Bagikan melalui

Arsitektur referensi perusahaan DevTest Labs

Artikel ini menyediakan arsitektur referensi untuk menyebarkan Azure DevTest Labs di perusahaan. Arsitektur mencakup elemen kunci berikut:

  • Konektivitas lokal melalui Azure ExpressRoute
  • Gerbang desktop jarak jauh untuk akses jarak jauh ke mesin virtual (VM)
  • Konektivitas ke repositori artefak privat
  • Komponen platform as a service (PaaS) lain yang digunakan lab

Architecture

Diagram berikut menunjukkan implementasi tingkat perusahaan DevTest Labs yang khas. Arsitektur ini menghubungkan beberapa lab dalam langganan Azure yang berbeda ke jaringan lokal perusahaan.

Diagram yang memperlihatkan arsitektur referensi untuk penyebaran DevTest Labs perusahaan.

Komponen DevTest Labs

DevTest Labs memudahkan dan cepat bagi perusahaan untuk menyediakan akses ke sumber daya Azure. Setiap lab berisi perangkat lunak sebagai layanan (SaaS), infrastruktur sebagai layanan (IaaS), dan sumber daya PaaS. Pengguna lab dapat membuat dan mengonfigurasi VM, lingkungan PaaS, dan artefak VM.

Dalam diagram sebelumnya, Team Lab 1 di Langganan Azure 1 memperlihatkan contoh komponen Azure yang dapat diakses dan digunakan lab. Untuk informasi selengkapnya, lihat Tentang DevTest Labs.

Connectivity components

Anda memerlukan konektivitas lokal jika lab Anda harus mengakses sumber daya perusahaan lokal. Skenario yang umum adalah:

  • Beberapa data lokal tidak dapat dipindahkan ke cloud.
  • Anda ingin menggabungkan VM lab ke domain lokal.
  • Anda ingin memaksa semua lalu lintas jaringan cloud melalui firewall lokal untuk keamanan atau kepatuhan.

Arsitektur ini menggunakan ExpressRoute untuk konektivitas ke jaringan lokal. Anda juga dapat menggunakan VPN situs-ke-situs.

Di tempat, gateway Remote Desktop memungkinkan koneksi protokol Remote Desktop (RDP) keluar ke DevTest Labs. Perusahaan biasanya memblokir koneksi keluar di firewall perusahaan. Untuk mengaktifkan konektivitas, Anda dapat:

  • Gunakan gateway desktop jarak jauh, dan izinkan alamat IP statis penyeimbang muatan gateway.
  • Gunakan penerowongan paksa untuk mengalihkan semua lalu lintas RDP kembali melalui koneksi ExpressRoute atau VPN situs-ke-situs. Penerowongan paksa adalah fungsionalitas yang umum untuk penyebaran DevTest Labs berskala perusahaan.

Networking components

Dalam arsitektur ini, MICROSOFT Entra ID menyediakan manajemen identitas dan akses di semua jaringan. Komputer virtual lab biasanya memiliki akun administratif lokal untuk akses. Jika ada Microsoft Entra ID, di lokasi, atau Microsoft Entra Domain Services domain yang tersedia, Anda dapat menghubungkan VM lab ke domain. Pengguna kemudian dapat menggunakan identitas berbasis domain mereka untuk terhubung ke VM.

Topologi jaringan Azure mengontrol bagaimana sumber daya lab mengakses dan berkomunikasi dengan jaringan lokal dan internet. Arsitektur ini menunjukkan metode umum yang digunakan perusahaan untuk jaringan DevTest Labs. Lab terhubung dengan jaringan virtual yang di-peering dalam konfigurasi hub-spoke, melalui koneksi ExpressRoute atau VPN situs-ke-situs, ke jaringan lokal.

Karena DevTest Labs menggunakan Azure Virtual Network secara langsung, tidak ada batasan tentang cara Anda menyiapkan infrastruktur jaringan. Anda dapat menyiapkan grup keamanan jaringan untuk membatasi lalu lintas cloud berdasarkan alamat IP sumber dan tujuan. Misalnya, Anda hanya dapat mengizinkan lalu lintas yang berasal dari jaringan perusahaan ke jaringan lab.

Scalability considerations

DevTest Labs tidak memiliki kuota atau batas bawaan, tetapi sumber daya Azure lainnya yang digunakan lab memiliki kuota tingkat langganan. Dalam penyebaran perusahaan yang khas, Anda memerlukan beberapa langganan Azure untuk mencakup penyebaran DevTest Labs yang besar. Perusahaan biasanya mencapai kuota berikut:

  • Resource groups. DevTest Labs membuat grup sumber daya untuk setiap VM baru, dan pengguna lab membuat lingkungan dalam grup sumber daya. Langganan dapat berisi sebanyak 980 grup sumber daya, jadi itulah batas jumlah mesin virtual (VM) dan konfigurasi lingkungan dalam sebuah langganan.

    Dua strategi dapat membantu Anda tetap berada dalam batas grup sumber daya:

    • Letakkan semua VM dalam grup sumber daya yang sama. Strategi ini membantu Anda memenuhi batas grup sumber daya, tetapi memengaruhi batas jenis sumber daya per grup sumber daya.
    • Gunakan IP publik bersama. Jika VM diizinkan untuk memiliki alamat IP publik, letakkan semua VM dengan ukuran dan wilayah yang sama ke dalam grup sumber daya yang sama. Konfigurasi ini dapat membantu Anda memenuhi kuota grup sumber daya dan kuota per jenis sumber daya per grup sumber daya.

  • Sumber daya per grup sumber daya, per jenis sumber daya. Batas default untuk sumber daya per grup sumber daya, per jenis sumber daya adalah 800. Jika Anda menempatkan semua VM dalam grup sumber daya yang sama, Anda mencapai batas ini jauh lebih cepat, terutama jika VM memiliki banyak disk tambahan.

  • Setiap lab di DevTest Labs dilengkapi dengan akun penyimpanan. Kuota Azure untuk jumlah akun penyimpanan per wilayah per langganan adalah 250 secara default. Jadi jumlah maksimum DevTest Labs di satu wilayah juga 250. Dengan penambahan kuota, Anda dapat membuat sebanyak 500 akun penyimpanan per wilayah. Untuk informasi selengkapnya, lihat Meningkatkan kuota akun Azure Storage. For more information, see Increase Azure Storage account quotas.

  • Penetapan peran memberi pengguna atau akses utama ke sumber daya. Azure memiliki batas 4.000 penetapan peran per langganan. Azure has a limit of 4,000 role assignments per subscription.

    Secara default, DevTest Labs membuat grup sumber daya untuk setiap VM lab. Pembuat VM mendapatkan izin pemilik untuk VM dan izin pembaca untuk grup sumber daya. Jadi setiap VM lab menggunakan dua penetapan peran. Memberikan izin pengguna ke lab juga menggunakan penetapan peran.

  • Anda dapat mengotomatiskan Azure dan DevTest Labs dengan menggunakan REST API, PowerShell, Azure CLI, dan Azure SDK. Setiap langganan Azure memungkinkan sebanyak 12.000 permintaan baca dan 1.200 permintaan tulis per jam. Jika Mengotomatiskan DevTest Labs, Anda mungkin mencapai batas permintaan API. If you automate DevTest Labs, you might reach the limit on API requests.

Manageability considerations

Anda dapat menggunakan portal Microsoft Azure untuk mengelola satu instans DevTest Labs sekaligus, tetapi perusahaan mungkin memiliki beberapa langganan Azure dan banyak lab untuk dikelola. Membuat perubahan secara konsisten pada semua lab memerlukan otomatisasi pembuatan skrip.

Berikut adalah beberapa contoh penggunaan scripting dalam penyebaran DevTest Labs:

  • Mengubah pengaturan lab. Perbarui pengaturan lab tertentu di semua lab dengan menggunakan skrip PowerShell, Azure CLI, atau REST API. Misalnya, perbarui semua lab agar dapat digunakan ukuran instans mesin virtual (VM) yang baru.

  • Memperbarui token akses pribadi (PAT) repositori artefak. PATs untuk repositori Git biasanya kedaluwarsa dalam 90 hari, satu tahun, atau dua tahun. Untuk memastikan kelangsungan, penting untuk memperpanjang PAT. Atau Anda dapat membuat PAT baru dan menggunakan otomatisasi untuk menerapkannya ke semua lab.

  • Membatasi perubahan pada pengaturan lab. Untuk membatasi pengaturan tertentu, seperti mengizinkan penggunaan gambar marketplace, Anda dapat menggunakan Azure Policy untuk mencegah perubahan pada jenis sumber daya. Atau Anda dapat membuat peran kustom dan memberi pengguna peran tersebut alih-alih peran lab bawaan. Anda dapat membatasi perubahan untuk sebagian besar pengaturan lab, seperti dukungan internal, pengumuman lab, dan ukuran VM yang diizinkan.

  • Menerapkan konvensi penamaan untuk VM. Anda dapat menggunakan Azure Policy untuk menentukan pola penamaan yang membantu mengidentifikasi VM di lingkungan berbasis cloud.

Anda mengelola sumber daya Azure untuk DevTest Labs dengan cara yang sama seperti yang Anda lakukan untuk tujuan lain. Misalnya, Azure Policy berlaku untuk VM yang Anda buat di lab. Microsoft Defender for Cloud dapat melaporkan kepatuhan mesin virtual lab. Azure Backup dapat menyediakan cadangan reguler untuk VM lab.

Security considerations

DevTest Labs secara otomatis mendapat manfaat dari fitur keamanan Azure bawaan. Untuk mewajibkan koneksi desktop jarak jauh masuk hanya berasal dari jaringan perusahaan, Anda dapat menambahkan grup keamanan jaringan ke jaringan virtual di gateway desktop jarak jauh.

Pertimbangan keamanan lainnya adalah tingkat izin yang Anda berikan kepada pengguna lab. Pemilik lab menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk menetapkan peran kepada pengguna dan mengatur izin tingkat sumber daya dan akses. Izin DevTest Labs yang paling umum adalah Pemilik, Kontributor, dan Pengguna. Anda juga dapat membuat dan menetapkan peran kustom. Untuk informasi selengkapnya, lihat Menambahkan pemilik dan pengguna di Azure DevTest Labs.

Next step

Lihat artikel berikutnya dalam seri ini: Memberikan bukti konsep

  • Last updated on