Azure Lab Services のラボ プランでサポートされているネットワーク シナリオ
ラボ プラン用の Azure Lab Services の高度なネットワークを使用すると、さまざまなネットワーク アーキテクチャとトポロジを実装できます。 この記事では、Azure Lab Services のさまざまなネットワーク シナリオとそのサポートについて説明します。
ネットワーク シナリオ
次の表に、一般的なネットワーク シナリオとトポロジ、Azure Lab Services でのサポートを示します。
| シナリオ | Enabled | 詳細 |
|---|---|---|
| ラボ間通信 | はい | ラボ間の通信設定について詳しく説明します。 ラボ ユーザーが複数の仮想マシンを必要とする場合は、入れ子になった仮想化の構成ができます。 |
| ラボ VM への追加のポートを開く | いいえ | 高度なネットワークを使用している場合でも、ラボ VM で追加のポートを開くことはありません。 |
| オンプレミス、リージョン間など、離れたライセンス サーバーを有効にする | はい | ライセンス サーバーを指すユーザー定義ルート (UDR) を追加します。 ラボ ソフトウェアが IP アドレスではなく名前でライセンス サーバーに接続しなければならない場合は、顧客提供の DNS サーバーを構成するか、ラボ テンプレートの hosts ファイルにエントリを追加する必要があります。複数のサービスがライセンス サーバーにアクセスする必要がある場合、複数のリージョンからライセンス サーバーを使用する場合、またはライセンス サーバーが他のインフラストラクチャの一部である場合は、ハブアンドスポーク Azure ネットワークのベスト プラクティスを使用できます。 |
| ライセンス サーバーなどのオンプレミス リソースへのアクセス | はい | 次のオプションを使用して、オンプレミスのリソースにアクセスできます。 - Azure ExpressRoute を構成するか、サイト間 VPN 接続 (ネットワークのブリッジ) を作成します。 - Azure Lab Services からの着信接続のみを許可するファイアウォールを使用して、オンプレミス サーバーにパブリック IP を追加します。 さらに、ラボ VM からオンプレミス リソースに到達するには、ユーザー定義ルート (UDR) を追加します。 |
| ハブアンドスポーク ネットワーク モデルを使用する | はい | このシナリオは、ラボ プランと高度なネットワークで期待どおりに動作します。 Azure Lab Services では、ルート テーブルに既定のルートを追加するなどの、いくつかの構成変更はサポートされていません。 サポートされていない仮想ネットワーク構成の変更について説明します。 |
| プライベート IP アドレスでラボ VM にアクセスする (プライベート専用ラボ) | 非推奨 | このシナリオは機能しますが、ラボ ユーザーがラボ VM に接続するのが困難になります。 Azure Lab Services Web サイトでは、ラボ ユーザーはラボ VM のプライベート IP アドレスを識別できません。 さらに、[接続する] ボタンはラボ VM のパブリック エンドポイントを指します。 ラボ作成者は、ラボ ユーザーにラボ VM のプライベート IP アドレスを提供する必要があります。 VM の再イメージ化後では、このプライベート IP アドレスが変更される可能性があります。 このシナリオを実装する場合は、ラボに関連付けられているパブリック IP アドレスまたはロード バランサーを削除しないでください。 これらのリソースが削除されると、ラボはスケーリングまたは発行に失敗します。 |
| ファイアウォールを使用してオンプレミスのリソースを保護する | はい | ラボ VM と特定のリソースの間にファイアウォールを配置することがサポートされています。 |
| ラボ VM をファイアウォールの内側に配置する。 たとえば、コンテンツのフィルター処理、セキュリティなどの場合です。 | いいえ | プライベート IP アドレスでラボ VM に接続する場合を除き、一般的なファイアウォールのセットアップは Azure Lab Services では機能しません (前のシナリオを参照)。 ファイアウォールを設定すると、サブネットのルート テーブルに既定のルートが追加されます。 この既定のルートでは、ラボへの RDP/SSH 接続を中断する非対称ルーティングの問題が発生します。 |
| サードパーティのオーバーショルダー監視ソフトウェアを使用する | はい | このシナリオは、ラボ プランの高度なネットワークでサポートされています。 |
ラボにカスタム ドメイン名を使用する。たとえば、lab1.labs.myuniversity.edu.au |
いいえ | FQDN はラボの作成時に、ラボのパブリック IP アドレスに基づいて定義されているため、このシナリオは機能しません。 パブリック IP アドレスへの変更は、テンプレート VM またはラボ VM の [接続する] ボタンには反映されません。 |
| ラボ VM へのすべての通信がパブリック インターネット経由で行われない、ラボの強制トンネリングを有効にする。 これは "完全に分離されたラボ" とも呼ばれます。 | いいえ | このシナリオは、すぐには機能しません。 ルート テーブルを既定のルートを含むサブネットに関連付けるとすぐに、ラボ ユーザーはラボへの接続を失います。 このシナリオを有効にするには、プライベート IP アドレスでラボ VM にアクセスする手順に従います。 |
| コンテンツのフィルター処理を有効にする | 依存 | サポートされているコンテンツ フィルター処理のシナリオを次に示します。 - ラボ VM 上の、サード パーティのコンテンツ フィルタリング ソフトウェア: 1.ラボ ユーザーは、ソフトウェアのアンインストールまたは無効化を回避するために、管理者以外のユーザーとして実行する必要があります 2.Azure への送信呼び出しがブロックされていないことを確認します。 - DNS ベースのコンテンツ フィルタリング: フィルター処理は、高度なネットワークとラボのサブネット上の DNS サーバーの指定で機能します。 コンテンツ フィルター処理をサポートする DNS サーバーを使用して、DNS ベースのフィルター処理を実行できます。 - プロキシベースのコンテンツ フィルタリング: フィルター処理は、ラボ VM がコンテンツ フィルタリングをサポートする顧客提供のプロキシ サーバーを使用できる場合に、高度なネットワークで機能します。 DNS ベースのソリューションと同様に機能します。 サポートされていないコンテンツ のフィルター処理: - ネットワーク アプライアンス (ファイアウォール): 詳細については、ラボ VM をファイアウォールの内側に配置するシナリオをご覧ください。 コンテンツ フィルタリング ソリューションを計画する場合は、概念実証を実装して、すべてが期待どおりにエンドツーエンドで動作することを確認します。 |
| 高フレームレートのゲーム シナリオに Parsec などの接続ブローカーを使用する | 非推奨 | このシナリオは Azure Lab Services では直接サポートされておらず、プライベート IP アドレスでラボ VM にアクセスする場合と同じ困難に直面します。 |
| ラボ ユーザーが検出してハッキングするためのネットワーク上の脆弱な VM のセットで構成される "サイバー フィールド" シナリオ (倫理的ハッキング) | はい | このシナリオは、ラボ プランの高度なネットワークで動作します。 倫理的ハッキング クラスの種類について説明します。 |
| ラボ VM での Azure Bastion の使用を有効にする | いいえ | Azure Bastion は Azure Lab Services ではサポートされていません。 |
| ドメイン コントローラーへの経路を設定する | 非推奨 | Microsoft Entra ハイブリッド参加または AD ドメイン参加 VM には、ラボからドメイン コントローラーへの経路が必要です。ただし、現在、製品の制限により、ラボ VM を Microsoft Entra 参加済み/登録済み、Microsoft Entra ハイブリッド参加済み、または AD ドメインに参加することはお勧めしません。 |
次のステップ
- 高度なネットワークを使用してラボ プランを仮想ネットワークに接続する
- チュートリアル: ラボ間の通信を設定する
- Azure Lab Services コミュニティ サイトでフィードバックを提供するか、新機能を要求する
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示