Isolamento della rete in Azure DevTest Labs
Questo articolo illustra come creare un lab isolato dalla rete in Azure DevTest Labs.
Per impostazione predefinita, Azure DevTest Labs crea una nuova rete virtuale di Azure per ogni lab. La rete virtuale funge da limite di sicurezza per isolare le risorse del lab dalla rete Internet pubblica. Per garantire che le risorse del lab seguano i criteri di rete dell'organizzazione, è possibile usare diverse altre opzioni di rete:
- Isolare tutte le macchine virtuali e gli ambienti lab in una rete virtuale preesistente selezionata.
- Aggiungere una rete virtuale di Azure a una rete locale per connettersi in modo sicuro alle risorse locali. Per altre informazioni, vedere Architettura di riferimento aziendale di DevTest Labs: Componenti di connettività.
- Isolare completamente il lab, incluse macchine virtuali, ambienti, account di archiviazione del lab e insiemi di credenziali delle chiavi, in una rete virtuale selezionata. Questo articolo descrive come configurare l'isolamento di rete.
Abilitare l'isolamento di rete
È possibile abilitare l'isolamento di rete nella portale di Azure solo durante la creazione del lab. Per convertire un lab esistente e le risorse lab associate in modalità di rete isolata, usare lo script di PowerShell Convert-DtlLabToIsolatedNetwork.ps1.
Durante la creazione del lab, è possibile abilitare l'isolamento di rete per la rete virtuale lab predefinita oppure scegliere un'altra rete virtuale preesistente da usare per il lab.
Usare la rete virtuale e la subnet predefinite
Per abilitare l'isolamento di rete per la rete virtuale predefinita e la subnet creata da DevTest Labs per il lab:
Durante la creazione del lab, nella schermata Crea devTest Lab selezionare la scheda Rete .
Accanto a Isolare le risorse del lab selezionare Sì.
Completare la creazione del lab.
Dopo aver creato il lab, non sono necessarie altre azioni. Il lab gestisce l'isolamento delle risorse da ora in poi.
Usare una rete virtuale e una subnet diverse
Per usare una rete virtuale diversa esistente per il lab e abilitare l'isolamento di rete per tale rete:
Durante la creazione del lab, nella scheda Rete della schermata Crea devTest Lab selezionare una rete dall'elenco a discesa. L'elenco mostra solo le reti nella stessa area e nella stessa sottoscrizione del lab.
Selezionare una subnet.
Accanto a Isolare le risorse del lab selezionare Sì.
Completare la creazione del lab.
Configurare gli endpoint di servizio
Se è stato abilitato l'isolamento di rete per una rete virtuale diversa dall'impostazione predefinita, completare i passaggi seguenti per isolare l'account di archiviazione del lab e l'insieme di credenziali delle chiavi nella rete selezionata. Eseguire questi passaggi dopo aver creato il lab, ma prima di eseguire qualsiasi altra configurazione del lab o creare risorse del lab.
Configurare l'endpoint per l'account di archiviazione lab
Nella pagina Panoramica del lab selezionare il gruppo di risorse.
Nella pagina Panoramica del gruppo di risorse selezionare l'account di archiviazione del lab. La convenzione di denominazione per l'account di archiviazione lab è
a\<labName>\<4-digit number>
. Ad esempio, se il nome del lab ècontosolab
, il nome dell'account di archiviazione potrebbe essereacontosolab1234
.Nella pagina account di archiviazione selezionare Rete nel riquadro di spostamento a sinistra. Nella scheda Firewall e reti virtuali verificare che sia selezionata l'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.
DevTest Labs è un servizio Microsoft attendibile, quindi la selezione di questa opzione consente al lab di funzionare normalmente in modalità isolata di rete.
Selezionare Aggiungi rete virtuale esistente.
Nel riquadro Aggiungi reti selezionare la rete virtuale e la subnet scelta al momento della creazione del lab e quindi selezionare Aggiungi.
Nella pagina Rete selezionare Salva.
Archiviazione di Azure ora consente le connessioni in ingresso dalla rete virtuale aggiunta, che consente al lab di funzionare correttamente in modalità di isolamento di rete.
È possibile automatizzare questi passaggi con PowerShell o l'interfaccia della riga di comando di Azure per configurare l'isolamento di rete per più lab. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
Configurare l'endpoint per l'insieme di credenziali delle chiavi del lab
Nella pagina Panoramica del lab selezionare il gruppo di risorse.
Nella pagina Panoramica del gruppo di risorse selezionare l'insieme di credenziali delle chiavi del lab.
Nella pagina Dell'insieme di credenziali delle chiavi selezionare Rete nel riquadro di spostamento a sinistra. Nella scheda Firewall e reti virtuali verificare che sia selezionata l'opzione Consenti servizi Microsoft attendibile di ignorare il firewall.
Selezionare Aggiungi reti virtuali esistenti.
Nel riquadro Aggiungi reti selezionare la rete virtuale e la subnet scelta al momento della creazione del lab e quindi selezionare Abilita.
Dopo aver abilitato correttamente l'endpoint di servizio, selezionare Aggiungi.
Nella pagina Rete selezionare Salva.
Considerazioni
Ecco alcuni aspetti da ricordare quando si usa un lab in modalità di isolamento di rete:
Abilitare l'accesso all'account di archiviazione dall'esterno del lab
Il proprietario del lab deve abilitare in modo esplicito l'accesso all'account di archiviazione di un lab isolato di rete da un endpoint consentito. Le azioni come il caricamento di un disco rigido virtuale nell'account di archiviazione per la creazione di immagini personalizzate richiedono questo accesso. È possibile abilitare l'accesso creando una macchina virtuale lab e accedendo in modo sicuro all'account di archiviazione del lab da tale macchina virtuale.
Per altre informazioni, vedere Connettersi a un account di archiviazione usando un endpoint privato di Azure.
Fornire un account di archiviazione per esportare i dati di utilizzo del lab
Per esportare i dati di utilizzo per un lab isolato in rete, il proprietario del lab deve fornire in modo esplicito un account di archiviazione e generare un BLOB all'interno dell'account per archiviare i dati. L'esportazione dei dati di utilizzo non riesce in modalità di isolamento della rete se l'utente non fornisce in modo esplicito l'account di archiviazione da usare.
Per altre informazioni, vedere Esportare o eliminare dati personali da Azure DevTest Labs.
Impostare i criteri di accesso dell'insieme di credenziali delle chiavi
L'abilitazione dell'endpoint del servizio dell'insieme di credenziali delle chiavi influisce solo sul firewall. Assicurarsi di configurare le autorizzazioni di accesso appropriate all'insieme di credenziali delle chiavi nella sezione Criteri di accesso dell'insieme di credenziali delle chiavi.
Per ulteriori informazioni, vedere Assegnare un criterio di accesso di Key Vault.