为 Azure AI 搜索配置 IP 防火墙

Azure AI 搜索支持通过防火墙进行入站访问的 IP 规则,类似于 Azure 虚拟网络安全组中的 IP 规则。 通过应用 IP 规则,可以将服务访问限制为一组已批准的设备和云服务。 IP 规则仅允许通过请求。 对数据和操作的访问仍需要调用方提供有效的授权令牌。

可按本文所述在 Azure 门户中设置 IP 规则,或者,可以使用管理 REST APIAzure PowerShellAzure CLI

注意

若要通过门户访问受 IP 防火墙保护的搜索服务,请允许从特定客户端和门户 IP 地址进行访问

先决条件

  • 基本层或更高层的搜索服务

在 Azure 门户中设置 IP 范围

  1. 登录到 Azure 门户并转到你的 Azure AI 搜索服务页。

  2. 在左侧导航窗格选择“网络”。

  3. 将“公共网络访问”设置为“所选网络”。 如果连接设置为“禁用”,则只能通过专用终结点访问搜索服务。

    Screenshot showing how to configure the IP firewall in the Azure portal.

    Azure 门户支持 CIDR 格式的 IP 地址和 IP 地址范围。 CIDR 表示法的示例是 8.8.8.0/24,它表示范围从 8.8.8.0 到 8.8.8.255 的 IP。

  4. 选择“防火墙”下的“添加客户端 IP 地址”,为系统 IP 地址创建入站规则。

  5. 为将向搜索服务发送请求的其他计算机、设备和服务添加其他客户端 IP 地址。

为 Azure AI 搜索服务启用 IP 访问控制策略后,将拒绝从 IP 地址范围允许列表中不包含的计算机向数据平面发出的所有请求。

遭拒的请求

请求来源于不在允许列表中的 IP 地址时,将返回一个不包含其他详细信息的通用“403 禁止”响应。

允许来自 Azure 门户 IP 地址的访问

配置 IP 规则时,将禁用 Azure 门户的某些功能。 可以查看和管理服务级别信息,但对索引、索引器和其他顶级资源的门户访问受到限制。 可以通过允许从门户 IP 地址和客户端 IP 地址进行访问,还原对整个搜索服务操作的门户访问权限。

若要获取门户的 IP 地址,请在 stamp2.ext.search.azure.cn(即流量管理器的域)上执行 nslookup(或 ping)。 对于 nslookup,IP 地址在响应的“非权威回复”部分可见。

在以下示例中,应复制的 IP 地址是 52.252.175.48

$ nslookup stamp2.ext.search.azure.cn
Server:  ZenWiFi_ET8-0410
Address:  192.168.50.1

Non-authoritative answer:
Name:    azsyrie.chinaeast.cloudapp.chinacloudapi.cn
Address:  52.252.175.48
Aliases:  stamp2.ext.search.azure.cn
          azs-ux-prod.trafficmanager.cn
          azspncuux.management.search.azure.cn

不同区域中运行的服务会连接到不同的流量管理器。 无论域名是什么,ping 返回的 IP 地址都是为你所在区域的 Azure 门户定义入站防火墙规则时要使用的正确 IP 地址。

对于 ping,请求将超时,但 IP 地址将在响应中可见。 例如,在 "Pinging azsyrie.chinaeast.cloudapp.chinacloudapi.cn [52.252.175.48]" 消息中,IP 地址为 52.252.175.48

为客户端提供 IP 地址可确保请求不会完全遭拒。但是,要成功访问内容和操作,授权亦必不可少。 使用以下其中一种方法验证请求:

后续步骤

如果客户端应用程序是 Azure 上的静态 Web 应用,请学习如何确定其 IP 范围,以使其包含在搜索服务 IP 防火墙规则中。