ラボ アカウントを使用するときに Azure Lab Services で共有リソースを使用してラボを作成する方法

重要

Azure Lab Services は 2027 年 6 月 28 日に廃止されます。 詳細については、提供終了ガイドを参照してください。

重要

この記事の情報は、ラボ アカウントに適用されます。 Azure Lab Services のラボ プラン は、ラボ アカウントに代わり導入されます。 ラボ プランを作成して開始する方法について説明します。 既にラボ アカウントをご利用のお客様は、ラボ アカウントからラボ プランに移行することをお勧めします。

ラボを作成するとき、一部のリソースをラボのすべての学生間で共有することが必要な場合があります。 たとえば、データベース クラス用のライセンス サーバーや SQL Server などです。 この記事では、ラボ用に共有リソースを有効にする手順について説明します。 また、共有リソースへのアクセスを制限する方法についても説明します。

アーキテクチャ

次の図に示すように、ラボにはラボ アカウントがあります。 ラボ アカウントには、VNET ピアリングの設定があります。これにより、ラボの仮想ネットワークは共有リソースのネットワークに接続されます。 次の図では、IP 範囲が重複していない 2 つの仮想ネットワークが示されています。 これらの IP 範囲は単なる例です。 また、共有リソースの仮想ネットワークはラボ アカウントと同じサブスクリプションにあります。

共有リソースを設定する

共有リソース用の仮想ネットワークは、ラボを作成する前に作成する必要があります。 仮想ネットワークの作成方法の詳細については、仮想ネットワークの作成に関する記事を参照してください。 ラボのコンピューターの IP アドレスと重複しないように、仮想ネットワークの範囲を計画することが重要です。 ネットワークの計画の詳細については、「仮想ネットワークを計画する」の記事を参照してください。 この例の共有リソースは、10.2.0.0/16 の範囲の仮想ネットワーク内にあります。 まだ行っていない場合は、共有リソースを保持するためのサブネットを作成します。 この例では、10.2.0.0/24 の範囲を使用しますが、ネットワークのニーズによって範囲は異なる場合があります。

共有リソースとしては、仮想マシン上で実行されているソフトウェアや、Azure によって提供されるサービスなどがあります。 共有リソースは、プライベート IP アドレスを通して使用できる必要があります。 共有リソースをプライベート IP のみで使用できるようにすると、その共有リソースへのアクセスが制限されます。

図では、学生の VM からのトラフィックを制限するために使用できるネットワーク セキュリティ グループ (NSG) も示されています。 たとえば、学生の VM の IP アドレスからのトラフィックは 1 つの共有リソースにしかアクセスできないことを示すセキュリティ規則を作成できます。 セキュリティ規則の設定方法について詳しくは、ネットワーク セキュリティ グループの管理に関する記事をご覧ください。 特定のラボの共有リソースへのアクセスを制限する場合は、ラボのラボ設定からラボの IP アドレスを取得します。 その後、その IP アドレスからのアクセスのみを許可するように受信ルールを設定します。 その IP アドレスに対してポート 49152 から 65535 を許可することを忘れないでください。 必要に応じて、[仮想マシン プール] ページを使用して、学生の VM のプライベート IP アドレスを見つけることができます。

共有リソースが、必要なソフトウェアを実行している Azure 仮想マシンである場合は、既定のファイアウォール規則をその仮想マシン用に変更することが必要になる場合があります。

共有リソースのヒント - ライセンス サーバー

最も一般的な共有リソースの 1 つにライセンス サーバーがあります。ここでは設定に成功する方法に関するいくつかのヒントを示します。

サーバー リージョン

ライセンス サーバーは、ラボにピアリングされている仮想ネットワークに接続されている必要があります。 ライセンス サーバーは、ラボ アカウントと同じリージョンに配置する必要があります。

静的プライベート IP および MAC アドレス

既定では、仮想マシンには動的プライベート IP が設定されます。 ソフトウェアを設定する前に、プライベート IP を静的に設定します。 これでプライベート IP と MAC アドレスが静的に設定されました。

アクセスの制御

ライセンス サーバーへのアクセスを制御することは重要です。 VM を設定しても、メンテナンス、トラブルシューティング、更新のためにアクセスが必要になります。 アクセスを制御するいくつかの方法を次に示します。

• Microsoft Defender for Cloud 内で Just In Time (JIT) アクセスを設定する。
• アクセスを制限するためのネットワーク セキュリティ グループを設定する。
• ライセンス サーバーへの安全なアクセスを許可する Bastion をセットアップする。

ラボ アカウント

共有リソースを使用するには、ピアリングされた仮想ネットワークを使用するようにラボ アカウントを設定する必要があります。 この場合は、共有リソースが保持されている仮想ネットワークにピアリングします。

警告

クラス用のラボは、ラボ アカウントを共有リソースの仮想ネットワークにピアリングした後で、作成する必要があります。

テンプレート マシン

高度なネットワークを使えるようにラボ プランやラボ アカウントを設定すると、テンプレート VM と学生 VM は共有リソースにアクセスできるようになります。 アクセスされる共有リソースによっては、ファイアウォール規則の更新が必要になる場合があります。

次のステップ

管理者として、 ラボ アカウントで仮想ネットワーク ピアリングを構成します。