【Bot Framework SDK】Azure AI Bot Service中的网络隔离及其组件之间的关系

示例场景

假设您有一个名为SampleBot的机器人程序和一个相应的应用程序服务SampleBot.atwosites.net，它充当此机器人程序的消息传递端点。您在公共云的Azure门户中为SampleBot配置了一个私有端点，其子资源类型为bot，这会创建一个DNS区域组，其中包含与SampleBot.botplinks.botframework.com对应的a记录。此DNS记录映射到您虚拟网络中的本地IP。同样，使用子资源类型Token会生成一个端点SampleBot.bottoken.botframework.com。

您创建的DNS区域中的A记录映射到虚拟网络中的IP地址。因此，发送到此终结点的请求是网络本地的，不会违反网络安全组或Azure防火墙中限制网络出站流量的规则。Azure网络层和Bot Framework服务可确保您的请求不会泄露到公共互联网，并为您的网络保持隔离。

各组件之间的关系

1. SampleBot

• 描述: 这是你的 Bot，名为 SampleBot，它是一个由 Azure AI Bot 服务托管的聊天机器人。
• 关联: SampleBot 被托管在 Azure 的 App Service 中，提供聊天消息处理功能。

2. SampleBot.azurewebsites.net

• 描述: 这是为 SampleBot 提供的公共 App Service URL，供外部用户访问。如果不配置网络隔离，所有请求会通过互联网到达这个 URL。
• 关联: 它是 Azure App Service 的 URL，为 SampleBot 提供托管环境。

3. SampleBot.botplinks.botframework.com

• 描述: 这是为 SampleBot 生成的 私有 DNS 记录，当你配置了私有端点 (Private Endpoints) 后，该记录被映射到虚拟网络中的本地 IP 地址。
• 关联: 该私有 DNS 记录用于连接 Bot 服务的私有资源（sub-resource）。通过它，所有来自虚拟网络的请求可以本地处理，不会暴露到公共互联网。

4. SampleBot.bottoken.botframework.com

• 描述: 这是另一个私有 DNS 记录，用于处理 Token 资源的请求，例如通过 Microsoft Entra ID 获取访问 Token。
• 关联: 类似于 SampleBot.botplinks.botframework.com，它在虚拟网络内提供本地化的 Token 请求处理。

5. Azure Bot 服务

• 描述: Azure Bot 服务是一个托管服务，用于开发、部署和管理聊天机器人。它为 Bot 提供了与各种渠道（如 Direct Line、Teams、Web Chat）通信的能力。
• 关联: SampleBot 就是使用 Azure Bot 服务托管的，Azure Bot 服务管理 SampleBot 的配置和与渠道的集成。

6. Azure App Service

• 描述: Azure App Service 是一种完全托管的 Web 托管服务，允许你在云中托管 Web 应用程序、RESTful API 和后端服务。
• 关联: SampleBot 被托管在 Azure App Service 中，SampleBot.azurewebsites.net 就是它的 URL。

7. App Service Extension (Direct Line App Service Extension)

• 描述: Direct Line App Service 扩展是一个特殊的组件，允许 Bot 仅通过私有网络访问，并启用了 Direct Line 渠道的私有连接。
• 关联: 它与 Azure App Service 紧密集成，并且为 Bot 提供了 Direct Line 通道，使得所有通讯可以在虚拟网络内进行，而不需要通过公共互联网。

8. Service Line Extension

• 描述: Service Line Extension 是 Direct Line App Service Extension 的具体实现之一，允许 Bot 的 Direct Line 通道通过私有端点进行内部通信。
• 关联: 它确保 SampleBot 的 Direct Line 通道通过私有网络操作，结合 App Service Extension 使所有通信保持私有化。

总结

• SampleBot 是托管在 Azure App Service 中的聊天机器人，提供了一个公共 URL SampleBot.azurewebsites.net。
• 通过配置 Private Endpoints 和 Direct Line App Service Extension，你可以创建私有的 DNS 记录 SampleBot.botplinks.botframework.com 和 SampleBot.bottoken.botframework.com，使得所有对 Bot 和 Token 服务的访问保持在虚拟网络内，避免流量暴露到公共互联网。
• Azure Bot 服务 是整个 Bot 的基础设施，管理 Bot 的配置和与外部渠道的集成，而 App Service 则负责实际托管和运行 Bot。