Partager via

Configurer l'isolement réseau

  • Article

À compter du 1er septembre 2023, il est fortement recommandé d’utiliser la méthode Étiquette de service Azure pour l’isolement réseau. L’utilisation de DL-ASE doit se limiter à des scénarios très spécifiques. Avant de mettre en œuvre cette solution dans un environnement de production, nous vous recommandons de demander conseil à votre équipe de support.

Vous pouvez ajouter une isolation réseau à un bot d’extension App Service Direct Line existant. Un point de terminaison privé permet à votre bot en isolement réseau de communiquer avec les services Bot Framework requis afin que le bot puisse fonctionner correctement tout en étant limité au réseau virtuel.

Pour ajouter l’isolement réseau à votre bot :

  1. Utilisez un réseau virtuel et configurez le réseau pour empêcher le trafic sortant. À ce stade, votre bot ne pourra plus communiquer avec les autres services Bot Framework.
  2. Configurer les points de terminaison privés pour rétablir la connectivité.
  3. Redémarrez votre App Service et testez votre bot dans votre réseau isolé.
  4. Désactivez l’accès au réseau public de votre bot.

Prérequis

  • Un compte Azure. Si vous n’en avez pas encore, créez un compte gratuit avant de commencer.
    • Un abonnement avec l’autorisation de créer un réseau virtuel Azure et des ressources de groupe de sécurité réseau.
  • Un bot d’extension App Service de Direct Line qui fonctionne.
    • Votre bot utilise le kit de développement logiciel (SDK) Bot Framework pour C# ou JavaScript, version 4.16 ou ultérieure.
    • Votre bot a activé les canaux nommés.
    • L’extension Direct Line App Service est activée dans le service d’application de votre bot.
  • Un contrôle de Chat Web connecté au client Direct Line de votre bot.

Pour confirmer que votre bot existant est correctement configuré :

  1. Dans un navigateur, ouvrez le point de terminaison du client Direct Line pour votre bot. Par exemple : https://<your-app_service>.azurewebsites.net/.bot.

  2. Vérifiez que la page affiche bien les éléments suivants :

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    • v affiche la version de build de l’extension App Service Direct Line.
    • k indique si l’extension a pu lire une clé d’extension à partir de sa configuration.
    • initialisé indique si l’extension a pu télécharger les métadonnées du bot à partir d’Azure AI Bot Service.
    • ib indique si l’extension a pu établir une connexion entrante au bot.
    • ob indique si l’extension a pu établir une connexion sortante à partir du bot.

Créez un réseau virtuel

  1. Accédez au portail Azure.
  2. Créez une ressource réseau virtuelle Azure dans la même région que votre bot.
  3. Ouvrez la ressource App Service pour votre bot et activez l’intégration de réseau virtuel.
  4. Créez un deuxième sous-réseau. Utilisez le deuxième sous-réseau ultérieurement pour ajouter votre point de terminaison privé.

Refuser le trafic sortant à partir de votre réseau

  1. Ouvrez le groupe de sécurité réseau associé à votre premier sous-réseau.
  2. Sous Paramètres, sélectionnez Règles de sécurité de trafic sortant.
    1. Dans la liste des règles de sécurité sortantes, activez DenyAllInternetOutbound.
  3. Accédez à la ressource App Service pour votre bot.
  4. Redémarrez App service.

Vérifier que la connectivité est interrompue

  1. Dans un autre onglet du navigateur, ouvrez le point de terminaison du client Direct Line pour votre bot. Par exemple : https://<your-app_service>.azurewebsites.net/.bot.

  2. Vérifiez que la page affiche bien les éléments suivants :

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}

    La valeur de initialized doit être false, car votre extension App Service et App Service ne peuvent pas se connecter à d’autres Bot Framework Service pour l’initialiser. Votre bot est désormais isolé dans un réseau virtuel pour les connexions sortantes.

Créer votre point de terminaison privé

  1. Accédez au portail Azure.
  2. Ouvrez la ressource Azure Bot pour votre bot.
  3. Sous Paramètres, sélectionnez Mise en réseau.
    1. Sous l’onglet Accès privé, sélectionnez Créer un point de terminaison privé.
      1. Sous l’onglet Ressources, recherchez la sous-ressource cible et sélectionnez Bot dans la liste.
      2. Sous l’onglet Réseau virtuel, sélectionnez le réseau virtuel et le sous-réseau que vous avez créés.
      3. Enregistrez votre point de terminaison privé.

Ajoutez votre point de terminaison privé à l’App Service de votre bot

  1. Ouvrez la ressource Azure App Service pour votre bot.
  2. Sous Paramètres, sélectionnez Configuration.
    1. Sous l’onglet Paramètre d’application, sélectionnez Nouveau paramètre d’application.
      1. Affectez comme Nom DirectLineExtensionABSEndpoint.
      2. Définissez la valeur sur l’URL du point de terminaison privé, par exemple https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension.
      3. Enregistrez la nouvelle configuration.

Redémarrez votre App Service et vérifiez que la connectivité est restaurée

  1. Redémarrez l’App Service pour votre bot.

  2. Dans un autre onglet du navigateur, ouvrez le point de terminaison du client Direct Line pour votre bot. Par exemple : https://<your-app_service>.azurewebsites.net/.bot.

  3. Vérifiez que la page affiche bien les éléments suivants :

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}

    La valeur de initialized doit être true.

  4. Utilisez la commande Chat Web connectée au client Direct Line de votre bot pour interagir avec lui au sein du réseau privé.

Si votre point de terminaison privé ne fonctionne pas correctement, vous pouvez ajouter une règle pour autoriser le trafic sortant spécifiquement vers Azure AI Bot Service.

Remarque

Vous aurez ainsi un réseau virtuel un peu moins isolé.

  1. Ouvrez le groupe de sécurité réseau associé à votre premier sous-réseau.
  2. Sous Paramètres, sélectionnez Règles de sécurité de trafic sortant.
    1. Dans la liste des règles de sécurité sortantes, activez AllowAzureBotService.
  3. Accédez à la ressource App Service pour votre bot.
  4. Redémarrez App service.

Désactiver l’accès réseau public pour votre bot

Vous pouvez bloquer l’accès public à votre Azure AI Bot Service et n’autoriser l’accès qu’à travers le point de terminaison privé. Vous pouvez désactiver l’accès au réseau Azure AI Bot Service dans le portail Azure.

Conseil

Cette opération a pour effet de déconfigurer les canaux Teams. Aucun autre canal (à l’exception de Direct Line) ne peut être configuré ou mis à jour dans le portail Azure.

  1. Accédez au portail Azure.
  2. Ouvrez le service d’application de votre bot.
  3. Désactivez l’accès au réseau public.

Informations supplémentaires

Configuration du réseau virtuel

Vous disposez de plusieurs options pour configurer votre bot pour un réseau virtuel.

  • Créez un réseau virtuel, puis activez Azure App Service au sein du réseau. Cette option est utilisée dans le présent article.
  • Créez un App Service Environment et ajoutez y un App Service Plan.
  1. Créer un réseau virtuel.
  2. Activer l’intégration d’Azure App Service dans le réseau virtuel.

Les étapes suivantes sont utilisées dans cet article, comme décrit dans la section Créer un réseau virtuel.

Pour en savoir plus, reportez-vous aux guides de création d’un réseau virtuel à l’aide du portail Azure et d’activation de l’intégration de réseau virtuel dans Azure App Service.