通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 开发测试实验室中的网络隔离

  • 项目

本文将逐步讲解如何在 Azure 开发测试实验室中创建网络隔离实验室。

默认情况下,Azure 开发测试实验室会为每个实验室创建新的 Azure 虚拟网络。 虚拟网络起到安全边界的作用,将你的实验室资源与公共 Internet 隔离开来。 若要确保实验室资源遵循组织网络策略,可以使用其他几个网络选项:

  • 在所选的预先存在的虚拟网络中,将所有实验室虚拟机 (VM)环境隔离开来。
  • 可将 Azure 虚拟网络加入本地网络,以便安全地连接到本地资源。 有关详细信息,请参阅开发测试实验室企业参考体系结构:连接组件
  • 将实验室(包括 VM、环境、实验室存储帐户和密钥保管库)完全隔离到选定的虚拟网络。 本文介绍如何配置网络隔离。

启用网络隔离

仅可在创建实验室期间,在 Azure 门户中启用网络隔离。 若要将现有实验室和关联实验室资源转换为隔离网络模式,请使用 PowerShell 脚本 Convert-DtlLabToIsolatedNetwork.ps1

在创建实验室期间,可以为默认实验室虚拟网络启用网络隔离,也可以选择其他预先存在的虚拟网络用于实验室。

使用默认的虚拟网络和子网

若要为开发测试实验室为实验室创建的默认虚拟网络和子网启用网络隔离:

  1. 创建实验室期间,在“创建开发测试实验室”屏幕上选择“网络”选项卡。

  2. 在“隔离实验室资源”旁边,选择“是”。

  3. 完成实验室创建。

    显示如何为默认网络启用网络隔离的屏幕截图。

创建实验室后,无需进一步操作。 实验室将处理后续的资源隔离事宜。

使用其他虚拟网络和子网

若要为实验室使用不同的现有虚拟网络,并为该网络启用网络隔离:

  1. 创建实验室期间,在“创建开发测试实验室”屏幕的“网络”选项卡上,从下拉列表中选择一个网络。 此列表仅显示与实验室处于同一区域和订阅中的网络。

    显示如何选择虚拟网络的屏幕截图。

  2. 选择子网。

    显示如何选择子网的屏幕截图。

  3. 在“隔离实验室资源”旁边,选择“是”。

    显示如何为所选网络启用网络隔离的屏幕截图。

  4. 完成实验室创建。

配置服务终结点

如果已为默认虚拟网络以外的某个虚拟网络启用网络隔离,请完成以下步骤,将实验室存储帐户和密钥保管库隔离到所选网络。 请在创建实验室之后,在执行任何其他实验室配置或创建任何实验室资源之前,执行这些步骤。

为实验室存储帐户配置终结点

  1. 在实验室的“概述”页上,选择“资源组”。

    显示如何选择实验室资源组的屏幕截图。

  2. 在资源组的“概述”页上,选择实验室的存储帐户。 实验室存储帐户的命名约定为 a\<labName>\<4-digit number>。 例如,如果实验室名称为 contosolab,则存储帐户名称可以为 acontosolab1234

    显示如何选择实验室存储帐户的屏幕截图。

  3. 在“存储帐户”页的左侧导航栏中选择“网络”。 在“防火墙和虚拟网络”选项卡上,确保选择“允许受信任服务列表中的 Azure 服务访问此存储帐户。”。

    显示允许受信任的服务访问资源组的屏幕截图。

    开发测试实验室是受信任的 Microsoft 服务,因此选择此选项后实验室可在网络隔离模式下正常工作。

  4. 选择“添加现有虚拟网络”。

    显示资源组网络窗格的屏幕截图,其中突出显示了“添加现有虚拟网络”。

  5. 在“添加网络”窗格中,选择创建实验室时所选的虚拟网络和子网,然后选择“添加”

    显示添加网络窗格的屏幕截图,其中突出显示了虚拟网络、子网和“添加”选项。

  6. 在“网络”页上,选择“保存”。

Azure 存储现允许来自添加的虚拟网络的入站连接,使实验室能够在网络隔离模式下成功运作。

可以通过 PowerShell 或 Azure CLI 自动执行这些步骤,为多个实验室配置网络隔离。 有关详细信息,请参阅配置 Azure 存储防火墙和虚拟网络

为实验室密钥保管库配置终结点

  1. 在实验室的“概述”页上,选择“资源组”。

  2. 在资源组“概述”页上,选择实验室的密钥保管库。

    显示如何选择实验室的密钥保管库的屏幕截图。

  3. 在密钥保管库页的左侧导航栏中选择“网络”。 在“防火墙和虚拟网络”选项卡上,确保将“允许受信任的 Microsoft 服务绕过此防火墙”选中。

    显示允许受信任的服务访问密钥保管库的屏幕截图。

  4. 选择“添加现有虚拟网络”。

    显示密钥保管库网络窗格的屏幕截图,其中突出显示了“添加现有虚拟网络”。

  5. 在“添加网络”窗格中,选择创建实验室时所选的虚拟网络和子网,然后选择“启用”。

    显示在密钥保管库中启用虚拟网络和子网的屏幕截图。

  6. 成功启用服务终结点后,选择“添加”。

    显示在密钥保管库中添加虚拟网络和子网的屏幕截图。

  7. 在“网络”页上,选择“保存”。

注意事项

下面是在网络隔离模式下使用实验室时要记住的一些事项:

启用从实验室外部访问存储帐户的权限

实验室所有者必须显式启用从允许的终结点访问网络隔离实验室存储帐户的权限。 将 VHD 上传到存储帐户以创建自定义映像等操作需要此访问权限。 可以通过创建一个实验室 VM,并从该 VM 安全地访问实验室的存储帐户来启用访问权限。

有关详细信息,请参阅使用 Azure 专用终结点连接到存储帐户

提供存储帐户以导出实验室使用情况数据

若要导出网络隔离实验室的使用情况数据,实验室所有者必须显式提供存储帐户,并在该帐户中生成一个 Blob 来存储数据。 如果用户未显式提供要使用的存储帐户,则在网络隔离模式下导出使用情况数据会失败。

有关详细信息,请参阅从 Azure 开发测试实验室中导出或删除个人数据

设置密钥保管库访问策略

启用密钥保管库服务终结点只会影响防火墙。 请确保在密钥保管库“访问策略”部分中配置相应的密钥保管库访问权限。

有关详细信息,请参阅分配 Key Vault 访问策略

后续步骤