Share via

チュートリアル: 高度なネットワークを使用してラボ通信を行うラボを設定する

  • [アーティクル]

Note

この記事では、ラボ アカウントに代わり導入されたラボ プランで使用できる機能について説明します。

Azure Lab Services の高度なネットワークを使用すると、ラボ プランを使用して作成されたラボのネットワークを制御できます。 高度なネットワークを使用して、ライセンス サーバーへの接続Azure Networking のハブスポーク モデルの使用、ラボ間通信など、さまざまなシナリオを実装できます。 このチュートリアルでは、Web 開発クラスのラボ間通信を設定します。

このチュートリアルを完了すると、相互に通信できる 2 つのラボ仮想マシン (サーバー VM とクライアント VM) を備えたラボが作成されます。

Architecture diagram showing two labs that use the same subnet of a virtual network.

Azure Lab Services でサポートされているネットワーク シナリオの詳細を確認してください。

このチュートリアルでは、以下の内容を学習します。

  • リソース グループを作成する
  • 仮想ネットワークとサブネットの作成
  • サブネットを Azure Lab Services に委任する
  • ネットワーク セキュリティ グループの作成
  • ネットワーク セキュリティ グループの受信規則を更新する
  • ネットワーク セキュリティ グループを仮想ネットワークに関連付ける
  • 高度なネットワークを使用してラボ プランを作成する
  • 2 つのラボを作成する
  • テンプレート VM で ICMP を有効にする
  • 両方のラボを公開する
  • ラボ VM 間の通信をテストする

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
  • 共同作成者または所有者 Azure RBAC ロールなど、サブスクリプション内のリソースを作成および管理するためのアクセス許可を持つ Azure アカウント。

リソース グループを作成する

リソース グループとは、Web アプリ、データベース、ストレージ アカウントなどの Azure リソースのデプロイと管理に使用する論理コンテナーです。 たとえば、後から簡単な手順で一度にリソース グループ全体を削除することもできます。

次の手順では、Azure portal を使ってリソース グループを作成する方法を示します。 わかりやすくするために、このチュートリアルのすべてのリソースを同じリソース グループで作成します。

  1. Azure portal にサインインします。
  2. [リソース グループ] を選択します。
  3. 上部のメニューから、[作成] を選択します。
  4. [リソース グループの作成] ページの [基本] タブで、次の操作を行います。
    1. [サブスクリプション] で、ラボを作成するサブスクリプションを選択します。
    2. [リソース グループ] に「MyResourceGroup」と入力します。
    3. [リージョン] で、最も近いリージョンを選択します。 利用可能なリージョンの詳細については、「Azure の地域」を参照してください。 Screenshot of create new resource group page in the Azure portal.
  5. [確認および作成] を選択します。
  6. 概要を確認し、 [作成] を選択します。

仮想ネットワークとサブネットの作成

次の手順では、Azure portal を使用して、Azure Lab Services で使用できる仮想ネットワークとサブネットを作成する方法を示します。

重要

高度なネットワークで Azure Lab Services を使用する場合、仮想ネットワーク、サブネット、ラボ プラン、ラボはすべて同じリージョンに存在する必要があります。 さまざまな製品でサポートされているリージョンについては、リージョン別の Azure 製品に関するページを参照してください。

  1. 前に作成した MyResourceGroup を開きます。

  2. Azure portal の左上隅にある [作成] を選択し、「仮想ネットワーク」と検索します。

  3. 仮想ネットワーク」タイルを選択し、[作成] を選択します。 Screenshot of Virtual network tile in the Azure Marketplace.

  4. [仮想ネットワークの作成][基本] タブで、次の操作を行います。

    1. [サブスクリプション] で、リソース グループと同じサブスクリプションを選択します。
    2. [リソース グループ] で、[MyResourceGroup] を選択します。
    3. [名前] には「MyVirtualNetwork」と入力します。
    4. [リージョン] で、Azure Lab Services でもサポートされているリージョンを選択します。 サポートされているリージョンの詳細については、リージョン別の Azure Lab Services に関するページを参照してください。
    5. 次へ:[次へ: IP アドレス] を選択します。

    Screenshot of Basics tab of Create virtual network page in the Azure portal.

  5. [IP アドレス] タブで、ラボで使用されるサブネットを作成します。

    1. [サブネットの追加] を選択します。
    2. [サブネット名] に「labservices-subnet」と入力します。
    3. [サブネット アドレス範囲] に、CIDR 表記で範囲を入力します。 たとえば、10.0.1.0/24 を使用すると、251 個のラボ VM に十分な IP アドレスが与えられます。 (Azure では、サブネットごとに 5 つの IP アドレスが予約されています) VM 用のサブネットを作成するとき、利用できる IP アドレスの数を増やすには、異なる長さの CIDR プレフィックスを使用します。 たとえば、10.0.0.0/20 を使用すると、ラボ VM 用に 4000 を超える IP アドレスを割り当てられます。 サブネットの追加に関する詳細については、サブネットの追加に関するページを参照してください。
    4. [OK] を選択します。

  6. [確認および作成] を選択します。

    Screenshot of IP addresses tab of the Create virtual network page in the Azure portal.

  7. 検証に合格したら、 [作成] を選択します。

サブネットを Azure Lab Services に委任する

次に、Azure Lab Services で使用するサブネットを構成します。 Azure Lab Services でサブネットを使用するには、サブネットをサービスに委任する必要があります。

  1. MyVirtualNetwork リソースを開きます。
  2. 左側のメニューの [サブネット] 項目を選びます。
  3. labservices-subnet サブネットを選択します。
  4. [サブネットの委任] セクションのサブネットをサービスに委任の設定で、[Microsoft.LabServices/labplans] を選択します。
  5. [保存] を選択します。

Screenshot of subnet information windows. Subnet delegation property is highlighted.

ネットワーク セキュリティ グループの作成

NSG を使用して、仮想ネットワーク内の 1 つまたは複数の仮想マシン (VM)、ロール インスタンス、ネットワーク アダプター (NIC)、またはサブネットに対するトラフィックを制御できます。 NSG には、トラフィックの方向、プロトコル、ソース アドレスとポート、および送信先アドレスとポートに基づいて、トラフィックを許可または拒否するアクセス制御ルールが含まれています。 NSG のルールは、いつでも変更でき、変更は関連付けられているすべてのインスタンスに適用されます。

NSG の詳細については、「 what is an NSG (NSG の概要)」を参照してください。

Azure Lab Services で高度なネットワークを使用する場合は、NSG が必要です。

NSG を作成するには、次の手順を実行します。

  1. Azure portal の左上隅にある [リソースの作成] を選択し、「ネットワーク セキュリティ グループ」と検索します。 Screenshot of Azure Marketplace with virtual network security group tile.
  2. [ネットワーク セキュリティ グループ] タイルを選択し、[作成] を選択します。
  3. [ネットワーク セキュリティ グループの作成][基本] タブで、次の操作を行います。
    1. [サブスクリプション] で、これまで使用していた同じサブスクリプションを選択します。
    2. [リソース グループ] で、[MyResourceGroup] を選択します。
    3. [名前] に「MyNsg」と入力します。
    4. [リージョン] で、以前に作成した MyVirtualNetwork と同じリージョンを選択します。
    5. [確認および作成] を選択します。 Screenshot of the Basics tab of the Create Network security group page in the Azure portal.
  4. 検証に合格した場合は、[作成] を選択します。

ネットワーク セキュリティ グループの受信規則を更新する

ラボ ユーザーがリモート デスクトップを使用してラボ VM に接続できるようにするには、この種類のトラフィックを許可するセキュリティ規則を作成する必要があります。 Linux を使用する場合、SSH の規則を調整する必要があります。

前に作成したサブネットについて、RDP トラフィックと SSH トラフィックの両方を許可するルールを作成するには、次のようにします。

  1. MyNsg を開きます。

  2. 左側のメニューで [受信セキュリティ規則] を選択します。

  3. 上部メニュー バーから [追加] を選択します。 受信セキュリティ規則を追加するための詳細を次のように入力します。

    1. [ソース][すべて] を選択します。
    2. [ソース ポート範囲]* を選択します。
    3. [宛先][IP アドレス] を選択します。
    4. [宛先 IP アドレス/CIDR 範囲] で、前に作成した labservices-subnet のサブネット範囲を選択します。
    5. [サービス] で、[カスタム] を選択します。
    6. [宛先ポート範囲] に「22, 3389」と入力します。 ポート 22 は Secure Shell プロトコル (SSH) 用です。 ポート 3389 はリモート デスクトップ プロトコル (RDP) 用です。
    7. [プロトコル][すべて] を選択します。
    8. [アクション] で、 [許可] を選択します。
    9. [優先度][1000] を選択します。 優先順位は、RDP または SSH の他の拒否規則よりも高くする必要があります。
    10. [名前] に「AllowRdpSshForLabs」と入力します。
    11. [追加] を選択します。

    Screenshot of Add inbound rule window for Network security group.

  4. 規則が作成されるまで待ちます。

  5. メニュー バーの [最新の情報に更新] を選択します。 新しいルールがルールの一覧に表示されます。

ネットワーク セキュリティ グループを仮想ネットワークに関連付ける

これで、ラボ VM が仮想ネットワークに接続できるようにするための受信セキュリティ規則が与えられた NSG が作成されました。

先ほど作成した仮想ネットワークに NSG を関連付けるには、次のようにします。

  1. MyVirtualNetwork を開きます。
  2. 左側のメニューの [サブネット] を選びます。
  3. 上部のメニュー バーから [関連付け] を選択します。
  4. [サブネットの関連付け] ページで、次の操作を行います。
    1. [仮想ネットワーク][myVirtualNetwork] を選択します。
    2. [サブネット][labservices-subnet] を選択します。
    3. [OK] を選択します。

Screenshot of Associate subnet page in the Azure portal.

警告

ネットワーク セキュリティ グループをサブネットに接続する手順は必須です。 サブネットにネットワーク セキュリティ グループが関連付けられていない場合、ラボ利用者はラボ VM に接続できません。

高度なネットワークを使用してラボ プランを作成する

仮想ネットワークが作成され、構成されたので、ラボ 計画を作成できます。

  1. Azure Portal の左上隅にある [リソースの作成] を選択します。

  2. ラボ プランを検索します。

  3. [ラボ プラン] タイルで、[作成]ドロップダウンを選択し、[ラボ プラン] を選択します。

    All Services -> Lab Services

  4. [ラボ プランの作成] ページの [Basics](基本) タブで、次の操作を行います。

    1. [Azure サブスクリプション] で、前に使用したサブスクリプションを選択します。
    2. [リソース グループ] で、既存のリソース グループを選択するか、[新規作成] を選択し、新しいリソース グループの名前を入力します。
    3. [名前] にラボ プラン名を入力します。 名前付けの制限の詳細については、「Microsoft.LabServices リソース名ルール」を参照してください。
    4. [リージョン] で、ラボ プランの作成先となるリージョン (場所) を選択します。

    Screenshot of the basics page for lab plan creation.

  5. [次へ: ネットワーク] を選択します。

  6. [ネットワーク] タブで、次の操作を行います。

    1. [高度なネットワークを有効にする] を選択します。
    2. [仮想ネットワーク][myVirtualNetwork] を選択します。
    3. [サブネット] で、[labservices-subnet] を選択します。
    4. [確認および作成] を選択します。

    Screenshot of the networking page for lab plan creation.

  7. 検証が成功したら、[作成] を選択します。 Review + create -> Create

Note

高度なネットワークは、ラボ プランの作成時にのみ有効にすることができます。 高度なネットワークを後で追加することはできません。

2 つのラボを作成する

次に、高度なネットワークを使用する 2 つのラボを作成しましょう。 これらのラボでは、Azure Lab Services に関連付けられている labservices-subnet を使用します。 MyLabPlan を使用して作成されたすべてのラボ VM は互いに通信できます。 通信は、NSG やファイアウォールなどを利用して制限できます。

次の手順で両方のラボを作成します。 サーバー VM とクライアント VM にこの手順を繰り返します。

  1. Azure Lab Services Web サイト https://labs.azure.com に移動します。

  2. [サインイン] を選択して、資格情報を入力します。 Azure Lab Services では、組織アカウントと Microsoft アカウントがサポートされています。

  3. メニュー バーのドロップダウンから MyResourceGroup を選択します。

  4. [New lab](新しいラボ) を選択します。

    Screenshot of Azure Lab Services portal. New lab button is highlighted.

  5. [New Lab](新しいラボ) ウィンドウで、次のようにします。

    1. 名前を指定します。 名前は簡単に識別できる必要があります。 サーバー VM のラボに MyServerLab を使用し、クライアント VM のラボに MyClientLab を使用します。 名前付けの制限の詳細については、「Microsoft.LabServices リソース名ルール」を参照してください。
    2. 仮想マシン イメージを選択します。 このチュートリアルでは、Windows 11 Pro を使用しますが、必要に応じて別の使用可能なイメージを選択できます。 仮想マシン イメージの有効化について詳しくは、「ラボ作成者が利用できる Marketplace イメージを指定する」をご覧ください。
    3. [サイズ] で、[中] を選択します。
    4. [リージョン] にはリージョンが 1 つだけ指定されます。 ラボで高度なネットワークを使用する場合、ラボは関連付けられているサブネットと同じリージョンに存在する必要があります。
    5. [次へ] を選択します。

    Screenshot of the New lab window for Azure Lab Services.

  6. [Virtual machine credentials](仮想マシンの資格情報) ページで、ラボ内のすべての VM 用の既定の管理者資格情報を指定します。 管理者の名前パスワードを指定します。 既定では、すべてのラボ VM に、ここで指定されたものと同じパスワードが与えられます。 [次へ] を選択します。

    Screenshot that shows the Virtual machine credentials window when creating a new Azure Lab Services lab.

    重要

    ユーザー名とパスワードはメモしておいてください。 これらは再表示されません。

  7. [ラボ ポリシー] ページで、既定の選択のままにして、[次へ] を選択します。

  8. [テンプレート仮想マシンの設定] ウィンドウで、 [テンプレート仮想マシンの作成] を選択したままにします。 完了を選択します。

    Screenshot of the Template virtual machine settings windows when creating a new Azure Lab Services lab.

  9. テンプレート VM の作成の状態を示す次の画面が表示されます。

    Screenshot of status of the template VM creation.

  10. テンプレート VM が作成されるまで待ちます。

ラボ テンプレートで ICMP を有効にする

ラボを作成したら、ラボ VM 間の通信をテストするために ICMP (ping) を有効にします。 まず、両方のラボに対してテンプレート VM で ICMP を有効にします。 テンプレート VM で ICMP を有効にすると、ラボ VM でもそれが有効になります。 ラボを公開すると、ラボ VM は互いに ping できるようになります。

ICMP を有効にするには、各ラボのテンプレート VM ごとに次の手順を実行します。

  1. ラボの [テンプレート] ページで、テンプレート VM を起動して接続します。

    1. [テンプレートの開始] を選択します。

    Screenshot of Azure Lab Services template page. The Start template menu button is highlighted.

    Note

    テンプレート VM は、実行時にコストが発生するため、実行しておく必要がない場合はテンプレート VM がシャットダウンされるようにしてください。

    1. テンプレートが開始されたら、[テンプレートに接続] を選択します。

    Screenshot of Azure Lab Services template page. The Connect to template menu button is highlighted.

テンプレート VM にログインしたので、ICMP を許可するよう、VM でファイアウォール規則を変更します。 Windows 11 を使用しているため、PowerShell と Enable-NetFilewallRule コマンドレットを使用できます。 PowerShell ウィンドウを開くには、以下の手順を実行します。

  1. [スタート] ボタンを選択します。
  2. 「PowerShell」と入力します。
  3. [Windows PowerShell] アプリを選択します。

次のコードを実行します。

Enable-NetFirewallRule -Name CoreNet-Diag-ICMP4-EchoRequest-In
Enable-NetFirewallRule -Name CoreNet-Diag-ICMP4-EchoRequest-Out

ラボの [テンプレート] ページで、[停止] を選択してテンプレート VM を停止します。

両方のラボを公開する

このステップでは、ラボを公開します。 テンプレート VM を発行すると、Azure Lab Services によって、そのテンプレートを使用してラボ内に VM が作成されます。 すべての仮想マシンの構成は、テンプレートと同じになります。

  1. [テンプレート] ページで、[公開] を選択します。

    Screenshot of Azure Lab Services template page. The Publish menu button is highlighted.

  2. ラボに必要なマシンの数を入力し、[公開] を選択します。

    Screenshot of confirmation window for publish action of Azure.

    警告

    公開は元に戻すことができない操作です。 この操作を元に戻すことはできません。

  3. ページには、テンプレートの公開の状態が表示されます。 発行が完了するまで待機します。

ラボ VM 間の通信をテストする

このセクションでは、異なるラボにある 2 つのラボ仮想マシンが互いに通信できることを確認します。

まず、各ラボからラボ VM を起動し、接続します。 各ラボについて次の手順を実行します。

  1. Azure Lab Services Web サイトでラボを開きます。

  2. 左側のメニューで [仮想マシン プール] を選択します。

  3. 仮想マシン プールに一覧表示されている VM を 1 つ選択します。

  4. その VM のプライベート IP アドレスを書き留めます。 サーバー ラボとクライアント ラボの両方の VM のプライベート IP アドレスが後で必要になります。

  5. [状態] スライダーを選択して、状態を [停止済み] から [開始中] に変更します。

    Note

    ラボ教師がラボ VM を起動しても、ラボ ユーザーのクォータは影響を受けません。 ユーザーのクォータによって指定されるのは、スケジュールされたクラス時間外にラボ ユーザーが使用できるラボ時間数です。 クォータの詳細については、「ユーザーのクォータを設定する」を参照してください。

  6. [状態][実行中] になったら、実行中の VM の接続アイコンを選択します。 ダウンロードした RDP ファイルを開いて VM に接続します。 異なるオペレーティング システムでの接続エクスペリエンスの詳細については、「ラボ VM に接続する」を参照してください。

Screen shot of virtual machine pool page for Azure Lab Services lab.

次に、ping ユーティリティを使用してラボ間の通信をテストします。 サーバー ラボのラボ VM から、コマンド プロンプトを開きます。 ping {ip-address} を使用してください。 {ip-address} は、前に書き留めておいたクライアント VM のプライベート IP アドレスです。 このテストは、クライアント ラボの VM からサーバー ラボ内のラボ VM に実行することもできます。

Screen shot command window with the ping command executed.

完了したら、各ラボの [仮想マシン プール] ページに移動し、ラボ VM を選択してから [状態] スライダーを選択してラボ VM を停止します。

リソースをクリーンアップする

今後このアプリケーションを使う予定がなければ、次の手順を使用して、仮想ネットワーク、ネットワーク セキュリティ グループ、ラボ プランを削除します。

  1. Azure portal で、削除するリソース グループを選択します。
  2. [リソース グループの削除] を選択します。
  3. 削除を確認するには、リソース グループの名前を入力します。

トラブルシューティング

You are not authorized to access this resource でラボの作成が失敗する

新しいラボ計画を作成するときに、アクセス許可がラボ レベルに反映されるまで数分かかる場合があります。 この動作を防ぐために、リソース グループ レベルでラボ作成者ロールを割り当てることができます。

  1. Azure portal でラボ プランを含むリソース グループに移動します。
  2. 左側のナビゲーションから [アクセス制御 (IAM)] を選択します。
  3. [追加]>[ロール割り当ての追加] の順に選択します。
  4. ラボ作成者ロールをユーザー アカウントに割り当てます。

次のステップ

ラボにラボ ユーザーを追加する