Azure sanal makinesindeki bir SQL Server örneğine dizin oluşturucu bağlantıları
Azure SQL dizin oluşturucusundan Azure sanal makinesindeki bir veritabanından içerik ayıklamak için yapılandırırken, güvenli bağlantılar için ek adımlar gerekir.
Azure AI Search'ten sanal makinedeki SQL Server örneğine bağlantı, genel bir İnternet bağlantısıdır. Güvenli bağlantıların başarılı olması için aşağıdaki adımları uygulayın:
Sanal makinedeki SQL Server örneğinin tam etki alanı adı için bir Sertifika Yetkilisi sağlayıcısından sertifika alın.
Sertifikayı sanal makineye yükleyin.
Sertifikayı VM'nize yükledikten sonra, bu makaledeki aşağıdaki adımları tamamlamaya hazırsınız demektir.
Not
Always Encrypted sütunları şu anda Azure AI Search dizin oluşturucuları tarafından desteklenmiyor.
Şifrelenmiş bağlantıları etkinleştirme
Azure AI Search, genel İnternet bağlantısı üzerinden tüm dizin oluşturucu istekleri için şifrelenmiş bir kanal gerektirir. Bu bölümde, bu işe yaramaya yönelik adımlar listelenir.
Konu adının Azure VM'nin tam etki alanı adı (FQDN) olduğunu doğrulamak için sertifikanın özelliklerini denetleyin.
Özellikleri görüntülemek için CertUtils veya Sertifikalar ek bileşeni gibi bir araç kullanabilirsiniz. FQDN'yi Azure portalındaki Genel IP adresi/DNS adı etiketi alanındaki VM hizmeti sayfasının Temel Parçalar bölümünden alabilirsiniz.
FQDN genellikle şu şekilde biçimlendirilir:
<your-VM-name>.<region>.cloudapp.azure.com
SQL Server'ı Kayıt Defteri Düzenleyicisi'ni (regedit) kullanarak sertifikayı kullanacak şekilde yapılandırın.
SQL Server Yapılandırma Yöneticisi genellikle bu görev için kullanılasa da, bu senaryo için kullanamazsınız. Azure'da VM'nin FQDN'si VM tarafından belirlenen FQDN ile eşleşmediğinden içeri aktarılan sertifikayı bulamaz (etki alanını yerel bilgisayar veya katıldığı ağ etki alanı olarak tanımlar). Adlar eşleşmediğinde, sertifikayı belirtmek için regedit kullanın.
regedit'de şu kayıt defteri anahtarına göz atın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate
.Bölüm
[MSSQL13.MSSQLSERVER]
, sürüme ve örnek adına göre değişir.Sertifika anahtarının değerini, VM'ye içeri aktardığınız TLS/SSL sertifikasının parmak izine (boşluk olmadan) ayarlayın.
Parmak izini almanın bazı yolları vardır, bazıları diğerlerinden daha iyidir. MMC'deki Sertifikalar ek bileşeninden kopyalarsanız, bu destek makalesinde açıklandığı gibi görünmez bir baştaki karakteri seçebilirsiniz ve bu da bağlantı girişiminde bulunurken hatayla sonuçlanır. Bu sorunu düzeltmek için çeşitli geçici çözümler mevcuttur. En kolayı geri almak ve ardından regedit'deki anahtar değer alanındaki baştaki karakteri kaldırmak için parmak izini ilk karakterini yeniden yazmaktır. Alternatif olarak parmak izini kopyalamak için farklı bir araç kullanabilirsiniz.
Hizmet hesabına izinler verin.
SQL Server hizmet hesabına TLS/SSL sertifikasının özel anahtarı üzerinde uygun izin verildiğinden emin olun. Bu adımı atlarsanız SQL Server başlatılmaz. Bu görev için Sertifikalar ek bileşenini veya CertUtils'i kullanabilirsiniz.
SQL Server hizmetini yeniden başlatın.
SQL Server’a bağlanma
Azure AI Search için gereken şifreli bağlantıyı ayarladıktan sonra genel uç noktası üzerinden örneğe bağlanın. Aşağıdaki makalede bağlantı gereksinimleri ve söz dizimi açıklanmaktadır:
Ağ güvenlik grubunu yapılandırma
Azure VM'nizi diğer taraflar için erişilebilir hale getirmek için ağ güvenlik grubunu (NSG) ve buna karşılık gelen Azure uç noktasını veya Erişim Denetim Listesi'ni (ACL) yapılandırmak en iyi yöntemdir. Kendi uygulama mantığınızın SQL Azure VM'nize bağlanmasına izin vermek için bunu daha önce yapmış olma olasılığınız vardır. SQL Azure VM'nize azure yapay zeka arama bağlantısı için farklı değildir.
Aşağıdaki adımlar ve bağlantılar, VM dağıtımları için NSG yapılandırmasıyla ilgili yönergeler sağlar. Bir arama hizmeti uç noktasının IP adresine göre ACL'sinde bu yönergeleri kullanın.
Arama hizmetinizin IP adresini alın. Yönergeler için aşağıdaki bölüme bakın.
Arama IP adresini güvenlik grubunun IP filtresi listesine ekleyin. Aşağıdaki makalelerden biri adımları açıklar:
IP adresleme, sorunun ve olası geçici çözümlerin farkındaysanız kolayca üstesinden gelinebilecek birkaç zorluk oluşturabilir. Kalan bölümler, ACL'deki IP adresleriyle ilgili sorunları işlemeye yönelik öneriler sağlar.
Azure AI Search'e ağ erişimini kısıtlama
SQL Azure VM'lerinizi tüm bağlantı isteklerine açmak yerine arama hizmetinizin IP adresine ve ACL'deki HIZMET etiketi IP adresi aralığına AzureCognitiveSearch
erişimi kısıtlamanızı kesinlikle öneririz.
Arama hizmetinizin FQDN'sine (örneğin, <your-search-service-name>.search.windows.net
) ping atarak IP adresini öğrenebilirsiniz. Arama hizmeti IP adresinin değişmesi mümkün olsa da, değişme olasılığı düşüktür. IP adresi, hizmetin ömrü boyunca statik olma eğilimindedir.
İndirilebilir JSON dosyalarını kullanarak veya Hizmet Etiketi Bulma API'si aracılığıyla hizmet etiketinin IP adresi aralığını AzureCognitiveSearch
öğrenebilirsiniz. IP adresi aralığı haftalık olarak güncelleştirilir.
Azure portal IP adreslerini ekleme
Dizin oluşturucu oluşturmak için Azure portalını kullanıyorsanız portala SQL Azure sanal makinenize gelen erişim vermelisiniz. Güvenlik duvarındaki bir gelen kuralı için portalın IP adresini sağlamanız gerekir.
Portal IP adresini almak için, trafik yöneticisinin etki alanı olan ping stamp2.ext.search.windows.net
komutunu kullanın. İstek zaman aşımına uğradı, ancak IP adresi durum iletisinde görünür. Örneğin, "Ping azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]" iletisinde IP adresi "52.252.175.48" şeklindedir.
Farklı bölgelerdeki kümeler farklı trafik yöneticilerine bağlanır. Etki alanı adından bağımsız olarak, ping'den döndürülen IP adresi, bölgenizdeki Azure portalı için bir gelen güvenlik duvarı kuralı tanımlarken kullanılacak doğru adrestir.
Belirteç kimlik doğrulaması ile ağ güvenliğini destekleme
Güvenlik duvarları ve ağ güvenliği, verilere ve işlemlere yetkisiz erişimi önlemenin ilk adımıdır. Yetkilendirme sonraki adımınız olmalıdır.
Microsoft Entra ID kullanıcılarının ve gruplarının hizmetinize okuma ve yazma erişimini belirleyen rollere atandığı rol tabanlı erişim önerilir. Yerleşik rollerin açıklaması ve özel roller oluşturma yönergeleri için bkz . Rol tabanlı erişim denetimlerini kullanarak Azure AI Search'e bağlanma.
Anahtar tabanlı kimlik doğrulamasına ihtiyacınız yoksa API anahtarlarını devre dışı bırakmanızı ve rol atamalarını özel olarak kullanmanızı öneririz.
Sonraki adımlar
Yapılandırmanın önünüzden çıktığınızda, artık Azure AI Search dizin oluşturucusunun veri kaynağı olarak Azure VM'de bir SQL Server belirtebilirsiniz. Daha fazla bilgi için bkz . Azure SQL'den verileri dizine alma.