Udostępnij za pośrednictwem


Konfigurowanie reguł zapory adresów IP w celu zezwalania na połączenia indeksatora z usługi Azure AI Search

W imieniu indeksatora usługa wyszukiwania wystawia wywołania wychodzące do zewnętrznego zasobu platformy Azure w celu ściągania danych podczas indeksowania. Jeśli zasób platformy Azure używa reguł zapory IP do filtrowania wywołań przychodzących, musisz utworzyć regułę ruchu przychodzącego w zaporze, która przyznaje żądania indeksatora.

W tym artykule wyjaśniono, jak znaleźć adres IP usługi wyszukiwania i skonfigurować regułę przychodzącego adresu IP na koncie usługi Azure Storage. Chociaż jest to specyficzne dla usługi Azure Storage, to podejście działa również w przypadku innych zasobów platformy Azure, które używają reguł zapory adresów IP na potrzeby dostępu do danych, takich jak Azure Cosmos DB i Azure SQL.

Uwaga

Dotyczy tylko usługi Azure Storage. Konto magazynu i usługa wyszukiwania muszą znajdować się w różnych regionach, jeśli chcesz zdefiniować reguły zapory adresów IP. Jeśli konfiguracja nie zezwala na to, spróbuj zamiast tego użyć wyjątku zaufanej usługi lub reguły wystąpienia zasobu.

W przypadku połączeń prywatnych z indeksatorów do dowolnego obsługiwanego zasobu platformy Azure zalecamy skonfigurowanie udostępnionego łącza prywatnego. Połączenia prywatne podróżują siecią szkieletową firmy Microsoft, całkowicie pomijając publiczny Internet.

Uzyskiwanie adresu IP usługi wyszukiwania

  1. Pobierz w pełni kwalifikowaną nazwę domeny (FQDN) usługi wyszukiwania. Wygląda to następująco: <search-service-name>.search.windows.net. Nazwę FQDN można znaleźć, wyszukując usługę wyszukiwania w witrynie Azure Portal.

    Zrzut ekranu przedstawiający stronę Przegląd usługi wyszukiwania.

  2. Wyszukaj adres IP usługi wyszukiwania, wykonując nslookup (lub ) pingnazwy FQDN w wierszu polecenia. Upewnij się, że usunięto https:// prefiks z nazwy FQDN.

  3. Skopiuj adres IP, aby można było go określić w regule ruchu przychodzącego w następnym kroku. W poniższym przykładzie adres IP, który należy skopiować, to "150.0.0.1".

    nslookup contoso.search.windows.net
    Server:  server.example.org
    Address:  10.50.10.50
    
    Non-authoritative answer:
    Name:    <name>
    Address:  150.0.0.1
    aliases:  contoso.search.windows.net
    

Zezwalaj na dostęp z adresu IP klienta

Aplikacje klienckie, które wypychają indeksowanie i odpytywanie żądań do usługi wyszukiwania, muszą być reprezentowane w zakresie adresów IP. Na platformie Azure zazwyczaj można określić adres IP, wysyłając polecenie ping do nazwy FQDN usługi (na przykład ping <your-search-service-name>.search.windows.net zwraca adres IP usługi wyszukiwania).

Dodaj adres IP klienta, aby zezwolić na dostęp do usługi z witryny Azure Portal na bieżącym komputerze. Przejdź do sekcji Sieć w okienku nawigacji po lewej stronie. Zmień pozycję Dostęp do sieci publicznej na Wybrane sieci, a następnie zaznacz pole Wyboru Dodaj adres IP klienta w obszarze Zapora.

Zrzut ekranu przedstawiający dodawanie adresu IP klienta do zapory usługi wyszukiwania

Uzyskiwanie adresu IP witryny Azure Portal

Jeśli używasz witryny Azure Portal lub kreatora importu danych do utworzenia indeksatora, potrzebujesz również reguły ruchu przychodzącego dla witryny Azure Portal.

Aby uzyskać adres IP witryny Azure Portal, wykonaj polecenie nslookup (lub ping) w stamp2.ext.search.windows.netwitrynie , która jest domeną usługi Traffic Manager. W przypadku polecenia nslookup adres IP jest widoczny w części "Nieautorytatywna odpowiedź".

W poniższym przykładzie adres IP, który należy skopiować, to "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Usługi w różnych regionach łączą się z różnymi menedżerami ruchu. Niezależnie od nazwy domeny adres IP zwracany z polecenia ping jest poprawny do użycia podczas definiowania reguły zapory dla ruchu przychodzącego dla witryny Azure Portal w twoim regionie.

W przypadku polecenia ping limit czasu żądania, ale adres IP jest widoczny w odpowiedzi. Na przykład w komunikacie "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" adres IP to "52.252.175.48".

Uzyskiwanie adresów IP dla tagu usługi "AzureCognitiveSearch"

Należy również utworzyć regułę ruchu przychodzącego, która zezwala na żądania ze środowiska wykonywania wielodostępnego. To środowisko jest zarządzane przez firmę Microsoft i służy do odciążania zadań intensywnie korzystających z przetwarzania, które mogłyby w przeciwnym razie przeciążyć usługę wyszukiwania. W tej sekcji wyjaśniono, jak uzyskać zakres adresów IP potrzebnych do utworzenia tej reguły ruchu przychodzącego.

Zakres adresów IP jest definiowany dla każdego regionu obsługującego usługę Azure AI Search. Określ pełny zakres, aby zapewnić powodzenie żądań pochodzących ze środowiska wykonywania wielodostępnego.

Ten zakres adresów IP można uzyskać z tagu AzureCognitiveSearch usługi.

  1. Użyj interfejsu API odnajdywania lub pliku JSON, który można pobrać. Jeśli usługa wyszukiwania jest chmurą publiczną platformy Azure, pobierz plik JSON platformy Azure.

  2. Otwórz plik JSON i wyszukaj ciąg "AzureCognitiveSearch". W przypadku usługi wyszukiwania w systemie WestUS2 adresy IP środowiska wykonywania indeksatora wielodostępnego to:

    {
    "name": "AzureCognitiveSearch.WestUS2",
    "id": "AzureCognitiveSearch.WestUS2",
    "properties": {
       "changeNumber": 1,
       "region": "westus2",
       "regionId": 38,
       "platform": "Azure",
       "systemService": "AzureCognitiveSearch",
       "addressPrefixes": [
          "20.42.129.192/26",
          "40.91.93.84/32",
          "40.91.127.116/32",
          "40.91.127.241/32",
          "51.143.104.54/32",
          "51.143.104.90/32",
          "2603:1030:c06:1::180/121"
       ],
       "networkFeatures": null
    }
    },
    
  3. W przypadku adresów IP sufiks "/32" upuść wartość "/32" (40.91.93.84/32 staje się 40.91.93.84 w definicji reguły). Wszystkie inne adresy IP mogą być używane dosłownie.

  4. Skopiuj wszystkie adresy IP dla regionu.

Dodawanie adresów IP do reguł zapory adresów IP

Teraz, gdy masz niezbędne adresy IP, możesz skonfigurować reguły ruchu przychodzącego. Najprostszym sposobem dodania zakresów adresów IP do reguły zapory konta magazynu jest użycie witryny Azure Portal.

  1. Znajdź konto magazynu w witrynie Azure Portal i otwórz pozycję Sieć w okienku nawigacji po lewej stronie.

  2. Na karcie Zapora i sieci wirtualne wybierz pozycję Wybrane sieci.

    Zrzut ekranu przedstawiający stronę zapory i sieci wirtualnych usługi Azure Storage

  3. Dodaj adresy IP uzyskane wcześniej w zakresie adresów i wybierz pozycję Zapisz. Musisz mieć reguły dla usługi wyszukiwania, witryny Azure Portal (opcjonalnie) oraz wszystkich adresów IP tagu usługi "AzureCognitiveSearch" dla twojego regionu.

    Zrzut ekranu przedstawiający sekcję adresów IP strony.

Zaktualizowanie reguł zapory może potrwać od pięciu do dziesięciu minut. Po upływie tego czasu indeksatory powinny mieć dostęp do danych konta magazynu za zaporą.

Uzupełnienie zabezpieczeń sieci przy użyciu uwierzytelniania tokenów

Zapory i zabezpieczenia sieci są pierwszym krokiem w zapobieganiu nieautoryzowanemu dostępowi do danych i operacji. Autoryzacja powinna być następnym krokiem.

Zalecamy dostęp oparty na rolach, w którym użytkownicy i grupy identyfikatora Entra firmy Microsoft są przypisywane do ról, które określają dostęp do odczytu i zapisu w usłudze. Aby uzyskać opis wbudowanych ról i instrukcji dotyczących tworzenia ról, zobacz Connect to Azure AI Search using role-based access controls (Nawiązywanie połączenia z usługą Azure AI Search przy użyciu kontroli dostępu opartej na rolach).

Jeśli nie potrzebujesz uwierzytelniania opartego na kluczach, zalecamy wyłączenie kluczy interfejsu API i używanie przypisań ról wyłącznie.

Następne kroki