Isolement réseau dans Azure DevTest Labs

  • Article

Cet article vous guide dans la création d’un labo isolé du réseau dans Azure DevTest Labs.

Par défaut, Azure DevTest Labs crée un nouveau réseau virtuel Azure pour chaque labo. Le réseau virtuel sert de frontière de sécurité pour isoler les ressources du labo de l’Internet public. Pour vous assurer que les ressources de labo suivent les stratégies de mise en réseau de l’organisation, vous pouvez utiliser plusieurs autres options de mise en réseau :

  • Isolez toutes les machines virtuelles (VM) et tous les environnements de labo dans un réseau virtuel préexistant que vous sélectionnez.
  • Joignez un réseau virtuel Azure à votre réseau local pour vous connecter en toute sécurité à vos ressources locales. Pour plus d’informations, consultez Architecture de référence d’entreprise DevTest Labs : composants de connectivité.
  • Isolez complètement le labo, y compris les machines virtuelles, les environnements, le compte de stockage du labo et les coffres de clés, sur un réseau virtuel sélectionné. Cet article décrit comment configurer l’isolation du réseau.

Activer l'isolement réseau

Vous pouvez activer l’isolement réseau dans le portail Azure uniquement lors de la création du labo. Pour convertir un labo existant et les ressources labo associées en mode réseau isolé, utilisez le script PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Pendant la création du labo, vous pouvez activer l’isolement réseau pour le réseau virtuel labo par défaut, ou choisir un autre réseau virtuel préexistant à utiliser pour le labo.

Utiliser le réseau virtuel et le sous-réseau par défaut

Pour activer l’isolement réseau pour le réseau virtuel et le sous-réseau par défaut créés par DevTest Labs pour le labo :

  1. Pendant la création du labo, sur l’écran Créer un labo DevTest, sélectionnez l’onglet Mise en réseau.

  2. En regard d’isoler les ressources de labo, sélectionnez Oui.

  3. Finalisez la création du labo.

    Capture d’écran montrant l’activation de l’isolement réseau pour le réseau par défaut.

Une fois que vous avez créé le labo, aucune action supplémentaire n’est nécessaire. Le labo gère désormais l’isolement des ressources.

Utiliser un réseau virtuel et un sous-réseau différents

Pour utiliser un autre réseau virtuel existant pour le labo et activer l’isolement réseau pour ce réseau :

  1. Pendant la Création du labo, sous l’onglet Mise en réseau de l’écran Créer un labo DevTest, sélectionnez un réseau dans la liste déroulante. La liste affiche uniquement les réseaux dans la même région et le même abonnement que le labo.

    Capture d’écran montrant la sélection d’un réseau virtuel.

  2. Sélectionner un sous-réseau.

    Capture d’écran montrant la sélection d’un sous-réseau.

  3. En regard d’isoler les ressources de labo, sélectionnez Oui.

    Capture d’écran montrant l’activation de l’isolement réseau pour un réseau sélectionné.

  4. Finalisez la création du labo.

Configurer des points de terminaison de service

Si vous avez activé l’isolement réseau pour un réseau virtuel autre que celui par défaut, procédez comme suit pour isoler le compte de stockage du labo et le coffre de clés sur le réseau que vous avez sélectionné. Procédez comme suit après avoir créé le labo, mais avant d’effectuer une autre configuration de labo ou de créer des ressources de labo.

Configurer le point de terminaison pour le compte de stockage du labo

  1. Dans la page Vue d’ensemble du labo, sélectionnez le Groupe de ressources.

    Capture d’écran montrant la sélection du groupe de ressources pour un labo.

  2. Dans la page Vue d’ensemble du groupe de ressources, sélectionnez le compte de stockage du labo. La convention de nommage pour le compte de stockage du labo est a\<labName>\<4-digit number>. Par exemple, si le nom du labo est contosolab, le nom du compte de stockage peut être acontosolab1234.

    Capture d’écran montrant la sélection du compte de stockage Lab.

  3. Sur la page compte de stockage, sélectionnez Mise en réseau dans le volet de navigation de gauche. Sous l’onglet Pare-feu et réseaux virtuels, assurez-vous que Autoriser les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage est sélectionné.

    Capture d’écran montrant l’accès à un groupe de ressources accordé à des services approuvés.

    DevTest Labs est un service Microsoft approuvé, cette option permet donc au labo de fonctionner normalement en mode isolé du réseau.

  4. Sélectionnez Add existing virtual network (Ajouter un réseau virtuel existant).

    Capture d’écran montrant le volet de mise en réseau d’un groupe de ressources avec l’ajout d’un réseau virtuel existant mis en surbrillance.

  5. Dans le volet Ajouter des réseaux, sélectionnez le réseau virtuel et le sous-réseau que vous avez choisis lors de la création du labo, puis Activer.

    Capture d’écran montrant le volet d’ajout de réseau avec des réseaux virtuels, des sous-réseaux et l’option Ajouter mis en surbrillance.

  6. Sur la page Réseau, sélectionnez Enregistrer.

Le stockage Azure autorise maintenant des connexions entrantes à partir du réseau virtuel ajouté, ce qui permet au labo de fonctionner correctement en mode isolé du réseau.

Vous pouvez automatiser ces étapes avec PowerShell ou Azure CLI pour configurer l’isolement réseau pour plusieurs labos. Pour plus d’informations, consultez Configurer Pare-feu et réseaux virtuels dans Stockage Azure.

Configurer le point de terminaison pour le coffre de clés du labo

  1. Dans la page Vue d’ensemble du labo, sélectionnez le Groupe de ressources.

  2. Sur la page Vue d’ensemble du groupe de ressources, sélectionnez le coffre de clés du labo.

    Capture d’écran montrant la sélection du coffre de clé du labo.

  3. Dans la page du coffre de clés, sélectionnez Mise en réseau dans le volet de navigation de gauche. Sous l’onglet Pare-feu et réseaux virtuels, vérifiez que l’option Autoriser les services Microsoft approuvés à contourner ce pare-feu est sélectionnée.

    Capture d’écran montrant l’accès à un coffre de clés accordé à des services approuvés.

  4. Sélectionnez Ajouter des réseaux virtuels existants.

    Capture d’écran montrant le volet de mise en réseau d’un coffre de clés avec l’ajout d’un réseau virtuel existant mis en surbrillance.

  5. Dans le volet Ajouter des réseaux, sélectionnez le réseau virtuel et le sous-réseau que vous avez choisis lors de la création du labo, puis sélectionnez Activer.

    Capture d’écran montrant l’activation d’un réseau virtuel et d’un sous-réseau dans un coffre de clés.

  6. Une fois le point de terminaison de service activé, sélectionnez Ajouter.

    Capture d’écran montrant l’ajout d’un réseau virtuel et d’un sous-réseau dans un coffre de clés.

  7. Sur la page Réseau, sélectionnez Enregistrer.

Considérations

Il y a certains points à retenir lors de l’utilisation d’un labo en mode isolé du réseau :

Activer l’accès au compte de stockage en dehors du labo

Le propriétaire du labo doit activer explicitement l’accès au compte de stockage d’un labo isolé du réseau à partir d’un point de terminaison autorisé. Cet accès est nécessaire pour les actions telles que le chargement d’un disque dur virtuel vers le compte de stockage pour la création d’images personnalisées. Pour ce faire, vous pouvez activer l’accès en créant une machine virtuelle de labo et en accédant en toute sécurité au compte de stockage du labo à partir de cette machine virtuelle.

Pour plus d’informations, consultez Connexion à un compte de stockage à l’aide d’un point de terminaison privé Azure.

Fournir un compte de stockage pour exporter les données d’utilisation du labo

Pour exporter des données d’utilisation pour un labo isolé du réseau, le propriétaire du labo doit fournir explicitement un compte de stockage et générer un objet BLOB dans le compte afin de stocker les données. L’exportation des données d’utilisation échoue en mode réseau isolé si l’utilisateur ne fournit pas explicitement le compte de stockage à utiliser.

Pour plus d’informations, consultez Exporter ou supprimer des données personnelles à partir d’Azure DevTest Labs.

Définir des stratégies d’accès Key Vault

L’activation du point de terminaison du service de coffre de clés affecte uniquement le pare-feu. Veillez à configurer les autorisations d’accès au coffre de clés appropriées dans la section Stratégies d’accès du coffre de clés.

Pour plus d’informations, consultez Attribuer une stratégie d’accès Key Vault.

Étapes suivantes