Isolamento de rede no Azure DevTest Labs

  • Artigo

Este artigo explica como criar um laboratório com isolamento de rede no Azure DevTest Labs.

Por padrão, o Azure DevTest Labs cria uma rede virtual do Azure para cada laboratório. A rede virtual atua como um limite de segurança, isolando os recursos do laboratório da Internet pública. Para garantir que os recursos de laboratório sigam as políticas de rede organizacionais, você pode usar várias outras opções de rede:

Habilitar o isolamento de rede

Você pode habilitar o isolamento de rede no portal do Azure somente durante a criação do laboratório. Para converter um laboratório existente e os recursos de laboratório associados ao modo de rede isolado, use o script do PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Durante a criação do laboratório, você pode habilitar o isolamento de rede para a rede virtual do laboratório padrão ou escolher outra rede virtual preexistente a ser usada para o laboratório.

Usar a rede virtual e a sub-rede padrão

Para habilitar o isolamento de rede para a rede virtual e a sub-rede Padrão que o DevTest Labs cria para o laboratório:

  1. Durante a criação do laboratório, na tela Criar DevTest Lab, selecione a guia Rede.

  2. Ao lado de Isolar recursos de laboratório, selecione Sim.

  3. Conclua a criação do laboratório.

    Captura de tela que mostra a habilitação do isolamento de rede para a rede padrão.

Após você criar o laboratório, nenhuma ação adicional é necessária. O laboratório processará o isolamento de recursos de agora em diante.

Usar uma rede virtual e uma sub-rede diferentes

Para usar uma rede virtual diferente existente para o laboratório e habilitar o isolamento de rede para essa rede:

  1. Durante a criação do laboratório, na guia Rede da tela Criar DevTest Lab, selecione uma rede na lista suspensa. A lista mostra apenas redes na mesma região e assinatura que o laboratório.

    Captura de tela mostrando a seleção de rede virtual.

  2. Selecione uma sub-rede.

    Captura de tela que mostra a seleção de uma sub-rede.

  3. Ao lado de Isolar recursos de laboratório, selecione Sim.

    Captura de tela que mostra a habilitação do isolamento de rede para uma rede selecionada.

  4. Conclua a criação do laboratório.

Configurar pontos de extremidade de serviço

Se você habilitou o isolamento de rede para uma rede virtual diferente da padrão, conclua as etapas a seguir para isolar a conta de armazenamento no laboratório e o cofre de chaves da rede selecionada. Siga estas etapas depois de criar o laboratório, mas antes de fazer qualquer outra configuração nele ou de criar qualquer recurso de laboratório.

Configurar o ponto de extremidade para a conta de armazenamento no laboratório

  1. Na página Visão geral do laboratório, selecione o grupo de recursos.

    Captura de tela que mostra a seleção do grupo de recursos para um laboratório.

  2. Na página de Visão geral do grupo de recursos, selecione a conta de armazenamento do laboratório. A convenção de nomenclatura da conta de armazenamento no laboratório é a\<labName>\<4-digit number>. Por exemplo, se o nome do laboratório for contosolab, o nome da conta de armazenamento poderá ser acontosolab1234.

    Captura de tela que mostra a seleção da conta de armazenamento do laboratório.

  3. Na página da conta de armazenamento, selecione Rede na barra de navegação à esquerda. Na guia Firewalls e redes virtuais, certifique-se de Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento esteja selecionado.

    Captura de tela que mostra a permissão de acesso de serviços confiáveis a um grupo de recursos.

    O DevTest Labs é um serviço confiável da Microsoft, de modo que selecionar essa opção permitirá que o laboratório opere normalmente em um modo de rede isolada.

  4. Selecione Adicionar rede virtual existente.

    Captura de tela que mostra o painel de rede do grupo de recursos com Adicionar rede virtual existente realçado.

  5. No painel Adicionar redes, selecione a rede virtual e a sub-rede que você escolheu ao criar o laboratório e selecione Adicionar.

    Captura de tela que mostra o painel Adicionar rede com redes virtuais, sub-redes e Adicionar realçado.

  6. Na página Rede, selecione Salvar.

Agora, o Armazenamento do Azure permite conexões de entrada da rede virtual adicionada, o que habilita o laboratório a operar com êxito em um modo de rede isolada.

Você pode automatizar essas etapas com o PowerShell ou a CLI do Azure para configurar o isolamento de rede para vários laboratórios. Para saber mais, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure.

Configurar o ponto de extremidade para o cofre de chaves do laboratório

  1. Na página Visão geral do laboratório, selecione o grupo de recursos.

  2. Na página de Visão geral do grupo de recursos, selecione o cofre de chaves do laboratório.

    Captura de tela que mostra a seleção do cofre de chaves do laboratório.

  3. Na página do cofre de chaves, selecione Rede na barra de navegação à esquerda. Na guia Firewalls e redes virtuais, certifique-se de que Permitir que os serviços Microsoft confiáveis ignorem este firewall esteja selecionado.

    Captura de tela que mostra a permissão de acesso de serviços confiáveis a um cofre de chaves.

  4. Selecione Adicionar redes virtuais existentes.

    Captura de tela que mostra o painel de rede do cofre de chaves com Adicionar rede virtual existente realçado.

  5. No painel Adicionar redes, selecione a rede virtual e a sub-rede que você escolheu ao criar o laboratório e selecione Habilitar.

    Captura de tela que mostra a habilitação de uma rede virtual e sub-rede em um cofre de chaves.

  6. Após o ponto de extremidade de serviço ser habilitado com êxito, selecione Adicionar.

    Captura de tela que mostra a adição de uma rede virtual e sub-rede em um cofre de chaves.

  7. Na página Rede, selecione Salvar.

Considerações

Estas são algumas coisas a serem lembradas ao usar um laboratório em um modo de rede isolada:

Habilitar o acesso à conta de armazenamento de fora do laboratório

O proprietário do laboratório precisa habilitar explicitamente o acesso à conta de armazenamento de um laboratório isolado na rede para um ponto de extremidade permitido. Ações como carregar um VHD na conta de armazenamento a fim de criar imagens personalizadas exigem esse acesso. Você pode habilitar o acesso criando uma VM do laboratório e acessando com segurança a conta de armazenamento do laboratório dessa VM.

Para obter mais informações, confira Conectar-se a uma conta de armazenamento usando um ponto de extremidade privado do Azure.

Fornecer a conta de armazenamento para exportar dados de uso do laboratório

Para exportar dados de uso de um laboratório isolado na rede, o proprietário do laboratório precisa fornecer explicitamente uma conta de armazenamento e gerar um blob dentro da conta para armazenar os dados. A exportação de dados de uso falhará no modo isolado da rede se o usuário não fornecer explicitamente a conta de armazenamento a ser usada.

Para obter mais informações, confira Exportar ou excluir dados pessoais do Azure DevTest Labs.

Definir políticas de acesso do cofre de chaves

Habilitar o ponto de extremidade de serviço do cofre de chaves afeta apenas o firewall. Configure as permissões de acesso apropriadas do cofre de chaves na seção Políticas de acesso do cofre de chaves.

Para obter mais informações, confira Atribuir uma política de acesso do Key Vault.

Próximas etapas