Isolamento de rede no Serviço de Bot do Azure AI
A partir de 1º de setembro de 2023, é altamente recomendável empregar o método de Etiqueta de Serviço do Azure para isolamento de rede. A utilização do DL-ASE deve ser limitada a cenários altamente específicos. Antes de implementar esta solução em um ambiente de produção, recomendamos consultar sua equipe de suporte para obter orientação.
Este artigo aborda conceitos sobre isolamento de rede para seu bot do Azure e seus serviços dependentes.
Você pode querer restringir o acesso ao seu bot a uma rede privada. A única maneira de fazer isso no Serviço de Bot de IA do Azure é usar a extensão do Serviço de Aplicativo de Linha Direta. Por exemplo, você pode usar a extensão do Serviço de Aplicativo para hospedar um bot interno da empresa e exigir que os usuários acessem o bot de dentro da rede da empresa.
Para obter instruções detalhadas sobre como configurar seu bot em uma rede privada, consulte como usar uma rede isolada.
Para obter mais informações sobre os recursos que oferecem suporte ao isolamento de rede, consulte:
| Funcionalidade | Artigo |
|---|---|
| Extensão do Serviço de Aplicativo de Linha Direta | Extensão do Serviço de Aplicativo de Linha Direta |
| Rede Virtual do Azure | O que é a Rede Virtual do Azure? |
| Grupos de segurança de rede do Azure | Grupos de segurança de rede |
| Azure Private Link e pontos de extremidade privados | O que é um ponto final privado? |
| Azure DNS | Criar uma zona e um registro DNS do Azure usando o portal do Azure |
Utilização de parâmetros de avaliação privados
Quando o ponto de extremidade do bot está dentro de uma rede virtual e com as regras apropriadas definidas no grupo de segurança da rede, você pode restringir o acesso a solicitações de entrada e saída para o serviço de aplicativo do bot usando um ponto de extremidade privado.
Os pontos de extremidade privados estão disponíveis no Serviço de Bot por meio da extensão do Serviço de Aplicativo de Linha Direta. Veja os requisitos para usar pontos de extremidade privados abaixo:
As atividades devem ser enviadas de e para o ponto de extremidade do Serviço de Aplicativo.
A extensão do Serviço de Aplicativo está localizada em conjunto com o serviço de aplicativo de ponto de extremidade do bot. Todas as mensagens de e para o endpoint são locais para sua rede virtual e chegam diretamente ao seu cliente sem serem enviadas para os serviços do Bot Framework.
Para que a autenticação do usuário funcione, o cliente do bot precisa se comunicar com o provedor de serviços, como o Microsoft Entra ID ou o GitHub, e o ponto de extremidade do token.
Se o cliente do bot estiver na sua rede virtual, você precisará permitir a lista de ambos os pontos de extremidade de dentro da sua rede virtual. Faça isso para o ponto de extremidade de token por meio de tags de serviço. Seu ponto de extremidade de bot em si também precisa de acesso ao ponto de extremidade do token, conforme descrito abaixo.
Com a extensão do Serviço de Aplicativo, o ponto de extremidade do bot e a extensão do Serviço de Aplicativo precisam enviar solicitações HTTPS de saída para os serviços do Bot Framework.
Essas solicitações são para várias operações meta, como recuperar a configuração do bot ou recuperar tokens do ponto de extremidade do token. Para facilitar essas solicitações, você precisa instalar e configurar um ponto de extremidade privado.
Como o Serviço de Bot implementa pontos de extremidade privados
Há dois cenários principais em que os pontos de extremidade privados são usados:
- Para seu bot acessar o endpoint de token.
- Para a extensão do canal Direct Line para acessar o Serviço Bot.
Um ponto de extremidade privado projeta os serviços necessários em sua rede virtual, para que eles estejam disponíveis diretamente dentro de sua rede, sem expor sua rede virtual à Internet ou permitir a listagem de quaisquer endereços IP. Todo o tráfego através de um ponto de extremidade privado passa pelos servidores internos do Azure para garantir que seu tráfego não seja vazado para a Internet.
O serviço usa dois subrecursos Bot e Token, para projetar serviços em sua rede. Quando você adiciona um ponto de extremidade privado, o Azure gera um registro DNS específico do bot para cada subrecurso e configura o ponto de extremidade no grupo de zonas DNS. Isso garante que os pontos de extremidade de bots diferentes que visam o mesmo subrecurso possam ser distinguidos uns dos outros, enquanto reutilizam o mesmo recurso de grupo de zonas DNS.
Cenário de Exemplo
Digamos que você tenha um bot chamado SampleBot e um serviço de aplicativo correspondente para ele, , SampleBot.azurewebsites.netque serve como o ponto de extremidade de mensagens para esse bot.
Você configura um ponto de extremidade privado para o SampleBot com tipo Bot de subrecurso no portal do Azure para nuvem pública, que cria um grupo de zonas DNS com um A registro correspondente a SampleBot.botplinks.botframework.com. Este registo DNS é mapeado para um IP local na sua rede virtual. Da mesma forma, o uso do tipo Token de subrecurso gera um ponto de extremidade, SampleBot.bottoken.botframework.com.
O A registo na zona DNS que criou é mapeado para um Endereço IP na sua rede virtual. Portanto, as solicitações enviadas para esse ponto de extremidade são locais para sua rede e não violam as regras em seu grupo de segurança de rede ou firewall do Azure que restringem o tráfego de saída de sua rede. A camada de rede do Azure e os serviços do Bot Framework garantem que suas solicitações não sejam vazadas para a Internet pública e que o isolamento seja mantido para sua rede.