Udostępnij za pośrednictwem

Izolacja sieci w usłudze Azure DevTest Labs

  • Artykuł

Ten artykuł przeprowadzi Cię przez proces tworzenia laboratorium izolowanego przez sieć w usłudze Azure DevTest Labs.

Domyślnie usługa Azure DevTest Labs tworzy nową sieć wirtualną platformy Azure dla każdego laboratorium. Sieć wirtualna działa jako granica zabezpieczeń w celu odizolowania zasobów laboratorium od publicznego Internetu. Aby zapewnić, że zasoby laboratorium są zgodne z zasadami sieci organizacji, możesz użyć kilku innych opcji sieci:

  • Izolowanie wszystkich maszyn wirtualnych laboratorium i środowisk w wstępnie wybranej sieci wirtualnej.
  • Dołącz sieć wirtualną platformy Azure do sieci lokalnej, aby bezpiecznie nawiązać połączenie z zasobami lokalnymi. Aby uzyskać więcej informacji, zobacz Architektura referencyjna przedsiębiorstwa usługi DevTest Labs: składniki łączności.
  • Całkowicie odizolować laboratorium, w tym maszyny wirtualne, środowiska, konto magazynu laboratorium i magazyny kluczy, do wybranej sieci wirtualnej. W tym artykule opisano sposób konfigurowania izolacji sieci.

Włącz izolację sieci

Izolację sieci można włączyć w witrynie Azure Portal tylko podczas tworzenia laboratorium. Aby przekonwertować istniejące laboratorium i skojarzone zasoby laboratorium na izolowany tryb sieciowy, użyj skryptu programu PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Podczas tworzenia laboratorium można włączyć izolację sieci dla domyślnej sieci wirtualnej laboratorium lub wybrać inną, wcześniej istniejącą sieć wirtualną do użycia w laboratorium.

Użyj domyślnej sieci wirtualnej i podsieci

Aby włączyć izolację sieci dla domyślnej sieci wirtualnej i podsieci tworzonej przez usługę DevTest Labs dla laboratorium:

  1. Podczas tworzenia laboratorium na ekranie Tworzenie laboratorium DevTest Lab wybierz kartę Sieć .

  2. Obok pozycji Izoluj zasoby laboratorium wybierz pozycję Tak.

  3. Zakończ tworzenie laboratorium.

    Zrzut ekranu przedstawiający włączanie izolacji sieciowej dla domyślnej sieci.

Po utworzeniu laboratorium nie jest potrzebna żadna dalsza akcja. Laboratorium obsługuje izolowanie zasobów od teraz.

Używanie innej sieci wirtualnej i podsieci

Aby użyć innej, istniejącej sieci wirtualnej dla laboratorium i włączyć izolację sieci dla tej sieci:

  1. Podczas tworzenia laboratorium na karcie Sieć ekranu Tworzenie laboratorium DevTest Lab wybierz sieć z listy rozwijanej. Lista zawiera tylko sieci w tym samym regionie i subskrypcji co laboratorium.

    Zrzut ekranu przedstawiający wybieranie sieci wirtualnej.

  2. Wybierz podsieć.

    Zrzut ekranu przedstawiający wybieranie podsieci.

  3. Obok pozycji Izoluj zasoby laboratorium wybierz pozycję Tak.

    Zrzut ekranu przedstawiający włączanie izolacji sieciowej dla wybranej sieci.

  4. Zakończ tworzenie laboratorium.

Konfigurowanie punktów końcowych usługi

Jeśli włączono izolację sieci dla sieci wirtualnej innej niż domyślna, wykonaj następujące kroki, aby odizolować konto magazynu laboratorium i magazyn kluczy do wybranej sieci. Wykonaj te kroki po utworzeniu laboratorium, ale przed wykonaniem dowolnej innej konfiguracji laboratorium lub utworzeniem jakichkolwiek zasobów laboratorium.

Konfigurowanie punktu końcowego dla konta magazynu laboratorium

  1. Na stronie Przegląd laboratorium wybierz grupę zasobów.

    Zrzut ekranu przedstawiający wybieranie grupy zasobów dla laboratorium.

  2. Na stronie Przegląd grupy zasobów wybierz konto magazynu laboratorium. Konwencja nazewnictwa konta magazynu laboratorium to a\<labName>\<4-digit number>. Jeśli na przykład nazwa laboratorium to contosolab, nazwa konta magazynu może mieć wartość acontosolab1234.

    Zrzut ekranu przedstawiający wybieranie konta magazynu laboratorium.

  3. Na stronie konta magazynu wybierz pozycję Sieć w obszarze nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu.

    Zrzut ekranu przedstawiający zezwalanie zaufanym usługom na dostęp do grupy zasobów.

    Usługa DevTest Labs jest zaufaną usługą firmy Microsoft, dlatego wybranie tej opcji umożliwia laboratorium normalne działanie w trybie izolowanym w sieci.

  4. Wybierz pozycję Dodaj istniejącą sieć wirtualną.

    Zrzut ekranu przedstawiający okienko sieci grupy zasobów z wyróżnioną pozycją Dodaj istniejącą sieć wirtualną.

  5. W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający okienko dodawania sieci z wyróżnionymi sieciami wirtualnymi, podsieciami i dodaj.

  6. Na stronie Sieć wybierz pozycję Zapisz.

Usługa Azure Storage umożliwia teraz połączenia przychodzące z dodanej sieci wirtualnej, co umożliwia laboratorium pomyślne działanie w trybie izolowanym sieci.

Te kroki można zautomatyzować za pomocą programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby skonfigurować izolację sieci dla wielu laboratoriów. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.

Konfigurowanie punktu końcowego dla magazynu kluczy laboratorium

  1. Na stronie Przegląd laboratorium wybierz grupę zasobów.

  2. Na stronie Przegląd grupy zasobów wybierz magazyn kluczy laboratorium.

    Zrzut ekranu przedstawiający wybieranie magazynu kluczy laboratorium.

  3. Na stronie magazynu kluczy wybierz pozycję Sieć w obszarze nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj zaufanym usługi firmy Microsoft na obejście tej zapory.

    Zrzut ekranu przedstawiający zezwalanie zaufanym usługom na dostęp do magazynu kluczy.

  4. Wybierz pozycję Dodaj istniejące sieci wirtualne.

    Zrzut ekranu przedstawiający okienko sieci magazynu kluczy z wyróżnioną pozycją Dodaj istniejącą sieć wirtualną.

  5. W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Włącz.

    Zrzut ekranu przedstawiający włączanie sieci wirtualnej i podsieci w magazynie kluczy.

  6. Po pomyślnym włączeniu punktu końcowego usługi wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający dodawanie sieci wirtualnej i podsieci w magazynie kluczy.

  7. Na stronie Sieć wybierz pozycję Zapisz.

Kwestie wymagające rozważenia

Poniżej przedstawiono kilka kwestii, które należy zapamiętać podczas korzystania z laboratorium w trybie izolowanym sieci:

Włączanie dostępu do konta magazynu spoza laboratorium

Właściciel laboratorium musi jawnie włączyć dostęp do konta magazynu izolowanego laboratorium w sieci z dozwolonego punktu końcowego. Akcje, takie jak przekazywanie wirtualnego dysku twardego do konta magazynu na potrzeby tworzenia obrazów niestandardowych, wymagają tego dostępu. Dostęp można włączyć, tworząc maszynę wirtualną laboratorium i bezpiecznie korzystając z konta magazynu laboratorium z tej maszyny wirtualnej.

Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z kontem magazynu przy użyciu prywatnego punktu końcowego platformy Azure.

Udostępnianie konta magazynu do eksportowania danych użycia laboratorium

Aby wyeksportować dane użycia dla laboratorium izolowanego w sieci, właściciel laboratorium musi jawnie podać konto magazynu i wygenerować obiekt blob w ramach konta w celu przechowywania danych. Eksportowanie danych użycia kończy się niepowodzeniem w trybie izolowanym sieci, jeśli użytkownik nie udostępni jawnie konta magazynu do użycia.

Aby uzyskać więcej informacji, zobacz Eksportowanie lub usuwanie danych osobowych z usługi Azure DevTest Labs.

Ustawianie zasad dostępu do magazynu kluczy

Włączenie punktu końcowego usługi magazynu kluczy wpływa tylko na zaporę. Pamiętaj, aby skonfigurować odpowiednie uprawnienia dostępu do magazynu kluczy w sekcji Zasady dostępu do magazynu kluczy.

Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu do usługi Key Vault.

Następne kroki