Izolacja sieci w Azure DevTest Labs
Ten artykuł przeprowadzi Cię przez proces tworzenia laboratorium izolowanego w sieci w Azure DevTest Labs.
Domyślnie Azure DevTest Labs tworzy nową sieć wirtualną platformy Azure dla każdego laboratorium. Sieć wirtualna działa jako granica zabezpieczeń, aby odizolować zasoby laboratorium od publicznego Internetu. Aby zapewnić, że zasoby laboratorium są zgodne z zasadami sieci organizacji, możesz użyć kilku innych opcji sieci:
- Izolowanie wszystkich maszyn wirtualnych laboratorium i środowisk w wstępnie wybranej sieci wirtualnej.
- Dołącz sieć wirtualną platformy Azure do sieci lokalnej, aby bezpiecznie nawiązać połączenie z zasobami lokalnymi. Aby uzyskać więcej informacji, zobacz Architektura referencyjna przedsiębiorstwa usługi DevTest Labs: składniki łączności.
- Całkowicie izoluj laboratorium, w tym maszyny wirtualne, środowiska, konto magazynu laboratorium i magazyny kluczy do wybranej sieci wirtualnej. W tym artykule opisano sposób konfigurowania izolacji sieci.
Włącz izolację sieci
Można włączyć izolację sieci w Azure Portal tylko podczas tworzenia laboratorium. Aby przekonwertować istniejące laboratorium i skojarzone zasoby laboratorium na tryb sieci izolowany, użyj skryptu programu PowerShell Convert-DtlLabToIsolatedNetwork.ps1.
Podczas tworzenia laboratorium można włączyć izolację sieci dla domyślnej sieci wirtualnej laboratorium lub wybrać inną, wstępnie istniejącą sieć wirtualną do użycia w laboratorium.
Użyj domyślnej sieci wirtualnej i podsieci
Aby włączyć izolację sieci dla domyślnej sieci wirtualnej i podsieci tworzonej przez usługę DevTest Labs dla laboratorium:
Podczas tworzenia laboratorium na ekranie Tworzenie laboratorium DevTest Lab wybierz kartę Sieć .
Obok pozycji Izolowanie zasobów laboratorium wybierz pozycję Tak.
Zakończ tworzenie laboratorium.
Po utworzeniu laboratorium nie są potrzebne żadne dalsze działania. Laboratorium obsługuje izolowanie zasobów od teraz.
Korzystanie z innej sieci wirtualnej i podsieci
Aby użyć innej, istniejącej sieci wirtualnej dla laboratorium i włączyć izolację sieci dla tej sieci:
Podczas tworzenia laboratorium na karcie Sieć na ekranie Tworzenie laboratorium DevTest Lab wybierz sieć z listy rozwijanej. Lista zawiera tylko sieci w tym samym regionie i subskrypcji co laboratorium.
Wybierz podsieć.
Obok pozycji Izolowanie zasobów laboratorium wybierz pozycję Tak.
Zakończ tworzenie laboratorium.
Konfigurowanie punktów końcowych usługi
Jeśli włączono izolację sieci dla sieci wirtualnej innej niż domyślna, wykonaj następujące kroki, aby odizolować konto magazynu laboratorium i magazyn kluczy do wybranej sieci. Wykonaj te kroki po utworzeniu laboratorium, ale przed wykonaniem dowolnej innej konfiguracji laboratorium lub utworzeniem jakichkolwiek zasobów laboratorium.
Konfigurowanie punktu końcowego dla konta magazynu laboratorium
Na stronie Przegląd laboratorium wybierz grupę zasobów.
Na stronie Przegląd grupy zasobów wybierz konto magazynu laboratorium. Konwencja nazewnictwa konta magazynu laboratorium to
a\<labName>\<4-digit number>
. Jeśli na przykład nazwa laboratorium tocontosolab
, może to byćacontosolab1234
nazwa konta magazynu .Na stronie konta magazynu wybierz pozycję Sieć w obszarze nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu.
Usługa DevTest Labs jest zaufaną usługą firmy Microsoft, dlatego wybranie tej opcji umożliwia laboratorium normalne działanie w trybie izolowanym sieci.
Wybierz pozycję Dodaj istniejącą sieć wirtualną.
W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Dodaj.
Na stronie Sieć wybierz pozycję Zapisz.
Usługa Azure Storage umożliwia teraz połączenia przychodzące z dodanej sieci wirtualnej, co umożliwia laboratorium pomyślne działanie w trybie izolowanym sieci.
Te kroki można zautomatyzować za pomocą programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby skonfigurować izolację sieci dla wielu laboratoriów. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.
Konfigurowanie punktu końcowego magazynu kluczy laboratorium
Na stronie Przegląd laboratorium wybierz grupę zasobów.
Na stronie Przegląd grupy zasobów wybierz magazyn kluczy laboratorium.
Na stronie magazynu kluczy wybierz pozycję Sieć w obszarze nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory .
Wybierz pozycję Dodaj istniejące sieci wirtualne.
W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Włącz.
Po pomyślnym włączeniu punktu końcowego usługi wybierz pozycję Dodaj.
Na stronie Sieć wybierz pozycję Zapisz.
Zagadnienia do rozważenia
Oto kilka kwestii, które należy pamiętać podczas korzystania z laboratorium w trybie izolowanym sieci:
Włączanie dostępu do konta magazynu spoza laboratorium
Właściciel laboratorium musi jawnie włączyć dostęp do konta magazynu laboratorium izolowanego sieci z dozwolonego punktu końcowego. Akcje, takie jak przekazywanie wirtualnego dysku twardego na konto magazynu do tworzenia obrazów niestandardowych, wymagają tego dostępu. Dostęp można włączyć, tworząc maszynę wirtualną laboratorium i bezpiecznie uzyskiwając dostęp do konta magazynu laboratorium z tej maszyny wirtualnej.
Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z kontem magazynu przy użyciu prywatnego punktu końcowego platformy Azure.
Udostępnianie konta magazynu do eksportowania danych użycia laboratorium
Aby wyeksportować dane użycia dla laboratorium izolowanego w sieci, właściciel laboratorium musi jawnie podać konto magazynu i wygenerować obiekt blob w ramach konta w celu przechowywania danych. Eksportowanie danych użycia kończy się niepowodzeniem w trybie izolowanym sieci, jeśli użytkownik nie jawnie udostępnia konta magazynu do użycia.
Aby uzyskać więcej informacji, zobacz Eksportowanie lub usuwanie danych osobowych z Azure DevTest Labs.
Ustawianie zasad dostępu magazynu kluczy
Włączenie punktu końcowego usługi magazynu kluczy wpływa tylko na zaporę. Pamiętaj, aby skonfigurować odpowiednie uprawnienia dostępu magazynu kluczy w sekcji Zasady dostępu magazynu kluczy.
Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu Key Vault.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla