Sdílet prostřednictvím

Izolace sítě v Azure DevTest Labs

  • Článek

Tento článek vás provede vytvořením testovacího prostředí izolovaného v síti v Azure DevTest Labs.

Azure DevTest Labs ve výchozím nastavení vytvoří novou virtuální síť Azure pro každé testovací prostředí. Virtuální síť funguje jako hranice zabezpečení, která izoluje prostředky testovacího prostředí od veřejného internetu. Pokud chcete zajistit, aby prostředky testovacího prostředí dodržovaly zásady sítě organizace, můžete použít několik dalších možností sítě:

  • Izolujte všechny virtuální počítače a prostředí testovacího prostředí v předem existující virtuální síti, kterou vyberete.
  • Připojte virtuální síť Azure k místní síti a bezpečně se připojte k místním prostředkům. Další informace najdete v tématu Referenční architektura devTest Labs pro podniky: Komponenty připojení.
  • Zcela izolujte testovací prostředí, včetně virtuálních počítačů, prostředí, účtu úložiště testovacího prostředí a trezorů klíčů, do vybrané virtuální sítě. Tento článek popisuje, jak nakonfigurovat izolaci sítě.

Povolení izolace sítě

Izolaci sítě můžete povolit na webu Azure Portal pouze během vytváření testovacího prostředí. Pokud chcete převést existující testovací prostředí a přidružené prostředky testovacího prostředí do režimu izolované sítě, použijte skript PowerShellu Convert-DtlLabToIsolatedNetwork.ps1.

Během vytváření testovacího prostředí můžete povolit izolaci sítě pro výchozí virtuální síť testovacího prostředí nebo zvolit jinou, již existující virtuální síť, kterou chcete pro testovací prostředí použít.

Použití výchozí virtuální sítě a podsítě

Pokud chcete povolit izolaci sítě pro výchozí virtuální síť a podsíť, kterou devTest Labs pro testovací prostředí vytvoří:

  1. Během vytváření testovacího prostředí vyberte na obrazovce Create DevTest Lab kartu Sítě.

  2. Vedle možnosti Izolovat prostředky testovacího prostředí vyberte Ano.

  3. Dokončete vytváření testovacího prostředí.

    Snímek obrazovky znázorňující povolení izolace sítě pro výchozí síť

Po vytvoření testovacího prostředí není potřeba žádná další akce. Testovací prostředí od této chvíle izoluje prostředky.

Použití jiné virtuální sítě a podsítě

Pokud chcete pro testovací prostředí použít jinou existující virtuální síť a povolit izolaci sítě pro tuto síť:

  1. Během vytváření testovacího prostředí vyberte na kartě Sítě na obrazovce Create DevTest Lab síť z rozevíracího seznamu. Seznam zobrazuje jenom sítě ve stejné oblasti a předplatném jako testovací prostředí.

    Snímek obrazovky znázorňující výběr virtuální sítě

  2. Vyberte podsíť.

    Snímek obrazovky znázorňující výběr podsítě

  3. Vedle možnosti Izolovat prostředky testovacího prostředí vyberte Ano.

    Snímek obrazovky znázorňující povolení izolace sítě pro vybranou síť

  4. Dokončete vytváření testovacího prostředí.

Konfigurace koncových bodů služby

Pokud jste povolili izolaci sítě pro jinou virtuální síť než výchozí, proveďte následující kroky a izolujte účet úložiště testovacího prostředí a trezor klíčů do sítě, kterou jste vybrali. Tyto kroky proveďte po vytvoření testovacího prostředí, ale před provedením jakékoli jiné konfigurace testovacího prostředí nebo vytvořením jakýchkoli prostředků testovacího prostředí.

Konfigurace koncového bodu pro účet úložiště testovacího prostředí

  1. Na stránce Přehled testovacího prostředí vyberte skupinu prostředků.

    Snímek obrazovky znázorňující výběr skupiny prostředků pro testovací prostředí

  2. Na stránce Přehled skupiny prostředků vyberte účet úložiště testovacího prostředí. Zásady vytváření názvů pro účet úložiště testovacího prostředí jsou a\<labName>\<4-digit number>. Pokud je contosolabnapříklad název testovacího prostředí , název účtu úložiště může být acontosolab1234.

    Snímek obrazovky znázorňující výběr účtu úložiště testovacího prostředí

  3. Na stránce účtu úložiště vyberte v levém navigačním panelu možnost Sítě . Na kartě Brány firewall a virtuální sítě se ujistěte, že je zaškrtnuté políčko Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.

    Snímek obrazovky znázorňující povolení přístupu důvěryhodných služeb ke skupině prostředků

    DevTest Labs je důvěryhodná služba Microsoftu, takže výběrem této možnosti umožníte, aby testovací prostředí fungovalo normálně v izolovaném režimu sítě.

  4. Vyberte Přidat existující virtuální síť.

    Snímek obrazovky znázorňující podokno sítě skupiny prostředků se zvýrazněným přidáním existující virtuální sítě

  5. V podokně Přidat sítě vyberte virtuální síť a podsíť, kterou jste zvolili při vytváření testovacího prostředí, a pak vyberte Přidat.

    Snímek obrazovky znázorňující podokno přidat síť se zvýrazněnými virtuálními sítěmi, podsítěmi a přidáním

  6. Na stránce Sítě vyberte Uložit.

Azure Storage teď umožňuje příchozí připojení z přidané virtuální sítě, která umožňuje testovacímu prostředí úspěšně fungovat v izolovaném režimu sítě.

Tyto kroky můžete automatizovat pomocí PowerShellu nebo Azure CLI a nakonfigurovat izolaci sítě pro více testovacích prostředí. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.

Konfigurace koncového bodu pro trezor klíčů testovacího prostředí

  1. Na stránce Přehled testovacího prostředí vyberte skupinu prostředků.

  2. Na stránce Přehled skupiny prostředků vyberte trezor klíčů testovacího prostředí.

    Snímek obrazovky znázorňující výběr trezoru klíčů testovacího prostředí

  3. Na stránce trezoru klíčů vyberte v levém navigačním panelu možnost Sítě . Na kartě Brány firewall a virtuální sítě se ujistěte, že je vybraná možnost Povolit důvěryhodné služby Microsoft obejít tuto bránu firewall.

    Snímek obrazovky znázorňující povolení přístupu důvěryhodných služeb k trezoru klíčů

  4. Vyberte Přidat existující virtuální sítě.

    Snímek obrazovky znázorňující podokno sítě trezoru klíčů se zvýrazněným přidáním existující virtuální sítě

  5. V podokně Přidat sítě vyberte virtuální síť a podsíť, které jste zvolili při vytváření testovacího prostředí, a pak vyberte Povolit.

    Snímek obrazovky znázorňující povolení virtuální sítě a podsítě v trezoru klíčů

  6. Po úspěšném povolení koncového bodu služby vyberte Přidat.

    Snímek obrazovky znázorňující přidání virtuální sítě a podsítě do trezoru klíčů

  7. Na stránce Sítě vyberte Uložit.

Důležité informace

Při používání testovacího prostředí v izolovaném režimu sítě je potřeba pamatovat na několik věcí:

Povolení přístupu k účtu úložiště mimo testovací prostředí

Vlastník testovacího prostředí musí explicitně povolit přístup k účtu úložiště izolované sítě z povoleného koncového bodu. Akce, jako je nahrání virtuálního pevného disku do účtu úložiště pro vytváření vlastních imagí, vyžadují tento přístup. Přístup můžete povolit vytvořením testovacího virtuálního počítače a zabezpečeným přístupem k účtu úložiště testovacího prostředí z tohoto virtuálního počítače.

Další informace najdete v tématu Připojení k účtu úložiště pomocí privátního koncového bodu Azure.

Poskytnutí účtu úložiště pro export dat o využití testovacího prostředí

Pokud chcete exportovat data o využití v izolovaném testovacím prostředí v síti, musí vlastník testovacího prostředí explicitně poskytnout účet úložiště a vygenerovat objekt blob v rámci účtu pro ukládání dat. Export dat o využití selže v izolovaném režimu sítě, pokud uživatel explicitně nezadá účet úložiště, který se má použít.

Další informace najdete v tématu Export nebo odstranění osobních údajů z Azure DevTest Labs.

Nastavení zásad přístupu trezoru klíčů

Povolení koncového bodu služby Key Vault má vliv jenom na bránu firewall. Ujistěte se, že v části Zásady přístupu trezoru klíčů nakonfigurujete příslušná přístupová oprávnění trezoru klíčů.

Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.

Další kroky