Delen via

Netwerkisolatie configureren

  • Artikel

Vanaf 1 september 2023 is het raadzaam om de Azure Service Tag-methode te gebruiken voor netwerkisolatie. Het gebruik van DL-ASE moet worden beperkt tot zeer specifieke scenario's. Voordat u deze oplossing in een productieomgeving implementeert, raden we u aan uw ondersteuningsteam te raadplegen voor hulp.

U kunt netwerkisolatie toevoegen aan een bestaande Direct Line App Service-extensiebot. Met een privé-eindpunt kan uw netwerk geïsoleerde bot communiceren met de vereiste Bot Framework-services, zodat de bot correct kan worden uitgevoerd terwijl deze wordt beperkt tot het virtuele netwerk.

Netwerkisolatie toevoegen aan uw bot:

  1. Gebruik een virtueel netwerk en configureer het netwerk om uitgaand verkeer te voorkomen. Op dit moment verliest uw bot de mogelijkheid om te communiceren met andere Bot Framework-services.
  2. Configureer privé-eindpunten om de connectiviteit te herstellen.
  3. Start de app-service opnieuw op en test uw bot binnen uw geïsoleerde netwerk.
  4. Schakel openbare netwerktoegang tot uw bot uit.

Vereisten

  • Een Azure-account. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
    • Een abonnement met machtigingen voor het maken van azure Virtual Network- en netwerkbeveiligingsgroepsbronnen.
  • Een werkende Direct Line App Service-extensiebot.
    • Uw bot maakt gebruik van de Bot Framework SDK voor C# of JavaScript, versie 4.16 of hoger.
    • Uw bot heeft pijpen met de naam ingeschakeld.
    • De app-service van uw bot heeft de App Service-extensie Direct Line ingeschakeld.
  • Een Webchat besturingselement dat is verbonden met de Direct Line-client van uw bot.

Ga als volgt te werk om te controleren of uw bestaande bot correct is geconfigureerd:

  1. Open in een browser het direct line-clienteindpunt voor uw bot. Bijvoorbeeld https://<your-app_service>.azurewebsites.net/.bot.

  2. Controleer of op de pagina het volgende wordt weergegeven:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    • v toont de buildversie van de Direct Line App Service-extensie.
    • k geeft aan of de extensie een extensiesleutel kan lezen uit de configuratie.
    • geïnitialiseerd geeft aan of de extensie metagegevens van de bot kan downloaden van Azure AI Bot Service.
    • ib geeft aan of de extensie een binnenkomende verbinding met de bot tot stand kon brengen.
    • ob geeft aan of de extensie een uitgaande verbinding van de bot tot stand kon brengen.

Een virtueel netwerk maken

  1. Ga naar Azure Portal.
  2. Maak een Azure Virtual Network-resource in dezelfde regio als uw bot.
    • Hiermee worden zowel een virtueel netwerk als een subnet gemaakt.
    • Maak geen virtuele machines.
    • Zie Een virtueel netwerk maken met behulp van Azure Portal voor algemene instructies.
  3. Open de App Service-resource voor uw bot en schakel integratie van virtuele netwerken in.
    • Gebruik het virtuele netwerk en het subnet uit de vorige stap.
    • Zie Integratie van virtuele netwerken inschakelen in Azure-app Service voor algemene instructies.
  4. Maak een tweede subnet. U gebruikt het tweede subnet later om uw privé-eindpunt toe te voegen.

Uitgaand verkeer van uw netwerk weigeren

  1. Open de netwerkbeveiligingsgroep die is gekoppeld aan uw eerste subnet.
  2. Selecteer onder Instellingen uitgaande beveiligingsregels.
    1. Schakel DenyAllInternetOutbound in de lijst met uitgaande beveiligingsregels in.
  3. Ga naar de App Service-resource voor uw bot.
  4. Start de app-service opnieuw op.

Controleer of de verbinding is verbroken

  1. Open in een afzonderlijk browsertabblad het clienteindpunt van direct line voor uw bot. Bijvoorbeeld https://<your-app_service>.azurewebsites.net/.bot.

  2. Controleer of op de pagina het volgende wordt weergegeven:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}

    De waarde moet initialized zijn false, omdat uw App Service- en App Service-extensie geen verbinding kunnen maken met andere Bot Framework-services om zichzelf te initialiseren. Uw bot is nu geïsoleerd in een virtueel netwerk voor uitgaande verbindingen.

Uw privé-eindpunt maken

  1. Ga naar Azure Portal.
  2. Open de Azure Bot-resource voor uw bot.
  3. Selecteer Netwerken onder Instellingen.
    1. Selecteer op het tabblad Privétoegang een privé-eindpunt maken.
      1. Selecteer bot in de lijst op het tabblad Resource voor doelsubresource.
      2. Selecteer op het tabblad Virtueel netwerk uw virtuele netwerk en het tweede subnet dat u hebt gemaakt.
      3. Sla uw privé-eindpunt op.

Uw privé-eindpunt toevoegen aan de app-service van uw bot

  1. Open de Azure-app Service-resource voor uw bot.
  2. Selecteer onder Instellingen de optie Configuratie.
    1. Selecteer Op het tabblad Toepassingsinstellingen de optie Nieuwe toepassingsinstelling.
      1. Stel de naam in op DirectLineExtensionABSEndpoint.
      2. Stel waarde in op de URL van het privé-eindpunt, bijvoorbeeld https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension.
      3. Sla de nieuwe instelling op.

Start de App Service opnieuw op en controleer of de verbinding is hersteld

  1. Start de App Service voor uw bot opnieuw op.

  2. Open in een afzonderlijk browsertabblad het clienteindpunt van direct line voor uw bot. Bijvoorbeeld https://<your-app_service>.azurewebsites.net/.bot.

  3. Controleer of op de pagina het volgende wordt weergegeven:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}

    De waarde van initialized moet zijn true.

  4. Gebruik het Webchat besturingselement dat is verbonden met de Direct Line-client van uw bot om te communiceren met uw bot in het privénetwerk.

Als uw privé-eindpunt niet goed werkt, kunt u een regel toevoegen om uitgaand verkeer specifiek naar Azure AI Bot Service toe te staan.

Notitie

Hierdoor wordt het virtuele netwerk iets minder geïsoleerd.

  1. Open de netwerkbeveiligingsgroep die is gekoppeld aan uw eerste subnet.
  2. Selecteer onder Instellingen uitgaande beveiligingsregels.
    1. Schakel AllowAzureBotService in de lijst met uitgaande beveiligingsregels in.
  3. Ga naar de App Service-resource voor uw bot.
  4. Start de app-service opnieuw op.

Openbare netwerktoegang tot uw bot uitschakelen

U kunt openbare toegang tot uw Azure AI Bot Service blokkeren en alleen toegang toestaan via een privé-eindpunt. U kunt netwerktoegang van Azure AI Bot Service uitschakelen in Azure Portal.

Fooi

Hiermee worden de Teams-kanalen niet geconfigureerd. Er kunnen geen andere kanalen (behalve Direct Line) worden geconfigureerd of bijgewerkt in Azure Portal.

  1. Ga naar Azure Portal.
  2. Open de app-service voor uw bot.
  3. Schakel openbare netwerktoegang uit.

Aanvullende informatie

Configuratie van virtueel netwerk

U hebt een aantal opties om uw bot te configureren voor een virtueel netwerk.

  • Maak een virtueel netwerk en schakel Azure-app Service in het netwerk in. Dit is de optie die in dit artikel wordt gebruikt.
  • Maak een App Service-omgeving en voeg vervolgens een App Service-plan toe in de omgeving.
  1. Maak een virtueel netwerk.
  2. Schakel Azure-app Service-integratie in het virtuele netwerk in.

Dit zijn de stappen die in dit artikel worden gebruikt, zoals beschreven in de sectie Een virtueel netwerk maken.

Zie Een virtueel netwerk maken met behulp van Azure Portal en integratie van virtuele netwerken inschakelen in Azure-app Service voor meer informatie.