Izolace sítě v Azure DevTest Labs
Tento článek vás provede procesem vytvoření testovacího prostředí izolovaného od sítě v Azure DevTest Labs.
ve výchozím nastavení Azure DevTest Labs vytvoří novou virtuální síť Azure pro každé testovací prostředí. Virtuální síť funguje jako hranice zabezpečení pro izolaci prostředků testovacího prostředí od veřejného internetu. Pokud chcete zajistit, aby prostředky testovacího prostředí dodržovaly zásady sítě organizace, můžete použít několik dalších možností sítě:
- Izolujte všechny virtuální počítače testovacího prostředí a prostředí v existující virtuální síti, kterou vyberete.
- Připojte virtuální síť Azure k místní síti, abyste se mohli bezpečně připojit k místním prostředkům. Další informace najdete v tématu Referenční podniková architektura DevTest Labs: Součásti připojení.
- Testovací prostředí, včetně virtuálních počítačů, prostředí, účtu úložiště testovacího prostředí a trezorů klíčů, zcela izolujte do vybrané virtuální sítě. Tento článek popisuje, jak nakonfigurovat izolaci sítě.
Povolení izolace sítě
Izolaci sítě můžete v Azure Portal povolit jenom při vytváření testovacího prostředí. Pokud chcete převést existující testovací prostředí a přidružené prostředky testovacího prostředí do režimu izolované sítě, použijte skript PowerShellu Convert-DtlLabToIsolatedNetwork.ps1.
Během vytváření testovacího prostředí můžete povolit izolaci sítě pro výchozí virtuální síť testovacího prostředí nebo zvolit jinou, již existující virtuální síť, kterou chcete pro testovací prostředí použít.
Použití výchozí virtuální sítě a podsítě
Pokud chcete povolit izolaci sítě pro výchozí virtuální síť a podsíť, kterou devTest Labs pro testovací prostředí vytvoří:
Během vytváření testovacího prostředí vyberte na obrazovce Vytvořit DevTest Lab kartu Sítě .
Vedle možnosti Izolovat prostředky testovacího prostředí vyberte Ano.
Dokončete vytváření testovacího prostředí.
Po vytvoření testovacího prostředí není potřeba žádná další akce. Testovací prostředí se od této chvíle zabývá izolováním prostředků.
Použití jiné virtuální sítě a podsítě
Pokud chcete pro testovací prostředí použít jinou existující virtuální síť a povolit pro tuto síť izolaci sítě:
Během vytváření testovacího prostředí vyberte na kartě Sítě na obrazovce Vytvořit DevTest Lab síť z rozevíracího seznamu. V seznamu se zobrazují jenom sítě ve stejné oblasti a předplatném jako testovací prostředí.
Vyberte podsíť.
Vedle možnosti Izolovat prostředky testovacího prostředí vyberte Ano.
Dokončete vytváření testovacího prostředí.
Konfigurace koncových bodů služby
Pokud jste povolili izolaci sítě pro jinou než výchozí virtuální síť, pomocí následujících kroků izolujte účet úložiště testovacího prostředí a trezor klíčů od sítě, kterou jste vybrali. Tyto kroky proveďte po vytvoření testovacího prostředí, ale ještě před provedením jakékoli jiné konfigurace testovacího prostředí nebo vytvořením prostředků testovacího prostředí.
Konfigurace koncového bodu pro účet úložiště testovacího prostředí
Na stránce Přehled testovacího prostředí vyberte skupinu prostředků.
Na stránce Přehled skupiny prostředků vyberte účet úložiště testovacího prostředí. Zásady vytváření názvů pro účet úložiště testovacího prostředí jsou
a\<labName>\<4-digit number>
. Pokud jecontosolab
například název testovacího prostředí , název účtu úložiště může býtacontosolab1234
.Na stránce účtu úložiště v levém navigačním panelu vyberte Sítě . Na kartě Brány firewall a virtuální sítě se ujistěte, že je vybraná možnost Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.
DevTest Labs je důvěryhodná služba Microsoftu, takže výběrem této možnosti umožníte testovací prostředí normálně fungovat v izolovaném režimu sítě.
Vyberte Přidat existující virtuální síť.
V podokně Přidat sítě vyberte virtuální síť a podsíť, které jste zvolili při vytváření testovacího prostředí, a pak vyberte Přidat.
Na stránce Sítě vyberte Uložit.
Azure Storage teď umožňuje příchozí připojení z přidané virtuální sítě, což testovacímu prostředí umožňuje úspěšné fungování v izolovaném režimu sítě.
Tyto kroky můžete automatizovat pomocí PowerShellu nebo Azure CLI a nakonfigurovat izolaci sítě pro více testovacích prostředí. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.
Konfigurace koncového bodu pro trezor klíčů testovacího prostředí
Na stránce Přehled testovacího prostředí vyberte skupinu prostředků.
Na stránce Přehled skupiny prostředků vyberte trezor klíčů testovacího prostředí.
Na stránce trezoru klíčů v levém navigačním panelu vyberte Sítě . Na kartě Brány firewall a virtuální sítě se ujistěte, že je vybraná možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall .
Vyberte Přidat existující virtuální sítě.
V podokně Přidat sítě vyberte virtuální síť a podsíť, které jste zvolili při vytváření testovacího prostředí, a pak vyberte Povolit.
Po úspěšném povolení koncového bodu služby vyberte Přidat.
Na stránce Sítě vyberte Uložit.
Požadavky
Tady je pár věcí, které je potřeba pamatovat při používání testovacího prostředí v izolovaném režimu sítě:
Povolení přístupu k účtu úložiště mimo testovací prostředí
Vlastník testovacího prostředí musí explicitně povolit přístup k účtu úložiště testovacího prostředí izolovanému v síti z povoleného koncového bodu. Tento přístup vyžadují akce, jako je nahrání virtuálního pevného disku do účtu úložiště pro vytváření vlastních imagí. Přístup můžete povolit vytvořením virtuálního počítače testovacího prostředí a zabezpečeným přístupem k účtu úložiště testovacího prostředí z tohoto virtuálního počítače.
Další informace najdete v tématu Připojení k účtu úložiště pomocí privátního koncového bodu Azure.
Poskytnutí účtu úložiště pro export dat o využití testovacího prostředí
Pokud chcete exportovat data o využití pro testovací prostředí izolované v síti, musí vlastník testovacího prostředí explicitně zadat účet úložiště a vygenerovat v rámci účtu objekt blob pro uložení dat. Export dat o využití v režimu izolované sítě selže, pokud uživatel explicitně nezadá účet úložiště, který má použít.
Další informace najdete v tématu Export nebo odstranění osobních údajů z Azure DevTest Labs.
Nastavení zásad přístupu trezoru klíčů
Povolení koncového bodu služby trezoru klíčů ovlivní jenom bránu firewall. Nezapomeňte nakonfigurovat příslušná přístupová oprávnění trezoru klíčů v části Zásady přístupu trezoru klíčů.
Další informace najdete v tématu Přiřazení zásad Key Vault přístupu.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro