Azure Lab Services のアーキテクチャの基礎
重要
Azure Lab Services は 2027 年 6 月 28 日に廃止されます。 詳細については、提供終了ガイドを参照してください。
Note
この記事では、ラボ アカウントに代わり導入されたラボ プランで使用できる機能について説明します。
Azure Lab Services は SaaS (サービスとしてのソフトウェア) ソリューションです。つまり、Azure Lab Services に必要なインフラストラクチャ リソースは自動で管理されます。 この記事では、Azure Lab Services で使用される基本的なリソースと、ラボの基本的なアーキテクチャについて説明します。
Azure Lab Services はマネージド サービスですが、独自のリソースと統合するようにサービスを構成できます。 たとえば、仮想ネットワーク ピアリングを使用する代わりに、仮想ネットワーク インジェクションを使用してラボ仮想マシンを独自のネットワークに接続します。 または、Azure コンピューティング ギャラリーをアタッチして、独自のカスタム仮想マシン イメージを再利用します。
次の図は、高度なネットワークが有効になっていないラボの基本的なアーキテクチャを示しています。 ラボ プランはお使いのサブスクリプションでホストされます。 ラボ仮想マシンと、その仮想マシンをサポートするために必要なリソースは、Azure Lab Services が所有するサブスクリプションでホストされます。
ホストされるリソース
Azure Lab Services では、ラボの実行に必要なリソースが Microsoft が管理する Azure サブスクリプションのいずれかでホストされます。 これらのリソースには次が含まれます。
- ラボ作成者がラボを構成するためのテンプレート仮想マシン
- 各ラボ ユーザーがリモートで接続するラボ仮想マシン
- ロードバランサー、仮想ネットワーク、ネットワークセキュリティグループなど、ネットワーク関連の項目
Azure は、これらのマネージド サブスクリプションを監視して疑わしいアクティビティがないか確認します。 重要な点として、この監視は、VM 拡張機能またはネットワーク パターン監視を通じて仮想マシンの外部で行われます。 切断時のシャットダウンを有効にした場合、仮想マシンで診断拡張機能が有効になります。 この拡張機能を使用すると、リモート デスクトップ プロトコル (RDP) セッションの切断イベントを Azure Lab Services に通知できます。
仮想ネットワーク
既定では、各ラボは独自の仮想ネットワークによって分離されています。
ラボ ユーザーは、ロード バランサーを介して各自のラボ仮想マシンに接続します。 ラボ仮想マシンにはパブリック IP アドレスはなく、プライベート IP アドレスのみがあります。 ラボ仮想マシンにリモート接続するための接続文字列では、ロード バランサーのパブリック IP アドレスと、次の範囲のランダムなポートが使用されます。
- SSH 接続用の 4980 ~ 4989 および 5000 ~ 6999
- SSH 接続用の 4990 ~ 4999 および 7000 ~ 8999
ロード バランサーの受信規則により、オペレーティング システムに応じて、ラボ仮想マシンのポート 22 (SSH) またはポート 3389 (RDP) に接続が転送されます。 ネットワーク セキュリティ グループ (NSG) により、他のポートへの外部トラフィックがブロックされます。
ラボで高度なネットワークを使用している場合、各ラボは、Azure Lab Services に委任され、ラボ プランに接続されているのと同じサブネットを使用します。 また、ラボ ユーザーが自分の VM に接続できるように、RDP と SSH トラフィックを許可する受信セキュリティ規則を持つ NSG を作成する必要もあります。
ラボ仮想マシンに対するアクセス制御
Azure Lab Services は、ラボ仮想マシンへのアクセスを次のさまざまなレベルで管理します。
ラボ VM の起動または停止。 Azure Lab Services は、各自の仮想マシンでこのようなアクションを実行するためのアクセス許可をラボ ユーザーに付与します。 このサービスは、ラボ仮想マシンの接続情報へのアクセスも制御します。
ラボへの登録。 Azure Lab Services には、制限付きと制限なしの 2 つの異なるアクセス設定があります。 "制限付きアクセス" は、ラボ ユーザーにアクセスを許可する前に、そのラボ ユーザーがラボに追加されていることを Azure Lab Services が確認することを意味します。 "制限なしアクセス" は、ラボに容量がある場合に、すべてのユーザーがラボ登録リンクを使用してラボに登録できることを意味します。 制限なしアクセスはハッカソン イベントに役立ちます。 詳細については、ラボ ユーザーの管理に関する記事を参照してください。
仮想マシンの資格情報。 ラボでホストされるラボ仮想マシンには、ラボの作成者によってユーザー名とパスワードが設定されています。 ラボの作成者は、登録済みのユーザーが初回サインイン時に独自のパスワードを選択できるようにすることも可能です。
次のステップ
「Azure Lab Services の主な概念」で詳細を確認してください。