Isolasi jaringan di Azure AI Bot Service
Mulai 1 September 2023, sangat disarankan untuk menggunakan metode Tag Layanan Azure untuk isolasi jaringan. Pemanfaatan DL-ASE harus terbatas pada skenario yang sangat spesifik. Sebelum menerapkan solusi ini di lingkungan produksi, sebaiknya konsultasikan dengan tim dukungan Anda untuk mendapatkan panduan.
Artikel ini membahas konsep seputar isolasi jaringan untuk bot Azure Anda dan layanan dependennya.
Anda mungkin ingin membatasi akses ke bot Anda ke jaringan privat. Satu-satunya cara untuk melakukan ini di Azure AI Bot Service adalah dengan menggunakan ekstensi Direct Line App Service. Misalnya, Anda dapat menggunakan ekstensi App Service untuk menghosting bot internal perusahaan dan mengharuskan pengguna mengakses bot dari dalam jaringan perusahaan Anda.
Untuk instruksi terperinci tentang cara mengonfigurasi bot Anda di jaringan privat, lihat cara Menggunakan jaringan terisolasi.
Untuk informasi selengkapnya tentang fitur yang mendukung isolasi jaringan, lihat:
| Fitur | Artikel |
|---|---|
| Ekstensi Direct Line App Service | Ekstensi Direct Line App Service |
| Microsoft Azure Virtual Network | Apa itu Azure Virtual Network? |
| Kelompok keamanan jaringan Azure | Grup keamanan jaringan |
| Azure Private Link dan titik akhir privat | Apa itu titik akhir privat? |
| DNS Azure | Membuat zona dan rekaman Azure DNS menggunakan portal Azure |
Penggunaan titik akhir privat
Saat titik akhir bot Anda berada dalam jaringan virtual, dan dengan aturan yang sesuai yang ditetapkan dalam grup keamanan jaringan, Anda dapat membatasi akses ke permintaan masuk dan keluar untuk layanan aplikasi bot Anda dengan menggunakan titik akhir privat.
Titik akhir privat tersedia di Bot Service melalui ekstensi Direct Line App Service. Lihat persyaratan untuk menggunakan titik akhir privat di bawah ini:
Aktivitas harus dikirim ke dan dari titik akhir App Service.
Ekstensi App Service terletak bersama dengan layanan aplikasi titik akhir bot Anda. Semua pesan ke dan dari titik akhir bersifat lokal ke jaringan virtual Anda dan menjangkau klien Anda secara langsung tanpa dikirim ke layanan Bot Framework.
Agar autentikasi pengguna berfungsi, klien bot Anda perlu berkomunikasi dengan penyedia layanan—seperti ID Microsoft Entra atau GitHub—dan titik akhir token.
Jika klien bot Anda berada di jaringan virtual, Anda harus mengizinkan daftar kedua titik akhir dari dalam jaringan virtual Anda. Lakukan ini untuk titik akhir token melalui tag layanan. Titik akhir bot Anda sendiri juga memerlukan akses ke titik akhir token, seperti yang dijelaskan di bawah ini.
Dengan ekstensi App Service, titik akhir bot Anda dan ekstensi App Service perlu mengirim permintaan HTTPS keluar ke layanan Bot Framework.
Permintaan ini untuk berbagai operasi meta, seperti mengambil konfigurasi bot Anda atau mengambil token dari titik akhir token. Untuk memfasilitasi permintaan ini, Anda perlu menyiapkan dan mengonfigurasi titik akhir privat.
Bagaimana Bot Service mengimplementasikan titik akhir privat
Ada dua skenario utama di mana titik akhir privat digunakan:
- Agar bot Anda mengakses titik akhir token.
- Agar ekstensi saluran Direct Line dapat mengakses Bot Service.
Titik akhir privat memproyeksikan layanan yang diperlukan ke jaringan virtual Anda, sehingga tersedia di dalam jaringan Anda secara langsung, tanpa mengekspos jaringan virtual Anda ke internet atau mengizinkan daftar alamat IP apa pun. Semua lalu lintas melalui titik akhir privat melewati server internal Azure untuk memastikan bahwa lalu lintas Anda tidak bocor ke internet.
Layanan ini menggunakan dua sub-sumber daya, Bot dan Token, untuk layanan proyek ke dalam jaringan Anda. Saat Anda menambahkan titik akhir privat, Azure menghasilkan catatan DNS khusus bot untuk setiap sub-sumber daya dan mengonfigurasi titik akhir di grup zona DNS. Ini memastikan bahwa titik akhir dari bot yang berbeda yang menargetkan sub-sumber daya yang sama dapat dibedakan satu sama lain, sambil menggunakan kembali sumber daya grup zona DNS yang sama.
Contoh Skenario
Katakanlah Anda memiliki bot bernama SampleBot dan layanan aplikasi yang sesuai untuk itu, SampleBot.azurewebsites.net, yang berfungsi sebagai titik akhir olahpesan untuk bot ini.
Anda mengonfigurasi titik akhir privat untuk SampleBot dengan jenis Bot sub-sumber daya di portal Azure untuk cloud publik, yang membuat grup zona DNS dengan catatan yang A sesuai dengan SampleBot.botplinks.botframework.com. Rekaman DNS ini memetakan ke IP lokal di jaringan virtual Anda. Demikian pula, menggunakan jenis Token sub-sumber daya menghasilkan titik akhir, SampleBot.bottoken.botframework.com.
Catatan A di zona DNS yang Anda buat dipetakan ke Alamat IP dalam jaringan virtual Anda. Jadi, permintaan yang dikirim ke titik akhir ini bersifat lokal ke jaringan Anda dan tidak melanggar aturan di grup keamanan jaringan atau firewall Azure Anda yang membatasi lalu lintas keluar dari jaringan Anda. Lapisan jaringan Azure dan layanan Bot Framework memastikan bahwa permintaan Anda tidak bocor ke internet publik, dan isolasi dipertahankan untuk jaringan Anda.