Een IP-firewall configureren voor Azure AI Search
Azure AI Search ondersteunt IP-regels voor binnenkomende toegang via een firewall, vergelijkbaar met de IP-regels die zijn gevonden in een virtuele Azure-netwerkbeveiligingsgroep. Door IP-regels toe te passen, kunt u de toegang tot services beperken tot een goedgekeurde set apparaten en cloudservices. Een IP-regel staat alleen de aanvraag toe via. Voor toegang tot gegevens en bewerkingen moet de aanroeper nog steeds een geldig autorisatietoken presenteren.
U kunt IP-regels instellen in De Azure-portal, zoals beschreven in dit artikel, of de Beheer REST API, Azure PowerShell of Azure CLI gebruiken.
Notitie
Als u toegang wilt krijgen tot een zoekservice die wordt beveiligd door een IP-firewall via de portal, staat u toegang toe vanaf een specifieke client en het IP-adres van de portal.
Vereisten
- Een zoekservice in de Basic-laag of hoger
IP-bereiken instellen in Azure Portal
Meld u aan bij Azure Portal en ga naar uw Azure AI Search-service-pagina.
Selecteer Netwerken in het linkernavigatiedeelvenster.
Openbare netwerktoegang instellen op geselecteerde netwerken. Als uw connectiviteit is ingesteld op Uitgeschakeld, hebt u alleen toegang tot uw zoekservice via een privé-eindpunt.
Azure Portal ondersteunt IP-adressen en IP-adresbereiken in de CIDR-indeling. Een voorbeeld van CIDR-notatie is 8.8.8.0/24, dat de IP-adressen vertegenwoordigt die variëren van 8.8.8.0 tot 8.8.8.255.
Selecteer Uw client-IP-adres toevoegen onder Firewall om een binnenkomende regel te maken voor het IP-adres van uw systeem.
Voeg andere CLIENT-IP-adressen toe voor andere machines, apparaten en services die aanvragen verzenden naar een zoekservice.
Nadat u het IP-toegangsbeheerbeleid voor uw Azure AI-Search-service hebt ingeschakeld, worden alle aanvragen voor het gegevensvlak van computers buiten de toegestane lijst met IP-adresbereiken geweigerd.
Geweigerde aanvragen
Wanneer aanvragen afkomstig zijn van IP-adressen die niet in de lijst met toegestane adressen voorkomen, wordt een algemeen antwoord 403 Verboden geretourneerd zonder andere details.
Toegang vanuit het IP-adres van Azure Portal toestaan
Wanneer IP-regels zijn geconfigureerd, worden sommige functies van Azure Portal uitgeschakeld. U kunt informatie op serviceniveau weergeven en beheren, maar portaltoegang tot indexen, indexeerfuncties en andere resources op het hoogste niveau is beperkt. U kunt portaltoegang tot het volledige scala aan zoekservicebewerkingen herstellen door toegang toe te staan vanaf het IP-adres van de portal en uw client-IP-adres.
Als u het IP-adres van de portal wilt ophalen, voert nslookup
u (of ping
) stamp2.ext.search.windows.net
uit, wat het domein van traffic manager is. Voor nslookup is het IP-adres zichtbaar in het gedeelte Niet-gezaghebbend antwoord van het antwoord.
In het volgende voorbeeld is 52.252.175.48
het IP-adres dat u moet kopiëren.
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
Wanneer services in verschillende regio's worden uitgevoerd, maken ze verbinding met verschillende traffic managers. Ongeacht de domeinnaam is het IP-adres dat wordt geretourneerd door de ping het juiste adres dat moet worden gebruikt bij het definiëren van een binnenkomende firewallregel voor de Azure-portal in uw regio.
Voor ping treedt er een time-out op voor de aanvraag, maar het IP-adres is zichtbaar in het antwoord. In het bericht "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"
is 52.252.175.48
het IP-adres bijvoorbeeld .
Het verstrekken van IP-adressen voor clients zorgt ervoor dat de aanvraag niet direct wordt geweigerd, maar voor een geslaagde toegang tot inhoud en bewerkingen is autorisatie ook nodig. Gebruik een van de volgende methodologieën om uw aanvraag te verifiëren:
- Verificatie op basis van sleutels, waarbij een beheerder of query-API-sleutel wordt opgegeven in de aanvraag
- Autorisatie op basis van rollen, waarbij de beller lid is van een beveiligingsrol in een zoekservice en de geregistreerde app een OAuth-token van Microsoft Entra-id presenteert.
Volgende stappen
Als uw clienttoepassing een statische web-app in Azure is, leert u hoe u het IP-bereik kunt bepalen voor opname in een IP-firewallregel voor een zoekservice.