Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Периметр безопасности сети — это логическая граница сети вокруг вашей платформы как услуги (PaaS), которую вы развертываете за пределами виртуальной сети. Он устанавливает периметр для управления доступом к ресурсам общедоступной сети, таким как поиск Azure AI, служба хранилища Azure и Azure OpenAI.
В этой статье объясняется, как присоединить службу поиска ИИ Azure к периметру безопасности сети для управления доступом к службе поиска. Присоединившись к периметру безопасности сети, вы можете:
- Регистрируйте весь доступ к службе поиска в контексте с другими ресурсами Azure в одном периметре.
- Блокировать утечку данных из службы поиска в другие службы за пределами периметра.
- Разрешите доступ к службе поиска с помощью возможностей входящего и исходящего доступа периметра безопасности сети.
Вы можете добавить службу поиска в периметр безопасности сети в портал Azure, как описано в этой статье. Кроме того, можно использовать REST API диспетчера виртуальная сеть Azure для присоединения к службе поиска и использовать REST API службы управления поиском для просмотра и синхронизации параметров конфигурации.
Необходимые компоненты
Существующий периметр безопасности сети. Вы можете создать его для связи со службой поиска.
Поиск ИИ Azure, любой оплачиваемый уровень в любом регионе.
Ограничения
Для служб поиска в периметре безопасности сети индексаторы должны использовать управляемое удостоверение, назначаемое системой или пользователем , и иметь назначение роли, разрешающее доступ на чтение к источникам данных.
Поддерживаемые источники данных индексатора в настоящее время ограничены Хранилище BLOB-объектов Azure, Azure Cosmos DB для NoSQL и База данных SQL Azure.
В настоящее время в периметре подключения индексатора к Azure PaaS для получения данных являются основным вариантом использования. Для исходящих вызовов API, основанных на навыках, в Foundry Tools, Azure OpenAI или каталоге моделей Microsoft Foundry, а также для входящих вызовов из Foundry для сценариев "чат с данными", необходимо настроить правила входящего и исходящего трафика, чтобы запросы могли проходить через периметр. Если требуется частные подключения для фрагментирования и векторизации с поддержкой структуры, необходимо создать общую частную связь и частную сеть.
Назначение службы поиска периметру безопасности сети
С помощью периметра безопасности сети Azure администраторы могут определить границу логической сетевой изоляции для ресурсов PaaS, таких как служба хранилища Azure и база данных SQL Azure, развернутая за пределами виртуальных сетей. Он ограничивает обмен данными с ресурсами в пределах периметра и разрешает общедоступный трафик, отличный от периметра, через правила входящего и исходящего доступа.
Вы можете добавить поиск Azure AI в периметр безопасности сети, чтобы все запросы индексирования и запроса выполнялись в пределах границы безопасности.
В портал Azure найдите службу периметра безопасности сети для подписки.
В левой области выберите "Параметры>связанных ресурсов".
Выберите "Добавить>связанные ресурсы" с существующим профилем.
Выберите профиль, созданный при создании периметра безопасности сети для профиля.
Выберите "Добавить" и выберите службу поиска.
Выберите "Связать" в левом нижнем углу, чтобы создать связь.
Режимы доступа периметра безопасности сети
Периметр безопасности сети поддерживает два разных режима доступа для связанных ресурсов:
| Mode | Description |
|---|---|
| Режим обучения | Это режим доступа по умолчанию. В режиме обучения периметр безопасности сети регистрирует весь трафик, направленный к службе поиска, который был бы отклонен в случае активации принудительного режима. Этот режим доступа позволяет администраторам сети понять существующие шаблоны доступа службы поиска перед реализацией правил доступа. |
| Принудительный режим | В принудительном режиме периметр безопасности сети ведет журналы и запрещает весь трафик, который явно не разрешен правилами доступа. |
Параметры сети периметра безопасности сети и службы поиска
Параметр publicNetworkAccess определяет связь службы поиска с периметром безопасности сети.
В режиме
publicNetworkAccessобучения параметр управляет общедоступным доступом к ресурсу.В принудительном режиме периметральные правила безопасности сети переопределяют настройку
publicNetworkAccess. Например, если служба поиска с параметромpublicNetworkAccessenabledсвязана с периметром безопасности сети в принудительном режиме, доступ к службе поиска по-прежнему контролируется правилами доступа к периметру безопасности сети.
Изменение режима доступа к периметру безопасности сети
Перейдите к ресурсу периметра безопасности сети на портале Azure.
В левой области выберите "Параметры>связанных ресурсов".
Найдите службу поиска в таблице.
Выберите три точки в конце строки, а затем выберите режим изменения доступа.
Выберите нужный режим доступа и нажмите кнопку "Применить".
Включение доступа к сети ведения журнала
Перейдите к ресурсу периметра безопасности сети на портале Azure.
На левой панели выберитепараметры диагностики>.
Выберите Добавить параметр диагностики.
Введите любое имя, например "диагностика", для имени параметра диагностики.
В разделе "Журналы" выберите allLogs. allLogs обеспечивает входной и исходящий сетевой доступ к ресурсам в периметре безопасности сети.
В разделе "Сведения о назначении" выберите "Архивировать" в учетную запись хранения или "Отправить в рабочую область Log Analytics". Учетная запись хранения должна находиться в том же регионе, что и периметр безопасности сети. Можно использовать существующую учетную запись хранения или создать новую. Рабочая область Log Analytics может находиться в другом регионе, отличном от используемого периметром безопасности сети. Вы также можете выбрать любой из других применимых направлений.
Нажмите кнопку "Сохранить", чтобы создать параметр диагностики и начать доступ к сети.
Чтение журналов доступа к сети
Рабочая область Log Analytics
Таблица network-security-perimeterAccessLogs содержит все журналы для каждой категории журнала, например network-security-perimeterPublicInboundResourceRulesAllowed. Каждый журнал содержит запись сетевого доступа к периметру сетевой безопасности, которая соответствует категории журнала.
Ниже приведен пример network-security-perimeterPublicInboundResourceRulesAllowed формата журнала:
| Имя столбца | Значение | Пример значения |
|---|---|---|
| ОписаниеРезультатов | Имя операции доступа к сети. | POST /indexes/my-index/docs/search |
| Профиль | С каким периметром безопасности сети связана служба поиска. | Профиль по умолчанию |
| ServiceResourceId | Идентификатор ресурса службы поиска. | search-service-resource-id |
| Соответствующее правило | Описание JSON правила, с которым совпадает журнал. | { "accessRule": "IP firewall" } |
| IP-адрес источника | Исходный IP-адрес входящего сетевого доступа, если это применимо. | 1.1.1.1 |
| AccessRuleVersion | Версия сетевых правил безопасности периметра, используемая для применения правил доступа к сети. | 0 |
Учетная запись хранения
У учетной записи хранения есть контейнеры для каждой категории журналов, например insights-logs-network-security-perimeterpublicinboundperimeterrulesallowed. Структура папок внутри контейнера соответствует идентификатору ресурса периметра безопасности сети и времени выполнения журналов. Каждая строка в файле журнала JSON содержит запись сетевого доступа периметра безопасности сети, соответствующую категории журнала.
Например, в журнале разрешенных категорий правил входящего периметра используется следующий формат:
"properties": {
"ServiceResourceId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/network-security-perimeter/providers/Microsoft.Search/searchServices/network-security-perimeter-search",
"Profile": "defaultProfile",
"MatchedRule": {
"AccessRule": "myaccessrule"
},
"Source": {
"IpAddress": "255.255.255.255",
}
}
Добавление правила доступа для службы поиска
Профиль периметра безопасности сети задает правила, разрешающие или запрещающие доступ через периметр.
В периметре все ресурсы имеют взаимный доступ на уровне сети. Необходимо по-прежнему настроить проверку подлинности и авторизацию, но на уровне сети запросы на подключение из периметра принимаются.
Для ресурсов за пределами периметра безопасности сети необходимо указать правила входящего и исходящего доступа. Правила входящего трафика указывают, какие подключения разрешаются, а правила исходящего трафика указывают, какие запросы разрешены.
Служба поиска принимает входящие запросы из таких приложений, как портал Microsoft Foundry, поток запросов машинного обучения Azure и любое приложение, которое отправляет запросы на индексирование или запросы. Служба поиска отправляет исходящие запросы во время индексирования и выполнения набора навыков на основе индексатора. В этом разделе объясняется, как настроить правила входящего и исходящего доступа для сценариев поиска ИИ Azure.
Примечание.
При проверке подлинности доступа с помощью управляемых удостоверений и назначений ролей любая служба, связанная с периметром безопасности сети, неявно разрешает входящий и исходящий доступ к любой другой службе, связанной с тем же периметром безопасности сети. Необходимо только создать правила доступа, если вы разрешаете доступ за пределами периметра безопасности сети или для доступа, прошедшего проверку подлинности с помощью ключей API.
Добавление правила входящего доступа
Правила входящего доступа могут позволить Интернету и ресурсам за пределами периметра подключаться к ресурсам внутри периметра.
Периметр безопасности сети поддерживает два типа правил входящего доступа:
Диапазоны IP-адресов. IP-адреса или диапазоны должны находиться в формате маршрутизации без домена (CIDR). Пример нотации CIDR — 192.0.2.0/24, который представляет IP-адреса, которые варьируются от 192.0.2.0 до 192.0.2.255. Этот тип правила разрешает входящие запросы из любого IP-адреса в диапазоне.
Подписки. Этот тип правила разрешает входящий доступ, аутентифицируемый с помощью любого управляемого удостоверения в этой подписке.
Чтобы добавить правило входящего доступа в портал Azure, выполните следующие действия.
Перейдите к ресурсу периметра безопасности сети на портале Azure.
На левой панели выберите "Профили параметров>".
Выберите профиль, который вы используете с периметром безопасности сети.
В левой области выберите "Параметры>входящего доступа".
Выберите Добавить.
Введите или выберите следующие значения:
Параметр Значение Имя правила Имя правила входящего доступа, например MyInboundAccessRule.Тип источника Допустимые значения : диапазоны IP-адресов или подписки. Разрешенные источники Если вы выбрали диапазоны IP-адресов, введите диапазон IP-адресов в формате CIDR, из которого требуется разрешить входящий доступ. Диапазоны IP-адресов Azure доступны по этой ссылке. Если выбраны подписки, используйте подписку, из которой требуется разрешить входящий доступ. Нажмите кнопку "Добавить ", чтобы создать правило входящего доступа.
Добавление правила исходящего доступа
Служба поиска выполняет исходящие вызовы во время индексирования и выполнения набора навыков на основе индексатора. Если источники данных индексатора, инструменты Foundry или логика пользовательского навыка находятся вне сетевого периметра безопасности, необходимо создать правило исходящего доступа, позволяющее службе поиска выполнить подключение.
В настоящее время сервис Azure AI Search может подключаться только к Azure Storage или Azure Cosmos DB в границах безопасности. Если индексаторы используют другие источники данных, для поддержки этого подключения требуется правило исходящего доступа.
Периметр безопасности сети поддерживает правила исходящего доступа на основе полного доменного имени (FQDN) назначения. Например, можно разрешить исходящий доступ из любой службы, связанной с периметром безопасности сети, к полному доменному имени, например mystorageaccount.blob.core.windows.net.
Чтобы добавить правило исходящего доступа в портал Azure, выполните следующие действия.
Перейдите к ресурсу периметра безопасности сети на портале Azure.
На левой панели выберите "Профили параметров>".
Выберите профиль, который вы используете с периметром безопасности сети.
В левой области выберите "Параметры>исходящего доступа".
Выберите Добавить.
Введите или выберите следующие значения:
Параметр Значение Имя правила Имя правила исходящего доступа, например MyOutboundAccessRule. Тип назначения Оставьте полное доменное имя. Разрешенные назначения Введите разделенный запятыми список полных доменных имен, к которым требуется разрешить исходящий доступ. Нажмите кнопку "Добавить ", чтобы создать правило исходящего доступа.
Проверка подключения через периметр безопасности сети
Чтобы проверить подключение через периметр безопасности сети, вам потребуется доступ к веб-браузеру на локальном компьютере с подключением к Интернету или виртуальной машиной Azure.
Измените связь периметра безопасности сети на режим принудительного применения, чтобы начать применять требования к периметру безопасности сети для сетевого доступа к службе поиска.
Решите, следует ли использовать локальный компьютер или виртуальную машину Azure.
- Если вы используете локальный компьютер, необходимо знать общедоступный IP-адрес.
- Если вы используете виртуальную машину Azure, можно использовать приватный канал или проверить IP-адрес с помощью портал Azure.
Используя IP-адрес, создайте правило доступа для входящего трафика для этого IP-адреса, чтобы разрешить доступ. Этот шаг можно пропустить, если вы используете приватный канал.
Наконец, попробуйте перейти к службе поиска в портал Azure. Если индексы можно просмотреть успешно, периметр безопасности сети настроен правильно.
Просмотр конфигурации периметра безопасности сети и управление ими
Используйте REST API конфигурации периметра сети для проверки и согласования конфигураций периметра.
Обязательно используйте версию REST API 2025-05-01, которая является последней стабильной версией REST API управления поиском. Дополнительные сведения см. в статье "Управление службой поиска ИИ Azure" с помощью REST API.