Создание лаборатории с общим ресурсом в Службах лабораторий Azure при использовании учетных записей лабораторий
Важно!
Сведения, приведенные в этой статье, относятся к учетным записям лаборатории. Планы лабораторий Служб лабораторий Azure заменяют учетные записи лабораторий. Узнайте, как начать работу, создав план лаборатории. Для существующих клиентов учетной записи лаборатории рекомендуется перенести учетные записи лаборатории в планы лаборатории.
При создании лаборатории могут быть некоторые ресурсы, которым необходимо предоставить общий доступ всем учащимся в лаборатории. Например, у вас есть сервер лицензирования или SQL Server для учебной базы данных. В этой статье рассматриваются действия по включению общего ресурса для лаборатории. Мы также поговорим о том, как ограничить доступ к общему ресурсу.
Архитектура
Как показано на схеме ниже, у нас будет отдельная учетная запись для этой лаборатории. Для этой учетной записи лаборатории будет настроен пиринг виртуальных сетей, чтобы виртуальная сеть лаборатории была подключена к сети общего ресурса. На схеме ниже есть две виртуальные сети с не перекрывающимися диапазонами IP-адресов. Эти диапазоны IP-адресов представляют собой примеры диапазонов. Кроме того, виртуальная сеть общего ресурса находится в той же подписке, что и учетная запись лаборатории.
Настройка общего ресурса
Перед созданием лаборатории необходимо создать виртуальную сеть для общего ресурса. Подробнее, о том, как создать виртуальную сеть см. в статье Создание виртуальной сети. Важно спланировать диапазоны виртуальных сетей, чтобы они не пересекались с IP-адресами лабораторных компьютеров. Дополнительные сведения о планировании сети см. в статье Планирование виртуальных сетей. В этом примере общий ресурс находится в виртуальной сети с диапазоном 10.2.0.0/16. Если вы еще не сделали этого, создайте подсеть для хранения общего ресурса. В примере мы используем диапазон 10.2.0.0/24, но диапазон может отличаться в зависимости от потребностей вашей сети.
Общий ресурс может быть программным обеспечением, работающим на виртуальной машине, или службой, предоставляемой Azure. Общий ресурс должен быть доступен через частный IP-адрес. Делая общий ресурс доступным только через частный IP-адрес, вы ограничиваете доступ к этому общему ресурсу.
На схеме также показана группа безопасности сети (NSG), которую можно использовать для ограничения трафика, поступающего от виртуальной машины учащегося. Например, можно написать правило безопасности, в котором говорится, что трафик с IP-адресов виртуальной машины учащегося может получить доступ только к одному общему ресурсу и ни к чему другому. Дополнительные сведения о настройке правил безопасности см. в разделе "Управление группой безопасности сети". Если вы хотите ограничить доступ к общему ресурсу определенной лаборатории, получите IP-адрес для лаборатории из параметров лаборатории лаборатории. Затем задайте правило для входящего трафика, чтобы разрешить доступ только с этого IP-адреса. Не забудьте разрешить порты 49152 — 65535 для этого IP-адреса. При необходимости можно найти частный IP-адрес виртуальных машин учащегося с помощью страницы пула виртуальных машин.
Если общий ресурс — это виртуальная машина Azure, на которой выполняется необходимое программное обеспечение, может потребоваться изменить правила брандмауэра по умолчанию для виртуальной машины.
Советы по общим ресурсам — сервер лицензирования
Одним из наиболее распространенных общих ресурсов является сервер лицензий, ниже приведены несколько советов по успешному настройке.
Регион сервера
Сервер лицензирования должен быть подключен к виртуальной сети, одноранговой к лаборатории. Так как сервер лицензирования должен находиться в том же регионе, что и учетная запись лаборатории.
Статический частный IP и MAC-адрес
По умолчанию виртуальные машины имеют динамический частный IP-адрес. Перед настройкой любого программного обеспечения задайте частный IP-адрес статическим. Теперь частный IP-адрес и MAC-адрес будут статическими.
Контроль доступа
Ключевым моментом является контроль доступа к серверу лицензирования. При настройке виртуальной машины доступ по-прежнему потребуется для обслуживания, устранения неполадок и обновления. Ниже приведены несколько способов управления доступом.
- Настройка JIT-доступа в Microsoft Defender для облака.
- Настройка группы безопасности сети для ограничения доступа.
- Настройка Бастиона, чтобы разрешить безопасный доступ к серверу лицензирования.
Учетная запись лаборатории
Чтобы использовать общий ресурс, учетная запись лаборатории должна быть настроена на использование одноранговой виртуальной сети. В этом случае мы будем пиринговать с виртуальной сетью, содержащей общий ресурс.
Предупреждение
Лабораторная работа для вашего класса должна быть создана после того, как учетная запись лаборатории будет подключена к виртуальной сети с общим ресурсом.
Шаблон компьютера
Если для учетной записи плана лаборатории или лаборатории настроено использование расширенной сети, компьютер-шаблон должен иметь доступ к общему ресурсу. Возможно, потребуется обновить правила брандмауэра в зависимости от доступа к общему ресурсу.
Следующие шаги
В качестве администратора настройте пиринг между виртуальными сетями в учетной записи лаборатории.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по