category
Commencing September 1, 2023, it is strongly advised to employ the Azure Service Tag method for network isolation. The utilization of DL-ASE should be limited to highly specific scenarios. Prior to implementing this solution in a production environment, we kindly recommend consulting your support team for guidance.
从2023年9月1日开始,强烈建议使用Azure服务标签方法进行网络隔离。DL-ASE的使用应仅限于高度特定的场景。在生产环境中实施此解决方案之前,我们建议您咨询您的支持团队以获取指导。
本文介绍了Azure机器人及其依赖服务的网络隔离概念。
您可能希望将机器人的访问限制在专用网络上。在Azure AI机器人服务中,唯一的方法是使用Direct Line App Service扩展。例如,您可以使用App Service扩展[App Service extension]来托管公司内部机器人,并要求用户从公司网络内访问该机器人。
有关如何在专用网络中配置机器人的详细说明,请参阅如何使用隔离网络。
有关支持网络隔离的功能的更多信息,请参阅:
Feature | Article |
---|---|
Direct Line App Service extension | Direct Line App Service extension |
Azure Virtual Network | What is Azure Virtual Network? |
Azure network security groups | Network security groups |
Azure Private Link and private endpoints | What is a private endpoint? |
Azure DNS | Create an Azure DNS zone and record using the Azure portal |
使用私有端点
当您的机器人端点位于虚拟网络内,并且您的网络安全组中设置了适当的规则时,您可以使用专用端点限制对机器人应用程序服务的入站和出站请求的访问。
专用端点可通过Direct Line App Service扩展在Bot Service中使用。请参阅下面使用私有端点的要求:
- 活动必须发送到App Service端点或从App Service端点发送。
应用服务扩展与您的机器人端点应用服务位于同一位置。所有进出端点的消息都是虚拟网络本地的,可以直接到达客户端,而无需发送到Bot Framework服务。 - 为了使用户身份验证,您的机器人客户端需要与服务提供商(如Microsoft Entra ID或GitHub)和令牌端点进行通信。
如果你的机器人客户端在你的虚拟网络中,你需要从虚拟网络中分配两个端点。通过服务标签对令牌端点执行此操作。您的机器人端点本身也需要访问令牌端点,如下所述。 - 使用App Service扩展,您的机器人端点和App Service扩展需要向机器人框架服务发送出站HTTPS请求。
这些请求用于各种元操作,例如检索您的机器人配置或从令牌端点检索令牌。为了方便这些请求,您需要设置和配置一个私有端点。
Bot Service如何实现私有端点
使用私有端点的主要场景有两种:
- 让您的机器人访问令牌端点。
- 用于直接线路信道扩展[Direct Line channel extension ]以访问Bot服务。
专用端点将所需的服务投影到您的虚拟网络中,这样它们就可以直接在您的网络中使用,而无需将您的虚拟网暴露在互联网上,也不允许列出任何IP地址。所有通过私有端点的流量都会通过Azure内部服务器,以确保您的流量不会泄露到互联网。
该服务使用两个子资源Bot和Token将服务投影到您的网络中。当您添加私有终结点时,Azure会为每个子资源生成一个特定于Bot的DNS记录,并在DNS区域组中配置终结点。这确保了来自针对同一子资源的不同机器人的端点可以相互区分,同时重用相同的DNS区域组资源。
示例场景
假设您有一个名为SampleBot的机器人程序和一个相应的应用程序服务SampleBot.azurewebsites.net,它充当此机器人程序的消息传递端点。您在公共云的Azure门户中为SampleBot配置了一个私有端点,其子资源类型为bot,这会创建一个DNS区域组,其中包含与SampleBot.botplinks.botframework.com对应的a记录。此DNS记录映射到您虚拟网络中的本地IP。同样,使用子资源类型Token会生成一个端点SampleBot.bottoken.botframework.com。
您创建的DNS区域中的A记录映射到虚拟网络中的IP地址。因此,发送到此终结点的请求是网络本地的,不会违反网络安全组或Azure防火墙中限制网络出站流量的规则。Azure网络层和Bot Framework服务可确保您的请求不会泄露到公共互联网,并为您的网络保持隔离。
- 登录 发表评论
- 4 次浏览
Tags
最新内容
- 1 day 3 hours ago
- 1 day 5 hours ago
- 1 day 6 hours ago
- 3 days 22 hours ago
- 4 days 6 hours ago
- 4 days 5 hours ago
- 4 days 6 hours ago
- 4 days 6 hours ago
- 1 week 1 day ago
- 1 week 1 day ago