Megosztás a következőn keresztül:

Hálózati hozzáférési és tűzfalszabályok konfigurálása az Azure AI Search szolgáltatáshoz

  • Cikk

Ez a cikk azt ismerteti, hogyan korlátozhatja a keresési szolgáltatás nyilvános végpontjának hálózati hozzáférését. A nyilvános végponthoz való összes adatsík-hozzáférés letiltásához használjon privát végpontokat és egy Azure-beli virtuális hálózatot.

Ez a cikk feltételezi, hogy az Azure Portal konfigurálja a hálózati hozzáférési beállításokat. Használhatja a Felügyeleti REST API-t, az Azure PowerShellt vagy az Azure CLI-t is.

Előfeltételek

  • Keresési szolgáltatás, bármely régió az alapszintű vagy magasabb szinten

  • Tulajdonosi vagy közreműködői engedélyek

Mikor kell konfigurálni a hálózati hozzáférést?

Alapértelmezés szerint az Azure AI Search úgy van konfigurálva, hogy engedélyezze a nyilvános végponton keresztüli kapcsolatokat. A keresési szolgáltatás nyilvános végponton keresztüli elérését hitelesítési és engedélyezési protokollok védik, de maga a végpont nyitva áll az internet felé az adatsík-kérelmek hálózati rétegében.

Ha nem nyilvános webhelyet üzemeltet, érdemes lehet úgy konfigurálni a hálózati hozzáférést, hogy automatikusan elutasítsa a kéréseket, kivéve, ha azok jóváhagyott eszközökből és felhőszolgáltatásokból származnak.

A nyilvános végponthoz való hozzáférés korlátozásának két mechanizmusa van:

  • A bejövő szabályok felsorolják azokat az IP-címeket, tartományokat vagy alhálózatokat, amelyekből a kérelmeket beengedik
  • Kivételek a hálózati szabályok alól, ha a kérelmeket ellenőrzés nélkül fogadják el, feltéve, hogy a kérés megbízható szolgáltatásból származik

Nincs szükség hálózati szabályokra, de biztonsági ajánlott eljárás, ha az Azure AI Search használatával privát vagy belső vállalati tartalmakat keres.

A hálózati szabályok hatóköre a keresési szolgáltatás nyilvános végpontján végzett adatsík-műveletekre terjed ki. Az adatsík-műveletek közé tartoznak az indexek létrehozása vagy lekérdezése, valamint a Search REST API-k által leírt összes többi művelet. Vezérlősík-műveletek célszolgáltatás-felügyelete. Ezek a műveletek erőforrás-szolgáltatói végpontokat határoznak meg, amelyekre az Azure Resource Manager által támogatott hálózati védelem vonatkozik.

Korlátozások

A nyilvános végpont zárolásának néhány hátránya van.

  • Időbe telik az IP-tartományok teljes azonosítása és a tűzfalak beállítása, és ha a koncepcióellenőrzés és -vizsgálat korai szakaszában van, és mintaadatokat használ, érdemes elhalasztani a hálózati hozzáférés-vezérlést, amíg ténylegesen szüksége nem lesz rájuk.

  • Egyes munkafolyamatok nyilvános végponthoz való hozzáférést igényelnek. Az Azure Portal importálási varázslói a beépített (üzemeltetett) mintaadatokhoz csatlakoznak, és modelleket ágyaznak be a nyilvános végpontra. Átválthat kódra vagy szkriptre, hogy ugyanazokat a feladatokat végezze el, amikor tűzfalszabályok működnek, de ha futtatni szeretné a varázslókat, a nyilvános végpontnak elérhetőnek kell lennie. További információ: Biztonságos kapcsolatok az importálási varázslókban.

Hálózati hozzáférés konfigurálása az Azure Portalon

  1. Jelentkezzen be az Azure Portalra, és keresse meg a keresési szolgáltatást.

  2. A Beállítások területen válassza a Hálózatkezelés lehetőséget a bal szélső panelen. Ha nem látja ezt a lehetőséget, ellenőrizze a szolgáltatási szintet. A hálózatkezelési lehetőségek az alapszintű és a magasabb szinten érhetők el.

  3. Válassza ki a kijelölt IP-címeket. Kerülje a Letiltott beállítást, kivéve, ha privát végpontot konfigurál.

    Képernyőkép az Azure Portal hálózati hozzáférési beállításairól.

  4. Ha ezt a lehetőséget választja, további beállítások válnak elérhetővé.

    Képernyőkép az IP-tűzfal Azure Portalon való konfigurálásáról.

  5. Az IP-tűzfal területen válassza az Ügyfél IP-címének hozzáadása lehetőséget a személyes eszköz nyilvános IP-címéhez tartozó bejövő szabály létrehozásához. Részletekért lásd : Hozzáférés engedélyezése az Azure Portal IP-címéről .

  6. Adjon hozzá más ügyfél IP-címeket más eszközökhöz és szolgáltatásokhoz, amelyek kéréseket küldenek egy keresési szolgáltatásnak.

    Az IP-címek és -tartományok CIDR formátumban vannak. A CIDR jelölésére példa a 8.8.8.0/24, amely a 8.8.8.0 és 8.8.8.255 közötti IP-címeket jelöli.

    Ha a keresési ügyfél statikus webalkalmazás az Azure-ban, tekintse meg a bejövő és kimenő IP-címeket Azure-alkalmazás Szolgáltatásban. Az Azure Functions esetében lásd az Azure Functions IP-címeit.

  7. A Kivételek csoportban válassza az Azure-szolgáltatások engedélyezése a megbízható szolgáltatások listájában a keresési szolgáltatás eléréséhez. A megbízható szolgáltatáslista a következőket tartalmazza:

    • Microsoft.CognitiveServices Azure OpenAI- és Azure AI-szolgáltatásokhoz
    • Microsoft.MachineLearningServices Azure Machine Learninghez

    Ha engedélyezi ezt a kivételt, függőséget vállal a Microsoft Entra-azonosító hitelesítése, a felügyelt identitások és a szerepkör-hozzárendelések között. Bármely Azure AI-szolgáltatás vagy AML-szolgáltatás, amely érvényes szerepkör-hozzárendeléssel rendelkezik a keresési szolgáltatásban, megkerülheti a tűzfalat. További részletekért lásd: Hozzáférés biztosítása megbízható szolgáltatásokhoz .

  8. Mentse a módosításokat.

Miután engedélyezte az Azure AI-Search szolgáltatás IP-hozzáférés-vezérlési szabályzatát, a rendszer elutasítja az ip-címtartományok engedélyezett listáján kívüli gépekről érkező adatsíkra irányuló összes kérést.

Ha a kérések olyan IP-címekről származnak, amelyek nem szerepelnek az engedélyezett listában, a rendszer egy általános 403 Tiltott választ ad vissza más részletek nélkül.

Fontos

A módosítások érvénybe lépése több percet is igénybe vehet. Várjon legalább 15 percet a hálózati konfigurációval kapcsolatos problémák elhárítása előtt.

Hozzáférés engedélyezése az Azure Portal IP-címéről

Az IP-szabályok konfigurálásakor az Azure Portal egyes funkciói le lesznek tiltva. Megtekintheti és kezelheti a szolgáltatásszintű információkat, de a portál hozzáférése az importálási varázslókhoz, indexekhez, indexelőkhöz és más legfelső szintű erőforrásokhoz korlátozott.

A portál IP-címének hozzáadásával visszaállíthatja a portál hozzáférését a keresési szolgáltatás műveleteinek teljes tartományához.

A portál IP-címének lekéréséhez hajtsa végre nslookup (vagy ping) a következőt:

  • stamp2.ext.search.windows.net, amely az Azure nyilvános felhő forgalomkezelőjének tartománya.
  • stamp2.ext.search.azure.us az Azure Government-felhőhöz.

Az nslookup esetében az IP-cím a válasz "Nem mérvadó válasz" részében látható. Az alábbi példában a másolandó IP-cím a következő 52.252.175.48.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Amikor a szolgáltatások különböző régiókban futnak, különböző forgalomkezelőkhöz csatlakoznak. A tartománynévtől függetlenül a pingelésből visszaadott IP-cím a megfelelő, amelyet a régióban lévő Azure Portal bejövő tűzfalszabályának definiálásakor használhat.

Ping esetén a kérés túllépi az időkorlátot, de az IP-cím látható a válaszban. Az üzenetben "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"például az IP-cím a következő 52.252.175.48.

A szalagcím arról tájékoztatja, hogy az IP-szabályok hatással vannak a portál felületére. Ez a szalagcím a portál IP-címének hozzáadása után is látható marad. Ne felejtsen el néhány percet várni, amíg a hálózati szabályok érvénybe lépnek a tesztelés előtt.

Képernyőkép a korlátozott hozzáférésű szalagcímről.

Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz

Kiválasztotta a megbízható szolgáltatások kivételét? Ha igen, a keresési szolgáltatás az IP-cím ellenőrzése nélkül fogadja a megbízható Azure-erőforrástól érkező kéréseket és válaszokat. A megbízható erőforrásoknak felügyelt identitással (rendszer vagy felhasználó által hozzárendelt, de általában rendszer) kell rendelkezniük. A megbízható erőforrásoknak rendelkezniük kell egy szerepkör-hozzárendeléssel az Azure AI Searchben, amely engedélyt ad az adatokra és műveletekre.

Az Azure AI Search megbízható szolgáltatáslistája a következőket tartalmazza:

  • Microsoft.CognitiveServices Azure OpenAI- és Azure AI-szolgáltatásokhoz
  • Microsoft.MachineLearningServices Azure Machine Learninghez

A hálózati kivétel munkafolyamatai az Azure AI Studióból, az Azure OpenAI Studióból vagy az Azure AI Search más AML-funkcióiból származó kérések, általában az Azure OpenAI On Your Data forgatókönyvekben a kiterjesztett generációs (RAG) és a játszótéri környezetek lekéréséhez.

A megbízható erőforrásoknak felügyelt identitással kell rendelkezniük

Felügyelt identitások beállítása az Azure OpenAI-hoz és az Azure Machine Learninghez:

Felügyelt identitás beállítása egy Azure AI-szolgáltatáshoz:

  1. Keresse meg többszolgáltatásos fiókját.
  2. A bal szélső panel Erőforrás-kezelés területén válassza az Identitás lehetőséget.
  3. Állítsa be a rendszer által be van rendelve.

A megbízható erőforrásoknak szerepkör-hozzárendeléssel kell rendelkezniük

Miután az Azure-erőforrás rendelkezik felügyelt identitással, szerepköröket rendelhet az Azure AI Search szolgáltatáshoz, hogy engedélyeket adjon az adatokhoz és műveletekhez.

A megbízható szolgáltatásokat vektorizálási számítási feladatokhoz használják: vektorokat hoznak létre szöveg- és képtartalmakból, és hasznos adatokat küldenek vissza a keresési szolgáltatásnak lekérdezések végrehajtásához vagy indexeléséhez. A megbízható szolgáltatásból származó kapcsolatok hasznos adatok azure AI-kereséshez való továbbítására szolgálnak.

  1. Keresse meg a keresési szolgáltatást.

  2. A bal szélső panel Hozzáférés-vezérlés (IAM) területén válassza az Identitás lehetőséget.

  3. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

  4. A Szerepkörök lapon:

    • A Keresési index adatszolgáltatója lehetőséget választva betölthet egy beágyazási modell által létrehozott vektorokkal rendelkező keresési indexet. Akkor válassza ezt a szerepkört, ha integrált vektorizálást szeretne használni az indexelés során.
    • Vagy válassza a Keresési index adatolvasó lehetőséget, ha egy beágyazási modell által létrehozott vektort szeretne lekérdezéseket biztosítani. A lekérdezésekben használt beágyazás nem indexbe van írva, ezért nincs szükség írási engedélyekre.

  5. Válassza a Tovább lehetőséget.

  6. A Tagok lapon válassza a Felügyelt identitás és a Tagok kiválasztása lehetőséget.

  7. Szűrjön rendszer által felügyelt identitás alapján, majd válassza ki az Azure AI többszolgáltatásos fiókjának felügyelt identitását.

Feljegyzés

Ez a cikk a keresési szolgáltatásnak küldött kérelmek megbízható kivételét ismerteti, de az Azure AI Search szerepel a többi Azure-erőforrás megbízható szolgáltatások listájában. A megbízható szolgáltatáskivételt az Azure AI Search és az Azure Storage közötti kapcsolatokhoz használhatja.

Következő lépések

Ha egy kérés engedélyezve van a tűzfalon keresztül, hitelesíteni és engedélyezni kell. Két lehetőség áll rendelkezésre:

  • Kulcsalapú hitelesítés, ahol a kérelemben rendszergazdai vagy lekérdezési API-kulcs található. Ez az alapértelmezett beállítás.

  • Szerepköralapú hozzáférés-vezérlés a Microsoft Entra ID használatával, ahol a hívó egy keresési szolgáltatás biztonsági szerepkörének tagja. Ez a legbiztonságosabb lehetőség. A Microsoft Entra-azonosítót használja hitelesítéshez és szerepkör-hozzárendelésekhez az Azure AI Searchben az adatokhoz és műveletekhez való engedélyekhez.

RBAC engedélyezése a keresési szolgáltatásban