Koneksi pengindeks ke instans SQL Server pada komputer virtual Azure

Saat mengonfigurasi pengindeks Azure SQL untuk mengekstrak konten dari database di komputer virtual Azure, langkah tambahan diperlukan untuk koneksi yang aman.

Koneksi dari Azure AI Search ke instans SQL Server pada komputer virtual adalah koneksi internet publik. Agar koneksi aman berhasil, lakukan langkah-langkah berikut:

• Dapatkan sertifikat dari penyedia Otoritas Sertifikat untuk nama domain instans SQL Server yang sepenuhnya memenuhi syarat pada komputer virtual.

• Instal sertifikat pada komputer virtual.

Setelah menginstal sertifikat di VM, Anda siap untuk menyelesaikan langkah-langkah berikut dalam artikel ini.

Catatan

Kolom Always Encrypted saat ini tidak didukung oleh pengindeks Azure AI Search.

Mengaktifkan koneksi terenkripsi

Azure AI Search memerlukan saluran terenkripsi untuk semua permintaan pengindeks melalui koneksi internet publik. Bagian ini mencantumkan langkah untuk membuat koneksi berfungsi.

1. Periksa properti sertifikat untuk memverifikasi nama subjek adalah nama domain yang sepenuhnya memenuhi syarat (FQDN) dari Azure VM.

   Anda dapat menggunakan alat seperti CertUtils atau snap-in Sertifikat untuk melihat properti. Anda bisa mendapatkan FQDN dari bagian Penting halaman layanan VM, di bidang Alamat IP publik/label nama DNS, di portal Azure.

   FQDN biasanya diformat sebagai <your-VM-name>.<region>.cloudapp.azure.com

2. Mengonfigurasi SQL Server untuk menggunakan sertifikat menggunakan Editor Registri (regedit).

   Meskipun Pengelola Konfigurasi SQL Server sering digunakan untuk tugas ini, Anda tidak dapat menggunakannya untuk skenario ini. Ini tidak akan menemukan sertifikat yang diimpor karena FQDN VM di Azure tidak cocok dengan FQDN seperti yang ditentukan oleh VM (mengidentifikasi domain sebagai komputer lokal atau domain jaringan tempat ia bergabung). Saat nama tidak cocok, gunakan regedit untuk menentukan sertifikat.

   1. Dalam regedit, telusuri ke kunci registri ini: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      Bagian [MSSQL13.MSSQLSERVER] ini bervariasi berdasarkan versi dan nama instans.

   2. Atur nilai kunci Sertifikat ke thumbprint (tanpa spasi) sertifikat TLS/SSL yang Anda impor ke VM.

   Ada beberapa cara untuk mendapatkan thumbprint, beberapa lebih baik daripada yang lain. Jika Anda menyalinnya dari snap-in Sertifikat di MMC, Anda mungkin mengambil karakter utama yang tidak terlihat seperti yang dijelaskan dalam artikel dukungan ini, yang menghasilkan kesalahan saat Anda mencoba koneksi. Ada beberapa solusi untuk memperbaiki masalah ini. Yang paling mudah adalah menghapus dan kemudian mengetik ulang karakter pertama dari thumbprint untuk menghapus karakter terkemuka di bidang nilai kunci dalam regedit. Atau, Anda dapat menggunakan alat yang berbeda untuk menyalin thumbprint.

3. Memberikan izin ke akun layanan.

   Pastikan akun layanan SQL Server diberikan izin yang sesuai pada kunci privat sertifikat TLS/SSL. Jika Anda mengabaikan langkah ini, SQL Server tidak dimulai. Anda dapat menggunakan snap-in Sertifikat atau CertUtils untuk tugas ini.

4. Mulai ulang layanan SQL Server.

Sambungkan ke SQL Server

Setelah Anda menyiapkan koneksi terenkripsi yang diperlukan oleh Azure AI Search, sambungkan ke instans melalui titik akhir publiknya. Artikel berikut menjelaskan persyaratan dan sintaks koneksi:

• Menyambungkan ke SQL Server melalui internet

Mengonfigurasi grup keamanan jaringan

Ini adalah praktik terbaik untuk mengonfigurasi kelompok keamanan jaringan (NSG) dan titik akhir Azure atau Daftar Kontrol Akses (ACL) yang sesuai untuk membuat Azure VM Anda dapat diakses oleh pihak lain. Kemungkinan Anda telah melakukan ini sebelumnya untuk memungkinkan logika aplikasi Anda sendiri untuk terhubung ke Azure VM SQL Anda. Tidak berbeda untuk koneksi Azure AI Search ke SQL Azure VM Anda.

Langkah-langkah dan tautan berikut memberikan instruksi tentang konfigurasi NSG untuk penyebaran VM. Gunakan instruksi ini untuk ACL titik akhir layanan pencarian berdasarkan alamat IP-nya.

1. Dapatkan alamat IP layanan pencarian Anda. Lihat bagian berikut untuk instruksi.

2. Tambahkan alamat IP pencarian ke daftar filter IP grup keamanan. Salah satu artikel berikut menjelaskan langkah-langkahnya:

• Tutorial: Memfilter lalu lintas jaringan dengan kelompok keamanan jaringan menggunakan portal Microsoft Azure

• Membuat, mengubah, atau menghapus kelompok keamanan jaringan

Alamat IP dapat menimbulkan beberapa tantangan yang mudah diatasi jika Anda mengetahui masalah dan solusi potensial. Bagian yang tersisa memberikan rekomendasi untuk menangani masalah yang terkait dengan alamat IP di ACL.

Membatasi akses jaringan ke Azure AI Search

Kami sangat menyarankan Agar Anda membatasi akses ke alamat IP layanan pencarian Anda dan rentang AzureCognitiveSearchalamat IP tag layanan di ACL alih-alih membuat VM Azure SQL Anda terbuka untuk semua permintaan koneksi.

Anda dapat mengetahui alamat IP dengan melakukan ping FQDN (misalnya, <your-search-service-name>.search.windows.net) layanan pencarian Anda. Meskipun alamat IP layanan pencarian mungkin berubah, tidak mungkin akan berubah. Alamat IP cenderung statis untuk masa pakai layanan.

Anda dapat mengetahui rentang AzureCognitiveSearchalamat IP tag layanan dengan menggunakan file JSON yang Dapat Diunduh atau melalui API Penemuan Tag Layanan. Rentang alamat IP diperbarui setiap minggu.

Sertakan alamat IP portal Azure

Jika Anda menggunakan portal Azure untuk membuat pengindeks, Anda harus memberikan akses masuk portal ke komputer virtual SQL Azure Anda. Aturan masuk di firewall mengharuskan Anda memberikan alamat IP portal.

Untuk mendapatkan alamat IP portal, ping stamp2.ext.search.windows.net, yang merupakan domain dari manajer lalu lintas. Waktu permintaan habis, tetapi alamat IP terlihat dalam pesan status. Misalnya, dalam pesan "Melakukan ping azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]", alamat IP adalah "52.252.175.48".

Kluster di berbagai wilayah tersambung ke manajer lalu lintas yang berbeda. Terlepas dari nama domain, alamat IP yang ditampilkan dari ping adalah yang benar untuk digunakan saat menentukan aturan firewall masuk untuk portal Microsoft Azure di wilayah Anda.

Melengkapi keamanan jaringan dengan autentikasi token

Firewall dan keamanan jaringan adalah langkah pertama dalam mencegah akses tidak sah ke data dan operasi. Otorisasi harus menjadi langkah Anda berikutnya.

Kami merekomendasikan akses berbasis peran, di mana pengguna dan grup ID Microsoft Entra ditetapkan ke peran yang menentukan akses baca dan tulis ke layanan Anda. Lihat Koneksi ke Azure AI Search menggunakan kontrol akses berbasis peran untuk deskripsi peran dan instruksi bawaan untuk membuat peran kustom.

Jika Anda tidak memerlukan autentikasi berbasis kunci, sebaiknya nonaktifkan kunci API dan gunakan penetapan peran secara eksklusif.

Langkah berikutnya

Dengan konfigurasi di luar cara, Anda sekarang dapat menentukan SQL Server di Azure VM sebagai sumber data untuk pengindeks Azure AI Search. Untuk informasi selengkapnya, lihat Mengindeks data dari Azure SQL.