Поделиться через

Руководство по развертыванию Microsoft Dev Box

  • Статья

В этой статье вы узнаете о процессе, параметрах конфигурации и рекомендациях по планированию и реализации развертывания Microsoft Dev Box.

Развертывание Microsoft Dev Box требует участия различных ролей в организации. Каждая роль имеет определенные обязанности и требования. Прежде чем начать реализацию Microsoft Dev Box, важно собрать все требования из разных ролей, так как они влияют на параметры конфигурации для различных компонентов в Microsoft Dev Box. После того как вы изложили свои требования, вы можете выполнить шаги по развертыванию, чтобы развернуть Dev Box в вашей организации.

Роли и обязанности организации

Служба Dev Box была разработана с тремя организационными ролями: инженерами платформ, специалистами по разработке и разработчиками. В зависимости от размера и структуры организации некоторые из этих ролей могут объединяться человеком или командой.

Каждая из этих ролей несет определенные обязанности во время развертывания Microsoft Dev Box в вашей организации:

  • Инженер платформы: работает с ИТ-администраторами для настройки инфраструктуры разработчиков и средств для команд разработчиков. Это состоит из следующих задач:

    • Настройка идентификатора Microsoft Entra для включения удостоверения и проверки подлинности для потенциальных разработчиков и разработчиков
    • Создание центра разработки и управление ими в подписке Azure организации
    • Создание сетевых подключений, определений поля разработки и коллекций вычислительных ресурсов в центре разработки и управление ими
    • Создание проектов и управление ими в центре разработки
    • Создание и настройка других ресурсов Azure в подписках Azure организации
    • Настройка конфигурации устройства Microsoft Intune для полей разработки и назначения лицензий пользователям Dev Box
    • Настройка параметров сети для обеспечения безопасного доступа и подключения к ресурсам организации
    • Настройка параметров безопасности для авторизации доступа к полям разработки

  • Руководитель группы разработчиков: помогает создавать интерфейс разработчика и управлять ими. Сюда входят следующие задачи:

    • Создание пулов полей разработки и управление ими в проекте
    • Предоставление входных данных инженерам платформы для создания определений поля разработки и управления ими в центре разработки

  • Разработчик: самообслуживание одного или нескольких полей разработки в рамках назначенных проектов.

    • Создание и управление полем разработки на основе пула средств разработки проекта на портале разработчика
    • Подключение к коробке разработки с помощью клиента удаленного рабочего стола, например приложения Windows

Схема, показывая роли и обязанности инженеров платформы Dev Box, руководителей команд и разработчиков.

Определение требований для Microsoft Dev Box

При подготовке к развертыванию Microsoft Dev Box в организации важно сначала определить требования к управлению ит-пользователями и пользователями. Например, группы разработки географически распределены, имеются ли политики безопасности, вы стандартизируете определенные вычислительные ресурсы и многое другое.

Microsoft Dev Box предоставляет различные параметры конфигурации для каждого из различных компонентов для оптимизации развертывания для конкретных требований. На основе этих требований вы можете точно настроить конкретный план развертывания Dev Box и шаги реализации для вашей организации.

Например, если командам разработчиков требуется доступ к корпоративным ресурсам, таким как центральная база данных, это влияет на конфигурацию сети для пула средств разработки и может потребовать дополнительных сетевых компонентов Azure.

В следующей таблице перечислены требования, которые могут повлиять на развертывание Microsoft Dev Box и рекомендации при настройке компонентов Dev Box.

Категория Требование Рекомендации
Настройка группы разработки Географически распределенные команды. Регион Azure сетевого подключения пула средств разработки определяет, где размещаются поля разработки. Чтобы оптимизировать задержку между компьютером разработчика и полем разработки, разместите поле разработки, ближайшее к расположению пользователя поля разработки. Если у вас несколько географически распределенных команд, можно создать несколько сетевых подключений и связанных пулов средств разработки для размещения каждого региона.
Несколько проектов с различными командами потенциальных клиентов и разрешений. Разрешения для проектов разработки контролируются на уровне проекта в центре разработки. Рекомендуется создать проект, если требуется разделение управления между различными командами разработки.
Настройка поля разработки Разные команды имеют разные требования к программному обеспечению для их поля разработки. Создайте одно или несколько определений поля разработки для представления различных требований к операционной системе или программному обеспечению или оборудованию в организации. Определение поля разработки использует определенный образ виртуальной машины, который можно создать специально. Например, создайте определение поля разработки для специалистов по обработке и анализу данных, которые имеют средства обработки и анализа данных и другие ресурсы. Определения поля разработки совместно используются в центре разработки. При создании пула полей разработки в проекте можно выбрать из списка определений поля разработки.
Несколько конфигураций вычислительных ресурсов. Определения поля разработки объединяют образ виртуальной машины и вычислительные ресурсы, используемые для поля разработки. Создайте одно или несколько определений поля разработки на основе требований к вычислительным ресурсам в проектах. При создании пула полей разработки в проекте можно выбрать из списка определений поля разработки.
Разработчики могут настроить свое поле разработки. Для настройки для каждого разработчика, например для настройки репозиториев системы управления версиями или параметров средств разработчика, можно включить настройки для полей разработки.
Стандартизируйте образы виртуальных машин для конкретной организации. При настройке центра разработки можно указать одну или несколько коллекций вычислительных ресурсов Azure, которые содержат образы виртуальных машин, относящиеся к вашей организации. С помощью коллекции вычислений можно убедиться, что для создания полей разработки используются только утвержденные образы виртуальных машин.
Удостоверения и доступ Управление пользователями только в облаке с помощью идентификатора Microsoft Entra. Решение для управления пользователями влияет на сетевые параметры для создания пулов средств разработки. При использовании идентификатора Microsoft Entra можно выбрать как размещенную корпорацию Майкрософт, так и использовать собственную сеть.
Пользователи войдите с помощью учетной записи Active Directory. Если вы управляете пользователями в службах домен Active Directory, необходимо использовать гибридное соединение Microsoft Entra для интеграции с Microsoft Dev Box. Таким образом, вы не можете использовать параметр сети, размещенный корпорацией Майкрософт, при создании пула средств разработки и использовать сеть Azure для включения гибридного сетевого подключения.
Сеть и подключение Доступ к другим ресурсам Azure. Если требуется доступ к другим ресурсам Azure, необходимо настроить сетевое подключение Azure. В результате при создании пула полей разработки нельзя использовать параметр сети, размещенный корпорацией Майкрософт.
Доступ к корпоративным ресурсам (гибридное подключение). Чтобы получить доступ к корпоративным ресурсам, необходимо настроить сетевое подключение Azure, а затем настроить гибридное подключение с помощью сторонних виртуальных сетей, VPN Azure или Azure ExpressRoute. В результате при создании пула полей разработки нельзя использовать параметр сети, размещенный корпорацией Майкрософт.
Настраиваемая маршрутизация. Если требуется настраиваемая маршрутизация, необходимо настроить сетевое подключение Azure. В результате при создании пула полей разработки нельзя использовать параметр сети, размещенный корпорацией Майкрософт.
Безопасность сети Настройте ограничения трафика с группами безопасности сети (NSG). Если для ограничения входящего или исходящего трафика требуются группы безопасности сети, необходимо настроить сетевое подключение Azure. В результате при создании пула полей разработки нельзя использовать параметр сети, размещенный корпорацией Майкрософт.
Использование брандмауэра. Для использования брандмауэров или шлюзов приложений необходимо настроить сетевое подключение Azure. В результате при создании пула полей разработки нельзя использовать параметр сети, размещенный корпорацией Майкрософт.
Управление устройствами Ограничить доступ к поле разработки только управляемым устройствам или на основе географии. С помощью Microsoft Intune можно создавать динамические группы устройств и политики условного доступа. Узнайте, как настроить политики условного доступа Intune.
Настройка параметров и функций устройства на разных устройствах. После подготовки Dev Box вы можете управлять им, как и любое другое устройство в Microsoft Intune. Вы можете создать профили конфигурации устройства, чтобы включить и отключить различные параметры.

Развертывание Microsoft Dev Box

После определения требований можно начать развертывание Microsoft Dev Box. Microsoft Dev Box состоит из нескольких ресурсов Azure, таких как центр разработки, проекты, определения полей разработки и многое другое. Dev Box также имеет зависимости от других служб Azure и Microsoft Intune. Дополнительные сведения об архитектуре Microsoft Dev Box.

Для развертывания Microsoft Dev Box требуется создание и настройка нескольких служб в Azure, Intune и вашей инфраструктуре. В следующих разделах приведены различные шаги по развертыванию Microsoft Dev Box в организации. Некоторые действия являются необязательными и зависят от конкретной настройки организации.

Шаг 1. Настройка подписки Azure

Подписка — это единица управления, выставления счетов и масштабирования в Azure. Вы можете иметь одну или несколько подписок Azure из-за проектирования организации и управления, квоты ресурсов и емкости, управления затратами и т. д. Дополнительные сведения о создании подписок Azure.

Каждая подписка Azure связана с одним клиентом Microsoft Entra, который выступает в качестве поставщика удостоверений (IdP) для подписки Azure. Клиент Microsoft Entra используется для проверки подлинности пользователей, служб и устройств.

Каждому пользователю Dev Box требуется лицензия Microsoft Intune. Подписка Azure, содержащая ресурсы Azure Dev Box (центр разработки, проект и многое другое) должна находиться в том же клиенте, что и Microsoft Intune.

Шаг 2. Настройка сетевых компонентов

В полях разработки требуется сетевое подключение для доступа к ресурсам. Вы можете выбрать сетевое подключение, размещенное корпорацией Майкрософт, и сетевое подключение Azure, которое вы создаете в собственной подписке. При использовании сетевого подключения Azure необходимо настроить соответствующие сетевые компоненты в Azure и потенциально в сетевой инфраструктуре вашей организации.

Примеры сетевых компонентов, которые могут потребоваться настроить:

  • Виртуальные сети Azure (виртуальная сеть)
  • Настройка пиринга виртуальных сетей
  • Настройка групп безопасности сети (группы безопасности сети)
  • Настройка брандмауэров, таких как Брандмауэр Azure или другие
  • Настройка Azure ExpressRoute
  • Настройка виртуальных сетей или шлюзов

Если у вас есть следующие требования, необходимо использовать сетевые подключения Azure и настроить сеть соответствующим образом:

  • Доступ к локальным ресурсам из поля разработки, таких как сервер лицензирования, принтеры, система управления версиями или другие
  • Доступ к другим ресурсам Azure, таким как база данных Cosmos DB, кластер AKS и многое другое
  • Ограничение доступа через брандмауэры или группы безопасности сети (NSG)
  • Определение правил пользовательской маршрутизации сети
  • Управление пользователями не в идентификаторе Microsoft Entra

При подключении к ресурсам локально через гибридные соединения Microsoft Entra обратитесь к специалисту по топологии сети Azure. Рекомендуется реализовать топологию сети концентратора и периферийной сети. Концентратор — это центральная точка, которая подключается к локальной сети; Вы можете использовать Express Route, VPN типа "сеть — сеть" или VPN типа "точка — сеть". Речь идет о виртуальной сети, содержащей поля разработки. Чтобы предоставить доступ к локальным ресурсам, необходимо подключить виртуальную сеть dev box к локальной виртуальной сети. Топология концентраторов и периферийных серверов помогает управлять сетевым трафиком и безопасностью.

Планирование сети должно включать оценку количества необходимых IP-адресов и их распределение между виртуальными сетями. Дополнительные бесплатные IP-адреса необходимы для проверки работоспособности сетевого подключения Azure. Для проверки работоспособности и инфраструктуры Dev Box требуется 1 дополнительный IP-адрес для каждого поля разработки, а также два IP-адреса.

Дополнительные сведения о требованиях к сети Microsoft Dev Box.

Шаг 3. Настройка групп безопасности для управления доступом на основе ролей

Microsoft Dev Box использует управление доступом на основе ролей Azure (Azure RBAC) для предоставления доступа к функциям в службе:

  • Предоставление администраторам проекта доступа к выполнению административных задач в проектах Microsoft Dev Box (роль администратора проекта)
  • Предоставление пользователям поля разработки доступа к созданию и управлению своими полями разработки в проекте Dev Box (роль пользователя Dev Box)

Рекомендуется создавать группы безопасности в идентификаторе Microsoft Entra для предоставления или отзыва доступа для администраторов и пользователей для каждого проекта. С помощью группы безопасности можно делегировать задачу предоставления доступа независимо от их разрешений на ресурсы Azure. Например, вы можете удалить доступ для пользователей поля разработки к команде разработчиков для этого проекта.

Дополнительные сведения о группах идентификаторов Microsoft Entra.

Шаг 4. Создание центра разработки

Чтобы приступить к работе с Microsoft Dev Box, сначала создайте центр разработки. Центр разработки в Microsoft Dev Box предоставляет централизованное место для управления коллекцией проектов, конфигурацией доступных образов и размеров полей разработки, а также сетевыми параметрами для обеспечения доступа к ресурсам организации.

Вы можете создать несколько центров разработки в следующих случаях:

  • Если требуется, чтобы определенные конфигурации были доступны для подмножества проектов. Все проекты в центре разработки используют одинаковые определения полей разработки, сетевое подключение, каталоги и коллекции вычислений.

  • Если разные пользователи должны принадлежать и поддерживать ресурс центра разработки в Azure.

Примечание.

Регион Azure, в котором находится центр разработки, не определяет расположение полей разработки.

Узнайте больше о создании центра разработки для Microsoft Dev Box.

Шаг 5. Настройка сетевых подключений

Управление сетевыми подключениями, где создаются и размещаются поля разработки, а также позволяют подключаться к другим ресурсам Azure или корпоративным ресурсам. В зависимости от уровня управления можно использовать сетевые подключения, размещенные корпорацией Майкрософт, или использовать собственные сетевые подключения Azure.

Сетевые подключения, размещенные корпорацией Майкрософт, обеспечивают сетевое подключение в режиме SaaS. Корпорация Майкрософт управляет сетевой инфраструктурой и связанными службами для ваших ящиков разработки. Размещенные корпорацией Майкрософт сети — это облачное развертывание, поддерживающее присоединение к Microsoft Entra. Этот параметр несовместим с моделью гибридного соединения Microsoft Entra.

Сетевое подключение, размещенное корпорацией Майкрософт, создается и назначается конкретному проекту центра разработки. Для каждого проекта можно создать несколько сетевых подключений. Сетевые подключения, созданные в проекте, не являются общими для других проектов.

Вы также можете использовать сетевые подключения Azure (принести собственную сеть) для подключения к виртуальным сетям Azure и при необходимости подключения к корпоративным ресурсам. С помощью сетевых подключений Azure вы управляете всей конфигурацией сети и управляете ими. Вы можете использовать параметры гибридного соединения Microsoft Entra или Microsoft Entra с сетевыми подключениями Azure, что позволяет подключаться к локальным службам Azure домен Active Directory Services.

Вы создаете сетевые подключения Azure и назначаете их центру разработки. Все проекты в центре разработки совместно используют сетевые подключения в центре разработки.

Рекомендуется создать отдельное сетевое подключение в следующих сценариях:

  • Разработчик или команда находятся в другом географическом регионе. Область сетевого подключения определяет, где размещаются поля разработки.
  • Разработчику или команде требуется доступ к ресурсам Azure. Рекомендуется создать отдельное сетевое подключение Azure для каждого сценария использования (например, доступ к серверу управления версиями или доступ к веб-приложению и серверу базы данных).
  • Разработчику или команде требуется доступ к корпоративным локальным ресурсам. Создайте сетевое подключение Azure и настройте его для гибридного подключения.
  • Пользователи поля разработки должны пройти проверку подлинности с помощью учетной записи Active Directory. Создайте сетевое подключение Azure и настройте его для гибридного подключения.

Шаг 6. Создание коллекций вычислений

По умолчанию определения поля разработки могут использовать любой образ виртуальной машины, совместимый с Dev Box из Azure Marketplace. Вы можете назначить одну или несколько коллекций вычислительных ресурсов Azure центру разработки для управления образами виртуальных машин, доступными во всех проектах центра разработки.

Коллекция вычислений Azure — это служба для управления образами и совместного использования. Коллекция — это репозиторий, хранящийся в подписке Azure, который помогает создавать структуру и организацию вокруг ресурсов образа.

Рекомендуется использовать коллекцию вычислений Azure в следующих случаях:

  • Команды разработчиков могут стандартизировать версию поддерживаемого образа до тех пор, пока не будет проверена более новая версия.
  • Команды разработчиков могут использовать последнюю версию определения образа, чтобы они всегда получали последний образ при создании полей разработки.
  • Команды разработчиков могут выбирать образы, предварительно настроенные с помощью компонентов программного обеспечения и конфигураций для своего проекта или сценария использования. Например, изображения для проектов обработки и анализа данных, веб-разработка интерфейсов и многое другое.
  • Вы хотите сохранить образы в одном расположении и использовать их в центрах разработки, проектах и пулах.

При создании пользовательских образов виртуальных машин также рассмотрите возможность использования задач настройки поля разработки, чтобы ограничить количество вариантов образов виртуальных машин и настроить конфигурацию своего поля разработки самостоятельно. Например, можно создать образ разработки общего назначения и использовать настройку, чтобы позволить разработчикам настраивать его для конкретных задач разработки и предварительно настраивать репозиторий исходного кода.

Узнайте больше о настройке коллекции вычислений для центра разработки.

Шаг 7. Присоединение каталога

Пользователи поля разработки могут настроить свой ящик разработки с помощью задач установки, например установить дополнительное программное обеспечение, клонировать репозиторий и многое другое. Эти задачи выполняются как часть процесса создания поля разработки. С помощью задач настройки и настройки поля разработки можно уменьшить количество образов виртуальных машин, которые необходимо поддерживать для ваших проектов.

Задачи установки определяются в каталоге, который может быть репозиторием GitHub или репозиторием Azure DevOps. Подключите один или несколько каталогов к центру разработки. Все задачи доступны для всех полей разработки, созданных во всех проектах в центре разработки.

Корпорация Майкрософт предоставляет каталог быстрого запуска, который поможет вам приступить к настройке. Этот каталог включает набор задач по умолчанию, определяющих распространенные задачи установки, такие как установка программного обеспечения с помощью WinGet или Chocolatey, клонирование репозитория, настройка приложений или запуск сценариев PowerShell.

Рекомендуется присоединить каталог в следующих случаях:

  • Пользователи поля разработки имеют отдельные требования к настройке для своего поля разработки
  • Вы хотите предоставить группам разработчиков набор стандартных параметров для настройки своего поля разработки
  • Вы хотите ограничить количество образов виртуальных машин и определений полей разработки для обслуживания

Рассмотрите возможность создания нового каталога, если задачи в каталоге быстрого запуска недостаточно. Вы можете присоединить каталог быстрого запуска и собственные каталоги к центру разработки.

Узнайте, как создавать настройки поля разработки.

Шаг 8. Создание определений поля разработки

Определение поля разработки содержит конфигурацию поля разработки, указав образ виртуальной машины, вычислительные ресурсы, такие как память и ЦП, а также хранилище.

Определения полей разработки настраивается на уровне центра разработки. Все проекты центра разработки используют определения поля разработки в центре разработки.

Рассмотрите возможность создания одного или нескольких определений поля разработки в следующих случаях:

  • Для команд разработчиков требуются разные образы виртуальных машин, так как им нужна другая версия операционной системы или другие приложения.
  • Команды разработчиков имеют разные требования к вычислительным ресурсам. Например, администраторам баз данных может потребоваться компьютер с большим объемом хранилища и памяти.

Рассмотрите стоимость вычислительных ресурсов, связанных с определением поля разработки, чтобы оценить общую стоимость развертывания.

Шаг 9. Создание проектов

В Microsoft Dev Box вы создаете и связываете проект с центром разработки. Проект обычно соответствует проекту разработки в организации. Например, можно создать проект для разработки бизнес-приложения и другого проекта для разработки корпоративного веб-сайта.

В проекте вы определяете список пулов поля разработки, доступных для пользователей поля разработки для создания полей разработки. На уровне проекта можно указать ограничение на количество полей разработки, которые может создать пользователь поля разработки.

Microsoft Dev Box использует управление доступом на основе ролей Azure (Azure RBAC) для предоставления доступа к функциям на уровне проекта:

  • Предоставление администраторам проекта доступа к выполнению административных задач в проектах Microsoft Dev Box (роль администратора проекта)
  • Предоставление пользователям поля разработки доступа к созданию и управлению своими полями разработки в проекте Dev Box (роль пользователя Dev Box)

Рекомендуется использовать группу идентификаторов Microsoft Entra для управления доступом для пользователей и администраторов проекта.

Рекомендуется создать проект центра разработки в следующих случаях:

  • Вы хотите предоставить команде разработчиков набор стандартных рабочих станций разработчиков облака для проекта разработки программного обеспечения
  • У вас несколько проектов разработки с отдельными администраторами проектов и разрешениями на доступ

Узнайте больше о создании проектов и управлении ими.

Шаг 10. Создание пулов полей разработки

В проекте администратор проекта может создать один или несколько пулов полей разработки. Пользователи поля разработки используют портал разработчика для выбора пула полей разработки для создания поля разработки.

Пул средств разработки связывает определение поля разработки с сетевым подключением. Вы можете выбрать подключения, размещенные корпорацией Майкрософт, или собственные сетевые подключения Azure. Расположение сетевого подключения определяет расположение, в котором размещено поле разработки. Рассмотрите возможность создания пула полей разработки с сетевым подключением, ближайшим к пользователям поля разработки.

Чтобы сократить затраты на выполнение полей разработки, можно настроить поля разработки в пуле полей разработки, чтобы завершить работу ежедневно в предопределенное время.

Рассмотрите возможность создания пула полей разработки в следующих случаях:

  • Создайте пул полей разработки для каждого определения поля разработки, необходимого команде разработчиков.
  • Чтобы уменьшить задержку в сети, создайте пул полей разработки для каждого географического расположения, где у вас есть пользователи поля разработки. Выберите сетевое подключение, ближайшее к пользователю поля разработки.
  • Создайте пул средств разработки для разработчиков, которым требуется доступ к другим ресурсам Azure или локальным ресурсам. Выберите из списка сетевых подключений Azure в центре разработки при настройке пула средств разработки.

Узнайте больше о создании пулов средств разработки и управлении ими.

Шаг 11. Настройка Microsoft Intune

Microsoft Dev Box использует Microsoft Intune для управления полями разработки. Используйте Центр администрирования Microsoft Intune для настройки параметров Intune, связанных с развертыванием Dev Box.

Примечание.

Каждому пользователю Dev Box требуется одна лицензия Microsoft Intune и может создавать несколько полей разработки.

Конфигурация устройств

После подготовки поля разработки вы можете управлять им, как и любое другое устройство Windows в Microsoft Intune. Например, можно создать профили конфигурации устройства для включения и отключения различных параметров в Windows, а также отправки приложений и обновлений в поля разработки пользователей.

Настройка политик условного доступа

С помощью Intune можно настроить политики условного доступа для управления доступом к полям разработки. Для Dev Box обычно настраиваются политики условного доступа, чтобы ограничить доступ к полям разработки, что они могут сделать, и где они могут получить доступ. Чтобы настроить политики условного доступа, можно использовать Microsoft Intune для создания динамических групп устройств и политик условного доступа.

Ниже приведены некоторые сценарии использования условного доступа в Microsoft Dev Box:

  • Ограничение доступа к поле разработки только управляемым устройствам
  • Ограничение возможности копирования и вставки из поля разработки
  • Ограничение доступа к поле разработки только из определенных географических регионов

Узнайте, как настроить политики условного доступа для Dev Box.

Управление привилегиями

Вы можете настроить Управление привилегиями на конечных точках Microsoft Intune (EPM) для полей разработки, чтобы пользователи поля разработки не нуждались в правах локального администратора. Управление привилегиями на конечных точках Microsoft Intune позволяет пользователям вашей организации работать как стандартный пользователь (без прав администратора) и выполнять задачи, требующие повышенных привилегий. Задачи, которые обычно требуют прав администратора, — это установка приложений (например, приложений Microsoft 365), обновление драйверов устройств и выполнение определенных диагностика Windows.

Узнайте больше о настройке привилегий конечной точки Microsoft Intune для Microsoft Dev Box.

Связанный контент