Сетевая изоляция в Azure DevTest Labs

  • Статья

В этой статье описано создание лаборатории с сетевой изоляцией в Azure DevTest Labs.

По умолчанию Azure DevTest Labs создает виртуальную сеть Azure для каждой лаборатории. Виртуальная сеть выполняет роль границы безопасности, изолируя ресурсы лаборатории от общедоступного Интернета. Чтобы обеспечить соблюдение сетевых политик для ресурсов лаборатории, можно использовать несколько других сетевых возможностей:

  • Изолируйте все виртуальные машины и среды лабораторий в уже существующей виртуальной сети, которую вы выбираете.
  • Присоедините виртуальную сеть Azure к локальной сети, чтобы безопасно подключаться к локальным ресурсам. Дополнительные сведения см. в разделе Эталонная архитектура Azure DevTest Labs для предприятий: компоненты подключения.
  • Полностью изолируйте лабораторию, в том числе виртуальные машины, среды, учетную запись хранения лаборатории и хранилища ключей, в выбранной виртуальной сети. В этой статье описано, как настроить сетевую изоляцию.

Включить сетевую изоляцию

Сетевую изоляцию можно включить на портале Azure только во время создания лаборатории. Чтобы преобразовать существующую лабораторию и связанные с ней ресурсы в режим изолированной сети, используйте сценарий PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Во время создания лаборатории можно включить сетевую изоляцию для виртуальной сети лаборатории по умолчанию или выбрать другую, уже существующую виртуальную сеть для этой лаборатории.

Использование виртуальной сети и подсети по умолчанию

Чтобы включить сетевую изоляцию для виртуальной сети и подсети По умолчанию, создаваемых DevTest Labs для лаборатории, сделайте следующее:

  1. Во время создания лабораториина экране Создание Devtest Lab выберите вкладку Сеть.

  2. Рядом с параметром Isolate lab resources (Изоляция ресурсов лаборатории) выберите Да.

  3. Завершите создание лаборатории.

    Снимок экрана: включение сетевой изоляции для сети по умолчанию.

После создания лаборатории никаких дальнейших действий не требуется. Теперь изоляцию ресурсов осуществляет сама лаборатория.

Использование другой виртуальной сети и подсети

Чтобы использовать другую существующую виртуальную сеть для лаборатории и включить сетевую изоляцию для этой сети, сделайте следующее:

  1. Во время создания лабораториина вкладке Сеть на экране Создание Devtest Lab выберите сеть в раскрывающемся списке. В списке отображаются только сети, относящиеся к тому же региону и той же подписке, что и лаборатория.

    Снимок экрана: выбор виртуальной сети.

  2. Выберите подсеть.

    Снимок экрана: выбор подсети.

  3. Рядом с параметром Isolate lab resources (Изоляция ресурсов лаборатории) выберите Да.

    Снимок экрана: включение сетевой изоляции для выбранной сети.

  4. Завершите создание лаборатории.

Настройка конечных точек служб

Если вы включили сетевую изоляцию для виртуальной сети, отличной от используемой по умолчанию, выполните приведенные ниже действия, чтобы изолировать учетную запись хранения лаборатории и хранилище ключей в выбранной сети. Выполните эти действия после создания лаборатории, но перед выполнением любой другой настройки лаборатории или созданием любых ресурсов лаборатории.

Настройка конечной точки для учетной записи хранения лаборатории

  1. На странице Обзор для лаборатории выберите группу ресурсов.

    Снимок экрана: выбор группы ресурсов для лаборатории.

  2. На странице Обзор группы ресурсов выберите учетную запись хранения для лаборатории. Соглашением об именовании для учетной записи хранения лаборатории является a\<labName>\<4-digit number>. Например, если имя лаборатории — contosolab, то имя учетной записи хранения может иметь значение acontosolab1234.

    Снимок экрана: выбор учетной записи хранения лаборатории.

  3. На странице учетной записи хранения в области навигации слева выберите Сеть. На вкладке Брандмауэры и виртуальные сети выберите параметр Разрешить службам Azure из списка надежных служб доступ к этой учетной записи хранения.

    Снимок экрана: предоставление доверенным службам доступа к группе ресурсов.

    DevTest Labs является доверенной службой Майкрософт, поэтому выбор этого параметра позволяет лаборатории работать нормально в режиме сетевой изоляции.

  4. Выберите Добавить существующую виртуальную сеть.

    Снимок экрана: панель

  5. На панели Добавление сетей выберите виртуальную сеть и подсеть, выбранные при создании лаборатории, а затем нажмите кнопку Добавить.

    Снимок экрана: панель добавления сети с выделенными виртуальными сетями, подсетями и добавлением.

  6. На странице Сеть нажмите кнопку Сохранить.

Теперь служба хранилища Azure разрешает входящие подключения из добавленной виртуальной сети, что позволяет лаборатории успешно работать в режиме сетевой изоляции.

Вы можете автоматизировать эти действия с помощью PowerShell или Azure CLI, чтобы настроить сетевую изоляцию для нескольких лабораторий. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.

Настройка конечной точки для хранилища ключей лаборатории

  1. На странице Обзор для лаборатории выберите группу ресурсов.

  2. На странице Обзор группы ресурсов выберите хранилище ключей для лаборатории.

    Снимок экрана: выбор хранилища ключей лаборатории.

  3. На странице хранилища ключей в области навигации слева выберите Сеть. На вкладке Брандмауэры и виртуальные сети установите флажок Разрешить доверенным службам Майкрософт обходить этот брандмауэр .

    Снимок экрана: предоставление доверенным службам доступа к хранилищу ключей.

  4. Выберите элемент + Добавить существующую виртуальную сеть.

    Снимок экрана: панель сети хранилища ключей с выделенным элементом

  5. В области Добавить сети выберите виртуальную сеть и подсеть, которые вы выбрали при создании лаборатории, а затем нажмите кнопку Включить.

    Снимок экрана: включение виртуальной сети и подсети в хранилище ключей.

  6. После успешного включения конечной точки службы нажмите кнопку Добавить.

    Снимок экрана: добавление виртуальной сети и подсети в хранилище ключей.

  7. На странице Сеть нажмите кнопку Сохранить.

Рекомендации

Ниже приведены некоторые аспекты, о которых следует помнить при использовании лаборатории в режиме изоляции сети:

Разрешение доступа к учетной записи хранения извне лаборатории

Владелец лаборатории должен явно разрешить доступ к учетной записи хранения, относящейся к лаборатории с сетевой изоляцией, из разрешенной конечной точки. Подобный доступ нужен для выполнения таких действий, как отправка виртуального жесткого диска в учетную запись хранения для создания пользовательских образов. Вы можете обеспечить доступ, создав виртуальную машину лаборатории и осуществляя из нее безопасный доступ к учетной записи хранения лаборатории.

Дополнительные сведения см. в разделе Подключение к учетной записи хранения с помощью частной конечной точки Azure.

Предоставление учетной записи хранения для экспорта данных об использовании лаборатории

Чтобы экспортировать данные об использовании для лаборатории с сетевой изоляцией, владельцу лаборатории необходимо явно предоставить учетную запись хранения и создать в ней BLOB-объект для хранения данных. Экспорт данных об использовании завершается сбоем в режиме сетевой изоляции, если пользователь не предоставил явным образом учетную запись хранения, которую следует использовать.

Дополнительные сведения см. в разделе Экспорт или удаление персональных данных из Azure DevTest Labs.

Настройка политик доступа к хранилищу ключей

Включение конечной точки службы хранилища ключей затрагивает только брандмауэр. В разделе Политики доступа хранилища ключей настройте соответствующие разрешения на доступ к хранилищу ключей.

Подробнее см. в статье Назначение политики доступа Key Vault.

Дальнейшие действия