Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À compter du 1er septembre 2023, il est fortement recommandé d’utiliser la méthode Azure Service Tag pour l’isolation réseau. L’utilisation de DL-ASE doit être limitée à des scénarios très spécifiques. Avant d’implémenter cette solution dans un environnement de production, nous vous recommandons de consulter votre équipe de support technique pour obtenir des conseils.
Cet article décrit les concepts relatifs à l’isolation réseau pour votre bot Azure et ses services dépendants.
Vous pouvez restreindre l’accès à votre bot à un réseau privé. La seule façon de procéder dans Azure AI Bot Service consiste à utiliser l’extension App Service Direct Line. Par exemple, vous pouvez utiliser l’extension App Service pour héberger un bot interne de l’entreprise et demander aux utilisateurs d’accéder au bot à partir de votre réseau d’entreprise.
Pour obtenir des instructions détaillées sur la configuration de votre bot dans un réseau privé, consultez comment utiliser un réseau isolé.
Pour plus d’informations sur les fonctionnalités qui prennent en charge l’isolation réseau, consultez :
| Caractéristique | Article |
|---|---|
| Extension App Service Direct Line | Extension Direct Line du service App |
| Réseau virtuel Azure | Qu’est-ce que le réseau virtuel Azure ? |
| Groupes de sécurité réseau Azure | Groupes de sécurité réseau |
| Azure Private Link et points de terminaison privés | Qu’est-ce qu’un point de terminaison privé ? |
| Azure DNS | Créer une zone et un enregistrement Azure DNS à l’aide du portail Azure |
Utilisation de points de terminaison privés
Lorsque votre point de terminaison de bot se trouve dans un réseau virtuel et avec les règles appropriées définies dans votre groupe de sécurité réseau, vous pouvez restreindre l’accès aux demandes entrantes et sortantes pour le service d’application de votre bot à l’aide d’un point de terminaison privé.
Les points de terminaison privés sont disponibles dans Bot Service via l'extension Direct Line App Service. Consultez les conditions requises pour l’utilisation de points de terminaison privés ci-dessous :
Les activités doivent être envoyées vers et depuis le point de terminaison App Service.
L’extension App Service est colocalisée avec le service d'application du point de terminaison de votre bot. Tous les messages vers et depuis le point de terminaison sont locaux vers votre réseau virtuel et atteignent directement votre client sans être envoyé aux services Bot Framework.
Pour que l’authentification utilisateur fonctionne, votre client de bot doit communiquer avec le fournisseur de services, tel que Microsoft Entra ID ou GitHub, et le point de terminaison de jeton.
Si votre client bot se trouve dans votre réseau virtuel, vous devez autoriser la liste des deux points de terminaison à partir de votre réseau virtuel. Pour ce faire, utilisez des balises de service pour le point de terminaison de jeton. Votre point de terminaison de bot lui-même doit également accéder au point de terminaison de jeton, comme décrit ci-dessous.
Avec l’extension App Service, votre point de terminaison de bot et l’extension App Service doivent envoyer des requêtes HTTPS sortantes aux services Bot Framework.
Ces requêtes concernent différentes opérations de méta, telles que la récupération de la configuration de votre bot ou la récupération de jetons à partir du point de terminaison de jeton. Pour faciliter ces demandes, vous devez installer et configurer un point de terminaison privé.
Comment Bot Service implémente des points de terminaison privés
Il existe deux scénarios principaux dans lesquels les points de terminaison privés sont utilisés :
- Pour que votre bot accède au point de terminaison des jetons.
- Pour que l'extension de canal Direct Line puisse accéder au service Bot.
Un point de terminaison privé projects intègre les services requis dans votre réseau virtuel, afin qu'ils soient disponibles directement à l'intérieur de votre réseau, sans exposer votre réseau virtuel à Internet ni autoriser des adresses IP dans la liste blanche. Tout le trafic via un point de terminaison privé passe par les serveurs internes Azure pour vous assurer que votre trafic n’est pas transmis à Internet.
Le service utilise deux sous-ressources, Bot et Token, pour projeter des services dans votre réseau. Lorsque vous ajoutez un point de terminaison privé, Azure génère un enregistrement DNS spécifique au bot pour chaque sous-ressource et configure le point de terminaison dans le groupe de zones DNS. Cela garantit que les points de terminaison de différents bots qui ciblent la même sous-ressource peuvent être distingués les uns des autres, tout en réutilisant la même ressource de groupe de zones DNS.
Exemple de scénario
Supposons que vous disposez d’un bot nommé SampleBot et d’un service d’application correspondant pour celui-ci, SampleBot.azurewebsites.netqui sert de point de terminaison de messagerie pour ce bot.
Vous configurez un point de terminaison privé pour SampleBot avec un type Bot de sous-ressource dans le portail Azure pour le cloud public, qui crée un groupe de zones DNS avec un A enregistrement correspondant à SampleBot.botplinks.botframework.com. Cet enregistrement DNS est mappé à une adresse IP locale dans votre réseau virtuel. De même, l’utilisation du type Token de sous-ressource génère un point de terminaison. SampleBot.bottoken.botframework.com
L’enregistrement A dans la zone DNS que vous avez créée est mappé à une adresse IP au sein de votre réseau virtuel. Par conséquent, les demandes envoyées à ce point de terminaison sont locales à votre réseau et ne respectent pas les règles de votre groupe de sécurité réseau ou du pare-feu Azure qui limitent le trafic sortant de votre réseau. La couche réseau Azure et les services Bot Framework garantissent que vos demandes ne sont pas divulguées sur l’Internet public et que l’isolation est conservée pour votre réseau.