Partilhar via

Configurar isolamento de rede

  • Artigo

A partir de 1º de setembro de 2023, é altamente recomendável empregar o método de Etiqueta de Serviço do Azure para isolamento de rede. A utilização do DL-ASE deve ser limitada a cenários altamente específicos. Antes de implementar esta solução em um ambiente de produção, recomendamos consultar sua equipe de suporte para obter orientação.

Você pode adicionar isolamento de rede a um bot de extensão do Serviço de Aplicativo de Linha Direta existente. Um ponto de extremidade privado permite que o bot isolado da rede se comunique com os serviços necessários do Bot Framework para que o bot possa ser executado corretamente enquanto está limitado à rede virtual.

Para adicionar isolamento de rede ao seu bot:

  1. Use uma rede virtual e configure a rede para evitar o tráfego de saída. Neste ponto, seu bot perderá a capacidade de se comunicar com outros serviços do Bot Framework.
  2. Configure pontos de extremidade privados para restaurar a conectividade.
  3. Reinicie o serviço de aplicativo e teste seu bot em sua rede isolada.
  4. Desative o acesso de rede pública ao seu bot.

Pré-requisitos

  • Uma conta do Azure. Se ainda não tiver uma, crie uma conta gratuita antes de começar.
    • Uma assinatura com permissão para criar recursos da Rede Virtual do Azure e do grupo de segurança de rede.
  • Um bot de extensão do Serviço de Aplicativo de Linha Direta funcionando.
    • Seu bot usa o SDK do Bot Framework para C# ou JavaScript, versão 4.16 ou posterior.
    • Seu bot nomeou pipes habilitados.
    • O serviço de aplicativo do seu bot tem a extensão do Serviço de Aplicativo de Linha Direta habilitada.
  • Um controle de Web Chat conectado ao cliente Direct Line do seu bot.

Para confirmar se o bot existente está configurado corretamente:

  1. Em um navegador, abra o ponto de extremidade do cliente Direct Line para seu bot. Por exemplo, https://<your-app_service>.azurewebsites.net/.bot.

  2. Verifique se a página exibe o seguinte:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}
    • v mostra a versão de compilação da extensão do Serviço de Aplicativo de Linha Direta.
    • k indica se a extensão foi capaz de ler uma chave de extensão a partir de sua configuração.
    • initialized indica se a extensão foi capaz de baixar metadados de bot do Serviço de Bot do Azure AI.
    • ib indica se a extensão foi capaz de estabelecer uma conexão de entrada com o bot.
    • ob indica se a extensão foi capaz de estabelecer uma conexão de saída do bot.

Criar uma rede virtual

  1. Aceda ao portal do Azure.
  2. Crie um recurso de Rede Virtual do Azure na mesma região do seu bot.
  3. Abra o recurso de serviço de aplicativo para seu bot e habilite a integração de rede virtual.
  4. Crie uma segunda sub-rede. Você usará a segunda sub-rede mais tarde para adicionar seu ponto de extremidade privado.

Negar tráfego de saída da sua rede

  1. Abra o grupo de segurança de rede associado à sua primeira sub-rede.
    • Se nenhum grupo de segurança estiver configurado, crie um. Para obter mais informações, consulte Grupos de segurança de rede.
  2. Em Configurações, selecione Regras de segurança de saída.
    1. Na lista de regras de segurança de saída, habilite DenyAllInternetOutbound.
  3. Vá para o recurso de serviço de aplicativo para seu bot.
  4. Reinicie o serviço de aplicativo.

Verifique se a conectividade está interrompida

  1. Em uma guia separada do navegador, abra o ponto de extremidade do cliente Direct Line para seu bot. Por exemplo, https://<your-app_service>.azurewebsites.net/.bot.

  2. Verifique se a página exibe o seguinte:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":false}

    O valor de deve ser false, porque o serviço de aplicativo e a extensão de serviço de aplicativo não conseguem se conectar a outros serviços do initialized Bot Framework para inicializar. Seu bot agora está isolado em uma rede virtual para conexões de saída.

Crie seu ponto de extremidade privado

  1. Aceda ao portal do Azure.
  2. Abra o recurso de Bot do Azure para seu bot.
  3. Em Configurações, selecione Rede.
    1. Na guia Acesso privado e selecione Criar um ponto de extremidade privado.
      1. Na guia Recurso, para Subrecurso de destino, selecione Bot na lista.
      2. Na guia Rede Virtual, selecione sua rede virtual e a segunda sub-rede que você criou.
      3. Salve seu endpoint privado.

Adicione seu ponto de extremidade privado ao serviço de aplicativo do bot

  1. Abra o recurso do Serviço de Aplicativo do Azure para seu bot.
  2. Em Definições, selecione Configuração.
    1. Na guia Configurações do aplicativo, selecione Nova configuração do aplicativo.
      1. Defina Nome como DirectLineExtensionABSEndpoint.
      2. Defina Value como a URL do ponto de extremidade privado, por exemplo, https://<your_azure_bot>.privatelink.directline.botframework.com/v3/extension.
      3. Salve a nova configuração.

Reinicie o serviço de aplicativo e verifique se a conectividade foi restaurada

  1. Reinicie o serviço de aplicativo para seu bot.

  2. Em uma guia separada do navegador, abra o ponto de extremidade do cliente Direct Line para seu bot. Por exemplo, https://<your-app_service>.azurewebsites.net/.bot.

  3. Verifique se a página exibe o seguinte:

    {"v":"123","k":true,"ib":true,"ob":true,"initialized":true}

    O valor de initialized deve ser true.

  4. Use o controle de Web Chat conectado ao cliente Direct Line do bot para interagir com o bot dentro da rede privada.

Se seu ponto de extremidade privado não funcionar corretamente, você poderá adicionar uma regra para permitir o tráfego de saída especificamente para o Serviço de Bot do Azure AI.

Nota

Isso fará com que sua rede virtual seja um pouco menos isolada.

  1. Abra o grupo de segurança de rede associado à sua primeira sub-rede.
  2. Em Configurações, selecione Regras de segurança de saída.
    1. Na lista de regras de segurança de saída, habilite AllowAzureBotService.
  3. Vá para o recurso de serviço de aplicativo para seu bot.
  4. Reinicie o serviço de aplicativo.

Desativar o acesso de rede pública ao seu bot

Você pode bloquear o acesso público ao seu Serviço de Bot do Azure AI e permitir o acesso somente por meio do Ponto de Extremidade Privado. Você pode desabilitar o acesso à rede do Serviço de Bot do Azure AI no portal do Azure.

Gorjeta

Isso desconfigurará os canais do Teams. Nenhum outro canal (exceto Linha Direta) pode ser configurado ou atualizado no portal do Azure.

  1. Aceda ao portal do Azure.
  2. Abra o serviço de aplicativo para seu bot.
  3. Desative o acesso à rede pública.

Informações adicionais

Configuração da rede virtual

Você tem algumas opções para configurar seu bot para uma rede virtual.

  • Crie uma rede virtual e, em seguida, habilite o Serviço de Aplicativo do Azure na rede. Esta é a opção usada neste artigo.
  • Crie um ambiente do Serviço de Aplicativo e adicione um Plano do Serviço de Aplicativo no ambiente.
  1. Crie uma rede virtual.
  2. Habilite a integração do Serviço de Aplicativo do Azure na rede virtual.

Estas são as etapas usadas neste artigo, conforme descrito na seção Criar uma rede virtual.

Para obter mais informações, consulte Criar uma rede virtual usando o portal do Azure e Habilitar a integração de rede virtual no Serviço de Aplicativo do Azure.