高度なネットワークを使用してラボ 計画を仮想ネットワークに接続する

この記事では、Azure Lab Services の高度なネットワークを使用して、ラボ プランを仮想ネットワークに接続する方法について説明します。 高度なネットワークを使用すると、ラボの仮想ネットワーク構成をより細かく制御できます。 たとえば、ライセンス サーバーなどのオンプレミス リソースに接続したり、ユーザー定義ルート (UDR) を使用したりします。 詳細については、 高度なネットワーク用にサポートされているネットワーク シナリオとトポロジに関するページを参照してください。

ラボ プランの高度なネットワークは、ラボ アカウントで使用される Azure Lab Services 仮想ネットワーク ピアリング に代わるものです。

ラボ計画の高度なネットワークを構成するには、次の手順に従います。

1. 仮想ネットワーク サブネットを Azure Lab Services ラボ プランに委任します。 委任により、Azure Lab Services はラボ テンプレートとラボ仮想マシンを仮想ネットワークに作成できます。
2. ラボ テンプレート仮想マシンとラボ仮想マシンへの受信 RDP または SSH トラフィックを許可するようにネットワーク セキュリティ グループを構成します。
3. 高度なネットワークを使用してラボ プランを作成し、仮想ネットワーク サブネットに関連付けます。
4. (省略可能)仮想ネットワークを構成します。

高度なネットワークを有効にできるのは、ラボ プランを作成する場合のみです。 高度なネットワークは、後で更新できる設定ではありません。

次の図は、Azure Lab Services の高度なネットワーク構成の概要を示しています。 ラボ テンプレートとラボ仮想マシンにはサブネット内の IP アドレスが割り当てられ、ネットワーク セキュリティ グループを使用すると、ラボ ユーザーは RDP または SSH を使用してラボ VM に接続できます。

注意

子供のインターネット保護法 (CIPA) への準拠など、organizationがコンテンツ フィルター処理を実行する必要がある場合は、サード パーティ製ソフトウェアを使用する必要があります。 詳細については、 サポートされているネットワーク シナリオでのコンテンツ フィルター処理に関するガイダンスを参照してください。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
• Azure アカウントには、仮想ネットワーク上の ネットワーク共同作成者 ロール (このロールの親) があります。
• ラボ 計画を作成する場所と同じ Azure リージョン内の Azure 仮想ネットワークとサブネット。 仮想ネットワークとサブネットを作成する方法について説明します。
• サブネットには、ラボ プラン内のすべてのラボ (各ラボで 512 個の IP アドレスを使用) 用のテンプレート VM とラボ VM に十分な空き IP アドレスがあります。

1. 仮想ネットワーク サブネットを委任する

Azure Lab Services の高度なネットワークに仮想ネットワーク サブネットを使用するには、 サブネットを Azure Lab Services ラボ プランに委任する必要があります。 サブネットの委任では、Azure Lab Services に明示的なアクセス許可を付与して、ラボ仮想マシンなどのサービス固有のリソースをサブネットに作成します。

1 つのサブネットで使用するために、一度に委任できるラボ プランは 1 つだけです。

ラボ 計画で使用するサブネットを委任するには、次の手順に従います。

1. Azure Portal にサインインします。

2. 仮想ネットワークに移動し、[ サブネット] を選択します。

3. Azure Lab Services に委任する専用サブネットを選択します。

   重要

   Azure Lab Services に使用するサブネットは、VNET ゲートウェイまたは Azure Bastion にまだ使用しないでください。

4. [ サブネットをサービスに委任する] で、[Microsoft.LabServices/labplans] を選択し、[保存] を選択 します。

   

5. サブネットの [委任先] 列に Microsoft.LabServices/labplans が表示されていることを確認します。

   

2. ネットワーク セキュリティ グループを構成する

ラボ プランを仮想ネットワークに接続するときは、ユーザーのコンピューターからテンプレート仮想マシンとラボ仮想マシンへの RDP/SSH トラフィックの受信を許可するようにネットワーク セキュリティ グループ (NSG) を構成する必要があります。 NSG には、トラフィックの方向、プロトコル、ソース アドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。

NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。 NSG の変更が有効になるまでに最大 10 分かかる場合があります。

重要

ネットワーク セキュリティ グループを構成しない場合、RDP または SSH 経由でラボ テンプレート VM とラボ VM にアクセスすることはできません。

高度なネットワーク用のネットワーク セキュリティ グループの構成は、次の 2 つの手順で構成されます。

1. RDP/SSH トラフィックを許可するネットワーク セキュリティ グループを作成する
2. ネットワーク セキュリティ グループを仮想ネットワーク サブネットに関連付ける

NSG を使用して、仮想ネットワーク内の 1 つまたは複数の仮想マシン (VM)、ロール インスタンス、ネットワーク アダプター (NIC)、またはサブネットに対するトラフィックを制御できます。 NSG には、トラフィックの方向、プロトコル、ソース アドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。 NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。

NSG の詳細については、「 what is an NSG (NSG の概要)」を参照してください。

NSG を使用して、仮想ネットワーク内の 1 つまたは複数の仮想マシン (VM)、ロール インスタンス、ネットワーク アダプター (NIC)、またはサブネットに対するトラフィックを制御できます。 NSG には、トラフィックの方向、プロトコル、ソース アドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。 NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。

NSG の詳細については、「 what is an NSG (NSG の概要)」を参照してください。

トラフィックを許可するネットワーク セキュリティ グループを作成する

NSG を作成し、受信 RDP または SSH トラフィックを許可するには、次の手順に従います。

1. ネットワーク セキュリティ グループがまだない場合は、次の手順に従って ネットワーク セキュリティ グループ (NSG) を作成します。

   仮想ネットワークとラボ計画と同じ Azure リージョンにネットワーク セキュリティ グループを作成してください。

2. RDP および SSH トラフィックを許可する受信セキュリティ規則を作成します。

   1. Azure portalのネットワーク セキュリティ グループに移動します。

   2. [受信セキュリティ規則] を選び、それから [追加] を選びます。

   3. 新しい受信セキュリティ規則の詳細を入力します。

      設定	値
      ソース	[任意] をクリックします。
      ソース ポート範囲	「*」と入力します。
      宛先	[IP アドレス] を選択します。
      宛先 IP アドレス/CIDR 範囲	仮想ネットワーク サブネットの範囲を選択します。
      サービス	[カスタム] を選択します。
      宛先ポート範囲	「22,3389」と入力します。 ポート 22 は Secure Shell プロトコル (SSH) 用です。 ポート 3389 はリモート デスクトップ プロトコル (RDP) 用です。
      プロトコル	[任意] をクリックします。
      操作	[許可] を選択します。
      優先順位	「1000」と入力します。 優先順位は、RDP または SSH の他の 拒否 規則よりも高くする必要があります。
      名前	「AllowRdpSshForLabs」と入力します。

   4. [ 追加] を 選択して、NSG に受信セキュリティ規則を追加します。

サブネットをネットワーク セキュリティ グループに関連付ける

次に、NSG を仮想ネットワーク サブネットに関連付けて、仮想ネットワーク トラフィックにトラフィック 規則を適用します。

1. ネットワーク セキュリティ グループに移動し、[サブネット] を選択 します。

2. 上部のメニュー バーから [関連付け] を選択します。

3. [仮想ネットワーク] では、お使いの仮想ネットワークを選択します。

4. [ サブネット] で、仮想ネットワーク サブネットを選択します。

   

5. [ OK] を選択 して、仮想ネットワーク サブネットをネットワーク セキュリティ グループに関連付けます。

3. 高度なネットワークを使用してラボ 計画を作成する

サブネットとネットワーク セキュリティ グループを構成したので、高度なネットワークを使用してラボ 計画を作成できます。 ラボ 計画で新しいラボを作成すると、Azure Lab Services によって、ラボ テンプレートとラボ仮想マシンが仮想ネットワーク サブネットに作成されます。

重要

ラボ 計画を作成するときは、高度なネットワークを構成する必要があります。 後の段階で高度なネットワークを有効にすることはできません。

Azure portalで高度なネットワークを使用してラボ 計画を作成するには:

1. Azure Portal にサインインします。

2. Azure portalの左上隅にある [リソースの作成] を選択し、ラボ 計画を検索します。

3. [ラボ プランの作成] ページの [基本] タブに情報を入力します。

   詳細については、「 Azure Lab Services を使用してラボ プランを作成する」を参照してください。

4. [ ネットワーク ] タブで、[ 高度なネットワークを有効にする ] を選択して仮想ネットワーク サブネットを構成します。

5. [仮想ネットワーク] では、お使いの仮想ネットワークを選択します。 [ サブネット] で、仮想ネットワーク サブネットを選択します。

   仮想ネットワークが一覧に表示されない場合は、ラボ プランが仮想ネットワークと同じ Azure リージョン内にあり、 サブネットを Azure Lab Services に委任していること、および Azure アカウントに必要なアクセス許可があることを確認します。

   

6. [ 確認と作成] を選択して、高度なネットワークを使用してラボ 計画を作成します。

   ラボ ユーザーとラボ マネージャーは、RDP または SSH を使用してラボ仮想マシンまたはラボ テンプレート仮想マシンに接続できるようになりました。

   新しいラボを作成すると、すべての仮想マシンが仮想ネットワークに作成され、サブネット範囲内に IP アドレスが割り当てられます。

4. (省略可能) ネットワーク構成設定を更新する

Azure Lab Services で高度なネットワークを使用する場合は、仮想ネットワークとサブネットの既定の構成設定を使用することをお勧めします。

特定のネットワーク シナリオでは、ネットワーク構成の更新が必要になる場合があります。 Azure Lab Services でサポートされているネットワーク アーキテクチャとトポロジと、対応するネットワーク構成の詳細について説明します。

高度なネットワークを使用してラボ プランを作成した後で、仮想ネットワークの設定を変更できます。 ただし、 仮想ネットワーク上の DNS 設定を変更する場合は、実行中のラボ仮想マシンを再起動する必要があります。 ラボ VM が停止すると、起動時に更新された DNS 設定が自動的に受信されます。

注意事項

高度なネットワークを構成した後、次のネットワーク構成の変更はサポートされません。

• ラボ 計画に関連付けられている仮想ネットワークまたはサブネットを削除します。 これにより、ラボの動作が停止します。
• 作成された仮想マシン (テンプレート VM またはラボ VM) がある場合は、サブネット のアドレス範囲を変更します。
• パブリック IP アドレスの DNS ラベルを変更します。 これにより、ラボ VM の [接続 ] ボタンが動作しなくなります。
• Azure ロード バランサーの フロントエンド IP 構成 を変更します。 これにより、ラボ VM の [接続 ] ボタンが動作しなくなります。
• パブリック IP アドレスの FQDN を変更します。
• サブネットの既定のルート (強制トンネリング) でルート テーブルを使用します。 これにより、ユーザーはラボへの接続が失われます。
• Azure Firewallまたは Azure Bastion の使用はサポートされていません。

次の手順

• コンピューティング ギャラリーをラボ プランにアタッチします。
• ラボ 計画の自動シャットダウン設定を構成します。
• ラボプランにラボ作成者を追加します。