Netwerkisolatie in Azure DevTest Labs

  • Artikel

In dit artikel wordt uitgelegd hoe u een netwerkisolatielab maakt in Azure DevTest Labs.

Standaard maakt Azure DevTest Labs een nieuw virtueel Azure-netwerk voor elk lab. Het virtuele netwerk fungeert als een beveiligingsgrens om labresources te isoleren van het openbare internet. Om ervoor te zorgen dat labresources het netwerkbeleid van de organisatie volgen, kunt u verschillende andere netwerkopties gebruiken:

Netwerkisolatie inschakelen

U kunt netwerkisolatie in de Azure Portal alleen inschakelen tijdens het maken van het lab. Als u een bestaand lab en de bijbehorende labresources wilt converteren naar de geïsoleerde netwerkmodus, gebruikt u het PowerShell-scriptConvert-DtlLabToIsolatedNetwork.ps1.

Tijdens het maken van het lab kunt u netwerkisolatie inschakelen voor het standaardnetwerk van het lab of een ander, vooraf bestaand virtueel netwerk kiezen om voor het lab te gebruiken.

Het standaard virtuele netwerk en subnet gebruiken

Netwerkisolatie inschakelen voor het standaard virtuele netwerk en subnet dat DevTest Labs voor het lab maakt:

  1. Selecteer tijdens het maken van het lab op het scherm DevTest Lab maken het tabblad Netwerken .

  2. Selecteer ja naast Labresources isoleren.

  3. Voltooi het maken van het lab.

    Schermopname van het inschakelen van netwerkisolatie voor het standaardnetwerk.

Nadat u het lab hebt gemaakt, hoeft u geen verdere actie meer te ondernemen. Het lab zorgt vanaf nu voor het isoleren van resources.

Een ander virtueel netwerk en subnet gebruiken

Een ander, bestaand virtueel netwerk gebruiken voor het lab en netwerkisolatie voor dat netwerk inschakelen:

  1. Selecteer tijdens het maken van het lab op het tabblad Netwerken van het scherm DevTest Lab maken een netwerk in de vervolgkeuzelijst. De lijst bevat alleen netwerken in dezelfde regio en hetzelfde abonnement als het lab.

    Schermopname van het selecteren van een virtueel netwerk.

  2. Selecteer een subnet.

    Schermopname van het selecteren van een subnet.

  3. Selecteer ja naast Labresources isoleren.

    Schermopname van het inschakelen van netwerkisolatie voor een geselecteerd netwerk.

  4. Voltooi het maken van het lab.

Service-eindpunten configureren

Als u netwerkisolatie hebt ingeschakeld voor een ander virtueel netwerk dan het standaardnetwerk, voert u de volgende stappen uit om het labopslagaccount en de sleutelkluis te isoleren voor het netwerk dat u hebt geselecteerd. Voer deze stappen uit nadat u het lab hebt gemaakt, maar voordat u een andere labconfiguratie uitvoert of labresources maakt.

Het eindpunt voor het labopslagaccount configureren

  1. Selecteer de resourcegroep op de pagina Overzicht van het lab.

    Schermopname van het selecteren van de resourcegroep voor een lab.

  2. Selecteer op de pagina Overzicht van de resourcegroep het opslagaccount van het lab. De naamconventie voor het labopslagaccount is a\<labName>\<4-digit number>. Als de labnaam bijvoorbeeld is, kan contosolabde naam van het opslagaccount zijn acontosolab1234.

    Schermopname van het selecteren van het labopslagaccount.

  3. Selecteer netwerken in het linkernavigatievenster op de pagina opslagaccount. Controleer op het tabblad Firewalls en virtuele netwerken of Toestaan dat Azure-services in de lijst met vertrouwde services toegang hebben tot dit opslagaccount is geselecteerd.

    Schermopname van het toestaan van toegang tot een resourcegroep voor vertrouwde services.

    DevTest Labs is een vertrouwde Microsoft-service, dus als u deze optie selecteert, kan het lab normaal werken in een netwerkisolatiemodus.

  4. Selecteer Bestaand virtueel netwerk toevoegen.

    Schermopname van het deelvenster Netwerken van de resourcegroep met Bestaand virtueel netwerk toevoegen gemarkeerd.

  5. Selecteer in het deelvenster Netwerken toevoegen het virtuele netwerk en subnet dat u hebt gekozen toen u het lab maakte en selecteer vervolgens Toevoegen.

    Schermopname van het deelvenster Netwerk toevoegen met virtuele netwerken, subnetten en Toevoegen gemarkeerd.

  6. Selecteer Opslaan op de pagina Netwerken.

Azure Storage staat nu binnenkomende verbindingen van het toegevoegde virtuele netwerk toe, waardoor het lab met succes kan werken in een netwerkisolatiemodus.

U kunt deze stappen automatiseren met PowerShell of Azure CLI om netwerkisolatie voor meerdere labs te configureren. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.

Het eindpunt voor de labsleutelkluis configureren

  1. Selecteer de resourcegroep op de pagina Overzicht van het lab.

  2. Selecteer op de pagina Overzicht van de resourcegroep de sleutelkluis van het lab.

    Schermopname van het selecteren van de sleutelkluis van het lab.

  3. Selecteer netwerken in de linkernavigatiebalk op de pagina sleutelkluis. Zorg ervoor dat op het tabblad Firewalls en virtuele netwerkenvertrouwde Microsoft-services toestaan deze firewall te omzeilen is geselecteerd.

    Schermopname van het toestaan van toegang tot een sleutelkluis voor vertrouwde services.

  4. Selecteer Bestaande virtuele netwerken toevoegen.

    Schermopname van het deelvenster Key Vault-netwerken met Bestaand virtueel netwerk toevoegen gemarkeerd.

  5. Selecteer in het deelvenster Netwerken toevoegen het virtuele netwerk en subnet dat u hebt gekozen bij het maken van het lab en selecteer vervolgens Inschakelen.

    Schermopname van het inschakelen van een virtueel netwerk en subnet in een sleutelkluis.

  6. Zodra het service-eindpunt is ingeschakeld, selecteert u Toevoegen.

    Schermopname van het toevoegen van een virtueel netwerk en subnet in een sleutelkluis.

  7. Selecteer Opslaan op de pagina Netwerken.

Overwegingen

Hier volgen enkele dingen die u moet onthouden bij het gebruik van een lab in een netwerkisolatiemodus:

Toegang tot het opslagaccount van buiten het lab inschakelen

De eigenaar van het lab moet expliciet toegang tot het opslagaccount van een netwerk geïsoleerd lab vanaf een toegestaan eindpunt inschakelen. Voor acties zoals het uploaden van een VHD naar het opslagaccount voor het maken van aangepaste installatiekopieën is deze toegang vereist. U kunt toegang inschakelen door een lab-VM te maken en veilig toegang te krijgen tot het opslagaccount van het lab vanaf die VM.

Zie Verbinding maken met een opslagaccount met behulp van een azure-privé-eindpunt voor meer informatie.

Opslagaccount opgeven voor het exporteren van labgebruiksgegevens

Als u gebruiksgegevens voor een netwerkisolatielab wilt exporteren, moet de eigenaar van het lab expliciet een opslagaccount opgeven en een blob genereren in het account om de gegevens op te slaan. Het exporteren van gebruiksgegevens mislukt in de geïsoleerde netwerkmodus als de gebruiker niet expliciet het te gebruiken opslagaccount opgeeft.

Zie Persoonsgegevens exporteren of verwijderen uit Azure DevTest Labs voor meer informatie.

Toegangsbeleid voor sleutelkluis instellen

Het inschakelen van het service-eindpunt van de sleutelkluis is alleen van invloed op de firewall. Zorg ervoor dat u de juiste toegangsmachtigingen voor de sleutelkluis configureert in de sectie Toegangsbeleid voor sleutelkluis.

Zie Een Key Vault toegangsbeleid toewijzen voor meer informatie.

Volgende stappen