共用方式為

向网络安全外围添加搜索服务

重要

Azure AI 搜索对网络安全外围的支持目前根据补充使用条款以公共预览版提供。 它在提供此功能的区域中可用。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。

在开始之前,请查看限制和注意事项部分。

本文介绍如何将 Azure AI 搜索服务加入网络安全外围,以控制对搜索服务的网络访问。 加入网络安全外围后,你就可以:

  • 记录对搜索服务的所有访问,并将其与同一外围中的其他 Azure 资源放在一起。
  • 阻止将任何数据从搜索服务泄漏到外围以外的其他服务。
  • 允许使用网络安全外围的入站和出站访问功能访问搜索服务。

可以在 Azure 门户中向网络安全外围添加搜索服务,如本文所述。 或者,可以使用 Azure Virtual Network Manager REST API 加入搜索服务,并使用搜索管理 REST API 查看和同步配置设置。

限制和注意事项

先决条件

将搜索服务分配到网络安全外围

借助 Azure 网络安全外围,管理员能够为在虚拟网络外部部署的 PaaS 资源(例如 Azure 存储和 Azure SQL 数据库)定义逻辑网络隔离边界。 网络安全外围将通信限制为外围中的资源,并通过入站和出站访问规则来允许非外围公共流量。

可以将 Azure AI 搜索添加到网络安全外围,以便所有索引和查询请求都发生在安全边界内。

  1. 在 Azure 门户中,为订阅查找网络安全外围服务。

  2. 在左窗格中,选择 “设置>关联资源”。

    网络安全外围左侧菜单的屏幕截图。

  3. 选择“添加”“将资源与现有配置文件关联”。>

    网络安全外围关联资源按钮的屏幕截图。

  4. 对于“配置文件”,请选择你在创建网络安全外围时创建的配置文件

  5. 选择 “添加”,然后选择搜索服务。

    网络安全外围“关联资源”按钮与“选择资源”屏幕的屏幕截图。

  6. 选择左下角的 “关联 ”以创建关联。

网络安全外围访问模式

网络安全外围支持关联资源的两种不同的访问模式:

模式 说明
学习模式 这是默认访问模式。 在学习模式下,网络安全外围将记录发往搜索服务的所有流量,如果外围处于强制模式,这些流量将被拒绝。 这样,网络管理员就可以在实施访问规则之前了解搜索服务的现有访问模式。
强制模式 在强制模式下,网络安全外围将记录并拒绝所有未经访问规则显式允许的流量

网络安全外围和搜索服务网络设置

publicNetworkAccess 设置决定搜索服务与网络安全边界的关联。

  • 在学习模式中,publicNetworkAccess 设置控制对资源的公共访问。

  • 在强制模式中,publicNetworkAccess 设置将被网络安全边界规则覆盖。 例如,如果将 publicNetworkAccess 设置为 enabled 的搜索服务与强制模式下的网络安全外围相关联,则对搜索服务的访问仍受网络安全外围访问规则的控制。

更改网络安全外围访问模式

  1. 在 Azure 门户中转到网络安全外围资源。

  2. 在左窗格中,选择 “设置>关联资源”。

    网络安全外围左侧菜单的屏幕截图。

  3. 在表中查找您的搜索服务。

  4. 选择行末尾的三个点,然后选择 “更改访问模式”。

    网络安全外围门户中“更改访问模式”按钮的屏幕截图。

  5. 选择所需的访问模式,然后选择“ 应用”。

    网络安全外围门户中“更改访问模式”按钮的屏幕截图,其中显示了访问模式。

启用日志记录网络访问

  1. 在 Azure 门户中转到网络安全外围资源。

  2. 在左窗格中,选择“ 监视>诊断设置”。

    网络安全外围门户中左侧菜单的屏幕截图。

  3. 选择“添加诊断设置”。

  4. 输入任何名称(如“诊断”)作为 诊断设置名称

  5. 在“日志”下,选择“allLogs”。 “allLogs”可确保记录对网络安全外围内资源的所有入站和出站网络访问

  6. 在“目标详细信息”下,选择“存档到存储帐户”或“发送到 Log Analytics 工作区”。 存储帐户必须与网络安全外围位于同一区域中。 可以使用现有存储帐户,也可以创建新的存储帐户。 Log Analytics 工作区可以位于不同于网络安全外围使用的区域。 你也可以选择其他任何适用的目的地。

    网络安全外围门户中已填写诊断设置的屏幕截图。

  7. 选择“保存”以创建诊断设置并开始记录网络访问。

读取网络访问日志

Log Analytics 工作区

network-security-perimeterAccessLogs 表包含每个日志类别的所有日志(例如 network-security-perimeterPublicInboundResourceRulesAllowed)。 每个日志都包含与日志类别匹配的网络安全外围网络访问记录。

下面是 network-security-perimeterPublicInboundResourceRulesAllowed 日志格式的示例:

列名 含义 示例值
结果描述 网络访问操作的名称 POST /indexes/my-index/docs/search
个人资料 与搜索服务关联的网络安全外围 defaultProfile
ServiceResourceId 搜索服务的资源 ID search-service-resource-id
匹配的规则 日志匹配的规则的 JSON 说明 { "accessRule": "IP firewall" }
来源IP地址 入站网络访问的源 IP(如适用) 1.1.1.1
AccessRuleVersion 用于实施网络访问规则的网络安全外围访问规则的版本 0

存储帐户

存储帐户为每个日志类别都提供了容器(例如 insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed)。 容器中的文件夹结构与网络安全外围的资源 ID 和获取日志的时间相匹配。 JSON 日志的每行都包含与日志类别匹配的网络安全外围网络访问记录。

例如,入境周界规则允许类别日志使用以下格式:

"properties": {
    "ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
    "Profile": "defaultProfile",
    "MatchedRule": {
        "AccessRule": "myaccessrule"
    },
    "Source": {
        "IpAddress": "255.255.255.255",
    }
}

为搜索服务添加访问规则

网络安全外围配置文件指定允许或拒绝通过外围访问的规则。

在外围内,所有资源可在网络级别相互访问。 你仍需要设置身份验证和授权,但在网络级别,接受来自外围内的连接请求。

对于网络安全外围以外的资源,必须指定入站和出站访问规则。 入站规则指定允许哪些连接进入,出站规则指定允许哪些请求发出。

搜索服务接受来自 Azure AI Foundry 门户、Azure 机器学习提示流等应用的入站请求,以及任何发送索引或查询请求的应用的入站请求。 搜索服务在基于索引器的索引编制和技能组执行期间发送出站请求。 本部分介绍如何为 Azure AI 搜索方案设置入站和出站访问规则。

注释

在使用托管标识和角色分配对入站和出站访问进行身份验证时,与网络安全外围关联的任何服务都隐式地允许访问与同一网络安全外围关联的任何其他服务。 仅当允许在网络安全外围以外进行访问或使用 API 密钥进行身份验证的访问时,才需要创建访问规则。

添加入站访问规则

入站访问规则可以允许 Internet 和外围外部的资源连接到外围内部的资源。

网络安全外围支持两种类型的入站访问规则:

  • IP 地址范围。 IP 地址或范围必须采用无类别域际路由 (CIDR) 格式。 CIDR 表示法的示例是 192.0.2.0/24,它表示范围从 192.0.2.0 到 192.0.2.255 的 IP。 这种类型的规则允许来自范围内任何 IP 地址的入站请求。

  • 订阅。 使用订阅中任何托管标识进行身份验证的入站访问受到此类规则的允许。

若要在 Azure 门户中添加入站访问规则,请执行以下操作:

  1. 在 Azure 门户中转到网络安全外围资源。

  2. 在左窗格中,选择 “设置>配置文件”。

    选择个人资料时左侧菜单的屏幕截图。

  3. 选择与网络安全外围配合使用的配置文件。

    从网络安全外围选择配置文件的屏幕截图。

  4. 在左窗格中,选择 “设置>入站访问规则”。

    左侧菜单的屏幕截图,其中选择了出站访问规则。

  5. 选择 并添加

    “添加入站网络安全外围访问规则”按钮的屏幕截图。

  6. 输入或选择下列值:

    设置 价值
    规则名称 入站访问规则的名称,例如“MyInboundAccessRule”。
    源类型 有效值为 IP 地址范围订阅
    允许的源 如果选择 了 IP 地址范围,请输入要允许入站访问的 CIDR 格式的 IP 地址范围。 此链接提供 Azure IP 范围。 如果选择了“订阅”,请使用你要从中允许入站访问的订阅。
  7. 选择添加以创建入站访问规则。

    填写的“添加入站网络安全外围访问规则”屏幕的屏幕截图。

添加出站访问规则

搜索服务在基于索引器的索引编制和技能组执行期间发出出站调用。 如果索引器数据源、Azure AI 服务或自定义技能逻辑不在网络安全外围之外,则应创建允许搜索服务建立连接的出站访问规则。

回想一下,在公共预览版中,Azure AI 搜索只能连接到安全外围内的 Azure 存储或 Azure Cosmos DB。 如果索引器使用其他数据源,则需要出站访问规则来支持该连接。

网络安全外围支持基于目标完全限定域名 (FQDN) 的出站访问规则。 例如,可以允许与网络安全外围关联的任何服务对 FQDN(例如 mystorageaccount.blob.core.chinacloudapi.cn)进行出站访问。

若要在 Azure 门户中添加出站访问规则,请执行以下操作:

  1. 在 Azure 门户中转到网络安全外围资源。

  2. 在左窗格中,选择 “设置>配置文件”。

    左侧菜单的屏幕截图,其中选择了“个人资料”选项。

  3. 选择与网络安全外围配合使用的配置文件

    从网络安全外围选择配置文件的屏幕截图。

  4. 在左窗格中,选择 “设置>出站访问规则”。

    在左侧菜单中选择“出站访问规则”的屏幕截图。

  5. 选择 并添加

    在网络安全外围中添加出站访问规则的屏幕截图。

  6. 输入或选择下列值:

    设置 价值
    规则名称 出站访问规则的名称,例如“MyOutboundAccessRule”。
    目标类型 保留为 FQDN
    允许的目标 输入要允许出站访问的以逗号分隔的 FQDN 列表。
  7. 选择“添加”以创建出站访问规则。

    在网络安全外围中添加出站访问规则以及填写的选项的屏幕截图。

通过网络安全外围测试连接

若要通过网络安全外围测试连接,需要在具有 Internet 连接的本地计算机上或在 Azure VM 上访问 Web 浏览器。

  1. 将网络安全外围关联更改为强制模式,以便对搜索服务的网络访问开始实施网络安全外围要求。

  2. 确定是要使用本地计算机还是 Azure VM。

    1. 如果使用本地计算机,则需要知道你的公共 IP 地址。
    2. 如果使用 Azure VM,可以使用专用链接使用 Azure 门户检查 IP 地址
  3. 使用 IP 地址时,可以为该 IP 地址创建入站访问规则以允许访问。 如果使用的是专用链接,则可以跳过此步骤。

  4. 最后,尝试在 Azure 门户中导航到搜索服务。 如果可以成功查看索引,则表明已正确配置网络安全外围。

查看和管理网络安全外围配置

可以使用网络安全外围配置 REST API 查看和协调外围配置。

请务必使用预览 API 版本 2024-06-01-preview 或更高版本预览版。 了解如何调用管理 REST API

另请参阅