Configurare l'isolamento di rete

A partire dal 1° settembre 2023, è consigliabile usare il metodo tag del servizio di Azure per l'isolamento della rete. L'utilizzo di DL-A edizione Standard deve essere limitato a scenari altamente specifici. Prima di implementare questa soluzione in un ambiente di produzione, è consigliabile consultare il team di supporto per indicazioni.

È possibile aggiungere l'isolamento di rete a un bot di estensione direct line servizio app esistente. Un endpoint privato consente al bot isolato di rete di comunicare con i servizi Bot Framework necessari in modo che il bot possa essere eseguito correttamente pur essendo limitato alla rete virtuale.

Per aggiungere l'isolamento di rete al bot:

  1. Usare una rete virtuale e configurare la rete per impedire il traffico in uscita. A questo punto, il bot perderà la possibilità di comunicare con altri servizi di Bot Framework.
  2. Configurare gli endpoint privati per ripristinare la connettività.
  3. Riavviare il servizio app e testare il bot all'interno della rete isolata.
  4. Disabilitare l'accesso alla rete pubblica al bot.

Prerequisiti

  • Un account di Azure. Se non se ne ha già uno, creare un account gratuito prima di iniziare.
    • Una sottoscrizione con l'autorizzazione per creare risorse di azure Rete virtuale e gruppi di sicurezza di rete.
  • Bot dell'estensione Direct Line servizio app funzionante.
    • Il bot usa Bot Framework SDK per C# o JavaScript versione 4.16 o successiva.
    • Il bot ha named pipe abilitato.
    • Il servizio app del bot ha l'estensione servizio app Direct Line abilitata.
  • Controllo chat Web connesso al client Direct Line del bot.

Per verificare che il bot esistente sia configurato correttamente:

  1. In un browser aprire l'endpoint client Direct Line per il bot. Ad esempio, https://<your-app_service>.azurewebsites.net/.bot.

  2. Verificare che la pagina visualizzi quanto segue:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    
    • v mostra la versione build dell'estensione servizio app Direct Line.
    • k indica se l'estensione è stata in grado di leggere una chiave di estensione dalla configurazione.
    • inizializzato indica se l'estensione è stata in grado di scaricare i metadati del bot dal servizio Bot di Intelligenza artificiale di Azure.
    • ib indica se l'estensione è stata in grado di stabilire una connessione in ingresso al bot.
    • ob indica se l'estensione è stata in grado di stabilire una connessione in uscita dal bot.

Creare una rete virtuale

  1. Vai al portale di Azure.
  2. Creare una risorsa di Azure Rete virtuale nella stessa area del bot.
  3. Aprire la risorsa del servizio app per il bot e abilitare l'integrazione della rete virtuale.
  4. Creare una seconda subnet. La seconda subnet verrà usata in un secondo momento per aggiungere l'endpoint privato.

Negare il traffico in uscita dalla rete

  1. Aprire il gruppo di sicurezza di rete associato alla prima subnet.
  2. In Impostazioni selezionare Regole di sicurezza in uscita.
    1. Nell'elenco delle regole di sicurezza in uscita abilitare DenyAllInternetOutbound.
  3. Passare alla risorsa del servizio app per il bot.
  4. Riavviare il servizio app.

Verificare che la connettività sia interrotta

  1. In una scheda del browser separata aprire l'endpoint client Direct Line per il bot. Ad esempio, https://<your-app_service>.azurewebsites.net/.bot.

  2. Verificare che la pagina visualizzi quanto segue:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}
    

    Il valore di initialized deve essere false, perché il servizio app e l'estensione del servizio app non sono in grado di connettersi ad altri servizi di Bot Framework per inizializzare se stesso. Il bot è ora isolato in una rete virtuale per le connessioni in uscita.

Creare l'endpoint privato

  1. Vai al portale di Azure.
  2. Aprire la risorsa Azure Bot per il bot.
  3. In Impostazioni selezionare Rete.
    1. Nella scheda Accesso privato selezionare Crea un endpoint privato.
      1. Nella scheda Risorsa , per Sotto-risorsa di destinazione, selezionare Bot dall'elenco.
      2. Nella scheda Rete virtuale selezionare la rete virtuale e la seconda subnet creata.
      3. Salvare l'endpoint privato.

Aggiungere l'endpoint privato al servizio app del bot

  1. Aprire la risorsa del servizio app Azure per il bot.
  2. In Impostazioni selezionare Configurazione.
    1. Nella scheda Impostazioni applicazione selezionare Nuova impostazione applicazione.
      1. Impostare Nome su DirectLineExtensionABSEndpoint.
      2. Impostare Valore sull'URL dell'endpoint privato, https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extensionad esempio .
      3. Salvare la nuova impostazione.

Riavviare il servizio app e verificare che la connettività venga ripristinata

  1. Riavviare il servizio app per il bot.

  2. In una scheda del browser separata aprire l'endpoint client Direct Line per il bot. Ad esempio, https://<your-app_service>.azurewebsites.net/.bot.

  3. Verificare che la pagina visualizzi quanto segue:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    

    Il valore di initialized dovrebbe essere true.

  4. Usare il controllo chat Web connesso al client Direct Line del bot per interagire con il bot all'interno della rete privata.

Se l'endpoint privato non funziona correttamente, è possibile aggiungere una regola per consentire il traffico in uscita in modo specifico ai servizio Bot di Intelligenza artificiale di Azure.

Nota

In questo modo la rete virtuale sarà un po' meno isolata.

  1. Aprire il gruppo di sicurezza di rete associato alla prima subnet.
  2. In Impostazioni selezionare Regole di sicurezza in uscita.
    1. Nell'elenco delle regole di sicurezza in uscita abilitare AllowAzureBotService.
  3. Passare alla risorsa del servizio app per il bot.
  4. Riavviare il servizio app.

Disabilitare l'accesso alla rete pubblica al bot

È possibile bloccare l'accesso pubblico ai servizio Bot di intelligenza artificiale di Azure e consentire l'accesso solo tramite endpoint privato. È possibile disabilitare l'accesso alla rete dei servizio Bot di intelligenza artificiale di Azure in portale di Azure.

Suggerimento

In questo modo i canali di Teams non verranno configurati. Nessun altro canale (ad eccezione di Direct Line) può essere configurato o aggiornato in portale di Azure.

  1. Vai al portale di Azure.
  2. Aprire il servizio app per il bot.
  3. Disabilitare l'accesso alla rete pubblica.

Informazioni aggiuntive

Configurazione della rete virtuale

Sono disponibili due opzioni per configurare il bot per una rete virtuale.

  • Creare una rete virtuale e quindi abilitare app Azure Servizio all'interno della rete. Questa è l'opzione usata in questo articolo.
  • Creare un ambiente servizio app e quindi aggiungere un piano di servizio app all'interno dell'ambiente.
  1. Crea una rete virtuale.
  2. Abilitare l'integrazione del servizio app Azure all'interno della rete virtuale.

Questi sono i passaggi usati in questo articolo, come descritto nella sezione Creare una rete virtuale.

Per altre informazioni, vedere Creare una rete virtuale usando il portale di Azure e Abilitare l'integrazione della rete virtuale nel servizio app Azure.