DevTest Labs vállalati referenciaarchitektúra
Ez a cikk egy referenciaarchitektúrát tartalmaz az Azure DevTest Labs vállalati környezetben való üzembe helyezéséhez. Az architektúra a következő főbb elemeket tartalmazza:
- Helyszíni kapcsolat az Azure ExpressRoute-on keresztül
- Távoli asztali átjáró a virtuális gépekre (virtuális gépekre) való távoli bejelentkezéshez
- Csatlakozás tivitás egy magánösszetevő-adattárhoz
- Egyéb szolgáltatásként nyújtott platform (PaaS) összetevők, amelyeket a laborok használnak
Architektúra
Az alábbi ábra egy tipikus DevTest Labs vállalati üzembe helyezést mutat be. Ez az architektúra több különböző Azure-előfizetésben lévő tesztkörnyezetet csatlakoztat egy vállalat helyszíni hálózatához.
DevTest Labs-összetevők
A DevTest Labs segítségével a vállalatok egyszerűen és gyorsan hozzáférhetnek az Azure-erőforrásokhoz. Minden tesztkörnyezet szolgáltatásként (SaaS), szolgáltatásként nyújtott infrastruktúrát (IaaS) és PaaS-erőforrásokat tartalmaz. A tesztkörnyezet felhasználói virtuális gépeket, PaaS-környezeteket és virtuálisgép-összetevőket hozhatnak létre és konfigurálhatnak.
Az előző ábrán a Team Lab 1 az Azure Subscription 1-ben olyan Azure-összetevőket mutat be, amelyeket a tesztkörnyezetek hozzáférhetnek és használhatnak. További információ: About DevTest Labs.
Csatlakozás tivitási összetevők
Helyszíni kapcsolatra van szükség, ha a laboroknak hozzá kell férniük a helyszíni vállalati erőforrásokhoz. Gyakori forgatókönyvek a következők:
- Egyes helyszíni adatok nem helyezhetők át a felhőbe.
- Tesztkörnyezeti virtuális gépeket szeretne csatlakoztatni egy helyszíni tartományhoz.
- Biztonsági vagy megfelelőségi okokból egy helyszíni tűzfalon keresztül szeretné kényszeríteni az összes felhőbeli hálózati forgalmat.
Ez az architektúra az ExpressRoute-t használja a helyszíni hálózathoz való kapcsolódáshoz. A helyek közötti VPN-t is használhatja.
A helyszíni távoli asztali átjáró lehetővé teszi a kimenő távoli asztali protokoll (RDP) kapcsolatait a DevTest Labs szolgáltatással. A vállalati vállalati tűzfalak általában letiltják a kimenő kapcsolatokat a vállalati tűzfalon. A kapcsolat engedélyezéséhez a következő lehetőségeket használhatja:
- Használjon távoli asztali átjárót, és engedélyezze az átjáró terheléselosztójának statikus IP-címét.
- Kényszerített bújtatással átirányíthatja az összes RDP-forgalmat az ExpressRoute-ra vagy a helyek közötti VPN-kapcsolatra. A kényszerített bújtatás gyakori funkció a nagyvállalati szintű DevTest Labs-környezetekben.
Hálózati összetevők
Ebben az architektúrában a Microsoft Entra ID minden hálózat identitás- és hozzáférés-kezelését biztosítja. A tesztkörnyezeti virtuális gépek általában helyi rendszergazdai fiókkal rendelkeznek a hozzáféréshez. Ha elérhető egy Microsoft Entra-azonosító, helyszíni vagy Microsoft Entra Domain Services-tartomány , csatlakoztathatja a tesztkörnyezeti virtuális gépeket a tartományhoz. A felhasználók ezután a tartományalapú identitásukkal csatlakozhatnak a virtuális gépekhez.
Az Azure hálózati topológiája szabályozza, hogy a laborerőforrások hogyan férnek hozzá és kommunikáljanak a helyszíni hálózatokkal és az internettel. Ez az architektúra a DevTest Labs hálózatának gyakori módját mutatja be. A tesztkörnyezetek küllős konfigurációban, az ExpressRoute vagy a helyek közötti VPN-kapcsolaton keresztül csatlakoznak a társhálózatokhoz a helyszíni hálózathoz.
Mivel a DevTest Labs közvetlenül az Azure Virtual Network-t használja, nincs korlátozás a hálózati infrastruktúra beállítására. Beállíthat egy hálózati biztonsági csoportot , amely a forrás- és cél IP-címek alapján korlátozza a felhő forgalmát. Engedélyezheti például, hogy csak a vállalati hálózatból származó forgalom hasson a labor hálózatára.
Méretezési szempontok
A DevTest Labs nem rendelkezik beépített kvótákkal vagy korlátozásokkal, de a tesztkörnyezetek által használt egyéb Azure-erőforrások előfizetésszintű kvótákkal rendelkeznek. Egy tipikus nagyvállalati üzembe helyezéshez több Azure-előfizetésre van szükség egy nagy DevTest Labs-telepítés lefedéséhez. A vállalatok általában a következő kvótákat érik el:
Erőforráscsoportok. A DevTest Labs minden új virtuális géphez létrehoz egy erőforráscsoportot, a tesztkörnyezetek felhasználói pedig erőforráscsoportokban hoznak létre környezeteket. Az előfizetések legfeljebb 980 erőforráscsoportot tartalmazhatnak, így ez az előfizetésben lévő virtuális gépek és környezetek korlátja.
Két stratégia segíthet az erőforráscsoport korlátainak megtartásában:
- Minden virtuális gép ugyanabba az erőforráscsoportba kerül. Ez a stratégia segít az erőforráscsoport-korlát betartásában, de hatással van az erőforrástípusonkénti korlátra.
- Megosztott nyilvános IP-címek használata. Ha a virtuális gépek nyilvános IP-címekkel rendelkeznek, helyezze az azonos méretű és régiós virtuális gépeket ugyanabba az erőforráscsoportba. Ez a konfiguráció segít megfelelni az erőforráscsoport kvótáinak és az erőforráscsoportonkénti erőforrástípus-kvótáknak.
Erőforráscsoportonkénti erőforrások erőforrástípusonként. Az erőforrások erőforráscsoportonkénti alapértelmezett korlátja erőforrástípusonként 800. Ha az összes virtuális gépet ugyanabban az erőforráscsoportban helyezi el, sokkal hamarabb eléri ezt a korlátot, különösen akkor, ha a virtuális gépek sok extra lemezzel rendelkeznek.
Storage fiókok. A DevTest Labs minden laborja rendelkezik tárfiókkal. Az előfizetésenként régiónkénti tárfiókok számának Azure-kvótája alapértelmezés szerint 250 . Így a DevTest Labs maximális száma egy régióban szintén 250. A kvótanöveléssel régiónként legfeljebb 500 tárfiók hozható létre. További információ: Azure Storage-fiókkvóták növelése.
Szerepkör-hozzárendelések. A szerepkör-hozzárendelések hozzáférést biztosítanak egy felhasználónak vagy az egyszerű felhasználónak egy erőforráshoz. Az Azure előfizetésenként legfeljebb 2000 szerepkör-hozzárendeléssel rendelkezik.
Alapértelmezés szerint a DevTest Labs minden tesztkörnyezeti virtuális géphez létrehoz egy erőforráscsoportot. A virtuális gép létrehozója tulajdonosi engedélyt kap a virtuális géphez, és olvasói engedélyt kap az erőforráscsoporthoz. Ezért minden tesztkörnyezeti virtuális gép két szerepkör-hozzárendelést használ. Ha felhasználói engedélyeket ad a labornak, szerepkör-hozzárendeléseket is használ.
API-olvasások/írások. Az Azure-t és a DevTest Labs-t REST API-k, PowerShell, Azure CLI és Azure SDK használatával automatizálhatja. Minden Azure-előfizetés legfeljebb 12 000 olvasási kérést és óránként 1200 írási kérést tesz lehetővé. A DevTest Labs automatizálásával elérheti az API-kérések korlátját.
Felügyeleti szempontok
Az Azure Portal használatával egyszerre egyetlen DevTest Labs-példányt kezelhet, de a nagyvállalatok több Azure-előfizetéssel és számos felügyeleti tesztkörnyezetben is rendelkezhetnek. Az összes tesztkörnyezetben egységesen végzett módosítások szkriptek automatizálását igénylik.
Íme néhány példa a szkriptelés DevTest Labs-környezetekben való használatára:
Tesztkörnyezet beállításainak módosítása. Az összes tesztkörnyezetben frissíthet egy adott tesztkörnyezeti beállítást PowerShell-szkriptek, Azure CLI vagy REST API-k használatával. Frissítse például az összes tesztkörnyezetet egy új virtuálisgép-példány méretének engedélyezéséhez.
Az összetevő-adattár személyes hozzáférési jogkivonatainak (PAT-k) frissítése. A Git-adattárak paT-jai általában 90 nap, egy vagy két év múlva lejárnak. A folytonosság biztosítása érdekében fontos kiterjeszteni a PAT-t. Vagy hozzon létre egy új PAT-t, és használja az automatizálást az összes laborban való alkalmazásához.
A tesztkörnyezet beállításainak módosításának korlátozása. Bizonyos beállítások, például a Marketplace-rendszerképek használatának engedélyezéséhez az Azure Policy használatával megakadályozhatja egy erőforrástípus módosítását. Létrehozhat egyéni szerepkört is, és a felhasználók számára a beépített laborszerepkör helyett ezt a szerepkört is megadhatják. Korlátozhatja a legtöbb tesztkörnyezeti beállítás módosításait, például a belső támogatást, a tesztkörnyezeti bejelentéseket és az engedélyezett virtuálisgép-méreteket.
Elnevezési konvenció alkalmazása virtuális gépekre. Az Azure Policy használatával megadhat egy elnevezési mintát , amely segít azonosítani a felhőalapú környezetekben lévő virtuális gépeket.
A DevTest Labs Azure-erőforrásait ugyanúgy kezelheti, mint más célokra. Az Azure Policy például a laborban létrehozott virtuális gépekre vonatkozik. Felhőhöz készült Microsoft Defender jelentéskészítést végezhet a tesztkörnyezeti virtuális gépek megfelelőségéről. Az Azure Backup rendszeres biztonsági mentéseket biztosít a tesztkörnyezeti virtuális gépekhez.
Biztonsági szempontok
A DevTest Labs automatikusan kihasználja az Azure beépített biztonsági funkcióit. Ha azt szeretné, hogy a bejövő távoli asztali kapcsolatok csak a vállalati hálózatról származjanak, hozzáadhat egy hálózati biztonsági csoportot a távoli asztali átjáró virtuális hálózatához.
Egy másik biztonsági szempont az a jogosultsági szint, amelyet a tesztkörnyezet felhasználóinak ad meg. A labortulajdonosok azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) rendelnek szerepköröket a felhasználókhoz, és erőforrás- és hozzáférési szintű engedélyeket állíthatnak be. A DevTest Labs leggyakoribb engedélyei a tulajdonos, a közreműködő és a felhasználó. Egyéni szerepköröket is létrehozhat és hozzárendelhet. További információ: Tulajdonosok és felhasználók hozzáadása az Azure DevTest Labsban.
Következő lépések
Tekintse meg a következő cikket ebben a sorozatban: A koncepció igazolása.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: