Een IP-firewall configureren voor Azure AI Search

  • Artikel

Azure AI Search ondersteunt IP-regels voor binnenkomende toegang via een firewall, vergelijkbaar met de IP-regels die zijn gevonden in een virtuele Azure-netwerkbeveiligingsgroep. Door IP-regels toe te passen, kunt u de toegang tot services beperken tot een goedgekeurde set apparaten en cloudservices. Een IP-regel staat alleen de aanvraag toe via. Voor toegang tot gegevens en bewerkingen moet de aanroeper nog steeds een geldig autorisatietoken presenteren.

U kunt IP-regels instellen in De Azure-portal, zoals beschreven in dit artikel, of de Beheer REST API, Azure PowerShell of Azure CLI gebruiken.

Notitie

Als u toegang wilt krijgen tot een zoekservice die wordt beveiligd door een IP-firewall via de portal, staat u toegang toe vanaf een specifieke client en het IP-adres van de portal.

Vereisten

  • Een zoekservice in de Basic-laag of hoger

IP-bereiken instellen in Azure Portal

  1. Meld u aan bij Azure Portal en ga naar uw Azure AI Search-service-pagina.

  2. Selecteer Netwerken in het linkernavigatiedeelvenster.

  3. Openbare netwerktoegang instellen op geselecteerde netwerken. Als uw connectiviteit is ingesteld op Uitgeschakeld, hebt u alleen toegang tot uw zoekservice via een privé-eindpunt.

    Screenshot showing how to configure the IP firewall in the Azure portal.

    Azure Portal ondersteunt IP-adressen en IP-adresbereiken in de CIDR-indeling. Een voorbeeld van CIDR-notatie is 8.8.8.0/24, dat de IP-adressen vertegenwoordigt die variëren van 8.8.8.0 tot 8.8.8.255.

  4. Selecteer Uw client-IP-adres toevoegen onder Firewall om een binnenkomende regel te maken voor het IP-adres van uw systeem.

  5. Voeg andere CLIENT-IP-adressen toe voor andere machines, apparaten en services die aanvragen verzenden naar een zoekservice.

Nadat u het IP-toegangsbeheerbeleid voor uw Azure AI-Search-service hebt ingeschakeld, worden alle aanvragen voor het gegevensvlak van computers buiten de toegestane lijst met IP-adresbereiken geweigerd.

Geweigerde aanvragen

Wanneer aanvragen afkomstig zijn van IP-adressen die niet in de lijst met toegestane adressen voorkomen, wordt een algemeen antwoord 403 Verboden geretourneerd zonder andere details.

Toegang vanuit het IP-adres van Azure Portal toestaan

Wanneer IP-regels zijn geconfigureerd, worden sommige functies van Azure Portal uitgeschakeld. U kunt informatie op serviceniveau weergeven en beheren, maar portaltoegang tot indexen, indexeerfuncties en andere resources op het hoogste niveau is beperkt. U kunt portaltoegang tot het volledige scala aan zoekservicebewerkingen herstellen door toegang toe te staan vanaf het IP-adres van de portal en uw client-IP-adres.

Als u het IP-adres van de portal wilt ophalen, voert nslookup u (of ping) stamp2.ext.search.windows.netuit, wat het domein van traffic manager is. Voor nslookup is het IP-adres zichtbaar in het gedeelte Niet-gezaghebbend antwoord van het antwoord.

In het volgende voorbeeld is 52.252.175.48het IP-adres dat u moet kopiëren.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Wanneer services in verschillende regio's worden uitgevoerd, maken ze verbinding met verschillende traffic managers. Ongeacht de domeinnaam is het IP-adres dat wordt geretourneerd door de ping het juiste adres dat moet worden gebruikt bij het definiëren van een binnenkomende firewallregel voor de Azure-portal in uw regio.

Voor ping treedt er een time-out op voor de aanvraag, maar het IP-adres is zichtbaar in het antwoord. In het bericht "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"is 52.252.175.48het IP-adres bijvoorbeeld .

Het verstrekken van IP-adressen voor clients zorgt ervoor dat de aanvraag niet direct wordt geweigerd, maar voor een geslaagde toegang tot inhoud en bewerkingen is autorisatie ook nodig. Gebruik een van de volgende methodologieën om uw aanvraag te verifiëren:

  • Verificatie op basis van sleutels, waarbij een beheerder of query-API-sleutel wordt opgegeven in de aanvraag
  • Autorisatie op basis van rollen, waarbij de beller lid is van een beveiligingsrol in een zoekservice en de geregistreerde app een OAuth-token van Microsoft Entra-id presenteert.

Volgende stappen

Als uw clienttoepassing een statische web-app in Azure is, leert u hoe u het IP-bereik kunt bepalen voor opname in een IP-firewallregel voor een zoekservice.

Inkomende en uitgaande IP-adressen in Azure App Service