Configurar um firewall de IP para o Azure AI Search

A Pesquisa de IA do Azure dá suporte a regras de IP para acesso de entrada por meio de um firewall, semelhante às regras de IP encontradas em um grupo de segurança de rede virtual do Azure. Ao aplicar regras de IP, você pode restringir o acesso ao serviço a um conjunto aprovado de dispositivos e serviços de nuvem. Uma regra de IP só permite a solicitação através. O acesso aos dados e operações ainda exigirá que o chamador apresente um token de autorização válido.

Você pode definir regras de IP no portal do Azure, conforme descrito neste artigo, ou usar a API REST de Gerenciamento, o Azure PowerShell ou a CLI do Azure.

Observação

Para acessar um serviço de pesquisa protegido por um firewall de IP por meio do portal, permita o acesso de um cliente específico e do endereço IP do portal.

Pré-requisitos

• Um serviço de pesquisa na camada Básica ou superior

Definir intervalos de IP de entrada no portal do Azure

1. Entre no portal do Azure e vá para a página de serviço do Azure AI Search.

2. Selecione Rede no painel de navegação esquerdo.

3. Defina Acesso à rede pública como Redes selecionadas. Se a conectividade estiver definida como Desabilitada, você só poderá acessar o serviço de pesquisa por meio de um ponto de extremidade privado.

   

   O portal do Azure dá suporte a endereços IP e intervalos de endereços IP no formato CIDR. Um exemplo de notação CIDR é 8.8.8.0/24, que representa os IPs que variam de 8.8.8.0 a 8.8.8.255.

4. Selecione Adicionar o endereço IP do cliente em Firewall para criar uma regra de entrada para o endereço IP do sistema.

5. Adicione outros endereços IP do cliente para outros computadores, dispositivos e serviços que enviarão solicitações para um serviço de pesquisa.

Depois de habilitar a política de controle de acesso IP para seu serviço do Azure AI Search, todas as solicitações para o plano de dados de computadores fora da lista permitida de intervalos de endereços IP são rejeitadas.

Solicitações rejeitadas

Quando as solicitações se originam de endereços IP que não estão na lista de permissões, uma resposta genérica 403 Proibido é retornada sem outros detalhes.

Permitir acesso do endereço IP do portal do Azure

Quando as regras de IP são configuradas, alguns recursos do portal do Azure são desabilitados. Você pode exibir e gerenciar informações de nível de serviço, mas o acesso do portal a índices, indexadores e outros recursos de nível superior é restrito. Você pode restaurar o acesso ao portal para toda a gama de operações de serviço de pesquisa permitindo o acesso do endereço IP do portal e do endereço IP do cliente.

Para obter o endereço IP do portal, execute nslookup (ou ping) em stamp2.ext.search.windows.net, que é o domínio do gerenciador de tráfego. Para o nslookup, o endereço IP fica visível na parte "Resposta não autoritativa" da resposta.

No exemplo a seguir, o endereço IP que você deve copiar é 52.252.175.48.

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Quando os serviços são executados em regiões diferentes, eles se conectam a diferentes gerenciadores de tráfego. Independentemente do nome de domínio, o endereço IP retornado do ping é o correto a ser usado ao definir uma regra de firewall de entrada para o portal do Azure em sua região.

Para ping, a solicitação expirará, mas o endereço IP estará visível na resposta. Por exemplo, na mensagem "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", o endereço IP é 52.252.175.48.

O fornecimento de endereços IP para clientes garante que a solicitação não seja totalmente rejeitada, mas para ter acesso bem-sucedido ao conteúdo e às operações, a autorização também é necessária. Use uma das seguintes metodologias para autenticar sua solicitação:

• Autenticação baseada em chave, em que uma chave de API de administrador ou de consulta é fornecida na solicitação
• Autorização baseada em função, em que o chamador é membro de uma função de segurança em um serviço de pesquisa, e o aplicativo registrado apresenta um token OAuth do Microsoft Entra ID.

Próximas etapas

Se seu aplicativo cliente for um aplicativo Web estático no Azure, saiba como determinar seu intervalo de IP para inclusão em uma regra de firewall de IP do serviço de pesquisa.

Endereços IP de entrada e saída no Serviço de Aplicativo do Azure