Hálózati hozzáférési és tűzfalszabályok konfigurálása az Azure AI Search szolgáltatáshoz
Ez a cikk azt ismerteti, hogyan korlátozhatja a keresési szolgáltatás nyilvános végpontjának hálózati hozzáférését. A nyilvános végponthoz való összes adatsík-hozzáférés letiltásához használjon privát végpontokat és egy Azure-beli virtuális hálózatot.
Ez a cikk feltételezi, hogy az Azure Portal konfigurálja a hálózati hozzáférési beállításokat. Használhatja a Felügyeleti REST API-t, az Azure PowerShellt vagy az Azure CLI-t is.
Előfeltételek
Keresési szolgáltatás, bármely régió az alapszintű vagy magasabb szinten
Tulajdonosi vagy közreműködői engedélyek
Mikor kell konfigurálni a hálózati hozzáférést?
Alapértelmezés szerint az Azure AI Search úgy van konfigurálva, hogy engedélyezze a nyilvános végponton keresztüli kapcsolatokat. A keresési szolgáltatás nyilvános végponton keresztüli elérését hitelesítési és engedélyezési protokollok védik, de maga a végpont nyitva áll az internet felé az adatsík-kérelmek hálózati rétegében.
Ha nem nyilvános webhelyet üzemeltet, érdemes lehet úgy konfigurálni a hálózati hozzáférést, hogy automatikusan elutasítsa a kéréseket, kivéve, ha azok jóváhagyott eszközökből és felhőszolgáltatásokból származnak.
A nyilvános végponthoz való hozzáférés korlátozásának két mechanizmusa van:
- A bejövő szabályok felsorolják azokat az IP-címeket, tartományokat vagy alhálózatokat, amelyekből a kérelmeket beengedik
- Kivételek a hálózati szabályok alól, ha a kérelmeket ellenőrzés nélkül fogadják el, feltéve, hogy a kérés megbízható szolgáltatásból származik
Nincs szükség hálózati szabályokra, de biztonsági ajánlott eljárás, ha az Azure AI Search használatával privát vagy belső vállalati tartalmakat keres.
A hálózati szabályok hatóköre a keresési szolgáltatás nyilvános végpontján végzett adatsík-műveletekre terjed ki. Az adatsík-műveletek közé tartoznak az indexek létrehozása vagy lekérdezése, valamint a Search REST API-k által leírt összes többi művelet. Vezérlősík-műveletek célszolgáltatás-felügyelete. Ezek a műveletek erőforrás-szolgáltatói végpontokat határoznak meg, amelyekre az Azure Resource Manager által támogatott hálózati védelem vonatkozik.
Korlátozások
A nyilvános végpont zárolásának néhány hátránya van.
Időbe telik az IP-tartományok teljes azonosítása és a tűzfalak beállítása, és ha a koncepcióellenőrzés és -vizsgálat korai szakaszában van, és mintaadatokat használ, érdemes elhalasztani a hálózati hozzáférés-vezérlést, amíg ténylegesen szüksége nem lesz rájuk.
Egyes munkafolyamatok nyilvános végponthoz való hozzáférést igényelnek. Az Azure Portal importálási varázslói a beépített (üzemeltetett) mintaadatokhoz csatlakoznak, és modelleket ágyaznak be a nyilvános végpontra. Átválthat kódra vagy szkriptre, hogy ugyanazokat a feladatokat végezze el, amikor tűzfalszabályok működnek, de ha futtatni szeretné a varázslókat, a nyilvános végpontnak elérhetőnek kell lennie. További információ: Biztonságos kapcsolatok az importálási varázslókban.
Hálózati hozzáférés konfigurálása az Azure Portalon
Jelentkezzen be az Azure Portalra, és keresse meg a keresési szolgáltatást.
A Beállítások területen válassza a Hálózatkezelés lehetőséget a bal szélső panelen. Ha nem látja ezt a lehetőséget, ellenőrizze a szolgáltatási szintet. A hálózatkezelési lehetőségek az alapszintű és a magasabb szinten érhetők el.
Válassza ki a kijelölt IP-címeket. Kerülje a Letiltott beállítást, kivéve, ha privát végpontot konfigurál.
Ha ezt a lehetőséget választja, további beállítások válnak elérhetővé.
Az IP-tűzfal területen válassza az Ügyfél IP-címének hozzáadása lehetőséget a személyes eszköz nyilvános IP-címéhez tartozó bejövő szabály létrehozásához. Részletekért lásd : Hozzáférés engedélyezése az Azure Portal IP-címéről .
Adjon hozzá más ügyfél IP-címeket más eszközökhöz és szolgáltatásokhoz, amelyek kéréseket küldenek egy keresési szolgáltatásnak.
Az IP-címek és -tartományok CIDR formátumban vannak. A CIDR jelölésére példa a 8.8.8.0/24, amely a 8.8.8.0 és 8.8.8.255 közötti IP-címeket jelöli.
Ha a keresési ügyfél statikus webalkalmazás az Azure-ban, tekintse meg a bejövő és kimenő IP-címeket Azure-alkalmazás Szolgáltatásban. Az Azure Functions esetében lásd az Azure Functions IP-címeit.
A Kivételek csoportban válassza az Azure-szolgáltatások engedélyezése a megbízható szolgáltatások listájában a keresési szolgáltatás eléréséhez. A megbízható szolgáltatáslista a következőket tartalmazza:
-
Microsoft.CognitiveServices
Azure OpenAI- és Azure AI-szolgáltatásokhoz -
Microsoft.MachineLearningServices
Azure Machine Learninghez
Ha engedélyezi ezt a kivételt, függőséget vállal a Microsoft Entra-azonosító hitelesítése, a felügyelt identitások és a szerepkör-hozzárendelések között. Bármely Azure AI-szolgáltatás vagy AML-szolgáltatás, amely érvényes szerepkör-hozzárendeléssel rendelkezik a keresési szolgáltatásban, megkerülheti a tűzfalat. További részletekért lásd: Hozzáférés biztosítása megbízható szolgáltatásokhoz .
-
Mentse a módosításokat.
Miután engedélyezte az Azure AI-Search szolgáltatás IP-hozzáférés-vezérlési szabályzatát, a rendszer elutasítja az ip-címtartományok engedélyezett listáján kívüli gépekről érkező adatsíkra irányuló összes kérést.
Ha a kérések olyan IP-címekről származnak, amelyek nem szerepelnek az engedélyezett listában, a rendszer egy általános 403 Tiltott választ ad vissza más részletek nélkül.
Fontos
A módosítások érvénybe lépése több percet is igénybe vehet. Várjon legalább 15 percet a hálózati konfigurációval kapcsolatos problémák elhárítása előtt.
Hozzáférés engedélyezése az Azure Portal IP-címéről
Az IP-szabályok konfigurálásakor az Azure Portal egyes funkciói le lesznek tiltva. Megtekintheti és kezelheti a szolgáltatásszintű információkat, de a portál hozzáférése az importálási varázslókhoz, indexekhez, indexelőkhöz és más legfelső szintű erőforrásokhoz korlátozott.
Az Azure Portal IP-címének hozzáadásával visszaállíthatja a portál hozzáférését a keresési szolgáltatás teljes tartományához.
Az Azure Portal IP-címének lekéréséhez hajtsa végre nslookup
(vagy ping
) a következőt:
-
stamp2.ext.search.windows.net
, amely az Azure nyilvános felhő forgalomkezelőjének tartománya. -
stamp2.ext.search.azure.us
az Azure Government-felhőhöz.
Az nslookup esetében az IP-cím a válasz "Nem mérvadó válasz" részében látható. Az alábbi példában a másolandó IP-cím a következő 52.252.175.48
.
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
Amikor a szolgáltatások különböző régiókban futnak, különböző forgalomkezelőkhöz csatlakoznak. A tartománynévtől függetlenül a pingelésből visszaadott IP-cím a megfelelő, amelyet a régióban lévő Azure Portal bejövő tűzfalszabályának definiálásakor használhat.
Ping esetén a kérés túllépi az időkorlátot, de az IP-cím látható a válaszban. Az üzenetben "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"
például az IP-cím a következő 52.252.175.48
.
A szalagcím arról tájékoztatja, hogy az IP-szabályok hatással vannak az Azure Portal felületére. Ez a szalagcím az Azure Portal IP-címének hozzáadása után is látható marad. Ne felejtsen el néhány percet várni, amíg a hálózati szabályok érvénybe lépnek a tesztelés előtt.
Hozzáférés biztosítása megbízható Azure-szolgáltatásokhoz
Kiválasztotta a megbízható szolgáltatások kivételét? Ha igen, a keresési szolgáltatás az IP-cím ellenőrzése nélkül fogadja a megbízható Azure-erőforrástól érkező kéréseket és válaszokat. A megbízható erőforrásoknak felügyelt identitással (rendszer vagy felhasználó által hozzárendelt, de általában rendszer) kell rendelkezniük. A megbízható erőforrásoknak rendelkezniük kell egy szerepkör-hozzárendeléssel az Azure AI Searchben, amely engedélyt ad az adatokra és műveletekre.
Az Azure AI Search megbízható szolgáltatáslistája a következőket tartalmazza:
-
Microsoft.CognitiveServices
Azure OpenAI- és Azure AI-szolgáltatásokhoz -
Microsoft.MachineLearningServices
Azure Machine Learninghez
A hálózati kivétel munkafolyamatai az Azure AI Foundryből vagy más AML-funkciókból az Azure AI Searchbe érkező kérések. A megbízható szolgáltatások kivétele általában az Azure OpenAI On Your Data-forgatókönyvekben a kiterjesztett generációs (RAG) és a játszótéri környezetek lekéréséhez szükséges.
A megbízható erőforrásoknak felügyelt identitással kell rendelkezniük
Felügyelt identitások beállítása az Azure OpenAI-hoz és az Azure Machine Learninghez:
- Az Azure OpenAI szolgáltatás konfigurálása felügyelt identitásokkal
- Hitelesítés beállítása az Azure Machine Learning és más szolgáltatások között.
Felügyelt identitás beállítása egy Azure AI-szolgáltatáshoz:
- Keresse meg többszolgáltatásos fiókját.
- A bal szélső panel Erőforrás-kezelés területén válassza az Identitás lehetőséget.
- Állítsa be a rendszer által be van rendelve.
A megbízható erőforrásoknak szerepkör-hozzárendeléssel kell rendelkezniük
Miután az Azure-erőforrás rendelkezik felügyelt identitással, szerepköröket rendelhet az Azure AI Search szolgáltatáshoz, hogy engedélyeket adjon az adatokhoz és műveletekhez.
A megbízható szolgáltatásokat vektorizálási számítási feladatokhoz használják: vektorokat hoznak létre szöveg- és képtartalmakból, és hasznos adatokat küldenek vissza a keresési szolgáltatásnak lekérdezések végrehajtásához vagy indexeléséhez. A megbízható szolgáltatásból származó kapcsolatok hasznos adatok azure AI-kereséshez való továbbítására szolgálnak.
A bal szélső panel Hozzáférés-vezérlés (IAM) területén válassza az Identitás lehetőséget.
Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.
A Szerepkörök lapon:
- A Keresési index adatszolgáltatója lehetőséget választva betölthet egy beágyazási modell által létrehozott vektorokkal rendelkező keresési indexet. Akkor válassza ezt a szerepkört, ha integrált vektorizálást szeretne használni az indexelés során.
- Vagy válassza a Keresési index adatolvasó lehetőséget a beágyazási modell által a lekérdezési időpontban létrehozott vektort tartalmazó lekérdezések megadásához. A lekérdezésekben használt beágyazás nem indexbe van írva, ezért nincs szükség írási engedélyekre.
Válassza a Tovább lehetőséget.
A Tagok lapon válassza a Felügyelt identitás és a Tagok kiválasztása lehetőséget.
Szűrjön rendszer által felügyelt identitás alapján, majd válassza ki az Azure AI többszolgáltatásos fiókjának felügyelt identitását.
Feljegyzés
Ez a cikk a keresési szolgáltatásnak küldött kérelmek megbízható kivételét ismerteti, de az Azure AI Search szerepel a többi Azure-erőforrás megbízható szolgáltatások listájában. A megbízható szolgáltatáskivételt az Azure AI Search és az Azure Storage közötti kapcsolatokhoz használhatja.
Következő lépések
Ha egy kérés engedélyezve van a tűzfalon keresztül, hitelesíteni és engedélyezni kell. Két lehetőség áll rendelkezésre:
Kulcsalapú hitelesítés, ahol a kérelemben rendszergazdai vagy lekérdezési API-kulcs található. Ez az alapértelmezett beállítás.
Szerepköralapú hozzáférés-vezérlés a Microsoft Entra ID használatával, ahol a hívó egy keresési szolgáltatás biztonsági szerepkörének tagja. Ez a legbiztonságosabb lehetőség. A Microsoft Entra-azonosítót használja hitelesítéshez és szerepkör-hozzárendelésekhez az Azure AI Searchben az adatokhoz és műveletekhez való engedélyekhez.