Konfigurowanie reguł zapory adresów IP w celu zezwalania na połączenia indeksatora z usługi Azure AI Search
W imieniu indeksatora usługa wyszukiwania wystawia wywołania wychodzące do zewnętrznego zasobu platformy Azure w celu ściągania danych podczas indeksowania. Jeśli zasób platformy Azure używa reguł zapory IP do filtrowania wywołań przychodzących, musisz utworzyć regułę ruchu przychodzącego w zaporze, która przyznaje żądania indeksatora.
W tym artykule wyjaśniono, jak znaleźć adres IP usługi wyszukiwania i skonfigurować regułę przychodzącego adresu IP na koncie usługi Azure Storage. Chociaż jest to specyficzne dla usługi Azure Storage, to podejście działa również w przypadku innych zasobów platformy Azure, które używają reguł zapory adresów IP na potrzeby dostępu do danych, takich jak Azure Cosmos DB i Azure SQL.
Uwaga
Dotyczy tylko usługi Azure Storage. Konto magazynu i usługa wyszukiwania muszą znajdować się w różnych regionach, jeśli chcesz zdefiniować reguły zapory adresów IP. Jeśli konfiguracja nie zezwala na to, spróbuj zamiast tego użyć wyjątku zaufanej usługi lub reguły wystąpienia zasobu.
W przypadku połączeń prywatnych z indeksatorów do dowolnego obsługiwanego zasobu platformy Azure zalecamy skonfigurowanie udostępnionego łącza prywatnego. Połączenia prywatne podróżują siecią szkieletową firmy Microsoft, całkowicie pomijając publiczny Internet.
Uzyskiwanie adresu IP usługi wyszukiwania
Pobierz w pełni kwalifikowaną nazwę domeny (FQDN) usługi wyszukiwania. Wygląda to następująco:
<search-service-name>.search.windows.net
. Nazwę FQDN można znaleźć, wyszukując usługę wyszukiwania w witrynie Azure Portal.Wyszukaj adres IP usługi wyszukiwania, wykonując
nslookup
(lub )ping
nazwy FQDN w wierszu polecenia. Upewnij się, że usuniętohttps://
prefiks z nazwy FQDN.Skopiuj adres IP, aby można było go określić w regule ruchu przychodzącego w następnym kroku. W poniższym przykładzie adres IP, który należy skopiować, to "150.0.0.1".
nslookup contoso.search.windows.net Server: server.example.org Address: 10.50.10.50 Non-authoritative answer: Name: <name> Address: 150.0.0.1 aliases: contoso.search.windows.net
Zezwalaj na dostęp z adresu IP klienta
Aplikacje klienckie, które wypychają indeksowanie i odpytywanie żądań do usługi wyszukiwania, muszą być reprezentowane w zakresie adresów IP. Na platformie Azure zazwyczaj można określić adres IP, wysyłając polecenie ping do nazwy FQDN usługi (na przykład ping <your-search-service-name>.search.windows.net
zwraca adres IP usługi wyszukiwania).
Dodaj adres IP klienta, aby zezwolić na dostęp do usługi z witryny Azure Portal na bieżącym komputerze. Przejdź do sekcji Sieć w okienku nawigacji po lewej stronie. Zmień pozycję Dostęp do sieci publicznej na Wybrane sieci, a następnie zaznacz pole Wyboru Dodaj adres IP klienta w obszarze Zapora.
Uzyskiwanie adresu IP witryny Azure Portal
Jeśli używasz witryny Azure Portal lub kreatora importu danych do utworzenia indeksatora, potrzebujesz również reguły ruchu przychodzącego dla witryny Azure Portal.
Aby uzyskać adres IP witryny Azure Portal, wykonaj polecenie nslookup
(lub ping
) w stamp2.ext.search.windows.net
witrynie , która jest domeną usługi Traffic Manager. W przypadku polecenia nslookup adres IP jest widoczny w części "Nieautorytatywna odpowiedź".
W poniższym przykładzie adres IP, który należy skopiować, to "52.252.175.48".
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
Usługi w różnych regionach łączą się z różnymi menedżerami ruchu. Niezależnie od nazwy domeny adres IP zwracany z polecenia ping jest poprawny do użycia podczas definiowania reguły zapory dla ruchu przychodzącego dla witryny Azure Portal w twoim regionie.
W przypadku polecenia ping limit czasu żądania, ale adres IP jest widoczny w odpowiedzi. Na przykład w komunikacie "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" adres IP to "52.252.175.48".
Uzyskiwanie adresów IP dla tagu usługi "AzureCognitiveSearch"
Należy również utworzyć regułę ruchu przychodzącego, która zezwala na żądania ze środowiska wykonywania wielodostępnego. To środowisko jest zarządzane przez firmę Microsoft i służy do odciążania zadań intensywnie korzystających z przetwarzania, które mogłyby w przeciwnym razie przeciążyć usługę wyszukiwania. W tej sekcji wyjaśniono, jak uzyskać zakres adresów IP potrzebnych do utworzenia tej reguły ruchu przychodzącego.
Zakres adresów IP jest definiowany dla każdego regionu obsługującego usługę Azure AI Search. Określ pełny zakres, aby zapewnić powodzenie żądań pochodzących ze środowiska wykonywania wielodostępnego.
Ten zakres adresów IP można uzyskać z tagu AzureCognitiveSearch
usługi.
Użyj interfejsu API odnajdywania lub pliku JSON, który można pobrać. Jeśli usługa wyszukiwania jest chmurą publiczną platformy Azure, pobierz plik JSON platformy Azure.
Otwórz plik JSON i wyszukaj ciąg "AzureCognitiveSearch". W przypadku usługi wyszukiwania w systemie WestUS2 adresy IP środowiska wykonywania indeksatora wielodostępnego to:
{ "name": "AzureCognitiveSearch.WestUS2", "id": "AzureCognitiveSearch.WestUS2", "properties": { "changeNumber": 1, "region": "westus2", "regionId": 38, "platform": "Azure", "systemService": "AzureCognitiveSearch", "addressPrefixes": [ "20.42.129.192/26", "40.91.93.84/32", "40.91.127.116/32", "40.91.127.241/32", "51.143.104.54/32", "51.143.104.90/32", "2603:1030:c06:1::180/121" ], "networkFeatures": null } },
W przypadku adresów IP sufiks "/32" upuść wartość "/32" (40.91.93.84/32 staje się 40.91.93.84 w definicji reguły). Wszystkie inne adresy IP mogą być używane dosłownie.
Skopiuj wszystkie adresy IP dla regionu.
Dodawanie adresów IP do reguł zapory adresów IP
Teraz, gdy masz niezbędne adresy IP, możesz skonfigurować reguły ruchu przychodzącego. Najprostszym sposobem dodania zakresów adresów IP do reguły zapory konta magazynu jest użycie witryny Azure Portal.
Znajdź konto magazynu w witrynie Azure Portal i otwórz pozycję Sieć w okienku nawigacji po lewej stronie.
Na karcie Zapora i sieci wirtualne wybierz pozycję Wybrane sieci.
Dodaj adresy IP uzyskane wcześniej w zakresie adresów i wybierz pozycję Zapisz. Musisz mieć reguły dla usługi wyszukiwania, witryny Azure Portal (opcjonalnie) oraz wszystkich adresów IP tagu usługi "AzureCognitiveSearch" dla twojego regionu.
Zaktualizowanie reguł zapory może potrwać od pięciu do dziesięciu minut. Po upływie tego czasu indeksatory powinny mieć dostęp do danych konta magazynu za zaporą.
Uzupełnienie zabezpieczeń sieci przy użyciu uwierzytelniania tokenów
Zapory i zabezpieczenia sieci są pierwszym krokiem w zapobieganiu nieautoryzowanemu dostępowi do danych i operacji. Autoryzacja powinna być następnym krokiem.
Zalecamy dostęp oparty na rolach, w którym użytkownicy i grupy identyfikatora Entra firmy Microsoft są przypisywane do ról, które określają dostęp do odczytu i zapisu w usłudze. Aby uzyskać opis wbudowanych ról i instrukcji dotyczących tworzenia ról, zobacz Connect to Azure AI Search using role-based access controls (Nawiązywanie połączenia z usługą Azure AI Search przy użyciu kontroli dostępu opartej na rolach).
Jeśli nie potrzebujesz uwierzytelniania opartego na kluczach, zalecamy wyłączenie kluczy interfejsu API i używanie przypisań ról wyłącznie.