Configurar regras de firewall de IP para permitir conexões do indexador no Azure AI Search

  • Artigo

Em nome de um indexador, um serviço de pesquisa emitirá chamadas de saída para um recurso externo do Azure para efetuar pull de dados durante a indexação. Se o recurso do Azure usar regras de firewall de IP para filtrar chamadas de entrada, você precisará criar uma regra de entrada no firewall que admite as solicitações do indexador.

Este artigo explica como localizar o endereço IP do serviço de pesquisa e configurar uma regra de IP de entrada em uma conta de Armazenamento do Microsoft Azure. Embora seja específica para o Armazenamento do Azure, essa abordagem também funciona para outros recursos do Azure que usam regras de firewall de IP para acesso a dados, como o Azure Cosmos DB e o SQL do Azure.

Observação

Uma conta de armazenamento e seu serviço de pesquisa deverão estar em regiões diferentes se você quiser definir regras de firewall de IP. Se a configuração não permitir isso, tente a exceção de serviço confiável ou a regra de instância de recurso.

Obter um endereço IP do serviço de pesquisa

  1. Obtenha o FQDN (nome de domínio totalmente qualificado) do seu serviço de pesquisa. Isso parece <search-service-name>.search.windows.net. Você pode encontrar o FQDN usando o serviço de pesquisa no portal do Azure.

    Screenshot of the search service Overview page.

  2. Procure o endereço IP do serviço de pesquisa executando um nslookup (ou um ping) do FQDN em um prompt de comando. Remova o prefixo "https://" do FQDN.

  3. Copie o endereço IP para que você possa especificá-lo em uma regra de entrada na próxima etapa. No exemplo a seguir, o endereço IP que você deve copiar é "150.0.0.1".

    nslookup contoso.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  contoso.search.windows.net

Permitir o acesso do endereço IP do cliente

Os aplicativos cliente que enviam a indexação e solicitações de consulta para o serviço de pesquisa devem ser representados em um intervalo de IP. No Azure, geralmente você pode determinar o endereço IP ao executar ping no FQDN de um serviço (por exemplo, ping <your-search-service-name>.search.windows.net retornará o endereço IP de um serviço de pesquisa).

Adicione o endereço IP do cliente para permitir o acesso ao serviço por meio do portal do Azure no computador atual. Navegue até a seção Rede no painel de navegação esquerdo. Altere o Acesso à Rede Pública para Redes selecionadas e, em seguida, deixe marcada a opção Adicionar o endereço IP do cliente em Firewall.

Screenshot of adding client ip to search service firewall

Obter o endereço IP do portal do Azure

Se estiver usando o portal ou o assistente de Importação de Dados para criar um indexador, precisará ter uma regra de entrada para o portal também.

Para obter o endereço IP do portal, execute nslookup (ou ping) em stamp2.ext.search.windows.net, que é o domínio do gerenciador de tráfego. Para o nslookup, o endereço IP fica visível na parte "Resposta não autoritativa" da resposta.

No exemplo a seguir, o endereço IP que você deve copiar é "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Os serviços em regiões diferentes se conectam a diferentes gerenciadores de tráfego. Independentemente do nome de domínio, o endereço IP retornado do ping é o correto a ser usado ao definir uma regra de firewall de entrada para o portal do Azure em sua região.

Para o ping, a solicitação atingirá o tempo limite, mas o endereço IP ficará visível na resposta. Por exemplo, na mensagem "Executando ping de azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", o endereço IP é "52.252.175.48".

Obtenha os endereços IP para a marca de serviço "AzureCognitiveSearch"

Você também precisará criar uma regra de entrada que permite solicitações do ambiente de execução multilocatário. Esse ambiente é gerenciado pela Microsoft e é usado para descarregar trabalhos com processamento intensivo que podem sobrecarregar o serviço de pesquisa. Esta seção explica como obter o intervalo de endereços IP necessários para criar essa regra de entrada.

Um intervalo de endereços IP é definido para cada região que dá suporte ao Azure AI Search. Você precisará especificar o intervalo completo para garantir o sucesso das solicitações originadas do ambiente de execução multilocatário.

Você pode obter esse intervalo de endereços IP da AzureCognitiveSearchmarca de serviço.

  1. Use a API de descoberta ou o arquivo JSON para download. Se o serviço de pesquisa é a nuvem do Azure Público, faça o download do arquivo JSON do Azure Público.

  2. Abra o arquivo JSON e pesquise "AzureCognitiveSearch". Se o serviço de pesquisa é executado no WestUS2, os endereços IP do ambiente de execução do indexador multilocatário são:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

  3. Se o endereço IP tem o sufixo "/32", descarte o "/32" (40.91.93.84/32 torna-se 40.91.93.84 na definição de regra). Todos os outros endereços IP podem ser usados literalmente.

  4. Copie todos os endereços IP para a região.

Adicionar endereços IP às regras de firewall de IP

Agora que você tem os endereços IP necessários, pode configurar as regras de entrada. A maneira mais fácil de adicionar intervalos de endereços IP à regra de firewall de uma conta de armazenamento é pelo portal do Azure.

  1. Localize a conta de armazenamento no portal e abra Rede no painel de navegação esquerdo.

  2. Na guia Firewall e redes virtuais, escolha Redes selecionadas.

    Screenshot of Azure Storage Firewall and virtual networks page

  3. Adicione os endereços IP obtidos anteriormente no intervalo de endereços e selecione Salvar. Você deve ter regras para o serviço de pesquisa, o portal do Azure (opcional), além de todos os endereços IP da marca de serviço "AzureCognitiveSearch" para sua região.

    Screenshot of the IP address section of the page.

As regras de firewall podem levar de cinco a 10 minutos para serem atualizadas. Depois desse tempo, os indexadores devem conseguir acessar os dados na conta de armazenamento atrás do firewall.

Próximas etapas