Azure 實驗室服務中實驗室計畫支援的網路情節
重要
Azure 實驗室服務將於 2027 年 6 月 28 日淘汰。 如需詳細資訊,請參閱淘汰指南。
使用適用於實驗室計畫的 Azure 實驗室服務進階網路功能,您可以實作各種網路結構和拓撲。 本文列出 Azure 實驗室服務中不同的網路情節及其支援。
網路情節
下列表格列出 Azure 實驗室服務中常見的網路情節和拓撲及其支援。
| 案例 | 已啟用 | 詳細資料 |
|---|---|---|
| 實驗室對實驗室通訊 | Yes | 深入了解設定實驗室對實驗室通訊。 如果實驗室使用者需要多個虛擬機器,您可以 設定巢狀虛擬化。 |
| 開啟實驗室 VM 的其他連接埠 | No | 即使使用進階網路功能,您也無法在實驗室 VM 上開啟其他連接埠。 |
| 啟用遠端授權伺服器,例如內部部署、跨區域 | Yes | 新增指向授權伺服器的使用者定義路由 (UDR)。 如果實驗室軟體需要依名稱連線到授權伺服器,而不是IP位址,您必須設定客戶提供的 DNS 伺服器 ,或將專案新增至實驗室範本中的 hosts檔案。如果多個服務需要從多個區域存取授權伺服器,或授權伺服器是其他基礎結構的一部分,您可以使用中樞和輪輻 Azure 網路最佳做法。 |
| 存取內部部署資源,例如授權伺服器 | Yes | 您可以使用下列選項來存取內部部署資源: - 設定 Azure ExpressRoute 或建立 站對站 VPN 連線 (橋接器網路)。 - 使用只允許來自 Azure 實驗室服務的傳入連線的防火牆,將公用 IP 新增至您的內部部署伺服器。 此外,若要從實驗室 VM 連線到內部部署資源,請新增使用者定義的路由 (UDR)。 |
| 使用中樞和輪輻網路模型 | Yes | 此情節與實驗室計畫和進階網路功能的預期運作。 Azure 實驗室服務不支援多個組態變更,例如在路由表上新增預設路由。 了解不支援的虛擬網路組態變更。 |
| 依私人 IP 位址存取實驗室 VM (僅限私人實驗室) | 不建議 | 此情節可正常運作,但會讓實驗室使用者難以連線到其實驗室 VM。 在 Azure 實驗室服務網站中,實驗室使用者無法識別其實驗室 VM 的私人 IP 位址。 此外,連線按鈕會指向實驗室 VM 的公用端點。 實驗室建立者必須為其實驗室 VM 的私人 IP 位址提供實驗室使用者。 VM 重新安裝映像之後,此私人 IP 位址可能會變更。 如果您實作此情節,請勿刪除與實驗室相關聯的公用 IP 位址或負載平衡器。 如果刪除這些資源,實驗室就無法調整或發佈。 |
| 使用防火牆保護內部部署資源 | Yes | 支援在實驗室 VM 與特定資源之間放置防火牆。 |
| 將實驗室 VM 放置在防火牆後方。 例如,內容篩選、安全性等等。 | No | 一般防火牆設定無法與 Azure 實驗室服務搭配運作,除非透過私人 IP 位址連線到實驗室 VM 時 (請參閱先前的情節)。 當您設定防火牆時,子網路的路由表會新增預設路由。 此預設路由會造成非對稱路由問題,這會中斷實驗室的 RDP/SSH 連線。 |
| 使用第三方潛在監視軟體 | Yes | 此情節支援實驗室計畫的進階網路功能。 |
為實驗室使用自訂網域名稱,例如 lab1.labs.myuniversity.edu.au |
No | 此情節無法運作,因為根據實驗室的公用 IP 位址建立實驗室時,會定義為 FQDN。 公用 IP 位址的變更不會傳播至範本 VM 或實驗室 VM 的連線按鈕。 |
| 針對實驗室啟用強制通道,其中所有對實驗室 VM 的通訊都不會經過公用網路。 這也稱為完全隔離實驗室。 | No | 此情節無法現成使用。 一旦您將路由表與包含預設路由的子網路產生關聯,實驗室使用者就會失去與實驗室的連線。 若要啟用此情節,請依照私人 IP 位址存取實驗室 VM 的步驟進行。 |
| 啟用內容篩選 | 相依 | 支援的內容篩選情節: - 實驗室 VM 上的第三方內容篩選軟體: 1.實驗室使用者應以非系統管理員身分執行,以避免卸載或停用軟體 2.請確保不會封鎖對 Azure 的輸出呼叫。 - DNS 型內容篩選:篩選適用於進階網路功能,並在實驗室的子網路上指定 DNS 伺服器。 您可以使用支援內容篩選的 DNS 伺服器來執行 DNS 型篩選。 - Proxy 型內容篩選:如果實驗室 VM 可以使用支援內容篩選的客戶提供的 Proxy 伺服器,則篩選適用於進階網路功能。 其運作方式與 DNS 型解決方案類似。 不支援的內容篩選: - 網路設備 (防火牆):如需詳細資訊,請參閱將實驗室 VM 放在防火牆後方的情況。 規劃內容篩選解決方案時,實作概念證明,以確保一切如預期一樣端對端運作。 |
| 針對高幀率遊戲情節使用聯機代理程式,例如 Parsec | 不建議 | Azure 實驗室服務不支援此情節,而且會遇到與私人 IP 位址存取實驗室 VM 相同的挑戰。 |
| 網路領域情節,由網路上一組易受攻擊的 VM 組成,可供實驗室使用者探索和入侵 (道德駭客攻擊) | Yes | 此情節適用於實驗室計畫的進階網路功能。 了解道德駭客類別類型。 |
| 為實驗室 VM 啟用 Azure Bastion | No | Azure 實驗室服務不支援 Azure Bastion。 |
| 設定網域控制器視線 | 不建議 | Microsoft Entra 混合式加入或 AD 網域加入 VM 需要從實驗室到域控制器的視線;不過,我們目前不會建議實驗室 VM 是 Microsoft Entra joined/registered、Microsoft Entra hybrid joined 或 AD domain joined,因為產品限制。 |