你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Dev Box 体系结构概述

本文将介绍 Microsoft Dev Box 的体系结构和关键概念。 Microsoft Dev Box 让开发人员能够自助访问预配置、可直接编写代码且基于云的工作站。 你可根据你的开发团队和项目结构配置该服务,并管理安全和网络设置来安全地访问资源。

Microsoft Dev Box 构建在与 Azure 部署环境相同的基础上。 部署环境为开发人员提供了用于开发应用程序的预配置的基于云的环境。 这两款服务是互补的,有一些相同的体系结构组件,例如开发人员中心或项目。

Microsoft Dev Box 的工作原理

需要在 Microsoft Dev Box 中设置开发人员中心和项目,然后开发人员才能在开发人员门户中创建开发箱。 下图概述了 Microsoft Dev Box 中不同组件之间的关系。

示意图概述了 Microsoft Dev Box 中不同组件之间的关系。

开发人员中心是 Microsoft Dev Box 的顶级资源。 开发人员中心包含项目集合和这些项目的共享资源,例如开发箱定义和网络连接。 可创建任意数量的开发人员中心,但大多数组织只需要一个。

开发箱项目是开发团队的访问点。 你向开发人员分配项目的 Dev Box 用户角色,从而向开发人员授予创建开发箱的权限。 可以在开发人员中心创建一个或多个项目。

开发箱定义指定了开发箱的配置,例如开发箱的虚拟机映像和计算资源。 可以从 Azure 市场选择 VM 映像,也可使用 Azure 计算库来使用自定义 VM 映像。

项目包含开发箱池的集合。 开发箱池指定了开发箱的配置,例如开发箱定义和网络连接等设置。 从开发箱池创建的所有开发箱共享相同的配置。

与开发箱池关联的网络连接决定了开发箱的托管位置。 可以使用 Microsoft 托管的网络连接,也可自带 Azure 网络连接。 如果需要对虚拟网络进行控制,或者如果需要访问公司资源,或需要有权使用 Active Directory 帐户对开发箱进行身份验证,可以使用 Azure 网络连接。

开发人员可以使用开发人员门户从开发箱池创建开发箱。 他们可能会根据 VM 映像、计算资源或托管开发箱的位置从特定池中进行选择。

开发箱运行后,开发箱用户可以使用远程桌面客户端如 Windows 应用或直接从浏览器远程连接到该开发箱。 开发箱用户可完全控制其创建的开发箱,并且可以从开发人员门户管理它们。

Microsoft Dev Box 体系结构

在订阅所有者将虚拟机的适当且范围限定的权限委托给 Microsoft 服务后,这些服务可使用“代表托管”体系结构将托管的 Azure 服务附加到客户订阅。 此连接模型使 Microsoft 服务能够提供服务型软件和用户许可服务,而不是标准的基于消耗的服务。

Microsoft Dev Box 使用“代表托管”体系结构,这意味着开发箱存在于 Microsoft 拥有的订阅中。 因此,Microsoft 运行和管理此基础结构会产生成本。 开发箱部署在由 Microsoft 管理的订阅中,并连接到客户的虚拟网络。

Microsoft Dev Box 管理 Microsoft Dev Box 订阅中的容量和区域可用性。 Microsoft Dev Box 根据创建开发箱池时选择的网络连接确定托管开发箱的 Azure 区域。

为了保护你的数据,Microsoft Dev Box 默认使用平台管理密钥来加密磁盘。 你不必启用 BitLocker,如果执行此操作,将会阻止你访问开发箱。

有关 Azure 服务中数据存储和保护的详细信息,请参阅:Azure 客户数据保护

对于网络连接,还可选择是使用 Microsoft 托管的网络连接,还是你在自己的订阅中创建的 Azure 网络连接。

下图显示了 Microsoft Dev Box 的逻辑体系结构。

示意图概述了 Microsoft Dev Box 体系结构。

网络连接

网络连接可控制开发箱的创建和托管位置,并让你能够连接到其他 Azure 或公司资源。 可使用 Microsoft 托管的网络连接或自带 Azure 网络连接,具体取决于你的控制级别。

Microsoft 托管的网络连接以 SaaS 方式提供网络连接。 Microsoft 管理开发箱的网络基础结构和相关服务。 Microsoft 托管的网络是纯云部署,支持 Microsoft Entra 联接。 此选项与 Microsoft Entra 混合联接模型不兼容。

此外,可以使用 Azure 网络连接(自带网络)来连接到 Azure 虚拟网络,并选择性地连接到公司资源。 使用 Azure 网络连接,可以管理和控制整个网络设置和配置。 可以将 Microsoft Entra 联接选项或 Microsoft Entra 混合联接选项用于 Azure 网络连接,让你能够连接到本地 Azure Active Directory 域服务。

如果使用自己的 Azure 虚拟网络,Microsoft Dev Box 支持使用虚拟网络安全性和路由功能,包括:

在 Microsoft Dev Box 中,将网络连接与项目中的开发箱池相关联。 然后,在此开发箱池中创建的所有开发箱都托管在网络连接的 Azure 区域中。 如果使用 Azure 网络连接,请先将网络连接添加到开发人员中心,然后将连接与开发箱池相关联。

若要确定托管开发箱的最佳区域,可以让开发箱用户使用 Azure 虚拟桌面体验评估器工具来估算从其位置开始的连接往返时间。 然后,可配置开发箱池和网络连接,以优化该地理区域中开发人员的延迟。

Microsoft Intune 集成

Microsoft Intune 用于管理开发箱。 每个 Dev Box 用户都需要一个 Microsoft Intune 许可证,并且可以创建多个开发箱。 预配开发箱后,可以像 Microsoft Intune 中的任何其他 Windows 设备一样对其进行管理。 例如,可以创建设备配置文件来在 Windows 中打开和关闭不同的设置,或者将应用和更新推送到用户的开发箱。

Microsoft Intune 和关联的 Windows 组件具有各种网络终结点,必须允许这些终结点通过虚拟网络。 如果不使用 Microsoft Intune 管理这些设备类型,则可以安全地忽略 Apple 和 Android 终结点。

标识服务

Microsoft Dev Box 使用 Microsoft Entra ID,并选择性地使用本地 Active Directory 域服务 (AD DS)。 Microsoft Entra ID 提供:

  • 为 Microsoft Dev Box 开发人员门户提供用户身份验证。
  • 通过 Microsoft Entra 混合联接或 Microsoft Entra 联接为 Microsoft Intune 提供设备标识服务。

将开发箱配置为使用 Microsoft Entra 混合联接时,AD DS:

  • 为开发箱提供本地域加入。
  • 为远程桌面协议 (RDP) 连接提供用户身份验证。

将开发箱配置为使用 Microsoft Entra 联接时,Microsoft Entra ID:

  • 为开发箱提供域加入机制。
  • 为 RDP 连接提供用户身份验证。

注意

Microsoft Dev Box 支持工作和学校帐户。 它不支持使用来宾帐户或个人帐户。

用户连接

开发箱运行时,开发人员可使用远程桌面客户端如 Windows 应用或直接从浏览器内连接到该开发箱。

开发箱连接由 Azure 虚拟桌面提供。 没有从 Internet 直接到开发箱的入站连接。 而是进行了如下连接:

  • 从开发箱连接到 Azure 虚拟桌面终结点
  • 从远程桌面客户端连接到 Azure 虚拟桌面终结点。

有关这些终结点的详细信息,请参阅 Azure 虚拟桌面所需 URL 列表。 为了简化网络安全控制的配置,请使用 Azure 虚拟桌面的服务标记来标识这些终结点。 有关 Azure 服务标记的详细信息,请参阅 Azure 服务标记概述

无需配置开发箱即可建立这些连接。 Microsoft Dev Box 将 Azure 虚拟桌面连接组件无缝集成到库或自定义映像中。

若要详细了解 Azure 虚拟桌面的网络体系结构,请参阅了解 Azure 虚拟桌面网络连接

Microsoft Dev Box 不支持第三方连接代理。