Konfigurera nätverksisolering

Från och med den 1 september 2023 rekommenderar vi starkt att du använder Azure Service Tag-metoden för nätverksisolering. Användningen av DL-ASE bör begränsas till mycket specifika scenarier. Innan du implementerar den här lösningen i en produktionsmiljö rekommenderar vi att du ber supportteamet om vägledning.

Du kan lägga till nätverksisolering i en befintlig Direct Line App Service-tilläggsrobot. Med en privat slutpunkt kan din nätverksisolerade robot kommunicera med nödvändiga Bot Framework-tjänster så att roboten kan köras korrekt samtidigt som den begränsas till det virtuella nätverket.

Så här lägger du till nätverksisolering i roboten:

1. Använd ett virtuellt nätverk och konfigurera nätverket för att förhindra utgående trafik. I det här läget förlorar roboten möjligheten att kommunicera med andra Bot Framework-tjänster.
2. Konfigurera privata slutpunkter för att återställa anslutningen.
3. Starta om apptjänsten och testa roboten i det isolerade nätverket.
4. Inaktivera åtkomst till det offentliga nätverket till din robot.

Förutsättningar

• Ett Azure-konto. Om du inte redan har ett skapar du ett kostnadsfritt konto innan du börjar.
  • En prenumeration med behörighet att skapa Azure Virtual Network- och nätverkssäkerhetsgruppresurser.
• En fungerande Direct Line App Service-tilläggsrobot.
  • Roboten använder Bot Framework SDK för C# eller JavaScript, version 4.16 eller senare.
  • Roboten har namnet pipes aktiverat.
  • Robotens apptjänst har Direct Line App Service-tillägget aktiverat.
• En Webbchatt kontroll som är ansluten till robotens Direct Line-klient.

Så här bekräftar du att din befintliga robot är korrekt konfigurerad:

1. Öppna direct line-klientslutpunkten för din robot i en webbläsare. Till exempel https://<your-app_service>.azurewebsites.net/.bot.

2. Kontrollera att sidan visar följande:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
   

   • v visar versionsversionen av Direct Line App Service-tillägget.
   • k anger om tillägget kunde läsa en tilläggsnyckel från konfigurationen.
   • initierad anger om tillägget kunde ladda ned robotmetadata från Azure AI Bot Service.
   • ib anger om tillägget kunde upprätta en inkommande anslutning till roboten.
   • ob anger om tillägget kunde upprätta en utgående anslutning från roboten.

Skapa ett virtuellt nätverk

1. Gå till Azure-portalen.
2. Skapa en Azure Virtual Network-resurs i samma region som din robot.
   • Detta skapar både ett virtuellt nätverk och ett undernät.
   • Skapa inga virtuella datorer.
   • Allmänna anvisningar finns i Skapa ett virtuellt nätverk med hjälp av Azure-portalen.
3. Öppna apptjänstresursen för din robot och aktivera integrering av virtuella nätverk.
   • Använd det virtuella nätverket och undernätet från föregående steg.
   • Allmänna anvisningar finns i Aktivera integrering av virtuella nätverk i Azure App Service.
4. Skapa ett andra undernät. Du använder det andra undernätet senare för att lägga till din privata slutpunkt.

Neka utgående trafik från nätverket

1. Öppna nätverkssäkerhetsgruppen som är associerad med ditt första undernät.
   • Om ingen säkerhetsgrupp har konfigurerats skapar du en. Mer information finns i Nätverkssäkerhetsgrupper.
2. Under Inställningar väljer du Utgående säkerhetsregler.
   1. I listan över utgående säkerhetsregler aktiverar du DenyAllInternetOutbound.
3. Gå till App Service-resursen för din robot.
4. Starta om apptjänsten.

Kontrollera att anslutningen är bruten

1. Öppna direct line-klientslutpunkten för din robot på en separat webbläsarflik. Till exempel https://<your-app_service>.azurewebsites.net/.bot.

2. Kontrollera att sidan visar följande:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
   

   Värdet initialized för bör vara false, eftersom apptjänsten och apptjänsttillägget inte kan ansluta till andra Bot Framework-tjänster för att initiera sig själv. Roboten är nu isolerad i ett virtuellt nätverk för utgående anslutningar.

Skapa din privata slutpunkt

1. Gå till Azure-portalen.
2. Öppna Azure Bot-resursen för din robot.
3. Under Inställningar väljer du Nätverk.
   1. På fliken Privat åtkomst väljer du Skapa en privat slutpunkt.
      1. På fliken Resurs för Underresurs för Mål väljer du Robot i listan.
      2. På fliken Virtuellt nätverk väljer du ditt virtuella nätverk och det andra undernätet som du skapade.
      3. Spara din privata slutpunkt.

Lägga till din privata slutpunkt i robotens apptjänst

1. Öppna Azure App Service-resursen för din robot.
2. Under Inställningar väljer du Konfiguration.
   1. På fliken Programinställningar väljer du Ny programinställning.
      1. Ange Namn till DirectLineExtensionABSEndpoint.
      2. Ange Värde till url:en för den privata slutpunkten, https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extensiontill exempel .
      3. Spara den nya inställningen.

Starta om apptjänsten och kontrollera att anslutningen har återställts

1. Starta om apptjänsten för din robot.

2. Öppna direct line-klientslutpunkten för din robot på en separat webbläsarflik. Till exempel https://<your-app_service>.azurewebsites.net/.bot.

3. Kontrollera att sidan visar följande:

   {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
   

   Värdet initialized för ska vara true.

4. Använd Webbchatt-kontrollen som är ansluten till robotens Direct Line-klient för att interagera med roboten i det privata nätverket.

Om din privata slutpunkt inte fungerar korrekt kan du lägga till en regel som tillåter utgående trafik specifikt till Azure AI Bot Service.

Kommentar

Detta gör det virtuella nätverket lite mindre isolerat.

1. Öppna nätverkssäkerhetsgruppen som är associerad med ditt första undernät.
2. Under Inställningar väljer du Utgående säkerhetsregler.
   1. I listan över utgående säkerhetsregler aktiverar du AllowAzureBotService.
3. Gå till App Service-resursen för din robot.
4. Starta om apptjänsten.

Inaktivera offentlig nätverksåtkomst till din robot

Du kan blockera offentlig åtkomst till din Azure AI Bot Service och endast tillåta åtkomst via privat slutpunkt. Du kan inaktivera nätverksåtkomst för Azure AI Bot Service i Azure-portalen.

Dricks

Detta kommer att göra Teams-kanalerna okonfigurerade. Inga andra kanaler (förutom Direct Line) kan konfigureras eller uppdateras i Azure-portalen.

1. Gå till Azure-portalen.
2. Öppna apptjänsten för din robot.
3. Inaktivera åtkomst till offentligt nätverk.

Ytterligare information

Konfiguration av virtuellt nätverk

Du har några alternativ för att konfigurera roboten för ett virtuellt nätverk.

• Skapa ett virtuellt nätverk och aktivera sedan Azure App Service i nätverket. Det här är det alternativ som används i den här artikeln.
• Skapa en App Service-miljö och lägg sedan till en App Service-plan i miljön.

Virtuellt nätverk

1. Skapa ett virtuellt nätverk.
2. Aktivera Azure App Service-integrering i det virtuella nätverket.

Det här är de steg som används i den här artikeln enligt beskrivningen i avsnittet Skapa ett virtuellt nätverk .

Mer information finns i Skapa ett virtuellt nätverk med hjälp av Azure-portalen och Aktivera integrering av virtuella nätverk i Azure App Service.

App Service Environment

Direct Line App Service-tillägget är tillgängligt för alla Azure App-tjänster, inklusive de som finns i en Azure-App Service-miljön. En Azure-App Service-miljön ger isolering och är ett bra sätt att arbeta i ett virtuellt nätverk.

1. Skapa en intern eller extern App Service-miljön. Mer information finns i Skapa en extern App Service-miljön och Skapa och använda en intern lastbalanserare App Service-miljön.
2. Lägg till en App Service-plan i din miljö. Du kan distribuera dina robotar – till exempel en Direct Line App Service-tilläggsrobot – i din plan.
   1. Skapa en ny App Service-planresurs i Azure-portalen.
   2. Under Region väljer du din App Service-miljön.
   3. Slutför skapandet av din App Service-plan.