Konfigurowanie izolacji sieci
Od 1 września 2023 r. zdecydowanie zaleca się zastosowanie metody tagu usługi Platformy Azure na potrzeby izolacji sieci. Wykorzystanie biblioteki DL-ASE powinno być ograniczone do wysoce specyficznych scenariuszy. Przed wdrożeniem tego rozwiązania w środowisku produkcyjnym zalecamy skonsultowanie się z zespołem pomocy technicznej w celu uzyskania wskazówek.
Możesz dodać izolację sieci do istniejącego bota rozszerzenia usługi App Service direct line. Prywatny punkt końcowy umożliwia izolowanemu botowi sieci komunikowanie się z wymaganymi usługami Bot Framework, dzięki czemu bot może działać poprawnie, gdy jest ograniczony do sieci wirtualnej.
Aby dodać izolację sieci do bota:
- Użyj sieci wirtualnej i skonfiguruj sieć, aby zapobiec ruchowi wychodzącemu. W tym momencie bot utraci możliwość komunikowania się z innymi usługami Bot Framework.
- Skonfiguruj prywatne punkty końcowe w celu przywrócenia łączności.
- Uruchom ponownie usługę App Service i przetestuj bota w sieci izolowanej.
- Wyłącz dostęp do sieci publicznej do bota.
Wymagania wstępne
- Konto platformy Azure. Jeśli jeszcze go nie masz, przed rozpoczęciem utwórz bezpłatne konto .
- Subskrypcja z uprawnieniami do tworzenia zasobów usługi Azure Virtual Network i sieciowej grupy zabezpieczeń.
- Działający bot rozszerzenia usługi App Service linii bezpośredniej.
- Bot używa zestawu BOT Framework SDK dla języka C# lub JavaScript w wersji 4.16 lub nowszej.
- Bot ma włączone nazwane potoki.
- Usługa aplikacji bota ma włączone rozszerzenie Direct Line App Service.
- Kontrolka czat internetowy połączona z klientem direct line bota.
Aby potwierdzić poprawną konfigurację istniejącego bota:
W przeglądarce otwórz punkt końcowy klienta direct line dla bota. Na przykład
https://<your-app_service>.azurewebsites.net/.bot
.Sprawdź, czy na stronie są wyświetlane następujące elementy:
{"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
- Wersja v pokazuje wersję kompilacji rozszerzenia usługi App Service direct line.
- k wskazuje, czy rozszerzenie było w stanie odczytać klucz rozszerzenia z jego konfiguracji.
- zainicjowane wskazuje, czy rozszerzenie mogło pobrać metadane bota z usługi Azure AI Bot Service.
- ib wskazuje, czy rozszerzenie mogło nawiązać połączenie przychodzące z botem.
- ob wskazuje, czy rozszerzenie mogło nawiązać połączenie wychodzące z bota.
Tworzenie sieci wirtualnej
- Przejdź do portalu Azure Portal.
- Utwórz zasób usługi Azure Virtual Network w tym samym regionie co bot.
- Spowoduje to utworzenie zarówno sieci wirtualnej, jak i podsieci.
- Nie twórz żadnych maszyn wirtualnych.
- Aby uzyskać ogólne instrukcje, zobacz Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal.
- Otwórz zasób usługi App Service dla bota i włącz integrację sieci wirtualnej.
- Użyj sieci wirtualnej i podsieci z poprzedniego kroku.
- Aby uzyskać ogólne instrukcje, zobacz Włączanie integracji sieci wirtualnej w usłudze aplikacja systemu Azure Service.
- Utwórz drugą podsieć. Użyjesz drugiej podsieci później, aby dodać prywatny punkt końcowy.
Odmów ruchu wychodzącego z sieci
- Otwórz sieciowa grupa zabezpieczeń skojarzona z pierwszą podsiecią.
- Jeśli żadna grupa zabezpieczeń nie jest skonfigurowana, utwórz grupę. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.
- W obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego.
- Na liście reguł zabezpieczeń dla ruchu wychodzącego włącz wartość DenyAllInternetOutbound.
- Przejdź do zasobu usługi App Service dla bota.
- Uruchom ponownie usługę app service.
Sprawdź, czy łączność jest uszkodzona
Na osobnej karcie przeglądarki otwórz punkt końcowy klienta direct line dla bota. Na przykład
https://<your-app_service>.azurewebsites.net/.bot
.Sprawdź, czy na stronie są wyświetlane następujące elementy:
{"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
Wartość powinna mieć
false
wartośćinitialized
, ponieważ rozszerzenie usługi App Service i usługi App Service nie może nawiązać połączenia z innymi usługami Bot Framework, aby zainicjować się. Bot jest teraz izolowany w sieci wirtualnej dla połączeń wychodzących.
Tworzenie prywatnego punktu końcowego
- Przejdź do portalu Azure Portal.
- Otwórz zasób usługi Azure Bot dla bota.
- W obszarze Ustawienia wybierz pozycję Sieć.
- Na karcie Dostęp prywatny wybierz pozycję Utwórz prywatny punkt końcowy.
- Na karcie Zasób w polu Docelowy zasób podrzędny wybierz pozycję Bot z listy.
- Na karcie Sieć wirtualna wybierz sieć wirtualną i drugą utworzoną podsieć.
- Zapisz prywatny punkt końcowy.
- Na karcie Dostęp prywatny wybierz pozycję Utwórz prywatny punkt końcowy.
Dodawanie prywatnego punktu końcowego do usługi aplikacji bota
- Otwórz zasób usługi aplikacja systemu Azure dla bota.
- W obszarze Ustawienia wybierz pozycję Konfiguracja.
- Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
- Ustaw wartość Nazwa na
DirectLineExtensionABSEndpoint
. - Ustaw wartość na adres URL prywatnego punktu końcowego, na przykład
https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension
. - Zapisz nowe ustawienie.
- Ustaw wartość Nazwa na
- Na karcie Ustawienia aplikacji wybierz pozycję Nowe ustawienie aplikacji.
Uruchom ponownie usługę App Service i sprawdź, czy łączność została przywrócona
Uruchom ponownie usługę app service dla bota.
Na osobnej karcie przeglądarki otwórz punkt końcowy klienta direct line dla bota. Na przykład
https://<your-app_service>.azurewebsites.net/.bot
.Sprawdź, czy na stronie są wyświetlane następujące elementy:
{"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
Wartość
initialized
powinna mieć wartośćtrue
.Użyj kontrolki czat internetowy połączonej z klientem direct line bota, aby wchodzić w interakcję z botem w sieci prywatnej.
Jeśli prywatny punkt końcowy nie działa poprawnie, możesz dodać regułę zezwalania na ruch wychodzący specjalnie do usługi Azure AI Bot Service.
Uwaga
Dzięki temu sieć wirtualna będzie nieco mniej odizolowana.
- Otwórz sieciowa grupa zabezpieczeń skojarzona z pierwszą podsiecią.
- W obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego.
- Na liście reguł zabezpieczeń dla ruchu wychodzącego włącz pozycję AllowAzureBotService.
- Przejdź do zasobu usługi App Service dla bota.
- Uruchom ponownie usługę app service.
Wyłączanie dostępu do sieci publicznej do bota
Możesz zablokować publiczny dostęp do usługi Azure AI Bot Service i zezwolić na dostęp tylko za pośrednictwem prywatnego punktu końcowego. Dostęp sieciowy usługi Azure AI Bot Service można wyłączyć w witrynie Azure Portal.
Napiwek
Spowoduje to nieskonfiguracja kanałów usługi Teams. W witrynie Azure Portal nie można konfigurować ani aktualizować żadnych innych kanałów (z wyjątkiem linii bezpośredniej).
- Przejdź do portalu Azure Portal.
- Otwórz usługę app service dla bota.
- Wyłącz dostęp do sieci publicznej.
Dodatkowe informacje
Konfiguracja sieci wirtualnej
Istnieje kilka opcji konfigurowania bota dla sieci wirtualnej.
- Utwórz sieć wirtualną, a następnie włącz usługę aplikacja systemu Azure w sieci. Jest to opcja używana w tym artykule.
- Utwórz środowisko usługi App Service, a następnie dodaj plan usługi App Service w środowisku.
- Utwórz sieć prywatną.
- Włącz integrację usługi aplikacja systemu Azure w sieci wirtualnej.
Są to kroki używane w tym artykule, zgodnie z opisem w sekcji Tworzenie sieci wirtualnej.
Aby uzyskać więcej informacji, zobacz Tworzenie sieci wirtualnej przy użyciu witryny Azure Portal i Włączanie integracji sieci wirtualnej w usłudze aplikacja systemu Azure Service.