向网络安全外围添加搜索服务

网络安全边界是围绕平台即服务（PaaS）资源的逻辑网络边界，这些资源部署在虚拟网络之外。 它建立一个外围，用于控制对Azure AI 搜索、Azure 存储等资源的公用网络访问。

本文介绍如何将Azure AI 搜索服务加入网络安全外围，以控制对搜索服务的网络访问。 加入网络安全外围后，你就可以：

• 使用同一安全边界中的其他 Azure 资源，将对搜索服务的所有访问情况进行记录。
• 阻止将任何数据从搜索服务泄漏到外围以外的其他服务。
• 允许使用网络安全外围的入站和出站访问功能访问搜索服务。

可以在Azure门户中将搜索服务添加到网络安全外围，如本文所述。 或者，使用 搜索管理 REST API 查看和同步配置设置。

先决条件

• 一个现有的网络安全外围。 可以创建一个与搜索服务关联的外围。

• Azure AI 搜索、在任何区域、任何收费层级。

• Azure 角色分配：在边界（或其资源组或订阅）上具有 网络安全边界参与者 角色，以创建和管理边界、配置文件、访问规则和关联。 在搜索服务上拥有 搜索服务参与者（或 参与者）角色，以将其与边界关联。 有关详细信息，请参阅什么是网络安全外围？

• 如果计划使用索引器，请使用 系统或用户分配的托管标识 配置搜索服务，并在每个数据源上为标识分配适当的数据平面角色。

局限性

• 支持的索引器数据源目前限制为 Azure Blob 存储、Azure Cosmos DB NoSQL 和 Azure SQL 数据库。

• 与 Azure PaaS 进行数据检索的索引器连接是主要的外围用例。 对于其他流量， 请配置入站和出站规则。 共享专用链接 是特定资源类型的替代方法。

将搜索服务分配到网络安全外围

将搜索服务与外围关联，以便所有索引和查询流量都受外围规则的约束。

1. 在Azure门户中，找到订阅的网络安全外围服务。

2. 在左窗格中，选择 “设置>关联资源”。

   

3. 选择“添加”“将资源与现有配置文件关联”。>

   

4. 对于“配置文件”，请选择你在创建网络安全外围时创建的配置文件。

5. 选择 “添加”，然后选择搜索服务。

   

6. 选择左下角的 “关联 ”以创建关联。

从网络安全外围删除搜索服务

若要将搜索服务与边界解除关联，请：

1. 在Azure门户中转到网络安全外围资源。

2. 在左窗格中，选择 “设置>关联资源”。

3. 在表中查找搜索服务，选择行末尾的三个点，然后选择“ 删除关联”。

4. 确认删除。 删除关联后，外围规则不再应用于搜索服务， publicNetworkAccess 搜索服务上的设置将再次控制入站流量。

网络安全外围访问模式

网络安全外围支持关联资源的两种不同的访问模式：

网络安全外围和搜索服务网络设置

publicNetworkAccess 设置决定搜索服务与网络安全边界的关联。

• 在学习模式下， publicNetworkAccess 设置控制对资源的公共访问。

• 在强制模式下，网络安全外围规则将覆盖该 publicNetworkAccess 设置。 例如，如果具有 publicNetworkAccess 设置的 enabled 搜索服务在强制模式下与网络安全外围关联，则对搜索服务的访问仍由网络安全外围访问规则控制。

更改网络安全外围访问模式

1. 在Azure门户中转到网络安全外围资源。

2. 在左窗格中，选择 “设置>关联资源”。

   

3. 在表中查找您的搜索服务。

4. 选择行末尾的三个点，然后选择 “更改访问模式”。

   

5. 选择所需的访问模式，然后选择“ 应用”。

   

启用日志记录网络访问

1. 在Azure门户中转到网络安全外围资源。

2. 在左窗格中，选择“ 监视>诊断设置”。

   

3. 选择“添加诊断设置”。

4. 为 diagnostic 输入任意名称，例如 。

5. 在“日志”下，选择“allLogs”。 “allLogs”可确保记录对网络安全外围内资源的所有入站和出站网络访问。

6. 在“目标详细信息”中，选择存档到存储帐户或发送到 Log Analytics 工作区。 存储帐户必须与网络安全外围位于同一区域中。 可以使用现有存储帐户，也可以创建新的存储帐户。 Log Analytics工作区可以位于不同于网络安全外围使用的区域。 你也可以选择其他任何适用的目的地。

   

7. 选择“保存”以创建诊断设置并开始记录网络访问。

8. 若要验证日志记录是否已启用，请向搜索服务发送流量（例如，执行查询）。 在大约 10 分钟内，在Log Analytics中查询 NSPAccessLogs 表，或检查存储帐户中的相应 insights-logs-* 容器。

读取网络访问日志

网络安全外围日志将传送到 诊断设置中选择的目标。 最常见的目标是Log Analytics工作区和存储帐户。

Log Analytics 工作区

该 NSPAccessLogs 表包含每个日志类别的所有日志，例如 NspPublicInboundPerimeterRulesAllowed。 每个日志都包含与日志类别匹配的网络安全外围网络访问的记录。

下面是 NspPublicInboundPerimeterRulesAllowed 日志格式的示例：

存储帐户

存储帐户具有每个日志类别的容器，例如 insights-logs-nsppublicinboundperimeterrulesallowed。 容器中的文件夹结构与网络安全外围的资源 ID 和获取日志的时间相匹配。 JSON 日志的每行都包含与日志类别匹配的网络安全外围网络访问记录。

例如，入境周界规则允许类别日志使用以下格式：

"properties": {
    "ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
    "Profile": "defaultProfile",
    "MatchedRule": {
        "AccessRule": "myaccessrule"
    },
    "Source": {
        "IpAddress": "192.0.2.1",
    }
}

为搜索服务添加访问规则

网络安全外围配置文件指定允许或拒绝通过外围访问的规则。

在外围内，所有资源可在网络级别相互访问。 你仍需要设置身份验证和授权，但在网络级别，接受来自外围内的连接请求。

对于网络安全外围以外的资源，必须指定入站和出站访问规则。 入站规则指定允许哪些连接进入，出站规则指定允许哪些请求发出。

搜索服务接受来自应用（例如Azure AI 服务门户、Azure 机器学习提示流）的入站请求，以及发送索引或查询请求的任何应用。 搜索服务在基于索引器的索引编制和技能组执行期间发送出站请求。 本部分介绍如何为Azure AI 搜索方案设置入站和出站访问规则。

添加入站访问规则

入站访问规则可以允许 Internet 和外围外部的资源连接到外围内部的资源。

网络安全外围支持两种类型的入站访问规则：

• IP 地址范围。 IP 地址或范围必须采用无类别域际路由 (CIDR) 格式。 CIDR 表示法的示例是 192.0.2.0/24，它表示范围从 192.0.2.0 到 192.0.2.255 的 IP。 这种类型的规则允许来自范围内任何 IP 地址的入站请求。

• 订阅。 这种类型的规则允许通过使用订阅中的任何托管标识进行身份验证的入站访问。 规则仅控制网络路径;调用方仍需要在搜索服务上Azure RBAC 角色分配。

若要在Azure门户中添加入站访问规则，请执行以下操作：

1. 在Azure门户中转到网络安全外围资源。

2. 在左窗格中，选择 “设置>配置文件”。

   

3. 选择与网络安全外围配合使用的配置文件。

   

4. 在左窗格中，选择 “设置>入站访问规则”。

   

5. 选择 并添加。

   

6. 输入或选择下列值：

   设置	价值
   规则名称	入站访问规则的名称，例如 MyInboundAccessRule。
   源类型	有效值为 IP 地址范围 或 订阅。
   允许的源	如果选择 了 IP 地址范围，请输入要允许入站访问的 CIDR 格式的 IP 地址范围。 下载 Azure IP 范围和服务标记文件。 如果选择了 订阅，请使用您希望允许从中进行入站访问的订阅。

7. 选择添加以创建入站访问规则。

   

8. 若要验证该规则，请在测试配置文件中将该关联切换为强制模式。 确认匹配请求显示在日志类别中 NspPublicInboundPerimeterRulesAllowed ，且未匹配的请求显示在类别中 NspPublicInboundPerimeterRulesDenied 。

添加出站访问规则

搜索服务在基于索引器的索引编制和技能组执行期间发出出站调用。 如果索引器数据源、Azure AI 服务或自定义技能逻辑不在网络安全外围之外，则应创建允许搜索服务建立连接的出站访问规则。

目前，Azure AI 搜索只能连接到安全外围内的Azure 存储或Azure Cosmos DB。 如果索引器使用其他数据源，则需要出站访问规则来支持该连接。

网络安全外围支持基于目标的完全限定域名（FQDN）的出站访问规则。 例如，可以允许与网络安全外围关联的任何服务对 FQDN（例如 mystorageaccount.blob.core.chinacloudapi.cn）进行出站访问。

若要在Azure门户中添加出站访问规则，请执行以下操作：

1. 在Azure门户中转到网络安全外围资源。

2. 在左窗格中，选择 “设置>配置文件”。

   

3. 选择与网络安全外围配合使用的配置文件。

   

4. 在左窗格中，选择 “设置>出站访问规则”。

   

5. 选择 并添加。

   

6. 输入或选择下列值：

   设置	价值
   规则名称	出站访问规则的名称，例如 MyOutboundAccessRule。
   目标类型	保留为 FQDN。
   允许的目的地	输入要允许出站访问的以逗号分隔的 FQDN 列表。

7. 选择“添加”以创建出站访问规则。

   

8. 若要验证该规则，请在测试配置文件中将该关联切换为强制模式。 确认匹配的出站请求出现在 NspPublicOutboundPerimeterRulesAllowed 日志类别中。

通过网络安全外围测试连接

若要通过网络安全外围测试连接，需要访问具有 Internet 连接的本地计算机上的 Web 浏览器或Azure VM。

1. 将网络安全外围关联更改为强制模式，以便对搜索服务的网络访问开始实施网络安全外围要求。

2. 选择客户端：

   1. 对于本地计算机，获取公共 IP 地址。

   2. 对于Azure VM，请使用 private link 或 在 Azure 门户中查找 IP 地址。

3. 为该 IP 地址创建 入站访问规则 以允许访问。

4. 在Azure门户中，打开搜索服务并查看其索引。

   • 预期成功： 索引列表将加载，可以运行测试查询。 入站 IP 规则正常工作。

   • 如果出现 403 或“公用网络访问已禁用”错误：您的客户端 IP 或 Azure 门户不在入站规则的允许范围内。 检查 入站访问规则。

排查常见问题

查看和管理网络安全外围配置

使用 网络安全外围配置 REST API 查看和协调搜索服务上的外围配置。

例如，列出搜索服务上的当前外围配置：

az rest --method get \
  --url "https://management.chinacloudapi.cn/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service-name>/networkSecurityPerimeterConfigurations?api-version=2025-05-01"

如果配置与边界不同步，请触发重新协调：

az rest --method post \
  --url "https://management.chinacloudapi.cn/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Search/searchServices/<search-service-name>/networkSecurityPerimeterConfigurations/<association-name>/reconcile?api-version=2025-05-01"

使用搜索管理 REST API 的最新稳定版本。 有关详细信息，请参阅 使用 REST API 管理Azure AI 搜索服务。

相关内容

• 网络安全外围概念
• 配置搜索服务以使用托管标识进行连接
• 通过共享专用链接建立出站连接