DevTest Labs 企業參考結構
本文提供企業的 Azure DevTest Labs 參考結構。 此結構包含下列重要元素:
- 透過 Azure ExpressRoute 的內部部署連線能力
- 遠端登入虛擬機器 (VM) 的遠端桌面閘道
- 私人成品存放庫的連線能力
- 實驗室使用的其他平台即服務 (PaaS) 元件
架構
下圖顯示一般 DevTest Labs 企業部署。 此結構會將不同 Azure 訂用帳戶中的數個實驗室連線到公司的內部部署網路。
DevTest Labs 元件
DevTest Labs 可讓企業輕鬆快速地存取 Azure 資源。 每個實驗室都包含軟體即服務 (SaaS)、基礎結構即服務 (IaaS) 和 PaaS 資源。 實驗室使用者可以建立及設定 VM、PaaS 環境和 VM 成品。
在上圖中,Azure 訂用帳戶 1 中的小組實驗 1 顯示實驗室存取和使用的 Azure 元件範例。 如需詳細資訊,請參閱關於 DevTest Labs。
連接元件
如果您的實驗室必須存取內部部署公司資源,則需要內部部署連線能力。 常見案例如下:
- 某些內部部署資料無法移至雲端。
- 您想要將實驗室 VM 加入內部部署網域。
- 基於安全性或合規性,您想要強制所有雲端網路流量均通過內部部署防火牆。
此結構使用 ExpressRoute 連線至內部部署網路。 您也可以使用站對站 VPN。
內部部署的遠端桌面閘道可建立傳出遠端桌面通訊協定 (RDP) 與 DevTest Labs 的連線。 企業防火牆通常會封鎖公司防火牆的傳出連線。 若要啟用連線,您可以:
- 使用遠端桌面閘道,並允許閘道負載平衡器的靜態 IP 位址。
- 使用強制通道,透過 ExpressRoute 或站對站 VPN 連線,將所有 RDP 流量重新導回。 強制通道是企業級 DevTest Labs 部署的常見功能。
網路連接元件
在此架構中,Microsoft Entra ID 提供所有網路上的身分識別和存取管理。 實驗室 VM 通常由本機系統管理帳戶提供存取權。 如果有可用的 Microsoft Entra ID、內部部署或 Microsoft Entra Domain Services 網域,您可以將實驗室 VM 加入網域中。 然後,使用者可以使用其網域型身分識別來連線到 VM。
Azure 網路拓撲控制實驗室資源存取,以及與內部部署網路和網際網路的通訊方式。 此結構顯示企業網路 DevTest Labs 的常用方式。 實驗室會透過 ExpressRoute 或站對站 VPN 連線,在中樞輪輻設定中的對等互連虛擬網路與內部部署網路之間建立連線。
由於 DevTest Labs 會直接使用 Azure 虛擬網路,因此對於您設定網路基礎結構的方式沒有任何限制。 您可以設定網路安全性群組,根據來源和目的地 IP 位址來限制雲端流量。 例如,您可以只允許源自公司網路的流量進入實驗室的網路。
可擴縮性考量
DevTest Labs 沒有內建配額或限制,但實驗室使用的其他 Azure 資源具有訂用帳戶層級配額。 在一般企業部署中,您需要數個 Azure 訂用帳戶來涵蓋大型 DevTest Labs 部署。 企業通常會觸及下列配額:
資源群組。 DevTest Labs 會為每個新 VM 建立資源群組,而實驗室使用者會在資源群組中建立環境。 訂用帳戶可包含最多 980 個資源群組,因此這是訂用帳戶中的 VM 和環境限制。
兩種策略可協助您不超過資源群組限制:
- 所有 VM 都位於同一資源群組。 此策略可協助您符合資源群組限制,但會影響每個資源群組的資源類型限制。
- 使用共用公用 IP。 如果允許 VM 具有公用 IP 位址,請將大小和區域相同的所有 VM 放入同一個資源群組中。 此設定可協助滿足資源群組配額和每個資源群組的資源類型配額。
每個資源群組的資源 (每個資源類型)。 預設每個資源群組的資源 (每個資源類型) 限制為 800。 將所有 VM 放在相同的資源群組中,會更快達到此限制,特別是當 VM 有許多額外的磁碟時。
儲存體帳戶。 DevTest Labs 中的每個實驗室都隨附儲存體帳戶。 依預設,每個訂用帳戶中每個區域的儲存體帳戶數的 Azure 配額為 250。 因此,一個區域中的 DevTest Labs 數目上限也是 250。 隨著配額的增加,您可以為每個區域建立最多 500 個儲存體帳戶。 如需詳細資訊,請參閱 增加 Azure 儲存體帳戶配額。
角色指派。 角色指派可讓使用者或主體存取資源。 Azure 每個訂閱的角色指派限制為 2,000。
根據預設,DevTest Labs 會為每個實驗室 VM 建立一個資源群組。 VM 建立者會取得 VM 的擁有者權限,以及資源群組的讀者權限。 因此,每個實驗室 VM 可使用兩個角色指派。 將使用者權限授與實驗室也會使用角色指派。
API 讀取/寫入數。 您可以使用 REST API、PowerShell、Azure CLI 和 Azure SDK,將 Azure 和 DevTest Labs 自動化。 每個 Azure 訂用帳戶最多允許每小時 12,000 個讀取要求和 1,200 個寫入要求。 藉由自動化 DevTest Labs,您可能會達到 API 要求的限制。
管理性考量
您可以使用 Azure 入口網站一次管理一個 DevTest Labs 執行個體,但企業可能會有多個 Azure 訂用帳戶和許多實實驗室要管理。 對所有實驗室統一進行變更,需要指令碼自動化。
以下是在 DevTest Labs 部署中使用指令碼的一些範例:
變更實驗室設定。 使用 PowerShell 指令碼、Azure CLI 或 REST API,在所有實驗室更新特定實驗室設定。 例如,更新所有實驗室以允許新的 VM 執行個體大小。
更新成品存放庫的個人存取權杖 (PAT)。 Git 存放庫的 PAT 通常會在 90 天、一年或兩年內到期。 為了確保持續性,請務必擴充 PAT。 或者,建立新的 PAT,並使用自動化將其套用至所有實驗室。
限制實驗室設定的變更。 若要限制特定設定,例如允許使用 Marketplace 映像,您可以使用 Azure 原則來防止資源類型變更。 或者,您可以建立自訂角色,並授與使用者該角色,而不是內建實驗室角色。 您可以限制大部分實驗室設定的變更,例如內部支援、實驗室公告和允許的 VM 大小。
套用適用於 VM 的命名慣例。 您可以使用 Azure 原則來指定命名模式,以協助識別雲端式環境中的 VM。
DevTest Labs 的 Azure 資源管理方式與其他用途相同。 例如,Azure 原則適用於您在實驗室中建立的 VM。 適用於雲端的 Microsoft Defender 可以回報實驗室 VM 的合規性。 Azure 備份可為實驗室 VM 提供定期備份。
安全性考量
DevTest Labs 會自動受益於內建的 Azure 安全性功能。 若要求傳入的遠端桌面連線只接受源自公司網路的流量,您可以將網路安全性群組新增至遠端桌面閘道的虛擬網路中。
另一個安全性考量是您授與實驗室使用者的權限等級。 實驗室擁有者使用 Azure 角色型存取控制 (Azure RBAC),指派角色給使用者,並設定資源和存取層級權限。 最常見的 DevTest Labs 權限為擁有者、參與者和使用者。 您也可以建立和指派自訂角色。 如需詳細資訊,請參閱在 Azure DevTest Labs 新增擁有者和使用者。
下一步
請參閱本系列中的下一篇文章:傳遞概念證明。