Indexelő hozzáférés az Azure hálózati biztonsága által védett tartalmakhoz
Ha a keresési megoldás követelményei egy Azure-beli virtuális hálózatot tartalmaznak, ez a fogalomcikk azt ismerteti, hogy a keresési indexelő hogyan férhet hozzá a hálózati biztonság által védett tartalmakhoz. Ismerteti a kimenő forgalom mintáit és az indexelő végrehajtási környezeteit. Emellett az Azure AI Search által támogatott hálózati védelmet és azokat a tényezőket is ismerteti, amelyek befolyásolhatják a biztonsági stratégiát. Végül, mivel az Azure Storage az adathozzáféréshez és az állandó tároláshoz is használható, ez a cikk a keresési és tárolási kapcsolatokra vonatkozó hálózati szempontokat is ismerteti.
Lépésenkénti utasításokat keres? Tekintse meg a tűzfalszabályok konfigurálását az indexelők hozzáférésének engedélyezéséhez, illetve a kimenő kapcsolatok privát végponton keresztüli létesítéséhez.
Indexelők által elért erőforrások
Az Azure AI Search-indexelők kimenő hívásokat kezdeményezhetnek különböző Azure-erőforrásokhoz a végrehajtás során. Az indexelő három esetben indít kimenő hívásokat:
- Csatlakozás külső adatforrásokhoz az indexelés során
- Csatlakozás külső, beágyazott kódhoz egyéni képességeket tartalmazó készségkészleten keresztül
- Csatlakozás az Azure Storage-ba a képességkészlet végrehajtása során a gyorsítótár-bővítések gyorsítótárazásához, a hibakeresési munkamenet állapotának mentéséhez vagy egy tudástárba való íráshoz
Az indexelők által egy tipikus futtatás során elérhető összes lehetséges Azure-erőforrástípus listája az alábbi táblázatban található.
| Resource | Az indexelő futtatásának célja |
|---|---|
| Azure Storage (blobok, ADLS Gen 2, fájlok, táblák) | Adatforrás |
| Azure Storage (blobok, táblák) | Képességkészletek (gyorsítótárazási bővítések, hibakeresési munkamenetek, tudástár-előrejelzések) |
| Azure Cosmos DB (különböző API-k) | Adatforrás |
| Azure SQL Database | Adatforrás |
| Azure-beli virtuális gépen futó SQL Server | Adatforrás |
| SQL Managed Instance | Adatforrás |
| Azure Functions | Egy készségkészlethez csatolva, és egyéni webes API-képességek üzemeltetésére szolgál |
Megjegyzés:
Az indexelők az Azure AI-szolgáltatásokhoz is csatlakoznak a beépített készségek érdekében. Ez a kapcsolat azonban a belső hálózaton keresztül jön létre, és nem vonatkoznak az Ön felügyelete alá tartozó hálózati rendelkezésekre.
Támogatott hálózati védelem
Az Azure-erőforrások bármilyen számú, az Azure által kínált hálózatelkülönítési mechanizmussal védhetők. Az erőforrástól és a régiótól függően az Azure AI Search indexelői IP-tűzfalakon és privát végpontokon keresztül hozhatnak létre kimenő kapcsolatokat, az alábbi táblázatban ismertetett korlátozásokra is figyelemmel.
| Resource | IP-korlátozás | Privát végpont |
|---|---|---|
| Azure Storage szövegalapú indexeléshez (blobok, ADLS Gen 2, fájlok, táblák) | Csak akkor támogatott, ha a tárfiók és a keresési szolgáltatás különböző régiókban található. | Támogatott |
| Azure Storage AI-bővítéshez (gyorsítótárazás, hibakeresési munkamenetek, tudástár) | Csak akkor támogatott, ha a tárfiók és a keresési szolgáltatás különböző régiókban található. | Támogatott |
| Azure Cosmos DB for NoSQL | Támogatott | Támogatott |
| Azure Cosmos DB a MongoDB-hez | Támogatott | Támogatott |
| Azure Cosmos DB for Apache Gremlin | Támogatott | Támogatott |
| Azure SQL Database | Támogatott | Támogatott |
| Azure-beli virtuális gépen futó SQL Server | Támogatott | N/A |
| SQL Managed Instance | Támogatott | N/A |
| Azure Functions | Támogatott | Támogatott, csak az Azure-függvények bizonyos szintjeihez |
Indexelő végrehajtási környezete
Az Azure AI Search egy indexelő végrehajtási környezet koncepcióját használja, amely a feladat jellemzői alapján optimalizálja a feldolgozást. Két környezet van. Ha IP-tűzfalat használ az Azure-erőforrásokhoz való hozzáférés szabályozásához, a végrehajtási környezetek ismerete segít beállítani a mindkettőt magában foglaló IP-tartományt.
Egy adott indexelő futtatása esetén az Azure AI Search határozza meg az indexelő futtatásának legjobb környezetét. A hozzárendelt tevékenységek számától és típusától függően az indexelő két környezet egyikében fog futni:
Egy keresési szolgáltatáson belüli privát végrehajtási környezet .
A privát környezetben futó indexelők számítástechnikai erőforrásokat osztanak meg más indexelési és lekérdezési számítási feladatokkal ugyanazon a keresési szolgáltatáson. Ebben a környezetben általában csak a szövegalapú indexelést (képességkészletek nélkül) végző indexelők futnak.
Egy több-bérlős környezet , amelyet a Microsoft felügyel és biztosít extra költségek nélkül. Nem vonatkoznak rá az Ön felügyelete alatt álló hálózati rendelkezések.
Ez a környezet a számítási igényes feldolgozás kiszervezésére szolgál, így szolgáltatásspecifikus erőforrások állnak rendelkezésre a rutinműveletek számára. Az erőforrás-igényes indexelő feladatok közé tartozik például a képességkészletek csatolása, a nagy méretű dokumentumok feldolgozása vagy a nagy mennyiségű dokumentum feldolgozása.
Az alábbi szakasz ismerteti az IP-konfigurációt, amely lehetővé teheti a kérések bármelyik végrehajtási környezetből való beengedését.
IP-tartományok beállítása az indexelő végrehajtásához
Ha a forrásadatokat biztosító Azure-erőforrás tűzfal mögött létezik, olyan bejövő szabályokra van szükség , amelyek az indexelői kapcsolatokat minden olyan IP-címhez beengedik, ahonnan egy indexelő kérés származhat. Az IP-címek közé tartozik a keresési szolgáltatás és a több-bérlős környezet által használt ip-címek.
A keresési szolgáltatás (és a privát végrehajtási környezet) IP-címének lekéréséhez használja
nslookup(vagyping) a keresési szolgáltatás teljes tartománynevét (FQDN). A nyilvános felhőben lévő keresési szolgáltatás teljes tartományneve a következő lenne<service-name>.search.windows.net: .A több-bérlős környezetek IP-címeinek lekéréséhez, amelyeken belül egy indexelő futhat, használja a
AzureCognitiveSearchszolgáltatáscímkét.Az Azure-szolgáltatáscímkék minden szolgáltatáshoz közzétett IP-címtartományt tartalmaznak. Ezeket az IP-címeket a felderítési API-val vagy egy letölthető JSON-fájllal találja meg. Az IP-tartományok régiónként vannak lefoglalva, ezért a kezdés előtt ellenőrizze a keresési szolgáltatási régiót.
A több-bérlős környezet IP-szabályának beállításakor bizonyos SQL-adatforrások támogatják az IP-címek specifikációjának egyszerű megközelítését. A szabály összes IP-címének felsorolása helyett létrehozhat egy hálózati biztonsági csoport szabályt , amely megadja a AzureCognitiveSearch szolgáltatáscímkét.
Megadhatja a szolgáltatáscímkét, ha az adatforrás a következő:
Figyelje meg, hogy ha a több-bérlős környezet IP-szabályának szolgáltatáscímkéjét adta meg, akkor is szüksége lesz egy explicit bejövő szabályra a privát végrehajtási környezethez (vagyis magának a keresési szolgáltatásnak) a lekért nslookupmódon.
Kapcsolati megközelítés kiválasztása
Ha az Azure AI Searcht virtuális hálózaton futó megoldásba integrálja, vegye figyelembe a következő korlátozásokat:
Az indexelők nem tudnak közvetlen kapcsolatot létesíteni egy virtuális hálózati szolgáltatásvégponttal. A hitelesítő adatokkal, privát végpontokkal, megbízható szolgáltatással és IP-címzéssel rendelkező nyilvános végpontok az indexelő kapcsolatok egyetlen támogatott módszertana.
A keresési szolgáltatások mindig a felhőben futnak, és nem építhetők ki egy adott virtuális hálózatba, natív módon futnak egy virtuális gépen. Ezt a funkciót az Azure AI Search nem fogja kínálni.
A fenti korlátozásokat figyelembe véve a keresési integráció virtuális hálózatokban való elérésének lehetőségei a következők:
Konfiguráljon egy bejövő tűzfalszabályt az Azure PaaS-erőforráson, amely engedélyezi az indexelők adatkéréseit.
Konfiguráljon egy kimenő kapcsolatot a Keresésből, amely az indexelő kapcsolatokat privát végpont használatával hozza létre.
Privát végpont esetén a keresési szolgáltatás kapcsolata a védett erőforrással megosztott privát kapcsolaton keresztül történik. A megosztott privát hivatkozás egy Azure Private Link-erőforrás , amelyet az Azure AI Search szolgáltatásból hoztak létre, kezelnek és használnak. Ha az erőforrások teljes mértékben zárolva vannak (védett virtuális hálózaton futnak, vagy más módon nem érhetők el nyilvános kapcsolaton keresztül), a privát végpont az egyetlen választás.
A privát végponton keresztüli Csatlakozás a keresési szolgáltatás privát végrehajtási környezetéből kell származnia. Ennek a követelménynek a teljesítéséhez le kell tiltania a több-bérlős végrehajtást. Ezt a lépést a Kimenő kapcsolatok létrehozása privát végponton keresztül című témakörben ismertetjük.
Az IP-tűzfal konfigurálása ingyenes. Az Azure Private Linken alapuló privát végpontnak számlázási hatása van.
Privát végpont használata
Ez a szakasz a kimenő indexelő kapcsolatokhoz tartozó privát végpont beállításának fő lépéseit foglalja össze. Ez az összefoglalás segíthet eldönteni, hogy a magánvégpont a legjobb választás-e a forgatókönyvhöz. A részletes lépéseket a Kimenő kapcsolatok privát végponton keresztüli létrehozása című témakörben találja.
Az Azure Private Link számlázási hatása
A megosztott privát hivatkozásokhoz számlázható keresési szolgáltatásra van szükség, ahol a minimális szint a szövegalapú indexeléshez alapszintű, a készségalapú indexeléshez pedig standard 2 (S2). Részletekért tekintse meg a privát végpontok számának rétegkorlátait .
A bejövő és kimenő kapcsolatokra az Azure Private Link díjszabása vonatkozik.
1. lépés: Privát végpont létrehozása a biztonságos erőforráshoz
Egy megosztott privát hivatkozást fog létrehozni a keresési szolgáltatás portállapjaival vagy a Felügyeleti API-val.
Az Azure AI Searchben a keresési szolgáltatásnak legalább a szövegalapú indexelők alapszintjének, a készségkészlettel rendelkező indexelőknek pedig S2-nek kell lennie.
A privát végpontkapcsolatok a privát indexelő végrehajtási környezetéből érkező kéréseket fogadják el, a több-bérlős környezettől azonban nem. Ennek a követelménynek a teljesítéséhez le kell tiltania a több-bérlős végrehajtást a 3. lépésben leírtak szerint.
2. lépés: A privát végpont kapcsolatának jóváhagyása
Amikor a megosztott privát kapcsolatú erőforrást létrehozó (aszinkron) művelet befejeződik, a privát végpontkapcsolat "Függőben" állapotban jön létre. A kapcsolaton még nincs forgalom.
Ezt a kérést meg kell keresnie és jóvá kell hagynia a biztonságos erőforráson. Az erőforrástól függően ezt a feladatot az Azure Portalon is elvégezheti. Ellenkező esetben használja a Private Link Service REST API-t.
3. lépés: Indexelők kényszerítése a "privát" környezetben való futtatásra
Privát végpontkapcsolatok esetén az indexelő "Private"beállítása executionEnvironment kötelező. Ez a lépés biztosítja, hogy az indexelők végrehajtása a keresési szolgáltatásban kiépített privát környezetre korlátozódjon.
Ez a beállítás egy indexelőre terjed ki, nem pedig a keresési szolgáltatásra. Ha azt szeretné, hogy minden indexelő privát végpontokon keresztül csatlakozzon, mindegyiknek a következő konfigurációval kell rendelkeznie:
{
"name" : "myindexer",
... other indexer properties
"parameters" : {
... other parameters
"configuration" : {
... other configuration properties
"executionEnvironment": "Private"
}
}
}
Miután jóváhagyott privát végpontot adott meg egy erőforráshoz, a privátnak beállított indexelők az Azure-erőforráshoz létrehozott és jóváhagyott privát kapcsolaton keresztül próbálják meg elérni a hozzáférést.
Az Azure AI Search ellenőrzi, hogy a privát végpont hívói rendelkeznek-e megfelelő Azure RBAC-szerepkör-engedélyekkel. Ha például magánvégpont-kapcsolatot kér egy írásvédett engedélyekkel rendelkező tárfiókhoz, a rendszer elutasítja a hívást.
Ha a privát végpont nincs jóváhagyva, vagy ha az indexelő nem használta a privát végpontkapcsolatot, hibaüzenet jelenik meg transientFailure az indexelőzmények végrehajtási előzményeiben.
Hozzáférés hálózati védelem alatt álló tárfiókhoz
A keresési szolgáltatás indexeket és szinonimalistákat tárol. A tárterületet igénylő egyéb funkciók esetében az Azure AI Search függőséget vesz igénybe az Azure Storage-ról. A bővítési gyorsítótárazás, a hibakeresési munkamenetek és a tudástárak ebbe a kategóriába tartoznak. Az egyes szolgáltatások helye és a tároláshoz használt hálózati védelem határozza meg az adathozzáférési stratégiát.
Azonos régiós szolgáltatások
Az Azure Storage-ban a tűzfalon keresztüli hozzáférés megköveteli, hogy a kérés egy másik régióból származik. Ha az Azure Storage és az Azure AI Search ugyanabban a régióban található, megkerülheti a tárfiók IP-korlátozásait a keresési szolgáltatás rendszeradentitásában lévő adatok elérésével.
Az adathozzáférés támogatásának két lehetősége van a rendszeridentitás használatával:
Konfigurálja a keresést úgy, hogy megbízható szolgáltatásként fusson, és használja a megbízható szolgáltatáskivételt az Azure Storage-ban.
Konfiguráljon egy erőforráspéldány-szabályt az Azure Storage-ban, amely beengedi az Azure-erőforrás bejövő kéréseit.
A fenti beállítások a Microsoft Entra-azonosítótól függenek a hitelesítéshez, ami azt jelenti, hogy a kapcsolatot Microsoft Entra-bejelentkezéssel kell létrehozni. Jelenleg csak az Azure AI Search rendszer által hozzárendelt felügyelt identitások támogatottak egy tűzfalon keresztüli azonos régiós kapcsolatokhoz.
Szolgáltatások különböző régiókban
Ha a keresés és a tárolás különböző régiókban található, használhatja a korábban említett beállításokat, vagy beállíthat olyan IP-szabályokat, amelyek a szolgáltatástól érkező kéréseket fogadják el. A számítási feladattól függően előfordulhat, hogy több végrehajtási környezethez is be kell állítania a szabályokat a következő szakaszban leírtak szerint.
Következő lépések
Most, hogy már ismeri az Indexer adathozzáférési lehetőségeit egy Azure-beli virtuális hálózaton üzembe helyezett megoldásokhoz, tekintse át a következő útmutató cikkek egyikét a következő lépésként: