Cómo crear un laboratorio con un recurso compartido en Azure Lab Services al usar cuentas de laboratorio
Importante
La información de este artículo se aplica a las cuentas de laboratorio. Los planes de laboratorio de Azure Lab Services reemplazan las cuentas de laboratorio. Obtenga información sobre cómo empezar mediante la creación de un plan de laboratorio. En el caso de los clientes existentes de la cuenta de laboratorio, se recomienda migrar desde las cuentas de laboratorio a planes de laboratorio.
Al crear un laboratorio, puede que algunos recursos se deban compartir entre todos los alumnos del laboratorio. Por ejemplo, si dispone de un servidor de licencias o SQL Server para una clase de base de datos. En este artículo se describen los pasos para habilitar el recurso compartido para un laboratorio. También hablaremos sobre cómo limitar el acceso a un recurso compartido.
Architecture
Como se muestra en el diagrama siguiente, tendremos una cuenta de laboratorio con un laboratorio. La cuenta de laboratorio tendrá la configuración de emparejamiento de VNet para que la red virtual del laboratorio esté conectada a la red del recurso compartido. En el diagrama siguiente hay dos redes virtuales con intervalos IP que no se superponen. Estos intervalos IP son solo de ejemplo. Asimismo, la red virtual del recurso compartido está en la misma suscripción que la cuenta de laboratorio.
Configuración del recurso compartido
La red virtual del recurso compartido debe crearse antes que el laboratorio. Para más información sobre cómo crear una red virtual, consulte Creación de una red virtual. Es importante planear los intervalos de red virtual para que no se superpongan con la dirección IP de los equipos del laboratorio. Para más información sobre cómo planear la red, consulte el artículo Planear redes virtuales. En el ejemplo, el recurso compartido se encuentra en una red virtual con el intervalo 10.2.0.0/16. Si no lo ha hecho ya, cree una subred que contenga el recurso compartido. En el ejemplo, usamos el intervalo de 10.2.0.0/24, pero el intervalo puede variar en función de las necesidades de la red.
El recurso compartido puede ser software que se ejecute en una máquina virtual o en un servicio proporcionado por Azure. El recurso compartido debe estar disponible a través de una dirección IP privada. Al hacer que el recurso compartido esté disponible solo a través de una dirección IP privada, se limita el acceso a ese recurso compartido.
En el diagrama también se muestra un grupo de seguridad de red (NSG) que puede usarse para restringir el tráfico procedente de la máquina virtual de los alumnos. Por ejemplo, puede escribir una regla de seguridad que indique que el tráfico procedente de las direcciones IP de las máquinas virtuales de los alumnos solo pueda acceder a un recurso compartido y nada más. Para obtener más información sobre cómo establecer reglas de seguridad, consulte Administración de grupos de seguridad de red. Si desea restringir el acceso a un recurso compartido de un laboratorio específico, obtenga la dirección IP del laboratorio en la configuración del laboratorio del laboratorio. A continuación, además, establezca una regla de entrada para permitir el acceso solo desde esa dirección IP. No olvide habilitar los puertos de 49152 a 65535 para esa dirección IP. Opcionalmente, puede encontrar la dirección IP privada de las máquinas virtuales de los alumnos con la página del grupo de máquinas virtuales.
Si el recurso compartido es una máquina virtual de Azure que ejecuta el software necesario, es posible que tenga que modificar las reglas de firewall predeterminadas para la máquina virtual.
Sugerencias para recursos compartidos: servidor de licencias
Uno de los recursos compartidos más comunes es un servidor de licencias; aquí encontrará algunas sugerencias sobre cómo configurar uno de ellos correctamente.
Región del servidor
El servidor de licencias debe estar conectado a la red virtual que está emparejada con el laboratorio. Dado que el servidor de licencias debe encontrarse en la misma región que la cuenta de laboratorio.
Dirección MAC e IP privada estática
De manera predeterminada, las máquinas virtuales tienen una dirección IP privada dinámica. Antes de configurar cualquier software, establezca la dirección IP privada en estática. La dirección IP privada y la dirección MAC ahora están configuradas para ser estáticas.
Control de acceso
Controlar el acceso al servidor de licencias es un paso clave. Una vez que la VM esté configurada, el acceso seguirá siendo necesario para hacer trabajos de mantenimiento, solucionar problemas e instalar actualizaciones. A continuación, se muestran varias maneras de controlar el acceso:
- Configurar el acceso Just-In-Time (JIT) en Microsoft Defender for Cloud.
- Configurar un grupo de seguridad de red para restringir el acceso.
- Configurar Bastion para permitir el acceso seguro al servidor de licencias.
Cuenta de laboratorio
Para usar un recurso compartido, la cuenta de laboratorio debe estar configurada para usar una red virtual emparejada. En este caso, se emparejará con la red virtual que contiene el recurso compartido.
Advertencia
El laboratorio de la clase se debe crear después de que la cuenta de laboratorio esté emparejada con la red virtual del recurso compartido.
Máquina de plantilla
Cuando el plan de laboratorio o la cuenta de laboratorio se establezca para usar redes avanzadas, la máquina de plantillas debe tener ahora acceso al recurso compartido. Es posible que tenga que actualizar las reglas de firewall, en función del recurso compartido al que se acceda.
Pasos siguientes
Como administrador, configure el emparejamiento de red virtual en la cuenta de laboratorio.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de