Connecter un plan de laboratoire sur un réseau virtuel avec mise en réseau avancée

  • Article

Cet article explique comment connecter un plan lab à un réseau virtuel avec la mise en réseau avancée d’Azure Lab Services. Avec la mise en réseau avancée, vous avez plus de contrôle sur la configuration du réseau virtuel de vos laboratoires. Par exemple, pour vous connecter à des ressources locales telles que des serveurs de licences ou pour utiliser des itinéraires définis par l’utilisateur (UDR). En savoir plus sur les scénarios de mise en réseau et les topologies pris en charge pour la mise en réseau avancée.

La mise en réseau avancée pour les plans de laboratoire remplace le peering de réseaux virtuels Azure Lab Services qui est utilisé avec les comptes lab.

Procédez comme suit pour configurer la mise en réseau avancée pour votre plan lab :

  1. Déléguer le sous-réseau de réseau virtuel aux plans de laboratoire Azure Lab Services. La délégation permet à Azure Lab Services de créer le modèle de laboratoire et les machines virtuelles lab dans le réseau virtuel.
  2. Configurez le groupe de sécurité réseau pour autoriser le trafic RDP ou SSH entrant vers la machine virtuelle du modèle lab et les machines virtuelles lab.
  3. Créez un plan lab avec une mise en réseau avancée pour l’associer au sous-réseau de réseau virtuel.
  4. (Facultatif) Configurez votre réseau virtuel.

La mise en réseau avancée ne peut être activée que lors de la création d’un plan lab. La mise en réseau avancée n’est pas un paramètre qui peut être mis à jour ultérieurement.

Le diagramme suivant présente une vue d’ensemble de la configuration réseau avancée d’Azure Lab Services. Le modèle de labo et les machines virtuelles de labo se voient attribuer une adresse IP dans votre sous-réseau, et le groupe de sécurité réseau permet aux utilisateurs du labo de se connecter aux machines virtuelles du labo à l’aide du protocole RDP ou SSH.

Diagram that shows an overview of the advanced networking configuration in Azure Lab Services.

Remarque

Si votre organisation doit effectuer un filtrage de contenu, par exemple pour la conformité à la Loi sur la protection internet des enfants (CIPA), vous devez utiliser le logiciel tiers. Pour plus d’informations, consultez des conseils sur le filtrage de contenu dans les scénarios de mise en réseau pris en charge.

Prérequis

  • Compte Azure avec un abonnement actif. Créez un compte gratuitement.
  • Votre compte Azure a le rôle Contributeur réseau ou parent de ce rôle sur le réseau virtuel.
  • Un réseau virtuel Azure et un sous-réseau dans la même région Azure que l’emplacement où vous créez le plan de laboratoire. Découvrez comment créer un réseau virtuel et un sous-réseau.
  • Le sous-réseau dispose de suffisamment d’adresses IP gratuites pour les machines virtuelles modèles et les machines virtuelles de laboratoire pour tous les labos (chaque labo utilise 512 adresses IP) dans le plan de laboratoire.

1. Déléguer le sous-réseau de réseau virtuel

Pour utiliser votre sous-réseau de réseau virtuel pour une mise en réseau avancée dans Azure Lab Services, vous devez déléguer le sous-réseau aux plans de laboratoire Azure Lab Services. La délégation de sous-réseau donne des autorisations explicites à Azure Lab Services pour créer des ressources spécifiques au service, telles que des machines virtuelles lab, dans le sous-réseau.

Vous ne pouvez déléguer qu’un seul plan lab à la fois pour une utilisation avec un seul sous-réseau.

Procédez comme suit pour déléguer votre sous-réseau à utiliser avec un plan lab :

  1. Connectez-vous au portail Azure.

  2. Accédez à votre réseau virtuel, puis sélectionnez Sous-réseaux.

  3. Sélectionnez un sous-réseau dédié que vous souhaitez déléguer à Azure Lab Services.

    Important

    Le sous-réseau que vous utilisez pour Azure Lab Services ne doit pas déjà être utilisé pour une passerelle de réseau virtuel ou Azure Bastion.

  4. Dans Déléguer un sous-réseau à un service, sélectionnez Microsoft.LabServices/labplans, puis sélectionnez Enregistrer.

    Screenshot of the subnet properties page in the Azure portal, highlighting the Delegate subnet to a service setting.

  5. Vérifiez que Microsoft.LabServices/labplans apparaît dans la colonne Déléguée à colonne de votre sous-réseau.

    Screenshot of list of subnets for a virtual network in the Azure portal, highlighting the Delegated to columns.

2. Configurer un groupe de sécurité réseau

Lorsque vous connectez votre plan de laboratoire à un réseau virtuel, vous devez configurer un groupe de sécurité réseau (NSG) pour autoriser le trafic RDP/SSH entrant à partir de l’ordinateur de l’utilisateur vers la machine virtuelle modèle et les machines virtuelles du labo. Un groupe de sécurité réseau contient les règles de contrôle d’accès qui autorisent ou refusent le trafic en fonction de la direction du trafic, du protocole, de l’adresse et du port source ainsi que de l’adresse et du port de destination.

Les règles d'un groupe de sécurité réseau peuvent être modifiées à tout moment et les modifications sont appliquées à toutes les instances associées. L’efficacité des modifications du groupe de sécurité réseau peut prendre jusqu’à 10 minutes.

Important

Si vous ne configurez pas de groupe de sécurité réseau, vous ne pourrez pas accéder à la machine virtuelle du modèle lab et aux machines virtuelles lab via RDP ou SSH.

La configuration du groupe de sécurité réseau pour la mise en réseau avancée se compose de deux étapes :

  1. Créer un groupe de sécurité réseau qui autorise le trafic RDP/SSH
  2. Associer le groupe de sécurité réseau au sous-réseau de réseau virtuel

Vous pouvez utiliser un groupe de sécurité réseau pour contrôler le trafic vers une ou plusieurs machines virtuelles, instances de rôles, cartes réseau (NIC) ou vers des sous-réseaux dans votre réseau virtuel. Un groupe de sécurité réseau contient les règles de contrôle d’accès qui autorisent ou refusent le trafic en fonction de la direction du trafic, du protocole, de l’adresse et du port source ainsi que de l’adresse et du port de destination. Les règles d'un groupe de sécurité réseau peuvent être modifiées à tout moment et les modifications sont appliquées à toutes les instances associées.

Pour plus d’informations sur les groupes de sécurité réseau, consultez la page Présentation d’un groupe de sécurité réseau.

Vous pouvez utiliser un groupe de sécurité réseau pour contrôler le trafic vers une ou plusieurs machines virtuelles, instances de rôles, cartes réseau (NIC) ou vers des sous-réseaux dans votre réseau virtuel. Un groupe de sécurité réseau contient les règles de contrôle d’accès qui autorisent ou refusent le trafic en fonction de la direction du trafic, du protocole, de l’adresse et du port source ainsi que de l’adresse et du port de destination. Les règles d'un groupe de sécurité réseau peuvent être modifiées à tout moment et les modifications sont appliquées à toutes les instances associées.

Pour plus d’informations sur les groupes de sécurité réseau, consultez la page Présentation d’un groupe de sécurité réseau.

Créer un groupe de sécurité réseau pour autoriser le trafic

Procédez comme suit pour créer un groupe de sécurité réseau et autoriser le trafic RDP ou SSH entrant :

  1. Si vous n’avez pas encore de groupe de sécurité réseau, procédez comme suit pour créer un groupe de sécurité réseau (NSG).

    Veillez à créer le groupe de sécurité réseau dans la même région Azure que le réseau virtuel et le plan lab.

  2. Créez une règle de sécurité entrante pour autoriser le trafic RDP et SSH.

    1. Accédez à votre groupe de sécurité réseau dans le Portail Azure.

    2. Sélectionnez Règles de sécurité de trafic entrant, puis sélectionnez + Ajouter.

    3. Entrez les détails de la nouvelle règle de sécurité entrante :

      Paramètre Valeur
      Source sélectionnez N'importe laquelle.
      Plages de ports source Entrez *.
      Destination Sélectionnez Adresses IP.
      Plages d’adresses IP/CIDR de destination Sélectionnez la plage de votre sous-réseau de réseau virtuel.
      Service Sélectionnez Personnalisé.
      Plages de ports de destination Entrez 22, 3389. Le port 22 est destiné au protocole Secure Shell (SSH). Le port 3389 est destiné au protocole RDP (Remote Desktop Protocol).
      Protocole sélectionnez N'importe laquelle.
      Action Sélectionnez Autoriser.
      Priorité Entrez 1000. La priorité doit être supérieure à d’autres règles de refus pour RDP ou SSH.
      Nom Entrez AllowRdpSshForLabs.

    4. Sélectionnez Ajouter pour ajouter la règle de sécurité entrante au groupe de sécurité réseau.

Associer le sous-réseau au groupe de sécurité réseau

Ensuite, associez le groupe de sécurité réseau au sous-réseau de réseau virtuel pour appliquer les règles de trafic au trafic du réseau virtuel.

  1. Accédez à votre groupe de sécurité réseau, puis sélectionnez Sous-réseaux.

  2. Sélectionnez + Associer dans la barre de menus supérieure.

  3. Pour Réseau virtuel, sélectionnez votre réseau virtuel.

  4. Pour Sous-réseau, sélectionnez votre sous-réseau de réseau virtuel.

    Screenshot of the Associate subnet page in the Azure portal.

  5. Sélectionnez OK pour associer le sous-réseau de réseau virtuel au groupe de sécurité réseau.

3. Créer un plan lab avec mise en réseau avancée

Maintenant que vous avez configuré le sous-réseau et le groupe de sécurité réseau, vous pouvez créer le plan lab avec une mise en réseau avancée. Lorsque vous créez un laboratoire dans le plan de laboratoire, Azure Lab Services crée le modèle de laboratoire et les machines virtuelles de laboratoire dans le sous-réseau de réseau virtuel.

Important

Vous devez configurer la mise en réseau avancée lorsque vous créez un plan lab. Vous ne pouvez pas activer la mise en réseau avancée à un stade ultérieur.

Pour créer un plan lab avec une mise en réseau avancée dans la Portail Azure :

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Créer une ressource dans le coin supérieur gauche du Portail Azure, puis recherchez le plan de laboratoire.

  3. Entrez les informations sous l’onglet Informations de base de la page Créer un plan lab.

    Pour plus d’informations, consultez Créer un plan lab avec Azure Lab Services.

  4. Dans l’onglet Mise en réseau, sélectionnez Activer la mise en réseau avancée pour configurer le sous-réseau de réseau virtuel.

  5. Pour Réseau virtuel, sélectionnez votre réseau virtuel. Pour Sous-réseau, sélectionnez votre sous-réseau de réseau virtuel.

    Si votre réseau virtuel n’apparaît pas dans la liste, vérifiez que le plan lab se trouve dans la même région Azure que le réseau virtuel, que vous avez délégué le sous-réseau à Azure Lab Services et que votre compte Azure dispose des autorisations nécessaires.

    Screenshot of the Networking tab of the Create a lab plan wizard.

  6. Sélectionnez Vérifier + Créer pour créer le plan lab avec une mise en réseau avancée.

    Les utilisateurs du labo et les gestionnaires de laboratoire peuvent désormais se connecter à leurs machines virtuelles de laboratoire ou machines virtuelles de modèle de laboratoire à l’aide de RDP ou SSH.

    Lorsque vous créez un laboratoire, toutes les machines virtuelles sont créées dans le réseau virtuel et affectées une adresse IP dans la plage de sous-réseaux.

4. (Facultatif) Mettre à jour les paramètres de configuration réseau

Il est recommandé d’utiliser les paramètres de configuration par défaut pour le réseau virtuel et le sous-réseau lorsque vous utilisez la mise en réseau avancée dans Azure Lab Services.

Pour des scénarios de mise en réseau spécifiques, vous devrez peut-être mettre à jour la configuration réseau. En savoir plus sur les architectures et topologies réseau prises en charge dans Azure Lab Services et la configuration réseau correspondante.

Vous pouvez modifier les paramètres du réseau virtuel après avoir créé le plan lab avec une mise en réseau avancée. Toutefois, lorsque vous modifiez les paramètres DNS sur le réseau virtuel, vous devez redémarrer les machines virtuelles de laboratoire en cours d’exécution. Si les machines virtuelles du labo sont arrêtées, elles recevront automatiquement les paramètres DNS mis à jour au démarrage.

Attention

Les modifications de configuration réseau suivantes ne sont pas prises en charge une fois que vous avez configuré la mise en réseau avancée :

  • Supprimez le réseau virtuel ou le sous-réseau associé au plan lab. Cela entraîne l’arrêt du travail des laboratoires.
  • Modifiez la plage d’adresses de sous-réseau lorsqu’il existe des machines virtuelles créées (machines virtuelles de modèle ou de laboratoire).
  • Modifiez l’étiquette DNS sur l’adresse IP publique. Ainsi, le bouton Connecter pour que les machines virtuelles du labo ne fonctionnent plus.
  • Modifiez la configuration IP frontale sur l’équilibreur de charge Azure. Ainsi, le bouton Connecter pour que les machines virtuelles du labo ne fonctionnent plus.
  • Modifiez le nom de domaine complet sur l’adresse IP publique.
  • Utilisez une table de routage avec un itinéraire par défaut pour le sous-réseau (tunneling forcé). Cela entraîne la perte de connectivité des utilisateurs à leur laboratoire.
  • L’utilisation de Pare-feu Azure ou d’Azure Bastion n’est pas prise en charge.

Étapes suivantes