Guide pratique pour créer un labo avec une ressource partagée dans Azure Lab Services lors de l’utilisation de comptes de laboratoire
Important
Les informations contenues dans cet article s’appliquent aux comptes lab. Les plans de labo Azure Lab Services remplacent les comptes lab. Découvrez comment commencer en créant un plan de labo. Pour les clients de compte de labo existants, nous vous recommandons de migrer des comptes labo vers des plans de labo.
Lorsque vous créez un labo, il peut y avoir des ressources devant être partagées entre tous les étudiants du labo. Par exemple, vous avez un serveur de licences ou un SQL Server pour une classe de base de données. Cet article décrit les étapes permettant d’activer la ressource partagée pour un laboratoire. Nous parlerons également de la façon de limiter l’accès à la ressource partagée.
Architecture
Comme indiqué dans le diagramme ci-dessous, nous disposons d’un compte de laboratoire doté d’un laboratoire. Le compte de laboratoire aura les paramètres de peering de réseaux virtuels, de sorte que le réseau virtuel du laboratoire soit connecté au réseau de la ressource partagée. Dans le diagramme ci-dessous, il existe deux réseaux virtuels avec des plages d’adresses IP qui ne se chevauchent pas. Ces plages d’adresses IP sont simplement des exemples. Notez également que le réseau virtuel de ressources partagées correspond au même abonnement que le compte de labo.
Configurer une ressource partagée
Le réseau virtuel de la ressource partagée doit être créé avant le laboratoire. Pour plus d'informations sur la création d'un réseau virtuel, consultez Créer un réseau virtuel. Il est important de planifier les plages de réseaux virtuels de sorte qu’elles ne se chevauchent pas avec l’adresse IP des ordinateurs de laboratoire. Pour plus d’informations sur la planification de votre réseau, consultez l’article Planifier des réseaux virtuels. Dans l’exemple, la ressource partagée se trouve dans un réseau virtuel avec la plage 10.2.0.0/16. Si ce n’est pas déjà fait, créez un sous-réseau pour contenir la ressource partagée. Dans l’exemple, nous utilisons la plage 10.2.0.0/24, mais votre plage peut être différente selon les besoins de votre réseau.
La ressource partagée peut être un logiciel s’exécutant sur une machine virtuelle ou un service fourni par Azure. La ressource partagée doit être disponible via une adresse IP privée. En rendant la ressource partagée disponible uniquement par le biais de l’adresse IP privée, vous limitez l’accès à cette ressource.
Le diagramme montre également un groupe de sécurité réseau (NSG) qui peut être utilisé pour limiter le trafic provenant de la machine virtuelle de l’étudiant. Par exemple, vous pouvez écrire une règle de sécurité qui indique que le trafic provenant des adresses IP de la machine virtuelle de l’étudiant peut uniquement accéder à une ressource partagée et rien d’autre. Pour plus d’informations sur la façon de définir des règles de sécurité, consultez Gérer un groupe de sécurité réseau. Si vous souhaitez restreindre l'accès à une ressource partagée d'un laboratoire spécifique, obtenez l'adresse IP du laboratoire à partir des paramètres de laboratoire du laboratoire. Ensuite, définissez une règle de trafic entrant pour autoriser l’accès uniquement à partir de cette adresse IP. N’oubliez pas d’autoriser les ports 49152 à 65535 pour cette adresse IP. Si vous le souhaitez, vous pouvez trouver l’adresse IP privée des machines virtuelles de l’étudiant à l’aide de la page du pool de machines virtuelles.
Si votre ressource partagée est une machine virtuelle Azure qui exécute des logiciels nécessaires, vous devrez peut-être modifier les règles de pare-feu par défaut pour la machine virtuelle.
Conseils pour les ressources partagées - Serveurs de licences
L’une des ressources partagées les plus courantes est le serveur de licences. Voici quelques conseils pour en réussir la configuration.
Région du serveur
Le serveur de licences doit être connecté au réseau virtuel appairé au laboratoire. Comme le serveur de licences doit se trouver dans la même région que le compte lab.
Adresse MAC et IP privée statique
Par défaut, les machines virtuelles ont une adresse IP privée dynamique. Avant de configurer tout logiciel, définissez l’adresse IP privée sur statique. L’adresse IP privée et l’adresse MAC sont maintenant configurées comme des adresses statiques.
Contrôle des accès
Il est essentiel de contrôler l’accès au serveur de licences. Une fois la machine virtuelle configurée, l’accès sera toujours nécessaire pour la maintenance, la résolution des problèmes et la mise à jour. Voici quelques façons de contrôler l’accès :
- Configuration de l’accès juste-à-temps (JIT) au sein de Microsoft Defender pour le Cloud.
- Définir un groupe de sécurité réseau pour restreindre l’accès.
- Configurer Azure Bastion pour permettre un accès sécurisé au serveur de licences.
Compte de laboratoire
Pour utiliser une ressource partagée, le compte de labo doit être configuré pour utiliser un réseau virtuel en peering. Dans ce cas, nous procéderons au peering du réseau virtuel qui contient la ressource partagée.
Avertissement
Le laboratoire de votre classe doit être créé après le peering du compte de labo au réseau virtuel de ressources partagées.
Machine modèle
Lorsque votre plan lab/compte de laboratoire est configuré pour utiliser la mise en réseau avancée, l’ordinateur modèle doit maintenant avoir accès à la ressource partagée. Vous devrez peut-être mettre à jour les règles de pare-feu, en fonction de la ressource partagée dont vous souhaitez partager l’accès.
Étapes suivantes
En tant qu’administrateur, configurez le peering de réseaux virtuels sur votre compte lab.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour