Koneksi pengindeks ke instans SQL Server pada komputer virtual Azure

Saat mengonfigurasi pengindeks Azure SQL untuk mengekstrak konten dari database di komputer virtual Azure, langkah tambahan diperlukan untuk koneksi yang aman.

Koneksi dari Azure AI Search ke instans SQL Server pada komputer virtual adalah koneksi internet publik. Agar koneksi aman berhasil, Anda harus memenuhi persyaratan berikut:

• Dapatkan sertifikat dari penyedia Otoritas Sertifikat untuk nama domain instans SQL Server yang sepenuhnya memenuhi syarat pada komputer virtual.

• Instal sertifikat pada komputer virtual.

Setelah menginstal sertifikat di VM, Anda siap untuk menyelesaikan langkah-langkah berikut dalam artikel ini.

Catatan

Kolom Always Encrypted saat ini tidak didukung oleh pengindeks Azure AI Search.

Mengaktifkan koneksi terenkripsi

Azure AI Search memerlukan saluran terenkripsi untuk semua permintaan pengindeks melalui koneksi internet publik. Bagian ini mencantumkan langkah untuk membuat koneksi berfungsi.

1. Periksa properti sertifikat untuk memverifikasi nama subjek adalah nama domain yang sepenuhnya memenuhi syarat (FQDN) dari Azure VM.

   Anda dapat menggunakan alat seperti CertUtils atau snap-in Sertifikat untuk melihat properti. Anda bisa mendapatkan FQDN dari bagian Essentials bilah layanan VM, di bidang alamat IP Publik/label nama DNS di portal Microsoft Azure.

   FQDN biasanya diformat sebagai <your-VM-name>.<region>.cloudapp.azure.com

2. Mengonfigurasi SQL Server untuk menggunakan sertifikat menggunakan Editor Registri (regedit).

   Meskipun Pengelola Konfigurasi SQL Server sering digunakan untuk tugas ini, Anda tidak dapat menggunakannya untuk skenario ini. Ini tidak akan menemukan sertifikat yang diimpor karena FQDN VM di Azure tidak cocok dengan FQDN seperti yang ditentukan oleh VM (mengidentifikasi domain sebagai komputer lokal atau domain jaringan tempat ia bergabung). Saat nama tidak cocok, gunakan regedit untuk menentukan sertifikat.

   1. Dalam regedit, telusuri ke kunci registri ini: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      Bagian [MSSQL13.MSSQLSERVER] ini bervariasi berdasarkan versi dan nama instans.

   2. Atur nilai kunci Sertifikat ke thumbprint (tanpa spasi) sertifikat TLS/SSL yang Anda impor ke VM.

   Ada beberapa cara untuk mendapatkan thumbprint, beberapa lebih baik daripada yang lain. Jika Anda menyalinnya dari snap-in Sertifikat di MMC, Anda mungkin akan mengambil karakter terkemuka yang tidak terlihat seperti yang dijelaskan dalam artikel dukungan ini, yang menghasilkan kesalahan saat Anda mencoba koneksi. Ada beberapa solusi untuk memperbaiki masalah ini. Yang paling mudah adalah menghapus dan kemudian mengetik ulang karakter pertama dari thumbprint untuk menghapus karakter terkemuka di bidang nilai kunci dalam regedit. Atau, Anda dapat menggunakan alat yang berbeda untuk menyalin thumbprint.

3. Memberikan izin ke akun layanan.

   Pastikan akun layanan SQL Server diberikan izin yang sesuai pada kunci privat sertifikat TLS/SSL. Jika Anda mengabaikan langkah ini, SQL Server tidak akan dimulai. Anda dapat menggunakan snap-in Sertifikat atau CertUtils untuk tugas ini.

4. Mulai ulang layanan SQL Server.

Sambungkan ke SQL Server

Setelah menyiapkan koneksi terenkripsi yang diperlukan oleh Azure AI Search, Anda akan tersambung ke instans melalui titik akhir publiknya. Artikel berikut menjelaskan persyaratan dan sintaks koneksi:

• Menyambungkan ke SQL Server melalui internet

Mengonfigurasi grup keamanan jaringan

Tidak biasa untuk mengonfigurasi grup keamanan jaringan dan titik akhir Azure atau Daftar Kontrol Akses (ACL) yang sesuai untuk membuat Azure VM Anda dapat diakses oleh pihak lain. Kemungkinan Anda telah melakukan ini sebelumnya untuk memungkinkan logika aplikasi Anda sendiri untuk terhubung ke Azure VM SQL Anda. Tidak berbeda untuk koneksi Azure AI Search ke SQL Azure VM Anda.

Tautan di bawah ini memberikan instruksi tentang konfigurasi NSG untuk penyebaran VM. Gunakan instruksi ini untuk ACL titik akhir layanan pencarian berdasarkan alamat IP-nya.

1. Dapatkan alamat IP layanan pencarian Anda. Lihat bagian berikut untuk instruksi.

2. Tambahkan alamat IP pencarian ke daftar filter IP grup keamanan. Salah satu artikel berikut menjelaskan langkah-langkahnya:

• Tutorial: Memfilter lalu lintas jaringan dengan kelompok keamanan jaringan menggunakan portal Microsoft Azure

• Membuat, mengubah, atau menghapus kelompok keamanan jaringan

Alamat IP dapat menimbulkan beberapa tantangan yang mudah diatasi jika Anda mengetahui masalah dan solusi potensial. Bagian yang tersisa memberikan rekomendasi untuk menangani masalah yang terkait dengan alamat IP di ACL.

Membatasi akses ke Azure AI Search

Kami sangat menyarankan Agar Anda membatasi akses ke alamat IP layanan pencarian Anda dan rentang AzureCognitiveSearchalamat IP tag layanan di ACL alih-alih membuat VM Azure SQL Anda terbuka untuk semua permintaan koneksi.

Anda dapat mengetahui alamat IP dengan melakukan ping FQDN (misalnya, <your-search-service-name>.search.windows.net) layanan pencarian Anda. Meskipun alamat IP layanan pencarian mungkin berubah, tidak mungkin akan berubah. Alamat IP cenderung statis untuk masa pakai layanan.

Anda dapat mengetahui rentang AzureCognitiveSearchalamat IP tag layanan dengan menggunakan file JSON yang Dapat Diunduh atau melalui API Penemuan Tag Layanan. Rentang alamat IP diperbarui setiap minggu.

Sertakan alamat IP portal Pencarian Azure AI

Jika Anda menggunakan portal Azure untuk membuat pengindeks, Anda harus memberikan akses masuk portal ke komputer virtual SQL Azure Anda. Aturan masuk di firewall mengharuskan Anda memberikan alamat IP portal.

Untuk mendapatkan alamat IP portal, ping stamp2.ext.search.windows.net, yang merupakan domain dari manajer lalu lintas. Permintaan akan kehabisan waktu, tetapi alamat IP akan terlihat dalam pesan status. Misalnya, dalam pesan "Melakukan ping azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", alamat IP adalah "52.252.175.48".

Kluster di berbagai wilayah tersambung ke manajer lalu lintas yang berbeda. Terlepas dari nama domain, alamat IP yang ditampilkan dari ping adalah yang benar untuk digunakan saat menentukan aturan firewall masuk untuk portal Microsoft Azure di wilayah Anda.

Langkah berikutnya

Dengan konfigurasi di luar cara, Anda sekarang dapat menentukan SQL Server di Azure VM sebagai sumber data untuk pengindeks Azure AI Search. Untuk informasi selengkapnya, lihat Mengindeks data dari Azure SQL.