Azure ağ güvenliği tarafından korunan içeriğe dizin oluşturucu erişimi
Arama çözümü gereksinimleriniz bir Azure sanal ağı içeriyorsa, bu kavram makalesinde bir arama dizin oluşturucusunun ağ güvenliği tarafından korunan içeriğe nasıl erişebileceği açıklanmaktadır. Giden trafik desenlerini ve dizin oluşturucu yürütme ortamlarını açıklar. Ayrıca Azure AI Search tarafından desteklenen ağ korumalarını ve güvenlik stratejinizi etkileyebilecek faktörleri kapsar. Son olarak, Azure Depolama hem veri erişimi hem de kalıcı depolama için kullanıldığından, bu makalede arama ve depolama bağlantısına özgü ağ konuları da ele alınıyor.
Bunun yerine adım adım yönergeler mi arıyorsunuz? Bkz . Dizin oluşturucu erişimine izin vermek için güvenlik duvarı kurallarını yapılandırma veya Özel uç nokta üzerinden giden bağlantılar kurma.
Dizin oluşturucular tarafından erişilen kaynaklar
Azure AI Search dizin oluşturucuları yürütme sırasında çeşitli Azure kaynaklarına giden çağrılar yapabilir. Dizin oluşturucu üç durumda giden çağrılar yapar:
- Dizin oluşturma sırasında dış veri kaynaklarına Bağlan
- Özel beceriler içeren bir beceri kümesi aracılığıyla dış, kapsüllenmiş koda Bağlan
- Zenginleştirmeleri önbelleğe almak, hata ayıklama oturum durumunu kaydetmek veya bilgi deposuna yazmak için beceri kümesi yürütmesi sırasında Azure Depolama'a Bağlan
Dizin oluşturucunun tipik bir çalıştırmada erişebileceği tüm olası Azure kaynak türlerinin listesi aşağıdaki tabloda listelenmiştir.
| Kaynak | Dizin oluşturucu çalıştırması içindeki amaç |
|---|---|
| Azure Depolama (bloblar, ADLS 2. Nesil, dosyalar, tablolar) | Data source |
| Azure Depolama (bloblar, tablolar) | Beceri kümeleri (zenginleştirmeleri önbelleğe alma, oturumlarda hata ayıklama, bilgi deposu projeksiyonları) |
| Azure Cosmos DB (çeşitli API'ler) | Data source |
| Azure SQL Veritabanı | Data source |
| Azure sanal makinelerde SQL Server | Data source |
| SQL Yönetilen Örneği | Data source |
| Azure Functions | Beceri kümesine eklenir ve özel web API'leri becerileri için barındırmak için kullanılır |
Dekont
Dizin oluşturucu, yerleşik beceriler için Azure yapay zeka hizmetlerine de bağlanır. Ancak, bu bağlantı iç ağ üzerinden yapılır ve denetiminiz altındaki herhangi bir ağ hükümlerine tabi değildir.
Desteklenen ağ korumaları
Azure kaynaklarınız, Azure tarafından sunulan herhangi bir sayıda ağ yalıtım mekanizması kullanılarak korunabilir. Kaynağa ve bölgeye bağlı olarak Azure AI Search dizin oluşturucuları, aşağıdaki tabloda belirtilen sınırlamalara bağlı olarak IP güvenlik duvarları ve özel uç noktalar aracılığıyla giden bağlantılar yapabilir.
| Kaynak | IP kısıtlaması | Özel uç nokta |
|---|---|---|
| Metin tabanlı dizin oluşturma için Azure Depolama (bloblar, ADLS 2. Nesil, dosyalar, tablolar) | Yalnızca depolama hesabı ve arama hizmeti farklı bölgelerdeyse desteklenir. | Desteklenir |
| Yapay zeka zenginleştirmesi için Azure Depolama (önbelleğe alma, hata ayıklama oturumları, bilgi deposu) | Yalnızca depolama hesabı ve arama hizmeti farklı bölgelerdeyse desteklenir. | Desteklenir |
| NoSQL için Azure Cosmos DB | Desteklenir | Desteklenir |
| MongoDB için Azure Cosmos DB | Desteklenir | Desteklenmeyen |
| Apache Gremlin için Azure Cosmos DB | Desteklenir | Desteklenmeyen |
| Azure SQL Veritabanı | Desteklenir | Desteklenir |
| Azure sanal makinelerde SQL Server | Desteklenir | Yok |
| SQL Yönetilen Örneği | Desteklenir | Yok |
| Azure Functions | Desteklenir | Desteklenir, yalnızca azure işlevlerinin belirli katmanları için |
Dizin oluşturucu yürütme ortamı
Azure AI Search, işin özelliklerine göre işlemeyi en iyi duruma getiren bir dizin oluşturucu yürütme ortamı kavramına sahiptir. İki ortam vardır. Azure kaynaklarına erişimi denetlemek için bir IP güvenlik duvarı kullanıyorsanız, yürütme ortamları hakkında bilgi edinmek her ikisi de dahil olmak üzere bir IP aralığı ayarlamanıza yardımcı olur.
Belirli bir dizin oluşturucu çalıştırması için Azure AI Search, dizin oluşturucunun çalıştırıldığı en iyi ortamı belirler. Atanan görev sayısına ve türlerine bağlı olarak, dizin oluşturucu iki ortamdan birinde çalışır:
Bir arama hizmetinin içindeki özel yürütme ortamı .
Özel ortamda çalışan dizin oluşturucular aynı arama hizmetindeki diğer dizin oluşturma ve sorgu iş yükleriyle bilgi işlem kaynaklarını paylaşır. Genellikle, yalnızca metin tabanlı dizin oluşturma gerçekleştiren dizin oluşturucular (beceri kümeleri olmadan) bu ortamda çalışır.
Microsoft tarafından ek ücret ödemeden yönetilen ve güvenliği sağlanan çok kiracılı bir ortam. Denetiminiz altındaki herhangi bir ağ sağlamasına tabi değildir.
Bu ortam, yoğun işlem kullanan işlemleri boşaltmak ve rutin işlemler için hizmete özgü kaynakları kullanılabilir durumda bırakmak için kullanılır. Kaynak yoğunluklu dizin oluşturucu işlerine örnek olarak beceri kümeleri ekleme, büyük belgeleri işleme veya yüksek hacimli belgeleri işleme verilebilir.
Aşağıdaki bölümde, yürütme ortamından gelen istekleri kabul etmeye yönelik IP yapılandırması açıklanmaktadır.
Dizin oluşturucu yürütmesi için IP aralıklarını ayarlama
Kaynak verileri sağlayan Azure kaynağı bir güvenlik duvarının arkasındaysa, dizin oluşturucu isteğinin kaynaklanabileceği tüm IP'ler için dizin oluşturucu bağlantılarını kabul eden gelen kurallara ihtiyacınız vardır. IP'ler, arama hizmeti ve çok kiracılı ortam tarafından kullanılanı içerir.
Arama hizmetinin (ve özel yürütme ortamının) IP adresini almak için, arama hizmetinizin tam etki alanı adını (FQDN) bulmak için (veya
ping) kullanınnslookup. Genel buluttaki bir arama hizmetinin FQDN'i olacaktır<service-name>.search.windows.net.Bir dizin oluşturucunun çalışabileceği çok kiracılı ortamların IP adreslerini almak için hizmet etiketini kullanın
AzureCognitiveSearch.Azure hizmet etiketleri , her hizmet için yayımlanmış bir IP adresi aralığına sahiptir. Bulma API'sini veya indirilebilir bir JSON dosyasını kullanarak bu IP'leri bulabilirsiniz. IP aralıkları bölgeye göre ayrılır, bu nedenle başlamadan önce arama hizmeti bölgenizi denetleyin.
Çok kiracılı ortam için IP kuralını ayarlarken, bazı SQL veri kaynakları IP adresi belirtimi için basit bir yaklaşımı destekler. Kuraldaki tüm IP adreslerini numaralandırmak yerine, hizmet etiketini belirten AzureCognitiveSearch bir Ağ Güvenlik Grubu kuralı oluşturabilirsiniz.
Veri kaynağınız aşağıdakilerden biriyse hizmet etiketini belirtebilirsiniz:
Çok kiracılı ortam IP kuralı için hizmet etiketini belirttiyseniz, aracılığıyla nslookupelde edilen özel yürütme ortamı (arama hizmetinin kendisi anlamına gelir) için yine de açık bir gelen kuralına ihtiyacınız olduğuna dikkat edin.
Bağlantı yaklaşımı seçme
Azure AI Search'i sanal ağda çalışan bir çözümle tümleştirirken aşağıdaki kısıtlamaları göz önünde bulundurun:
Dizin oluşturucu, sanal ağ hizmet uç noktasına doğrudan bağlantı oluşturamaz. Dizin oluşturucu bağlantıları için desteklenen tek yöntem kimlik bilgileri, özel uç noktalar, güvenilen hizmet ve IP adresleme özelliklerine sahip genel uç noktalardır.
Arama hizmeti her zaman bulutta çalışır ve sanal makinede yerel olarak çalışan belirli bir sanal ağa sağlanamaz. Bu işlev Azure AI Search tarafından sunulmaz.
Yukarıdaki kısıtlamaları göz önünde bulundurarak sanal ağda arama tümleştirmesi elde etme seçenekleriniz şunlardır:
Azure PaaS kaynağınızda veri için dizin oluşturucu isteklerini kabul eden bir gelen güvenlik duvarı kuralı yapılandırın.
Arama'dan özel uç nokta kullanarak dizin oluşturucu bağlantıları yapan bir giden bağlantı yapılandırın.
Özel uç nokta için, korumalı kaynağınıza yönelik arama hizmeti bağlantısı paylaşılan bir özel bağlantı üzerinden yapılır. Paylaşılan özel bağlantı, Azure AI Search'ün içinden oluşturulan, yönetilen ve kullanılan bir Azure Özel Bağlantı kaynağıdır. Kaynaklarınız tamamen kilitliyse (korumalı bir sanal ağda çalışıyorsa veya genel bağlantı üzerinden kullanılamıyorsa) tek seçeneğiniz özel uç noktadır.
Özel uç nokta üzerinden yapılan Bağlan, arama hizmetinin özel yürütme ortamından kaynaklanmalıdır. Bu gereksinimi karşılamak için çok kiracılı yürütmeyi devre dışı bırakmanız gerekir. Bu adım, Özel uç nokta üzerinden giden bağlantılar oluşturma bölümünde açıklanmıştır.
IP güvenlik duvarını yapılandırmak ücretsizdir. Azure Özel Bağlantı temel alan özel uç noktanın faturalama etkisi vardır.
Özel uç noktayla çalışma
Bu bölümde, giden dizin oluşturucu bağlantıları için özel uç nokta ayarlamaya yönelik ana adımlar özetlenir. Bu özet, özel uç noktanın senaryonuz için en iyi seçenek olup olmadığına karar vermenize yardımcı olabilir. Ayrıntılı adımlar, Özel uç nokta üzerinden giden bağlantılar yapma bölümünde ele alınmıştır.
Azure Özel Bağlantı faturalama etkisi
Paylaşılan özel bağlantı, en düşük katmanın metin tabanlı dizin oluşturma için Temel veya beceri tabanlı dizin oluşturma için Standart 2 (S2) olduğu faturalanabilir bir arama hizmeti gerektirir. Ayrıntılar için bkz . özel uç nokta sayısıyla ilgili katman sınırları.
Gelen ve giden bağlantılar Azure Özel Bağlantı fiyatlandırmaya tabidir.
1. Adım: Güvenli kaynağa özel uç nokta oluşturma
Arama hizmetinizin portal sayfalarını veya Yönetim API'sini kullanarak paylaşılan bir özel bağlantı oluşturacaksınız.
Azure AI Search'te arama hizmetinizin en azından metin tabanlı dizin oluşturucular için Temel katman ve beceri kümelerine sahip dizin oluşturucular için S2 olması gerekir.
Özel uç nokta bağlantısı, özel dizin oluşturucu yürütme ortamından gelen istekleri kabul eder, ancak çok kiracılı ortamdan istekleri kabul etmeyecektir. Bu gereksinimi karşılamak için 3. adımda açıklandığı gibi çok kiracılı yürütmeyi devre dışı bırakmanız gerekir.
2. Adım: Özel uç nokta bağlantısını onaylama
Paylaşılan özel bağlantı kaynağı oluşturan (zaman uyumsuz) işlem tamamlandığında, "Beklemede" durumunda özel uç nokta bağlantısı oluşturulur. Bağlantı üzerinden henüz trafik akışı yok.
Bu isteği güvenli kaynağınızda bulup onaylamanız gerekir. Kaynağa bağlı olarak, Azure portalını kullanarak bu görevi tamamlayabilirsiniz. Aksi takdirde Özel Bağlantı Hizmeti REST API'sini kullanın.
3. Adım: Dizin oluşturucuları "özel" ortamda çalışmaya zorlama
Özel uç nokta bağlantıları için dizin oluşturucunun executionEnvironment"Private"olarak ayarlanması zorunlu olur. Bu adım, tüm dizin oluşturucu yürütmesinin arama hizmeti içinde sağlanan özel ortamla sınırlandırılmasını sağlar.
Bu ayarın kapsamı arama hizmeti değil, dizin oluşturucu olarak belirlenmiştir. Tüm dizin oluşturucuların özel uç noktalar üzerinden bağlanmasını istiyorsanız, her birinin aşağıdaki yapılandırmaya sahip olması gerekir:
{
"name" : "myindexer",
... other indexer properties
"parameters" : {
... other parameters
"configuration" : {
... other configuration properties
"executionEnvironment": "Private"
}
}
}
Bir kaynak için onaylanmış bir özel uç noktanız olduğunda, özel olarak ayarlanmış dizin oluşturucular, Azure kaynağı için oluşturulan ve onaylanan özel bağlantı üzerinden erişim elde etmeye çalışır.
Azure AI Search, özel uç nokta arayanlarının uygun Azure RBAC rol izinlerine sahip olduğunu doğrular. Örneğin, salt okunur izinlere sahip bir depolama hesabına özel uç nokta bağlantısı isteğinde bulunursanız, bu çağrı reddedilir.
Özel uç nokta onaylanmamışsa veya dizin oluşturucu özel uç nokta bağlantısını kullanmadıysa dizin oluşturucu yürütme geçmişinde bir transientFailure hata iletisi görürsünüz.
Ağ korumalı depolama hesabına erişim
Arama hizmeti dizinleri ve eş anlamlı listeleri depolar. Depolama gerektiren diğer özellikler için Azure AI Search, Azure Depolama bağımlılığını alır. Zenginleştirme önbelleği, hata ayıklama oturumları ve bilgi depoları bu kategoriye girer. Her hizmetin konumu ve depolama için geçerli olan tüm ağ korumaları, veri erişim stratejinizi belirler.
Aynı bölge hizmetleri
Azure Depolama'da, güvenlik duvarı üzerinden erişim isteğin farklı bir bölgeden kaynaklandığını gerektirir. Azure Depolama ve Azure AI Search aynı bölgedeyse, arama hizmetinin sistem kimliği altındaki verilere erişerek depolama hesabındaki IP kısıtlamalarını atlayabilirsiniz.
Sistem kimliğini kullanarak veri erişimini desteklemek için iki seçenek vardır:
Aramayı güvenilen hizmet olarak çalışacak şekilde yapılandırın ve Azure Depolama'da güvenilen hizmet özel durumunu kullanın.
Azure Depolama bir Azure kaynağından gelen istekleri kabul eden bir kaynak örneği kuralı yapılandırın.
Yukarıdaki seçenekler kimlik doğrulaması için Microsoft Entra Id'ye bağlıdır; bu da bağlantının bir Microsoft Entra oturum açma bilgisi ile yapılması gerektiği anlamına gelir. Şu anda bir güvenlik duvarı üzerinden aynı bölge bağlantıları için yalnızca Azure AI Search sistem tarafından atanan yönetilen kimlik desteklenmektedir.
Farklı bölgelerdeki hizmetler
Arama ve depolama farklı bölgelerdeyken, daha önce bahsedilen seçenekleri kullanabilir veya hizmetinizden gelen istekleri kabul eden IP kuralları ayarlayabilirsiniz. İş yüküne bağlı olarak, sonraki bölümde açıklandığı gibi birden çok yürütme ortamı için kurallar ayarlamanız gerekebilir.
Sonraki adımlar
Artık Azure sanal ağında dağıtılan çözümler için dizin oluşturucu veri erişim seçeneklerini bildiğinize göre, sonraki adım olarak aşağıdaki nasıl yapılır makalelerinden birini gözden geçirin: