Netzwerkisolation im Azure KI Bot Service
Ab dem 1. September 2023 wird dringend empfohlen, die Azure Service Tag-Methode für dieNetzwerkisolation zu verwenden. Die Verwendung von DL-ASE sollte auf hochspezifische Szenarien beschränkt sein. Vor der Implementierung dieser Lösung in einer Produktionsumgebung empfehlen wir Ihnen, Ihr Supportteam um Anleitungen zu bitten.
In diesem Artikel werden Konzepte zur Netzwerkisolation für Ihren Azure-Bot und seine abhängigen Dienste behandelt.
Möglicherweise möchten Sie den Zugriff auf Ihren Bot auf ein privates Netzwerk beschränken. Die einzige Möglichkeit, dies im Azure KI Bot-Dienst zu tun, besteht darin, die Direct Line App Service-Erweiterung zu verwenden. Sie können z. B. die App Service-Erweiterung verwenden, um einen unternehmensinternen Bot zu hosten, und benutzer müssen von ihrem Unternehmensnetzwerk aus auf den Bot zugreifen.
Ausführliche Anweisungen zum Konfigurieren Ihres Bots in einem privaten Netzwerk finden Sie unter Verwendung eines isolierten Netzwerks.
Weitere Informationen zu den Features, die die Netzwerkisolation unterstützen, finden Sie unter:
| Funktion | Artikel |
|---|---|
| App Service-Erweiterung für Direct Line | App Service-Erweiterung für Direct Line |
| Azure Virtual Network | Was ist Azure Virtual Network? |
| Azure-Netzwerksicherheitsgruppen | Netzwerksicherheitsgruppen |
| Azure Private Link und private Endpunkte | Was ist ein privater Endpunkt? |
| Azure DNS | Erstellen einer Azure DNS-Zone und eines DNS-Eintrags mit dem Azure-Portal |
Verwenden privater Endpunkte
Wenn sich Ihr Botendpunkt in einem virtuellen Netzwerk befindet und die entsprechenden Regeln in Ihrer Netzwerksicherheitsgruppe festgelegt sind, können Sie den Zugriff auf eingehende und ausgehende Anforderungen für den App-Dienst Ihres Bots mithilfe eines privaten Endpunkts einschränken.
Private Endpunkte sind im Bot Service über die Direct Line App Service-Erweiterung verfügbar. Im Folgenden sehen Sie die Anforderungen für die Verwendung privater Endpunkte:
Aktivitäten müssen an und vom App Service-Endpunkt gesendet werden.
Die App Service-Erweiterung befindet sich gemeinsam mit Ihrem Bot-Endpunkt-App-Dienst. Alle Nachrichten an und vom Endpunkt sind lokal in Ihrem virtuellen Netzwerk und erreichen Ihren Client direkt, ohne an Bot Framework-Dienste gesendet zu werden.
Damit die Benutzerauthentifizierung funktioniert, muss Ihr Bot-Client mit dem Dienstanbieter kommunizieren––wie etwa Microsoft Entra-ID oder GitHub––und dem Tokenendpunkt.
Wenn sich Ihr Bot-Client in Ihrem virtuellen Netzwerk befindet, müssen Sie beide Endpunkte innerhalb Ihres virtuellen Netzwerks zulassen. Tun Sie dies für den Tokenendpunkt über Diensttags. Ihr Bot-Endpunkt selbst benötigt auch Zugriff auf den Token-Endpunkt, wie unten beschrieben.
Mit der App Service-Erweiterung müssen Ihr Bot-Endpunkt und die App Service-Erweiterung ausgehende HTTPS-Anforderungen an Bot Framework-Dienste senden.
Diese Anforderungen gelten für verschiedene Metavorgänge, z. B. das Abrufen ihrer Botkonfiguration oder das Abrufen von Token vom Tokenendpunkt. Um diese Anforderungen zu erleichtern, müssen Sie einen privaten Endpunkt einrichten und konfigurieren.
So implementiert der Bot Service private Endpunkte
Es gibt zwei Standard-Szenarien, in denen private Endpunkte verwendet werden:
- Damit Ihr Bot auf den Token-Endpunkt zugreifen kann.
- Für die Direct Line-Kanalerweiterung für den Zugriff auf den Bot Service.
Ein privater Endpunkt projiziert benötigte Dienste in Ihrem virtuellen Netzwerk, sodass sie in Ihrem Netzwerk direkt verfügbar sind, ohne ihr virtuelles Netzwerk für das Internet verfügbar zu machen oder IP-Adressen aufzulisten. Der gesamte Datenverkehr über einen privaten Endpunkt durchläuft die internen Azure-Server, um sicherzustellen, dass Ihr Datenverkehr nicht ins Internet gelangt.
Der Dienst verwendet zwei Unterressourcen Bot und Token, um Dienste in Ihr Netzwerk zu projizieren. Wenn Sie einen privaten Endpunkt hinzufügen, generiert Azure einen Bot-spezifischen DNS-Eintrag für jede Unterressource und konfiguriert den Endpunkt in der DNS-Zonengruppe. Dadurch wird sichergestellt, dass Endpunkte aus verschiedenen Bots, die auf dieselbe Unterressource abzielen, voneinander unterschieden werden können, während die gleiche DNS-Zonengruppenressource wiederverwendet wird.
Beispielszenario
Angenommen, Sie haben einen Bot mit dem Namen SampleBot und einen entsprechenden App-Dienst dafür, SampleBot.azurewebsites.net, der als Messaging-Endpunkt für diesen Bot dient.
Sie konfigurieren einen privaten Endpunkt für SampleBot mit Unterressourcentyp Bot im Azure-Portal für die öffentliche Cloud, wodurch eine DNS-Zonengruppe mit einem A-Eintrag erstellt wird, der SampleBot.botplinks.botframework.com entspricht. Dieser DNS-Eintrag ist einer lokalen IP in Ihrem virtuellen Netzwerk zugeordnet. Ebenso generiert die Verwendung des Unterressourcentyps Token einen Endpunkt. SampleBot.bottoken.botframework.com
Der A Eintrag in der von Ihnen erstellten DNS-Zone wird einer IP-Adresse innerhalb Ihres virtuellen Netzwerks zugeordnet. An diesen Endpunkt gesendete Anforderungen sind also lokal in Ihrem Netzwerk und verletzen keine Regeln in Ihrer Netzwerksicherheitsgruppe oder Azure-Firewall, die ausgehenden Datenverkehr aus Ihrem Netzwerk einschränken. Die Azure-Netzwerkebene und Bot Framework-Dienste stellen sicher, dass Ihre Anforderungen nicht in das öffentliche Internet gelangt sind und die Isolation für Ihr Netzwerk Standard.