Partilhar via

Configurar regras de firewall IP para permitir conexões de indexador do Azure AI Search

  • Artigo

Em nome de um indexador, um serviço de pesquisa emite chamadas de saída para um recurso externo do Azure para obter dados durante a indexação. Se seu recurso do Azure usa regras de firewall IP para filtrar chamadas de entrada, você deve criar uma regra de entrada em seu firewall que admita solicitações de indexador.

Este artigo explica como localizar o endereço IP do seu serviço de pesquisa e configurar uma regra de IP de entrada em uma conta de Armazenamento do Azure. Embora específica para o Armazenamento do Azure, essa abordagem também funciona para outros recursos do Azure que usam regras de firewall IP para acesso a dados, como o Azure Cosmos DB e o Azure SQL.

Nota

Aplicável apenas ao Armazenamento do Azure. Sua conta de armazenamento e seu serviço de pesquisa devem estar em regiões diferentes se você quiser definir regras de firewall IP. Se a configuração não permitir isso, tente a exceção de serviço confiável ou a regra de instância de recurso.

Para conexões privadas de indexadores a qualquer recurso do Azure com suporte, recomendamos configurar um link privado compartilhado. Conexões privadas percorrem a rede de backbone da Microsoft, ignorando completamente a internet pública.

Obter um endereço IP de serviço de pesquisa

  1. Obtenha o nome de domínio totalmente qualificado (FQDN) do seu serviço de pesquisa. Isto parece <search-service-name>.search.windows.net. Você pode encontrar o FQDN pesquisando seu serviço de pesquisa no portal do Azure.

    Captura de ecrã da página Descrição Geral do serviço de pesquisa.

  2. Procure o endereço IP do serviço de pesquisa executando um nslookup (ou um ping) do FQDN em um prompt de comando. Certifique-se de remover o prefixo https:// do FQDN.

  3. Copie o endereço IP para que você possa especificá-lo em uma regra de entrada na próxima etapa. No exemplo a seguir, o endereço IP que você deve copiar é "150.0.0.1".

    nslookup contoso.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  contoso.search.windows.net

Permitir o acesso a partir do endereço IP do seu cliente

Os aplicativos cliente que enviam solicitações de indexação e consulta para o serviço de pesquisa devem ser representados em um intervalo de IP. No Azure, você geralmente pode determinar o endereço IP executando ping no FQDN de um serviço (por exemplo, ping <your-search-service-name>.search.windows.net retorna o endereço IP de um serviço de pesquisa).

Adicione o endereço IP do cliente para permitir o acesso ao serviço a partir do portal do Azure no seu computador atual. Navegue até a seção Rede no painel de navegação esquerdo. Altere o Acesso à Rede Pública para Redes Selecionadas e marque Adicionar o endereço IP do cliente em Firewall.

Captura de tela mostrando a adição de ip do cliente ao firewall do serviço de pesquisa

Obter o endereço IP do portal do Azure

Se você estiver usando o portal do Azure ou o assistente de Importação de Dados para criar um indexador, também precisará de uma regra de entrada para o portal do Azure.

Para obter o endereço IP do portal do Azure, execute nslookup (ou ping) em stamp2.ext.search.windows.net, que é o domínio do gerenciador de tráfego. Para nslookup, o endereço IP é visível na parte "Resposta não autorizada" da resposta.

No exemplo a seguir, o endereço IP que você deve copiar é "52.252.175.48".

$ nslookup stamp2.ext.search.windows.net
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.northcentralus.cloudapp.azure.com
Address:  52.252.175.48
Aliases:  stamp2.ext.search.windows.net
          azs-ux-prod.trafficmanager.net
          azspncuux.management.search.windows.net

Serviços em diferentes regiões conectam-se a diferentes gestores de tráfego. Independentemente do nome de domínio, o endereço IP retornado do ping é o correto a ser usado ao definir uma regra de firewall de entrada para o portal do Azure em sua região.

Para ping, a solicitação expira, mas o endereço IP é visível na resposta. Por exemplo, na mensagem "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", o endereço IP é "52.252.175.48".

Obter endereços IP para a etiqueta de serviço "AzureCognitiveSearch"

Você também precisará criar uma regra de entrada que permita solicitações do ambiente de execução multilocatário. Esse ambiente é gerenciado pela Microsoft e é usado para descarregar trabalhos intensivos de processamento que, de outra forma, poderiam sobrecarregar seu serviço de pesquisa. Esta seção explica como obter o intervalo de endereços IP necessários para criar essa regra de entrada.

Um intervalo de endereços IP é definido para cada região que dá suporte ao Azure AI Search. Especifique o intervalo completo para garantir o sucesso das solicitações originadas do ambiente de execução multilocatário.

Você pode obter esse intervalo de endereços IP a AzureCognitiveSearch partir da etiqueta de serviço.

  1. Use a API de descoberta ou o arquivo JSON para download. Se o serviço de pesquisa for a nuvem pública do Azure, baixe o arquivo JSON público do Azure.

  2. Abra o arquivo JSON e procure por "AzureCognitiveSearch". Para um serviço de pesquisa no WestUS2, os endereços IP para o ambiente de execução do indexador multilocatário são:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

  3. Para endereços IP têm o sufixo "/32", solte o "/32" (40.91.93.84/32 torna-se 40.91.93.84 na definição da regra). Todos os outros endereços IP podem ser usados literalmente.

  4. Copie todos os endereços IP da região.

Adicionar endereços IP a regras de firewall IP

Agora que você tem os endereços IP necessários, você pode configurar as regras de entrada. A maneira mais fácil de adicionar intervalos de endereços IP à regra de firewall de uma conta de armazenamento é por meio do portal do Azure.

  1. Localize a conta de armazenamento no portal do Azure e abra Rede no painel de navegação esquerdo.

  2. Na guia Firewall e redes virtuais, escolha Redes selecionadas.

    Captura de ecrã da página Firewall de Armazenamento do Azure e redes virtuais

  3. Adicione os endereços IP obtidos anteriormente no intervalo de endereços e selecione Salvar. Você deve ter regras para o serviço de pesquisa, portal do Azure (opcional), além de todos os endereços IP para a marca de serviço "AzureCognitiveSearch" para sua região.

    Captura de ecrã da secção de endereço IP da página.

Pode levar de cinco a dez minutos para que as regras de firewall sejam atualizadas, após o que os indexadores devem ser capazes de acessar os dados da conta de armazenamento por trás do firewall.

Complemente a segurança da rede com autenticação de token

Firewalls e segurança de rede são um primeiro passo para impedir o acesso não autorizado a dados e operações. A autorização deve ser o seu próximo passo.

Recomendamos o acesso baseado em função, onde os usuários e grupos do Microsoft Entra ID são atribuídos a funções que determinam o acesso de leitura e gravação ao seu serviço. Consulte Conectar-se à Pesquisa de IA do Azure usando controles de acesso baseados em função para obter uma descrição das funções internas e instruções para criar funções personalizadas.

Se você não precisar de autenticação baseada em chave, recomendamos desativar as chaves de API e usar atribuições de função exclusivamente.

Passos Seguintes