Konfigurera en IP-brandvägg för Azure AI Search
Azure AI Search stöder IP-regler för inkommande åtkomst via en brandvägg, liknande IP-reglerna som finns i en säkerhetsgrupp för virtuella Azure-nätverk. Genom att tillämpa IP-regler kan du begränsa tjänståtkomsten till en godkänd uppsättning enheter och molntjänster. En IP-regel tillåter endast begäran igenom. Åtkomst till data och åtgärder kräver fortfarande att anroparen presenterar en giltig auktoriseringstoken.
Du kan ange IP-regler i Azure-portalen enligt beskrivningen i den här artikeln, eller använda REST API för hantering, Azure PowerShell eller Azure CLI.
Kommentar
Om du vill komma åt en söktjänst som skyddas av en IP-brandvägg via portalen tillåter du åtkomst från en specifik klient och portalens IP-adress.
Förutsättningar
- En söktjänst på Basic-nivån eller högre
Ange IP-intervall i Azure-portalen
Logga in på Azure-portalen och gå till din Azure AI-tjänsten Search-sida.
Välj Nätverk i det vänstra navigeringsfönstret.
Ange offentlig nätverksåtkomst till valda nätverk. Om anslutningen är inställd på Inaktiverad kan du bara komma åt söktjänsten via en privat slutpunkt.
Azure-portalen stöder IP-adresser och IP-adressintervall i CIDR-format. Ett exempel på CIDR-notation är 8.8.8.0/24, som representerar IP-adresser som sträcker sig från 8.8.8.0 till 8.8.8.255.
Välj Lägg till klientens IP-adress under Brandvägg för att skapa en inkommande regel för systemets IP-adress.
Lägg till andra klient-IP-adresser för andra datorer, enheter och tjänster som skickar begäranden till en söktjänst.
När du har aktiverat principen för IP-åtkomstkontroll för din Azure AI-tjänsten Search avvisas alla begäranden till dataplanet från datorer utanför den tillåtna listan över IP-adressintervall.
Avvisade begäranden
När begäranden kommer från IP-adresser som inte finns i listan över tillåtna, returneras ett allmänt 403-förbjudet svar utan någon annan information.
Tillåt åtkomst från AZURE-portalens IP-adress
När IP-regler har konfigurerats inaktiveras vissa funktioner i Azure-portalen. Du kan visa och hantera information på tjänstnivå, men portalåtkomsten till index, indexerare och andra resurser på den översta nivån är begränsad. Du kan återställa portalens åtkomst till alla söktjänståtgärder genom att tillåta åtkomst från portalens IP-adress och din klient-IP-adress.
Om du vill hämta portalens IP-adress utför nslookup
du (eller ping
) på stamp2.ext.search.windows.net
, som är domänen för trafikhanteraren. För nslookup visas IP-adressen i delen "Icke-auktoritativt svar" i svaret.
I följande exempel är 52.252.175.48
IP-adressen som du ska kopiera .
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
När tjänster körs i olika regioner ansluter de till olika trafikhanterare. Oavsett domännamnet är IP-adressen som returneras från pingen den rätta att använda när du definierar en inkommande brandväggsregel för Azure-portalen i din region.
För ping överskrider begäran tidsgränsen, men IP-adressen visas i svaret. I meddelandet "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"
är 52.252.175.48
till exempel IP-adressen .
Att tillhandahålla IP-adresser för klienter säkerställer att begäran inte avvisas direkt, men för lyckad åtkomst till innehåll och åtgärder krävs också auktorisering. Använd någon av följande metoder för att autentisera din begäran:
- Nyckelbaserad autentisering, där en administratör eller fråge-API-nyckel tillhandahålls på begäran
- Rollbaserad auktorisering, där anroparen är medlem i en säkerhetsroll i en söktjänst, och den registrerade appen visar en OAuth-token från Microsoft Entra-ID.
Nästa steg
Om klientprogrammet är en statisk webbapp i Azure kan du lära dig hur du fastställer dess IP-intervall för inkludering i en IP-brandväggsregel för söktjänsten.