Connessione un piano lab per una rete virtuale con funzionalità di rete avanzate

  • Articolo

Questo articolo descrive come connettere un piano lab a una rete virtuale con la rete avanzata di Azure Lab Services. Con le funzionalità di rete avanzate, si ha maggiore controllo sulla configurazione della rete virtuale dei lab. Ad esempio, per connettersi a risorse locali, ad esempio server di gestione delle licenze o per usare route definite dall'utente . Altre informazioni sugli scenari di rete e sulle topologie supportate per la rete avanzata.

La rete avanzata per i piani lab sostituisce il peering di rete virtuale di Azure Lab Services usato con gli account lab.

Seguire questa procedura per configurare la rete avanzata per il piano lab:

  1. Delegare la subnet della rete virtuale ai piani lab di Azure Lab Services. La delega consente ad Azure Lab Services di creare il modello di lab e le macchine virtuali lab nella rete virtuale.
  2. Configurare il gruppo di sicurezza di rete per consentire il traffico RDP o SSH in ingresso verso la macchina virtuale modello di lab e le macchine virtuali del lab.
  3. Creare un piano lab con funzionalità di rete avanzate per associarlo alla subnet della rete virtuale.
  4. (Facoltativo) Configurare la rete virtuale.

La rete avanzata può essere abilitata solo durante la creazione di un piano lab. La rete avanzata non è un'impostazione che può essere aggiornata in un secondo momento.

Il diagramma seguente mostra una panoramica della configurazione di rete avanzata di Azure Lab Services. Al modello di lab e alle macchine virtuali lab viene assegnato un indirizzo IP nella subnet e il gruppo di sicurezza di rete consente agli utenti del lab di connettersi alle macchine virtuali del lab usando RDP o SSH.

Diagram that shows an overview of the advanced networking configuration in Azure Lab Services.

Nota

Se l'organizzazione deve eseguire il filtro dei contenuti, ad esempio per la conformità al Children's Internet Protection Act (CIPA), sarà necessario usare software di terze parti. Per altre informazioni, leggere le linee guida sul filtro dei contenuti negli scenari di rete supportati.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
  • L'account Azure ha il ruolo Collaboratore rete o padre di questo ruolo nella rete virtuale.
  • Una rete virtuale e una subnet di Azure nella stessa area di Azure in cui si crea il piano lab. Informazioni su come creare una rete virtuale e una subnet.
  • La subnet ha un numero sufficiente di indirizzi IP gratuiti per le macchine virtuali modello e le macchine virtuali del lab per tutti i lab (ogni lab usa 512 indirizzi IP) nel piano del lab.

1. Delegare la subnet della rete virtuale

Per usare la subnet di rete virtuale per la rete avanzata in Azure Lab Services, è necessario delegare la subnet ai piani lab di Azure Lab Services. La delega della subnet concede autorizzazioni esplicite a Azure Lab Services per creare risorse specifiche del servizio, ad esempio macchine virtuali lab, nella subnet.

È possibile delegare un solo piano lab alla volta per l'uso con una subnet.

Seguire questa procedura per delegare la subnet da usare con un piano lab:

  1. Accedi al portale di Azure.

  2. Passare alla rete virtuale e selezionare Subnet.

  3. Selezionare una subnet dedicata da delegare a Azure Lab Services.

    Importante

    La subnet usata per Azure Lab Services non deve essere già usata per un gateway di rete virtuale o Azure Bastion.

  4. In Delegare la subnet a un servizio selezionare Microsoft.LabServices/labplans e quindi selezionare Salva.

    Screenshot of the subnet properties page in the Azure portal, highlighting the Delegate subnet to a service setting.

  5. Verificare che Microsoft.LabServices/labplans venga visualizzato nella colonna Delegated to per la subnet.

    Screenshot of list of subnets for a virtual network in the Azure portal, highlighting the Delegated to columns.

2. Configurare un gruppo di sicurezza di rete

Quando si connette il piano lab a una rete virtuale, è necessario configurare un gruppo di sicurezza di rete (NSG) per consentire il traffico RDP/SSH in ingresso dal computer dell'utente alla macchina virtuale modello e alle macchine virtuali del lab. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione.

Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate. Potrebbero essere necessari fino a 10 minuti prima che le modifiche del gruppo di sicurezza di rete siano effettive.

Importante

Se non si configura un gruppo di sicurezza di rete, non sarà possibile accedere alla macchina virtuale modello di lab e alle macchine virtuali lab tramite RDP o SSH.

La configurazione del gruppo di sicurezza di rete per la rete avanzata è costituita da due passaggi:

  1. Creare un gruppo di sicurezza di rete che consenta il traffico RDP/SSH
  2. Associare il gruppo di sicurezza di rete alla subnet della rete virtuale

È possibile usare un gruppo di sicurezza di rete per controllare il traffico verso una o più istanze di macchina virtuale, le istanze del ruolo, le schede di rete (NIC) o i subnet in una rete virtuale. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione. Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate.

Per ulteriori informazioni su NSGs, visitare Informazioni su NSG.

È possibile usare un gruppo di sicurezza di rete per controllare il traffico verso una o più istanze di macchina virtuale, le istanze del ruolo, le schede di rete (NIC) o i subnet in una rete virtuale. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione. Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate.

Per ulteriori informazioni su NSGs, visitare Informazioni su NSG.

Creare un gruppo di sicurezza di rete per consentire il traffico

Seguire questa procedura per creare un gruppo di sicurezza di rete e consentire il traffico RDP o SSH in ingresso:

  1. Se non si ha ancora un gruppo di sicurezza di rete, seguire questa procedura per creare un gruppo di sicurezza di rete (NSG).

    Assicurarsi di creare il gruppo di sicurezza di rete nella stessa area di Azure della rete virtuale e del piano lab.

  2. Creare una regola di sicurezza in ingresso per consentire il traffico RDP e SSH.

    1. Passare al gruppo di sicurezza di rete nella portale di Azure.

    2. Selezionare Regole di sicurezza in ingresso e quindi + Aggiungi.

    3. Immettere i dettagli per la nuova regola di sicurezza in ingresso:

      Impostazione Valore
      Origine selezionare Tutti.
      Intervalli porte di origine Immetti *.
      Destinazione Selezionare Indirizzi IP.
      Indirizzi IP di destinazione/intervalli CIDR Selezionare l'intervallo della subnet della rete virtuale.
      Servizio Seleziona Personalizza.
      Intervalli porte di destinazione Immettere 22, 3389. La porta 22 è per il protocollo Secure Shell (SSH). La porta 3389 è per Remote Desktop Protocol (RDP).
      Protocollo selezionare Tutti.
      Azione Seleziona Consenti.
      Priorità Immettere 1000. La priorità deve essere superiore ad altre regole deny per RDP o SSH.
      Nome Immettere AllowRdpSshForLabs.

    4. Selezionare Aggiungi per aggiungere la regola di sicurezza in ingresso al gruppo di sicurezza di rete.

Associare la subnet al gruppo di sicurezza di rete

Associare quindi il gruppo di sicurezza di rete alla subnet della rete virtuale per applicare le regole di traffico al traffico di rete virtuale.

  1. Passare al gruppo di sicurezza di rete e selezionare Subnet.

  2. Selezionare + Associa nella barra dei menu in alto.

  3. In Rete virtuale selezionare la rete virtuale.

  4. Per Subnet selezionare la subnet della rete virtuale.

    Screenshot of the Associate subnet page in the Azure portal.

  5. Selezionare OK per associare la subnet di rete virtuale al gruppo di sicurezza di rete.

3. Creare un piano lab con funzionalità di rete avanzate

Dopo aver configurato la subnet e il gruppo di sicurezza di rete, è possibile creare il piano lab con la rete avanzata. Quando si crea un nuovo lab nel piano lab, Azure Lab Services crea il modello di lab e le macchine virtuali lab nella subnet della rete virtuale.

Importante

È necessario configurare la rete avanzata quando si crea un piano lab. Non è possibile abilitare la rete avanzata in una fase successiva.

Per creare un piano lab con funzionalità di rete avanzate nel portale di Azure:

  1. Accedi al portale di Azure.

  2. Selezionare Crea una risorsa nell'angolo superiore sinistro del portale di Azure e cercare il piano lab.

  3. Immettere le informazioni nella scheda Informazioni di base della pagina Crea un piano lab.

    Per altre informazioni, vedere Creare un piano lab con Azure Lab Services.

  4. Nella scheda Rete selezionare Abilita rete avanzata per configurare la subnet della rete virtuale.

  5. In Rete virtuale selezionare la rete virtuale. Per Subnet selezionare la subnet della rete virtuale.

    Se la rete virtuale non viene visualizzata nell'elenco, verificare che il piano lab si trovi nella stessa area di Azure della rete virtuale, che sia stata delegata la subnet a Azure Lab Services e che l'account Azure disponga delle autorizzazioni necessarie.

    Screenshot of the Networking tab of the Create a lab plan wizard.

  6. Selezionare Rivedi e crea per creare il piano lab con funzionalità di rete avanzate.

    Gli utenti del lab e i responsabili del lab possono ora connettersi alle macchine virtuali lab o alla macchina virtuale modello di lab usando RDP o SSH.

    Quando si crea un nuovo lab, tutte le macchine virtuali vengono create nella rete virtuale e assegnate un indirizzo IP all'interno dell'intervallo di subnet.

4. (Facoltativo) Aggiornare le impostazioni di configurazione di rete

È consigliabile usare le impostazioni di configurazione predefinite per la rete virtuale e la subnet quando si usa la rete avanzata in Azure Lab Services.

Per scenari di rete specifici, potrebbe essere necessario aggiornare la configurazione di rete. Altre informazioni sulle architetture di rete e sulle topologie supportate in Azure Lab Services e sulla configurazione di rete corrispondente.

È possibile modificare le impostazioni della rete virtuale dopo aver creato il piano lab con funzionalità di rete avanzate. Tuttavia, quando si modificano le impostazioni DNS nella rete virtuale, è necessario riavviare le macchine virtuali del lab in esecuzione. Se le macchine virtuali del lab vengono arrestate, riceveranno automaticamente le impostazioni DNS aggiornate all'avvio.

Attenzione

Le modifiche di configurazione di rete seguenti non sono supportate dopo aver configurato la rete avanzata :

  • Eliminare la rete virtuale o la subnet associata al piano lab. In questo modo i lab smetteno di funzionare.
  • Modificare l'intervallo di indirizzi della subnet quando sono presenti macchine virtuali create (vm modello o macchine virtuali del lab).
  • Modificare l'etichetta DNS nell'indirizzo IP pubblico. In questo modo, il pulsante Connessione per le macchine virtuali del lab smette di funzionare.
  • Modificare la configurazione IP front-end nel servizio di bilanciamento del carico di Azure. In questo modo, il pulsante Connessione per le macchine virtuali del lab smette di funzionare.
  • Modificare il nome di dominio completo nell'indirizzo IP pubblico.
  • Usare una tabella di route con una route predefinita per la subnet (tunneling forzato). In questo modo gli utenti perderanno la connettività al lab.
  • L'uso di Firewall di Azure o Azure Bastion non è supportato.

Passaggi successivi