在網路存取內部部署閘道上配置反向 Proxy 模式,以確保您私有的一般或生成式 AI 應用程式的使用安全。
網路存取內部閘道的反向 Proxy 模式可為您組織的私有通用或生成式 AI 應用程式提供額外的安全性和增強的效能。內部閘道接受來自端點的 HTTP 或 HTTPS
請求,並根據您的規範將請求分配到您的應用程式或服務。
如果配置為保護一般私人應用程式,反向 Proxy 模式允許您為保護私人應用程式的特定內部閘道建立並應用網路存取規則。您可以針對對受保護應用程式提出的請求,強制執行存取控制、安全威脅防護和資料外洩防護
(DLP)。
如果配置為保護私人生成式 AI 服務,反向 Proxy 模式允許您為受保護的私人生成式 AI 服務創建和應用 AI 服務訪問和速率限制規則。內部部署閘道接收對您私人生成式
AI 服務的請求,並可以應用內容正在過濾、防止提示注入以及通過速率限制規則阻止潛在的拒絕服務攻擊。
當保護私人生成式 AI 服務時,配置為反向 Proxy 模式的內部部署閘道必須部署在託管該服務的伺服器前,以接收和管理請求。
當部署私人生成 AI 存取控制時,您可以使用 X-Authenticated-User 選項根據使用者設定存取控制。預設情況下,X-Authenticated-User
選項未啟動,且反向 Proxy 模式的內部閘道只能應用基於 IP 的 AI 服務存取規則。
要使用此選項,必須由部署在內部閘道前的下游應用程式插入 X-Authenticated-User 標頭。此 X-Authenticated-User 的值是最終使用者的
UPN 資訊。此 UPN 必須與用於建立基於使用者的 AI 服務存取規則的使用者/群組相關聯。標頭的格式為:
X-Authenticated-User: example@domain.com
如果此選項已啟動,但下游應用程式未將標頭插入轉發流量中,內部部署閘道會對此類流量應用任何基於使用者或 IP 的 AI 服務存取規則。
 |
重要
|
步驟
- 在Internet Access and AI Service Access Configuration中,部署新的內部部署閘道或點選對應於現有內部部署閘道的編輯圖示 (
)。 - 在Advanced Settings標籤中,選擇Reverse proxy作為服務模式。預設的 HTTP 監聽埠是 8088。
注意
啟用反向 Proxy 模式會根據分配給相應服務閘道的總 vCPU 數來確定網路存取和 AI 服務存取的使用者數量。新的信用計算將在 24 小時內生效。 - 如果需要,啟用 HTTPS 監聽。預設的 HTTPS 監聽埠是 8443。
- 對於 HTTPS 請求,選擇使用預設的 SSL 憑證或提供具有私鑰和密碼的自訂憑證。
- (可選)提供您希望保護的應用程式名稱。
- (可選)指定受保護的應用程式是一般私人應用程式還是私人生成式 AI 服務。如果您指定私人生成式 AI 服務,您可以使用 X-Authenticated-Users。這需要 AI 服務規則。欲了解詳細資訊,請參閱 建立 AI 服務存取規則。
重要
速率限制規則只能應用於反向 Proxy 模式下保護私人生成式 AI 服務的內部閘道。 - (選填)指定最多 10 個用於連接到您受保護應用程式的 FQDN 或 IP 位址和埠。
- 指定要通過每個指定的 FQDN 或 IP 位址路由的流量權重,範圍從 0 到 100 百分比。
- 點選儲存。