Konfigurieren einer IP-Firewall für Azure KI Search
Azure AI Search unterstützt IP-Regeln für eingehenden Zugriff über eine Firewall, ähnlich wie die IP-Regeln in einer Azure Virtual Network-Sicherheitsgruppe. Durch anwenden von IP-Regeln können Sie den Dienstzugriff auf eine genehmigte Gruppe von Geräten und Clouddiensten einschränken. Eine IP-Regel lässt die Anforderung nur durch. Der Zugriff auf Daten und Vorgänge erfordert weiterhin, dass der Aufrufer ein gültiges Autorisierungstoken darstellt.
Sie können IP-Regeln wie in diesem Artikel beschrieben im Azure-Portal festlegen oder die Verwaltungs-REST-API, Azure PowerShell oder die Azure-Befehlszeilenschnittstelle (Azure Command Line Interface, CLI) verwenden.
Hinweis
Um auf einen durch eine IP-Firewall geschützten Suchdienst über das Portal zuzugreifen, lassen Sie den Zugriff von einem bestimmten Client und der Portal-IP-Adresse aus zu.
Voraussetzungen
- Ein Suchdienst auf der Basic-Dienstebene oder höher
Einrichten von IP-Adressbereichen im Azure-Portal
Melden Sie sich beim Azure-Portal an, und wechseln Sie zur Seite des Azure KI Search-Diensts.
Wählen Sie im Navigationsbereich auf der linken Seite Netzwerk aus.
Legen Sie Öffentlicher Netzwerkzugriff auf Ausgewählte Netzwerke fest. Wenn die Konnektivität auf Deaktiviert festgelegt ist, können Sie nur über einen privaten Endpunkt auf Ihren Suchdienst zugreifen.
Die Azure-Portal unterstützt IP-Adressen und IP-Adressbereiche im CIDR-Format. Ein Beispiel für die CIDR-Notation ist „8.8.8.0/24“, womit die IPs im Bereich zwischen 8.8.8.0 und 8.8.8.255 dargestellt werden.
Wählen Sie unter Firewall die Option Client-IP-Adresse hinzufügen aus, um eine Eingangsregel für die IP-Adresse Ihres Systems zu erstellen.
Fügen Sie weitere Client-IP-Adressen für andere Computer, Geräte und Dienste hinzu, die Anforderungen an einen Suchdienst senden.
Nach dem Aktivieren der IP-Zugriffssteuerungsrichtlinie für Ihren Azure KI Search-Dienst werden alle Anforderungen an die Datenebene von Computern abgelehnt, die nicht in der Liste der zulässigen IP-Adressbereiche enthalten sind.
Abgelehnte Anforderungen
Für Anforderungen von IP-Adressen, die nicht in der Liste zulässiger Adressen enthalten sind, wird eine generische Antwort vom Typ 403 Unzulässig ohne zusätzliche Details zurückgegeben.
Zugriff über die IP-Adresse des Azure-Portals zulassen
Werden IP-Regeln konfiguriert, werden einige Features des Azure-Portals deaktiviert. Sie können Informationen auf Dienstebene anzeigen und verwalten, aber der Portalzugriff auf Indizes, Indexer und andere Ressourcen auf oberster Ebene ist eingeschränkt. Sie können den Portalzugriff auf sämtliche Suchdienstvorgänge wiederherstellen, indem Sie den Zugriff von der IP-Adresse des Portals und Ihrer Client-IP-Adresse erlauben.
Um die IP-Adresse des Portals abrufen zu können, führen Sie nslookup (oder ping) auf stamp2.ext.search.windows.net, der Domäne des Traffic-Managers, aus. Bei „nslookup“ ist die IP-Adresse im Teil „Nicht autoritative Antwort“ der Antwort sichtbar.
Im folgenden Beispiel lautet 52.252.175.48die IP-Adresse, die Sie kopieren sollten.
$ nslookup stamp2.ext.search.windows.net
Server: ZenWiFi_ET8-0410
Address: 192.168.50.1
Non-authoritative answer:
Name: azsyrie.northcentralus.cloudapp.azure.com
Address: 52.252.175.48
Aliases: stamp2.ext.search.windows.net
azs-ux-prod.trafficmanager.net
azspncuux.management.search.windows.net
Wenn Dienste in verschiedenen Regionen ausgeführt werden, stellen sie eine Verbindung mit verschiedenen Datenverkehrsmanagern her. Unabhängig vom Domänenname ist die IP-Adresse, die vom Ping zurückgegeben wird, die richtige, wenn Sie eine eingehende Firewallregel für das Azure-Portal in Ihrer Region definieren.
Beim Ping wird die Anforderung timeout, aber die IP-Adresse ist in der Antwort sichtbar. In der Nachricht "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"lautet 52.252.175.48beispielsweise die IP-Adresse .
Die Bereitstellung von IP-Adressen für Clients stellt sicher, dass die Anforderung nicht direkt abgelehnt wird, aber für den erfolgreichen Zugriff auf Inhalte und Vorgänge ist auch eine Autorisierung erforderlich. Verwenden Sie eine der folgenden Methoden, um Ihre Anforderung zu authentifizieren:
- Schlüsselbasierte Authentifizierung, bei der ein Administrator- oder Abfrage-API-Schlüssel für die Anforderung bereitgestellt wird
- Rollenbasierte Autorisierung, bei der der Aufrufer Mitglied einer Sicherheitsrolle für einen Suchdienst ist und die registrierte App ein OAuth-Token bereitstellt, das von Microsoft Entra ID stammt.
Nächste Schritte
Wenn Ihre Clientanwendung eine statische Web-App in Azure ist, erfahren Sie, wie Sie ihren IP-Adressbereich für die Aufnahme in eine IP-Firewallregel des Suchdiensts bestimmen.