Microsoft 開發箱結構概觀
在本文中,您將了解 Microsoft 開發箱的結構、重要概念和術語。 Microsoft 開發箱可讓開發人員自助存取預先設定且隨時可供編碼的雲端式工作站。 您可以設定服務以符合您的開發小組和項目結構,以及管理安全性與網路設定,以安全地存取資源。
Microsoft 開發箱建置的基礎與 Azure 部署環境相同。 部署環境為開發人員提供預先設定的雲端式環境,用於開發應用程式。 這兩項服務互補,並共用特定的架構元件,例如開發人員中心或專案。
Microsoft 開發箱如何運作?
開發人員在開發人員入口網站中建立開發箱之前,您必須先在 Microsoft 開發箱中設定開發人員中心和專案。 下圖概述 Microsoft 開發箱中不同元件之間的關聯性。
開發人員中心是 Microsoft 開發箱的最上層資源。 開發人員中心包含專案集合和這些專案的共享資源,例如開發箱定義和網路連線。 您可以建立的開發人員中心數目沒有限制,但大部分的組織只需要一個。
開發箱專案是開發小組的存取點。 您會將開發人員開發箱使用者角色指派給專案,以授與開發人員建立開發箱的權限。 您可以在開發人員中心建立一或多個專案。
開發箱定義會指定開發箱的組態,例如開發箱的虛擬機映像和運算資源。 您可以從 Azure Marketplace 選擇虛擬機器映像,或使用 Azure Compute Gallery 使用自訂映像。
專案包含開發箱集區的集合。 開發箱集區會指定開發箱的組態,例如開發箱定義、網路連線和其他設定。 從開發箱集區建立的所有開發箱都會共用相同的組態。
與開發箱集區相關聯的網路聯機會決定託管開發箱的位置。 您可以使用 Microsoft 託管的網路連線,或自備 Azure 網路連線。 如果您需要控制虛擬網路、需要存取公司資源,或使用 Active Directory 帳戶向開發箱進行驗證,您可以使用 Azure 網路連線。
開發人員可以使用開發人員入口網站,從開發箱集區建立開發箱。 他們可能會根據 VM 映像、計算資源或託管開發箱的位置,從特定集區中選擇。
在開發方塊執行之後,開發人員方塊使用者可以使用 Windows 應用程式之類的遠端桌面用戶端,或直接從瀏覽器連線到它。 開發箱使用者可以完全控制他們建立的開發箱,而且可以從開發人員入口網站管理。
Microsoft 開發箱結構
代託管結構可讓 Microsoft 服務在訂用帳戶擁有者將適當且限定範圍的許可權委派給虛擬網路之後,將託管的 Azure 服務附加至客戶訂用帳戶。 此連線模型可讓 Microsoft 服務提供軟體即服務和使用者授權服務,而不是標準取用型服務。
Microsoft 開發箱會使用代託管結構,這表示開發箱存在於 Microsoft 所擁有的訂用帳戶中。 因此,Microsoft 會產生執行和管理此基礎結構的成本。 開發箱會部署在由 Microsoft 管理的訂用帳戶中,並連線至客戶的虛擬網路。
Microsoft 開發箱會管理 Microsoft 開發箱訂用帳戶中的容量和區域內可用性。 Microsoft 開發箱會根據您在建立開發箱集區時選取的網路連線,決定裝載開發箱的 Azure 區域。
若要保護您的數據,Microsoft Dev Box 預設會使用平臺管理的金鑰來加密磁碟。 您不需要啟用 BitLocker,因此可以防止您存取開發方塊。
如需 Azure 服務中資料儲存和保護的詳細資訊,請參閱: Azure 客戶資料保護。
針對網路連線,您也可以選擇 Microsoft 託管的網路連線,以及您在自己的訂用帳戶中建立的 Azure 網路連線。
下圖顯示 Microsoft 開發箱的邏輯架構。
網路連線
網路連線可控制開發箱的建立和託管位置,並可讓您連線到其他 Azure 或公司資源。 視您的控制層級而定,您可以使用 Microsoft 託管的網路連線或自己的 Azure 網路連線。
Microsoft 託管的網路連線會以 SaaS 方式提供網路連線。 Microsoft 會管理您開發箱的網路基礎結構和相關服務。 Microsoft 託管的網路是僅限雲端的部署,可支援加入 Microsoft Entra。 此選項與 Microsoft Entra 混合式聯結模型不相容。
您也可以使用 Azure 網路連線 (自己的網路) 來連線到 Azure 虛擬網路,並選擇性地連線到公司資源。 透過 Azure 網路連線,您可以管理和控制整個網路設定和設定。 您可以使用 Microsoft Entra 聯結或 Microsoft Entra 混合式聯結選項搭配 Azure 網路連線,讓您連線到內部部署 Azure Active Directory Domain Services。
如果您使用自己的 Azure 虛擬網路,Microsoft 開發箱可讓您使用虛擬網路安全性和路由功能,包括:
- Azure 網路安全性群組
- 使用者定義路由
- Azure 防火牆
- 網路虛擬設備 (NVA)
在 Microsoft 開發箱中,您會將網路連線與專案中的開發箱集區產生關聯。 然後在此開發箱集區中建立的所有開發箱都會託管在網路連線的 Azure 區域中。 如果您使用 Azure 網路連線,請先將網路連線新增至開發人員中心,然後將連線與開發箱集區產生關聯。
若要判斷裝載開發箱的最佳區域,您可以讓開發箱使用者利用 Azure 虛擬桌面體驗估算器工具, 來估計其位置的連線來回時間。 然後,您可以設定開發箱集區和網路連線,以優化該地理區域中開發人員的延遲。
Microsoft Intune 整合
Microsoft Intune 可用來管理您的開發箱。 每個開發箱使用者都需要一個 Microsoft Intune 授權,而且可以建立多個開發箱。 佈建開發箱之後,您可以像 Microsoft Intune 中的任何其他 Windows 裝置一樣進行管理。 例如,您可以建立裝置組態配置檔,在 Windows 中開啟和關閉不同的設定,或將應用程式和更新推送至您的使用者開發箱。
Microsoft Intune 和相關聯的 Windows 元件具有必須透過虛擬網路允許的各種網路端點。 如果您沒有使用 Microsoft Intune 來管理這些裝置類型,則可以安全地忽略 Apple 和 Android 端點。
識別服務
Microsoft 開發箱會使用 Microsoft Entra 標識符,並選擇性地使用內部部署 Active Directory Domain Services (AD DS)。 Microsoft Entra ID 提供:
- Microsoft 開發箱開發人員入口網站的使用者驗證。
- Microsoft Intune 的裝置身分識別服務,透過 Microsoft Entra 混合式加入或 Microsoft Entra Join。
當您將開發箱設定為使用 Microsoft Entra 混合式聯結時,AD DS 會提供:
- 開發箱的內部部署網域加入。
- 遠端桌面通訊協定 (RDP) 連線的使用者驗證。
當您將開發箱設定為使用 Microsoft Entra 混合式聯結時,Microsoft Entra ID 會提供:
- 開發箱的網域加入機制。
- 用於 RDP 連線的使用者驗證。
注意
Microsoft 開發箱支援公司與學校帳戶。 它不支援使用來賓帳戶或個人帳戶。
使用者連線
當開發方塊執行時,開發人員可以使用 Windows 應用程式之類的遠端桌面用戶端,或直接從瀏覽器連線到開發方塊。
開發箱連線是由 Azure 虛擬桌面提供。 不會從網際網路直接連線到開發箱。 相反地,會建立下列連線:
- 從開發箱到 Azure 虛擬桌面端點
- 從遠端桌面用戶端到 Azure 虛擬桌面端點。
如需這些端點的詳細資訊,請參閱 Azure 虛擬桌面需要的 URL 清單。 若要簡化網路安全性控制項的設定,請使用 Azure 虛擬桌面的服務標籤來識別這些端點。 如需 Azure 服務標籤的詳細資訊,請參閱 Azure服務標籤概觀。
您不需要設定開發箱來建立這些連線。 Microsoft 開發箱可將 Azure 虛擬桌面連線元件順暢整合到資源庫或自訂映射中。
如需 Azure 虛擬桌面網路網路結構的詳細資訊,請參閱了解 Azure 虛擬網路連線。
Microsoft 開發箱不支援第三方連線代理程式。