Izolacja sieci w Azure DevTest Labs

  • Artykuł

Ten artykuł przeprowadzi Cię przez proces tworzenia laboratorium izolowanego w sieci w Azure DevTest Labs.

Domyślnie Azure DevTest Labs tworzy nową sieć wirtualną platformy Azure dla każdego laboratorium. Sieć wirtualna działa jako granica zabezpieczeń, aby odizolować zasoby laboratorium od publicznego Internetu. Aby zapewnić, że zasoby laboratorium są zgodne z zasadami sieci organizacji, możesz użyć kilku innych opcji sieci:

Włącz izolację sieci

Można włączyć izolację sieci w Azure Portal tylko podczas tworzenia laboratorium. Aby przekonwertować istniejące laboratorium i skojarzone zasoby laboratorium na tryb sieci izolowany, użyj skryptu programu PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Podczas tworzenia laboratorium można włączyć izolację sieci dla domyślnej sieci wirtualnej laboratorium lub wybrać inną, wstępnie istniejącą sieć wirtualną do użycia w laboratorium.

Użyj domyślnej sieci wirtualnej i podsieci

Aby włączyć izolację sieci dla domyślnej sieci wirtualnej i podsieci tworzonej przez usługę DevTest Labs dla laboratorium:

  1. Podczas tworzenia laboratorium na ekranie Tworzenie laboratorium DevTest Lab wybierz kartę Sieć .

  2. Obok pozycji Izolowanie zasobów laboratorium wybierz pozycję Tak.

  3. Zakończ tworzenie laboratorium.

    Zrzut ekranu przedstawiający włączanie izolacji sieciowej dla sieci domyślnej.

Po utworzeniu laboratorium nie są potrzebne żadne dalsze działania. Laboratorium obsługuje izolowanie zasobów od teraz.

Korzystanie z innej sieci wirtualnej i podsieci

Aby użyć innej, istniejącej sieci wirtualnej dla laboratorium i włączyć izolację sieci dla tej sieci:

  1. Podczas tworzenia laboratorium na karcie Sieć na ekranie Tworzenie laboratorium DevTest Lab wybierz sieć z listy rozwijanej. Lista zawiera tylko sieci w tym samym regionie i subskrypcji co laboratorium.

    Zrzut ekranu przedstawiający wybieranie sieci wirtualnej.

  2. Wybierz podsieć.

    Zrzut ekranu przedstawiający wybieranie podsieci.

  3. Obok pozycji Izolowanie zasobów laboratorium wybierz pozycję Tak.

    Zrzut ekranu przedstawiający włączanie izolacji sieciowej dla wybranej sieci.

  4. Zakończ tworzenie laboratorium.

Konfigurowanie punktów końcowych usługi

Jeśli włączono izolację sieci dla sieci wirtualnej innej niż domyślna, wykonaj następujące kroki, aby odizolować konto magazynu laboratorium i magazyn kluczy do wybranej sieci. Wykonaj te kroki po utworzeniu laboratorium, ale przed wykonaniem dowolnej innej konfiguracji laboratorium lub utworzeniem jakichkolwiek zasobów laboratorium.

Konfigurowanie punktu końcowego dla konta magazynu laboratorium

  1. Na stronie Przegląd laboratorium wybierz grupę zasobów.

    Zrzut ekranu przedstawiający wybieranie grupy zasobów dla laboratorium.

  2. Na stronie Przegląd grupy zasobów wybierz konto magazynu laboratorium. Konwencja nazewnictwa konta magazynu laboratorium to a\<labName>\<4-digit number>. Jeśli na przykład nazwa laboratorium to contosolab, może to być acontosolab1234nazwa konta magazynu .

    Zrzut ekranu przedstawiający wybieranie konta magazynu laboratorium.

  3. Na stronie konta magazynu wybierz pozycję Sieć w obszarze nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu.

    Zrzut ekranu przedstawiający zezwolenie zaufanym usługom na dostęp do grupy zasobów.

    Usługa DevTest Labs jest zaufaną usługą firmy Microsoft, dlatego wybranie tej opcji umożliwia laboratorium normalne działanie w trybie izolowanym sieci.

  4. Wybierz pozycję Dodaj istniejącą sieć wirtualną.

    Zrzut ekranu przedstawiający okienko sieci grupy zasobów z wyróżnioną pozycją Dodaj istniejącą sieć wirtualną.

  5. W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający okienko dodawania sieci z wyróżnionymi sieciami wirtualnymi, podsieciami i dodaj.

  6. Na stronie Sieć wybierz pozycję Zapisz.

Usługa Azure Storage umożliwia teraz połączenia przychodzące z dodanej sieci wirtualnej, co umożliwia laboratorium pomyślne działanie w trybie izolowanym sieci.

Te kroki można zautomatyzować za pomocą programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby skonfigurować izolację sieci dla wielu laboratoriów. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.

Konfigurowanie punktu końcowego magazynu kluczy laboratorium

  1. Na stronie Przegląd laboratorium wybierz grupę zasobów.

  2. Na stronie Przegląd grupy zasobów wybierz magazyn kluczy laboratorium.

    Zrzut ekranu przedstawiający wybieranie magazynu kluczy laboratorium.

  3. Na stronie magazynu kluczy wybierz pozycję Sieć w obszarze nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj zaufanym usługom firmy Microsoft na obejście tej zapory .

    Zrzut ekranu przedstawiający zezwolenie zaufanym usługom na dostęp do magazynu kluczy.

  4. Wybierz pozycję Dodaj istniejące sieci wirtualne.

    Zrzut ekranu przedstawiający okienko sieci magazynu kluczy z wyróżnioną pozycją Dodaj istniejącą sieć wirtualną.

  5. W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Włącz.

    Zrzut ekranu przedstawiający włączanie sieci wirtualnej i podsieci w magazynie kluczy.

  6. Po pomyślnym włączeniu punktu końcowego usługi wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający dodawanie sieci wirtualnej i podsieci w magazynie kluczy.

  7. Na stronie Sieć wybierz pozycję Zapisz.

Zagadnienia do rozważenia

Oto kilka kwestii, które należy pamiętać podczas korzystania z laboratorium w trybie izolowanym sieci:

Włączanie dostępu do konta magazynu spoza laboratorium

Właściciel laboratorium musi jawnie włączyć dostęp do konta magazynu laboratorium izolowanego sieci z dozwolonego punktu końcowego. Akcje, takie jak przekazywanie wirtualnego dysku twardego na konto magazynu do tworzenia obrazów niestandardowych, wymagają tego dostępu. Dostęp można włączyć, tworząc maszynę wirtualną laboratorium i bezpiecznie uzyskiwając dostęp do konta magazynu laboratorium z tej maszyny wirtualnej.

Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z kontem magazynu przy użyciu prywatnego punktu końcowego platformy Azure.

Udostępnianie konta magazynu do eksportowania danych użycia laboratorium

Aby wyeksportować dane użycia dla laboratorium izolowanego w sieci, właściciel laboratorium musi jawnie podać konto magazynu i wygenerować obiekt blob w ramach konta w celu przechowywania danych. Eksportowanie danych użycia kończy się niepowodzeniem w trybie izolowanym sieci, jeśli użytkownik nie jawnie udostępnia konta magazynu do użycia.

Aby uzyskać więcej informacji, zobacz Eksportowanie lub usuwanie danych osobowych z Azure DevTest Labs.

Ustawianie zasad dostępu magazynu kluczy

Włączenie punktu końcowego usługi magazynu kluczy wpływa tylko na zaporę. Pamiętaj, aby skonfigurować odpowiednie uprawnienia dostępu magazynu kluczy w sekcji Zasady dostępu magazynu kluczy.

Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu Key Vault.

Następne kroki