次の方法で共有


Azure Lab Services のラボ プランでサポートされているネットワーク シナリオ

重要

Azure Lab Services は 2027 年 6 月 28 日に廃止されます。 詳細については、提供終了ガイドを参照してください。

ラボ プラン用の Azure Lab Services の高度なネットワークを使用すると、さまざまなネットワーク アーキテクチャとトポロジを実装できます。 この記事では、Azure Lab Services のさまざまなネットワーク シナリオとそのサポートについて説明します。

ネットワーク シナリオ

次の表に、一般的なネットワーク シナリオとトポロジ、Azure Lab Services でのサポートを示します。

シナリオ Enabled 詳細
ラボ間通信 はい ラボ間の通信設定について詳しく説明します。 ラボ ユーザーが複数の仮想マシンを必要とする場合は、入れ子になった仮想化の構成ができます。
ラボ VM への追加のポートを開く いいえ 高度なネットワークを使用している場合でも、ラボ VM で追加のポートを開くことはありません。
オンプレミス、リージョン間など、離れたライセンス サーバーを有効にする はい ライセンス サーバーを指すユーザー定義ルート (UDR) を追加します。

ラボ ソフトウェアが IP アドレスではなく名前でライセンス サーバーに接続しなければならない場合は、顧客提供の DNS サーバーを構成するか、ラボ テンプレートの hosts ファイルにエントリを追加する必要があります。

複数のサービスがライセンス サーバーにアクセスする必要がある場合、複数のリージョンからライセンス サーバーを使用する場合、またはライセンス サーバーが他のインフラストラクチャの一部である場合は、ハブアンドスポーク Azure ネットワークのベスト プラクティスを使用できます。
ライセンス サーバーなどのオンプレミス リソースへのアクセス はい 次のオプションを使用して、オンプレミスのリソースにアクセスできます。
- Azure ExpressRoute を構成するか、サイト間 VPN 接続 (ネットワークのブリッジ) を作成します。
- Azure Lab Services からの着信接続のみを許可するファイアウォールを使用して、オンプレミス サーバーにパブリック IP を追加します。

さらに、ラボ VM からオンプレミス リソースに到達するには、ユーザー定義ルート (UDR) を追加します。
ハブアンドスポーク ネットワーク モデルを使用する はい このシナリオは、ラボ プランと高度なネットワークで期待どおりに動作します。

Azure Lab Services では、ルート テーブルに既定のルートを追加するなどの、いくつかの構成変更はサポートされていません。 サポートされていない仮想ネットワーク構成の変更について説明します。
プライベート IP アドレスでラボ VM にアクセスする (プライベート専用ラボ) 非推奨 このシナリオは機能しますが、ラボ ユーザーがラボ VM に接続するのが困難になります。 Azure Lab Services Web サイトでは、ラボ ユーザーはラボ VM のプライベート IP アドレスを識別できません。 さらに、[接続する] ボタンはラボ VM のパブリック エンドポイントを指します。 ラボ作成者は、ラボ ユーザーにラボ VM のプライベート IP アドレスを提供する必要があります。 VM の再イメージ化後では、このプライベート IP アドレスが変更される可能性があります。

このシナリオを実装する場合は、ラボに関連付けられているパブリック IP アドレスまたはロード バランサーを削除しないでください。 これらのリソースが削除されると、ラボはスケーリングまたは発行に失敗します。
ファイアウォールを使用してオンプレミスのリソースを保護する はい ラボ VM と特定のリソースの間にファイアウォールを配置することがサポートされています。
ラボ VM をファイアウォールの内側に配置する。 たとえば、コンテンツのフィルター処理、セキュリティなどの場合です。 いいえ プライベート IP アドレスでラボ VM に接続する場合を除き、一般的なファイアウォールのセットアップは Azure Lab Services では機能しません (前のシナリオを参照)。

ファイアウォールを設定すると、サブネットのルート テーブルに既定のルートが追加されます。 この既定のルートでは、ラボへの RDP/SSH 接続を中断する非対称ルーティングの問題が発生します。
サードパーティのオーバーショルダー監視ソフトウェアを使用する はい このシナリオは、ラボ プランの高度なネットワークでサポートされています。
ラボにカスタム ドメイン名を使用する。たとえば、lab1.labs.myuniversity.edu.au いいえ FQDN はラボの作成時に、ラボのパブリック IP アドレスに基づいて定義されているため、このシナリオは機能しません。 パブリック IP アドレスへの変更は、テンプレート VM またはラボ VM の [接続する] ボタンには反映されません。
ラボ VM へのすべての通信がパブリック インターネット経由で行われない、ラボの強制トンネリングを有効にする。 これは "完全に分離されたラボ" とも呼ばれます。 いいえ このシナリオは、すぐには機能しません。 ルート テーブルを既定のルートを含むサブネットに関連付けるとすぐに、ラボ ユーザーはラボへの接続を失います。
このシナリオを有効にするには、プライベート IP アドレスでラボ VM にアクセスする手順に従います。
コンテンツのフィルター処理を有効にする 依存 サポートされているコンテンツ フィルター処理のシナリオを次に示します。
- ラボ VM 上の、サード パーティのコンテンツ フィルタリング ソフトウェア:
    1.ラボ ユーザーは、ソフトウェアのアンインストールまたは無効化を回避するために、管理者以外のユーザーとして実行する必要があります
    2.Azure への送信呼び出しがブロックされていないことを確認します。

- DNS ベースのコンテンツ フィルタリング: フィルター処理は、高度なネットワークとラボのサブネット上の DNS サーバーの指定で機能します。 コンテンツ フィルター処理をサポートする DNS サーバーを使用して、DNS ベースのフィルター処理を実行できます。

- プロキシベースのコンテンツ フィルタリング: フィルター処理は、ラボ VM がコンテンツ フィルタリングをサポートする顧客提供のプロキシ サーバーを使用できる場合に、高度なネットワークで機能します。 DNS ベースのソリューションと同様に機能します。

サポートされていないコンテンツ のフィルター処理:
- ネットワーク アプライアンス (ファイアウォール): 詳細については、ラボ VM をファイアウォールの内側に配置するシナリオをご覧ください。

コンテンツ フィルタリング ソリューションを計画する場合は、概念実証を実装して、すべてが期待どおりにエンドツーエンドで動作することを確認します。
高フレームレートのゲーム シナリオに Parsec などの接続ブローカーを使用する 非推奨 このシナリオは Azure Lab Services では直接サポートされておらず、プライベート IP アドレスでラボ VM にアクセスする場合と同じ困難に直面します。
ラボ ユーザーが検出してハッキングするためのネットワーク上の脆弱な VM のセットで構成される "サイバー フィールド" シナリオ (倫理的ハッキング) はい このシナリオは、ラボ プランの高度なネットワークで動作します。 倫理的ハッキング クラスの種類について説明します。
ラボ VM での Azure Bastion の使用を有効にする いいえ Azure Bastion は Azure Lab Services ではサポートされていません。
ドメイン コントローラーへの経路を設定する 非推奨 Microsoft Entra ハイブリッド参加または AD ドメイン参加 VM には、ラボからドメイン コントローラーへの経路が必要です。ただし、現在、製品の制限により、ラボ VM を Microsoft Entra 参加済み/登録済み、Microsoft Entra ハイブリッド参加済み、または AD ドメインに参加することはお勧めしません

次のステップ