Mengonfigurasi isolasi jaringan

Mulai 1 September 2023, sangat disarankan untuk menggunakan metode Tag Layanan Azure untuk isolasi jaringan. Pemanfaatan DL-ASE harus terbatas pada skenario yang sangat spesifik. Sebelum menerapkan solusi ini di lingkungan produksi, sebaiknya konsultasikan dengan tim dukungan Anda untuk mendapatkan panduan.

Anda dapat menambahkan isolasi jaringan ke bot ekstensi Direct Line App Service yang ada. Titik akhir privat memungkinkan bot terisolasi jaringan Anda berkomunikasi dengan layanan Bot Framework yang diperlukan sehingga bot dapat berjalan dengan benar saat terbatas pada jaringan virtual.

Untuk menambahkan isolasi jaringan ke bot Anda:

1. Gunakan jaringan virtual dan konfigurasikan jaringan untuk mencegah lalu lintas keluar. Pada titik ini, bot Anda akan kehilangan kemampuan untuk berkomunikasi dengan layanan Bot Framework lainnya.
2. Konfigurasikan titik akhir privat untuk memulihkan konektivitas.
3. Mulai ulang layanan aplikasi Anda dan uji bot Anda dalam jaringan terisolasi Anda.
4. Nonaktifkan akses jaringan publik ke bot Anda.

Prasyarat

• Akun Azure. Jika Anda belum memilikinya, buat akun gratis sebelum memulai.
  • Langganan dengan izin untuk membuat Azure Virtual Network dan sumber daya grup keamanan jaringan.
• Bot ekstensi Direct Line App Service yang berfungsi.
  • Bot Anda menggunakan Bot Framework SDK untuk C# atau JavaScript, versi 4.16 atau yang lebih baru.
  • Bot Anda telah mengaktifkan pipa bernama.
  • Layanan aplikasi bot Anda mengaktifkan ekstensi Direct Line App Service.
• Kontrol Web Chat yang tersambung ke klien Direct Line bot Anda.

Untuk mengonfirmasi bahwa bot yang ada dikonfigurasi dengan benar:

1. Di browser, buka titik akhir klien Direct Line untuk bot Anda. Contohnya, https://<your-app_service>.azurewebsites.net/.bot.

2. Verifikasi halaman menampilkan yang berikut ini:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
   

   • v menunjukkan versi build ekstensi Direct Line App Service.
   • k menunjukkan apakah ekstensi dapat membaca kunci ekstensi dari konfigurasinya.
   • diinisialisasi menunjukkan apakah ekstensi dapat mengunduh metadata bot dari Azure AI Bot Service.
   • ib menunjukkan apakah ekstensi dapat membuat koneksi masuk ke bot.
   • ob menunjukkan apakah ekstensi dapat membuat koneksi keluar dari bot.

Membuat jaringan virtual

1. Buka portal Azure.
2. Buat sumber daya Azure Virtual Network di wilayah yang sama dengan bot Anda.
   • Ini membuat jaringan virtual dan subnet.
   • Jangan membuat komputer virtual apa pun.
   • Untuk instruksi umum, lihat Membuat jaringan virtual menggunakan portal Azure.
3. Buka sumber daya layanan aplikasi untuk bot Anda dan aktifkan integrasi jaringan virtual.
   • Gunakan jaringan virtual dan subnet dari langkah sebelumnya.
   • Untuk instruksi umum, lihat Mengaktifkan integrasi jaringan virtual di Azure App Service.
4. Buat subnet kedua. Anda akan menggunakan subnet kedua nanti untuk menambahkan titik akhir privat Anda.

Menolak lalu lintas keluar dari jaringan Anda

1. Buka grup keamanan jaringan yang terkait dengan subnet pertama Anda.
   • Jika tidak ada grup keamanan yang dikonfigurasi, buat grup keamanan. Untuk informasi selengkapnya, lihat Kelompok keamanan jaringan.
2. Di Pengaturan, pilih Aturan keamanan keluar.
   1. Dalam daftar aturan keamanan keluar, aktifkan DenyAllInternetOutbound.
3. Buka sumber daya layanan aplikasi untuk bot Anda.
4. Mulai ulang layanan aplikasi Anda.

Verifikasi bahwa konektivitas rusak

1. Di tab browser terpisah, buka titik akhir klien Direct Line untuk bot Anda. Contohnya, https://<your-app_service>.azurewebsites.net/.bot.

2. Verifikasi halaman menampilkan yang berikut ini:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
   

   Nilainya initialized harus false, karena layanan aplikasi dan ekstensi layanan aplikasi Anda tidak dapat terhubung ke layanan Bot Framework lainnya untuk menginisialisasi dirinya sendiri. Bot Anda sekarang diisolasi di jaringan virtual untuk koneksi keluar.

Membuat titik akhir privat Anda

1. Buka portal Azure.
2. Buka sumber daya Azure Bot untuk bot Anda.
3. Di Pengaturan, pilih Jaringan.
   1. Pada tab Akses privat dan pilih Buat titik akhir privat.
      1. Pada tab Sumber Daya , untuk Sub-sumber daya Target, pilih Bot dari daftar.
      2. Pada tab Virtual Network , pilih jaringan virtual Anda dan subnet kedua yang Anda buat.
      3. Simpan titik akhir privat Anda.

Menambahkan titik akhir privat Anda ke layanan aplikasi bot Anda

1. Buka sumber daya Azure App Service untuk bot Anda.
2. Di bawah Pengaturan, pilih Konfigurasi.
   1. Di tab Pengaturan aplikasi, pilih Pengaturan aplikasi baru.
      1. Atur Nama ke DirectLineExtensionABSEndpoint.
      2. Atur Nilai ke URL titik akhir privat, misalnya, https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension.
      3. Simpan pengaturan baru.

Mulai ulang layanan aplikasi Anda dan verifikasi bahwa konektivitas dipulihkan

1. Mulai ulang layanan aplikasi untuk bot Anda.

2. Di tab browser terpisah, buka titik akhir klien Direct Line untuk bot Anda. Contohnya, https://<your-app_service>.azurewebsites.net/.bot.

3. Verifikasi halaman menampilkan yang berikut ini:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
   

   Nilai harus initialized true.

4. Gunakan kontrol Web Chat yang terhubung ke klien Direct Line bot Anda untuk berinteraksi dengan bot Anda di dalam jaringan privat.

Jika titik akhir privat Anda tidak berfungsi dengan benar, Anda dapat menambahkan aturan untuk mengizinkan lalu lintas keluar khusus ke Azure AI Bot Service.

Catatan

Ini akan membuat Anda jaringan virtual sedikit kurang terisolasi.

1. Buka grup keamanan jaringan yang terkait dengan subnet pertama Anda.
2. Di Pengaturan, pilih Aturan keamanan keluar.
   1. Dalam daftar aturan keamanan keluar, aktifkan AllowAzureBotService.
3. Buka sumber daya layanan aplikasi untuk bot Anda.
4. Mulai ulang layanan aplikasi Anda.

Menonaktifkan akses jaringan publik ke bot Anda

Anda dapat memblokir akses publik ke Azure AI Bot Service Anda dan hanya mengizinkan akses melalui Titik Akhir Privat. Anda dapat menonaktifkan akses jaringan Azure AI Bot Service di portal Azure.

Tip

Ini akan membatalkan konfigurasi saluran Teams. Tidak ada saluran lain (kecuali Direct Line) yang dapat dikonfigurasi atau diperbarui di portal Azure.

1. Buka portal Azure.
2. Buka layanan aplikasi untuk bot Anda.
3. Nonaktifkan akses jaringan publik.

Informasi Tambahan

Konfigurasi jaringan virtual

Anda memiliki beberapa opsi untuk mengonfigurasi bot Anda untuk jaringan virtual.

• Buat jaringan virtual lalu aktifkan Azure App Service dalam jaringan. Ini adalah opsi yang digunakan dalam artikel ini.
• Buat lingkungan App Service lalu tambahkan Paket App Service dalam lingkungan.

Jaringan virtual

1. Buat jaringan virtual.
2. Aktifkan integrasi Azure App Service dalam jaringan virtual.

Ini adalah langkah-langkah yang digunakan dalam artikel ini, seperti yang dijelaskan di bagian Buat jaringan virtual.

Untuk informasi selengkapnya, lihat Membuat jaringan virtual menggunakan portal Azure dan Mengaktifkan integrasi jaringan virtual di Azure App Service.

App Service Environment

Ekstensi Direct Line App Service tersedia di semua layanan Azure App, termasuk yang dihosting dalam Lingkungan Azure App Service. Lingkungan Azure App Service menyediakan isolasi dan merupakan cara yang baik untuk bekerja dalam jaringan virtual.

1. Buat Lingkungan App Service internal atau eksternal. Untuk informasi selengkapnya, lihat Membuat Lingkungan App Service Eksternal dan Membuat dan menggunakan Lingkungan App Service Load Balancer Internal.
2. Tambahkan Paket App Service di dalam lingkungan Anda. Anda dapat menyebarkan bot—seperti bot ekstensi Direct Line App Service—dalam paket Anda.
   1. Di portal Azure, buat sumber daya Paket App Service baru.
   2. Di bawah Wilayah, pilih Lingkungan App Service Anda.
   3. Selesaikan pembuatan Paket App Service Anda.