Konfigurera en IP-brandvägg för Azure Cognitive Search

Azure Cognitive Search har stöd för IP-regler för inkommande åtkomst via en brandvägg, ungefär som de IP-regler som du hittar i en virtuell Nätverkssäkerhetsgrupp i Azure. Genom att tillämpa IP-regler kan du begränsa söktjänstens åtkomst till en godkänd uppsättning datorer och molntjänster. Åtkomst till data som lagras i söktjänsten från de godkända uppsättningarna av datorer och tjänster kräver fortfarande att anroparen visar en giltig auktoriseringstoken.

Du kan ange IP-regler i Azure Portal, enligt beskrivningen i den här artikeln, eller använda REST API för hantering, Azure PowerShell eller Azure CLI.

Anteckning

Om du vill komma åt en söktjänst som skyddas av en IP-brandvägg via portalen tillåter du åtkomst från en specifik klient och portalens IP-adress.

Förutsättningar

  • En söktjänst på Basic-nivån eller högre

Ange IP-intervall i Azure Portal

  1. Logga in på Azure Portal och gå till din Azure Cognitive Search tjänstsida.

  2. Välj Nätverk i det vänstra navigeringsfönstret.

  3. Ange offentlig nätverksåtkomst till valda nätverk. Om anslutningen är inställd på Inaktiverad kan du bara komma åt söktjänsten via en privat slutpunkt.

    Skärmbild som visar hur du konfigurerar IP-brandväggen i Azure Portal

    Med Azure Portal kan du ange IP-adresser och IP-adressintervall i CIDR-format. Ett exempel på CIDR-notation är 8.8.8.0/24, som representerar IP-adresser som sträcker sig från 8.8.8.0 till 8.8.8.255.

  4. Välj Lägg till klientens IP-adress under Brandvägg för att skapa en regel för inkommande trafik för systemets IP-adress.

  5. Lägg till andra klient-IP-adresser för andra datorer, enheter och tjänster som skickar begäranden till en söktjänst.

När du har aktiverat principen för IP-åtkomstkontroll för din Azure Cognitive Search-tjänst avvisas alla begäranden till dataplanet från datorer utanför listan över tillåtna IP-adressintervall.

Avvisade begäranden

När begäranden kommer från IP-adresser som inte finns i listan över tillåtna, returneras ett allmänt 403 Forbidden-svar utan någon annan information.

Tillåt åtkomst från Azure Portal IP-adress

När IP-regler konfigureras inaktiveras vissa funktioner i Azure Portal. Du kommer att kunna visa och hantera information på tjänstnivå, men portalåtkomsten till index, indexerare och andra resurser på toppnivå är begränsad. Du kan återställa portalåtkomsten till alla söktjänståtgärder genom att tillåta åtkomst från portalens IP-adress och din klient-IP-adress.

Om du vill hämta portalens IP-adress utför nslookup du (eller ping) på stamp2.ext.search.windows.net, som är domänen för trafikhanteraren. För nslookup visas IP-adressen i delen "Icke-auktoritativt svar" i svaret.

I följande exempel är IP-adressen som du ska kopiera "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Tjänster i olika regioner ansluter till olika trafikhanterare. Oavsett domännamnet är IP-adressen som returneras från pingen den rätta att använda när du definierar en inkommande brandväggsregel för Azure Portal i din region.

För ping överskrider begäran tidsgränsen, men IP-adressen visas i svaret. I meddelandet "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" i meddelandet "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48".

Att tillhandahålla IP-adresser för klienter säkerställer att begäran inte avvisas direkt, men för lyckad åtkomst till innehåll och åtgärder är auktorisering också nödvändigt. Använd någon av följande metoder för att autentisera din begäran:

Nästa steg

Om klientprogrammet är en statisk webbapp i Azure kan du lära dig hur du fastställer ip-intervallet för inkludering i en IP-brandväggsregel för söktjänsten.