Isolamento della rete nei servizio Bot di intelligenza artificiale di Azure
A partire dal 1° settembre 2023, è consigliabile usare il metodo tag del servizio di Azure per l'isolamento della rete. L'utilizzo di DL-A edizione Standard deve essere limitato a scenari altamente specifici. Prima di implementare questa soluzione in un ambiente di produzione, è consigliabile consultare il team di supporto per indicazioni.
Questo articolo illustra i concetti relativi all'isolamento di rete per il bot di Azure e i relativi servizi dipendenti.
È possibile limitare l'accesso al bot a una rete privata. L'unico modo per eseguire questa operazione nel servizio Bot di Intelligenza artificiale di Azure consiste nell'usare l'estensione servizio app Direct Line. Ad esempio, è possibile usare l'estensione servizio app per ospitare un bot interno dell'azienda e richiedere agli utenti di accedere al bot dall'interno della rete aziendale.
Per istruzioni dettagliate su come configurare il bot in una rete privata, vedere Come usare una rete isolata.
Per altre informazioni sulle funzionalità che supportano l'isolamento di rete, vedere:
| Funzionalità | Articolo |
|---|---|
| Estensione servizio app Direct Line | Estensione servizio app Direct Line |
| Rete virtuale di Azure | Che cos'è Azure Rete virtuale? |
| Gruppi di sicurezza di rete di Azure | Gruppi di sicurezza di rete |
| collegamento privato di Azure ed endpoint privati | Che cos'è un endpoint privato? |
| DNS di Azure | Creare una zona e un record DNS di Azure usando il portale di Azure |
Uso di endpoint privati
Quando l'endpoint del bot si trova all'interno di una rete virtuale e con le regole appropriate impostate nel gruppo di sicurezza di rete, è possibile limitare l'accesso alle richieste in ingresso e in uscita per il servizio app del bot usando un endpoint privato.
Gli endpoint privati sono disponibili nella servizio Bot tramite l'estensione servizio app Direct Line. Vedere i requisiti per l'uso di endpoint privati di seguito:
Le attività devono essere inviate da e verso l'endpoint servizio app.
L'estensione servizio app si trova in condivisione con il servizio app per gli endpoint del bot. Tutti i messaggi da e verso l'endpoint sono locali alla rete virtuale e raggiungono il client direttamente senza essere inviati ai servizi di Bot Framework.
Per il funzionamento dell'autenticazione utente, il client del bot deve comunicare con il provider di servizi, ad esempio Microsoft Entra ID o GitHub, e l'endpoint del token.
Se il client bot si trova nella rete virtuale, sarà necessario consentire entrambi gli endpoint dall'interno della rete virtuale. Eseguire questa operazione per l'endpoint del token tramite tag del servizio. Anche l'endpoint del bot deve accedere all'endpoint del token, come descritto di seguito.
Con l'estensione servizio app, l'endpoint del bot e l'estensione servizio app devono inviare richieste HTTPS in uscita ai servizi Bot Framework.
Queste richieste sono destinate a varie operazioni meta, ad esempio il recupero della configurazione del bot o il recupero di token dall'endpoint del token. Per facilitare queste richieste, è necessario configurare e configurare un endpoint privato.
Come il servizio Bot implementa gli endpoint privati
Esistono due scenari principali in cui vengono usati gli endpoint privati:
- Per consentire al bot di accedere all'endpoint del token.
- Per consentire all'estensione del canale Direct Line di accedere al servizio Bot.
Un progetto di endpoint privato richiede servizi nella rete virtuale, in modo che siano disponibili direttamente all'interno della rete, senza esporre la rete virtuale a Internet o consentire l'elenco di indirizzi IP. Tutto il traffico attraverso un endpoint privato passa attraverso i server interni di Azure per assicurarsi che il traffico non venga traspelato verso Internet.
Il servizio usa due sotto-risorse Bot e Token, per servizio di progetto nella rete. Quando si aggiunge un endpoint privato, Azure genera un record DNS specifico del bot per ogni sotto-risorsa e configura l'endpoint nel gruppo di zone DNS. Ciò garantisce che gli endpoint di bot diversi destinati alla stessa sotto-risorsa possano essere distinti tra loro, riutilizzando la stessa risorsa del gruppo di zone DNS.
Scenario di esempio
Si supponga di avere un bot denominato SampleBot e un servizio app corrispondente, SampleBot.azurewebsites.net, che funge da endpoint di messaggistica per questo bot.
Si configura un endpoint privato per SampleBot con tipo Bot di risorsa secondaria nel portale di Azure per il cloud pubblico, che crea un gruppo di zone DNS con un A record corrispondente a SampleBot.botplinks.botframework.com. Questo record DNS esegue il mapping a un indirizzo IP locale nella rete virtuale. Analogamente, l'uso del tipo Token di sotto-risorsa genera un endpoint, SampleBot.bottoken.botframework.com.
Il A record nella zona DNS creata viene mappato a un indirizzo IP all'interno della rete virtuale. Le richieste inviate a questo endpoint sono quindi locali alla rete e non violano le regole nel gruppo di sicurezza di rete o nel firewall di Azure che limitano il traffico in uscita dalla rete. Il livello di rete di Azure e i servizi Bot Framework assicurano che le richieste non vengano perse nella rete Internet pubblica e che l'isolamento venga mantenuto per la rete.