Indexeerfunctietoegang tot inhoud die wordt beveiligd door Azure-netwerkbeveiliging

Artikel
05/03/2024

Als uw Azure-resources worden geïmplementeerd in een virtueel Azure-netwerk, wordt in dit conceptartikel uitgelegd hoe een zoekindexeerfunctie toegang heeft tot inhoud die wordt beveiligd door netwerkbeveiliging. Hierin worden de uitgaande verkeerspatronen en uitvoeringsomgevingen van de indexeerfunctie beschreven. Het omvat ook de netwerkbeveiligingen die worden ondersteund door Azure AI Search en factoren die van invloed kunnen zijn op uw beveiligingsstrategie. Ten slotte, omdat Azure Storage wordt gebruikt voor zowel gegevenstoegang als permanente opslag, wordt in dit artikel ook aandacht besteed aan netwerkoverwegingen die specifiek zijn voor zoeken en opslagconnectiviteit.

Zoekt u in plaats daarvan stapsgewijze instructies? Zie Firewallregels configureren om toegang tot indexeerfuncties toe te staan of uitgaande verbindingen tot stand te brengen via een privé-eindpunt.

Resources die worden geopend door indexeerfuncties

Indexeerfuncties van Azure AI Search kunnen in drie situaties uitgaande aanroepen naar verschillende Azure-resources uitvoeren:

Verbinding maken ies naar externe gegevensbronnen tijdens het indexeren
Verbinding maken ions naar externe, ingekapselde code via een vaardighedenset die aangepaste vaardigheden bevat
Verbinding maken ions naar Azure Storage tijdens de uitvoering van de vaardighedenset om verrijkingen in de cache op te slaan, foutopsporingssessiestatus op te slaan of naar een kennisarchief te schrijven

In de onderstaande tabel vindt u een lijst met alle mogelijke Azure-resourcetypen waartoe een indexeerfunctie toegang kan krijgen in een typische uitvoering.

Bron	Doel binnen de indexeerfunctieuitvoering
Azure Storage (blobs, ADLS Gen 2, bestanden, tabellen)	Gegevensbron
Azure Storage (blobs, tabellen)	Vaardighedensets (verrijkingen in cache opslaan, foutopsporingssessies, projecties van kennisarchieven)
Azure Cosmos DB (verschillende API's)	Gegevensbron
Azure SQL-database	Gegevensbron
SQL Server op virtuele machines in Azure	Gegevensbron
SQL Managed Instance	Gegevensbron
Azure Functions	Gekoppeld aan een vaardighedenset en gebruikt om te hosten voor aangepaste web-API-vaardigheden

Notitie

Een indexeerfunctie maakt ook verbinding met Azure AI-services voor ingebouwde vaardigheden. Deze verbinding wordt echter gemaakt via het interne netwerk en is niet onderworpen aan netwerkvoorzieningen die onder uw controle vallen.

Indexeerfuncties maken verbinding met resources met behulp van de volgende methoden:

Een openbaar eindpunt met referenties
Een privé-eindpunt met behulp van Azure Private Link
Verbinding maken als een vertrouwde service
Verbinding maken via IP-adressering

Als uw Azure-resource zich in een virtueel netwerk bevindt, moet u een privé-eindpunt of IP-adressering gebruiken om indexeerverbindingen met de gegevens toe te staan.

Ondersteunde netwerkbeveiligingen

Uw Azure-resources kunnen worden beveiligd met behulp van een willekeurig aantal netwerkisolatiemechanismen die door Azure worden aangeboden. Afhankelijk van de resource en regio kunnen Azure AI Search-indexeerfuncties uitgaande verbindingen maken via IP-firewalls en privé-eindpunten, afhankelijk van de beperkingen die in de volgende tabel worden aangegeven.

Bron	IP-beperking	Privé-eindpunt
Azure Storage voor op tekst gebaseerde indexering (blobs, ADLS Gen 2, bestanden, tabellen)	Alleen ondersteund als het opslagaccount en de zoekservice zich in verschillende regio's bevinden.	Ondersteund
Azure Storage voor AI-verrijking (caching, foutopsporingssessies, kennisarchief)	Alleen ondersteund als het opslagaccount en de zoekservice zich in verschillende regio's bevinden.	Ondersteund
Azure Cosmos DB voor NoSQL	Ondersteund	Ondersteund
Azure Cosmos DB voor MongoDB	Ondersteund	Niet ondersteund
Azure Cosmos DB voor Apache Gremlin	Ondersteund	Niet ondersteund
Azure SQL-database	Ondersteund	Ondersteund
SQL Server op virtuele machines in Azure	Ondersteund	N.v.t.
SQL Managed Instance	Ondersteund	N.v.t.
Azure Functions	Ondersteund	Ondersteund, alleen voor bepaalde lagen van Azure-functies

Uitvoeringsomgeving voor indexeerfunctie

Azure AI Search heeft het concept van een uitvoeringsomgeving voor indexeerfuncties die de verwerking optimaliseert op basis van de kenmerken van de taak. Er zijn twee omgevingen. Als u een IP-firewall gebruikt om de toegang tot Azure-resources te beheren, kunt u met kennis over uitvoeringsomgevingen een IP-bereik instellen dat uit beide omgevingen bestaat.

Voor elke uitvoering van een indexeerfunctie bepaalt Azure AI Search de beste omgeving waarin de indexeerfunctie moet worden uitgevoerd. Afhankelijk van het aantal en de typen taken die zijn toegewezen, wordt de indexeerfunctie uitgevoerd in een van de twee omgevingen.

Uitvoeringsomgeving	Beschrijving
Privé	Intern voor een zoekservice. Indexeerfuncties die in de privéomgeving worden uitgevoerd, delen computingresources met andere indexerings- en queryworkloads op dezelfde zoekservice. Normaal gesproken worden alleen indexeerfuncties die op tekst gebaseerde indexering (zonder vaardighedensets) uitvoeren in deze omgeving. Als u een privéverbinding instelt tussen een indexeerfunctie en uw gegevens, is dit de enige uitvoeringsprivnment die u kunt gebruiken.
multitenant	Beheerd en beveiligd door Microsoft zonder extra kosten. Het is niet onderhevig aan netwerkvoorzieningen die onder uw controle vallen. Deze omgeving wordt gebruikt voor het offloaden van rekenintensieve verwerking, waardoor servicespecifieke resources beschikbaar blijven voor routinebewerkingen. Voorbeelden van resource-intensieve indexeerfuncties zijn het koppelen van vaardighedensets, het verwerken van grote documenten of het verwerken van een groot aantal documenten.

Uitvoeringsomgeving

Beschrijving

Privé

Intern voor een zoekservice. Indexeerfuncties die in de privéomgeving worden uitgevoerd, delen computingresources met andere indexerings- en queryworkloads op dezelfde zoekservice. Normaal gesproken worden alleen indexeerfuncties die op tekst gebaseerde indexering (zonder vaardighedensets) uitvoeren in deze omgeving. Als u een privéverbinding instelt tussen een indexeerfunctie en uw gegevens, is dit de enige uitvoeringsprivnment die u kunt gebruiken.

multitenant

Beheerd en beveiligd door Microsoft zonder extra kosten. Het is niet onderhevig aan netwerkvoorzieningen die onder uw controle vallen. Deze omgeving wordt gebruikt voor het offloaden van rekenintensieve verwerking, waardoor servicespecifieke resources beschikbaar blijven voor routinebewerkingen. Voorbeelden van resource-intensieve indexeerfuncties zijn het koppelen van vaardighedensets, het verwerken van grote documenten of het verwerken van een groot aantal documenten.

In de volgende sectie wordt de IP-configuratie uitgelegd voor het toelaten van aanvragen vanuit een van beide uitvoeringsomgevingen.

IP-bereiken instellen voor de uitvoering van de indexeerfunctie

Als uw Azure-resource zich achter een firewall bevindt, stelt u binnenkomende regels in waarmee indexeerverbindingen worden toegegeven voor alle IP-adressen waarvan een indexeerfunctieaanvraag afkomstig kan zijn. Dit omvat het IP-adres dat wordt gebruikt door de zoekservice en de IP-adressen die worden gebruikt door de omgeving met meerdere tenants.

Als u het IP-adres van de zoekservice (en de privé-uitvoeringsomgeving) wilt ophalen, gebruikt nslookup u (of ping) om de FQDN (Fully Qualified Domain Name) van uw zoekservice te vinden. De FQDN van een zoekservice in de openbare cloud zou zijn <service-name>.search.windows.net.
Gebruik de AzureCognitiveSearch servicetag om de IP-adressen te verkrijgen van de omgevingen met meerdere tenants waarin een indexeerfunctie kan worden uitgevoerd.

Azure-servicetags hebben een gepubliceerd bereik met IP-adressen van de multitenant-omgevingen voor elke regio. U vindt deze IP-adressen met behulp van de detectie-API of een downloadbaar JSON-bestand. IP-bereiken worden toegewezen per regio, dus controleer uw zoekserviceregio voordat u begint.

IP-regels instellen voor Azure SQL

Bij het instellen van de IP-regel voor de omgeving met meerdere tenants ondersteunen bepaalde SQL-gegevensbronnen een eenvoudige benadering voor IP-adresspecificatie. In plaats van alle IP-adressen in de regel op te sommen, kunt u een regel voor netwerkbeveiligingsgroepen maken waarmee de AzureCognitiveSearch servicetag wordt opgegeven.

U kunt de servicetag opgeven als uw gegevensbron een van de volgende opties is:

Als u de servicetag voor de IP-regel voor de multitenant-omgeving hebt opgegeven, hebt u nog steeds een expliciete binnenkomende regel nodig voor de privé-uitvoeringsomgeving (wat betekent de zoekservice zelf), zoals verkregen via nslookup.

Een connectiviteitsbenadering kiezen

Een zoekservice kan niet worden ingericht in een specifiek virtueel netwerk, dat systeemeigen wordt uitgevoerd op een virtuele machine. Hoewel sommige Azure-resources service-eindpunten voor virtuele netwerken bieden, wordt deze functionaliteit niet aangeboden door Azure AI Search. U moet van plan zijn een van de volgende methoden te implementeren.

Methode	DETAILS
Binnenkomende verbinding met uw Azure-resource	Configureer een binnenkomende firewallregel voor uw Azure-resource waarmee indexeeraanvragen voor uw gegevens worden toegegeven. Uw firewallconfiguratie moet de servicetag bevatten voor het uitvoeren van meerdere tenants en het IP-adres van uw zoekservice.
Privéverbinding tussen Azure AI Search en uw Azure-resource	Configureer een gedeelde privékoppeling die uitsluitend door uw zoekservice wordt gebruikt voor verbindingen met uw resource. Verbinding maken ionen reizen via het interne netwerk en omzeilen het openbare internet. Als uw resources volledig zijn vergrendeld (uitgevoerd op een beveiligd virtueel netwerk of anderszins niet beschikbaar zijn via een openbare verbinding), is een privé-eindpunt uw enige keuze. Zie Uitgaande verbindingen maken via een privé-eindpunt.

Methode

DETAILS

Binnenkomende verbinding met uw Azure-resource

Configureer een binnenkomende firewallregel voor uw Azure-resource waarmee indexeeraanvragen voor uw gegevens worden toegegeven. Uw firewallconfiguratie moet de servicetag bevatten voor het uitvoeren van meerdere tenants en het IP-adres van uw zoekservice.

Privéverbinding tussen Azure AI Search en uw Azure-resource

Configureer een gedeelde privékoppeling die uitsluitend door uw zoekservice wordt gebruikt voor verbindingen met uw resource. Verbinding maken ionen reizen via het interne netwerk en omzeilen het openbare internet. Als uw resources volledig zijn vergrendeld (uitgevoerd op een beveiligd virtueel netwerk of anderszins niet beschikbaar zijn via een openbare verbinding), is een privé-eindpunt uw enige keuze. Zie Uitgaande verbindingen maken via een privé-eindpunt.

Verbinding maken ions via een privé-eindpunt moeten afkomstig zijn van de privé-uitvoeringsomgeving van de zoekservice.

Het configureren van een IP-firewall is gratis. Een privé-eindpunt, dat is gebaseerd op Azure Private Link, heeft een invloed op de facturering. Zie prijzen voor Azure Private Link voor meer informatie.

Nadat u netwerkbeveiliging hebt geconfigureerd, volgt u roltoewijzingen op die aangeven welke gebruikers en groepen lees- en schrijftoegang hebben tot uw gegevens en bewerkingen.

Overwegingen voor het gebruik van een privé-eindpunt

In deze sectie wordt de optie voor privéverbindingen beperkt.

Voor een gedeelde privékoppeling is een factureerbare zoekservice vereist, waarbij de minimumlaag Basic is voor indexering op basis van tekst of Standard 2 (S2) voor indexering op basis van vaardigheden. Zie laaglimieten voor het aantal privé-eindpunten voor meer informatie.

Zodra een gedeelde privékoppeling is gemaakt, gebruikt de zoekservice deze altijd voor elke indexeerfunctieverbinding met die specifieke Azure-resource. De privéverbinding wordt intern vergrendeld en afgedwongen. U kunt de privéverbinding voor een openbare verbinding niet omzeilen.
Hiervoor is een factureerbare Azure Private Link-resource vereist.
Vereist dat een abonnementseigenaar de verbinding met het privé-eindpunt goedkeurt.
Hiervoor moet u de uitvoeringsomgeving voor meerdere tenants uitschakelen voor de indexeerfunctie.

U doet dit door de executionEnvironment indexeerfunctie in te stellen op "Private". Deze stap zorgt ervoor dat alle uitvoering van de indexeerfunctie is beperkt tot de privéomgeving die is ingericht in de zoekservice. Deze instelling is gericht op een indexeerfunctie en niet op de zoekservice. Als u wilt dat alle indexeerfuncties verbinding maken via privé-eindpunten, moet elke indexeerfunctie de volgende configuratie hebben:
```
    {
      "name" : "myindexer",
      ... other indexer properties
      "parameters" : {
          ... other parameters
          "configuration" : {
            ... other configuration properties
            "executionEnvironment": "Private"
          }
        }
    }
```

Zodra u een goedgekeurd privé-eindpunt voor een resource hebt, worden indexeerfuncties die zijn ingesteld op privépoging om toegang te verkrijgen via de privékoppeling die is gemaakt en goedgekeurd voor de Azure-resource.

Azure AI Search valideert dat bellers van het privé-eindpunt de juiste roltoewijzingen hebben. Als u bijvoorbeeld een privé-eindpuntverbinding aanvraagt met een opslagaccount met alleen-lezenmachtigingen, wordt deze aanroep geweigerd.

Als het privé-eindpunt niet is goedgekeurd of als de indexeerfunctie de privé-eindpuntverbinding niet heeft gebruikt, ziet u een transientFailure foutbericht in de uitvoeringsgeschiedenis van de indexeerfunctie.

Netwerkbeveiliging aanvullen met tokenverificatie

Firewalls en netwerkbeveiliging zijn een eerste stap bij het voorkomen van onbevoegde toegang tot gegevens en bewerkingen. Autorisatie moet uw volgende stap zijn.

We raden aan op rollen gebaseerde toegang, waarbij Microsoft Entra ID-gebruikers en -groepen worden toegewezen aan rollen die lees- en schrijftoegang tot uw service bepalen. Zie Verbinding maken naar Azure AI Search met behulp van op rollen gebaseerde toegangsbeheer voor een beschrijving van ingebouwde rollen en instructies voor het maken van aangepaste rollen.

Als u geen verificatie op basis van sleutels nodig hebt, raden we u aan API-sleutels uit te schakelen en uitsluitend roltoewijzingen te gebruiken.

Toegang tot een met netwerk beveiligd opslagaccount

Een zoekservice slaat indexen en synoniemenlijsten op. Voor andere functies waarvoor opslag is vereist, heeft Azure AI Search een afhankelijkheid van Azure Storage. Verrijkingscache, foutopsporingssessies en kennisarchieven vallen in deze categorie. De locatie van elke service en eventuele netwerkbeveiligingen voor opslag bepalen uw strategie voor gegevenstoegang.

Services in dezelfde regio

Voor toegang via een firewall in Azure Storage is vereist dat de aanvraag afkomstig is van een andere regio. Als Azure Storage en Azure AI Search zich in dezelfde regio bevinden, kunt u de IP-beperkingen voor het opslagaccount omzeilen door toegang te krijgen tot gegevens onder de systeemidentiteit van de zoekservice.

Er zijn twee opties voor het ondersteunen van gegevenstoegang met behulp van de systeemidentiteit:

Configureer de zoekfunctie om te worden uitgevoerd als een vertrouwde service en gebruik de uitzondering voor vertrouwde services in Azure Storage.
Configureer een regel voor een resource-exemplaar in Azure Storage waarmee binnenkomende aanvragen van een Azure-resource worden toegegeven.

De bovenstaande opties zijn afhankelijk van de Microsoft Entra-id voor verificatie. Dit betekent dat de verbinding moet worden gemaakt met een Microsoft Entra-aanmelding. Op dit moment wordt alleen een door het Azure AI Search-systeem toegewezen beheerde identiteit ondersteund voor verbindingen met dezelfde regio via een firewall.

Services in verschillende regio's

Wanneer zoeken en opslag zich in verschillende regio's bevinden, kunt u de eerder genoemde opties gebruiken of IP-regels instellen waarmee aanvragen van uw service worden toegestaan. Afhankelijk van de workload moet u mogelijk regels instellen voor meerdere uitvoeringsomgevingen, zoals beschreven in de volgende sectie.

Volgende stappen

Nu u bekend bent met opties voor toegang tot indexeerfuncties voor gegevenstoegang voor oplossingen die zijn geïmplementeerd in een virtueel Azure-netwerk, raadpleegt u een van de volgende artikelen als uw volgende stap: