［Azure AI Bot Service］Azure AI Bot Service中的网络隔离

使用私有端点

当您的机器人端点位于虚拟网络内，并且您的网络安全组中设置了适当的规则时，您可以使用专用端点限制对机器人应用程序服务的入站和出站请求的访问。
专用端点可通过Direct Line App Service扩展在Bot Service中使用。请参阅下面使用私有端点的要求：

• 活动必须发送到App Service端点或从App Service端点发送。
  应用服务扩展与您的机器人端点应用服务位于同一位置。所有进出端点的消息都是虚拟网络本地的，可以直接到达客户端，而无需发送到Bot Framework服务。
• 为了使用户身份验证，您的机器人客户端需要与服务提供商（如Microsoft Entra ID或GitHub）和令牌端点进行通信。
  如果你的机器人客户端在你的虚拟网络中，你需要从虚拟网络中分配两个端点。通过服务标签对令牌端点执行此操作。您的机器人端点本身也需要访问令牌端点，如下所述。
• 使用App Service扩展，您的机器人端点和App Service扩展需要向机器人框架服务发送出站HTTPS请求。
  这些请求用于各种元操作，例如检索您的机器人配置或从令牌端点检索令牌。为了方便这些请求，您需要设置和配置一个私有端点。
   

Bot Service如何实现私有端点

使用私有端点的主要场景有两种：

• 让您的机器人访问令牌端点。
• 用于直接线路信道扩展[Direct Line channel extension ]以访问Bot服务。

专用端点将所需的服务投影到您的虚拟网络中，这样它们就可以直接在您的网络中使用，而无需将您的虚拟网暴露在互联网上，也不允许列出任何IP地址。所有通过私有端点的流量都会通过Azure内部服务器，以确保您的流量不会泄露到互联网。
该服务使用两个子资源Bot和Token将服务投影到您的网络中。当您添加私有终结点时，Azure会为每个子资源生成一个特定于Bot的DNS记录，并在DNS区域组中配置终结点。这确保了来自针对同一子资源的不同机器人的端点可以相互区分，同时重用相同的DNS区域组资源。
 

示例场景

假设您有一个名为SampleBot的机器人程序和一个相应的应用程序服务SampleBot.azurewebsites.net，它充当此机器人程序的消息传递端点。您在公共云的Azure门户中为SampleBot配置了一个私有端点，其子资源类型为bot，这会创建一个DNS区域组，其中包含与SampleBot.botplinks.botframework.com对应的a记录。此DNS记录映射到您虚拟网络中的本地IP。同样，使用子资源类型Token会生成一个端点SampleBot.bottoken.botframework.com。
您创建的DNS区域中的A记录映射到虚拟网络中的IP地址。因此，发送到此终结点的请求是网络本地的，不会违反网络安全组或Azure防火墙中限制网络出站流量的规则。Azure网络层和Bot Framework服务可确保您的请求不会泄露到公共互联网，并为您的网络保持隔离。