設定 Azure AI 搜尋的 IP 防火牆
Azure AI 搜尋支援透過防火牆進行輸入存取的IP規則,類似於 Azure 虛擬網路安全組中找到的IP規則。 藉由套用IP規則,您可以限制服務存取一組已核准的裝置和雲端服務。 IP 規則只允許透過 要求。 存取數據和作業仍然需要呼叫端出示有效的授權令牌。
您可以在 Azure 入口網站 中設定 IP 規則,如本文所述,或使用管理 REST API、Azure PowerShell 或 Azure CLI。
注意
若要透過入口網站存取受IP防火牆保護的搜尋服務, 請允許從特定用戶端和入口網站IP位址存取。
必要條件
- 基本層或更高層級的搜尋服務
在 Azure 入口網站 中設定IP範圍
登入 Azure 入口網站 並移至您的 Azure AI 搜尋服務 頁面。
選取 左側瀏覽窗格上的 [網络 ]。
將 [公用網络存取] 設定為 [選取的網络]。 如果您的連線設定為 [已停用],您只能透過 私人端點存取您的搜尋服務。
Azure 入口網站 支援 CIDR 格式的 IP 位址和 IP 位址範圍。 CIDR 表示法的範例是 8.8.8.0/24,代表範圍從 8.8.8.0 到 8.8.8.255 的 IP。
選取 [防火牆] 底下的 [新增用戶端 IP 位址],為系統的IP位址建立輸入規則。
新增其他計算機、裝置和服務的其他用戶端IP位址,以將要求傳送至搜尋服務。
啟用 Azure AI 搜尋服務 的 IP 存取控制原則之後,會拒絕從允許的 IP 位址範圍清單以外的電腦對數據平面的所有要求。
拒絕的要求
當要求來自不在允許清單中的IP位址時,不會傳回泛型 403禁止 回應,且沒有其他詳細數據。
允許從 Azure 入口網站IP位址存取
設定IP規則時,會停用 Azure 入口網站的某些功能。 您可以檢視和管理服務等級資訊,但入口網站對索引、索引器和其他最上層資源的存取受到限制。 您可以藉由允許從入口網站 IP 位址和用戶端 IP 位址存取,來還原對完整搜尋服務作業範圍的入口網站存取。
若要取得入口網站的IP位址,請在上執行 nslookup (或 ping),這是流量管理員的 stamp2.ext.search.windows.net網域。 對於 nslookup,IP 位址會顯示在回應的「非授權答案」部分中。
在下列範例中,您應該複製的IP位址是 52.252.175.48。
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
當服務在不同的區域中執行時,它們會連線到不同的流量管理員。 不論功能變數名稱為何,從 ping 傳回的 IP 位址都是定義區域中 Azure 入口網站 輸入防火牆規則時要使用的正確位址。
針對 ping,要求將會逾時,但 IP 位址會顯示在回應中。 例如,在訊息 "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"中,IP 位址為 52.252.175.48。
為用戶端提供IP位址可確保要求不會完全拒絕,但為了成功存取內容和作業,也需要授權。 使用下列其中一種方法來驗證您的要求:
- 金鑰型驗證,其中會根據要求提供系統管理員或查詢 API 金鑰
- 角色型授權,其中呼叫者是搜尋服務上安全性角色的成員,而 已註冊的應用程式會從 Microsoft Entra ID 呈現 OAuth 令牌 。
下一步
如果您的用戶端應用程式是 Azure 上的靜態 Web 應用程式,請瞭解如何判斷其 IP 範圍以納入搜尋服務 IP 防火牆規則。