Verbinden eines Laborplans für ein virtuelles Netzwerk mit erweiterten Netzwerken

  • Artikel

In diesem Artikel wird beschrieben, wie Sie einen Laborplan mit einem virtuellen Netzwerk mit erweiterten Azure Lab Services-Netzwerken verbinden. Mit erweiterten Netzwerken haben Sie mehr Kontrolle über die Virtuelle Netzwerkkonfiguration Ihrer Labore. Um beispielsweise eine Verbindung mit lokalen Ressourcen wie Lizenzierungsservern herzustellen oder benutzerdefinierte Routen (USER-Defined Routes, UDRs) zu verwenden. Erfahren Sie mehr über die unterstützten Netzwerkszenarien und Topologien für erweiterte Netzwerke.

Erweiterte Netzwerke für Lab-Pläne ersetzen azure Lab Services virtual network peering , das mit Lab-Konten verwendet wird.

Führen Sie die folgenden Schritte aus, um erweiterte Netzwerke für Ihren Laborplan zu konfigurieren:

  1. Delegieren Sie das Subnetz des virtuellen Netzwerks an Azure Lab Services-Laborpläne. Delegierung ermöglicht Azure Lab Services das Erstellen der Lab-Vorlage und der virtuellen Laborcomputer im virtuellen Netzwerk.
  2. Konfigurieren Sie die Netzwerksicherheitsgruppe, um eingehenden RDP- oder SSH-Datenverkehr an den virtuellen Computer und virtuelle Laborcomputer der Lab-Vorlage zuzulassen.
  3. Erstellen Sie einen Laborplan mit erweiterten Netzwerken, um ihn dem virtuellen Netzwerk-Subnetz zuzuordnen.
  4. (Optional) Konfigurieren Sie Ihr virtuelles Netzwerk.

Erweiterte Netzwerke können nur beim Erstellen eines Laborplans aktiviert werden. Erweiterte Netzwerke sind keine Einstellung, die später aktualisiert werden kann.

Das folgende Diagramm zeigt eine Übersicht über die erweiterte Netzwerkkonfiguration von Azure Lab Services. Der Lab-Vorlage und virtuellen Laborcomputern wird eine IP-Adresse in Ihrem Subnetz zugewiesen, und die Netzwerksicherheitsgruppe ermöglicht Lab-Benutzern die Verbindung mit den Lab-VMs mithilfe von RDP oder SSH.

Diagram that shows an overview of the advanced networking configuration in Azure Lab Services.

Hinweis

Wenn Ihre Organisation Inhaltsfilterung durchführen muss, z. B. zur Einhaltung des Children's Internet Protection Act (CIPA) müssen Sie Software von Drittanbietern verwenden. Weitere Informationen finden Sie in den Anleitungen zur Inhaltsfilterung in den unterstützten Netzwerkszenarien.

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
  • Ihr Azure-Konto hat die Rolle "Netzwerkmitwirkender" oder ein übergeordnetes Element dieser Rolle im virtuellen Netzwerk.
  • Ein virtuelles Azure-Netzwerk und -Subnetz in derselben Azure-Region, in der Sie den Laborplan erstellen. Erfahren Sie, wie Sie ein virtuelles Netzwerk und ein Subnetz erstellen.
  • Das Subnetz verfügt über genügend kostenlose IP-Adressen für die Vorlagen-VMs und Labor-VMs für alle Labore (jedes Labor verwendet 512 IP-Adressen) im Laborplan.

1. Delegieren des virtuellen Netzwerksubnetz

Um Ihr virtuelles Netzwerk-Subnetz für erweiterte Netzwerke in Azure Lab Services zu verwenden, müssen Sie das Subnetz an Azure Lab Services-Laborpläne delegieren. Subnetzdelegierung erteilt Azure Lab Services explizite Berechtigungen zum Erstellen dienstspezifischer Ressourcen, z. B. virtueller Laborcomputer, im Subnetz.

Sie können jeweils nur einen Laborplan für die Verwendung mit einem Subnetz delegieren.

Führen Sie die folgenden Schritte aus, um Ihr Subnetz für die Verwendung mit einem Laborplan zu delegieren:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Ihrem virtuellen Netzwerk, und wählen Sie "Subnetze" aus.

  3. Wählen Sie ein dediziertes Subnetz aus, das Sie an Azure Lab Services delegieren möchten.

    Wichtig

    Das Subnetz, das Sie für Azure Lab Services verwenden, sollte nicht bereits für ein VNET-Gateway oder Azure Bastion verwendet werden.

  4. Wählen Sie in "Subnetz an einen Dienst delegieren" "Microsoft.LabServices/labplans" und dann "Speichern" aus.

    Screenshot of the subnet properties page in the Azure portal, highlighting the Delegate subnet to a service setting.

  5. Vergewissern Sie sich, dass Microsoft.LabServices/labplans in der Spalte "Delegiert an " für Ihr Subnetz angezeigt wird.

    Screenshot of list of subnets for a virtual network in the Azure portal, highlighting the Delegated to columns.

2. Konfigurieren einer Netzwerksicherheitsgruppe

Wenn Sie Ihren Lab-Plan mit einem virtuellen Netzwerk verbinden, müssen Sie eine Netzwerksicherheitsgruppe (Network Security Group, NSG) konfigurieren, um eingehenden RDP/SSH-Datenverkehr vom Computer des Benutzers mit dem virtuellen Vorlagencomputer und den virtuellen Laborcomputern zuzulassen. Eine NSG enthält Regeln zur Zugriffssteuerung, die den Datenverkehr auf Grundlage der Richtung des Datenverkehrs, des Protokolls, der Quelladresse und des Quellports, und der Zieladresse und des Zielports zulässt oder verweigert.

Die Regeln für eine NSG können jederzeit geändert werden, und die Änderungen werden auf alle zugeordneten Instanzen angewendet. Es kann bis zu 10 Minuten dauern, bis die NSG-Änderungen wirksam sind.

Wichtig

Wenn Sie keine Netzwerksicherheitsgruppe konfigurieren, können Sie nicht über RDP oder SSH auf die Lab-Vorlagen-VM und Lab-VMs zugreifen.

Die Konfiguration der Netzwerksicherheitsgruppe für erweiterte Netzwerke besteht aus zwei Schritten:

  1. Erstellen einer Netzwerksicherheitsgruppe, die RDP/SSH-Datenverkehr zulässt
  2. Zuordnen der Netzwerksicherheitsgruppe zum virtuellen Netzwerksubnetz

Sie können eine Netzwerksicherheitsgruppe (NSG) verwenden, um in Ihrem virtuellen Netzwerk eingehenden Datenverkehr für virtuelle Computer, Rolleninstanzen, Netzwerkkarten (NICs) oder Subnetze zu steuern. Eine NSG enthält Regeln zur Zugriffssteuerung, die den Datenverkehr auf Grundlage der Richtung des Datenverkehrs, des Protokolls, der Quelladresse und des Quellports, und der Zieladresse und des Zielports zulässt oder verweigert. Die Regeln für eine NSG können jederzeit geändert werden, und die Änderungen werden auf alle zugeordneten Instanzen angewendet.

Weitere Informationen zu NSGs finden Sie unter Was ist eine NSG.

Sie können eine Netzwerksicherheitsgruppe (NSG) verwenden, um in Ihrem virtuellen Netzwerk eingehenden Datenverkehr für virtuelle Computer, Rolleninstanzen, Netzwerkkarten (NICs) oder Subnetze zu steuern. Eine NSG enthält Regeln zur Zugriffssteuerung, die den Datenverkehr auf Grundlage der Richtung des Datenverkehrs, des Protokolls, der Quelladresse und des Quellports, und der Zieladresse und des Zielports zulässt oder verweigert. Die Regeln für eine NSG können jederzeit geändert werden, und die Änderungen werden auf alle zugeordneten Instanzen angewendet.

Weitere Informationen zu NSGs finden Sie unter Was ist eine NSG.

Erstellen einer Netzwerksicherheitsgruppe zum Zulassen von Datenverkehr

Führen Sie die folgenden Schritte aus, um einen NSG zu erstellen und eingehenden RDP- oder SSH-Datenverkehr zuzulassen:

  1. Wenn Sie noch keine Netzwerksicherheitsgruppe haben, führen Sie die folgenden Schritte aus, um eine Netzwerksicherheitsgruppe (Network Security Group, NSG) zu erstellen.

    Stellen Sie sicher, dass Sie die Netzwerksicherheitsgruppe in derselben Azure-Region wie das virtuelle Netzwerk und den Laborplan erstellen.

  2. Erstellen Sie eine eingehende Sicherheitsregel, um RDP- und SSH-Datenverkehr zuzulassen.

    1. Wechseln Sie in der Azure-Portal zu Ihrer Netzwerksicherheitsgruppe.

    2. Wählen Sie Eingangssicherheitsregeln und dann + Hinzufügen aus.

    3. Geben Sie die Details für die neue eingehende Sicherheitsregel ein:

      Einstellung Wert
      Quelle Wählen Sie Alle aus.
      Quellportbereiche Geben Sie * ein.
      Ziel Wählen Sie IP-Adressen aus.
      Ziel-IP-Adressen/CIDR-Bereiche Wählen Sie den Bereich Ihres virtuellen Netzwerks subnetz aus.
      Service Wählen Sie Benutzerdefiniert aus.
      Zielportbereiche Geben Sie 22, 3389 ein. Port 22 ist für das Secure Shell-Protokoll (SSH). Port 3389 ist für das Remotedesktopprotokoll (RDP).
      Protokoll Wählen Sie Alle aus.
      Aktion Wählen Sie Zulassen aus.
      Priority Geben Sie 1000 ein. Die Priorität muss höher sein als andere Verweigerungsregeln für RDP oder SSH.
      Name Geben Sie AllowRdpSshForLabs ein.

    4. Wählen Sie "Hinzufügen" aus, um die eingehende Sicherheitsregel zum NSG hinzuzufügen.

Zuordnen des Subnetzes zur Netzwerksicherheitsgruppe

Ordnen Sie als Nächstes die NSG dem subnetz des virtuellen Netzwerks zu, um die Datenverkehrsregeln auf den virtuellen Netzwerkdatenverkehr anzuwenden.

  1. Wechseln Sie zu Ihrer Netzwerksicherheitsgruppe, und wählen Sie "Subnetze" aus.

  2. Wählen Sie in der obersten Menüleiste + Zuordnen aus.

  3. Wählen Sie im Feld Virtuelles Netzwerk Ihr virtuelles Netzwerk aus.

  4. Wählen Sie für Subnetz Ihr virtuelles Netzwerk-Subnetz aus.

    Screenshot of the Associate subnet page in the Azure portal.

  5. Wählen Sie "OK" aus, um das virtuelle Netzwerk-Subnetz der Netzwerksicherheitsgruppe zuzuordnen.

3. Erstellen eines Laborplans mit erweiterten Netzwerken

Nachdem Sie nun die Subnetz- und Netzwerksicherheitsgruppe konfiguriert haben, können Sie den Laborplan mit erweiterten Netzwerken erstellen. Wenn Sie eine neue Übung im Laborplan erstellen, erstellt Azure Lab Services die Lab-Vorlage und virtuelle Laborcomputer im subnetz des virtuellen Netzwerks.

Wichtig

Sie müssen erweiterte Netzwerke konfigurieren, wenn Sie einen Lab-Plan erstellen. Sie können erweiterte Netzwerke zu einem späteren Zeitpunkt nicht aktivieren.

So erstellen Sie einen Laborplan mit erweiterten Netzwerken im Azure-Portal:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie in der oberen linken Ecke des Azure-Portal eine Ressource erstellen aus, und suchen Sie nach einem Laborplan.

  3. Geben Sie die Informationen auf der Registerkarte "Grundlagen" der Seite "Übungsplan erstellen" ein.

    Weitere Informationen finden Sie unter Erstellen eines Übungsplans mit Azure Lab Services.

  4. Wählen Sie auf der Registerkarte "Netzwerk " die Option "Erweiterte Netzwerke aktivieren" aus, um das virtuelle Netzwerk-Subnetz zu konfigurieren.

  5. Wählen Sie im Feld Virtuelles Netzwerk Ihr virtuelles Netzwerk aus. Wählen Sie für Subnetz Ihr virtuelles Netzwerk-Subnetz aus.

    Wenn Ihr virtuelles Netzwerk nicht in der Liste angezeigt wird, überprüfen Sie, ob sich der Laborplan in derselben Azure-Region wie das virtuelle Netzwerk befindet, dass Sie das Subnetz an Azure Lab Services delegiert haben und dass Ihr Azure-Konto über die erforderlichen Berechtigungen verfügt.

    Screenshot of the Networking tab of the Create a lab plan wizard.

  6. Wählen Sie "Überprüfen" und "Erstellen" aus, um den Laborplan mit erweiterten Netzwerken zu erstellen.

    Lab-Benutzer und Lab-Manager können jetzt mithilfe von RDP oder SSH eine Verbindung mit ihren virtuellen Laborcomputern oder lab template virtual machine herstellen.

    Wenn Sie eine neue Übung erstellen, werden alle virtuellen Computer im virtuellen Netzwerk erstellt und eine IP-Adresse innerhalb des Subnetzbereichs zugewiesen.

4. (Optional) Aktualisieren der Netzwerkkonfigurationseinstellungen

Es wird empfohlen, die Standardkonfigurationseinstellungen für das virtuelle Netzwerk und subnetz zu verwenden, wenn Sie erweiterte Netzwerke in Azure Lab Services verwenden.

Für bestimmte Netzwerkszenarien müssen Sie möglicherweise die Netzwerkkonfiguration aktualisieren. Erfahren Sie mehr über die unterstützten Netzwerkarchitekturen und Topologien in Azure Lab Services und die entsprechende Netzwerkkonfiguration.

Sie können die Einstellungen des virtuellen Netzwerks ändern, nachdem Sie den Laborplan mit erweiterten Netzwerken erstellt haben. Wenn Sie jedoch die DNS-Einstellungen im virtuellen Netzwerk ändern, müssen Sie alle ausgeführten virtuellen Laborcomputer neu starten. Wenn die Lab-VMs beendet werden, erhalten sie beim Start automatisch die aktualisierten DNS-Einstellungen.

Achtung

Die folgenden Netzwerkkonfigurationsänderungen werden nach der Konfiguration erweiterter Netzwerke nicht unterstützt:

  • Löschen Sie das virtuelle Netzwerk oder Subnetz, das dem Laborplan zugeordnet ist. Dies führt dazu, dass die Labore nicht mehr funktionieren.
  • Ändern Sie den Subnetzadressbereich, wenn virtuelle Computer erstellt werden (Virtuelle Vorlagen-VM oder Lab-VMs).
  • Ändern Sie die DNS-Bezeichnung für die öffentliche IP-Adresse. Dies bewirkt, dass die Schaltfläche "Verbinden" für Lab-VMs nicht mehr funktioniert.
  • Ändern Sie die Front-End-IP-Konfiguration im Azure-Lastenausgleichsmodul. Dies bewirkt, dass die Schaltfläche "Verbinden" für Lab-VMs nicht mehr funktioniert.
  • Ändern Sie den FQDN für die öffentliche IP-Adresse.
  • Verwenden Sie eine Routentabelle mit einer Standardroute für das Subnetz (erzwungenes Tunneln). Dies führt dazu, dass Benutzer die Verbindung mit ihrem Labor verlieren.
  • Die Verwendung von Azure Firewall oder Azure Bastion wird nicht unterstützt.

Nächste Schritte