設定 Azure AI 搜尋的 IP 防火牆
Azure AI 搜尋支援透過防火牆進行輸入存取的IP規則,類似於 Azure 虛擬網路安全組中找到的IP規則。 藉由套用IP規則,您可以限制服務存取一組已核准的裝置和雲端服務。 IP 規則只允許透過 要求。 存取數據和作業仍然需要呼叫端出示有效的授權令牌。
您可以在 Azure 入口網站 中設定 IP 規則,如本文所述,或使用管理 REST API、Azure PowerShell 或 Azure CLI。
注意
若要透過入口網站存取受IP防火牆保護的搜尋服務, 請允許從特定用戶端和入口網站IP位址存取。
必要條件
- 基本層或更高層級的搜尋服務
在 Azure 入口網站 中設定IP範圍
登入 Azure 入口網站 並移至您的 Azure AI 搜尋服務 頁面。
選取 左側瀏覽窗格上的 [網络 ]。
將 [公用網络存取] 設定為 [選取的網络]。 如果您的連線設定為 [已停用],您只能透過 私人端點存取您的搜尋服務。
Azure 入口網站 支援 CIDR 格式的 IP 位址和 IP 位址範圍。 CIDR 表示法的範例是 8.8.8.0/24,代表範圍從 8.8.8.0 到 8.8.8.255 的 IP。
選取 [防火牆] 底下的 [新增用戶端 IP 位址],為系統的IP位址建立輸入規則。
新增其他計算機、裝置和服務的其他用戶端IP位址,以將要求傳送至搜尋服務。
啟用 Azure AI 搜尋服務 的 IP 存取控制原則之後,會拒絕從允許的 IP 位址範圍清單以外的電腦對數據平面的所有要求。
拒絕的要求
當要求來自不在允許清單中的IP位址時,不會傳回泛型 403禁止 回應,且沒有其他詳細數據。
允許從 Azure 入口網站IP位址存取
設定IP規則時,會停用 Azure 入口網站的某些功能。 您可以檢視和管理服務等級資訊,但入口網站對索引、索引器和其他最上層資源的存取受到限制。 您可以藉由允許從入口網站 IP 位址和用戶端 IP 位址存取,來還原對完整搜尋服務作業範圍的入口網站存取。
若要取得入口網站的IP位址,請在上執行 nslookup
(或 ping
),這是流量管理員的 stamp2.ext.search.windows.net
網域。 對於 nslookup,IP 位址會顯示在回應的「非授權答案」部分中。
在下列範例中,您應該複製的IP位址是 52.252.175.48
。
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
當服務在不同的區域中執行時,它們會連線到不同的流量管理員。 不論功能變數名稱為何,從 ping 傳回的 IP 位址都是定義區域中 Azure 入口網站 輸入防火牆規則時要使用的正確位址。
針對 ping,要求將會逾時,但 IP 位址會顯示在回應中。 例如,在訊息 "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"
中,IP 位址為 52.252.175.48
。
為用戶端提供IP位址可確保要求不會完全拒絕,但為了成功存取內容和作業,也需要授權。 使用下列其中一種方法來驗證您的要求:
- 金鑰型驗證,其中會根據要求提供系統管理員或查詢 API 金鑰
- 角色型授權,其中呼叫者是搜尋服務上安全性角色的成員,而 已註冊的應用程式會從 Microsoft Entra ID 呈現 OAuth 令牌 。
下一步
如果您的用戶端應用程式是 Azure 上的靜態 Web 應用程式,請瞭解如何判斷其 IP 範圍以納入搜尋服務 IP 防火牆規則。