Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A partir del 1 de septiembre de 2023, se recomienda encarecidamente emplear el método de etiqueta de servicio de Azure para el aislamiento de red. El uso de DL-ASE debe limitarse a escenarios muy específicos. Antes de implementar esta solución en un entorno de producción, se recomienda consultar al equipo de soporte técnico para obtener instrucciones.
En este artículo se tratan conceptos sobre el aislamiento de red para el bot de Azure y sus servicios dependientes.
Es posible que quiera restringir el acceso al bot a una red privada. La única manera de hacerlo en Azure AI Bot Service es usar la extensión Direct Line App Service. Por ejemplo, puede usar la extensión de App Service para hospedar un bot interno de la empresa y requerir que los usuarios accedan al bot desde la red de la empresa.
Para obtener instrucciones detalladas sobre cómo configurar el bot en una red privada, consulte Uso de una red aislada.
Para obtener más información sobre las características que admiten el aislamiento de red, consulte:
| Característica | Artículo |
|---|---|
| Extensión de App Service de Direct Line | Extensión del Servicio de Aplicaciones de Direct Line |
| Azure Virtual Network | ¿Qué es Azure Virtual Network? |
| Grupos de seguridad de red de Azure | Grupos de seguridad de red |
| Azure Private Link y puntos de conexión privados | ¿Qué es un punto de conexión privado? |
| Azure DNS | Creación de una zona y un registro de Azure DNS mediante Azure Portal |
Uso de puntos de conexión privados
Cuando el punto de conexión del bot está dentro de una red virtual y con las reglas adecuadas establecidas en el grupo de seguridad de red, puede restringir el acceso a las solicitudes entrantes y salientes del servicio de aplicaciones del bot mediante un punto de conexión privado.
Los puntos de conexión privados están disponibles en el Bot Service a través de la extensión Direct Line App Service. Consulte los requisitos para usar puntos de conexión privados a continuación:
Las actividades deben enviarse a y desde el punto de conexión de App Service.
La extensión de App Service se encuentra en la misma ubicación que el servicio de aplicaciones del punto final de su bot. Todos los mensajes hacia y desde el punto de conexión son locales a la red virtual y llegan al cliente directamente sin enviarse a los servicios de Bot Framework.
Para que la autenticación de usuario funcione, el cliente del bot debe comunicarse con el proveedor de servicios( como el identificador de Microsoft Entra o GitHub) y el punto de conexión del token.
Si el cliente del bot está en su red virtual, deberá incluir ambos puntos de conexión en la lista de permitidos desde dentro de su red virtual. Haga esto para el punto de conexión del token a través de etiquetas de servicio. El propio punto de conexión del bot también necesita acceso al punto de conexión del token, como se describe a continuación.
Con la extensión de App Service, el punto de conexión del bot y la extensión de App Service deben enviar solicitudes HTTPS salientes a los servicios de Bot Framework.
Estas solicitudes son para varias operaciones meta, como recuperar la configuración del bot o recuperar tokens desde el punto de conexión del token. Para facilitar estas solicitudes, es necesario establecer y configurar un punto de conexión privado.
Cómo implementa Bot Service los puntos de conexión privados
Hay dos escenarios principales en los que se usan puntos de conexión privados:
- Para que el bot acceda al punto de conexión del token.
- Para que la extensión de canal de Direct Line acceda al servicio de bots.
Un punto de conexión privado requiere servicios en la red virtual, de modo que estén disponibles directamente dentro de la red, sin exponer la red virtual a Internet o permitir enumerar las direcciones IP. Todo el tráfico a través de un punto de conexión privado pasa por los servidores internos de Azure para asegurarse de que el tráfico no se filtre a Internet.
El servicio usa dos subrecursos, Bot y Token, para proyectar servicios en su red. Al agregar un punto de conexión privado, Azure genera un registro DNS específico del bot para cada subrecurso y configura el punto de conexión en el grupo de zonas DNS. Esto garantiza que los puntos de conexión de diferentes bots que tienen como destino el mismo subrecurso se puedan distinguir entre sí, al tiempo que se reutiliza el mismo recurso de grupo de zonas DNS.
Escenario de ejemplo
Supongamos que tiene un bot denominado SampleBot y un servicio de aplicaciones correspondiente para él, SampleBot.azurewebsites.net, que actúa como punto de conexión de mensajería para este bot.
Configure un punto de conexión privado para SampleBot con el tipo de subrecurso Bot en el portal de Azure para la nube pública, lo que crea un grupo de zonas DNS con un registro A correspondiente a SampleBot.botplinks.botframework.com. Este registro DNS se asigna a una dirección IP local en la red virtual. Del mismo modo, el uso del tipo Token de subrecurso genera un punto de conexión, SampleBot.bottoken.botframework.com.
El A registro de la zona DNS que creó se asigna a una dirección IP dentro de la red virtual. Por lo tanto, las solicitudes enviadas a este punto de conexión son locales en la red y no infringen las reglas del grupo de seguridad de red o el firewall de Azure que restringen el tráfico saliente de la red. La capa de red de Azure y los servicios de Bot Framework garantizan que las solicitudes no se filtren a la red pública de Internet y se mantenga el aislamiento para la red.