Izolace sítě v Azure DevTest Labs

  • Článek

Tento článek vás provede procesem vytvoření testovacího prostředí izolovaného od sítě v Azure DevTest Labs.

ve výchozím nastavení Azure DevTest Labs vytvoří novou virtuální síť Azure pro každé testovací prostředí. Virtuální síť funguje jako hranice zabezpečení pro izolaci prostředků testovacího prostředí od veřejného internetu. Pokud chcete zajistit, aby prostředky testovacího prostředí dodržovaly zásady sítě organizace, můžete použít několik dalších možností sítě:

  • Izolujte všechny virtuální počítače testovacího prostředí a prostředí v existující virtuální síti, kterou vyberete.
  • Připojte virtuální síť Azure k místní síti, abyste se mohli bezpečně připojit k místním prostředkům. Další informace najdete v tématu Referenční podniková architektura DevTest Labs: Součásti připojení.
  • Testovací prostředí, včetně virtuálních počítačů, prostředí, účtu úložiště testovacího prostředí a trezorů klíčů, zcela izolujte do vybrané virtuální sítě. Tento článek popisuje, jak nakonfigurovat izolaci sítě.

Povolení izolace sítě

Izolaci sítě můžete v Azure Portal povolit jenom při vytváření testovacího prostředí. Pokud chcete převést existující testovací prostředí a přidružené prostředky testovacího prostředí do režimu izolované sítě, použijte skript PowerShellu Convert-DtlLabToIsolatedNetwork.ps1.

Během vytváření testovacího prostředí můžete povolit izolaci sítě pro výchozí virtuální síť testovacího prostředí nebo zvolit jinou, již existující virtuální síť, kterou chcete pro testovací prostředí použít.

Použití výchozí virtuální sítě a podsítě

Pokud chcete povolit izolaci sítě pro výchozí virtuální síť a podsíť, kterou devTest Labs pro testovací prostředí vytvoří:

  1. Během vytváření testovacího prostředí vyberte na obrazovce Vytvořit DevTest Lab kartu Sítě .

  2. Vedle možnosti Izolovat prostředky testovacího prostředí vyberte Ano.

  3. Dokončete vytváření testovacího prostředí.

    Snímek obrazovky znázorňující povolení izolace sítě pro výchozí síť

Po vytvoření testovacího prostředí není potřeba žádná další akce. Testovací prostředí se od této chvíle zabývá izolováním prostředků.

Použití jiné virtuální sítě a podsítě

Pokud chcete pro testovací prostředí použít jinou existující virtuální síť a povolit pro tuto síť izolaci sítě:

  1. Během vytváření testovacího prostředí vyberte na kartě Sítě na obrazovce Vytvořit DevTest Lab síť z rozevíracího seznamu. V seznamu se zobrazují jenom sítě ve stejné oblasti a předplatném jako testovací prostředí.

    Snímek obrazovky znázorňující výběr virtuální sítě

  2. Vyberte podsíť.

    Snímek obrazovky znázorňující výběr podsítě

  3. Vedle možnosti Izolovat prostředky testovacího prostředí vyberte Ano.

    Snímek obrazovky znázorňující povolení izolace sítě pro vybranou síť

  4. Dokončete vytváření testovacího prostředí.

Konfigurace koncových bodů služby

Pokud jste povolili izolaci sítě pro jinou než výchozí virtuální síť, pomocí následujících kroků izolujte účet úložiště testovacího prostředí a trezor klíčů od sítě, kterou jste vybrali. Tyto kroky proveďte po vytvoření testovacího prostředí, ale ještě před provedením jakékoli jiné konfigurace testovacího prostředí nebo vytvořením prostředků testovacího prostředí.

Konfigurace koncového bodu pro účet úložiště testovacího prostředí

  1. Na stránce Přehled testovacího prostředí vyberte skupinu prostředků.

    Snímek obrazovky znázorňující výběr skupiny prostředků pro testovací prostředí

  2. Na stránce Přehled skupiny prostředků vyberte účet úložiště testovacího prostředí. Zásady vytváření názvů pro účet úložiště testovacího prostředí jsou a\<labName>\<4-digit number>. Pokud je contosolabnapříklad název testovacího prostředí , název účtu úložiště může být acontosolab1234.

    Snímek obrazovky znázorňující výběr účtu úložiště testovacího prostředí

  3. Na stránce účtu úložiště v levém navigačním panelu vyberte Sítě . Na kartě Brány firewall a virtuální sítě se ujistěte, že je vybraná možnost Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště.

    Snímek obrazovky znázorňující povolení přístupu důvěryhodných služeb ke skupině prostředků

    DevTest Labs je důvěryhodná služba Microsoftu, takže výběrem této možnosti umožníte testovací prostředí normálně fungovat v izolovaném režimu sítě.

  4. Vyberte Přidat existující virtuální síť.

    Snímek obrazovky znázorňující podokno Sítě skupiny prostředků se zvýrazněnou možností Přidat existující virtuální síť

  5. V podokně Přidat sítě vyberte virtuální síť a podsíť, které jste zvolili při vytváření testovacího prostředí, a pak vyberte Přidat.

    Snímek obrazovky znázorňující podokno Přidat síť se zvýrazněnými virtuálními sítěmi, podsítěmi a přidat

  6. Na stránce Sítě vyberte Uložit.

Azure Storage teď umožňuje příchozí připojení z přidané virtuální sítě, což testovacímu prostředí umožňuje úspěšné fungování v izolovaném režimu sítě.

Tyto kroky můžete automatizovat pomocí PowerShellu nebo Azure CLI a nakonfigurovat izolaci sítě pro více testovacích prostředí. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.

Konfigurace koncového bodu pro trezor klíčů testovacího prostředí

  1. Na stránce Přehled testovacího prostředí vyberte skupinu prostředků.

  2. Na stránce Přehled skupiny prostředků vyberte trezor klíčů testovacího prostředí.

    Snímek obrazovky znázorňující výběr trezoru klíčů testovacího prostředí

  3. Na stránce trezoru klíčů v levém navigačním panelu vyberte Sítě . Na kartě Brány firewall a virtuální sítě se ujistěte, že je vybraná možnost Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall .

    Snímek obrazovky, který ukazuje povolení přístupu k trezoru klíčů důvěryhodným službám

  4. Vyberte Přidat existující virtuální sítě.

    Snímek obrazovky znázorňující podokno Sítě trezoru klíčů se zvýrazněnou možností Přidat existující virtuální síť

  5. V podokně Přidat sítě vyberte virtuální síť a podsíť, které jste zvolili při vytváření testovacího prostředí, a pak vyberte Povolit.

    Snímek obrazovky znázorňující povolení virtuální sítě a podsítě v trezoru klíčů

  6. Po úspěšném povolení koncového bodu služby vyberte Přidat.

    Snímek obrazovky znázorňující přidání virtuální sítě a podsítě do trezoru klíčů

  7. Na stránce Sítě vyberte Uložit.

Požadavky

Tady je pár věcí, které je potřeba pamatovat při používání testovacího prostředí v izolovaném režimu sítě:

Povolení přístupu k účtu úložiště mimo testovací prostředí

Vlastník testovacího prostředí musí explicitně povolit přístup k účtu úložiště testovacího prostředí izolovanému v síti z povoleného koncového bodu. Tento přístup vyžadují akce, jako je nahrání virtuálního pevného disku do účtu úložiště pro vytváření vlastních imagí. Přístup můžete povolit vytvořením virtuálního počítače testovacího prostředí a zabezpečeným přístupem k účtu úložiště testovacího prostředí z tohoto virtuálního počítače.

Další informace najdete v tématu Připojení k účtu úložiště pomocí privátního koncového bodu Azure.

Poskytnutí účtu úložiště pro export dat o využití testovacího prostředí

Pokud chcete exportovat data o využití pro testovací prostředí izolované v síti, musí vlastník testovacího prostředí explicitně zadat účet úložiště a vygenerovat v rámci účtu objekt blob pro uložení dat. Export dat o využití v režimu izolované sítě selže, pokud uživatel explicitně nezadá účet úložiště, který má použít.

Další informace najdete v tématu Export nebo odstranění osobních údajů z Azure DevTest Labs.

Nastavení zásad přístupu trezoru klíčů

Povolení koncového bodu služby trezoru klíčů ovlivní jenom bránu firewall. Nezapomeňte nakonfigurovat příslušná přístupová oprávnění trezoru klíčů v části Zásady přístupu trezoru klíčů.

Další informace najdete v tématu Přiřazení zásad Key Vault přístupu.

Další kroky