Konfigurowanie zapory ip dla usługi Azure AI Search

Usługa Azure AI Search obsługuje reguły adresów IP dla dostępu przychodzącego za pośrednictwem zapory, podobnie jak reguły adresów IP znalezione w grupie zabezpieczeń sieci wirtualnej platformy Azure. Stosując reguły adresów IP, można ograniczyć dostęp do zatwierdzonego zestawu urządzeń i usług w chmurze. Reguła adresu IP zezwala tylko na żądanie za pośrednictwem. Dostęp do danych i operacji nadal będzie wymagał od obiektu wywołującego przedstawienia prawidłowego tokenu autoryzacji.

Reguły adresów IP można ustawić w witrynie Azure Portal zgodnie z opisem w tym artykule lub użyć interfejsu API REST zarządzania, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Uwaga

Aby uzyskać dostęp do usługi wyszukiwania chronionej przez zaporę ip za pośrednictwem portalu, zezwól na dostęp z określonego klienta i adresu IP portalu.

Wymagania wstępne

• Usługa wyszukiwania w warstwie Podstawowa lub nowsza

Ustawianie zakresów adresów IP w witrynie Azure Portal

1. Zaloguj się do witryny Azure Portal i przejdź do strony usługi Azure AI usługa wyszukiwania.

2. Wybierz pozycję Sieć w okienku nawigacji po lewej stronie.

3. Ustaw pozycję Dostęp do sieci publicznej na wartość Wybrane sieci. Jeśli łączność jest ustawiona na Wartość Wyłączone, możesz uzyskać dostęp tylko do usługi wyszukiwania za pośrednictwem prywatnego punktu końcowego.

   

   Witryna Azure Portal obsługuje adresy IP i zakresy adresów IP w formacie CIDR. Przykładem notacji CIDR jest 8.8.8.0/24, która reprezentuje adresy IP z zakresu od 8.8.8.0 do 8.8.8.255.

4. Wybierz pozycję Dodaj adres IP klienta w obszarze Zapora , aby utworzyć regułę ruchu przychodzącego dla adresu IP systemu.

5. Dodaj inne adresy IP klienta dla innych maszyn, urządzeń i usług, które będą wysyłać żądania do usługi wyszukiwania.

Po włączeniu zasad kontroli dostępu do adresów IP dla usługa wyszukiwania usługi Azure AI wszystkie żądania do płaszczyzny danych z maszyn spoza dozwolonej listy zakresów adresów IP zostaną odrzucone.

Odrzucone żądania

Gdy żądania pochodzą z adresów IP, które nie znajdują się na liście dozwolonych, zwracana jest ogólna odpowiedź 403 Zabronione bez innych szczegółów.

Zezwalaj na dostęp z adresu IP witryny Azure Portal

Po skonfigurowaniu reguł adresów IP niektóre funkcje witryny Azure Portal są wyłączone. Można wyświetlać informacje o poziomie usług i zarządzać nimi, ale dostęp portalu do indeksów, indeksatorów i innych zasobów najwyższego poziomu jest ograniczony. Dostęp portalu można przywrócić do pełnego zakresu operacji usługi wyszukiwania, zezwalając na dostęp z adresu IP portalu i adresu IP klienta.

Aby uzyskać adres IP portalu, wykonaj ( nslookup lub ping) na stamp2.ext.search.windows.net, która jest domeną usługi Traffic Manager. W przypadku polecenia nslookup adres IP jest widoczny w części "Nieautorytatywna odpowiedź".

W poniższym przykładzie adres IP, który należy skopiować, to 52.252.175.48.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Gdy usługi działają w różnych regionach, łączą się z różnymi menedżerami ruchu. Niezależnie od nazwy domeny adres IP zwracany z polecenia ping jest poprawny do użycia podczas definiowania reguły zapory dla ruchu przychodzącego dla witryny Azure Portal w twoim regionie.

W przypadku polecenia ping żądanie zostanie przekroczone limit czasu, ale adres IP jest widoczny w odpowiedzi. Na przykład w komunikacie "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"adres IP to 52.252.175.48.

Podanie adresów IP dla klientów gwarantuje, że żądanie nie zostanie odrzucone wprost, ale w przypadku pomyślnego dostępu do zawartości i operacji autoryzacja jest również niezbędna. Aby uwierzytelnić żądanie, użyj jednej z następujących metodologii:

• Uwierzytelnianie oparte na kluczach, w którym na żądanie jest udostępniany klucz interfejsu API administratora lub zapytania
• Autoryzacja oparta na rolach, w której obiekt wywołujący jest członkiem roli zabezpieczeń w usłudze wyszukiwania, a zarejestrowana aplikacja przedstawia token OAuth z identyfikatora Entra firmy Microsoft.

Następne kroki

Jeśli aplikacja kliencka jest statyczną aplikacją internetową na platformie Azure, dowiedz się, jak określić zakres adresów IP do dołączania do reguły zapory adresu IP usługi wyszukiwania.

Przychodzące i wychodzące adresy IP w usłudze Azure App Service