Hálózatelkülönítés az Azure AI Bot Service-ben
2023. szeptember 1-jére kezdődően erősen ajánlott az Azure Service Tag metódus használata a hálózatelkülönítéshez. A DL-A Standard kiadás használatát rendkívül specifikus forgatókönyvekre kell korlátozni. Mielőtt éles környezetben implementálnánk ezt a megoldást, javasoljuk, hogy forduljon a támogatási csapathoz útmutatásért.
Ez a cikk az Azure-robot és annak függő szolgáltatásai hálózatelkülönítésével kapcsolatos fogalmakat ismerteti.
Előfordulhat, hogy korlátozni szeretné a robot hozzáférését egy magánhálózathoz. Ezt az Azure AI Bot Service-ben csak a Direct Line App Service bővítmény használatával teheti meg. Az App Service-bővítmény használatával például üzemeltethet egy vállalati belső robotot, és megkövetelheti a felhasználóktól, hogy a vállalati hálózaton belülről érhessék el a robotot.
A robot magánhálózatban való konfigurálására vonatkozó részletes útmutatásért tekintse meg az izolált hálózat használatát.
A hálózatelkülönítést támogató funkciókkal kapcsolatos további információkért lásd:
| Szolgáltatás | Cikk |
|---|---|
| Direct Line App Service-bővítmény | Direct Line App Service-bővítmény |
| Azure Virtual Network | Mi az Az Azure Virtual Network? |
| Azure-beli hálózati biztonsági csoportok | Network security groups |
| Azure Private Link és privát végpontok | Mi az a privát végpont? |
| Azure DNS | Azure DNS-zóna és -rekord létrehozása az Azure Portal használatával |
Privát végpontok használata
Ha a robotvégpont egy virtuális hálózaton belül van, és a hálózati biztonsági csoportban beállított megfelelő szabályokkal a robot appszolgáltatásához érkező és kimenő kérésekhez is korlátozhatja a hozzáférést egy privát végpont használatával.
A privát végpontok a Bot Service-ben a Direct Line App Service bővítményen keresztül érhetők el. Tekintse meg a privát végpontok használatára vonatkozó követelményeket az alábbiakban:
A tevékenységeket el kell küldeni az App Service-végpontra és onnan.
Az App Service-bővítmény a robotvégpont app service-jével együtt található. A végpontra érkező és onnan érkező összes üzenet helyi a virtuális hálózaton, és közvetlenül a Bot Framework-szolgáltatásokba való küldés nélkül éri el az ügyfelet.
A felhasználói hitelesítés működéséhez a robotügyfélnek kommunikálnia kell a szolgáltatóval (például a Microsoft Entra ID-val vagy a GitHubtal) és a jogkivonatvégponttal.
Ha a robotügyfél a virtuális hálózaton belül található, engedélyeznie kell mindkét végpontot a virtuális hálózaton belül. Tegye ezt a jogkivonatvégponthoz szolgáltatáscímkéken keresztül. Magának a robotvégpontnak is hozzá kell férnie a jogkivonatvégponthoz az alábbiak szerint.
Az App Service-bővítménysel a robotvégpontnak és az App Service-bővítménynek kimenő HTTPS-kéréseket kell küldenie a Bot Framework-szolgáltatásoknak.
Ezek a kérések különböző metaműveleteket igényelnek, például a robotkonfiguráció lekérését vagy a jogkivonatok lekérését a jogkivonat végpontjáról. A kérések megkönnyítéséhez be kell állítania és konfigurálnia kell egy privát végpontot.
Privát végpontok implementálása a Bot Service-ben
A privát végpontok két fő forgatókönyvet használnak:
- Ahhoz, hogy a robot hozzáférjen a jogkivonat végpontjához.
- Ahhoz, hogy a Direct Line csatornabővítmény hozzáférjen a Bot Service-hez.
A magánvégpont-projekteknek szolgáltatásokra volt szükségük a virtuális hálózatban, hogy közvetlenül elérhetők legyenek a hálózaton belül anélkül, hogy a virtuális hálózatot az interneten keresztül tennék elérhetővé, vagy lehetővé tennék az IP-címek felsorolását. A privát végponton keresztüli összes forgalom az Azure belső kiszolgálóin keresztül halad át, hogy a forgalom ne szivárogjon ki az internetre.
A szolgáltatás két alerőforrást használ, Bot és Tokenprojektszolgáltatás a hálózatba. Privát végpont hozzáadásakor az Azure minden alerőforráshoz létrehoz egy robotspecifikus DNS-rekordot, és konfigurálja a végpontot a DNS-zónacsoportban. Ez biztosítja, hogy az ugyanazt az alerőforrást célzó különböző robotok végpontjai megkülönböztethetők legyenek egymástól, miközben ugyanazt a DNS-zónacsoport-erőforrást használja újra.
Példaforgatókönyv
Tegyük fel, hogy rendelkezik egy SampleBot nevű robottal és egy hozzá tartozó app service-rel, SampleBot.azurewebsites.netamely a robot üzenetkezelési végpontjaként szolgál.
A SampleBot privát végpontját az Azure Portal nyilvános felhőhöz készült alerőforrás-típusával Bot konfigurálja, amely létrehoz egy DNS-zónacsoportot, A amelynek a rekordja megfelelőSampleBot.botplinks.botframework.com. Ez a DNS-rekord a virtuális hálózat egy helyi IP-címére képez le. Hasonlóképpen, az alerőforrás-típus Token használatával létrehoz egy végpontot. SampleBot.bottoken.botframework.com
A A létrehozott DNS-zónában lévő rekord egy IP-címre van leképezve a virtuális hálózaton belül. Az erre a végpontra küldött kérések tehát helyiek a hálózaton, és nem sértik a hálózati biztonsági csoport vagy az Azure tűzfal azon szabályait, amelyek korlátozzák a hálózat kimenő forgalmát. Az Azure hálózati rétege és a Bot Framework-szolgáltatások biztosítják, hogy a kérések ne szivárogjanak ki a nyilvános internetre, és a hálózat elkülönítése megmaradjon.