設定 Azure AI 搜尋服務的 IP 防火牆
Azure AI 搜尋服務支援透過防火牆進行輸入存取的 IP 規則,類似於您在 Azure 虛擬網路安全性群組中找到的 IP 規則。 藉由套用 IP 規則,您可以將服務存取限制為一組已核准的裝置和雲端服務。 IP 規則僅允許要求通過。 存取資料和作業仍需要呼叫者出示有效的授權權杖。
您可以依照本文所述在 Azure 入口網站中設定 IP 規則,或使用管理 REST API、Azure PowerShell 或 Azure CLI。
注意
若要透過入口網站存取受 IP 防火牆保護的搜尋服務,請允許從特定用戶端和入口網站 IP 位址存取。
必要條件
- 基本層或更高層級的搜尋服務
在 Azure 入口網站中設定 IP 範圍
登入 Azure 入口網站並前往 Azure AI 搜尋服務頁面。
在左側導覽窗格中選取 [網路]。
將 [公用網路存取] 設定為 [選取的網路]。 如果您的連線設定為 [已停用],則只能透過私人端點存取您的搜尋服務。
Azure 入口網站支援 CIDR 格式的 IP 位址和 IP 位址範圍。 CIDR 標記法的範例是 8.8.8.0/24,其代表範圍從 8.8.8.8.0 到 8.8.8.255 的 IP。
選取 [防火牆] 底下的 [新增您的用戶端 IP 位址],為系統 IP 位址建立輸入規則。
針對會向搜尋服務傳送要求的其他電腦、裝置和服務,新增其他用戶端 IP 位址。
當您啟用 Azure AI 搜尋服務的 IP 存取控制原則後,即會拒絕所允許 IP 位址範圍清單外部的電腦對資料平面的所有要求。
已拒絕的要求
當要求源自不在允許清單中的 IP 位址時,會傳回泛型 403 禁止回應,且不會有其他詳細資料。
允許從 Azure 入口網站存取 IP 位址
設定 IP 規則時,Azure 入口網站的某些功能會隨之停用。 您可以檢視和管理服務層級資訊,但入口網站對索引、索引子和其他最上層資源的存取會受到限制。 您可以藉由允許從入口網站 IP 位址和用戶端 IP 位址存取,還原入口網站對完整搜尋服務作業範圍的存取。
若要取得入口網站的 IP 位址,請在 stamp2.ext.search.windows.net 上執行 nslookup (或 ping),這是流量管理員的網域。 針對 nslookup,IP 位址會顯示在回應「非授權的答案」部分。
在下列範例中,您應該複製的 IP 位址是 52.252.175.48。
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
當服務在不同區域運作時,會連線至不同的流量管理員。 不論網域名稱為何,從 ping 傳回的 IP 位址都是正確的位址,在您的區域中為 Azure 入口網站定義輸入防火牆規則時,可以使用此 IP 位址。
針對 Ping,要求會逾時,但 IP 位址會顯示在回應之中。 例如,在訊息 "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" 中,IP 位址為 52.252.175.48。
為用戶端提供 IP 位址可確保要求不會直接拒絕,但為了成功存取內容和作業,亦需要進行授權。 使用下列其中一種方法來驗證您的要求:
- 金鑰型驗證,會要求提供管理員或查詢 API 金鑰
- 角色型授權,其中呼叫者是搜尋服務上安全性角色的成員,而已註冊的應用程式會從 Microsoft Entra ID 呈現 OAuth 權杖。
下一步
如果您的用戶端應用程式是 Azure 上的靜態 Web 應用程式,請瞭解如何判斷其 IP 範圍,以涵蓋在搜尋服務 IP 防火牆規則之中。