Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Od 1 września 2023 r. zdecydowanie zaleca się zastosowanie metody Azure Service Tag w celu izolacji sieci. Wykorzystanie DL-ASE powinno być ograniczone do wysoce specyficznych scenariuszy. Przed wdrożeniem tego rozwiązania w środowisku produkcyjnym zalecamy skonsultowanie się z zespołem pomocy technicznej w celu uzyskania wskazówek.
W tym artykule opisano pojęcia związane z izolacją sieciową bota platformy Azure i jej usługami zależnymi.
Możesz ograniczyć dostęp do bota do sieci prywatnej. Jedynym sposobem, aby to zrobić w Azure AI Bot Service, jest użycie rozszerzenia usługi Direct Line App Service. Na przykład można użyć rozszerzenia usługi App Service do hostowania bota wewnętrznego firmy i wymagać od użytkowników dostępu do bota z sieci firmowej.
Aby uzyskać szczegółowe instrukcje dotyczące konfigurowania bota w sieci prywatnej, zobacz jak używać izolowanej sieci.
Aby uzyskać więcej informacji na temat funkcji obsługujących izolację sieci, zobacz:
| Funkcja | Artykuł |
|---|---|
| Rozszerzenie usługi Direct Line App Service | Rozszerzenie usługi Direct Line App Service |
| Azure Virtual Network | Co to jest usługa Azure Virtual Network? |
| Sieciowe grupy zabezpieczeń platformy Azure | Grupy zabezpieczeń sieci |
| Usługa Azure Private Link i prywatne punkty końcowe | Co to jest prywatny punkt końcowy? |
| Azure DNS | Tworzenie strefy i rekordu usługi Azure DNS przy użyciu witryny Azure Portal |
Korzystanie z prywatnych punktów końcowych
Jeśli punkt końcowy bota znajduje się w sieci wirtualnej i z odpowiednimi regułami ustawionymi w sieciowej grupie zabezpieczeń, możesz ograniczyć dostęp zarówno do żądań przychodzących, jak i wychodzących dla usługi app service bota przy użyciu prywatnego punktu końcowego.
Prywatne punkty końcowe są dostępne w usłudze Bot Service za pośrednictwem rozszerzenia usługi Direct Line App Service. Zapoznaj się z wymaganiami dotyczącymi używania prywatnych punktów końcowych poniżej:
Działania muszą być wysyłane do i z punktu końcowego usługi App Service.
Rozszerzenie usługi App Service jest zlokalizowane razem z usługą aplikacji końcowego punktu bota. Wszystkie komunikaty do i z punktu końcowego są lokalne w Twojej sieci wirtualnej i docierają bezpośrednio do klienta bez wysyłania do usług Bot Framework.
Aby uwierzytelnianie użytkowników działało, klient bota musi komunikować się z dostawcą usług, takim jak Microsoft Entra ID lub GitHub, oraz punkt końcowy tokenu.
Jeśli klient bota znajduje się w sieci wirtualnej, musisz zezwolić na listę obu punktów końcowych z sieci wirtualnej. Zrób to dla punktu końcowego tokenu za pośrednictwem tagów usługi. Sam punkt końcowy bota wymaga również dostępu do punktu końcowego tokenu, jak opisano poniżej.
Dzięki rozszerzeniu usługi App Service punkt końcowy bota i rozszerzenie usługi App Service muszą wysyłać wychodzące żądania HTTPS do usług Bot Framework.
Te żądania dotyczą różnych operacji meta, takich jak pobieranie konfiguracji bota lub pobieranie tokenów z punktu końcowego tokenu. Aby ułatwić te żądania, należy ustawić i skonfigurować prywatny punkt końcowy.
Jak usługa Bot Service implementuje prywatne punkty końcowe
Istnieją dwa główne scenariusze, w których są używane prywatne punkty końcowe:
- Aby bot uzyskiwał dostęp do punktu końcowego tokenu.
- Rozszerzenie kanału Direct Line umożliwiające dostęp do usługi Botów.
Prywatne projekty punktów końcowych wymagały usług w sieci wirtualnej, dzięki czemu są one dostępne bezpośrednio w sieci bez uwidaczniania sieci wirtualnej w Internecie lub wyświetlania listy dozwolonych adresów IP. Cały ruch przez prywatny punkt końcowy przechodzi przez wewnętrzne serwery platformy Azure, aby upewnić się, że ruch nie wycieka do Internetu.
Usługa używa dwóch podzasobów, Bot i Token, aby integrować usługi w twojej sieci. Po dodaniu prywatnego punktu końcowego platforma Azure generuje rekord DNS specyficzny dla bota dla każdego zasobu podrzędnego i konfiguruje punkt końcowy w grupie stref DNS. Dzięki temu punkty końcowe z różnych botów, które są przeznaczone dla tego samego zasobu podrzędnego, można odróżnić od siebie, ponownie wykorzystując ten sam zasób grupy stref DNS.
Przykładowy scenariusz
Załóżmy, że masz bota o nazwie SampleBot i odpowiadającą mu usługę app Service, SampleBot.azurewebsites.netktóra służy jako punkt końcowy obsługi komunikatów dla tego bota.
Prywatny punkt końcowy dla SampleBot jest konfigurowany w portalu Azure dla chmury publicznej przy użyciu typu zasobu podrzędnego Bot, co tworzy grupę stref DNS z odpowiednim rekordem A powiązanym z SampleBot.botplinks.botframework.com. Ten rekord DNS jest przypisany do lokalnego adresu IP w twojej sieci wirtualnej. Podobnie użycie typu Token zasobu podrzędnego generuje punkt końcowy . SampleBot.bottoken.botframework.com
Rekord A w utworzonej strefie DNS jest mapowany na adres IP w sieci wirtualnej. Dlatego żądania wysyłane do tego punktu końcowego są lokalne w sieci i nie naruszają reguł w sieciowej grupie zabezpieczeń lub zaporze platformy Azure, które ograniczają ruch wychodzący z sieci. Warstwa sieciowa platformy Azure i usługi Bot Framework zapewniają, że żądania nie wyciekają do publicznego Internetu, a izolacja jest utrzymywana dla twojej sieci.