Netwerkisolatie in Azure AI Bot Service
Vanaf 1 september 2023 is het raadzaam om de Azure Service Tag-methode te gebruiken voor netwerkisolatie. Het gebruik van DL-ASE moet worden beperkt tot zeer specifieke scenario's. Voordat u deze oplossing in een productieomgeving implementeert, raden we u aan uw ondersteuningsteam te raadplegen voor hulp.
In dit artikel worden concepten behandeld over netwerkisolatie voor uw Azure-bot en de bijbehorende afhankelijke services.
Mogelijk wilt u de toegang tot uw bot beperken tot een particulier netwerk. De enige manier om dit te doen in azure AI Bot Service is door de Direct Line App Service-extensie te gebruiken. U kunt bijvoorbeeld de App Service-extensie gebruiken voor het hosten van een interne bot van het bedrijf en vereisen dat gebruikers toegang hebben tot de bot vanuit uw bedrijfsnetwerk.
Zie hoe u een geïsoleerd netwerk gebruikt voor gedetailleerde instructies over het configureren van uw bot in een particulier netwerk.
Zie voor meer informatie over de functies die netwerkisolatie ondersteunen:
| Functie | Artikel |
|---|---|
| Direct Line App Service-extensie | Direct Line App Service-extensie |
| Azure Virtual Network | Wat is Azure Virtual Network? |
| Netwerkbeveiligingsgroepen in Azure | Netwerkbeveiligingsgroepen |
| Azure Private Link en privé-eindpunten | Wat is een privé-eindpunt? |
| Azure DNS | Een Azure DNS-zone en -record maken met behulp van Azure Portal |
Gebruik van privé-eindpunten
Wanneer uw bot-eindpunt zich in een virtueel netwerk bevindt en met de juiste regels die zijn ingesteld in uw netwerkbeveiligingsgroep, kunt u de toegang beperken tot zowel binnenkomende als uitgaande aanvragen voor de app-service van uw bot met behulp van een privé-eindpunt.
Privé-eindpunten zijn beschikbaar in de Bot Service via de Direct Line App Service-extensie. Zie de vereisten voor het gebruik van privé-eindpunten hieronder:
Activiteiten moeten worden verzonden naar en van het App Service-eindpunt.
De App Service-extensie bevindt zich samen met uw app-service voor boteindpunten. Alle berichten van en naar het eindpunt zijn lokaal in uw virtuele netwerk en bereiken uw client rechtstreeks zonder te worden verzonden naar Bot Framework-services.
Gebruikersverificatie werkt alleen als uw botclient communiceert met de serviceprovider, zoals Microsoft Entra-id of GitHub, en het tokeneindpunt.
Als uw botclient zich in uw virtuele netwerk bevindt, moet u beide eindpunten toestaan vanuit uw virtuele netwerk. Doe dit voor het tokeneindpunt via servicetags. Uw boteindpunt zelf heeft ook toegang nodig tot het tokeneindpunt, zoals hieronder wordt beschreven.
Met de App Service-extensie moeten uw boteindpunt en de App Service-extensie uitgaande HTTPS-aanvragen verzenden naar Bot Framework-services.
Deze aanvragen zijn bedoeld voor verschillende metabewerkingen, zoals het ophalen van uw botconfiguratie of het ophalen van tokens van het tokeneindpunt. Om deze aanvragen te vergemakkelijken, moet u een privé-eindpunt instellen en configureren.
Hoe de Bot Service privé-eindpunten implementeert
Er zijn twee hoofdscenario's waarin privé-eindpunten worden gebruikt:
- Uw bot heeft toegang tot het tokeneindpunt.
- Voor toegang tot de Bot Service voor de Direct Line-kanaalextensie.
Een privé-eindpuntproject vereist services in uw virtuele netwerk, zodat deze rechtstreeks in uw netwerk beschikbaar zijn, zonder uw virtuele netwerk bloot te stellen aan internet of ip-adressen toe te staan. Al het verkeer via een privé-eindpunt gaat via de interne Azure-servers om ervoor te zorgen dat uw verkeer niet naar internet wordt gelekt.
De service maakt gebruik van twee subbronnen Bot en Tokenprojectservice s in uw netwerk. Wanneer u een privé-eindpunt toevoegt, genereert Azure een botspecifieke DNS-record voor elke subresource en configureert het eindpunt in de DNS-zonegroep. Dit zorgt ervoor dat eindpunten van verschillende bots die zich op dezelfde subresource richten, van elkaar kunnen worden onderscheiden, terwijl dezelfde DNS-zonegroepresource opnieuw wordt gebruikt.
Voorbeeldscenario
Stel dat u een bot hebt met de naam SampleBot en een bijbehorende app-service, SampleBot.azurewebsites.netdie fungeert als het berichteindpunt voor deze bot.
U configureert een privé-eindpunt voor SampleBot met subresourcetype Bot in Azure Portal voor openbare cloud, waarmee een DNS-zonegroep wordt gemaakt met een A record die overeenkomt met SampleBot.botplinks.botframework.com. Deze DNS-record wordt toegewezen aan een lokaal IP-adres in uw virtuele netwerk. Op dezelfde manier genereert het gebruik van het subresourcetype Token een eindpunt. SampleBot.bottoken.botframework.com
De A record in de DNS-zone die u hebt gemaakt, wordt toegewezen aan een IP-adres in uw virtuele netwerk. Aanvragen die naar dit eindpunt worden verzonden, zijn dus lokaal in uw netwerk en schenden geen regels in uw netwerkbeveiligingsgroep of Azure-firewall die uitgaand verkeer van uw netwerk beperken. De Azure-netwerklaag en Bot Framework-services zorgen ervoor dat uw aanvragen niet naar het openbare internet worden gelekt en dat isolatie wordt gehandhaafd voor uw netwerk.