Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
A partire dal 1° settembre 2023, è fortemente consigliato utilizzare il metodo Azure Service Tag per l'isolamento della rete. L'utilizzo di DL-ASE deve essere limitato a scenari estremamente specifici. Prima di implementare questa soluzione in un ambiente di produzione, è consigliabile consultare il team di supporto per indicazioni.
Questo articolo illustra i concetti relativi all'isolamento di rete per il bot di Azure e i relativi servizi dipendenti.
È possibile limitare l'accesso al bot a una rete privata. L'unico modo per eseguire questa operazione nel servizio Azure AI Bot consiste nell'usare l'estensione del servizio app Direct Line. Ad esempio, è possibile usare l'estensione del servizio app per ospitare un bot interno dell'azienda e richiedere agli utenti di accedere al bot dall'interno della rete aziendale.
Per istruzioni dettagliate su come configurare il bot in una rete privata, vedere Come usare una rete isolata.
Per altre informazioni sulle funzionalità che supportano l'isolamento di rete, vedere:
| Caratteristica / Funzionalità | Articolo |
|---|---|
| Estensione del servizio app Direct Line | Estensione del servizio app Direct Line |
| Rete virtuale di Azure | Che cos'è Rete virtuale di Azure? |
| Gruppi di sicurezza di rete di Azure | Gruppi di sicurezza di rete |
| Collegamento privato di Azure ed endpoint privati | Che cos'è un endpoint privato? |
| Servizio DNS di Azure | Creare una zona e un record DNS di Azure usando il portale di Azure |
Uso di endpoint privati
Quando l'endpoint del bot si trova all'interno di una rete virtuale e con le regole appropriate impostate nel gruppo di sicurezza di rete, è possibile limitare l'accesso alle richieste in ingresso e in uscita per il servizio app del bot usando un endpoint privato.
Gli endpoint privati sono disponibili nel servizio Bot tramite l'estensione del servizio app Direct Line. Vedere i requisiti per l'uso di endpoint privati di seguito:
Le attività devono essere inviate da e verso l'endpoint del servizio app.
L'estensione del servizio app è posizionata insieme al servizio app per l'endpoint del bot. Tutti i messaggi da e verso l'endpoint sono locali alla rete virtuale e raggiungono il client direttamente senza essere inviati ai servizi di Bot Framework.
Per il funzionamento dell'autenticazione utente , il client del bot deve comunicare con il provider di servizi, ad esempio Microsoft Entra ID o GitHub, e l'endpoint del token.
Se il client bot si trova nella rete virtuale, sarà necessario consentire entrambi gli endpoint dall'interno della rete virtuale. Eseguire questa operazione per l'endpoint del token tramite tag del servizio. Anche l'endpoint del bot deve accedere all'endpoint del token, come descritto di seguito.
Con l'estensione del servizio app, l'endpoint del bot e l'estensione del servizio app devono inviare richieste HTTPS in uscita ai servizi Bot Framework.
Queste richieste riguardano diverse operazioni di meta, come ottenere la configurazione del tuo bot o acquisire token dall'endpoint del token. Per facilitare queste richieste, è necessario impostare e configurare un endpoint privato.
Come il servizio Bot implementa gli endpoint privati
Esistono due scenari principali in cui vengono usati gli endpoint privati:
- Per consentire al bot di accedere all'endpoint del token.
- Per consentire all'estensione del canale Direct Line di accedere al servizio Bot.
Un endpoint privato di progetti richiede servizi nella tua rete virtuale, in modo che siano disponibili direttamente all'interno della tua rete, senza esporre la rete virtuale a Internet o creare una lista di indirizzi IP consentiti. Tutto il traffico attraverso un endpoint privato passa attraverso i server interni di Azure per assicurarsi che il traffico non venga traspelato verso Internet.
Il servizio usa due sotto-risorse, Bot e Token, per proiettare i servizi nella rete. Quando si aggiunge un endpoint privato, Azure genera un record DNS specifico del bot per ogni sotto-risorsa e configura l'endpoint nel gruppo di zone DNS. Ciò garantisce che gli endpoint di bot diversi destinati alla stessa sotto-risorsa possano essere distinti tra loro, riutilizzando la stessa risorsa del gruppo di zone DNS.
Scenario di esempio
Si supponga di avere un bot denominato SampleBot e un servizio app corrispondente, SampleBot.azurewebsites.net, che funge da endpoint di messaggistica per questo bot.
Si configura un endpoint privato per SampleBot con il tipo di risorsa secondaria Bot nel portale di Azure per il cloud pubblico, che crea un gruppo di zone DNS con un record A corrispondente a SampleBot.botplinks.botframework.com. Questo record DNS associa un indirizzo IP locale alla tua rete virtuale. Analogamente, l'uso del tipo Token di sotto-risorsa genera un endpoint, SampleBot.bottoken.botframework.com.
Il A record nella zona DNS creata viene mappato a un indirizzo IP all'interno della rete virtuale. Le richieste inviate a questo endpoint sono quindi locali alla rete e non violano le regole nel gruppo di sicurezza di rete o nel firewall di Azure che limitano il traffico in uscita dalla rete. Il livello di rete di Azure e i servizi Bot Framework assicurano che le richieste non vengano trasmesse alla rete internet pubblica e che venga mantenuto l'isolamento per la tua rete.