Azure ağ güvenliği tarafından korunan içeriğe dizin oluşturucu erişimi
Azure kaynaklarınız bir Azure sanal ağına dağıtılıyorsa, bu kavram makalesinde arama dizin oluşturucusunun ağ güvenliğiyle korunan içeriğe nasıl erişebileceği açıklanmaktadır. Giden trafik desenlerini ve dizin oluşturucu yürütme ortamlarını açıklar. Ayrıca Azure AI Search tarafından desteklenen ağ korumalarını ve güvenlik stratejinizi etkileyebilecek faktörleri kapsar. Son olarak, Azure Depolama hem veri erişimi hem de kalıcı depolama için kullanıldığından, bu makalede arama ve depolama bağlantısına özgü ağ konuları da ele alınıyor.
Bunun yerine adım adım yönergeler mi arıyorsunuz? Bkz . Dizin oluşturucu erişimine izin vermek için güvenlik duvarı kurallarını yapılandırma veya Özel uç nokta üzerinden giden bağlantılar kurma.
Dizin oluşturucular tarafından erişilen kaynaklar
Azure AI Search dizin oluşturucuları üç durumda çeşitli Azure kaynaklarına giden çağrılar yapabilir:
- Dizin oluşturma sırasında dış veri kaynaklarına Bağlan
- Özel beceriler içeren bir beceri kümesi aracılığıyla dış, kapsüllenmiş koda Bağlan
- Zenginleştirmeleri önbelleğe almak, hata ayıklama oturum durumunu kaydetmek veya bilgi deposuna yazmak için beceri kümesi yürütmesi sırasında Azure Depolama Bağlan
Dizin oluşturucunun tipik bir çalıştırmada erişebileceği tüm olası Azure kaynak türlerinin listesi aşağıdaki tabloda listelenmiştir.
| Kaynak | Dizin oluşturucu çalıştırması içindeki amaç |
|---|---|
| Azure Depolama (bloblar, ADLS 2. Nesil, dosyalar, tablolar) | Data source |
| Azure Depolama (bloblar, tablolar) | Beceri kümeleri (zenginleştirmeleri önbelleğe alma, oturumlarda hata ayıklama, bilgi deposu projeksiyonları) |
| Azure Cosmos DB (çeşitli API'ler) | Data source |
| Azure SQL Veritabanı | Data source |
| Azure sanal makinelerde SQL Server | Data source |
| SQL Yönetilen Örnek | Data source |
| Azure İşlevleri | Beceri kümesine eklenir ve özel web API'leri becerileri için barındırmak için kullanılır |
Not
Dizin oluşturucu, yerleşik beceriler için Azure yapay zeka hizmetlerine de bağlanır. Ancak, bu bağlantı iç ağ üzerinden yapılır ve denetiminiz altındaki herhangi bir ağ hükümlerine tabi değildir.
Dizin oluşturucular aşağıdaki yaklaşımları kullanarak kaynaklara bağlanır:
- Kimlik bilgilerine sahip genel uç nokta
- Azure Özel Bağlantı kullanan özel uç nokta
- Güvenilir hizmet olarak Bağlan
- IP adresleme aracılığıyla Bağlan
Azure kaynağınız bir sanal ağdaysa, verilere dizin oluşturucu bağlantılarını kabul etmek için özel bir uç nokta veya IP adresleme kullanmanız gerekir.
Desteklenen ağ korumaları
Azure kaynaklarınız, Azure tarafından sunulan herhangi bir sayıda ağ yalıtım mekanizması kullanılarak korunabilir. Kaynağa ve bölgeye bağlı olarak Azure AI Search dizin oluşturucuları, aşağıdaki tabloda belirtilen sınırlamalara bağlı olarak IP güvenlik duvarları ve özel uç noktalar aracılığıyla giden bağlantılar yapabilir.
| Kaynak | IP kısıtlaması | Özel uç nokta |
|---|---|---|
| Metin tabanlı dizin oluşturma için Azure Depolama (bloblar, ADLS 2. Nesil, dosyalar, tablolar) | Yalnızca depolama hesabı ve arama hizmeti farklı bölgelerdeyse desteklenir. | Desteklenir |
| Yapay zeka zenginleştirmesi için Azure Depolama (önbelleğe alma, hata ayıklama oturumları, bilgi deposu) | Yalnızca depolama hesabı ve arama hizmeti farklı bölgelerdeyse desteklenir. | Desteklenir |
| NoSQL için Azure Cosmos DB | Desteklenir | Desteklenir |
| MongoDB için Azure Cosmos DB | Desteklenir | Desteklenmeyen |
| Apache Gremlin için Azure Cosmos DB | Desteklenir | Desteklenmeyen |
| Azure SQL Veritabanı | Desteklenir | Desteklenir |
| Azure sanal makinelerde SQL Server | Desteklenir | Yok |
| SQL Yönetilen Örnek | Desteklenir | Yok |
| Azure İşlevleri | Desteklenir | Desteklenir, yalnızca azure işlevlerinin belirli katmanları için |
Dizin oluşturucu yürütme ortamı
Azure AI Search, işin özelliklerine göre işlemeyi en iyi duruma getiren bir dizin oluşturucu yürütme ortamı kavramına sahiptir. İki ortam vardır. Azure kaynaklarına erişimi denetlemek için BIR IP güvenlik duvarı kullanıyorsanız, yürütme ortamları hakkında bilgi edinmek her iki ortamı da kapsayan bir IP aralığı ayarlamanıza yardımcı olur.
Belirli bir dizin oluşturucu çalıştırması için Azure AI Search, dizin oluşturucunun çalıştırıldığı en iyi ortamı belirler. Atanan görev sayısına ve türlerine bağlı olarak, dizin oluşturucu iki ortamdan birinde çalışır.
| Yürütme ortamı | Açıklama |
|---|---|
| Özel | Arama hizmeti için dahili. Özel ortamda çalışan dizin oluşturucular aynı arama hizmetindeki diğer dizin oluşturma ve sorgu iş yükleriyle bilgi işlem kaynaklarını paylaşır. Genellikle, yalnızca metin tabanlı dizin oluşturma gerçekleştiren dizin oluşturucular (beceri kümeleri olmadan) bu ortamda çalışır. Dizin oluşturucu ile verileriniz arasında özel bir bağlantı ayarlarsanız, kullanabileceğiniz tek yürütme eylemi budur. |
| çok kiracılı | Microsoft tarafından ek ücret ödemeden yönetilir ve güvenlik altına alınır. Denetiminiz altındaki herhangi bir ağ sağlamasına tabi değildir. Bu ortam, yoğun işlem kullanan işlemleri boşaltmak ve rutin işlemler için hizmete özgü kaynakları kullanılabilir durumda bırakmak için kullanılır. Kaynak yoğunluklu dizin oluşturucu işlerine örnek olarak beceri kümeleri ekleme, büyük belgeleri işleme veya yüksek hacimli belgeleri işleme verilebilir. |
Dizin oluşturucu yürütmesi için IP aralıklarını ayarlama
Bu bölümde, yürütme ortamından gelen istekleri kabul etmek için IP güvenlik duvarı yapılandırması açıklanmaktadır.
Azure kaynağınız bir güvenlik duvarının arkasındaysa, dizin oluşturucu isteğinin kaynaklanabileceği tüm IP'ler için dizin oluşturucu bağlantılarını kabul eden gelen kuralları ayarlayın. Bu, arama hizmeti tarafından kullanılan IP adresini ve çok kiracılı ortam tarafından kullanılan IP adreslerini içerir.
Arama hizmetinin (ve özel yürütme ortamının) IP adresini almak için, arama hizmetinizin tam etki alanı adını (FQDN) bulmak için (veya
ping) kullanınnslookup. Genel buluttaki bir arama hizmetinin FQDN'i olacaktır<service-name>.search.windows.net.Bir dizin oluşturucunun çalışabileceği çok kiracılı ortamların IP adreslerini almak için hizmet etiketini kullanın
AzureCognitiveSearch.Azure hizmet etiketleri , her bölge için çok kiracılı ortamların yayımlanmış BIR IP adresleri aralığına sahiptir. Bulma API'sini veya indirilebilir bir JSON dosyasını kullanarak bu IP'leri bulabilirsiniz. IP aralıkları bölgeye göre ayrılır, bu nedenle başlamadan önce arama hizmeti bölgenizi denetleyin.
Azure SQL için IP kurallarını ayarlama
Çok kiracılı ortam için IP kuralını ayarlarken, bazı SQL veri kaynakları IP adresi belirtimi için basit bir yaklaşımı destekler. Kuraldaki tüm IP adreslerini numaralandırmak yerine, hizmet etiketini belirten AzureCognitiveSearch bir Ağ Güvenlik Grubu kuralı oluşturabilirsiniz.
Veri kaynağınız aşağıdakilerden biriyse hizmet etiketini belirtebilirsiniz:
Çok kiracılı ortam IP kuralı için hizmet etiketini belirttiyseniz, aracılığıyla nslookupelde edilen özel yürütme ortamı (arama hizmetinin kendisi anlamına gelir) için yine de açık bir gelen kuralına ihtiyacınız olduğuna dikkat edin.
Bağlantı yaklaşımı seçme
Arama hizmeti, sanal makinede yerel olarak çalışan belirli bir sanal ağa sağlanamaz. Bazı Azure kaynakları sanal ağ hizmet uç noktaları sunsa da, bu işlev Azure AI Search tarafından sunulmaz. Aşağıdaki yaklaşımlardan birini uygulamayı planlamanız gerekir.
| Yaklaşım | Ayrıntılar |
|---|---|
| Azure kaynağınıza gelen bağlantının güvenliğini sağlama | Azure kaynağınızda verileriniz için dizin oluşturucu isteklerini kabul eden bir gelen güvenlik duvarı kuralı yapılandırın. Güvenlik duvarı yapılandırmanız, çok kiracılı yürütme için hizmet etiketini ve arama hizmetinizin IP adresini içermelidir. Bkz . Dizin oluşturucu erişimine izin vermek için güvenlik duvarı kurallarını yapılandırma. |
| Azure AI Search ile Azure kaynağınız arasında özel bağlantı | Kaynağınıza bağlantılar için arama hizmetiniz tarafından özel olarak kullanılan paylaşılan bir özel bağlantı yapılandırın. Bağlan lar iç ağ üzerinden seyahat edip genel İnternet'i atlar. Kaynaklarınız tamamen kilitliyse (korumalı bir sanal ağda çalışıyorsa veya genel bağlantı üzerinden kullanılamıyorsa) tek seçeneğiniz özel uç noktadır. Bkz . Özel uç nokta üzerinden giden bağlantılar oluşturma. |
Özel uç nokta üzerinden yapılan Bağlan, arama hizmetinin özel yürütme ortamından kaynaklanmalıdır.
IP güvenlik duvarını yapılandırmak ücretsizdir. Azure Özel Bağlantı temel alan özel uç noktanın faturalama etkisi vardır. Ayrıntılar için bkz. Azure Özel Bağlantı fiyatlandırma.
Ağ güvenliğini yapılandırdıktan sonra, hangi kullanıcıların ve grupların verilerinize ve işlemlerinize okuma ve yazma erişimine sahip olduğunu belirten rol atamalarını izleyin.
Özel uç nokta kullanımıyla ilgili dikkat edilmesi gerekenler
Bu bölüm, özel bağlantı seçeneğini daraltıyor.
- Paylaşılan özel bağlantı, en düşük katmanın metin tabanlı dizin oluşturma için Temel veya beceri tabanlı dizin oluşturma için Standart 2 (S2) olduğu faturalanabilir bir arama hizmeti gerektirir. Ayrıntılar için bkz . özel uç nokta sayısıyla ilgili katman sınırları.
Paylaşılan bir özel bağlantı oluşturulduktan sonra, arama hizmeti bu bağlantıyı her zaman söz konusu Azure kaynağına yapılan her dizin oluşturucu bağlantısı için kullanır. Özel bağlantı kilitlenir ve dahili olarak zorlanır. Genel bağlantı için özel bağlantıyı atlayamazsınız.
Faturalanabilir bir Azure Özel Bağlantı kaynağı gerektirir.
Abonelik sahibinin özel uç nokta bağlantısını onaylamasını gerektirir.
Dizin oluşturucu için çok kiracılı yürütme ortamını kapatmanız gerekir.
Bunu, dizin oluşturucunun
executionEnvironmentöğesini olarak"Private"ayarlayarak yaparsınız. Bu adım, tüm dizin oluşturucu yürütmesinin arama hizmeti içinde sağlanan özel ortamla sınırlandırılmasını sağlar. Bu ayarın kapsamı arama hizmeti değil, dizin oluşturucu olarak belirlenmiştir. Tüm dizin oluşturucuların özel uç noktalar üzerinden bağlanmasını istiyorsanız, her birinin aşağıdaki yapılandırmaya sahip olması gerekir:{ "name" : "myindexer", ... other indexer properties "parameters" : { ... other parameters "configuration" : { ... other configuration properties "executionEnvironment": "Private" } } }
Bir kaynak için onaylanmış bir özel uç noktanız olduğunda, özel olarak ayarlanmış dizin oluşturucular, Azure kaynağı için oluşturulan ve onaylanan özel bağlantı üzerinden erişim elde etmeye çalışır.
Azure AI Search, özel uç nokta arayanlarının uygun rol atamalarına sahip olduğunu doğrular. Örneğin, salt okunur izinlere sahip bir depolama hesabına özel uç nokta bağlantısı isteğinde bulunursanız, bu çağrı reddedilir.
Özel uç nokta onaylanmamışsa veya dizin oluşturucu özel uç nokta bağlantısını kullanmadıysa dizin oluşturucu yürütme geçmişinde bir transientFailure hata iletisi görürsünüz.
Belirteç kimlik doğrulaması ile ağ güvenliğini destekleme
Güvenlik duvarları ve ağ güvenliği, verilere ve işlemlere yetkisiz erişimi önlemenin ilk adımıdır. Yetkilendirme sonraki adımınız olmalıdır.
Microsoft Entra ID kullanıcılarının ve gruplarının hizmetinize okuma ve yazma erişimini belirleyen rollere atandığı rol tabanlı erişim önerilir. Yerleşik rollerin açıklaması ve özel roller oluşturmaya yönelik yönergeler için bkz. Rol tabanlı erişim denetimlerini kullanarak Azure AI Search'e Bağlan.
Anahtar tabanlı kimlik doğrulamasına ihtiyacınız yoksa API anahtarlarını devre dışı bırakmanızı ve rol atamalarını özel olarak kullanmanızı öneririz.
Ağ korumalı depolama hesabına erişim
Arama hizmeti dizinleri ve eş anlamlı listeleri depolar. Depolama gerektiren diğer özellikler için Azure AI Search, Azure Depolama bağımlılığını alır. Zenginleştirme önbelleği, hata ayıklama oturumları ve bilgi depoları bu kategoriye girer. Her hizmetin konumu ve depolama için geçerli olan tüm ağ korumaları, veri erişim stratejinizi belirler.
Aynı bölge hizmetleri
Azure Depolama'da, güvenlik duvarı üzerinden erişim isteğin farklı bir bölgeden kaynaklandığını gerektirir. Azure Depolama ve Azure AI Search aynı bölgedeyse, arama hizmetinin sistem kimliği altındaki verilere erişerek depolama hesabındaki IP kısıtlamalarını atlayabilirsiniz.
Sistem kimliğini kullanarak veri erişimini desteklemek için iki seçenek vardır:
Aramayı güvenilen hizmet olarak çalışacak şekilde yapılandırın ve Azure Depolama'da güvenilen hizmet özel durumunu kullanın.
Azure Depolama bir Azure kaynağından gelen istekleri kabul eden bir kaynak örneği kuralı yapılandırın.
Yukarıdaki seçenekler kimlik doğrulaması için Microsoft Entra Id'ye bağlıdır; bu da bağlantının bir Microsoft Entra oturum açma bilgisi ile yapılması gerektiği anlamına gelir. Şu anda bir güvenlik duvarı üzerinden aynı bölge bağlantıları için yalnızca Azure AI Search sistem tarafından atanan yönetilen kimlik desteklenmektedir.
Farklı bölgelerdeki hizmetler
Arama ve depolama farklı bölgelerdeyken, daha önce bahsedilen seçenekleri kullanabilir veya hizmetinizden gelen istekleri kabul eden IP kuralları ayarlayabilirsiniz. İş yüküne bağlı olarak, sonraki bölümde açıklandığı gibi birden çok yürütme ortamı için kurallar ayarlamanız gerekebilir.
Sonraki adımlar
Artık Azure sanal ağında dağıtılan çözümler için dizin oluşturucu veri erişim seçeneklerini bildiğinize göre, sonraki adım olarak aşağıdaki nasıl yapılır makalelerinden birini gözden geçirin: