Konfigurowanie zapory IP dla usługi Azure Wyszukiwanie poznawczeConfigure IP firewall for Azure Cognitive Search

Usługa Azure Wyszukiwanie poznawcze obsługuje reguły adresów IP na potrzeby obsługi zapory przychodzącej.Azure Cognitive Search supports IP rules for inbound firewall support. Ten model zapewnia dodatkową warstwę zabezpieczeń usługi wyszukiwania podobną do reguł adresów IP, które znajdują się w grupie zabezpieczeń sieci wirtualnej platformy Azure.This model provides an additional layer of security for your search service similar to the IP rules you'll find in an Azure virtual network security group. Za pomocą tych reguł IP można skonfigurować usługę wyszukiwania jako dostępną tylko z zatwierdzonego zestawu maszyn i/lub usług w chmurze.With these IP rules, you can configure your search service to be accessible only from an approved set of machines and/or cloud services. Dostęp do danych przechowywanych w usłudze wyszukiwania z tych zatwierdzonych zestawów maszyn i usług nadal będzie wymagał, aby obiekt wywołujący mógł przedstawić prawidłowy token autoryzacji.Access to data stored in your search service from these approved sets of machines and services will still require the caller to present a valid authorization token.

Reguły adresów IP można ustawić w Azure Portal, zgodnie z opisem w tym artykule.You can set IP rules in the Azure portal, as described in this article. Alternatywnie możesz użyć interfejsu API REST zarządzania w wersji 2020-03-13, Azure PowerShelllub interfejsu wiersza polecenia platformy Azure.Alternatively, you can use the Management REST API version 2020-03-13, Azure PowerShell, or Azure CLI.

Konfigurowanie zapory IP przy użyciu Azure PortalConfigure an IP firewall using the Azure portal

Aby ustawić zasady kontroli dostępu IP w Azure Portal, przejdź do strony usługi Wyszukiwanie poznawcze platformy Azure i wybierz pozycję Sieć w menu nawigacji.To set the IP access control policy in the Azure portal, go to your Azure Cognitive Search service page and select Networking on the navigation menu. Łączność sieciową punktu końcowego musi być publiczna.Endpoint networking connectivity must be Public. Jeśli łączność jest ustawiona na prywatną, dostęp do usługi wyszukiwania można uzyskać tylko za pośrednictwem prywatnego punktu końcowego.If your connectivity is set to Private, you can only access your search service via a Private Endpoint.

Zrzut ekranu przedstawiający sposób konfigurowania zapory IP w Azure Portal

Azure Portal zapewnia możliwość określania adresów IP i zakresów adresów IP w formacie CIDR.The Azure portal provides the ability to specify IP addresses and IP address ranges in the CIDR format. Przykładem notacji CIDR jest 8.8.8.0/24, która reprezentuje adresy IP z zakresu od 8.8.8.0 do 8.8.8.255.An example of CIDR notation is 8.8.8.0/24, which represents the IPs that range from 8.8.8.0 to 8.8.8.255.

Uwaga

Po włączeniu zasad kontroli dostępu IP dla usługi Azure Wyszukiwanie poznawcze wszystkie żądania do płaszczyzny danych z maszyn spoza listy dozwolonych zakresów adresów IP zostaną odrzucone.After you enable the IP access control policy for your Azure Cognitive Search service, all requests to the data plane from machines outside the allowed list of IP address ranges are rejected. Po skonfigurowaniu reguł IP niektóre funkcje Azure Portal są wyłączone.When IP rules are configured, some features of the Azure portal are disabled. Będziesz mieć możliwość wyświetlania informacji o poziomie usług i zarządzania nimi, ale dostęp portalu do danych indeksu i różne składniki usługi, takie jak indeks, indeksator i definicje zestawu umiejętności, są ograniczone ze względów bezpieczeństwa.You'll be able to view and manage service level information, but portal access to index data and the various components in the service, such as the index, indexer, and skillset definitions, is restricted for security reasons. Jako alternatywę dla portalu można użyć rozszerzenia vs Code , aby korzystać z różnych składników usługi.As an alternative to the portal, you can use the VS Code Extension to interact with the various components in the service.

Żądania z bieżącego adresu IPRequests from your current IP

Aby uprościć programowanie, Azure Portal ułatwia identyfikowanie i Dodawanie adresu IP komputera klienckiego do listy dozwolonych.To simplify development, the Azure portal helps you identify and add the IP of your client machine to the allowed list. Aplikacje uruchomione na maszynie mogą następnie uzyskiwać dostęp do usługi Azure Wyszukiwanie poznawcze.Apps running on your machine can then access your Azure Cognitive Search service.

Portal automatycznie wykrywa adres IP klienta.The portal automatically detects your client IP address. Może to być adres IP klienta komputera lub bramy sieci.It might be the client IP address of your machine or network gateway. Pamiętaj o usunięciu tego adresu IP przed rozpoczęciem pracy w środowisku produkcyjnym.Make sure to remove this IP address before you take your workload to production.

Aby dodać bieżący adres IP do listy adresów IP, zaznacz pole wyboru Dodaj swój klient.To add your current IP to the list of IPs, check Add your client IP address. Następnie wybierz pozycję Zapisz.Then select Save.

Zrzut ekranu przedstawiający sposób konfigurowania ustawień zapory IP w celu zezwolenia na bieżący adres IP

Rozwiązywanie problemów z zasadami kontroli dostępu IPTroubleshoot issues with an IP access control policy

Problemy z zasadami kontroli dostępu IP można rozwiązać, korzystając z następujących opcji:You can troubleshoot issues with an IP access control policy by using the following options:

Azure PortalAzure portal

Włączenie zasad kontroli dostępu IP dla usługi Azure Wyszukiwanie poznawcze blokuje wszystkie żądania z maszyn spoza listy dozwolonych zakresów adresów IP, w tym Azure Portal.Enabling an IP access control policy for your Azure Cognitive Search service blocks all requests from machines outside the allowed list of IP address ranges, including the Azure portal. Będziesz mieć możliwość wyświetlania informacji o poziomie usług i zarządzania nimi, ale dostęp portalu do danych indeksu i różne składniki usługi, takie jak indeks, indeksator i definicje zestawu umiejętności, są ograniczone ze względów bezpieczeństwa.You'll be able to view and manage service level information, but portal access to index data and the various components in the service, such as the index, indexer, and skillset definitions, is restricted for security reasons.

Zestawy SDKSDKs

Gdy uzyskujesz dostęp do usługi Azure Wyszukiwanie poznawcze przy użyciu zestawu SDK z maszyn, które nie znajdują się na liście dozwolonych, zostanie zwrócona ogólna odpowiedź z zabronionym 403 , która nie zawiera żadnych dodatkowych informacji.When you access Azure Cognitive Search service using the SDK from machines that are not in the allowed list, a generic 403 Forbidden response is returned with no additional details. Sprawdź listę dozwolonych adresów IP dla Twojego konta i upewnij się, że Zaktualizowano poprawną konfigurację dla usługi wyszukiwania.Verify the allowed IP list for your account, and make sure that the correct configuration updated for your search service.

Następne krokiNext steps

Aby uzyskać więcej informacji na temat uzyskiwania dostępu do usługi wyszukiwania za pośrednictwem prywatnego linku, zobacz następujący artykuł:For more information on accessing your search service via Private Link, see the following article: