Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Od 1. září 2023 důrazně doporučujeme použít metodu značky služeb Azure pro izolaci sítě. Využití DL-ASE by mělo být omezené na vysoce specifické scénáře. Před implementací tohoto řešení v produkčním prostředí doporučujeme poradit se s týmem podpory, kde najdete pokyny.
Tento článek se zabývá koncepty izolace sítě pro robota Azure a závislými službami.
Možná budete chtít omezit přístup k robotovi do privátní sítě. Jediným způsobem, jak to udělat ve službě Azure AI Bot Service, je použít rozšíření Direct Line App Service. Rozšíření App Service můžete například použít k hostování interního robota společnosti a vyžadovat, aby uživatelé měli přístup k robotovi z firemní sítě.
Podrobné pokyny ke konfiguraci robota v privátní síti najdete v tématu Použití izolované sítě.
Další informace o funkcích, které podporují izolaci sítě, najdete tady:
| Vlastnost | Článek |
|---|---|
| Rozšíření služby aplikace Direct Line | Rozšíření Direct Line App Service |
| Azure Virtual Network | Co je Azure Virtual Network? |
| Skupiny zabezpečení sítě Azure | Skupiny zabezpečení sítě |
| Privátní propojení Azure a privátní koncové body | Co je privátní koncový bod? |
| Azure DNS | Vytvoření zóny a záznamu Azure DNS pomocí webu Azure Portal |
Použití privátních koncových bodů
Pokud je koncový bod robota ve virtuální síti a s příslušnými pravidly nastavenými ve skupině zabezpečení sítě, můžete omezit přístup k příchozím i odchozím požadavkům služby App Service vašeho robota pomocí privátního koncového bodu.
Privátní koncové body jsou dostupné ve službě Bot Service prostřednictvím rozšíření Direct Line App Service. Požadavky na používání privátních koncových bodů najdete níže:
Aktivity se musí odesílat ke koncovému bodu služby App Service a z něj.
Rozšíření služby App Service je společně umístěné se službou App Service koncového bodu robota. Všechny zprávy do a z koncového bodu jsou místní pro vaši virtuální síť a dostanou se k klientovi přímo, aniž by se odesílaly do služeb Bot Framework.
Aby ověřování uživatelů fungovalo, musí klient vašeho bota komunikovat s poskytovatelem služeb, jako je ID Microsoft Entra nebo GitHub, a koncový bod tokenu.
Pokud je váš klientský bot ve vaší virtuální síti, budete muset zařadit oba koncové body na seznam povolených přímo v rámci vaší virtuální sítě. Proveďte to pro koncový bod tokenu prostřednictvím značek služeb. Samotný koncový bod robota také potřebuje přístup ke koncovému bodu tokenu, jak je popsáno níže.
Pomocí rozšíření App Service musí váš koncový bod bota a rozšíření App Service odesílat odchozí požadavky HTTPS do služeb Bot Framework.
Tyto požadavky jsou určené pro různé meta operace, jako je načtení konfigurace robota nebo načítání tokenů z koncového bodu tokenu. Pokud chcete tyto požadavky usnadnit, musíte nastavit a nakonfigurovat privátní koncový bod.
Způsob implementace privátních koncových bodů služby Bot Service
Existují dva hlavní scénáře, kdy se používají privátní koncové body:
- Aby váš robot měl přístup ke koncovému bodu tokenu.
- Rozšíření kanálu Direct Line pro přístup ke službě Bot Service.
Projekty privátních koncových bodů vyžadují služby do vaší virtuální sítě, aby byly dostupné přímo ve vaší síti, aniž by zpřístupňovaly vaši virtuální síť na internetu nebo umožňovaly výpis jakýchkoli IP adres. Veškerý provoz prostřednictvím privátního koncového bodu prochází interními servery Azure, aby se zajistilo, že váš provoz nepronikne do internetu.
Služba používá dva dílčí zdroje Bot a Token, aby projektovala služby do vaší sítě. Když přidáte privátní koncový bod, Azure pro každý dílčí prostředek vygeneruje záznam DNS specifický pro robota a nakonfiguruje koncový bod ve skupině zón DNS. Tím se zajistí, že koncové body z různých botů, které cílí na stejný dílčí prostředek, budou od sebe rozlišeny, a současně se znovu použije stejný prostředek pro skupinu zón DNS.
Ukázkový scénář
Řekněme, že máte robota s názvem SampleBot a odpovídající aplikační službu, SampleBot.azurewebsites.netkterá slouží jako koncový bod zasílání zpráv pro tohoto robota.
Pro SampleBot nakonfigurujete privátní koncový bod s dílčím typem Bot prostředku na webu Azure Portal pro veřejný cloud, který vytvoří skupinu zón DNS se záznamem A odpovídajícím SampleBot.botplinks.botframework.com. Tento záznam DNS se mapuje na místní IP adresu ve vaší virtuální síti. Podobně použití typu dílčího prostředku Token vygeneruje koncový bod SampleBot.bottoken.botframework.com.
Záznam A v zóně DNS, kterou jste vytvořili, se mapuje na IP adresu ve vaší virtuální síti. Požadavky odeslané do tohoto koncového bodu jsou tedy místní do vaší sítě a neporušují pravidla ve vaší skupině zabezpečení sítě ani bráně Azure Firewall, která omezují odchozí provoz z vaší sítě. Síťové vrstvy Azure a služby Bot Framework zajišťují, že vaše požadavky nebudou unikly na veřejný internet a že je pro vaši síť zachována izolace.