Hálózatelkülönítés konfigurálása
2023. szeptember 1-jére kezdődően erősen ajánlott az Azure Service Tag metódus használata a hálózatelkülönítéshez. A DL-A Standard kiadás használatát rendkívül specifikus forgatókönyvekre kell korlátozni. Mielőtt éles környezetben implementálnánk ezt a megoldást, javasoljuk, hogy forduljon a támogatási csapathoz útmutatásért.
Hálózati elkülönítést adhat hozzá egy meglévő Direct Line App Service-bővítményrobothoz. A privát végpont lehetővé teszi, hogy a hálózati izolált robot kommunikáljon a szükséges Bot Framework-szolgáltatásokkal, hogy a robot megfelelően fusson, miközben a virtuális hálózatra korlátozódik.
Hálózati elkülönítés hozzáadása a robothoz:
- Használjon virtuális hálózatot, és konfigurálja a hálózatot a kimenő forgalom megakadályozása érdekében. Ezen a ponton a robot elveszíti a más Bot Framework-szolgáltatásokkal való kommunikáció képességét.
- Konfigurálja a privát végpontokat a kapcsolat visszaállításához.
- Indítsa újra az App Service-t, és tesztelje a robotot az elkülönített hálózaton belül.
- Tiltsa le a robot nyilvános hálózati hozzáférését.
Előfeltételek
- Egy Azure-fiók. Ha még nem rendelkezik ilyen fiókkal, a kezdés előtt hozzon létre egy ingyenes fiókot .
- Az Azure Virtual Network és a hálózati biztonsági csoport erőforrásainak létrehozására jogosult előfizetés.
- Egy működő Direct Line App Service-bővítményrobot.
- A robot a Bot Framework SDK-t használja a C# vagy JavaScript 4.16-os vagy újabb verziójához.
- A robot engedélyezettnek nevezte a csöveket.
- A robot appszolgáltatásában engedélyezve van a Direct Line App Service bővítmény.
- A robot Direct Line-ügyféléhez csatlakoztatott webchat vezérlő.
Annak ellenőrzése, hogy a meglévő robot megfelelően van-e konfigurálva:
Egy böngészőben nyissa meg a robot Direct Line-ügyfélvégpontját. For example,
https://<your-app_service>.azurewebsites.net/.bot
.Ellenőrizze, hogy az oldal megjeleníti-e a következőket:
{"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
- v a Direct Line App Service bővítmény buildverzióját jeleníti meg.
- k azt jelzi, hogy a bővítmény képes volt-e beolvasni egy bővítménykulcsot a konfigurációjából.
- Az inicializált azt jelzi, hogy a bővítmény képes volt-e letölteni a robot metaadatait az Azure AI Bot Service-ből.
- Az ib azt jelzi, hogy a bővítmény képes volt-e bejövő kapcsolatot létesíteni a robottal.
- az ob azt jelzi, hogy a bővítmény képes volt-e kimenő kapcsolatot létesíteni a robotból.
Virtuális hálózat létrehozása
- Lépjen az Azure Portalra.
- Hozzon létre egy Azure-beli virtuális hálózati erőforrást a robottal azonos régióban.
- Ez létrehoz egy virtuális hálózatot és egy alhálózatot is.
- Ne hozzon létre virtuális gépeket.
- Általános útmutatásért lásd : Virtuális hálózat létrehozása az Azure Portal használatával.
- Nyissa meg a robot App Service-erőforrását, és engedélyezze a virtuális hálózati integrációt.
- Használja az előző lépésben használt virtuális hálózatot és alhálózatot.
- Általános útmutatásért tekintse meg a virtuális hálózatok integrációjának engedélyezése Azure-alkalmazás Szolgáltatásban című témakört.
- Hozzon létre egy második alhálózatot. Később a második alhálózatot fogja használni a privát végpont hozzáadásához.
Kimenő forgalom megtagadása a hálózatról
- Nyissa meg az első alhálózathoz társított hálózati biztonsági csoportot.
- Ha nincs konfigurálva biztonsági csoport, hozzon létre egyet. További információ: Hálózati biztonsági csoportok.
- A Gépház területen válassza a Kimenő biztonsági szabályok lehetőséget.
- A kimenő biztonsági szabályok listájában engedélyezze a DenyAllInternetOutbound lehetőséget.
- Nyissa meg a robot App Service-erőforrását.
- Indítsa újra az appszolgáltatást.
Ellenőrizze, hogy a kapcsolat megszakadt-e
Egy külön böngészőlapon nyissa meg a robot Közvetlen vonal ügyfélvégpontját. For example,
https://<your-app_service>.azurewebsites.net/.bot
.Ellenőrizze, hogy az oldal megjeleníti-e a következőket:
{"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
Ennek az értéknek
initialized
azért kell lenniefalse
, mert az app service- és app service-bővítmény nem tud csatlakozni más Bot Framework-szolgáltatásokhoz, hogy inicializálja magát. A robot most már elkülönítve van egy virtuális hálózaton a kimenő kapcsolatokhoz.
Privát végpont létrehozása
- Lépjen az Azure Portalra.
- Nyissa meg a robot Azure Bot-erőforrását.
- A Gépház területen válassza a Hálózatkezelés lehetőséget.
- A Privát hozzáférés lapon válassza a Privát végpont létrehozása lehetőséget.
- Az Erőforrás lap Cél alerőforrás eleméhez válassza a Robot lehetőséget a listából.
- A Virtuális hálózat lapon válassza ki a virtuális hálózatot és a második létrehozott alhálózatot.
- Mentse a privát végpontot.
- A Privát hozzáférés lapon válassza a Privát végpont létrehozása lehetőséget.
Privát végpont hozzáadása a robot appszolgáltatásához
- Nyissa meg a robot Azure-alkalmazás Szolgáltatás erőforrását.
- A Beállítások területen válassza a Konfiguráció elemet.
- Az Alkalmazásbeállítások lapon válassza az Új alkalmazásbeállítás lehetőséget.
- A név beállítása a következőre
DirectLineExtensionABSEndpoint
: . - Állítsa be az Értéket a privát végpont URL-címére,
https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension
például. - Mentse az új beállítást.
- A név beállítása a következőre
- Az Alkalmazásbeállítások lapon válassza az Új alkalmazásbeállítás lehetőséget.
Indítsa újra az appszolgáltatást, és ellenőrizze, hogy a kapcsolat helyreállt-e
Indítsa újra a robot appszolgáltatását.
Egy külön böngészőlapon nyissa meg a robot Közvetlen vonal ügyfélvégpontját. For example,
https://<your-app_service>.azurewebsites.net/.bot
.Ellenőrizze, hogy az oldal megjeleníti-e a következőket:
{"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
Az értéknek
initialized
a következőnek kell lennietrue
: .Használja a robot Direct Line-ügyféléhez csatlakoztatott webchat vezérlőt a robot magánhálózaton belüli interakciójához.
Ha a privát végpont nem működik megfelelően, hozzáadhat egy szabályt, amely kifejezetten az Azure AI Bot Service-be irányuló kimenő forgalmat engedélyezi.
Megjegyzés:
Ez egy kicsit kevésbé elszigetelté teszi a virtuális hálózatot.
- Nyissa meg az első alhálózathoz társított hálózati biztonsági csoportot.
- A Gépház területen válassza a Kimenő biztonsági szabályok lehetőséget.
- A kimenő biztonsági szabályok listájában engedélyezze az AllowAzureBotService szolgáltatást.
- Nyissa meg a robot App Service-erőforrását.
- Indítsa újra az appszolgáltatást.
A robot nyilvános hálózati hozzáférésének letiltása
Letilthatja az Azure AI Bot Service nyilvános elérését, és csak privát végponton keresztül engedélyezheti a hozzáférést. Az Azure Portalon letilthatja az Azure AI Bot Service hálózati hozzáférését.
Tipp.
Ez nem konfigurálja a Teams-csatornákat. Más csatornák (a Direct Line kivételével) nem konfigurálhatók vagy frissíthetők az Azure Portalon.
- Lépjen az Azure Portalra.
- Nyissa meg a robot appszolgáltatását.
- Nyilvános hálózati hozzáférés letiltása.
További információk
Virtuális hálózati konfiguráció
A robotot néhány lehetőséggel konfigurálhatja egy virtuális hálózathoz.
- Hozzon létre egy virtuális hálózatot, majd engedélyezze a Azure-alkalmazás szolgáltatást a hálózaton belül. Ebben a cikkben ezt a lehetőséget használjuk.
- Hozzon létre egy App Service-környezetet, majd vegyen fel egy App Service-csomagot a környezetbe.
- Hozzon létre egy virtuális hálózatot.
- Engedélyezze Azure-alkalmazás szolgáltatásintegrációt a virtuális hálózaton belül.
Ezek a lépések szerepelnek ebben a cikkben, a Virtuális hálózat létrehozása szakaszban leírtak szerint.
További információ: Virtuális hálózat létrehozása az Azure Portallal és a virtuális hálózat integrációjának engedélyezése Azure-alkalmazás Szolgáltatásban.