Aracılığıyla paylaş

Azure AI Search'ten dizin oluşturucu bağlantılarına izin vermek için IP güvenlik duvarı kurallarını yapılandırma

Azure AI Search, içerik ve beceriler için dizinleme işlemi sırasında giden, dış çağrılar yapmakta ve büyük dil modellerine (LLM) yönelik çağrılar içeren aracılı alma istekleri gerçekleştirmektedir. Hedef Azure kaynağı gelen çağrıları filtrelemek için IP güvenlik duvarı kurallarını kullanıyorsa, güvenlik duvarınızda Azure AI Search'ten gelen istekleri kabul eden bir gelen kuralı oluşturmanız gerekir.

Bu makalede, arama hizmetinizin IP adresini bulma ve Azure Depolama hesabında gelen IP kuralı yapılandırma adımları açıklanmaktadır. Azure Depolama'ya özgü olsa da bu yaklaşım, Azure Cosmos DB ve Azure SQL gibi veri erişimi için IP güvenlik duvarı kurallarını kullanan diğer Azure kaynakları için de çalışır.

Önkoşullar

  • Azure AI Search hizmeti (Temel katman veya üzeri). Ücretsiz katmanında güvenlik duvarı kuralları ayarlayamazsınız.
  • Güvenlik duvarı tarafından korunan mevcut bir hedef Azure kaynağı.
  • Arama hizmetinde Katkıda Bulunan veya Sahip rolü.

Not

  • Yalnızca Azure Depolama için geçerlidir. IP güvenlik duvarı kurallarını tanımlamak için depolama hesabınızın ve arama hizmetinizin farklı bölgelerde olması gerekir. Kurulumunuz farklı bölgelere izin vermiyorsa, bunun yerine güvenilen hizmet özel durumunu veya kaynak örneği kuralını deneyin.

  • Dizin oluşturuculardan desteklenen herhangi bir Azure kaynağına özel bağlantılar için paylaşılan bir özel bağlantı ayarlamanızı öneririz. Özel bağlantılar, Genel İnternet'i tamamen atlayarak Microsoft omurga ağına gider.

Arama hizmeti IP adresi alma

  1. Azure portalında oturum açın ve arama hizmetinizi seçin.

  2. Sol bölmeden Genel Bakış'ı seçin.

  3. Arama hizmetinizin tam etki alanı adını (FQDN) kopyalayın, bu, my-search-service.search.windows.net gibi görünmelidir.

    Arama hizmetine Genel Bakış sayfasının ekran görüntüsü.

  4. Komut isteminde FQDN'nin ( nslookup veya bir ping) işlemini gerçekleştirerek arama hizmetinin IP adresini arayın. Ön eki kaldırdığınızdan https:// emin olun.

  5. Sonraki adımda kullanmak üzere IP adresini kopyalayın. Aşağıdaki örnekte, kopyaladığınız IP adresi şeklindedir 150.0.0.1.

    nslookup my-search-service.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  my-search-service.search.windows.net

    "Yetkili olmayan yanıt" (bu örnekte 150.0.0.1) altındaki alandaki IP adresi Address , güvenlik duvarı kuralı için ihtiyacınız olan değerdir.

İstemci IP adresinizden erişime izin ver

Dizin oluşturma ve sorgu isteklerini arama hizmetine ileden istemci uygulamaları bir IP aralığında temsil edilmelidir. Azure'da genel olarak bir hizmetin FQDN'sine ping atarak IP adresini belirleyebilirsiniz. Örneğin, ping <your-search-service-name>.search.windows.net arama hizmetinin IP adresini döndürür.

Geçerli bilgisayarınızdaki Azure portalından hizmete erişime izin vermek için istemci IP adresinizi ekleyin.

  1. Azure portalında arama hizmetinizi seçin.

  2. Sol bölmeden Ayarlar>'ı seçin.

  3. Güvenlik duvarı ve sanal ağlar sekmesinde, Genel ağ erişiminiSeçili IP adresleri olarak ayarlayın.

    Azure portalında seçili IP adreslerinden genel ağ erişimine izin verme seçeneğinin ekran görüntüsü.

  4. IP Güvenlik Duvarı'nın altında İstemci IP adresinizi ekle'yi seçin.

    Azure portalında istemci IP adresinizi ekleme seçeneğinin ekran görüntüsü.

  5. Değişikliklerinizi kaydedin.

Azure portal IP adresini alma

Azure Cosmos DB'den veya Azure SQL'den verileri çekmek için Azure portalında klasik Verileri İçeri Aktarma Sihirbazını kullanıyorsanız, Azure portalının IP adresine, Azure SQL sanal makinenize gelen erişim izni vermelisiniz. Daha fazla bilgi için bkz. Azure portalı IP adresinden erişime izin verme.

Bu sınırlamaya sahip olmayan Verileri içeri aktarma (yeni) sihirbazını kullanmanızı öneririz.

"AzureCognitiveSearch" hizmet etiketi için IP adreslerini alma

Ayrıca, çok kiracılı yürütme ortamından gelen isteklere izin veren bir gelen kuralı da oluşturmanız gerekir. Bu ortam Microsoft tarafından yönetilir ve arama hizmetinizi bunaltabilecek yoğun işlem gerektiren işleri boşaltmak için kullanılır. Bu bölümde, bu gelen kuralı oluşturmak için gereken IP adresi aralığının nasıl alınacağı açıklanmaktadır.

Azure AI Arama'yı destekleyen her bölge için bir IP adresi aralığı tanımlanır. Çok kiracılı yürütme ortamından kaynaklanan isteklerin başarılı olduğundan emin olmak için tam aralığı belirtin.

Bu IP adresi aralığını hizmet etiketinden AzureCognitiveSearch alabilirsiniz.

  1. Bulma API'sini veya indirilebilir JSON dosyasını kullanın. Arama hizmeti Azure Genel bulutuysa Azure Genel JSON dosyasını indirin.

  2. JSON dosyasını açın ve "AzureCognitiveSearch" araması yapın. WestUS2'deki bir arama hizmeti için, çok kiracılı dizin oluşturucu yürütme ortamının IP adresleri şunlardır:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

    Bölgenizin dizisindeki addressPrefixes tüm IP adreslerini kopyalayın.

  3. "/32" sonekini içeren IP adresleri için "/32" öğesini bırakın (kural tanımında 40.91.93.84/32 40.91.93.84 olur). Diğer tüm IP adresleri ayrıntılı olarak kullanılabilir.

  4. Bölgenin tüm IP adreslerini kopyalayın.

IP güvenlik duvarı kurallarına IP adresleri ekleme

Gerekli IP adreslerini aldıktan sonra gelen bağlantı kurallarını ayarlayın. Bir depolama hesabının güvenlik duvarı kuralına IP adresi aralıkları eklemenin en kolay yolu Azure portalından geçmektir.

  1. Azure portalında depolama hesabınızı seçin.

  2. Sol bölmeden Güvenlik + ağ Ağı'nı> seçin.

  3. Genel erişim sekmesinde Yönet'i seçin.

    Azure portalında genel ağ erişimini yönetme düğmesinin ekran görüntüsü.

  4. Genel ağ erişim kapsamı'nın altında Seçili ağlardan etkinleştir'i seçin.

    Azure portalında seçili ağlardan erişimi etkinleştirme seçeneğinin ekran görüntüsü.

  5. Daha önce edindiğiniz IP adreslerini ekleyin ve kaydet'i seçin. Arama hizmeti, Azure portalı (isteğe bağlı) ve bölgeniz için "AzureCognitiveSearch" hizmet etiketinin tüm IP adresleri için kurallarınız olmalıdır.

    Güvenlik duvarı kurallarının güncelleştirilmiş olması beş ile on dakika sürebilir. Güncelleştirmeden sonra dizin oluşturucular güvenlik duvarının arkasındaki depolama hesabı verilerine erişebilir.

Belirteç kimlik doğrulaması ile ağ güvenliğini destekleme

Güvenlik duvarları ve ağ güvenliği, verilere ve işlemlere yetkisiz erişimi önlemenin ilk adımıdır. Yetkilendirme sonraki adımınız olmalıdır.

Microsoft Entra ID kullanıcılarının ve gruplarının hizmetinize okuma ve yazma erişimini belirleyen rollere atandığı rol tabanlı erişim önerilir. Yerleşik rollerin açıklaması ve özel roller oluşturmaya yönelik yönergeler için bkz. Rol tabanlı erişim denetimlerini kullanarak Azure AI Search'e bağlanma.

Anahtar tabanlı kimlik doğrulamasına ihtiyacınız yoksa API anahtarlarını devre dışı bırakmanızı ve rol atamalarını özel olarak kullanmanızı öneririz.

İlgili içerik

  • Last updated on