Сетевая изоляция в azure AI Служба Bot
С 1 сентября 2023 г. настоятельно рекомендуется использовать метод тега службы Azure для сетевой изоляции. Использование DL-ASE должно быть ограничено конкретными сценариями. Прежде чем реализовать это решение в рабочей среде, мы рекомендуем проконсультироваться с вашей группой поддержки для получения рекомендаций.
В этой статье рассматриваются понятия сетевой изоляции для бота Azure и зависимых служб.
Возможно, вы хотите ограничить доступ к боту в частной сети. Единственным способом этого в Служба Bot ИИ Azure является использование расширения Direct Line Служба приложений. Например, можно использовать расширение Служба приложений для размещения корпоративного бота и требовать от пользователей доступа к боту из вашей корпоративной сети.
Подробные инструкции по настройке бота в частной сети см. в статье об использовании изолированной сети.
Дополнительные сведения о функциях, поддерживающих сетевую изоляцию, см. в следующих разделах:
| Компонент | Статья |
|---|---|
| Расширение direct Line Служба приложений | Расширение direct Line Служба приложений |
| Виртуальная сеть Azure | Что такое виртуальная сеть Azure? |
| Группы безопасности сети Azure | Группы безопасности сети |
| Приватный канал Azure и частные конечные точки | Что собой представляет частная конечная точка? |
| Azure DNS | Создание зоны и записи Azure DNS с помощью портал Azure |
Использование частных конечных точек
Если конечная точка бота находится в виртуальной сети и с соответствующими правилами, установленными в группе безопасности сети, вы можете ограничить доступ как к входящим, так и исходящим запросам службы приложений бота с помощью частной конечной точки.
Частные конечные точки доступны в Служба Bot через расширение Direct Line Служба приложений. См. требования к использованию частных конечных точек ниже.
Действия должны отправляться в конечную точку Служба приложений и из нее.
Расширение Служба приложений расположено совместно со службой приложений конечной точки бота. Все сообщения из конечной точки являются локальными в виртуальной сети и напрямую обращаются к клиенту без отправки в службы Bot Framework.
Чтобы проверка подлинности пользователей работала, клиент бота должен взаимодействовать с поставщиком услуг ( например, идентификатором Microsoft Entra или GitHub) и конечной точкой маркера.
Если клиент бота находится в виртуальной сети, необходимо разрешить список обеих конечных точек из виртуальной сети. Это делается для конечной точки токена с помощью тегов службы. Конечная точка бота также нуждается в доступе к конечной точке маркера, как описано ниже.
С расширением Служба приложений конечная точка бота и расширение Служба приложений должны отправлять исходящие HTTPS-запросы в службы Bot Framework.
Эти запросы предназначены для различных мета операций, таких как получение конфигурации бота или получение маркеров из конечной точки токена. Чтобы упростить эти запросы, необходимо настроить и настроить частную конечную точку.
Как Служба Bot реализует частные конечные точки
Существует два основных сценария, в которых используются частные конечные точки:
- Для доступа бота к конечной точке маркера.
- Для расширения канала Direct Line для доступа к Служба Bot.
Проекты частной конечной точки требуют служб в виртуальной сети, чтобы они были доступны в вашей сети напрямую, не предоставляя виртуальную сеть интернету или разрешая перечисление любых IP-адресов. Весь трафик через частную конечную точку проходит через внутренние серверы Azure, чтобы обеспечить утечку трафика в Интернет.
Служба использует два вложенных ресурса Bot и Tokenуправление проектом в сети. При добавлении частной конечной точки Azure создает запись DNS для каждого подресурса бота и настраивает конечную точку в группе зон DNS. Это гарантирует, что конечные точки из разных ботов, предназначенных для одного и того же подресурсов, можно отличать друг от друга, а повторно использовать один и тот же ресурс группы зон DNS.
Пример сценария
Предположим, что у вас есть бот с именем SampleBot и соответствующая служба приложений, SampleBot.azurewebsites.netкоторая служит в качестве конечной точки обмена сообщениями для этого бота.
Вы настраиваете частную конечную точку для SampleBot с типом Bot вложенных ресурсов в портал Azure для общедоступного облака, которая создает группу зон DNS с записьюA, соответствующей SampleBot.botplinks.botframework.comзаписи. Эта запись DNS сопоставляется с локальным IP-адресом в виртуальной сети. Аналогичным образом, при использовании типа Token подресурсов создается конечная точка SampleBot.bottoken.botframework.com.
Запись A в созданной зоне DNS сопоставляется с IP-адресом в виртуальной сети. Таким образом, запросы, отправленные в эту конечную точку, являются локальными для вашей сети и не нарушают правила в группе безопасности сети или брандмауэре Azure, которые ограничивают исходящий трафик из сети. Сетевой уровень Azure и службы Bot Framework гарантируют, что ваши запросы не утечки в общедоступный Интернет и изоляция поддерживается для вашей сети.