Udostępnij za pośrednictwem


Konfigurowanie izolacji sieci

Od 1 września 2023 r. zdecydowanie zaleca się zastosowanie metody tagu usługi Platformy Azure na potrzeby izolacji sieci. Wykorzystanie biblioteki DL-ASE powinno być ograniczone do wysoce specyficznych scenariuszy. Przed wdrożeniem tego rozwiązania w środowisku produkcyjnym zalecamy skonsultowanie się z zespołem pomocy technicznej w celu uzyskania wskazówek.

Możesz dodać izolację sieci do istniejącego bota rozszerzenia usługi App Service direct line. Prywatny punkt końcowy umożliwia izolowanemu botowi sieci komunikowanie się z wymaganymi usługami Bot Framework, dzięki czemu bot może działać poprawnie, gdy jest ograniczony do sieci wirtualnej.

Aby dodać izolację sieci do bota:

  1. Użyj sieci wirtualnej i skonfiguruj sieć, aby zapobiec ruchowi wychodzącemu. W tym momencie bot utraci możliwość komunikowania się z innymi usługami Bot Framework.
  2. Skonfiguruj prywatne punkty końcowe w celu przywrócenia łączności.
  3. Uruchom ponownie usługę App Service i przetestuj bota w sieci izolowanej.
  4. Wyłącz dostęp do sieci publicznej do bota.

Wymagania wstępne

  • Konto platformy Azure. Jeśli jeszcze go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
    • Subskrypcja z uprawnieniami do tworzenia zasobów usługi Azure Virtual Network i sieciowej grupy zabezpieczeń.
  • Działający bot rozszerzenia usługi App Service linii bezpośredniej.
    • Bot używa zestawu BOT Framework SDK dla języka C# lub JavaScript w wersji 4.16 lub nowszej.
    • Bot ma włączone nazwane potoki.
    • Usługa aplikacji bota ma włączone rozszerzenie Direct Line App Service.
  • Kontrolka czat internetowy połączona z klientem direct line bota.

Aby potwierdzić poprawną konfigurację istniejącego bota:

  1. W przeglądarce otwórz punkt końcowy klienta direct line dla bota. Na przykład https://<your-app_service>.azurewebsites.net/.bot.

  2. Sprawdź, czy na stronie są wyświetlane następujące elementy:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    
    • Wersja v pokazuje wersję kompilacji rozszerzenia usługi App Service direct line.
    • k wskazuje, czy rozszerzenie było w stanie odczytać klucz rozszerzenia z jego konfiguracji.
    • zainicjowane wskazuje, czy rozszerzenie mogło pobrać metadane bota z usługi Azure AI Bot Service.
    • ib wskazuje, czy rozszerzenie mogło nawiązać połączenie przychodzące z botem.
    • ob wskazuje, czy rozszerzenie mogło nawiązać połączenie wychodzące z bota.

Tworzenie sieci wirtualnej

  1. Przejdź do portalu Azure Portal.
  2. Utwórz zasób usługi Azure Virtual Network w tym samym regionie co bot.
  3. Otwórz zasób usługi App Service dla bota i włącz integrację sieci wirtualnej.
  4. Utwórz drugą podsieć. Użyjesz drugiej podsieci później, aby dodać prywatny punkt końcowy.

Odmów ruchu wychodzącego z sieci

  1. Otwórz sieciowa grupa zabezpieczeń skojarzona z pierwszą podsiecią.
    • Jeśli żadna grupa zabezpieczeń nie jest skonfigurowana, utwórz grupę. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.
  2. W obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego.
    1. Na liście reguł zabezpieczeń dla ruchu wychodzącego włącz wartość DenyAllInternetOutbound.
  3. Przejdź do zasobu usługi App Service dla bota.
  4. Uruchom ponownie usługę app service.

Sprawdź, czy łączność jest uszkodzona

  1. Na osobnej karcie przeglądarki otwórz punkt końcowy klienta direct line dla bota. Na przykład https://<your-app_service>.azurewebsites.net/.bot.

  2. Sprawdź, czy na stronie są wyświetlane następujące elementy:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
    

    Wartość powinna mieć falsewartość initialized , ponieważ rozszerzenie usługi App Service i usługi App Service nie może nawiązać połączenia z innymi usługami Bot Framework, aby zainicjować się. Bot jest teraz izolowany w sieci wirtualnej dla połączeń wychodzących.

Tworzenie prywatnego punktu końcowego

  1. Przejdź do portalu Azure Portal.
  2. Otwórz zasób usługi Azure Bot dla bota.
  3. W obszarze Ustawienia wybierz pozycję Sieć.
    1. Na karcie Dostęp prywatny wybierz pozycję Utwórz prywatny punkt końcowy.
      1. Na karcie Zasób w polu Docelowy zasób podrzędny wybierz pozycję Bot z listy.
      2. Na karcie Sieć wirtualna wybierz sieć wirtualną i drugą utworzoną podsieć.
      3. Zapisz prywatny punkt końcowy.

Dodawanie prywatnego punktu końcowego do usługi aplikacji bota

  1. Otwórz zasób usługi aplikacja systemu Azure dla bota.
  2. W obszarze Ustawienia wybierz pozycję Konfiguracja.
    1. Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
      1. Ustaw wartość Nazwa na DirectLineExtensionABSEndpoint.
      2. Ustaw wartość na adres URL prywatnego punktu końcowego, na przykład https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension.
      3. Zapisz nowe ustawienie.

Uruchom ponownie usługę App Service i sprawdź, czy łączność została przywrócona

  1. Uruchom ponownie usługę app service dla bota.

  2. Na osobnej karcie przeglądarki otwórz punkt końcowy klienta direct line dla bota. Na przykład https://<your-app_service>.azurewebsites.net/.bot.

  3. Sprawdź, czy na stronie są wyświetlane następujące elementy:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    

    Wartość initialized powinna mieć wartość true.

  4. Użyj kontrolki czat internetowy połączonej z klientem direct line bota, aby wchodzić w interakcję z botem w sieci prywatnej.

Jeśli prywatny punkt końcowy nie działa poprawnie, możesz dodać regułę zezwalania na ruch wychodzący specjalnie do usługi Azure AI Bot Service.

Uwaga

Dzięki temu sieć wirtualna będzie nieco mniej odizolowana.

  1. Otwórz sieciowa grupa zabezpieczeń skojarzona z pierwszą podsiecią.
  2. W obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego.
    1. Na liście reguł zabezpieczeń dla ruchu wychodzącego włącz pozycję AllowAzureBotService.
  3. Przejdź do zasobu usługi App Service dla bota.
  4. Uruchom ponownie usługę app service.

Wyłączanie dostępu do sieci publicznej do bota

Możesz zablokować publiczny dostęp do usługi Azure AI Bot Service i zezwolić na dostęp tylko za pośrednictwem prywatnego punktu końcowego. Dostęp sieciowy usługi Azure AI Bot Service można wyłączyć w witrynie Azure Portal.

Napiwek

Spowoduje to nieskonfiguracja kanałów usługi Teams. W witrynie Azure Portal nie można konfigurować ani aktualizować żadnych innych kanałów (z wyjątkiem linii bezpośredniej).

  1. Przejdź do portalu Azure Portal.
  2. Otwórz usługę app service dla bota.
  3. Wyłącz dostęp do sieci publicznej.

Dodatkowe informacje

Konfiguracja sieci wirtualnej

Istnieje kilka opcji konfigurowania bota dla sieci wirtualnej.

  • Utwórz sieć wirtualną, a następnie włącz usługę aplikacja systemu Azure w sieci. Jest to opcja używana w tym artykule.
  • Utwórz środowisko usługi App Service, a następnie dodaj plan usługi App Service w środowisku.
  1. Utwórz sieć prywatną.
  2. Włącz integrację usługi aplikacja systemu Azure w sieci wirtualnej.

Są to kroki używane w tym artykule, zgodnie z opisem w sekcji Tworzenie sieci wirtualnej.

Aby uzyskać więcej informacji, zobacz Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal i Włączanie integracji sieci wirtualnej w usłudze aplikacja systemu Azure Service.