Mengonfigurasi aturan firewall IP untuk mengizinkan koneksi pengindeks dari Azure AI Search
Atas nama pengindeks, layanan pencarian mengeluarkan panggilan keluar ke sumber daya Azure eksternal untuk menarik data selama pengindeksan. Jika sumber daya Azure Anda menggunakan aturan firewall IP untuk memfilter panggilan masuk, Anda perlu membuat aturan masuk di firewall Anda yang mengakui permintaan pengindeks.
Artikel ini menjelaskan cara menemukan alamat IP layanan pencarian Anda dan mengonfigurasi aturan IP masuk pada akun Azure Storage. Meskipun khusus untuk Azure Storage, pendekatan ini juga berfungsi untuk sumber daya Azure lainnya yang menggunakan aturan firewall IP untuk akses data, seperti Azure Cosmos DB dan Azure SQL.
Catatan
Akun penyimpanan dan layanan pencarian Anda harus berada di wilayah yang berbeda jika Anda ingin menentukan aturan firewall IP. Jika penyiapan Anda tidak mengizinkan ini, coba pengecualian layanan tepercaya atau aturan instans sumber daya sebagai gantinya.
Mendapatkan alamat IP layanan pencarian
Dapatkan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari layanan pencarian Anda. Ini terlihat seperti
<search-service-name>.search.windows.net. Anda dapat menemukan FQDN dengan mencari layanan pencarian Anda di portal Azure.
Cari alamat IP layanan pencarian dengan melakukan
nslookup(atauping) FQDN pada perintah. Pastikan Anda menghapus awalan "https://" dari FQDN.Salin alamat IP sehingga Anda dapat menentukannya pada aturan masuk di langkah berikutnya. Dalam contoh berikut, alamat IP yang harus Anda salin adalah "150.0.0.1".
nslookup contoso.search.windows.net Server: server.example.org Address: 10.50.10.50 Non-authoritative answer: Name: <name> Address: 150.0.0.1 aliases: contoso.search.windows.net
Mengizinkan akses dari alamat IP klien Anda
Aplikasi klien yang mendorong pengindeksan dan permintaan kueri ke layanan pencarian harus diwakili dalam rentang IP. Di Azure, Anda umumnya dapat menentukan alamat IP dengan melakukan ping FQDN layanan (misalnya, ping <your-search-service-name>.search.windows.net mengembalikan alamat IP layanan pencarian).
Tambahkan alamat IP klien Anda untuk mengizinkan akses ke layanan dari portal Azure di komputer Anda saat ini. Navigasi ke bagian Jaringan di panel navigasi kiri. Ubah Akses Jaringan Publik ke Jaringan yang dipilih, lalu centang Tambahkan alamat IP klien Anda di bawah Firewall.
Mendapatkan alamat IP portal Azure
Jika Anda menggunakan portal atau wizard Impor Data untuk membuat pengindeks, Anda juga memerlukan aturan masuk untuk portal.
Untuk mendapatkan alamat IP portal, lakukan nslookup (atau ping) pada stamp2.ext.search.windows.net, yang merupakan domain manajer lalu lintas. Untuk nslookup, alamat IP terlihat di bagian "Jawaban non-otoritatif" dari respons.
Dalam contoh berikut, alamat IP yang harus Anda salin adalah "52.252.175.48".
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
Layanan di berbagai wilayah terhubung ke manajer lalu lintas yang berbeda. Terlepas dari nama domain, alamat IP yang ditampilkan dari ping adalah yang benar untuk digunakan saat menentukan aturan firewall masuk untuk portal Microsoft Azure di wilayah Anda.
Untuk ping, waktu permintaan habis, tetapi alamat IP terlihat dalam respons. Misalnya, dalam pesan "Melakukan ping azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", alamat IP adalah "52.252.175.48".
Mendapatkan alamat IP untuk tag layanan "AzureCognitiveSearch"
Anda juga harus membuat aturan masuk yang memungkinkan permintaan dari lingkungan eksekusi multi-penyewa. Lingkungan ini dikelola oleh Microsoft dan digunakan untuk membongkar pekerjaan intensif pemrosesan yang dapat membuat layanan pencarian Anda kewalahan. Bagian ini menjelaskan cara mendapatkan rentang alamat IP yang diperlukan untuk membuat aturan masuk ini.
Rentang alamat IP ditentukan untuk setiap wilayah yang mendukung Azure AI Search. Tentukan rentang lengkap untuk memastikan keberhasilan permintaan yang berasal dari lingkungan eksekusi multi-penyewa.
Anda bisa mendapatkan rentang alamat IP ini dari tag layanan AzureCognitiveSearch.
Gunakan API penemuan atau file JSON yang dapat diunduh. Jika layanan pencarian adalah cloud Azure Public, unduh file Azure Public JSON.
Buka file JSON dan cari "AzureCognitiveSearch". Untuk layanan pencarian di WestUS2, alamat IP untuk lingkungan eksekusi pengindeks multi-penyewa adalah:
{ "name": "AzureCognitiveSearch.WestUS2", "id": "AzureCognitiveSearch.WestUS2", "properties": { "changeNumber": 1, "region": "westus2", "regionId": 38, "platform": "Azure", "systemService": "AzureCognitiveSearch", "addressPrefixes": [ "20.42.129.192/26", "40.91.93.84/32", "40.91.127.116/32", "40.91.127.241/32", "51.143.104.54/32", "51.143.104.90/32", "2603:1030:c06:1::180/121" ], "networkFeatures": null } },Untuk alamat IP memiliki akhiran "/32", hilangkan "/32" (40.91.93.84/32 menjadi 40.91.93.84 dalam definisi aturan). Semua alamat IP lainnya dapat digunakan secara verbatim.
Salin semua alamat IP untuk wilayah tersebut.
Menambahkan alamat IP ke aturan firewall IP
Sekarang setelah Anda memiliki alamat IP yang diperlukan, Anda dapat menyiapkan aturan masuk. Cara term mudah untuk menambahkan rentang alamat IP ke aturan firewall akun penyimpanan adalah melalui portal Azure.
Temukan akun penyimpanan di portal dan buka Jaringan di panel navigasi kiri.
Di tab Firewall dan jaringan virtual, pilih Jaringan yang dipilih.
Tambahkan alamat IP yang diperoleh sebelumnya dalam rentang alamat dan pilih Simpan. Anda harus memiliki aturan untuk layanan pencarian, portal Azure (opsional), ditambah semua alamat IP untuk tag layanan "AzureCognitiveSearch" untuk wilayah Anda.
Diperlukan waktu lima hingga sepuluh menit agar aturan firewall diperbarui, setelah itu pengindeks harus dapat mengakses data akun penyimpanan di belakang firewall.