高度なネットワークを使用してラボプランを仮想ネットワークに接続する

2024-06-17

重要

Azure Lab Services は 2027 年 6 月 28 日に廃止されます。詳細については、廃止ガイドを参照してください。

この記事では、Azure Lab Services の高度なネットワークを使用して、ラボプランを仮想ネットワークに接続する方法について説明します。高度なネットワークを使用すると、ラボの仮想ネットワーク構成をより詳細に制御できます。たとえば、ライセンスサーバーなどのオンプレミスリソースに接続したり、ユーザー定義ルート (UDR) を使用したりします。高度なネットワークでサポートされているネットワークシナリオとトポロジの詳細について説明します。

ラボプランの高度なネットワークは、ラボアカウントで使用される Azure Lab Services 仮想ネットワークピアリングに代わるものです。

ラボプランの高度なネットワークを構成するには、次の手順に従います。

仮想ネットワークサブネットを Azure Lab Services ラボプランに委任します。委任により、Azure Lab Services は、ラボテンプレートとラボ仮想マシンを仮想ネットワーク内に作成できます。
ラボテンプレート仮想マシンとラボ仮想マシンへの RDP または SSH 受信トラフィックを許可するようにネットワークセキュリティグループを構成します。
高度なネットワークを使用してラボプランを作成し、それを仮想ネットワークサブネットに関連付けます。
(任意) 仮想ネットワークを構成します。

高度なネットワークは、ラボプランの作成時にのみ有効にすることができます。高度なネットワークは、後で更新できる設定ではありません。

次の図は、Azure Lab Services の高度なネットワーク構成の概要を示しています。ラボテンプレートとラボ仮想マシンにはサブネット内の IP アドレスが割り当てられ、ネットワークセキュリティグループを使用すると、ラボユーザーは RDP または SSH を使用してラボ VM に接続できます。

Azure Lab Services の高度なネットワーク構成の概要を示す図。

メモ

子供のインターネット保護法 (CIPA) に準拠するためなど、組織でコンテンツのフィルター処理を実行する必要がある場合は、サードパーティ製ソフトウェアを使用する必要があります。詳細については、サポートされているネットワークシナリオでのコンテンツフィルタリングに関するガイダンスを参照してください。

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。無料でアカウントを作成できます。
仮想ネットワークでは、Azure アカウントは、ネットワーク共同作成者ロール、またはこのロールの親です。
ラボプランを作成する場所と同じ Azure リージョン内の Azure 仮想ネットワークとサブネット。仮想ネットワークとサブネットの作成方法を参照してください。
サブネットには、ラボプラン内のすべてのラボ (各ラボで 512 個の IP アドレスを使用) 用のテンプレート VM とラボ VM に十分な空き IP アドレスがあります。

1.仮想ネットワークサブネットを委任する

Azure Lab Services の高度なネットワークに仮想ネットワークサブネットを使用するには、Azure Lab Services ラボプランにサブネットを委任する必要があります。サブネットの委任では、Azure Lab Services に明示的なアクセス許可が付与され、サブネット内にラボ仮想マシンなどのサービス固有のリソースが作成されます。

1 つのサブネットで使用するために、一度に委任できるラボプランは 1 つだけです。

ラボプランで使用するサブネットを委任するには、次の手順に従います。

Azure portal にサインインします。
仮想ネットワークに移動し、[サブネット] を選択します。
Azure Lab Services に委任する専用サブネットを選択します。

重要

Azure Lab Services に使用するサブネットが、VNET ゲートウェイまたは Azure Bastion にすでに使用されていてはいけません。
[サブネットをサービスに委任する] で、Microsoft.LabServices/labplans を選択し、[保存] を選択します。
サブネットの [委任先] 列に Microsoft.LabServices/labplans が表示されていることを確認します。

2.ネットワークセキュリティグループを構成する

ラボプランを仮想ネットワークに接続する場合は、ユーザーのコンピューターからテンプレート仮想マシンとラボ仮想マシンへの RDP/SSH 受信トラフィックを許可するようにネットワークセキュリティグループ (NSG) を構成する必要があります。 NSG には、トラフィックの方向、プロトコル、ソースアドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。

NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。 NSG の変更が有効になるまでに最大 10 分かかる場合があります。

重要

ネットワークセキュリティグループを構成しない場合、RDP または SSH 経由でラボテンプレート VM とラボ VM にアクセスすることはできません。

高度なネットワークのネットワークセキュリティグループの構成は、次の 2 つの手順で構成されます。

RDP/SSH トラフィックを許可するネットワークセキュリティグループを作成する
ネットワークセキュリティグループを仮想ネットワークのサブネットに関連付ける

NSG を使用して、仮想ネットワーク内の 1 つまたは複数の仮想マシン (VM)、ロールインスタンス、ネットワークアダプター (NIC)、またはサブネットに対するトラフィックを制御できます。 NSG には、トラフィックの方向、プロトコル、ソースアドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。 NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。

NSG の詳細については、「NSG の概要」を参照してください。

トラフィックを許可するネットワークセキュリティグループを作成する

NSG を作成し、RDP または SSH 受信トラフィックを許可するには、次の手順に従います。

まだネットワークセキュリティグループがない場合は、次の手順に従ってネットワークセキュリティグループ (NSG) を作成します。

仮想ネットワークおよびラボプランと同じ Azure リージョンにネットワークセキュリティグループを作成してください。

RDP と SSH トラフィックを許可する受信セキュリティ規則を作成します。

Azure portal でネットワークセキュリティグループに移動します。
[受信セキュリティ規則] を選択し、[追加] を選択します。

新しい受信セキュリティ規則の詳細を入力します。

設定	値
ソース	[すべて] を選択します。
ソースポート範囲	「*」と入力します。
宛先	[IP アドレス] を選択します。
宛先 IP アドレス/CIDR 範囲	仮想ネットワークサブネットの範囲を選択します。
サービス	[カスタム] を選択します。
宛先ポート範囲	「22, 3389」と入力します。ポート 22 は Secure Shell プロトコル (SSH) 用です。ポート 3389 はリモートデスクトッププロトコル (RDP) 用です。
プロトコル	[すべて] を選択します。
操作	[許可] を選択します。
優先順位	「1000」と入力します。優先順位は、RDP または SSH の他の拒否規則よりも高くする必要があります。
名前	「AllowRdpSshForLabs」と入力します。

[追加] を選択して、NSG に受信セキュリティ規則を追加します。

サブネットとネットワークセキュリティグループを関連付ける

次に、NSG を仮想ネットワークサブネットに関連付けて、トラフィック規則を仮想ネットワークトラフィックに適用します。

ネットワークセキュリティグループに移動して、[サブネット] を選択します。
上部のメニューバーから [関連付け] を選択します。
[仮想ネットワーク] で、お使いの仮想ネットワークを選択します。
[サブネット] で、お使いの仮想ネットワークサブネットを選択します。
[OK] を選択して、仮想ネットワークサブネットとネットワークセキュリティグループを関連付けます。

3.高度なネットワークを使用してラボプランを作成する

サブネットとネットワークセキュリティグループを構成したので、高度なネットワークを使用してラボプランを作成できます。ラボプランで新しいラボを作成すると、Azure Lab Services によって、ラボテンプレートとラボ仮想マシンが仮想ネットワークサブネットに作成されます。

重要

ラボプランを作成するときは、高度なネットワークを構成する必要があります。後の段階で高度なネットワークを有効にすることはできません。

Azure portal で高度なネットワークを使用してラボプランを作成するには:

Azure portal にサインインします。
Azure portal の左上隅にある [リソースの作成] を選択し、ラボプランを検索します。
[ラボプランの作成] ページの [基本] タブに情報を入力します。

詳細については、「Azure Lab Services を使用してラボプランを作成する」を参照してください。
[ネットワーク] タブで、[高度なネットワークを有効にする] を選択して仮想ネットワークサブネットを構成します。
[仮想ネットワーク] で、お使いの仮想ネットワークを選択します。 [サブネット] で、お使いの仮想ネットワークサブネットを選択します。

仮想ネットワークが一覧に表示されない場合は、ラボプランが仮想ネットワークと同じ Azure リージョンにあり、サブネットを Azure Lab Services に委任していること、および Azure アカウントに必要なアクセス許可があることを確認します。
[確認して作成] を選択して、高度なネットワークを使用してラボプランを作成します。

ラボユーザーとラボマネージャーは、RDP または SSH を使用してラボ仮想マシンまたはラボテンプレート仮想マシンに接続できるようになりました。

新しいラボを作成すると、すべての仮想マシンが仮想ネットワークに作成され、サブネット範囲内の IP アドレスが割り当てられます。

4.(任意) ネットワーク構成設定を更新する

Azure Lab Services で高度なネットワークを使用する場合は、仮想ネットワークとサブネットの既定の構成設定を使用することをお勧めします。

特定のネットワークシナリオでは、ネットワーク構成の更新が必要になる場合があります。 Azure Lab Services でサポートされているネットワークアーキテクチャとトポロジ、および対応するネットワーク構成の詳細を参照してください。

高度なネットワークを使用してラボプランを作成した後で、仮想ネットワークの設定を変更できます。ただし、仮想ネットワークの DNS 設定を変更する場合は、実行中のラボ仮想マシンを再起動する必要があります。ラボ VM が停止すると、起動時に更新された DNS 設定が自動的に受信されます。

注意

高度なネットワークを構成した後は、次のネットワーク構成の変更はサポートされません。

ラボプランに関連付けられている仮想ネットワークまたはサブネットを削除する。削除すると、ラボの動作が停止します。
作成された仮想マシン (テンプレート VM またはラボ VM) がある場合に、サブネットのアドレス範囲を変更する。
パブリック IP アドレスの DNS ラベルを変更する。変更すると、ラボ VM の [接続] ボタンが動作しなくなります。
Azure Load Balancer のフロントエンド IP 構成を変更する。変更すると、ラボ VM の [接続] ボタンが動作しなくなります。
パブリック IP アドレスの FQDN を変更する。
サブネットの既定のルート (強制トンネリング) でルートテーブルを使用する。これにより、ユーザーはラボへの接続が失われます。
Azure Firewall または Azure Bastion の使用はサポートされていません。

次の方法で共有

高度なネットワークを使用してラボ プランを仮想ネットワークに接続する

前提条件

1.仮想ネットワーク サブネットを委任する

2.ネットワーク セキュリティ グループを構成する

トラフィックを許可するネットワーク セキュリティ グループを作成する

サブネットとネットワーク セキュリティ グループを関連付ける

3.高度なネットワークを使用してラボ プランを作成する