Konfigurera nätverksåtkomst och brandväggsregler för Azure AI Search
Den här artikeln beskriver hur du begränsar nätverksåtkomsten till en söktjänsts offentliga slutpunkt. Om du vill blockera all dataplansåtkomst till den offentliga slutpunkten använder du privata slutpunkter och ett virtuellt Azure-nätverk.
Den här artikeln förutsätter Azure Portal för att konfigurera alternativ för nätverksåtkomst. Du kan också använda REST API för hantering, Azure PowerShell eller Azure CLI.
Förutsättningar
En söktjänst, valfri region, på basic-nivån eller högre
Behörigheter för ägare eller deltagare
När du ska konfigurera nätverksåtkomst
Som standard är Azure AI Search konfigurerat för att tillåta anslutningar via en offentlig slutpunkt. Åtkomst till en söktjänst via den offentliga slutpunkten skyddas av autentiserings- och auktoriseringsprotokoll, men själva slutpunkten är öppen för Internet på nätverksskiktet för dataplansbegäranden.
Om du inte är värd för en offentlig webbplats kanske du vill konfigurera nätverksåtkomst för att automatiskt neka begäranden om de inte kommer från en godkänd uppsättning enheter och molntjänster.
Det finns två mekanismer för att begränsa åtkomsten till den offentliga slutpunkten:
- Regler för inkommande trafik som visar IP-adresser, intervall eller undernät från vilka begäranden tas emot
- Undantag från nätverksregler, där begäranden tillåts utan kontroller, så länge begäran kommer från en betrodd tjänst
Nätverksregler krävs inte, men det är en säkerhetsmetod att lägga till dem om du använder Azure AI Search för att visa privat eller internt företagsinnehåll.
Nätverksregler är begränsade till dataplansåtgärder mot söktjänstens offentliga slutpunkt. Dataplansåtgärder omfattar att skapa eller köra frågor mot index och alla andra åtgärder som beskrivs av REST-API:erna för sökning. Kontrollplansdriftens måltjänstadministration. Dessa åtgärder anger resursproviderns slutpunkter, som omfattas av de nätverksskydd som stöds av Azure Resource Manager.
Begränsningar
Det finns några nackdelar med att låsa den offentliga slutpunkten.
Det tar tid att helt identifiera IP-intervall och konfigurera brandväggar, och om du befinner dig i ett tidigt skede av test och undersökning av konceptbevis och använder exempeldata kanske du vill skjuta upp nätverksåtkomstkontroller tills du faktiskt behöver dem.
Vissa arbetsflöden kräver åtkomst till en offentlig slutpunkt. Mer specifikt ansluter importguiderna i Azure Portal till inbyggda (värdbaserade) exempeldata och inbäddningsmodeller över den offentliga slutpunkten. Du kan växla till kod eller skript för att utföra samma uppgifter när brandväggsregler är på plats, men om du vill köra guiderna måste den offentliga slutpunkten vara tillgänglig. Mer information finns i Säkra anslutningar i importguiderna.
Konfigurera nätverksåtkomst i Azure Portal
Logga in för att Azure Portal och hitta söktjänsten.
Under Inställningar väljer du Nätverk i det vänstra fönstret. Om du inte ser det här alternativet kontrollerar du tjänstnivån. Nätverksalternativ är tillgängliga på basic-nivån och högre.
Välj Valda IP-adresser. Undvik alternativet Inaktiverad om du inte konfigurerar en privat slutpunkt.
Fler inställningar blir tillgängliga när du väljer det här alternativet.
Under IP-brandväggen väljer du Lägg till klientens IP-adress för att skapa en regel för inkommande trafik för den offentliga IP-adressen för din personliga enhet. Mer information finns i Tillåt åtkomst från Azure Portal IP-adress.
Lägg till andra klient-IP-adresser för andra enheter och tjänster som skickar begäranden till en söktjänst.
IP-adresser och intervall är i CIDR-format. Ett exempel på CIDR-notation är 8.8.8.0/24, som representerar IP-adresser som sträcker sig från 8.8.8.0 till 8.8.8.255.
Om din sökklient är en statisk webbapp i Azure läser du Inkommande och utgående IP-adresser i Azure App Service. Information om Azure-funktioner finns i IP-adresser i Azure Functions.
Under Undantag väljer du Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till den här söktjänsten. Listan över betrodda tjänster innehåller:
Microsoft.CognitiveServicesför Azure OpenAI- och Azure AI-tjänsterMicrosoft.MachineLearningServicesför Azure Machine Learning
När du aktiverar det här undantaget är du beroende av Microsoft Entra-ID-autentisering, hanterade identiteter och rolltilldelningar. Alla Azure AI-tjänster eller AML-funktioner som har en giltig rolltilldelning i söktjänsten kan kringgå brandväggen. Mer information finns i Bevilja åtkomst till betrodda tjänster .
Spara dina ändringar.
När du har aktiverat principen för IP-åtkomstkontroll för din Azure AI-tjänsten Search avvisas alla begäranden till dataplanet från datorer utanför den tillåtna listan över IP-adressintervall.
När begäranden kommer från IP-adresser som inte finns i listan över tillåtna, returneras ett allmänt 403-förbjudet svar utan någon annan information.
Viktigt!
Det kan ta flera minuter innan ändringarna börjar gälla. Vänta minst 15 minuter innan du felsöker eventuella problem som rör nätverkskonfiguration.
Tillåt åtkomst från Azure Portal IP-adress
När IP-regler konfigureras inaktiveras vissa funktioner i Azure Portal. Du kan visa och hantera information på tjänstnivå, men portalåtkomsten till importguiderna, index, indexerare och andra resurser på den översta nivån är begränsad.
Du kan återställa portalåtkomsten till alla söktjänståtgärder genom att lägga till portalens IP-adress.
Utför (eller ping) på för att hämta portalens IP-adress nslookup :
stamp2.ext.search.windows.net, som är domänen för trafikhanteraren för det offentliga Azure-molnet.stamp2.ext.search.azure.usför Azure Government-molnet.
För nslookup visas IP-adressen i delen "Icke-auktoritativt svar" i svaret. I följande exempel är 52.252.175.48IP-adressen som du ska kopiera .
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
När tjänster körs i olika regioner ansluter de till olika trafikhanterare. Oavsett domännamnet är IP-adressen som returneras från pingen den rätta att använda när du definierar en inkommande brandväggsregel för Azure Portal i din region.
För ping överskrider begäran tidsgränsen, men IP-adressen visas i svaret. I meddelandet "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"är 52.252.175.48till exempel IP-adressen .
En banderoll informerar dig om att IP-regler påverkar portalupplevelsen. Den här banderollen förblir synlig även efter att du har lagt till portalens IP-adress. Kom ihåg att vänta flera minuter tills nätverksregler börjar gälla innan du testar.
Bevilja åtkomst till betrodda Azure-tjänster
Valde du undantaget för betrodda tjänster? Om ja tillåter söktjänsten begäranden och svar från en betrodd Azure-resurs utan att söka efter en IP-adress. En betrodd resurs måste ha en hanterad identitet (antingen system eller användartilldelad, men vanligtvis system). En betrodd resurs måste ha en rolltilldelning i Azure AI Search som ger den behörighet till data och åtgärder.
Listan över betrodda tjänster för Azure AI Search innehåller:
Microsoft.CognitiveServicesför Azure OpenAI- och Azure AI-tjänsterMicrosoft.MachineLearningServicesför Azure Machine Learning
Arbetsflöden för det här nätverksfelet är begäranden som kommer från Azure AI Studio eller andra AML-funktioner till Azure AI Search. Undantaget för betrodda tjänster är vanligtvis för Azure OpenAI On Your Data-scenarier för hämtning av förhöjd generering (RAG) och lekplatsmiljöer.
Betrodda resurser måste ha en hanterad identitet
Så här konfigurerar du hanterade identiteter för Azure OpenAI och Azure Machine Learning:
- Så här konfigurerar du Azure OpenAI-tjänsten med hanterade identiteter
- Konfigurera autentisering mellan Azure Machine Learning och andra tjänster.
Så här konfigurerar du en hanterad identitet för en Azure AI-tjänst:
- Hitta ditt multiservicekonto.
- I den vänstra rutan går du till Resurshantering och väljer Identitet.
- Ange Systemtilldelad till På.
Betrodda resurser måste ha en rolltilldelning
När din Azure-resurs har en hanterad identitet tilldelar du roller i Azure AI Search för att bevilja behörigheter till data och åtgärder.
De betrodda tjänsterna används för vektoriseringsarbetsbelastningar: generera vektorer från text- och bildinnehåll och skicka nyttolaster tillbaka till söktjänsten för frågekörning eller indexering. Anslutningar från en betrodd tjänst används för att leverera nyttolaster till Azure AI-sökning.
Välj Identitet under Åtkomstkontroll (IAM) i den vänstra rutan.
Välj Lägg till och sedan Lägg till rolltilldelning.
På sidan Roller :
- Välj Sök indexdatadeltagare för att läsa in ett sökindex med vektorer som genereras av en inbäddningsmodell. Välj den här rollen om du tänker använda integrerad vektorisering under indexeringen.
- Eller välj Sök indexdataläsare för att tillhandahålla frågor med en vektor som genereras av en inbäddningsmodell. Inbäddningen som används i en fråga skrivs inte till ett index, så inga skrivbehörigheter krävs.
Välj Nästa.
På sidan Medlemmar väljer du Hanterad identitet och Välj medlemmar.
Filtrera efter systemhanterad identitet och välj sedan den hanterade identiteten för ditt Azure AI multiservice-konto.
Kommentar
Den här artikeln beskriver det betrodda undantaget för att tillåta begäranden till din söktjänst, men Azure AI Search finns i listan över betrodda tjänster över andra Azure-resurser. Mer specifikt kan du använda undantaget för betrodda tjänster för anslutningar från Azure AI Search till Azure Storage.
Nästa steg
När en begäran tillåts via brandväggen måste den autentiseras och auktoriseras. Du har två alternativ:
Nyckelbaserad autentisering, där en administratör eller fråge-API-nyckel tillhandahålls på begäran. Det här alternativet är standardinställningen.
Rollbaserad åtkomstkontroll med hjälp av Microsoft Entra-ID, där anroparen är medlem i en säkerhetsroll i en söktjänst. Det här är det säkraste alternativet. Den använder Microsoft Entra-ID för autentisering och rolltilldelningar i Azure AI Search för behörigheter till data och åtgärder.