Delen via

Netwerkisolatie in Azure DevTest Labs

  • Artikel

In dit artikel wordt uitgelegd hoe u een netwerkisolatielab maakt in Azure DevTest Labs.

Azure DevTest Labs maakt standaard een nieuw virtueel Azure-netwerk voor elk lab. Het virtuele netwerk fungeert als een beveiligingsgrens om labbronnen van het openbare internet te isoleren. Om ervoor te zorgen dat labresources voldoen aan het netwerkbeleid van de organisatie, kunt u verschillende andere netwerkopties gebruiken:

Netwerkisolatie inschakelen

U kunt netwerkisolatie alleen in azure Portal inschakelen tijdens het maken van een lab. Als u een bestaand lab en gekoppelde labbronnen wilt converteren naar de geïsoleerde netwerkmodus, gebruikt u het PowerShell-script Convert-DtlLabToIsolatedNetwork.ps1.

Tijdens het maken van een lab kunt u netwerkisolatie inschakelen voor het virtuele standaardnetwerk van het lab of een ander, bestaand virtueel netwerk kiezen dat voor het lab moet worden gebruikt.

Het standaard virtuele netwerk en subnet gebruiken

Netwerkisolatie inschakelen voor het standaard virtuele netwerk en subnet dat DevTest Labs voor het lab maakt:

  1. Selecteer tijdens het maken van het lab op het scherm DevTest Lab maken het tabblad Netwerken .

  2. Selecteer Ja naast Lab-resources isoleren.

  3. Voltooi het maken van het lab.

    Schermopname van het inschakelen van netwerkisolatie voor het standaardnetwerk.

Nadat u het lab hebt gemaakt, is er geen verdere actie nodig. Het lab verwerkt het isoleren van resources vanaf nu.

Een ander virtueel netwerk en subnet gebruiken

Als u een ander, bestaand virtueel netwerk voor het lab wilt gebruiken en netwerkisolatie voor dat netwerk wilt inschakelen:

  1. Selecteer tijdens het maken van een lab op het tabblad Netwerken van het scherm DevTest Lab maken een netwerk in de vervolgkeuzelijst. De lijst bevat alleen netwerken in dezelfde regio en hetzelfde abonnement als het lab.

    Schermopname van het selecteren van een virtueel netwerk.

  2. Selecteer een subnet.

    Schermopname van het selecteren van een subnet.

  3. Selecteer Ja naast Lab-resources isoleren.

    Schermopname van het inschakelen van netwerkisolatie voor een geselecteerd netwerk.

  4. Voltooi het maken van het lab.

Service-eindpunten configureren

Als u netwerkisolatie hebt ingeschakeld voor een ander virtueel netwerk dan de standaardinstelling, voert u de volgende stappen uit om het labopslagaccount en de sleutelkluis te isoleren van het netwerk dat u hebt geselecteerd. Voer deze stappen uit nadat u het lab hebt gemaakt, maar voordat u een andere labconfiguratie uitvoert of labbronnen maakt.

Het eindpunt voor het labopslagaccount configureren

  1. Selecteer de resourcegroep op de pagina Overzicht van het lab.

    Schermopname van het selecteren van de resourcegroep voor een lab.

  2. Selecteer op de pagina Overzicht van de resourcegroep het opslagaccount van het lab. De naamconventie voor het labopslagaccount is a\<labName>\<4-digit number>. Als de labnaam bijvoorbeeld is contosolab, kan de naam van het opslagaccount zijn acontosolab1234.

    Schermopname van het selecteren van het labopslagaccount.

  3. Selecteer netwerken in de linkernavigatiebalk op de pagina opslagaccount. Controleer op het tabblad Firewalls en virtuele netwerken of Azure-services in de lijst met vertrouwde services toegang hebben tot dit opslagaccount.

    Schermopname van het toestaan van vertrouwde services tot een resourcegroep.

    DevTest Labs is een vertrouwde Microsoft-service. Als u deze optie selecteert, kan het lab normaal werken in een geïsoleerde netwerkmodus.

  4. Selecteer Bestaand virtueel netwerk toevoegen.

    Schermopname van het deelvenster Netwerk van de resourcegroep met het toevoegen van een bestaand virtueel netwerk gemarkeerd.

  5. Selecteer in het deelvenster Netwerken toevoegen het virtuele netwerk en subnet dat u hebt gekozen toen u het lab maakte en selecteer vervolgens Toevoegen.

    Schermopname van het deelvenster Netwerk toevoegen met virtuele netwerken, subnetten en Toevoegen gemarkeerd.

  6. Selecteer Opslaan op de pagina Netwerken.

Azure Storage staat nu binnenkomende verbindingen vanuit het toegevoegde virtuele netwerk toe, waardoor het lab met succes kan werken in een geïsoleerde netwerkmodus.

U kunt deze stappen automatiseren met PowerShell of Azure CLI om netwerkisolatie voor meerdere labs te configureren. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.

Het eindpunt voor de sleutelkluis van het lab configureren

  1. Selecteer de resourcegroep op de pagina Overzicht van het lab.

  2. Selecteer op de pagina Overzicht van de resourcegroep de sleutelkluis van het lab.

    Schermopname van het selecteren van de sleutelkluis van het lab.

  3. Selecteer Netwerken in de linkernavigatiebalk op de pagina van de sleutelkluis. Zorg ervoor dat op het tabblad Firewalls en virtuele netwerken vertrouwde Microsoft-services toestaan om deze firewall te omzeilen is geselecteerd.

    Schermopname van het toestaan van toegang tot een sleutelkluis door vertrouwde services.

  4. Selecteer Bestaande virtuele netwerken toevoegen.

    Schermopname van het deelvenster Key Vault-netwerken met het toevoegen van een bestaand virtueel netwerk gemarkeerd.

  5. Selecteer in het deelvenster Netwerken toevoegen het virtuele netwerk en subnet dat u hebt gekozen toen u het lab maakte en selecteer vervolgens Inschakelen.

    Schermopname van het inschakelen van een virtueel netwerk en subnet in een sleutelkluis.

  6. Zodra het service-eindpunt is ingeschakeld, selecteert u Toevoegen.

    Schermopname van het toevoegen van een virtueel netwerk en subnet in een sleutelkluis.

  7. Selecteer Opslaan op de pagina Netwerken.

Overwegingen

Hier volgen enkele dingen die u moet onthouden wanneer u een lab in een geïsoleerde netwerkmodus gebruikt:

Toegang tot het opslagaccount van buiten het lab inschakelen

De eigenaar van het lab moet expliciet toegang tot het opslagaccount van een geïsoleerde netwerkomgeving inschakelen vanaf een toegestaan eindpunt. Acties zoals het uploaden van een VHD naar het opslagaccount voor het maken van aangepaste installatiekopieën vereisen deze toegang. U kunt toegang inschakelen door een lab-VM te maken en veilig toegang te krijgen tot het opslagaccount van het lab vanaf die VM.

Zie Verbinding maken met een opslagaccount met behulp van een privé-eindpunt van Azure voor meer informatie.

Opslagaccount opgeven voor het exporteren van labgebruiksgegevens

Als u gebruiksgegevens voor een geïsoleerd netwerklab wilt exporteren, moet de eigenaar van het lab expliciet een opslagaccount opgeven en een blob genereren in het account om de gegevens op te slaan. Het exporteren van gebruiksgegevens mislukt in de netwerkisolatiemodus als de gebruiker niet expliciet het opslagaccount biedt dat moet worden gebruikt.

Zie Persoonlijke gegevens exporteren of verwijderen uit Azure DevTest Labs voor meer informatie.

Toegangsbeleid voor key vault instellen

Het inschakelen van het service-eindpunt van de sleutelkluis is alleen van invloed op de firewall. Zorg ervoor dat u de juiste toegangsmachtigingen voor de sleutelkluis configureert in de sectie Toegangsbeleid voor sleutelkluis.

Zie Toegangsbeleid voor Key Vault toewijzen voor meer informatie.

Volgende stappen