Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje referenční architekturu pro nasazení Azure DevTest Labs v podniku. Architektura zahrnuje následující klíčové prvky:
- Místní připojení přes Azure ExpressRoute
- Brána pro vzdálený přístup k virtuálním strojům
- Připojení k privátnímu úložišti artefaktů
- Jiné komponenty Platformy jako služby (PaaS), které používají laboratoře
Architecture
Následující diagram znázorňuje typické podnikové nasazení DevTest Labs. Tato architektura propojuje několik testovacích prostředí v různých předplatných Azure s místní sítí společnosti.
Komponenty DevTest Labs
DevTest Labs umožňuje podnikům snadný a rychlý přístup k prostředkům Azure. Každé testovací prostředí obsahuje prostředky typu software jako služba (SaaS), infrastrukturu jako službu (IaaS) a prostředky PaaS. Uživatelé testovacího prostředí můžou vytvářet a konfigurovat virtuální počítače, prostředí PaaS a artefakty virtuálních počítačů.
V předchozím diagramu ukazuje Team Lab 1 v předplatném Azure 1 příklad komponent Azure, ke kterým může testovací prostředí přistupovat a používat. Další informace najdete v tématu o devTest Labs.
Connectivity components
Pokud vaše testovací prostředí musí přistupovat k místním podnikovým prostředkům, potřebujete místní připojení. Mezi běžné scénáře patří:
- Některá místní data se nedají přesunout do cloudu.
- Virtuální počítače testovacího prostředí chcete připojit k místní doméně.
- Chcete přesměrovat veškerý provoz cloudové sítě přes interní firewall z důvodu bezpečnosti nebo souladu s předpisy.
Tato architektura používá ExpressRoute k připojení k místní síti. Můžete také použít síť VPN typu site-to-site.
Na místním zařízení brána pro vzdálenou pracovní plochu umožňuje odchozí připojení přes protokol Remote Desktop Protocol (RDP) k DevTest Labs. Podniky obvykle blokují odchozí připojení v podnikové bráně firewall. Pokud chcete povolit připojení, můžete:
- Použijte bránu vzdálené plochy a povolte statickou IP adresu vyrovnávače zatížení brány.
- Pomocí vynuceného tunelování můžete přesměrovat veškerý provoz protokolu RDP zpět přes expressRoute nebo připojení VPN typu site-to-site. Vynucené tunelování je běžné funkce pro nasazení DevTest Labs na podnikové úrovni.
Networking components
V této architektuře poskytuje Microsoft Entra ID správu identit a přístupu ve všech sítích. Virtuální počítače testovacího prostředí mají obvykle účet místního správce pro přístup. Pokud je k dispozici ID Microsoft Entra, místní doména nebo doména Microsoft Entra Domain Services, můžete k doméně připojit virtuální počítače laboratoře. Uživatelé se pak můžou k virtuálním počítačům připojit pomocí identit založených na doméně.
Topologie sítí Azure řídí, jak prostředky testovacího prostředí přistupují k místním sítím a internetu a komunikují s ní. Tato architektura ukazuje běžnou metodu, kterou podniky používají k síti DevTest Labs. Laboratoře se připojují s partnerskými virtuálními sítěmi v konfiguraci hub-spoke prostřednictvím připojení ExpressRoute nebo VPN typu site-to-site k místní síti.
Vzhledem k tomu, že DevTest Labs používá přímo službu Azure Virtual Network, neexistují žádná omezení nastavení síťové infrastruktury. Skupinu zabezpečení sítě můžete nastavit tak, aby omezovala cloudový provoz na základě zdrojových a cílových IP adres. Můžete například povolit pouze provoz, který pochází z podnikové sítě do sítí testovacího prostředí.
Scalability considerations
DevTest Labs nemá žádné předdefinované kvóty ani limity, ale jiné prostředky Azure, které testovací prostředí používají, mají kvóty na úrovni předplatného. V typickém podnikovém nasazení potřebujete k pokrytí velkého nasazení DevTest Labs několik předplatných Azure. Podniky běžně dosáhnou následujících kvót:
Resource groups. DevTest Labs vytvoří skupinu prostředků pro každý nový virtuální počítač a uživatelé testovacího prostředí vytvářejí prostředí ve skupinách prostředků. Předplatná můžou obsahovat až 980 skupin prostředků, takže je to limit virtuálních počítačů a prostředí v předplatném.
Dvě strategie vám můžou pomoct zůstat v mezích skupin prostředků:
- Všechny virtuální počítače umístěte do stejné skupiny prostředků. Tato strategie vám pomůže splnit limit skupiny prostředků, ale má vliv na limit typu prostředku na skupinu prostředků.
- Použijte sdílené veřejné IP adresy. Pokud mají virtuální počítače povolené veřejné IP adresy, vložte všechny virtuální počítače se stejnou velikostí a oblastí do stejné skupiny prostředků. Tato konfigurace vám může pomoct splnit kvóty skupin prostředků i kvóty typu prostředků na skupinu prostředků.
Prostředky podle skupiny prostředků, podle typu prostředků. Výchozí limit pro prostředky na skupinu prostředků je 800. Pokud umístíte všechny virtuální počítače do stejné skupiny prostředků, dosáhnete tohoto limitu mnohem dříve, zejména pokud virtuální počítače mají mnoho dalších disků.
Storage accounts. Každé testovací prostředí v DevTest Labs se dodává s účtem úložiště. Kvóta Azure pro počet účtů úložiště na oblast na předplatné je ve výchozím nastavení 250 . Maximální počet devTest Labs v jedné oblasti je tedy také 250. Se zvýšením kvóty můžete vytvořit až 500 účtů úložiště na oblast. Další informace najdete v tématu Zvýšení kvót účtu služby Azure Storage.
Role assignments. Přiřazení role dává uživateli nebo principálu přístup k prostředku. Azure má limit 4 000 přiřazení rolí na předplatné.
DevTest Labs ve výchozím nastavení vytvoří skupinu prostředků pro každý virtuální počítač testovacího prostředí. Tvůrce virtuálního počítače získá oprávnění vlastníka k virtuálnímu počítači a čtenářské oprávnění pro skupinu prostředků. Každý testovací virtuální počítač proto používá dvě přiřazení rolí. Udělení uživatelských oprávnění laboratoři také využívá přiřazení rolí.
API reads/writes. Azure a DevTest Labs můžete automatizovat pomocí rozhraní REST API, PowerShellu, Azure CLI a sady Azure SDK. Každé předplatné Azure umožňuje až 12 000 žádostí o čtení a 1 200 žádostí o zápis za hodinu. Pokud automatizujete DevTest Labs, můžete dosáhnout limitu požadavků rozhraní API.
Manageability considerations
Azure Portal můžete použít ke správě jedné instance DevTest Labs najednou, ale podniky můžou mít k správě více předplatných Azure a mnoho testovacích prostředí. Provádění změn konzistentně ve všech testovacích prostředích vyžaduje automatizaci skriptování.
Tady je několik příkladů použití skriptování v nasazeních DevTest Labs:
Změna nastavení testovacího prostředí Aktualizujte konkrétní nastavení testovacího prostředí ve všech testovacích prostředích pomocí skriptů PowerShellu, Azure CLI nebo rozhraní REST API. Aktualizujte například všechna testovací prostředí tak, aby umožňovala novou velikost instance virtuálního počítače.
Aktualizace osobních přístupových tokenů úložiště artefaktů (PAT). PAT pro úložiště Git obvykle vyprší za 90 dní, jeden rok nebo dva roky. Pokud chcete zajistit kontinuitu, je důležité rozšířit PAT. Nebo můžete vytvořit novou pat a pomocí automatizace ji použít pro všechna testovací prostředí.
Omezení změn nastavení testovacího prostředí Pokud chcete omezit určitá nastavení, například povolit použití imagí marketplace, můžete pomocí Služby Azure Policy zabránit změnám typu prostředku. Nebo můžete vytvořit vlastní roli a udělit uživatelům tuto roli místo předdefinované role testovacího prostředí. U většiny nastavení testovacího prostředí můžete omezit změny, jako je interní podpora, oznámení testovacího prostředí a povolené velikosti virtuálních počítačů.
Použití konvence vytváření názvů pro virtuální počítače Azure Policy můžete použít k určení způsobu vytváření názvů, který pomáhá identifikovat virtuální počítače v cloudových prostředích.
Prostředky Azure pro DevTest Labs spravujete stejným způsobem jako pro jiné účely. Azure Policy se například vztahuje na virtuální počítače, které vytvoříte v testovacím prostředí. Microsoft Defender for Cloud může hlásit dodržování předpisů testovacích virtuálních počítačů. Azure Backup může poskytovat pravidelné zálohy pro testovací virtuální počítače.
Security considerations
DevTest Labs automaticky využívá integrované funkce zabezpečení Azure. Pokud chcete vyžadovat, aby příchozí připojení ke vzdálené ploše pocházela pouze z podnikové sítě, můžete do virtuální sítě na bráně vzdálené plochy přidat skupinu zabezpečení sítě.
Dalším aspektem zabezpečení je úroveň oprávnění, kterou udělujete uživatelům testovacího prostředí. Vlastníci testovacího prostředí používají řízení přístupu na základě role v Azure (Azure RBAC) k přiřazování rolí uživatelům a nastavení oprávnění na úrovni prostředků a přístupu. Nejběžnějšími oprávněními DevTest Labs jsou vlastník, Přispěvatel a Uživatel. Můžete také vytvořit a přiřadit vlastní role. Další informace najdete v tématu Přidání vlastníků a uživatelů v Azure DevTest Labs.
Next step
Podívejte se na další článek v této sérii: Zajištění testování konceptu