Hálózatelkülönítés konfigurálása

2023. szeptember 1-jére kezdődően erősen ajánlott az Azure Service Tag metódus használata a hálózatelkülönítéshez. A DL-A Standard kiadás használatát rendkívül specifikus forgatókönyvekre kell korlátozni. Mielőtt éles környezetben implementálnánk ezt a megoldást, javasoljuk, hogy forduljon a támogatási csapathoz útmutatásért.

Hálózati elkülönítést adhat hozzá egy meglévő Direct Line App Service-bővítményrobothoz. A privát végpont lehetővé teszi, hogy a hálózati izolált robot kommunikáljon a szükséges Bot Framework-szolgáltatásokkal, hogy a robot megfelelően fusson, miközben a virtuális hálózatra korlátozódik.

Hálózati elkülönítés hozzáadása a robothoz:

1. Használjon virtuális hálózatot, és konfigurálja a hálózatot a kimenő forgalom megakadályozása érdekében. Ezen a ponton a robot elveszíti a más Bot Framework-szolgáltatásokkal való kommunikáció képességét.
2. Konfigurálja a privát végpontokat a kapcsolat visszaállításához.
3. Indítsa újra az App Service-t, és tesztelje a robotot az elkülönített hálózaton belül.
4. Tiltsa le a robot nyilvános hálózati hozzáférését.

Előfeltételek

• Egy Azure-fiók. Ha még nem rendelkezik ilyen fiókkal, a kezdés előtt hozzon létre egy ingyenes fiókot .
  • Az Azure Virtual Network és a hálózati biztonsági csoport erőforrásainak létrehozására jogosult előfizetés.
• Egy működő Direct Line App Service-bővítményrobot.
  • A robot a Bot Framework SDK-t használja a C# vagy JavaScript 4.16-os vagy újabb verziójához.
  • A robot engedélyezettnek nevezte a csöveket.
  • A robot appszolgáltatásában engedélyezve van a Direct Line App Service bővítmény.
• A robot Direct Line-ügyféléhez csatlakoztatott webchat vezérlő.

Annak ellenőrzése, hogy a meglévő robot megfelelően van-e konfigurálva:

1. Egy böngészőben nyissa meg a robot Direct Line-ügyfélvégpontját. For example, https://<your-app_service>.azurewebsites.net/.bot.

2. Ellenőrizze, hogy az oldal megjeleníti-e a következőket:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
   

   • v a Direct Line App Service bővítmény buildverzióját jeleníti meg.
   • k azt jelzi, hogy a bővítmény képes volt-e beolvasni egy bővítménykulcsot a konfigurációjából.
   • Az inicializált azt jelzi, hogy a bővítmény képes volt-e letölteni a robot metaadatait az Azure AI Bot Service-ből.
   • Az ib azt jelzi, hogy a bővítmény képes volt-e bejövő kapcsolatot létesíteni a robottal.
   • az ob azt jelzi, hogy a bővítmény képes volt-e kimenő kapcsolatot létesíteni a robotból.

Virtuális hálózat létrehozása

1. Lépjen az Azure Portalra.
2. Hozzon létre egy Azure-beli virtuális hálózati erőforrást a robottal azonos régióban.
   • Ez létrehoz egy virtuális hálózatot és egy alhálózatot is.
   • Ne hozzon létre virtuális gépeket.
   • Általános útmutatásért lásd : Virtuális hálózat létrehozása az Azure Portal használatával.
3. Nyissa meg a robot App Service-erőforrását, és engedélyezze a virtuális hálózati integrációt.
   • Használja az előző lépésben használt virtuális hálózatot és alhálózatot.
   • Általános útmutatásért tekintse meg a virtuális hálózatok integrációjának engedélyezése Azure-alkalmazás Szolgáltatásban című témakört.
4. Hozzon létre egy második alhálózatot. Később a második alhálózatot fogja használni a privát végpont hozzáadásához.

Kimenő forgalom megtagadása a hálózatról

1. Nyissa meg az első alhálózathoz társított hálózati biztonsági csoportot.
   • Ha nincs konfigurálva biztonsági csoport, hozzon létre egyet. További információ: Hálózati biztonsági csoportok.
2. A Gépház területen válassza a Kimenő biztonsági szabályok lehetőséget.
   1. A kimenő biztonsági szabályok listájában engedélyezze a DenyAllInternetOutbound lehetőséget.
3. Nyissa meg a robot App Service-erőforrását.
4. Indítsa újra az appszolgáltatást.

Ellenőrizze, hogy a kapcsolat megszakadt-e

1. Egy külön böngészőlapon nyissa meg a robot Közvetlen vonal ügyfélvégpontját. For example, https://<your-app_service>.azurewebsites.net/.bot.

2. Ellenőrizze, hogy az oldal megjeleníti-e a következőket:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
   

   Ennek az értéknek initialized azért kell lennie false, mert az app service- és app service-bővítmény nem tud csatlakozni más Bot Framework-szolgáltatásokhoz, hogy inicializálja magát. A robot most már elkülönítve van egy virtuális hálózaton a kimenő kapcsolatokhoz.

Privát végpont létrehozása

1. Lépjen az Azure Portalra.
2. Nyissa meg a robot Azure Bot-erőforrását.
3. A Gépház területen válassza a Hálózatkezelés lehetőséget.
   1. A Privát hozzáférés lapon válassza a Privát végpont létrehozása lehetőséget.
      1. Az Erőforrás lap Cél alerőforrás eleméhez válassza a Robot lehetőséget a listából.
      2. A Virtuális hálózat lapon válassza ki a virtuális hálózatot és a második létrehozott alhálózatot.
      3. Mentse a privát végpontot.

Privát végpont hozzáadása a robot appszolgáltatásához

1. Nyissa meg a robot Azure-alkalmazás Szolgáltatás erőforrását.
2. A Beállítások területen válassza a Konfiguráció elemet.
   1. Az Alkalmazásbeállítások lapon válassza az Új alkalmazásbeállítás lehetőséget.
      1. A név beállítása a következőreDirectLineExtensionABSEndpoint: .
      2. Állítsa be az Értéket a privát végpont URL-címére, https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extensionpéldául.
      3. Mentse az új beállítást.

Indítsa újra az appszolgáltatást, és ellenőrizze, hogy a kapcsolat helyreállt-e

1. Indítsa újra a robot appszolgáltatását.

2. Egy külön böngészőlapon nyissa meg a robot Közvetlen vonal ügyfélvégpontját. For example, https://<your-app_service>.azurewebsites.net/.bot.

3. Ellenőrizze, hogy az oldal megjeleníti-e a következőket:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
   

   Az értéknek initialized a következőnek kell lennie true: .

4. Használja a robot Direct Line-ügyféléhez csatlakoztatott webchat vezérlőt a robot magánhálózaton belüli interakciójához.

Ha a privát végpont nem működik megfelelően, hozzáadhat egy szabályt, amely kifejezetten az Azure AI Bot Service-be irányuló kimenő forgalmat engedélyezi.

Megjegyzés:

Ez egy kicsit kevésbé elszigetelté teszi a virtuális hálózatot.

1. Nyissa meg az első alhálózathoz társított hálózati biztonsági csoportot.
2. A Gépház területen válassza a Kimenő biztonsági szabályok lehetőséget.
   1. A kimenő biztonsági szabályok listájában engedélyezze az AllowAzureBotService szolgáltatást.
3. Nyissa meg a robot App Service-erőforrását.
4. Indítsa újra az appszolgáltatást.

A robot nyilvános hálózati hozzáférésének letiltása

Letilthatja az Azure AI Bot Service nyilvános elérését, és csak privát végponton keresztül engedélyezheti a hozzáférést. Az Azure Portalon letilthatja az Azure AI Bot Service hálózati hozzáférését.

Tipp.

Ez nem konfigurálja a Teams-csatornákat. Más csatornák (a Direct Line kivételével) nem konfigurálhatók vagy frissíthetők az Azure Portalon.

1. Lépjen az Azure Portalra.
2. Nyissa meg a robot appszolgáltatását.
3. Nyilvános hálózati hozzáférés letiltása.

További információk

Virtuális hálózati konfiguráció

A robotot néhány lehetőséggel konfigurálhatja egy virtuális hálózathoz.

• Hozzon létre egy virtuális hálózatot, majd engedélyezze a Azure-alkalmazás szolgáltatást a hálózaton belül. Ebben a cikkben ezt a lehetőséget használjuk.
• Hozzon létre egy App Service-környezetet, majd vegyen fel egy App Service-csomagot a környezetbe.

Virtuális hálózat

1. Hozzon létre egy virtuális hálózatot.
2. Engedélyezze Azure-alkalmazás szolgáltatásintegrációt a virtuális hálózaton belül.

Ezek a lépések szerepelnek ebben a cikkben, a Virtuális hálózat létrehozása szakaszban leírtak szerint.

További információ: Virtuális hálózat létrehozása az Azure Portallal és a virtuális hálózat integrációjának engedélyezése Azure-alkalmazás Szolgáltatásban.

App Service Environment

A Direct Line App Service bővítmény minden Azure-alkalmazás szolgáltatásban elérhető, beleértve a Azure-alkalmazás szolgáltatási környezetben üzemeltetetteket is. A Azure-alkalmazás szolgáltatáskörnyezet elkülönítést biztosít, és jó módszer a virtuális hálózaton belüli munkavégzésre.

1. Hozzon létre egy belső vagy külső App Service-környezetet. További információ: Külső App Service-környezet létrehozása és belső Load Balancer App Service-környezet létrehozása és használata.
2. Adjon hozzá egy App Service-csomagot a környezetében. A csomagban üzembe helyezheti a robotokat , például a Direct Line App Service bővítményrobotot.
   1. Az Azure Portalon hozzon létre egy új App Service-csomag-erőforrást.
   2. A Régió területen válassza ki az App Service-környezetet.
   3. Fejezze be az App Service-csomag létrehozását.