Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A partir de 1º de setembro de 2023, é altamente recomendável empregar o método de Tag de Serviço do Azure para isolamento de rede. A utilização de DL-ASE deve ser limitada a cenários altamente específicos. Antes de implementar essa solução em um ambiente de produção, recomendamos consultar a equipe de suporte para obter diretrizes.
Este artigo aborda conceitos sobre o isolamento de rede para seu bot do Azure e seus serviços dependentes.
Talvez você queira restringir o acesso ao bot a uma rede privada. A única maneira de fazer isso no Serviço de Bot de IA do Azure é usar a extensão do Serviço de Aplicativo Direct Line. Por exemplo, você pode usar a extensão do Serviço de Aplicativo para hospedar um bot interno da empresa e exigir que os usuários acessem o bot de dentro da rede da empresa.
Para obter instruções detalhadas sobre como configurar o bot em uma rede privada, confira como usar uma rede isolada.
Para obter mais informações sobre os recursos que dão suporte ao isolamento de rede, consulte:
| Característica | Artigo |
|---|---|
| Extensão do Serviço de Aplicativo Direct Line | Extensão do Serviço de Aplicativo de Linha Direta |
| Rede Virtual do Azure | O que é a Rede Virtual do Azure? |
| Grupos de segurança de rede do Azure | Grupos de segurança de rede |
| Link Privado do Azure e pontos de extremidade privados | O que é um ponto de extremidade privado? |
| Azure DNS | Criar uma zona e um registro DNS do Azure usando o portal do Azure |
Uso de endpoints privados
Quando o ponto de extremidade do bot está dentro de uma rede virtual e com as regras apropriadas definidas em seu grupo de segurança de rede, você pode restringir o acesso a solicitações de entrada e saída para o serviço de aplicativo do bot usando um ponto de extremidade privado.
Os pontos de extremidade privados estão disponíveis no Serviço de Bot por meio da extensão do Serviço de Aplicativo Direct Line. Veja os requisitos para usar endpoints privados abaixo:
As atividades devem ser enviadas de e para o endpoint do Serviço de Aplicações.
A extensão do Serviço de Aplicativo está localizada conjuntamente com o serviço de aplicativo do ponto de extremidade do bot. Todas as mensagens de e para o endpoint são locais para sua rede virtual e chegam ao seu cliente diretamente sem serem enviadas aos serviços do Bot Framework.
Para que a autenticação do usuário funcione, o cliente bot precisa se comunicar com o provedor de serviços, como Microsoft Entra ID ou GitHub, e o endpoint de token.
Se o cliente de bot estiver em sua rede virtual, você precisará colocar ambos os pontos de extremidade na lista de permissões a partir de dentro da sua rede virtual. Faça isso para o endpoint de token usando marcas de serviço. O ponto de extremidade do bot em si também precisa de acesso ao ponto de extremidade do token, conforme descrito abaixo.
Com a extensão do Serviço de Aplicativo, o ponto de extremidade do bot e a extensão do Serviço de Aplicativo precisam enviar solicitações HTTPS de saída para os serviços do Bot Framework.
Essas solicitações são para várias operações meta, como recuperar a configuração do bot ou recuperar tokens do ponto de extremidade do token. Para facilitar essas solicitações, você precisa implementar e configurar um ponto de extremidade privado.
Como o Bot Service implementa endpoints privados
Existem dois cenários principais em que pontos de terminação privados são utilizados:
- Para que o bot acesse o ponto de extremidade do token.
- Para que a extensão de canal do Direct Line possa acessar o serviço de bot.
Um ponto de extremidade privado provisiona serviços necessários em sua rede virtual, de modo que fiquem disponíveis diretamente dentro da sua rede, sem expor sua rede virtual à Internet ou precisar incluir qualquer endereço IP em listas de permissão. Todo o tráfego por meio de um ponto de extremidade privado passa pelos servidores internos do Azure para garantir que o tráfego não seja vazado para a Internet.
O serviço usa dois sub-recursos Bot e Token, para projetar serviços em sua rede. Quando você adiciona um ponto de extremidade privado, o Azure gera um registro DNS específico do bot para cada sub-recurso e configura o ponto de extremidade no grupo de zonas DNS. Isso garante que endpoints de bots diferentes, que têm como alvo o mesmo sub-recurso, possam ser diferenciados uns dos outros, enquanto reutilizam o mesmo recurso de grupo de zona DNS.
Exemplo de cenário
Digamos que você tenha um bot chamado SampleBot e um serviço de aplicativo correspondente para ele, SampleBot.azurewebsites.net, que serve como o endpoint de mensagens para este bot.
Você configura um ponto de extremidade privado para SampleBot com o tipo de sub-recurso Bot no portal do Azure para nuvem pública, que vai criar um grupo de zonas DNS com um registro A correspondente a SampleBot.botplinks.botframework.com. Esse registro DNS é mapeado para um IP local em sua rede virtual. Da mesma forma, usar o tipo de sub-recurso Token gera um ponto de extremidade, SampleBot.bottoken.botframework.com.
O A registro na zona DNS que você criou é mapeado para um endereço IP em sua rede virtual. Portanto, as solicitações enviadas para esse ponto de extremidade são internas à sua rede e não violam regras no seu grupo de segurança de rede ou no firewall do Azure que restringem o tráfego de saída da sua rede. A camada de rede do Azure e os serviços do Bot Framework garantem que suas solicitações não sejam vazadas para a Internet pública e que o isolamento seja mantido para sua rede.