Jak utworzyć laboratorium z udostępnionym zasobem w usłudze Azure Lab Services podczas korzystania z kont laboratorium
Ważne
Informacje przedstawione w tym artykule dotyczą kont laboratorium. Plany laboratorium usługi Azure Lab Services zastępują konta laboratorium. Dowiedz się, jak rozpocząć pracę, tworząc plan laboratorium. W przypadku istniejących klientów kont laboratorium zalecamy migrację z kont laboratorium do planów laboratorium.
Podczas tworzenia laboratorium mogą istnieć pewne zasoby, które należy udostępnić wszystkim uczniom w laboratorium. Na przykład masz serwer licencjonowania lub program SQL Server dla klasy bazy danych. W tym artykule omówiono kroki włączania udostępnionego zasobu dla laboratorium. Omówimy również sposób ograniczania dostępu do zasobu udostępnionego.
Architektura
Jak pokazano na poniższym diagramie, będziemy mieć konto laboratorium z laboratorium. Konto laboratorium będzie mieć ustawienia komunikacji równorzędnej sieci wirtualnych, dzięki czemu sieć wirtualna dla laboratorium jest połączona z siecią udostępnionego zasobu. Na poniższym diagramie znajdują się dwie sieci wirtualne z nienakładającymi się zakresami adresów IP. Te zakresy adresów IP to tylko przykładowe zakresy. Ponadto udostępniona sieć wirtualna zasobu znajduje się w tej samej subskrypcji co konto laboratorium.
Konfigurowanie zasobu udostępnionego
Przed utworzeniem laboratorium należy utworzyć sieć wirtualną dla zasobu udostępnionego. Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnej, zobacz tworzenie sieci wirtualnej. Planowanie zakresów sieci wirtualnych, aby nie nakładały się na adres IP maszyn laboratoryjnych, jest ważne. Aby uzyskać więcej informacji na temat planowania sieci, zobacz artykuł Planowanie sieci wirtualnych. W tym przykładzie zasób udostępniony znajduje się w sieci wirtualnej z zakresem 10.2.0.0/16. Jeśli jeszcze tego nie zrobiono, utwórz podsieć do przechowywania zasobu udostępnionego. W tym przykładzie używamy zakresu 10.2.0.0/24, ale zakres może się różnić w zależności od potrzeb sieci.
Zasób udostępniony może być oprogramowaniem uruchomionym na maszynie wirtualnej lub udostępnionej usłudze platformy Azure. Zasób udostępniony powinien być dostępny za pośrednictwem prywatnego adresu IP. Udostępniając zasób udostępniony tylko za pośrednictwem prywatnego adresu IP, ograniczasz dostęp do tego zasobu udostępnionego.
Na diagramie przedstawiono również sieciową grupę zabezpieczeń, która może służyć do ograniczania ruchu pochodzącego z maszyny wirtualnej ucznia. Można na przykład napisać regułę zabezpieczeń, która wskazuje ruch z adresów IP maszyny wirtualnej ucznia może uzyskiwać dostęp tylko do jednego zasobu udostępnionego i nic innego. Aby uzyskać więcej informacji na temat ustawiania reguł zabezpieczeń, zobacz Zarządzanie sieciowymi grupami zabezpieczeń. Jeśli chcesz ograniczyć dostęp do udostępnionego zasobu określonego laboratorium, pobierz adres IP laboratorium z ustawień laboratorium. Następnie ustaw regułę ruchu przychodzącego, aby zezwolić na dostęp tylko z tego adresu IP. Nie zapomnij zezwolić na porty 49152 do 65535 dla tego adresu IP. Opcjonalnie możesz znaleźć prywatny adres IP maszyn wirtualnych ucznia przy użyciu strony puli maszyn wirtualnych.
Jeśli zasób udostępniony jest maszyną wirtualną platformy Azure z wymaganym oprogramowaniem, może być konieczne zmodyfikowanie domyślnych reguł zapory dla maszyny wirtualnej.
Wskazówki dla zasobów udostępnionych — serwer licencji
Jednym z najpopularniejszych zasobów udostępnionych jest serwer licencji. Poniżej przedstawiono kilka wskazówek dotyczących pomyślnego skonfigurowania.
Region serwera
Serwer licencji musi być połączony z siecią wirtualną, która jest połączona za pomocą komunikacji równorzędnej z laboratorium. Ponieważ serwer licencji musi znajdować się w tym samym regionie co konto laboratorium.
Statyczny prywatny adres IP i adres MAC
Domyślnie maszyny wirtualne mają dynamiczny prywatny adres IP. Przed skonfigurowaniem dowolnego oprogramowania ustaw prywatny adres IP na statyczny. Prywatny adres IP i adres MAC są teraz ustawione jako statyczne.
Kontrola dostępu
Kontrolowanie dostępu do serwera licencji jest kluczem. Po skonfigurowaniu maszyny wirtualnej dostęp będzie nadal potrzebny do konserwacji, rozwiązywania problemów i aktualizowania. Poniżej przedstawiono kilka sposobów kontrolowania dostępu:
- Konfigurowanie dostępu just in time (JIT) w Microsoft Defender dla Chmury.
- Konfigurowanie sieciowej grupy zabezpieczeń w celu ograniczenia dostępu.
- Skonfiguruj usługę Bastion, aby umożliwić bezpieczny dostęp do serwera licencji.
Konto laboratorium
Aby korzystać z udostępnionego zasobu, należy skonfigurować konto laboratorium w celu korzystania z równorzędnej sieci wirtualnej. W takim przypadku będziemy łączyć komunikację równorzędną z siecią wirtualną, która przechowuje zasób udostępniony.
Ostrzeżenie
Laboratorium dla klasy należy utworzyć po utworzeniu komunikacji równorzędnej konta laboratorium z udostępnioną siecią wirtualną zasobów.
Maszyna szablonu
Po ustawieniu konta planu laboratorium/laboratorium na korzystanie z zaawansowanej sieci maszyna szablonu powinna mieć teraz dostęp do udostępnionego zasobu. W zależności od używanego zasobu udostępnionego może być konieczne zaktualizowanie reguł zapory.
Następne kroki
Jako administrator skonfiguruj komunikację równorzędną sieci wirtualnych na koncie laboratorium.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla