Добавление службы поиска в периметр безопасности сети

Внимание

Поддержка поиска ИИ Azure для периметра безопасности сети доступна в общедоступной предварительной версии в соответствии с дополнительными условиями использования. Она доступна в регионах, предоставляющих эту функцию. Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.

Ознакомьтесь с разделом об ограничениях и рекомендациях перед началом работы.

В этой статье объясняется, как присоединить azure AI служба к периметру безопасности сети для управления доступом к службе поиска. Присоединившись к периметру безопасности сети, вы можете:

• Регистрируйте весь доступ к службе поиска в контексте с другими ресурсами Azure в одном периметре.
• Блокировать утечку данных из службы поиска в другие службы за пределами периметра.
• Разрешить доступ к службе поиска с помощью возможностей входящего и исходящего доступа периметра безопасности сети.

Вы можете добавить службу поиска в периметр безопасности сети в портал Azure, как описано в этой статье. Кроме того, можно использовать REST API диспетчера виртуальная сеть Azure для присоединения к службе поиска и использовать REST API службы управления поиском для просмотра и синхронизации параметров конфигурации.

Рекомендации и ограничения

• Для служб поиска в периметре безопасности сети индексаторы должны использовать управляемое удостоверение , назначаемое системой или пользователем, и иметь назначение роли, разрешающее доступ на чтение к источникам данных.

• Поддерживаемые источники данных индексатора в настоящее время ограничены Хранилище BLOB-объектов Azure, Azure Cosmos DB для NoSQL и База данных SQL Azure.

• В настоящее время в периметре подключения индексатора к Azure PaaS для получения данных являются основным вариантом использования. Для исходящих вызовов API на основе исходящих навыков к службам ИИ Azure, Azure OpenAI или каталогу моделей Azure AI Foundry или для входящих вызовов из Azure AI Foundry для сценариев "чат с данными" необходимо настроить правила для входящих и исходящих подключений , чтобы разрешить запросы через периметр. Если требуется частные подключения для фрагментирования и векторизации с поддержкой структуры, необходимо создать общую частную связь и частную сеть.

Необходимые компоненты

• Существующий периметр безопасности сети. Вы можете создать его для связи со службой поиска.

• Поиск ИИ Azure, любой оплачиваемый уровень в любом регионе.

Назначение службы поиска периметру безопасности сети

Периметр безопасности сети Azure позволяет администраторам определять границу логической сетевой изоляции для ресурсов PaaS (например, служба хранилища Azure и База данных SQL Azure), развернутых за пределами виртуальных сетей. Он ограничивает обмен данными с ресурсами в пределах периметра и разрешает общедоступный трафик, отличный от периметра, через правила входящего и исходящего доступа.

Вы можете добавить поиск Azure AI в периметр безопасности сети, чтобы все запросы индексирования и запроса выполнялись в пределах границы безопасности.

1. В портал Azure найдите службу периметра безопасности сети для подписки.

2. Выберите ресурсы в меню слева.

   

3. Выберите "Добавить>связанные ресурсы" с существующим профилем.

   

4. Выберите профиль, созданный при создании периметра безопасности сети для профиля.

5. Выберите "Связать" и выберите созданную службу поиска.

   

6. Выберите "Связать" в левом нижнем углу экрана, чтобы создать связь.

Режимы доступа периметра безопасности сети

Периметр безопасности сети поддерживает два разных режима доступа для связанных ресурсов:

Режим	Description
Режим обучения	Это режим доступа по умолчанию. В режиме обучения периметр безопасности сети регистрирует весь трафик в службу поиска, которая была бы отклонена, если периметр был в принудительном режиме. Это позволяет администраторам сети понять существующие шаблоны доступа службы поиска перед реализацией правил доступа.
Принудительный режим	В принудительном режиме журналы периметра безопасности сети и запрещает весь трафик, который явно не разрешен правилами доступа.

Параметры сети периметра безопасности сети и службы поиска

Параметр publicNetworkAccess определяет связь службы поиска с периметром безопасности сети.

• В режиме publicNetworkAccess обучения параметр управляет общедоступным доступом к ресурсу.

• В принудительном режиме publicNetworkAccess параметр переопределяется правилами периметра безопасности сети. Например, если служба поиска с publicNetworkAccess параметром enabled связана с периметром безопасности сети в принудительном режиме, доступ к службе поиска по-прежнему контролируется правилами доступа к периметру безопасности сети.

Изменение режима доступа к периметру безопасности сети

1. Перейдите к ресурсу периметра безопасности сети в портал Azure.

2. Выберите ресурсы в меню слева.

   

3. Найдите службу поиска в таблице.

4. Выберите три точки в правой части строки службы поиска. Выберите "Изменить режим доступа" во всплывающем ориентации.

   

5. Выберите нужный режим доступа и нажмите кнопку "Применить".

   

Включение доступа к сети ведения журнала

1. Перейдите к ресурсу периметра безопасности сети в портал Azure.

2. Выберите параметры диагностики в меню слева.

   

3. Выберите Добавить параметр диагностики.

4. Введите любое имя, например "диагностика" для имени параметра диагностики.

5. В разделе "Журналы" выберите allLogs. allLogs обеспечивает входной и исходящий сетевой доступ к ресурсам в периметре безопасности сети.

6. В разделе "Сведения о назначении" выберите "Архивировать" в учетную запись хранения или "Отправить в рабочую область Log Analytics". Учетная запись хранения должна находиться в том же регионе, что и периметр безопасности сети. Можно использовать существующую учетную запись хранения или создать новую. Рабочая область Log Analytics может находиться в другом регионе, отличном от используемого периметром безопасности сети. Вы также можете выбрать любой из других применимых направлений.

   

7. Нажмите кнопку "Сохранить", чтобы создать параметр диагностики и начать доступ к сети.

Чтение журналов доступа к сети

Рабочая область Log Analytics

Таблица network-security-perimeterAccessLogs содержит все журналы для каждой категории журналов (например network-security-perimeterPublicInboundResourceRulesAllowed). Каждый журнал содержит запись сетевого доступа периметра безопасности сети, соответствующую категории журнала.

Ниже приведен пример network-security-perimeterPublicInboundResourceRulesAllowed формата журнала:

Имя столбца	Значение	Пример значения
ResultDescription	Имя операции доступа к сети	POST /indexes/my-index/docs/search
Профиль	С каким периметром безопасности сети связана служба поиска	defaultProfile
ServiceResourceId	Идентификатор ресурса службы поиска	search-service-resource-id
Соответствующее правило	Описание JSON правила, соответствующего журналу	{ "accessRule": "IP firewall" }
SourceIPAddress	Исходный IP-адрес входящего сетевого доступа, если применимо	1.1.1.1
AccessRuleVersion	Версия правил доступа к периметру сети, используемых для применения правил доступа к сети	0

Учетная запись хранения

Учетная запись хранения содержит контейнеры для каждой категории журнала (например insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed). Структура папок внутри контейнера соответствует идентификатору ресурса периметра безопасности сети и времени выполнения журналов. Каждая строка в файле журнала JSON содержит запись сетевого доступа периметра безопасности сети, соответствующую категории журнала.

Например, в журнале разрешенных категорий правил входящего периметра используется следующий формат:

"properties": {
    "ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
    "Profile": "defaultProfile",
    "MatchedRule": {
        "AccessRule": "myaccessrule"
    },
    "Source": {
        "IpAddress": "255.255.255.255",
    }
}

Добавление правила доступа для службы поиска

Профиль периметра безопасности сети задает правила, разрешающие или запрещающие доступ через периметр.

В периметре все ресурсы имеют взаимный доступ на уровне сети. Необходимо по-прежнему настроить проверку подлинности и авторизацию, но на уровне сети запросы на подключение из периметра принимаются.

Для ресурсов за пределами периметра безопасности сети необходимо указать правила входящего и исходящего доступа. Правила входящего трафика указывают, какие подключения разрешаются, а правила исходящего трафика указывают, какие запросы разрешены.

Служба поиска принимает входящие запросы из таких приложений, как портал Azure AI Foundry, Машинное обучение Azure поток запросов и любое приложение, которое отправляет индексирование или запросы. Служба поиска отправляет исходящие запросы во время индексирования и выполнения набора навыков на основе индексатора. В этом разделе объясняется, как настроить правила входящего и исходящего доступа для сценариев поиска ИИ Azure.

Примечание.

Любая служба, связанная с периметром безопасности сети, неявно разрешает входящий и исходящий доступ к любой другой службе, связанной с тем же периметром безопасности сети, когда этот доступ проходит проверку подлинности с помощью управляемых удостоверений и назначений ролей. Правила доступа необходимо создавать только при предоставлении доступа за пределами периметра безопасности сети или для доступа, прошедшего проверку подлинности с помощью ключей API.

Добавление правила входящего доступа

Правила входящего доступа могут позволить Интернету и ресурсам за пределами периметра подключаться к ресурсам внутри периметра.

Периметр безопасности сети поддерживает два типа правил входящего доступа:

• Диапазоны IP-адресов. IP-адреса или диапазоны должны находиться в формате маршрутизации без домена (CIDR). Пример нотации CIDR — 192.0.2.0/24, который представляет IP-адреса, которые варьируются от 192.0.2.0 до 192.0.2.255. Этот тип правила разрешает входящие запросы из любого IP-адреса в диапазоне.

• Подписки. Этот тип правила разрешает входящий доступ, прошедший проверку подлинности с помощью любого управляемого удостоверения из подписки.

Чтобы добавить правило входящего доступа в портал Azure, выполните следующие действия.

1. Перейдите к ресурсу периметра безопасности сети в портал Azure.

2. Выберите профили в меню слева.

   

3. Выберите профиль, который вы используете с периметром безопасности сети

   

4. Выберите правила входящего доступа в меню слева.

   

5. Выберите Добавить.

   

6. Введите или выберите следующие значения:

   Параметр	Значение
   Имя правила	Имя правила входящего доступа (например, MyInboundAccessRule).
   Тип источника	Допустимыми значениями являются диапазоны IP-адресов или подписки.
   Разрешенные источники	Если вы выбрали диапазоны IP-адресов, введите диапазон IP-адресов в формате CIDR, из которого требуется разрешить входящий доступ. Диапазоны IP-адресов Azure доступны по этой ссылке. Если выбраны подписки, используйте подписку, из которой требуется разрешить входящий доступ.

7. Нажмите кнопку "Добавить ", чтобы создать правило входящего доступа.

   

Добавление правила исходящего доступа

Служба поиска выполняет исходящие вызовы во время индексирования и выполнения набора навыков на основе индексатора. Если источники данных индексатора, службы ИИ Azure или пользовательская логика навыка находятся вне периметра безопасности сети, необходимо создать правило исходящего доступа, позволяющее службе поиска сделать подключение.

Помните, что в общедоступной предварительной версии поиск ИИ Azure может подключаться только к служба хранилища Azure или Azure Cosmos DB в периметре безопасности. Если индексаторы используют другие источники данных, для поддержки этого подключения требуется правило исходящего доступа.

Периметр безопасности сети поддерживает правила исходящего доступа на основе полного доменного имени (FQDN) назначения. Например, можно разрешить исходящий доступ из любой службы, связанной с периметром безопасности сети, к полному доменному имени, например mystorageaccount.blob.core.windows.net.

Чтобы добавить правило исходящего доступа в портал Azure, выполните следующие действия.

1. Перейдите к ресурсу периметра безопасности сети в портал Azure.

2. Выберите профили в меню слева.

   

3. Выберите профиль, который вы используете с периметром безопасности сети

   

4. Выберите правила для исходящего доступа в меню слева.

   

5. Выберите Добавить.

   

6. Введите или выберите следующие значения:

   Параметр	Значение
   Имя правила	Имя правила исходящего доступа (например, MyOutboundAccessRule)
   Тип назначения	Оставьте полное доменное имя
   Разрешенные назначения	Введите список полных доменных имен, разделенных запятыми, к которым требуется разрешить исходящий доступ

7. Нажмите кнопку "Добавить ", чтобы создать правило исходящего доступа.

   

Проверка подключения через периметр безопасности сети

Чтобы проверить подключение через периметр безопасности сети, вам потребуется доступ к веб-браузеру на локальном компьютере с подключением к Интернету или виртуальной машиной Azure.

1. Измените связь периметра безопасности сети на режим принудительного применения, чтобы начать применять требования к периметру безопасности сети для сетевого доступа к службе поиска.

2. Решите, следует ли использовать локальный компьютер или виртуальную машину Azure.

   1. Если вы используете локальный компьютер, необходимо знать общедоступный IP-адрес.
   2. Если вы используете виртуальную машину Azure, можно использовать приватный канал или проверить IP-адрес с помощью портал Azure.

3. С помощью IP-адреса можно создать правило входящего доступа для этого IP-адреса, чтобы разрешить доступ. Этот шаг можно пропустить, если вы используете приватный канал.

4. Наконец, попробуйте перейти к службе поиска в портал Azure. Если индексы можно просмотреть успешно, периметр безопасности сети настроен правильно.

Просмотр конфигурации периметра безопасности сети и управление ими

Rest API конфигурации периметра безопасности сети можно использовать для проверки и согласования конфигураций периметра.

Обязательно используйте предварительную версию 2024-06-01-previewAPI. Узнайте, как вызывать ИНТЕРФЕЙСы REST API управления.

См. также

• Использование управления доступом на основе ролей Azure в службе "Поиск ИИ Azure"