Freigeben über

Netzwerkisolation konfigurieren

  • Artikel

Ab dem 1. September 2023 wird dringend empfohlen, die Azure Service Tag-Methode für dieNetzwerkisolation zu verwenden. Die Verwendung von DL-ASE sollte auf hochspezifische Szenarien beschränkt sein. Vor der Implementierung dieser Lösung in einer Produktionsumgebung empfehlen wir Ihnen, Ihr Supportteam um Anleitungen zu bitten.

Sie können einem vorhandenen Direct Line App Service-Erweiterungs-Bot Netzwerkisolation hinzufügen. Ein privater Endpunkt ermöglicht Ihrem isolierten Netzwerkbot die Kommunikation mit erforderlichen Bot Framework-Diensten, sodass der Bot ordnungsgemäß ausgeführt werden kann, während er auf das virtuelle Netzwerk beschränkt ist.

So fügen Sie Ihrem Bot Netzwerkisolation hinzu:

  1. Verwenden Sie ein virtuelles Netzwerk und konfigurieren Sie das Netzwerk, um ausgehenden Datenverkehr zu verhindern. An diesem Punkt verliert Ihr Bot die Möglichkeit, mit anderen Bot Framework-Diensten zu kommunizieren.
  2. Konfigurieren von privaten Endpunkten, um Konnektivität wiederherzustellen.
  3. Starten Sie den App-Dienst neu und testen Sie Ihren Bot in Ihrem isolierten Netzwerk.
  4. So deaktivieren Sie den öffentlichen Netzwerkzugriff auf Ihren Bot.

Voraussetzungen

  • Ein Azure-Konto. Wenn Sie noch nicht über ein Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
    • Ein Abonnement mit der Berechtigung zum Erstellen von Azure Virtual Network- und Netzwerksicherheitsgruppenressourcen.
  • Ein funktionierender Direct Line App Service-Erweiterungs-Bot.
    • Der Bot muss das Bot Framework SDK für C# oder JavaScript verwenden.
    • Für Ihren Bot sind Named Pipes aktiviert.
    • Der App-Dienst Ihres Bots hat die Direct Line App Service-Erweiterung aktiviert.
  • Ein Webchat Steuerelement, das mit dem Direct Line-Client Ihres Bots verbunden ist.

So bestätigen Sie, dass Ihr vorhandener Bot ordnungsgemäß konfiguriert ist:

  1. Öffnen Sie in einem Browser den Direct Line-Client-Endpunkt für Ihren Bot. Beispielsweise https://<your-app_service>.azurewebsites.net/.bot.

  2. Überprüfen Sie, ob auf der Seite Folgendes angezeigt wird:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    • v zeigt die Build-Version der App Service-Erweiterung für Direct Line an.
    • k gibt an, ob die Erweiterung einen Erweiterungsschlüssel aus seiner Konfiguration lesen konnte.
    • initialisiert gibt an, ob die Erweiterung Bot-Metadaten aus dem Azure AI Bot-Dienst herunterladen konnte.
    • ib gibt an, ob die Erweiterung eine eingehende Verbindung mit dem Bot herstellen konnte.
    • ob angibt, ob die Erweiterung eine ausgehende Verbindung vom Bot herstellen konnte.

Erstellen eines virtuellen Netzwerks

  1. Gehen Sie zum Azure-Portal.
  2. Ein virtuelles Netzwerk von Azure in derselben Region wie Ihren Bot erstellen.
  3. Öffnen Sie die App-Dienstressource für Ihren Bot, und aktivieren Sie die Integration des virtuellen Netzwerks.
  4. Erstellen Sie ein zweites Subnetz. Sie verwenden das zweite Subnetz später, um Ihren privaten Endpunkt hinzuzufügen.

Verweigern des ausgehenden Datenverkehrs aus Ihrem Netzwerk

  1. Öffnet die Netzwerksicherheitsgruppe, die Ihrem ersten Subnetz zugeordnet ist.
    • Wenn keine Sicherheitsgruppe konfiguriert ist, erstellen Sie eine. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.
  2. Wählen Sie unter Einstellungen die Option Sicherheitsregeln für ausgehenden Datenverkehr aus.
    1. Aktivieren Sie in der Liste der ausgehenden Sicherheitsregeln denyAllInternetOutbound.
  3. Wechseln Sie zur App-Dienstressource für Ihren Bot.
  4. Starten Sie Ihren App-Dienst neu.

Überprüfen Sie, ob die Verbindung unterbrochen ist

  1. Öffnen Sie in einem separaten Browser den Direct Line-Client-Endpunkt für Ihren Bot. Beispielsweise https://<your-app_service>.azurewebsites.net/.bot.

  2. Überprüfen Sie, ob auf der Seite Folgendes angezeigt wird:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}

    Der Wert initialized sollte false lauten, da Ihr App-Dienst und Ihre App-Diensterweiterung keine Verbindung mit anderen Bot Framework-Diensten herstellen können, um sich selbst zu initialisieren. Ihr Bot ist jetzt in einem virtuellen Netzwerk für ausgehende Verbindungen isoliert.

Erstellen Ihres privaten Endpunkts

  1. Gehen Sie zum Azure-Portal.
  2. Öffnen Sie das Azure Blatt Bot-Ressource für Ihren Bot.
  3. Wählen Sie unter Einstellungen die Option Netzwerk aus.
    1. Wählen Sie auf der Registerkarte Privater Zugriff die Option Privater Endpunkt.
      1. Wählen Sie auf der Registerkarte Ressource als Ziel Unterressource Bot.
      2. Wählen Sie auf der Registerkarte Virtuelles Netzwerk das im vorab erstellte virtuelle Netzwerk und Subnetz aus.
      3. Speichern Sie Ihren privaten Endpunkt.

Hinzufügen Ihres privaten Endpunkts zum App-Dienst Ihres Bots

  1. Öffnen Sie die Azure Bot-Ressource für Ihren Bot.
  2. Klicken Sie unter Einstellungen auf Konfiguration.
    1. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option Neue Anwendungseinstellung aus.
      1. Legen Sie für Name die Option DirectLineExtensionABSEndpointfest.
      2. Legen Sie Wert auf die URL des privaten Endpunkts fest, z. B. https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension.
      3. Speichern Sie die neuen Einstellungen.

Starten Sie den App-Dienst neu, und stellen Sie sicher, dass die Verbindung wiederhergestellt wird.

  1. Starten Sie den App-Dienst für Ihren Bot neu.

  2. Öffnen Sie in einem separaten Browser den Direct Line-Client-Endpunkt für Ihren Bot. Beispielsweise https://<your-app_service>.azurewebsites.net/.bot.

  3. Überprüfen Sie, ob auf der Seite Folgendes angezeigt wird:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}

    Der Wert von initialized sollte true sein.

  4. Verwenden Sie das Webchat Steuerelement, das mit dem Direct Line-Client Ihres Bots verbunden ist, um mit Ihrem Bot innerhalb des privaten Netzwerks zu interagieren.

Wenn Ihr privater Endpunkt nicht ordnungsgemäß funktioniert, können Sie eine Regel hinzufügen, um ausgehenden Datenverkehr speziell für Azure AI Bot Service zuzulassen.

Hinweis

Dadurch wird das virtuelle Netzwerk etwas weniger isoliert.

  1. Öffnet die Netzwerksicherheitsgruppe, die Ihrem ersten Subnetz zugeordnet ist.
  2. Wählen Sie unter Einstellungen die Option Sicherheitsregeln für ausgehenden Datenverkehr aus.
    1. Aktivieren Sie in der Liste der ausgehenden Sicherheitsregeln AllowAzureBotService.
  3. Wechseln Sie zur App-Dienstressource für Ihren Bot.
  4. Starten Sie Ihren App-Dienst neu.

Deaktivieren des Zugriffs auf Ihren Bot über öffentliche Netzwerke

Sie können den öffentlichen Zugriff auf Ihren Azure KI Bot-Service blockieren und nur den Zugriff über private Endpunkte zulassen. Sie können den Netzwerkzugriff von Azure KI Bot Service in Azure-Portal deaktivieren.

Tipp

Dadurch werden die Teams-Kanäle nicht konfiguriert. Im Azure-Portal können keine anderen Kanäle (mit Ausnahme von Direct Line) konfiguriert oder aktualisiert werden.

  1. Gehen Sie zum Azure-Portal.
  2. Öffnen Sie das Blatt App Service für Ihren Bot.
  3. Deaktivieren des Zugriffs auf das öffentliche Netzwerk

Weitere Informationen

Konfiguration von virtuellen Netzwerken

Sie haben eine Reihe von Optionen, um Ihren Bot für ein virtuelles Netzwerk zu konfigurieren.

  • Erstellen Sie ein virtuelles Netzwerk, und aktivieren Sie dann Azure App Service innerhalb des Netzwerks. Diese Option wird in diesem Artikel gezeigt.
  • Erstellen Sie eine App Service-Umgebung, und fügen Sie dann einen App Service Plan innerhalb der Umgebung hinzu.
  1. Erstellen Sie ein virtuelles Netzwerk.
  2. Aktivieren der Integration virtueller Netzwerke in Azure App Service

Dies sind die Schritte, die in diesem Artikel verwendet werden, wie im Abschnitt Erstellen eines virtuellen Netzwerks beschrieben.

Weitere Informationen finden Sie unter Erstellen eines virtuellen Netzwerks mithilfe der Azure-Portal und Aktivieren der Integration virtueller Netzwerke in Azure-App Service.