Indexelőkapcsolatok egy Azure-beli virtuális gépen lévő SQL Server-példányhoz

Ha egy Azure SQL-indexelőt úgy konfigurál, hogy tartalmat nyerjen ki egy Azure-beli virtuális gépen lévő adatbázisból, további lépésekre van szükség a biztonságos kapcsolatokhoz.

Az Azure AI Search és a virtuális gép SQL Server-példánya közötti kapcsolat nyilvános internetkapcsolat. A biztonságos kapcsolatok sikeres végrehajtásához hajtsa végre a következő lépéseket:

• Tanúsítvány beszerzése egy hitelesítésszolgáltatótól a virtuális gépen található SQL Server-példány teljes tartománynevéhez.

• Telepítse a tanúsítványt a virtuális gépre.

Miután telepítette a tanúsítványt a virtuális gépre, készen áll a cikkben szereplő alábbi lépések végrehajtására.

Titkosított kapcsolatok engedélyezése

Az Azure AI Search egy titkosított csatornát igényel az indexelők nyilvános internetkapcsolaton keresztüli kéréseihez. Ez a szakasz a munka végrehajtásának lépéseit sorolja fel.

1. Ellenőrizze a tanúsítvány tulajdonságait annak ellenőrzéséhez, hogy a tulajdonos neve az Azure-beli virtuális gép teljes tartományneve(FQDN).

   A tulajdonságok megtekintéséhez használhat olyan eszközt, mint a CertUtils vagy a Tanúsítványok beépülő modul. Az FQDN-t az Azure Portal Nyilvános IP-cím/DNS-névcímke mezőjében, a virtuálisgép-szolgáltatás alapvető szolgáltatások lapjának Essentials szakaszában szerezheti be.

   A teljes tartománynév általában a következő formátumban van formázva: <your-VM-name>.<region>.cloudapp.azure.com

2. Konfigurálja az SQL Servert a tanúsítvány használatára a Beállításszerkesztő (regedit) használatával.

   Bár a SQL Server Konfigurációkezelő gyakran használják ehhez a feladathoz, ebben a forgatókönyvben nem használhatja. Nem találja az importált tanúsítványt, mert az Azure-beli virtuális gép teljes tartományneve nem egyezik meg a virtuális gép által meghatározott teljes tartománynévvel (a tartományt a helyi számítógépként vagy a hálózati tartományként azonosítja, amelyhez csatlakozik). Ha a nevek nem egyeznek, a regedit használatával adja meg a tanúsítványt.

   1. A regeditben keresse meg ezt a beállításkulcsot: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      A [MSSQL13.MSSQLSERVER] rész a verzió és a példány neve alapján változik.

   2. Állítsa a tanúsítványkulcs értékét a virtuális gépre importált TLS/SSL-tanúsítvány ujjlenyomatára (szóközök nélkül).

   Többféleképpen is beszerezheti az ujjlenyomatot, némelyik jobb, mint mások. Ha a Tanúsítvány beépülő modulból másolja az MMC-be, előfordulhat, hogy a támogatási cikkben leírtak szerint egy láthatatlan kezdő karaktert fog felvenni, ami hibát eredményez a kapcsolat megkísérlésekor. A probléma megoldásához számos áthidaló megoldás létezik. A legegyszerűbb, ha visszatereli az ujjlenyomatot, majd újra begépeli az ujjlenyomat első karakterét a regedit kulcsérték mezőjében lévő kezdő karakter eltávolításához. Másik lehetőségként másik eszközzel másolhatja az ujjlenyomatot.

3. Adjon engedélyeket a szolgáltatásfióknak.

   Győződjön meg arról, hogy az SQL Server szolgáltatásfiók megfelelő engedélyt kap a TLS/SSL-tanúsítvány titkos kulcsára. Ha figyelmen kívül hagyja ezt a lépést, az SQL Server nem indul el. Ehhez a feladathoz használhatja a Tanúsítványok beépülő modult vagy a CertUtilst .

4. Indítsa újra az SQL Server szolgáltatást.

Csatlakozás az SQL Serverhez

Az Azure AI Search által igényelt titkosított kapcsolat beállítása után csatlakozzon a példányhoz a nyilvános végponton keresztül. A következő cikk a kapcsolati követelményeket és szintaxist ismerteti:

• Csatlakozás az SQL Serverhez az interneten keresztül

A hálózati biztonsági csoport konfigurálása

Ajánlott eljárás a hálózati biztonsági csoport (NSG) és a megfelelő Azure-végpont vagy hozzáférés-vezérlési lista (ACL) konfigurálása, hogy az Azure-beli virtuális gép más felek számára is elérhető legyen. Valószínű, hogy korábban már tette, hogy lehetővé tegye a saját alkalmazáslogika számára az SQL Azure-beli virtuális géphez való csatlakozást. Az Azure AI Search és az SQL Azure-beli virtuális gép közötti kapcsolat nem különbözik.

Az alábbi lépések és hivatkozások útmutatást nyújtanak a virtuális gépek üzembe helyezéséhez szükséges NSG-konfigurációval kapcsolatban. Ezeket az utasításokat követve a keresési szolgáltatás végpontját az IP-címe alapján adhatja meg.

1. Szerezze be a keresési szolgáltatás IP-címét. Útmutatásért tekintse meg a következő szakaszt .

2. Adja hozzá a keresési IP-címet a biztonsági csoport IP-szűrőlistájához. A következő cikkek bármelyike ismerteti a lépéseket:

• Oktatóanyag: Hálózati forgalom szűrése hálózati biztonsági csoporttal az Azure Portal használatával

• Hálózati biztonsági csoport létrehozása, módosítása vagy törlése

Az IP-címzés néhány olyan kihívást jelenthet, amelyek könnyen leküzdhetők, ha tisztában van a problémával és a lehetséges megkerülő megoldásokkal. A fennmaradó szakaszok javaslatokat nyújtanak az ACL IP-címeivel kapcsolatos problémák kezelésére.

Az Azure AI Search hálózati hozzáférésének korlátozása

Határozottan javasoljuk, hogy korlátozza a keresési szolgáltatás IP-címéhez és a szolgáltatáscímkék IP-címtartományához AzureCognitiveSearchvaló hozzáférést az ACL-ben ahelyett, hogy az SQL Azure-beli virtuális gépeket minden kapcsolatkérésre megnyitná.

Az IP-címet a keresési szolgáltatás teljes tartománynevének (például <your-search-service-name>.search.windows.net) pingelésével állapíthatja meg. Bár lehetséges, hogy a keresési szolgáltatás IP-címe megváltozik, nem valószínű, hogy megváltozik. Az IP-cím általában statikus a szolgáltatás teljes élettartama alatt.

A szolgáltatáscímke IP-címtartományát AzureCognitiveSearchletöltő JSON-fájlokkal vagy a Service Tag Discovery API-val derítheti ki. Az IP-címtartomány hetente frissül.

Az Azure Portal IP-címeinek belefoglalása

Ha az Azure Portalt használja indexelő létrehozásához, az Azure Portalnak bejövő hozzáférést kell adnia az SQL Azure-beli virtuális géphez. A tűzfal bejövő szabályához meg kell adnia az Azure Portal IP-címét.

Az Azure Portal IP-címének lekéréséhez pingelje stamp2.ext.search.windows.neta traffic manager tartományát. A kérés túllépi az időkorlátot, de az IP-cím látható az állapotüzenetben. A "Pingelés azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" üzenetben például az IP-cím "52.252.175.48".

A különböző régiókban lévő fürtök különböző forgalomkezelőkhöz csatlakoznak. A tartománynévtől függetlenül a pingelésből visszaadott IP-cím a megfelelő, amelyet a régióban lévő Azure Portal bejövő tűzfalszabályának definiálásakor használhat.

Hálózati biztonság kiegészítése jogkivonat-hitelesítéssel

A tűzfalak és a hálózati biztonság az adatokhoz és műveletekhez való jogosulatlan hozzáférés megelőzésének első lépése. Az engedélyezésnek a következő lépésnek kell lennie.

A szerepköralapú hozzáférést javasoljuk, ahol a Microsoft Entra ID felhasználói és csoportjai olyan szerepkörökhöz vannak rendelve, amelyek meghatározzák a szolgáltatás olvasási és írási hozzáférését. A beépített szerepkörök leírását és az egyéni szerepkörök létrehozására vonatkozó utasításokat lásd: Csatlakozás az Azure AI Searchhöz szerepköralapú hozzáférés-vezérlőkkel .

Ha nincs szüksége kulcsalapú hitelesítésre, javasoljuk, hogy tiltsa le az API-kulcsokat, és kizárólag szerepkör-hozzárendeléseket használjon.

Következő lépések

Ha a konfiguráció nem megfelelő, most már megadhatja az Azure-beli virtuális gépen lévő SQL Servert egy Azure AI Search-indexelő adatforrásaként. További információ: Indexadatok az Azure SQL-ből.