你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

连接实验室计划到具有高级网络的虚拟网络

本文介绍如何使用 Azure 实验室服务高级网络将实验室计划连接到虚拟网络。 通过高级网络，可以更好地控制实验室的虚拟网络配置。 例如，若要连接到本地资源（如许可服务器），或使用用户定义的路由（UDR）。 详细了解 高级网络支持的网络方案和拓扑。

实验室计划的高级网络取代 了用于实验室帐户的 Azure 实验室服务虚拟网络对等互连 。

按照以下步骤为实验室计划配置高级网络：

1. 将虚拟网络子网委托给 Azure 实验室服务实验室计划。 委派允许 Azure 实验室服务在虚拟网络中创建实验室模板和实验室虚拟机。
2. 配置网络安全组，以允许入站 RDP 或 SSH 流量发到实验室模板虚拟机和实验室虚拟机。
3. 创建具有高级网络的实验室计划，将其与虚拟网络子网相关联。
4. （可选）配置虚拟网络。

只能在创建实验室计划时启用高级网络。 高级网络不是以后可以更新的设置。

下图显示了 Azure 实验室服务高级网络配置的概述。 实验室模板和实验室虚拟机在子网中分配 IP 地址，网络安全组允许用户使用 RDP 或 SSH 连接到实验室 VM。

注意

如果你的组织需要执行内容筛选，例如为了符合 儿童 Internet 保护法（CIPA），则需要使用第三方软件。 有关详细信息，请阅读有关受支持网络方案中的内容筛选的指南。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• Azure 帐户在 虚拟网络上具有“网络参与者 ”角色或此角色的父角色。
• 创建实验室计划的同一 Azure 区域中的 Azure 虚拟网络和子网。 了解如何创建 虚拟网络 和 子网。
• 子网为所有实验室（每个实验室使用 512 个 IP 地址）的所有实验室的模板 VM 和实验室 VM 具有足够的可用 IP 地址。

1.委托虚拟网络子网

若要在 Azure 实验室服务中使用虚拟网络子网进行高级网络，需要 将子网 委托给 Azure 实验室服务实验室计划。 子网委派向 Azure 实验室服务授予显式权限，以在子网中创建特定于服务的资源，例如实验室虚拟机。

一次只能委托一个实验室计划用于一个子网。

按照以下步骤委托子网以用于实验室计划：

1. 登录 Azure 门户。

2. 转到虚拟网络，然后选择 “子网”。

3. 选择要委托给 Azure 实验室服务的专用子网。

   重要

   用于 Azure 实验室服务的子网不应已用于 VNET 网关或 Azure Bastion。

4. 在 将子网委托给服务中，选择 Microsoft.LabServices/labplans，然后选择“ 保存”。

   

5. 验证 Microsoft.LabServices/labplans 是否显示在子网的“委派到”列中。

   

2.配置网络安全组

将实验室计划连接到虚拟网络时，需要配置网络安全组（NSG），以允许从用户计算机到模板虚拟机和实验室虚拟机的入站 RDP/SSH 流量。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。

可以随时更改 NSG 的规则，所做的更改适用于所有关联的实例。 NSG 更改可能需要长达 10 分钟才能生效。

重要

如果未配置网络安全组，则无法通过 RDP 或 SSH 访问实验室模板 VM 和实验室 VM。

高级网络的网络安全组配置由两个步骤组成：

1. 创建允许 RDP/SSH 流量的网络安全组
2. 将网络安全组与虚拟网络子网相关联

可以在虚拟网络中使用 NSG 控制流向一个或多个虚拟机 (VM)、角色实例、网络适配器 (NIC) 或子网的流量。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。 可以随时更改 NSG 的规则，所做的更改适用于所有关联的实例。

有关 NSG 的详细信息，请访问什么是 NSG。

可以在虚拟网络中使用 NSG 控制流向一个或多个虚拟机 (VM)、角色实例、网络适配器 (NIC) 或子网的流量。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。 可以随时更改 NSG 的规则，所做的更改适用于所有关联的实例。

有关 NSG 的详细信息，请访问什么是 NSG。

创建网络安全组以允许流量

按照以下步骤创建 NSG 并允许入站 RDP 或 SSH 流量：

1. 如果还没有网络安全组，请按照以下步骤创建网络安全组（NSG）。

   请确保在虚拟网络和实验室计划所在的同一 Azure 区域中创建网络安全组。

2. 创建入站安全规则以允许 RDP 和 SSH 流量。

   1. 转到Azure 门户中的网络安全组。

   2. 选择入站安全规则，然后选择 + 添加。

   3. 输入新入站安全规则的详细信息：

      设置	值
      Source	选择“任何”。
      源端口范围	输入 *。
      目标	选择“IP 地址”。
      目标 IP 地址/CIDR 范围	选择虚拟网络子网的范围。
      服务	选择“自定义”。
      目标端口范围	输入 22,3389。 端口 22 适用于安全外壳协议 (SSH)。 端口 3389 适用于远程桌面协议 (RDP)。
      协议	选择“任何”。
      Action	选择“允许”。
      优先级	输入“1000”。 优先级必须高于 RDP 或 SSH 的其他 拒绝 规则。
      Name	输入 AllowRdpSshForLabs。

   4. 选择“ 添加” ，将入站安全规则添加到 NSG。

将子网与网络安全组相关联

接下来，将 NSG 与虚拟网络子网相关联，以将流量规则应用到虚拟网络流量。

1. 转到网络安全组，然后选择“ 子网”。

2. 从顶部菜单栏中选择“+ 关联”。

3. 对于“虚拟网络”，请选择虚拟网络。

4. 对于 “子网”，请选择虚拟网络子网。

   

5. 选择“确定”，将虚拟网络子网与网络安全组相关联。

3. 使用高级网络创建实验室计划

配置子网和网络安全组后，即可使用高级网络创建实验室计划。 在实验室计划中创建新实验室时，Azure 实验室服务会在虚拟网络子网中创建实验室模板和实验室虚拟机。

重要

创建实验室计划时，必须配置高级网络。 无法在以后的阶段启用高级网络。

若要在Azure 门户中创建具有高级网络的实验室计划，请执行以下操作：

1. 登录 Azure 门户。

2. 选择Azure 门户左上角的资源，然后搜索实验室计划。

3. 在“创建实验室计划”页的“基本信息”选项卡上输入信息。

   有关详细信息，请参阅 使用 Azure 实验室服务创建实验室计划。

4. 在 “网络 ”选项卡中，选择“ 启用高级网络 ”以配置虚拟网络子网。

5. 对于“虚拟网络”，请选择虚拟网络。 对于 “子网”，请选择虚拟网络子网。

   如果虚拟网络未显示在列表中，请验证实验室计划是否与虚拟网络位于同一 Azure 区域中，是否已 将子网委托给 Azure 实验室服务，以及 Azure 帐户是否具有必要的权限。

   

6. 选择“ 查看 + 创建 ”以使用高级网络创建实验室计划。

   实验室用户和实验室管理员现在可以使用 RDP 或 SSH 连接到实验室虚拟机或实验室模板虚拟机。

   创建新实验室时，会在虚拟网络中创建所有虚拟机，并在子网范围内分配 IP 地址。

4. （可选） 更新网络配置设置

建议在 Azure 实验室服务中使用高级网络时，使用虚拟网络和子网的默认配置设置。

对于特定的网络方案，可能需要更新网络配置。 详细了解 Azure 实验室服务 中支持的网络体系结构和拓扑以及相应的网络配置。

使用高级网络创建实验室计划后，可以修改虚拟网络设置。 但是，更改 虚拟网络上的 DNS 设置时，需要重启任何正在运行的实验室虚拟机。 如果实验室 VM 已停止，则它们会在启动时自动接收更新的 DNS 设置。

注意

配置高级网络后，不支持以下网络配置更改：

• 删除与实验室计划关联的虚拟网络或子网。 这会导致实验室停止工作。
• 创建虚拟机时更改子网地址范围（模板 VM 或实验室 VM）。
• 更改公共 IP 地址上的 DNS 标签。 这会导致实验室 VM 停止工作连接按钮。
• 更改 Azure 负载均衡器上的前端 IP 配置 。 这会导致实验室 VM 停止工作连接按钮。
• 更改公共 IP 地址上的 FQDN。
• 将路由表与子网的默认路由（强制隧道）配合使用。 这会导致用户失去与实验室的连接。
• 不支持使用 Azure 防火墙 或 Azure Bastion。

后续步骤

• 将计算库附加到实验室计划。
• 为实验室计划配置自动关闭设置。
• 将实验室创建者添加到实验室计划。