Nätverksisolering i Azure AI Bot Service
Från och med den 1 september 2023 rekommenderar vi starkt att du använder Azure Service Tag-metoden för nätverksisolering. Användningen av DL-ASE bör begränsas till mycket specifika scenarier. Innan du implementerar den här lösningen i en produktionsmiljö rekommenderar vi att du ber supportteamet om vägledning.
Den här artikeln beskriver begrepp kring nätverksisolering för din Azure-robot och dess beroende tjänster.
Du kanske vill begränsa åtkomsten till din robot till ett privat nätverk. Det enda sättet att göra detta i Azure AI Bot Service är att använda Direct Line App Service-tillägget. Du kan till exempel använda App Service-tillägget för att vara värd för en företagsintern robot och kräva att användarna kommer åt roboten inifrån företagets nätverk.
Detaljerade anvisningar om hur du konfigurerar din robot i ett privat nätverk finns i Använda ett isolerat nätverk.
Mer information om de funktioner som stöder nätverksisolering finns i:
| Funktion | Artikel |
|---|---|
| Direct Line App Service-tillägg | Direct Line App Service-tillägg |
| Azure Virtual Network | Vad är Azure Virtual Network? |
| Azure-nätverkssäkerhetsgrupper | Nätverkssäkerhetsgrupper |
| Azure Private Link och privata slutpunkter | Vad är en privat slutpunkt? |
| Azure DNS | Skapa en Azure DNS-zon och post med hjälp av Azure-portalen |
Användning av privata slutpunkter
När robotslutpunkten finns i ett virtuellt nätverk och med lämpliga regler i nätverkssäkerhetsgruppen kan du begränsa åtkomsten till både inkommande och utgående begäranden för robotens apptjänst med hjälp av en privat slutpunkt.
Privata slutpunkter är tillgängliga i Bot Service via Direct Line App Service-tillägget. Se kraven för att använda privata slutpunkter nedan:
Aktiviteter måste skickas till och från App Service-slutpunkten.
App Service-tillägget finns tillsammans med robotens slutpunktsapptjänst. Alla meddelanden till och från slutpunkten är lokala för ditt virtuella nätverk och når klienten direkt utan att skickas till Bot Framework-tjänster.
För att användarautentiseringen ska fungera måste robotklienten kommunicera med tjänstleverantören , till exempel Microsoft Entra-ID eller GitHub, och tokenslutpunkten.
Om robotklienten finns i ditt virtuella nätverk måste du tillåtalistning av båda slutpunkterna inifrån det virtuella nätverket. Gör detta för tokenslutpunkten via tjänsttaggar. Själva robotslutpunkten behöver också åtkomst till tokenslutpunkten enligt beskrivningen nedan.
Med App Service-tillägget måste robotslutpunkten och App Service-tillägget skicka utgående HTTPS-begäranden till Bot Framework-tjänster.
Dessa begäranden gäller olika metaåtgärder, till exempel att hämta robotkonfigurationen eller hämta token från tokenslutpunkten. För att underlätta dessa begäranden måste du konfigurera en privat slutpunkt.
Så implementerar bottjänsten privata slutpunkter
Det finns två huvudsakliga scenarier där privata slutpunkter används:
- För att din robot ska få åtkomst till tokenslutpunkten.
- För att Direct Line-kanaltillägget ska få åtkomst till bottjänsten.
En privat slutpunkt projekt nödvändiga tjänster i ditt virtuella nätverk, så att de är tillgängliga i nätverket direkt, utan att exponera ditt virtuella nätverk för Internet eller tillåta lista några IP-adresser. All trafik via en privat slutpunkt går via de interna Azure-servrarna för att säkerställa att trafiken inte läcker ut till Internet.
Tjänsten använder två underresurser och BotToken, för att projektservice i nätverket. När du lägger till en privat slutpunkt genererar Azure en robotspecifik DNS-post för varje underresurs och konfigurerar slutpunkten i DNS-zongruppen. Detta säkerställer att slutpunkter från olika robotar som riktar sig mot samma underresurs kan skiljas från varandra, samtidigt som samma DNS-zongruppresurs återanvänds.
Exempel på ett scenario
Anta att du har en robot med namnet SampleBot och en motsvarande apptjänst för den, SampleBot.azurewebsites.net, som fungerar som meddelandeslutpunkt för den här roboten.
Du konfigurerar en privat slutpunkt för SampleBot med underresurstyp Bot i Azure-portalen för offentligt moln, vilket skapar en DNS-zongrupp med en A post som motsvarar SampleBot.botplinks.botframework.com. Den här DNS-posten mappar till en lokal IP-adress i ditt virtuella nätverk. På samma sätt genererar användning av underresurstypen Token en slutpunkt, SampleBot.bottoken.botframework.com.
Posten A i DNS-zonen som du skapade mappas till en IP-adress i det virtuella nätverket. Begäranden som skickas till den här slutpunkten är alltså lokala i nätverket och strider inte mot regler i nätverkssäkerhetsgruppen eller Azure-brandväggen som begränsar utgående trafik från nätverket. Azure-nätverksskiktet och Bot Framework-tjänsterna ser till att dina begäranden inte läcker ut till det offentliga Internet och att isoleringen upprätthålls för nätverket.