| Erőforrás | IP-korlátozás | Privát végpont |
|---|---|---|
| Azure Storage szövegalapú indexeléshez (blobok, ADLS Gen 2, fájlok, táblák) | Csak akkor támogatott, ha a tárfiók és a keresési szolgáltatás különböző régiókban található. | Támogatott |
| Azure Storage AI-bővítéshez (gyorsítótárazás, hibakeresési munkamenetek, tudástár) | Csak akkor támogatott, ha a tárfiók és a keresési szolgáltatás különböző régiókban található. | Támogatott |
| Azure Cosmos DB for NoSQL | Támogatott | Támogatott |
| Azure Cosmos DB a MongoDB-hez | Támogatott | Támogatott |
| Azure Cosmos DB for Apache Gremlin | Támogatott | Támogatott |
| Azure SQL Database | Támogatott | Támogatott |
| Azure-beli virtuális gépen futó SQL Server | Támogatott | n/a |
| SQL Managed Instance | Támogatott | n/a |
| Azure Functions | Támogatott | Támogatott, csak az Azure-függvények bizonyos szintjeihez |
Indexelő végrehajtási környezete
Az Azure AI Search egy indexelő végrehajtási környezet koncepcióját használja, amely a feladat jellemzői alapján optimalizálja a feldolgozást. Két környezet van. Ha IP-tűzfalat használ az Azure-erőforrásokhoz való hozzáférés szabályozásához, a végrehajtási környezetek ismerete segít beállítani a mindkét környezetet magában foglaló IP-tartományt.
Egy adott indexelő futtatása esetén az Azure AI Search határozza meg az indexelő futtatásának legjobb környezetét. A hozzárendelt tevékenységek számától és típusától függően az indexelő két környezet egyikében fog futni.
| Végrehajtási környezet | Leírás |
|---|---|
| Személyes | Egy keresési szolgáltatás belső elemei. A privát környezetben futó indexelők számítástechnikai erőforrásokat osztanak meg más indexelési és lekérdezési számítási feladatokkal ugyanazon a keresési szolgáltatáson. Ebben a környezetben általában csak a szövegalapú indexelést (képességkészletek nélkül) végző indexelők futnak. Ha privát kapcsolatot állít be egy indexelő és az adatok között, ez az egyetlen végrehajtási enriovnment, amelyet használhat. |
| több-bérlős | A Microsoft felügyeli és védi, extra költségek nélkül. Nem vonatkoznak rá az Ön felügyelete alatt álló hálózati rendelkezések. Ez a környezet a számítási igényes feldolgozás kiszervezésére szolgál, így szolgáltatásspecifikus erőforrások állnak rendelkezésre a rutinműveletek számára. Az erőforrás-igényes indexelő feladatok közé tartozik például a képességkészletek csatolása, a nagy méretű dokumentumok feldolgozása vagy a nagy mennyiségű dokumentum feldolgozása. |
Az alábbi szakasz ismerteti az IP-konfigurációt, amely lehetővé teheti a kérések bármelyik végrehajtási környezetből való beengedését.
IP-tartományok beállítása az indexelő végrehajtásához
Ha az Azure-erőforrás tűzfal mögött található, állítson be olyan bejövő szabályokat, amelyek az indexelői kapcsolatokat minden olyan IP-címhez beengedik, ahonnan egy indexelő kérés származhat. Ez magában foglalja a keresési szolgáltatás által használt IP-címet és a több-bérlős környezet által használt IP-címeket.
A keresési szolgáltatás (és a privát végrehajtási környezet) IP-címének lekéréséhez használja
nslookup(vagyping) a keresési szolgáltatás teljes tartománynevét (FQDN). A nyilvános felhőben lévő keresési szolgáltatás teljes tartományneve a következő lenne<service-name>.search.windows.net: .Az indexelők által futtatható több-bérlős környezetek IP-címeinek lekéréséhez használja a
AzureCognitiveSearchszolgáltatáscímkét.Az Azure-szolgáltatáscímkék az egyes régiók több-bérlős környezeteinek KÖZZÉTETT IP-címtartományával rendelkeznek. Ezeket az IP-címeket a felderítési API-val vagy egy letölthető JSON-fájllal találja meg. Az IP-tartományok régiónként vannak lefoglalva, ezért a kezdés előtt ellenőrizze a keresési szolgáltatási régiót.
IP-szabályok beállítása az Azure SQL-hez
A több-bérlős környezet IP-szabályának beállításakor egyes SQL-adatforrások támogatják az IP-címek specifikációjának egyszerű megközelítését. A szabály összes IP-címének felsorolása helyett létrehozhat egy hálózati biztonsági csoport szabályt , amely megadja a AzureCognitiveSearch szolgáltatáscímkét.
Megadhatja a szolgáltatáscímkét, ha az adatforrás a következő:
Figyelje meg, hogy ha a több-bérlős környezet IP-szabályának szolgáltatáscímkéjét adta meg, akkor is szüksége lesz egy explicit bejövő szabályra a privát végrehajtási környezethez (vagyis magában a keresési szolgáltatáshoz) a beolvasva nslookup.
Kapcsolati megközelítés kiválasztása
A keresési szolgáltatás nem építhető ki egy adott virtuális hálózatba, amely natív módon fut egy virtuális gépen. Bár egyes Azure-erőforrások virtuális hálózati szolgáltatásvégpontokat kínálnak, ezt a funkciót az Azure AI Search nem fogja kínálni. Tervezze meg az alábbi módszerek egyikének megvalósítását.
| Módszer | Részletek |
|---|---|
| Bejövő kapcsolat az Azure-erőforrással | Konfiguráljon egy bejövő tűzfalszabályt az Azure-erőforráson, amely elismeri az indexelők adatkéréseit. A tűzfal konfigurációjának tartalmaznia kell a több-bérlős végrehajtás szolgáltatáscímkéjét és a keresési szolgáltatás IP-címét. |
| Privát kapcsolat az Azure AI Search és az Azure-erőforrás között | Konfiguráljon egy megosztott privát hivatkozást, amelyet kizárólag a keresési szolgáltatás használ az erőforráshoz való kapcsolatokhoz. Csatlakozás a belső hálózaton áthaladva megkerülik a nyilvános internetet. Ha az erőforrások teljes mértékben zárolva vannak (védett virtuális hálózaton futnak, vagy más módon nem érhetők el nyilvános kapcsolaton keresztül), a privát végpont az egyetlen választás. Lásd: Kimenő kapcsolatok létrehozása privát végponton keresztül. |
A privát végponton keresztüli Csatlakozás a keresési szolgáltatás privát végrehajtási környezetéből kell származnia.
Az IP-tűzfal konfigurálása ingyenes. Az Azure Private Linken alapuló privát végpontnak számlázási hatása van. Részletekért tekintse meg az Azure Private Link díjszabását .
A hálózati biztonság konfigurálása után kövesse azokat a szerepkör-hozzárendeléseket, amelyek meghatározzák, hogy mely felhasználók és csoportok rendelkeznek olvasási és írási hozzáféréssel az adatokhoz és műveletekhez.
A privát végpontok használatának szempontjai
Ez a szakasz szűkül a privát kapcsolat lehetőségnél.
- A megosztott privát hivatkozásokhoz számlázható keresési szolgáltatásra van szükség, ahol a minimális szint a szövegalapú indexeléshez alapszintű, a készségalapú indexeléshez pedig standard 2 (S2). Részletekért tekintse meg a privát végpontok számának rétegkorlátait .
A megosztott privát hivatkozás létrehozása után a keresési szolgáltatás mindig azt használja az adott Azure-erőforrás indexelői kapcsolataihoz. A privát kapcsolat zárolva van, és belsőleg van kényszerítve. Nyilvános kapcsolat esetén nem lehet megkerülni a privát kapcsolatot.
Számlázható Azure Private Link-erőforrást igényel.
Az előfizetés tulajdonosának jóvá kell hagynia a privát végpontkapcsolatot.
Ehhez ki kell kapcsolnia az indexelő több-bérlős végrehajtási környezetét.
Ezt úgy teheti meg, hogy az
executionEnvironmentindexelőt a következőre"Private"állítja: . Ez a lépés biztosítja, hogy az indexelők végrehajtása a keresési szolgáltatásban kiépített privát környezetre korlátozódjon. Ez a beállítás egy indexelőre terjed ki, nem pedig a keresési szolgáltatásra. Ha azt szeretné, hogy minden indexelő privát végpontokon keresztül csatlakozzon, mindegyiknek a következő konfigurációval kell rendelkeznie:{ "name" : "myindexer", ... other indexer properties "parameters" : { ... other parameters "configuration" : { ... other configuration properties "executionEnvironment": "Private" } } }
Miután jóváhagyott privát végpontot adott meg egy erőforráshoz, a privátnak beállított indexelők az Azure-erőforráshoz létrehozott és jóváhagyott privát kapcsolaton keresztül próbálják meg elérni a hozzáférést.
Az Azure AI Search ellenőrzi, hogy a privát végpont hívói rendelkeznek-e megfelelő szerepkör-hozzárendelésekkel. Ha például magánvégpont-kapcsolatot kér egy írásvédett engedélyekkel rendelkező tárfiókhoz, a rendszer elutasítja a hívást.
Ha a privát végpont nincs jóváhagyva, vagy ha az indexelő nem használta a privát végpontkapcsolatot, hibaüzenet jelenik meg transientFailure az indexelőzmények végrehajtási előzményeiben.
Hálózati biztonság kiegészítése jogkivonat-hitelesítéssel
A tűzfalak és a hálózati biztonság az adatokhoz és műveletekhez való jogosulatlan hozzáférés megelőzésének első lépése. Az engedélyezésnek a következő lépésnek kell lennie.
A szerepköralapú hozzáférést javasoljuk, ahol a Microsoft Entra ID felhasználói és csoportjai olyan szerepkörökhöz vannak rendelve, amelyek meghatározzák a szolgáltatás olvasási és írási hozzáférését. A beépített szerepkörök leírását és az egyéni szerepkörök létrehozására vonatkozó utasításokat lásd: Csatlakozás az Azure AI Search szolgáltatásba szerepköralapú hozzáférés-vezérlőkkel.
Ha nincs szüksége kulcsalapú hitelesítésre, javasoljuk, hogy tiltsa le az API-kulcsokat, és kizárólag szerepkör-hozzárendeléseket használjon.
Hozzáférés hálózati védelem alatt álló tárfiókhoz
A keresési szolgáltatás indexeket és szinonimalistákat tárol. A tárterületet igénylő egyéb funkciók esetében az Azure AI Search függőséget vesz igénybe az Azure Storage-ról. A bővítési gyorsítótárazás, a hibakeresési munkamenetek és a tudástárak ebbe a kategóriába tartoznak. Az egyes szolgáltatások helye és a tároláshoz használt hálózati védelem határozza meg az adathozzáférési stratégiát.
Azonos régiós szolgáltatások
Az Azure Storage-ban a tűzfalon keresztüli hozzáférés megköveteli, hogy a kérés egy másik régióból származik. Ha az Azure Storage és az Azure AI Search ugyanabban a régióban található, megkerülheti a tárfiók IP-korlátozásait a keresési szolgáltatás rendszeradentitásában lévő adatok elérésével.
Az adathozzáférés támogatásának két lehetősége van a rendszeridentitás használatával:
Konfigurálja a keresést úgy, hogy megbízható szolgáltatásként fusson, és használja a megbízható szolgáltatáskivételt az Azure Storage-ban.
Konfiguráljon egy erőforráspéldány-szabályt az Azure Storage-ban, amely beengedi az Azure-erőforrás bejövő kéréseit.
A fenti beállítások a Microsoft Entra-azonosítótól függenek a hitelesítéshez, ami azt jelenti, hogy a kapcsolatot Microsoft Entra-bejelentkezéssel kell létrehozni. Jelenleg csak az Azure AI Search rendszer által hozzárendelt felügyelt identitások támogatottak egy tűzfalon keresztüli azonos régiós kapcsolatokhoz.
Szolgáltatások különböző régiókban
Ha a keresés és a tárolás különböző régiókban található, használhatja a korábban említett beállításokat, vagy beállíthat olyan IP-szabályokat, amelyek a szolgáltatástól érkező kéréseket fogadják el. A számítási feladattól függően előfordulhat, hogy több végrehajtási környezethez is be kell állítania a szabályokat a következő szakaszban leírtak szerint.
Következő lépések
Most, hogy már ismeri az Indexer adathozzáférési lehetőségeit egy Azure-beli virtuális hálózaton üzembe helyezett megoldásokhoz, tekintse át a következő útmutató cikkek egyikét a következő lépésként: