Izolace sítě ve službě Azure AI Bot Service
Od 1. září 2023 důrazně doporučujeme použít metodu značky služby Azure pro izolaci sítě. Využití DL-ASE by mělo být omezené na vysoce specifické scénáře. Před implementací tohoto řešení v produkčním prostředí doporučujeme poradit se s týmem podpory, kde najdete pokyny.
Tento článek se zabývá koncepty izolace sítě pro robota Azure a závislými službami.
Možná budete chtít omezit přístup k robotovi do privátní sítě. Jediným způsobem, jak to udělat ve službě Azure AI Bot Service, je použít rozšíření Direct Line App Service. Rozšíření App Service můžete například použít k hostování interního robota společnosti a vyžadovat, aby uživatelé měli přístup k robotovi z firemní sítě.
Podrobné pokyny ke konfiguraci robota v privátní síti najdete v tématu Použití izolované sítě.
Další informace o funkcích, které podporují izolaci sítě, najdete tady:
| Funkce | Článek |
|---|---|
| Rozšíření Direct Line App Service | Rozšíření Direct Line App Service |
| Azure Virtual Network | Co je Azure Virtual Network? |
| Skupiny zabezpečení sítě Azure | Skupiny zabezpečení sítě |
| Privátní propojení Azure a privátní koncové body | Co je privátní koncový bod? |
| Azure DNS | Vytvoření zóny a záznamu Azure DNS pomocí webu Azure Portal |
Použití privátních koncových bodů
Pokud je koncový bod robota ve virtuální síti a s příslušnými pravidly nastavenými ve skupině zabezpečení sítě, můžete omezit přístup k příchozím i odchozím požadavkům služby App Service vašeho robota pomocí privátního koncového bodu.
Privátní koncové body jsou dostupné ve službě Bot Service prostřednictvím rozšíření Direct Line App Service. Požadavky na používání privátních koncových bodů najdete níže:
Aktivity se musí odesílat do koncového bodu služby App Service a z koncového bodu služby App Service.
Rozšíření služby App Service je společně umístěné se službou App Service koncového bodu robota. Všechny zprávy do a z koncového bodu jsou místní pro vaši virtuální síť a dostanou se k klientovi přímo, aniž by se odesílaly do služeb Bot Framework.
Aby ověřování uživatelů fungovalo, musí váš klient robota komunikovat s poskytovatelem služeb, jako je ID Microsoft Entra nebo GitHub, a koncový bod tokenu.
Pokud je váš klient robota ve vaší virtuální síti, budete muset povolit seznam obou koncových bodů z vaší virtuální sítě. Proveďte to pro koncový bod tokenu prostřednictvím značek služeb. Samotný koncový bod robota také potřebuje přístup ke koncovému bodu tokenu, jak je popsáno níže.
S rozšířením služby App Service musí koncový bod robota a rozšíření služby App Service odesílat odchozí požadavky HTTPS do služeb Bot Framework.
Tyto požadavky jsou určené pro různé meta operace, jako je načtení konfigurace robota nebo načítání tokenů z koncového bodu tokenu. Pokud chcete tyto požadavky usnadnit, musíte nastavit a nakonfigurovat privátní koncový bod.
Způsob implementace privátních koncových bodů služby Bot Service
Existují dva hlavní scénáře, kdy se používají privátní koncové body:
- Aby váš robot měl přístup ke koncovému bodu tokenu.
- Rozšíření kanálu Direct Line pro přístup ke službě Bot Service.
Projekty privátních koncových bodů vyžadují služby do vaší virtuální sítě, aby byly dostupné přímo ve vaší síti, aniž by zpřístupňovaly vaši virtuální síť na internetu nebo umožňovaly výpis jakýchkoli IP adres. Veškerý provoz prostřednictvím privátního koncového bodu prochází interními servery Azure, aby se zajistilo, že váš provoz nepronikne do internetu.
Služba používá dva dílčí prostředky Bot a Tokenk projektové služby do vaší sítě. Když přidáte privátní koncový bod, Azure pro každý dílčí prostředek vygeneruje záznam DNS specifický pro robota a nakonfiguruje koncový bod ve skupině zón DNS. Tím zajistíte, aby se koncové body z různých robotů, které cílí na stejný dílčí prostředek, od sebe odlišily, a současně znovu použít stejný prostředek skupiny zón DNS.
Ukázkový scénář
Řekněme, že máte robota s názvem SampleBot a odpovídající aplikační službu, SampleBot.azurewebsites.netkterá slouží jako koncový bod zasílání zpráv pro tohoto robota.
Pro SampleBot nakonfigurujete privátní koncový bod s dílčím typem Bot prostředku na webu Azure Portal pro veřejný cloud, který vytvoří skupinu zón DNS se záznamem A odpovídajícím SampleBot.botplinks.botframework.com. Tento záznam DNS se mapuje na místní IP adresu ve vaší virtuální síti. Podobně pomocí typu Token dílčího prostředku vygeneruje koncový bod SampleBot.bottoken.botframework.com.
Záznam A v zóně DNS, kterou jste vytvořili, se mapuje na IP adresu ve vaší virtuální síti. Požadavky odeslané do tohoto koncového bodu jsou tedy místní do vaší sítě a neporušují pravidla ve vaší skupině zabezpečení sítě ani bráně Azure Firewall, která omezují odchozí provoz z vaší sítě. Síťové vrstvy Azure a služby Bot Framework zajišťují, že vaše požadavky nebudou unikly na veřejný internet a že je pro vaši síť zachována izolace.