【Azure bot 方案设计】 支持Channel 从互联网访问,同时保证Bot的安全性

要实现 应用程序网关 (Application Gateway) 对互联网暴露，并且通过 VNet 访问 Direct Line 通道，同时确保网络隔离和安全性，以下是配置的关键步骤和组件关系：

场景描述：

• 应用程序网关 (Application Gateway) 暴露给互联网，接收来自用户的请求。
• 应用程序网关通过 VNet 访问 Direct Line 通道，使流量保持在内部网络中。
• Azure Bot 和 Direct Line 通道 部署在 VNet 内部，确保不直接暴露给互联网。

配置步骤：

1. 配置应用程序网关 (Application Gateway)

应用程序网关是暴露给互联网的入口，接收外部请求并将流量转发到内部的 Direct Line 通道。它可以为请求提供负载均衡、SSL 终结和 Web 应用防火墙 (WAF) 保护。

• 创建应用程序网关：
  • 在 Azure 门户中创建一个应用程序网关，并为其分配一个公共 IP 地址。这是外部用户访问您的 Bot 通道的入口。
  • 启用 Web 应用防火墙 (WAF) 以增强安全性，保护应用程序免受常见的网络攻击（如 SQL 注入和跨站脚本）。
• 配置监听器和后端池：
  • 设置 HTTP/HTTPS 监听器 来接收来自互联网的请求。监听器将绑定到您的公共 IP 地址，并通过指定的端口（例如 443 for HTTPS）接收流量。
  • 配置 后端池 (Backend Pool)，后端池将包含 Direct Line 通道的私有 IP 地址，这些地址是通过 VNet 内部的负载均衡或直接指向的服务。

2. 配置 VNet 和子网

• VNet 和子网：
  • 将 Azure Bot 和 Direct Line 通道 部署在 VNet 内的一个子网中。此子网必须能够与 应用程序网关所在的子网进行通信。
  • 应用程序网关子网需要在同一个 VNet 内（或通过 VNet 对等互联 (VNet Peering) 进行连接）与 Bot 和 Direct Line 通道的子网连接。

3. 配置 Direct Line 通道的私有端点

• Direct Line 通道的私有访问：
  • 为 Direct Line 通道配置 私有端点 (Private Endpoint)，这样该通道只能通过 VNet 内部访问，不会暴露给公共互联网。
  • 创建 DNS 区域 (Private DNS)，以便应用程序网关能够通过 DNS 名称解析到 Direct Line 通道的私有 IP 地址。

4. 配置网络安全组 (NSG) 和安全规则

• 应用程序网关和 VNet 之间的访问控制：
  • 配置 网络安全组 (NSG)，确保从应用程序网关到 Direct Line 通道的流量允许通过。创建规则允许从应用程序网关的子网到 Direct Line 通道的私有 IP 的通信。
  • 在 NSG 中设置 入站规则 和 出站规则，限制不必要的流量，只允许来自应用程序网关的通信流向 Direct Line 通道。

5. 通过应用程序网关访问 Direct Line 通道

• 流量流向：
  1. 用户通过互联网访问应用程序网关（使用公共 IP 地址）。
  2. 应用程序网关将接收到的请求通过 VNet 内部转发到 Direct Line 通道的私有 IP 地址。
  3. Direct Line 通道处理请求后，返回响应通过相同路径返回到应用程序网关，再返回给用户。

6. 启用监控和日志

• 使用 Azure Monitor 和 Application Gateway Insights 监控应用程序网关的流量和性能。
• 设置日志记录以跟踪流量路径，确保所有流量经过应用程序网关并且符合网络安全策略。

架构图关系：

1. 外部用户 → 请求通过互联网发送到应用程序网关的公共 IP 地址。
2. 应用程序网关 → 接收用户请求，处理 SSL 终结和负载均衡。
3. 应用程序网关内部 → 请求通过 VNet 发送到内部的 Direct Line 通道 私有端点。
4. Direct Line 通道 → 位于 VNet 内部，处理请求并与 Azure Bot 通信。
5. Azure Bot → 通过 VNet 内部的私有网络与 Direct Line 通道交互。

这样，Azure Bot 和 Direct Line 通道 在保持网络隔离的同时，允许应用程序网关作为唯一的对外暴露点，通过 VNet 进行安全通信。