Delen via

Referentiearchitectuur voor DevTest Labs-ondernemingen

  • Artikel

Dit artikel bevat een referentiearchitectuur voor het implementeren van Azure DevTest Labs in een onderneming. De architectuur bevat de volgende belangrijke elementen:

  • On-premises connectiviteit via Azure ExpressRoute
  • Een extern bureaublad-gateway om u op afstand aan te melden bij virtuele machines (VM's)
  • Verbinding maken iviteit van een opslagplaats voor privéartefacten
  • Andere PaaS-onderdelen (Platform-as-a-Service) die labs gebruiken

Architectuur

In het volgende diagram ziet u een typische Implementatie van DevTest Labs voor ondernemingen. Deze architectuur verbindt verschillende labs in verschillende Azure-abonnementen met het on-premises netwerk van een bedrijf.

Diagram that shows a reference architecture for an enterprise DevTest Labs deployment.

DevTest Labs-onderdelen

Met DevTest Labs kunnen ondernemingen eenvoudig en snel toegang krijgen tot Azure-resources. Elk lab bevat SaaS-resources (Software-as-a-Service), Infrastructure-as-a-Service (IaaS) en PaaS-resources. Labgebruikers kunnen VM's, PaaS-omgevingen en VM-artefacten maken en configureren.

In het voorgaande diagram toont Team Lab 1 in Azure Subscription 1 een voorbeeld van Azure-onderdelen die labs kunnen openen en gebruiken. Zie Over DevTest Labs voor meer informatie.

Verbinding maken iviteitsonderdelen

U hebt on-premises connectiviteit nodig als uw labs toegang moeten hebben tot on-premises bedrijfsbronnen. Veelvoorkomende scenario's zijn:

  • Sommige on-premises gegevens kunnen niet naar de cloud worden verplaatst.
  • U wilt lab-VM's toevoegen aan een on-premises domein.
  • U wilt al het cloudnetwerkverkeer afdwingen via een on-premises firewall om beveiligings- of nalevingsredenen.

Deze architectuur maakt gebruik van ExpressRoute voor connectiviteit met het on-premises netwerk. U kunt ook een site-naar-site-VPN gebruiken.

On-premises maakt een extern bureaublad-gateway uitgaande RDP-verbindingen (Remote Desktop Protocol) met DevTest Labs mogelijk. Bedrijfsfirewalls blokkeren meestal uitgaande verbindingen bij de bedrijfsfirewall. Als u connectiviteit wilt inschakelen, kunt u het volgende doen:

  • Gebruik een extern bureaubladgateway en sta het statische IP-adres van de gateway load balancer toe.
  • Gebruik geforceerde tunneling om alle RDP-verkeer terug te leiden via de ExpressRoute- of site-naar-site-VPN-verbinding. Geforceerde tunneling is algemene functionaliteit voor DevTest Labs-implementaties op ondernemingsniveau.

Netwerkonderdelen

In deze architectuur biedt Microsoft Entra ID identiteits- en toegangsbeheer in alle netwerken. Lab-VM's hebben meestal een lokaal beheerdersaccount voor toegang. Als er een Microsoft Entra-id, on-premises of Microsoft Entra Domain Services-domein beschikbaar is, kunt u lab-VM's toevoegen aan het domein. Gebruikers kunnen vervolgens hun domeinidentiteiten gebruiken om verbinding te maken met de VIRTUELE machines.

Azure-netwerktopologie bepaalt hoe labresources toegang krijgen tot en communiceren met on-premises netwerken en internet. Deze architectuur toont een algemene manier waarop ondernemingen DevTest Labs netwerken. De labs maken verbinding met gekoppelde virtuele netwerken in een hub-spoke-configuratie, via de ExpressRoute- of site-naar-site-VPN-verbinding, met het on-premises netwerk.

Omdat DevTest Labs rechtstreeks gebruikmaakt van Azure Virtual Network, zijn er geen beperkingen voor hoe u de netwerkinfrastructuur instelt. U kunt een netwerkbeveiligingsgroep instellen om cloudverkeer te beperken op basis van bron- en doel-IP-adressen. U kunt bijvoorbeeld alleen verkeer toestaan dat afkomstig is van het bedrijfsnetwerk in de netwerken van het lab.

Schaalbaarheidsoverwegingen

DevTest Labs heeft geen ingebouwde quota of limieten, maar andere Azure-resources die labs gebruiken, hebben quota op abonnementsniveau. In een typische bedrijfsimplementatie hebt u verschillende Azure-abonnementen nodig om een grote DevTest Labs-implementatie te dekken. Ondernemingen bereiken doorgaans de volgende quota:

  • Resourcegroepen. DevTest Labs maakt een resourcegroep voor elke nieuwe VIRTUELE machine en labgebruikers maken omgevingen in resourcegroepen. Abonnementen kunnen maximaal 980 resourcegroepen bevatten, dus dat is de limiet van VM's en omgevingen in een abonnement.

    Met twee strategieën kunt u onder de limieten van de resourcegroep blijven:

    • Alle VM's gaan in dezelfde resourcegroep. Met deze strategie kunt u voldoen aan de limiet van de resourcegroep, maar dit is van invloed op de limiet voor resourcetypen per resourcegroep.
    • Gedeelde openbare IP-adressen gebruiken. Als VM's openbare IP-adressen mogen hebben, plaatst u alle VM's met dezelfde grootte en regio in dezelfde resourcegroep. Deze configuratie helpt om te voldoen aan zowel resourcegroepquota als resourcetype-per-resourcegroepquota.

  • Resources per resourcegroep per resourcetype. De standaardlimiet voor resources per resourcegroep per resourcetype is 800. Als u alle VM's in dezelfde resourcegroep plaatst, wordt deze limiet veel sneller bereikt, met name als de VM's veel extra schijven hebben.

  • Opslagaccounts Elk lab in DevTest Labs wordt geleverd met een opslagaccount. Het Azure-quotum voor het aantal opslagaccounts per regio per abonnement is standaard 250 . Het maximum aantal DevTest Labs in één regio is dus ook 250. Met een quotumverhoging kunt u maximaal 500 opslagaccounts per regio maken. Zie Quota voor Azure Storage-accounts verhogen voor meer informatie.

  • Roltoewijzingen. Een roltoewijzing geeft een gebruiker of principal toegang tot een resource. Azure heeft een limiet van 2000 roltoewijzingen per abonnement.

    DevTest Labs maakt standaard een resourcegroep voor elke lab-VM. De maker van de VIRTUELE machine krijgt eigenaarsmachtigingen voor de VM en lezermachtiging voor de resourcegroep. Elke lab-VM maakt dus gebruik van twee roltoewijzingen. Het verlenen van gebruikersmachtigingen aan het lab maakt ook gebruik van roltoewijzingen.

  • API-lees-/schrijfbewerkingen. U kunt Azure en DevTest Labs automatiseren met behulp van REST API's, PowerShell, Azure CLI en Azure SDK. Elk Azure-abonnement biedt maximaal 12.000 leesaanvragen en 1.200 schrijfaanvragen per uur. Door DevTest Labs te automatiseren, bereikt u mogelijk de limiet voor API-aanvragen.

Beheerbaarheidsoverwegingen

U kunt Azure Portal gebruiken om één DevTest Labs-exemplaar tegelijk te beheren, maar ondernemingen hebben mogelijk meerdere Azure-abonnementen en veel labs die moeten worden beheerd. Voor het consistent aanbrengen van wijzigingen in alle labs is automatisering van scripts vereist.

Hier volgen enkele voorbeelden van het gebruik van scripts in DevTest Labs-implementaties:

  • Labinstellingen wijzigen. Werk een specifieke labinstelling bij in alle labs met behulp van PowerShell-scripts, Azure CLI of REST API's. Werk bijvoorbeeld alle labs bij om een nieuwe VM-instantiegrootte toe te staan.

  • Persoonlijke toegangstokens (PAW's) voor artefactopslagplaats bijwerken. PAT's voor Git-opslagplaatsen verlopen doorgaans over 90 dagen, één jaar of twee jaar. Om continuïteit te garanderen, is het belangrijk om de PAT uit te breiden. Of maak een nieuwe PAT en gebruik automatisering om deze toe te passen op alle labs.

  • Wijzigingen in labinstellingen beperken. Als u bepaalde instellingen wilt beperken, zoals het gebruik van marketplace-installatiekopieën, kunt u Azure Policy gebruiken om wijzigingen in een resourcetype te voorkomen. U kunt ook een aangepaste rol maken en gebruikers die rol verlenen in plaats van een ingebouwde labrol. U kunt wijzigingen beperken voor de meeste labinstellingen, zoals interne ondersteuning, labaankondigingen en toegestane VM-grootten.

  • Een naamconventie toepassen voor VM's. U kunt Azure Policy gebruiken om een naamgevingspatroon op te geven waarmee VM's in cloudomgevingen kunnen worden geïdentificeerd.

U beheert Azure-resources voor DevTest Labs op dezelfde manier als voor andere doeleinden. Azure Policy is bijvoorbeeld van toepassing op vm's die u in een lab maakt. Microsoft Defender voor Cloud kan rapporteren over naleving van lab-VM's. Azure Backup kan reguliere back-ups bieden voor lab-VM's.

Beveiligingsoverwegingen

DevTest Labs profiteert automatisch van ingebouwde Azure-beveiligingsfuncties. Als u wilt dat binnenkomende externe bureaubladverbindingen alleen afkomstig zijn van het bedrijfsnetwerk, kunt u een netwerkbeveiligingsgroep toevoegen aan het virtuele netwerk op de extern bureaubladgateway.

Een andere beveiligingsoverweging is het machtigingsniveau dat u aan labgebruikers verleent. Labeigenaren gebruiken op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om rollen toe te wijzen aan gebruikers en machtigingen op resource- en toegangsniveau in te stellen. De meest voorkomende DevTest Labs-machtigingen zijn Eigenaar, Inzender en Gebruiker. U kunt ook aangepaste rollen maken en toewijzen. Zie Eigenaren en gebruikers toevoegen in Azure DevTest Labs voor meer informatie.

Volgende stappen

Zie het volgende artikel in deze reeks: Een proof of concept leveren.