Přístup indexeru k obsahu chráněnému zabezpečením sítě Azure

Pokud jsou vaše prostředky Azure nasazené ve virtuální síti Azure, tento článek s konceptem vysvětluje, jak může indexer vyhledávání přistupovat k obsahu chráněnému zabezpečením sítě. Popisuje vzorce odchozího provozu a spouštěcí prostředí indexeru. Zahrnuje také ochranu sítě podporovanou službou Azure AI Search a faktory, které můžou ovlivnit vaši strategii zabezpečení. A konečně, protože Azure Storage se používá pro přístup k datům i trvalé úložiště, tento článek se zabývá také aspekty sítě, které jsou specifické pro vyhledávání a připojení k úložišti.

Hledáte místo toho podrobné pokyny? Přečtěte si, jak nakonfigurovat pravidla brány firewall tak, aby umožňovala přístup k indexeru nebo jak provádět odchozí připojení prostřednictvím privátního koncového bodu.

Prostředky, ke které mají přístup indexery

Indexery Azure AI Search můžou provádět odchozí volání různých prostředků Azure ve třech situacích:

• Připojení k externím zdrojům dat během indexování
• Připojení k externímu, zapouzdřenému kódu prostřednictvím sady dovedností, která zahrnuje vlastní dovednosti
• Připojení ke službě Azure Storage během spouštění sady dovedností pro rozšiřování mezipaměti, ukládání stavu relace ladění nebo zápis do úložiště znalostí

Seznam všech možných typů prostředků Azure, ke kterým může indexer přistupovat v typickém spuštění, najdete v následující tabulce.

Prostředek	Účel v rámci spuštění indexeru
Azure Storage (objekty blob, ADLS Gen2, soubory, tabulky)	Zdroj dat
Azure Storage (objekty blob, tabulky)	Sady dovedností (rozšiřování mezipaměti, ladicí relace, projekce úložiště znalostí)
Azure Cosmos DB (různá rozhraní API)	Zdroj dat
Azure SQL Database	Zdroj dat
OneLake (Microsoft Fabric)	Zdroj dat
SQL Server na virtuálním počítači Azure	Zdroj dat
Spravovaná instance SQL	Zdroj dat
Azure Functions	Připojeno ke sadě dovedností a slouží k hostování vlastních dovedností webového rozhraní API.

Poznámka:

Indexer se také připojuje ke službám Azure AI pro integrované dovednosti. Toto připojení se však provádí přes interní síť a nepodléhá žádným síťovým ustanovením pod vaší kontrolou.

Indexery se připojují k prostředkům pomocí následujících přístupů:

• Veřejný koncový bod s přihlašovacími údaji
• Privátní koncový bod s využitím služby Azure Private Link
• Připojení jako důvěryhodné služby
• Připojení prostřednictvím PŘIDĚLOVÁNÍ IP adres

Pokud je váš prostředek Azure ve virtuální síti, měli byste k přijímání připojení indexeru k datům použít privátní koncový bod nebo přidělování IP adres.

Podporovaná ochrana sítě

Vaše prostředky Azure můžou být chráněné pomocí libovolného počtu mechanismů izolace sítě, které nabízí Azure. V závislosti na prostředku a oblasti můžou indexery Služby Azure AI Search provádět odchozí připojení prostřednictvím bran firewall protokolu IP a privátních koncových bodů podle omezení uvedených v následující tabulce.

Prostředek	Omezení IP adres	Privátní koncový bod
Azure Storage pro indexování na základě textu (objekty blob, ADLS Gen2, soubory, tabulky)	Podporováno pouze v případě, že účet úložiště a vyhledávací služba jsou v různých oblastech.	Podporováno
Azure Storage pro rozšiřování AI (ukládání do mezipaměti, ladicí relace, úložiště znalostí)	Podporováno pouze v případě, že účet úložiště a vyhledávací služba jsou v různých oblastech.	Podporováno
Azure Cosmos DB for NoSQL	Podporováno	Podporováno
Azure Cosmos DB pro MongoDB	Podporováno	Nepodporované
Azure Cosmos DB pro Apache Gremlin	Podporováno	Nepodporované
Azure SQL Database	Podporováno	Podporováno
SQL Server na virtuálním počítači Azure	Podporováno	–
Spravovaná instance SQL	Podporováno	–
Azure Functions	Podporováno	Podporováno pouze pro určité úrovně funkcí Azure

Prostředí pro spouštění síťového přístupu a indexeru

Azure AI Search má koncept spouštěcího prostředí indexeru, které optimalizuje zpracování na základě charakteristik úlohy. Existují dvě prostředí. Pokud k řízení přístupu k prostředkům Azure používáte bránu firewall protokolu IP, znalost prostředí spouštění vám pomůže nastavit rozsah IP adres, který zahrnuje obě prostředí.

Pro každé spuštění indexeru azure AI Search určuje nejlepší prostředí, ve kterém se má indexer spustit. V závislosti na počtu a typech přiřazených úkolů se indexer spustí v jednom ze dvou prostředí/

Spouštěcí prostředí	Popis
Privátní	Interní pro vyhledávací službu. Indexery spuštěné v privátním prostředí sdílejí výpočetní prostředky s jinými úlohami indexování a dotazování ve stejné vyhledávací službě. Pokud nastavíte privátní připojení mezi indexerem a vašimi daty, například sdíleným privátním propojením, jedná se o jediné spouštěcí prostředí, které můžete použít a použije se automaticky.
víceklientských	Spravováno a zabezpečeno Microsoftem bez dalších poplatků. Nepodléhá žádným síťovým ustanovením pod vaší kontrolou. Toto prostředí se používá k přesměrování výpočetního zpracování náročného na zpracování a ponechání prostředků specifických pro službu k dispozici pro rutinní operace. Mezi příklady úloh indexeru náročných na prostředky patří sady dovedností, zpracování velkých dokumentů nebo zpracování velkého objemu dokumentů.

U služeb Standard2 a vyšších můžete indexer nakonfigurovat tak, aby vždy používal privátní prostředí. Zpracování sady dovedností se ale vždy spustí v prostředí s více tenanty, i když nakonfigurujete vyhledávací službu tak, aby používala privátní prostředí. Další informace o konfiguraci indexeru naleznete v tématu Vytvoření indexeru.

Nastavení rozsahů IP adres pro provádění indexeru

Tato část vysvětluje konfiguraci brány firewall protokolu IP pro přijímání požadavků z obou spouštěcích prostředí.

Pokud je váš prostředek Azure za bránou firewall, nastavte příchozí pravidla, která přijímají připojení indexeru pro všechny IP adresy, ze kterých může pocházet požadavek indexeru. To zahrnuje IP adresu používanou vyhledávací službou a IP adresy používané víceklientním prostředím.

• Pokud chcete získat IP adresu vyhledávací služby (a prostředí privátního spouštění), použijte nslookup (nebo ping) k vyhledání plně kvalifikovaného názvu domény (FQDN) vaší vyhledávací služby. Plně kvalifikovaný název domény vyhledávací služby ve veřejném cloudu by byl <service-name>.search.windows.net.

• Pokud chcete získat IP adresy víceklientských prostředí, ve kterých může indexer běžet, použijte AzureCognitiveSearch značku služby.

  Značky služeb Azure mají publikovaný rozsah IP adres víceklientských prostředí pro každou oblast. Tyto IP adresy najdete pomocí rozhraní API pro zjišťování nebo souboru JSON ke stažení. Rozsahy IP adres se přidělují podle oblasti, proto před zahájením zkontrolujte oblast vyhledávací služby.

Nastavení pravidel PROTOKOLU IP pro Azure SQL

Při nastavování pravidla PROTOKOLU IP pro víceklientských prostředí podporují některé zdroje dat SQL jednoduchý přístup pro specifikaci IP adres. Místo vytvoření výčtu všech IP adres v pravidle můžete vytvořit pravidlo skupiny zabezpečení sítě, které určuje AzureCognitiveSearch značku služby.

Značku služby můžete zadat, pokud je zdrojem dat:

• SQL Server na virtuálních počítačích Azure

• Spravované instance SQL

Všimněte si, že pokud jste zadali značku služby pro pravidlo PROTOKOLU IP pro víceklientských prostředí, budete stále potřebovat explicitní příchozí pravidlo pro privátní spouštěcí prostředí (tj. samotná vyhledávací služba), jak je získáno prostřednictvím nslookup.

Volba přístupu k připojení

Vyhledávací službu nejde zřídit do konkrétní virtuální sítě, která běží nativně na virtuálním počítači. I když některé prostředky Azure nabízejí koncové body služeb virtuální sítě, azure AI Search tuto funkci nenabízí. Měli byste naplánovat implementaci jednoho z následujících přístupů.

Přístup	Detaily
Zabezpečení příchozího připojení k prostředku Azure	Nakonfigurujte příchozí pravidlo brány firewall pro prostředek Azure, které přijímá požadavky indexeru na vaše data. Konfigurace brány firewall by měla zahrnovat značku služby pro víceklientských spuštění a IP adresu vaší vyhledávací služby. Viz Konfigurace pravidel brány firewall pro povolení přístupu k indexeru.
Privátní připojení mezi službou Azure AI Search a prostředkem Azure	Nakonfigurujte sdílené privátní propojení používané výhradně vyhledávací službou pro připojení k vašemu prostředku. Připojení cestují přes interní síť a obcházejí veřejný internet. Pokud jsou vaše prostředky plně uzamčené (spuštěné v chráněné virtuální síti nebo jinak nejsou dostupné přes veřejné připojení), je vaším jediným výběrem privátní koncový bod. Viz Nastavení odchozích připojení prostřednictvím privátního koncového bodu.

Připojení prostřednictvím privátního koncového bodu musí pocházet z prostředí privátního spouštění vyhledávací služby.

Konfigurace brány firewall protokolu IP je bezplatná. Vliv na fakturaci má privátní koncový bod založený na službě Azure Private Link. Podrobnosti najdete na stránce s cenami služby Azure Private Link.

Po konfiguraci zabezpečení sítě postupujte podle přiřazení rolí, které určují, kteří uživatelé a skupiny mají přístup ke čtení a zápisu k vašim datům a operacím.

Důležité informace o používání privátního koncového bodu

Tento oddíl se zúží na možnost privátního připojení.

• Sdílený privátní odkaz vyžaduje fakturovatelnou vyhledávací službu, kde je minimální úroveň Basic pro indexování založená na textu nebo standard 2 (S2) pro indexování na základě dovedností. Podrobnosti najdete v limitech úrovní pro počet privátních koncových bodů .

• Po vytvoření sdíleného privátního propojení ji vyhledávací služba vždy použije pro každé připojení indexeru k danému konkrétnímu prostředku Azure. Privátní připojení je uzamčené a vynucené interně. Privátní připojení pro veřejné připojení se nedá obejít.

• Vyžaduje fakturovatelný prostředek Azure Private Link.

• Vyžaduje, aby vlastník předplatného schválil připojení privátního koncového bodu.

• Vyžaduje, abyste pro indexer vypnuli víceklientové spouštěcí prostředí.

  Provedete to nastavením executionEnvironment indexeru na "Private". Tento krok zajistí, že se všechna spuštění indexeru omezí na privátní prostředí zřízené v rámci vyhledávací služby. Toto nastavení je omezené na indexer, nikoli vyhledávací službu. Pokud chcete, aby se všechny indexery připojovaly přes privátní koncové body, musí mít každá z nich následující konfiguraci:

      {
        "name" : "myindexer",
        ... other indexer properties
        "parameters" : {
            ... other parameters
            "configuration" : {
              ... other configuration properties
              "executionEnvironment": "Private"
            }
          }
      }
  

Jakmile budete mít schválený privátní koncový bod pro prostředek, indexery, které jsou nastavené jako soukromé , se pokusí získat přístup prostřednictvím privátního propojení vytvořeného a schváleného pro prostředek Azure.

Azure AI Search ověří, že volající privátního koncového bodu mají odpovídající přiřazení rolí. Pokud například požadujete připojení privátního koncového bodu k účtu úložiště s oprávněními jen pro čtení, bude toto volání odmítnuto.

Pokud privátní koncový bod není schválený nebo pokud indexer nepoužíval připojení privátního koncového bodu, zobrazí transientFailure se chybová zpráva v historii spuštění indexeru.

Doplnění zabezpečení sítě pomocí ověřování tokenů

Brány firewall a zabezpečení sítě představují první krok, který brání neoprávněnému přístupu k datům a operacím. Autorizace by měla být vaším dalším krokem.

Doporučujeme přístup na základě role, kde jsou uživatelé a skupiny ID Microsoft Entra přiřazeni k rolím, které určují přístup pro čtení a zápis do vaší služby. Popis předdefinovaných rolí a pokynů pro vytváření vlastních rolí najdete v tématu Připojení k Azure AI Search pomocí řízení přístupu na základě role.

Pokud nepotřebujete ověřování založené na klíčích, doporučujeme zakázat klíče rozhraní API a používat výhradně přiřazení rolí.

Přístup k účtu úložiště chráněnému sítí

Vyhledávací služba ukládá indexy a seznamy synonym. Pro další funkce, které vyžadují úložiště, azure AI Search využívá závislost na Azure Storage. Ukládání do mezipaměti, ladicí relace a úložiště znalostí spadají do této kategorie. Umístění každé služby a všech síťových ochrany pro úložiště určí strategii přístupu k datům.

Služby stejné oblasti

Přístup přes bránu firewall ve službě Azure Storage vyžaduje, aby požadavek pochází z jiné oblasti. Pokud jsou Azure Storage a Azure AI Search ve stejné oblasti, můžete obejít omezení IP adres účtu úložiště tím, že k datům přistupujete pod systémovou identitou vyhledávací služby.

Existují dvě možnosti podpory přístupu k datům pomocí systémové identity:

• Nakonfigurujte vyhledávání tak, aby se spustilo jako důvěryhodná služba , a použijte výjimku důvěryhodné služby ve službě Azure Storage.

• Nakonfigurujte pravidlo instance prostředku ve službě Azure Storage, které přijímá příchozí požadavky z prostředku Azure.

Výše uvedené možnosti závisí na ID Microsoft Entra pro ověřování, což znamená, že připojení musí být provedeno s přihlášením Microsoft Entra. V současné době se pro připojení stejné oblasti prostřednictvím brány firewall podporuje jenom spravovaná identita přiřazená systémem azure AI Search.

Služby v různých oblastech

Pokud jsou vyhledávání a úložiště v různých oblastech, můžete použít dříve uvedené možnosti nebo nastavit pravidla PROTOKOLU IP, která přijímají požadavky z vaší služby. V závislosti na úloze možná budete muset nastavit pravidla pro více spouštěcích prostředí, jak je popsáno v další části.

Další kroky

Teď, když znáte možnosti přístupu k datům indexeru pro řešení nasazená ve virtuální síti Azure, si projděte některý z následujících článků s návody jako další krok:

• Jak nastavit připojení indexeru k privátnímu koncovému bodu
• Postup připojení indexeru přes bránu firewall protokolu IP