Isolamento della rete in Azure DevTest Labs

  • Articolo

Questo articolo illustra come creare un lab isolato dalla rete in Azure DevTest Labs.

Per impostazione predefinita, Azure DevTest Labs crea una nuova rete virtuale di Azure per ogni lab. La rete virtuale funge da limite di sicurezza per isolare le risorse del lab dalla rete Internet pubblica. Per garantire che le risorse del lab seguano i criteri di rete dell'organizzazione, è possibile usare diverse altre opzioni di rete:

  • Isolare tutte le macchine virtuali e gli ambienti lab in una rete virtuale preesistente selezionata.
  • Aggiungere una rete virtuale di Azure a una rete locale per connettersi in modo sicuro alle risorse locali. Per altre informazioni, vedere Architettura di riferimento aziendale di DevTest Labs: Componenti di connettività.
  • Isolare completamente il lab, incluse macchine virtuali, ambienti, account di archiviazione del lab e insiemi di credenziali delle chiavi, in una rete virtuale selezionata. Questo articolo descrive come configurare l'isolamento di rete.

Abilitare isolamento rete

È possibile abilitare l'isolamento di rete nella portale di Azure solo durante la creazione del lab. Per convertire un lab esistente e le risorse lab associate in modalità di rete isolata, usare lo script di PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Durante la creazione del lab, è possibile abilitare l'isolamento di rete per la rete virtuale lab predefinita oppure scegliere un'altra rete virtuale preesistente da usare per il lab.

Usare la rete virtuale e la subnet predefinite

Per abilitare l'isolamento di rete per la rete virtuale predefinita e la subnet creati da DevTest Labs per il lab:

  1. Durante la creazione del lab, nella schermata Crea devTest Lab selezionare la scheda Rete .

  2. Accanto a Isolare le risorse lab selezionare .

  3. Completare la creazione del lab.

    Screenshot che mostra l'abilitazione dell'isolamento di rete per la rete predefinita.

Dopo aver creato il lab, non sono necessarie altre azioni. Il lab gestisce l'isolamento delle risorse da ora in poi.

Usare una rete virtuale e una subnet diverse

Per usare una rete virtuale diversa esistente per il lab e abilitare l'isolamento di rete per tale rete:

  1. Durante la creazione del lab, nella scheda Rete della schermata Crea DevTest Lab selezionare una rete dall'elenco a discesa. L'elenco mostra solo le reti nella stessa area e nella stessa sottoscrizione del lab.

    Screenshot che mostra la selezione di una rete virtuale.

  2. Selezionare una subnet.

    Screenshot che mostra la selezione di una subnet.

  3. Accanto a Isolare le risorse lab selezionare .

    Screenshot che mostra l'abilitazione dell'isolamento di rete per una rete selezionata.

  4. Completare la creazione del lab.

Configurare gli endpoint di servizio

Se è stato abilitato l'isolamento di rete per una rete virtuale diversa dall'impostazione predefinita, completare la procedura seguente per isolare l'account di archiviazione del lab e l'insieme di credenziali delle chiavi nella rete selezionata. Eseguire questi passaggi dopo aver creato il lab, ma prima di eseguire qualsiasi altra configurazione del lab o creare risorse del lab.

Configurare l'endpoint per l'account di archiviazione lab

  1. Nella pagina Panoramica del lab selezionare il gruppo di risorse.

    Screenshot che mostra la selezione del gruppo di risorse per un lab.

  2. Nella pagina Panoramica del gruppo di risorse selezionare l'account di archiviazione del lab. La convenzione di denominazione per l'account di archiviazione lab è a\<labName>\<4-digit number>. Ad esempio, se il nome del lab è contosolab, il nome dell'account di archiviazione potrebbe essere acontosolab1234.

    Screenshot che mostra la selezione dell'account di archiviazione lab.

  3. Nella pagina account di archiviazione selezionare Rete nel riquadro di spostamento a sinistra. Nella scheda Firewall e reti virtuali assicurarsi che l'opzione Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.

    Screenshot che mostra che consente l'accesso ai servizi attendibili a un gruppo di risorse.

    DevTest Labs è un servizio Microsoft attendibile, quindi la selezione di questa opzione consente al lab di funzionare normalmente in modalità isolata di rete.

  4. Selezionare Aggiungi rete virtuale esistente.

    Screenshot che mostra il riquadro rete del gruppo di risorse con l'opzione aggiungi rete virtuale esistente evidenziata.

  5. Nel riquadro Aggiungi reti selezionare la rete virtuale e la subnet scelta al momento della creazione del lab e quindi selezionare Aggiungi.

    Screenshot che mostra il riquadro Aggiungi rete con reti virtuali, subnet e Aggiungi evidenziati.

  6. Nella pagina Rete selezionare Salva.

Archiviazione di Azure consente ora le connessioni in ingresso dalla rete virtuale aggiunta, che consente al lab di funzionare correttamente in modalità isolata di rete.

È possibile automatizzare questi passaggi con PowerShell o l'interfaccia della riga di comando di Azure per configurare l'isolamento di rete per più lab. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.

Configurare l'endpoint per l'insieme di credenziali delle chiavi del lab

  1. Nella pagina Panoramica del lab selezionare il gruppo di risorse.

  2. Nella pagina Panoramica del gruppo di risorse selezionare l'insieme di credenziali delle chiavi del lab.

    Screenshot che mostra la selezione dell'insieme di credenziali delle chiavi del lab.

  3. Nella pagina Dell'insieme di credenziali delle chiavi selezionare Rete nel riquadro di spostamento a sinistra. Nella scheda Firewall e reti virtuali assicurarsi che sia selezionata l'opzione Consenti ai servizi Microsoft attendibili di ignorare questo firewall .

    Screenshot che mostra che consente l'accesso ai servizi attendibili a un insieme di credenziali delle chiavi.

  4. Selezionare Aggiungi reti virtuali esistenti.

    Screenshot che mostra il riquadro di rete dell'insieme di credenziali delle chiavi con l'opzione aggiungi rete virtuale esistente evidenziata.

  5. Nel riquadro Aggiungi reti selezionare la rete virtuale e la subnet scelta al momento della creazione del lab e quindi selezionare Abilita.

    Screenshot che mostra l'abilitazione di una rete virtuale e una subnet in un insieme di credenziali delle chiavi.

  6. Dopo aver abilitato l'endpoint di servizio, selezionare Aggiungi.

    Screenshot che mostra l'aggiunta di una rete virtuale e una subnet in un insieme di credenziali delle chiavi.

  7. Nella pagina Rete selezionare Salva.

Considerazioni

Ecco alcuni aspetti da ricordare quando si usa un lab in modalità di isolamento di rete:

Abilitare l'accesso all'account di archiviazione dall'esterno del lab

Il proprietario del lab deve abilitare in modo esplicito l'accesso all'account di archiviazione di un lab isolato di rete da un endpoint consentito. Le azioni come il caricamento di un disco rigido virtuale nell'account di archiviazione per la creazione di immagini personalizzate richiedono questo accesso. È possibile abilitare l'accesso creando una macchina virtuale lab e accedendo in modo sicuro all'account di archiviazione del lab da tale macchina virtuale.

Per altre informazioni, vedere Connettersi a un account di archiviazione usando un endpoint privato di Azure.

Fornire un account di archiviazione per esportare i dati di utilizzo del lab

Per esportare i dati di utilizzo per un lab isolato di rete, il proprietario del lab deve fornire in modo esplicito un account di archiviazione e generare un BLOB all'interno dell'account per archiviare i dati. L'esportazione dei dati di utilizzo ha esito negativo in modalità isolata di rete se l'utente non fornisce in modo esplicito l'account di archiviazione da usare.

Per altre informazioni, vedere Esportare o eliminare dati personali da Azure DevTest Labs.

Impostare i criteri di accesso dell'insieme di credenziali delle chiavi

L'abilitazione dell'endpoint di servizio dell'insieme di credenziali delle chiavi influisce solo sul firewall. Assicurarsi di configurare le autorizzazioni di accesso appropriate all'insieme di credenziali delle chiavi nella sezione Criteri di accesso dell'insieme di credenziali delle chiavi.

Per altre informazioni, vedere Assegnare un criterio di accesso Key Vault.

Passaggi successivi