Konfigurowanie reguł zapory adresów IP w celu zezwalania na połączenia indeksatora z usługi Azure AI Search

  • Artykuł

W imieniu indeksatora usługa wyszukiwania wystawia wywołania wychodzące do zewnętrznego zasobu platformy Azure w celu ściągania danych podczas indeksowania. Jeśli zasób platformy Azure używa reguł zapory IP do filtrowania wywołań przychodzących, musisz utworzyć regułę ruchu przychodzącego w zaporze, która przyznaje żądania indeksatora.

W tym artykule wyjaśniono, jak znaleźć adres IP usługi wyszukiwania i skonfigurować regułę przychodzącego adresu IP na koncie usługi Azure Storage. Chociaż jest to specyficzne dla usługi Azure Storage, to podejście działa również w przypadku innych zasobów platformy Azure, które używają reguł zapory adresów IP na potrzeby dostępu do danych, takich jak Azure Cosmos DB i Azure SQL.

Uwaga

Konto magazynu i usługa wyszukiwania muszą znajdować się w różnych regionach, jeśli chcesz zdefiniować reguły zapory adresów IP. Jeśli konfiguracja nie zezwala na to, spróbuj zamiast tego użyć wyjątku zaufanej usługi lub reguły wystąpienia zasobu.

Uzyskiwanie adresu IP usługi wyszukiwania

  1. Pobierz w pełni kwalifikowaną nazwę domeny (FQDN) usługi wyszukiwania. Wygląda to następująco: <search-service-name>.search.windows.net. Nazwę FQDN można znaleźć, wyszukując usługę wyszukiwania w witrynie Azure Portal.

    Screenshot of the search service Overview page.

  2. Wyszukaj adres IP usługi wyszukiwania, wykonując nslookup (lub ) pingnazwy FQDN w wierszu polecenia. Upewnij się, że usunięto prefiks "https://" z nazwy FQDN.

  3. Skopiuj adres IP, aby można było go określić w regule ruchu przychodzącego w następnym kroku. W poniższym przykładzie adres IP, który należy skopiować, to "150.0.0.1".

    nslookup contoso.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  contoso.search.windows.net

Zezwalaj na dostęp z adresu IP klienta

Aplikacje klienckie, które wypychają indeksowanie i odpytywanie żądań do usługi wyszukiwania, muszą być reprezentowane w zakresie adresów IP. Na platformie Azure zazwyczaj można określić adres IP, wysyłając polecenie ping do nazwy FQDN usługi (na przykład ping <your-search-service-name>.search.windows.net zwraca adres IP usługi wyszukiwania).

Dodaj adres IP klienta, aby zezwolić na dostęp do usługi z witryny Azure Portal na bieżącym komputerze. Przejdź do sekcji Sieć w okienku nawigacji po lewej stronie. Zmień pozycję Dostęp do sieci publicznej na Wybrane sieci, a następnie zaznacz pole Wyboru Dodaj adres IP klienta w obszarze Zapora.

Screenshot of adding client ip to search service firewall

Uzyskiwanie adresu IP witryny Azure Portal

Jeśli używasz portalu lub kreatora importu danych do utworzenia indeksatora, potrzebujesz również reguły ruchu przychodzącego dla portalu.

Aby uzyskać adres IP portalu, wykonaj ( nslookup lub ping) na stamp2.ext.search.windows.net, która jest domeną usługi Traffic Manager. W przypadku polecenia nslookup adres IP jest widoczny w części "Nieautorytatywna odpowiedź".

W poniższym przykładzie adres IP, który należy skopiować, to "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Usługi w różnych regionach łączą się z różnymi menedżerami ruchu. Niezależnie od nazwy domeny adres IP zwracany z polecenia ping jest poprawny do użycia podczas definiowania reguły zapory dla ruchu przychodzącego dla witryny Azure Portal w twoim regionie.

W przypadku polecenia ping limit czasu żądania, ale adres IP jest widoczny w odpowiedzi. Na przykład w komunikacie "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" adres IP to "52.252.175.48".

Uzyskiwanie adresów IP dla tagu usługi "AzureCognitiveSearch"

Należy również utworzyć regułę ruchu przychodzącego, która zezwala na żądania ze środowiska wykonywania wielu dzierżaw. To środowisko jest zarządzane przez firmę Microsoft i służy do odciążania zadań intensywnie korzystających z przetwarzania, które mogłyby w przeciwnym razie przeciążyć usługę wyszukiwania. W tej sekcji wyjaśniono, jak uzyskać zakres adresów IP potrzebnych do utworzenia tej reguły ruchu przychodzącego.

Zakres adresów IP jest definiowany dla każdego regionu obsługującego usługę Azure AI Search. Określ pełny zakres, aby zapewnić powodzenie żądań pochodzących ze środowiska wykonywania wielu dzierżaw.

Ten zakres adresów IP można uzyskać z tagu AzureCognitiveSearch usługi.

  1. Użyj interfejsu API odnajdywania lub pliku JSON, który można pobrać. Jeśli usługa wyszukiwania jest chmurą publiczną platformy Azure, pobierz plik JSON platformy Azure.

  2. Otwórz plik JSON i wyszukaj ciąg "AzureCognitiveSearch". W przypadku usługi wyszukiwania w systemie WestUS2 adresy IP środowiska wykonywania indeksatora z wieloma dzierżawami to:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

  3. W przypadku adresów IP sufiks "/32" upuść wartość "/32" (40.91.93.84/32 staje się 40.91.93.84 w definicji reguły). Wszystkie inne adresy IP mogą być używane dosłownie.

  4. Skopiuj wszystkie adresy IP dla regionu.

Dodawanie adresów IP do reguł zapory adresów IP

Teraz, gdy masz niezbędne adresy IP, możesz skonfigurować reguły ruchu przychodzącego. Najprostszym sposobem dodania zakresów adresów IP do reguły zapory konta magazynu jest użycie witryny Azure Portal.

  1. Znajdź konto magazynu w portalu i otwórz pozycję Sieć w okienku nawigacji po lewej stronie.

  2. Na karcie Zapora i sieci wirtualne wybierz pozycję Wybrane sieci.

    Screenshot of Azure Storage Firewall and virtual networks page

  3. Dodaj adresy IP uzyskane wcześniej w zakresie adresów i wybierz pozycję Zapisz. Musisz mieć reguły dla usługi wyszukiwania, witryny Azure Portal (opcjonalnie) oraz wszystkich adresów IP tagu usługi "AzureCognitiveSearch" dla twojego regionu.

    Screenshot of the IP address section of the page.

Zaktualizowanie reguł zapory może potrwać od pięciu do dziesięciu minut. Po upływie tego czasu indeksatory powinny mieć dostęp do danych konta magazynu za zaporą.

Następne kroki