Configurare le regole del firewall IP per consentire le connessioni dell'indicizzatore da Azure AI Search

Azure AI Search effettua chiamate esterne e in uscita durante l'elaborazione dell'indicizzatore per i contenuti e le competenze, nonché per le richieste di recupero agentico che includono chiamate a modelli di linguaggio di grandi dimensioni. Se la risorsa di Azure di destinazione usa regole del firewall IP per filtrare le chiamate in ingresso, è necessario creare una regola in ingresso nel firewall che ammette le richieste da Ricerca di intelligenza artificiale di Azure.

Questo articolo spiega come trovare l'indirizzo IP del servizio di ricerca e come configurare una regola IP in ingresso in un account di archiviazione di Azure. Sebbene sia specifico dell'archiviazione di Azure, questo approccio funziona anche per altre risorse di Azure che usano le regole del firewall IP per l'accesso ai dati, ad esempio Azure Cosmos DB e Azure SQL.

Prerequisiti

  • Servizio Ricerca intelligenza artificiale di Azure (livello Basic o superiore). Non è possibile impostare regole del firewall nel livello Gratuito.
  • Una risorsa di Azure di destinazione esistente protetta da un firewall.
  • Ruolo Collaboratore o Proprietario nel servizio di ricerca.

Note

  • Applicabile solo all'archiviazione di Azure. Per definire le regole del firewall IP, l'account di archiviazione e il servizio di ricerca devono trovarsi in aree diverse. Se l'installazione non consente aree diverse, provare invece l'eccezione del servizio attendibile o la regola dell'istanza della risorsa .

  • Per le connessioni private dagli indicizzatori a qualsiasi risorsa di Azure supportata, è consigliabile configurare un collegamento privato condiviso. Le connessioni private percorrono la rete backbone Microsoft, ignorando completamente la rete Internet pubblica.

Ottenere un indirizzo IP del servizio di ricerca

  1. Passare al servizio di ricerca nel portale di Azure.

  2. Nel riquadro sinistro selezionare Panoramica.

  3. Copiare il nome di dominio completo (FQDN) del servizio di ricerca, che dovrebbe apparire simile a my-search-service.search.windows.net.

    Screenshot della pagina Panoramica del servizio di ricerca.

  4. Individuare l'indirizzo IP del servizio di ricerca eseguendo un nslookup (o un ping) del nome di dominio completo in un prompt dei comandi. Assicurarsi di rimuovere il https:// prefisso.

  5. Copiare l'indirizzo IP da usare nel passaggio successivo. Nell'esempio seguente l'indirizzo IP copiato è 150.0.0.1.

    nslookup my-search-service.search.windows.net
Server:  server.example.org
Address:  10.50.10.50

Non-authoritative answer:
Name:    <name>
Address:  150.0.0.1
aliases:  my-search-service.search.windows.net

    L'indirizzo Address IP nel campo "Risposta non autorevole" (150.0.0.1 in questo esempio) è il valore necessario per la regola del firewall.

Consentire l'accesso dall'indirizzo IP client

Le applicazioni client che eseguono il push delle richieste di indicizzazione e query al servizio di ricerca devono essere rappresentate in un intervallo IP. In Azure è in genere possibile determinare l'indirizzo IP eseguendo il ping del nome di dominio completo di un servizio. Ad esempio, restituisce ping <your-search-service-name>.search.windows.net l'indirizzo IP di un servizio di ricerca.

Aggiungere l'indirizzo IP client per consentire l'accesso al servizio dal portale di Azure nel computer corrente.

  1. Nel portale di Azure selezionare il servizio di ricerca.

  2. Nel riquadro sinistro selezionare Impostazioni>rete.

  3. Nella scheda Firewall e reti virtuali impostare Accesso alla rete pubblica su Indirizzi IP selezionati.

    Screenshot dell'opzione per consentire l'accesso alla rete pubblica dagli indirizzi IP selezionati nel portale di Azure.

  4. In Firewall IP selezionare Aggiungi l'indirizzo IP del client.

    Screenshot dell'opzione per aggiungere l'indirizzo IP del client nel portale di Azure.

  5. Salvare le modifiche.

Ottenere gli indirizzi IP per il tag del servizio "AzureCognitiveSearch"

Sarà anche necessario creare una regola in ingresso che consenta le richieste dall'ambiente di esecuzione multi-tenant. Questo ambiente è gestito da Microsoft e viene usato per eseguire l'offload di processi con utilizzo intensivo di elaborazione che potrebbero altrimenti sovraccaricare il servizio di ricerca. Questa sezione illustra come ottenere l'intervallo di indirizzi IP necessari per creare questa regola in ingresso.

Viene definito un intervallo di indirizzi IP per ogni area che supporta Azure AI Search. Specificare l'intervallo completo per garantire l'esito positivo delle richieste provenienti dall'ambiente di esecuzione multi-tenant.

È possibile ottenere questo intervallo di indirizzi IP dal tag del servizio AzureCognitiveSearch.

  1. Usare l'API di individuazione oppure il file JSON scaricabile. Se il servizio di ricerca è il cloud pubblico di Azure, scaricare il file JSON pubblico di Azure.

  2. Aprire il file JSON e cercare "AzureCognitiveSearch". Per un servizio di ricerca nell'area WestUS2, gli indirizzi IP per l'ambiente di esecuzione dell'indicizzatore multi-tenant sono:

    {
"name": "AzureCognitiveSearch.WestUS2",
"id": "AzureCognitiveSearch.WestUS2",
"properties": {
   "changeNumber": 1,
   "region": "westus2",
   "regionId": 38,
   "platform": "Azure",
   "systemService": "AzureCognitiveSearch",
   "addressPrefixes": [
      "20.42.129.192/26",
      "40.91.93.84/32",
      "40.91.127.116/32",
      "40.91.127.241/32",
      "51.143.104.54/32",
      "51.143.104.90/32",
      "2603:1030:c06:1::180/121"
   ],
   "networkFeatures": null
}
},

    Copiare tutti gli indirizzi IP nell'array addressPrefixes per la tua area.

  3. Per gli indirizzi IP con il suffisso "/32", eliminare "/32" (40.91.93.84/32 diventa 40.91.93.84 nella definizione della regola). Tutti gli altri indirizzi IP possono essere usati così come sono.

  4. Copiare tutti gli indirizzi IP per l'area.

Aggiungere indirizzi IP alle regole del firewall IP

Dopo aver ottenuto gli indirizzi IP necessari, configurare le regole in ingresso. Il modo più semplice per aggiungere intervalli di indirizzi IP alla regola del firewall di un account di archiviazione consiste nell'usare il portale di Azure.

  1. Selezionare l'account di archiviazione nel portale di Azure.

  2. Nel riquadro sinistro selezionare Sicurezza e rete>.

  3. Nella scheda Accesso pubblico selezionare Gestisci.

    Screenshot del pulsante per gestire l'accesso alla rete pubblica nel portale di Azure.

  4. In Ambito di accesso alla rete pubblica selezionare Abilita dalle reti selezionate.

    Screenshot dell'opzione per abilitare l'accesso dalle reti selezionate nel portale di Azure.

  5. Aggiungere gli indirizzi IP ottenuti in precedenza e quindi selezionare Salva. È necessario avere regole per il servizio di ricerca, il portale di Azure (facoltativo) e tutti gli indirizzi IP per il tag di servizio "AzureCognitiveSearch" per l'area.

    L'aggiornamento delle regole del firewall può richiedere da cinque a dieci minuti. Dopo l'aggiornamento, gli indicizzatori possono accedere ai dati dell'account di archiviazione dietro il firewall.

Integrare la sicurezza di rete all'autenticazione basata su token

I firewall e la sicurezza di rete costituiscono un primo passaggio per impedire l'accesso non autorizzato a dati e operazioni. L'autorizzazione deve essere il passaggio successivo.

È consigliabile usare l'accesso in base al ruolo, in cui gli utenti e i gruppi di Microsoft Entra ID vengono assegnati a ruoli che determinano l'accesso in lettura e scrittura al servizio. Per una descrizione dei ruoli predefiniti e delle istruzioni per la creazione di ruoli personalizzati, vedere Connettersi a Ricerca di intelligenza artificiale di Azure usando i controlli di accesso in base al ruolo.

Se l'autenticazione basata su chiave non è necessaria, è consigliabile disabilitare le chiavi API e usare esclusivamente le assegnazioni di ruolo.

Contenuti correlati

  • Last updated on