Ondersteunde netwerkscenario's voor labplannen in Azure Lab Services
Belangrijk
Azure Lab Services wordt op 28 juni 2027 buiten gebruik gesteld. Zie de handleiding voor buitengebruikstelling voor meer informatie.
Met geavanceerde netwerken van Azure Lab Services voor labplannen kunt u verschillende netwerkarchitecturen en topologieën implementeren. Dit artikel bevat verschillende netwerkscenario's en hun ondersteuning in Azure Lab Services.
Netwerkscenario's
De volgende tabel bevat algemene netwerkscenario's en topologieën en hun ondersteuning in Azure Lab Services.
Scenario | Ingeschakeld | DETAILS |
---|---|---|
Communicatie tussen lab's | Ja | Meer informatie over het instellen van lab-naar-lab-communicatie. Als labgebruikers meerdere virtuele machines nodig hebben, kunt u geneste virtualisatie configureren. |
Extra poorten openen voor de lab-VM | Nee | U kunt geen extra poorten op de lab-VM openen, zelfs niet met geavanceerde netwerken. |
Externe licentieserver, zoals on-premises, regio's inschakelen | Ja | Voeg een door de gebruiker gedefinieerde route (UDR) toe die verwijst naar de licentieserver. Als voor de labsoftware verbinding moet worden gemaakt met de licentieserver op basis van de naam in plaats van het IP-adres, moet u een door de klant geleverde DNS-server configureren of een vermelding toevoegen aan het hosts bestand in de labsjabloon.Als meerdere services toegang nodig hebben tot de licentieserver, deze gebruiken vanuit meerdere regio's of als de licentieserver deel uitmaakt van een andere infrastructuur, kunt u de best practice voor Hub-and-Spoke Azure-netwerken gebruiken. |
Toegang tot on-premises resources, zoals een licentieserver | Ja | U hebt toegang tot on-premises resources met de volgende opties: - Configureer Azure ExpressRoute of maak een site-naar-site-VPN-verbinding (brug de netwerken). - Voeg een openbaar IP-adres toe aan uw on-premises server met een firewall die alleen binnenkomende verbindingen van Azure Lab Services toestaat. Als u de on-premises resources van de lab-VM's wilt bereiken, voegt u bovendien een door de gebruiker gedefinieerde route (UDR) toe. |
Een hub-and-spoke-netwerkmodel gebruiken | Ja | Dit scenario werkt zoals verwacht met labplannen en geavanceerde netwerken. Een aantal configuratiewijzigingen wordt niet ondersteund met Azure Lab Services, zoals het toevoegen van een standaardroute in een routetabel. Meer informatie over de niet-ondersteunde wijzigingen in de configuratie van virtuele netwerken. |
Toegang tot lab-VM's op privé-IP-adres (alleen-privélabs) | Niet aanbevolen | Dit scenario is functioneel, maar maakt het moeilijk voor labgebruikers om verbinding te maken met hun lab-VM. Op de website van Azure Lab Services kunnen labgebruikers het privé-IP-adres van hun lab-VM niet identificeren. Bovendien wijst de verbindingsknop naar het openbare eindpunt van de lab-VM. De maker van het lab moet labgebruikers voorzien van het privé-IP-adres van hun lab-VM's. Nadat een VM opnieuw is ingesteld, kan dit privé-IP-adres worden gewijzigd. Als u dit scenario implementeert, verwijdert u niet het openbare IP-adres of de load balancer die aan het lab is gekoppeld. Als deze resources worden verwijderd, kan het lab niet worden geschaald of gepubliceerd. |
On-premises resources beveiligen met een firewall | Ja | Het plaatsen van een firewall tussen de lab-VM's en een specifieke resource wordt ondersteund. |
Plaats lab-VM's achter een firewall. Bijvoorbeeld voor inhoudsfilters, beveiliging en meer. | Nee | De gebruikelijke firewallinstallatie werkt niet met Azure Lab Services, tenzij u verbinding maakt met lab-VM's via een privé-IP-adres (zie het vorige scenario). Wanneer u de firewall instelt, wordt er een standaardroute toegevoegd aan de routetabel voor het subnet. Deze standaardroute introduceert een asymmetrisch routeringsprobleem, waardoor de RDP-/SSH-verbindingen met het lab worden verbroken. |
Bewakingssoftware van derden over de schouder gebruiken | Ja | Dit scenario wordt ondersteund met geavanceerde netwerken voor labplannen. |
Een aangepaste domeinnaam gebruiken voor labs, bijvoorbeeld lab1.labs.myuniversity.edu.au |
Nee | Dit scenario werkt niet omdat de FQDN is gedefinieerd bij het maken van het lab, op basis van het openbare IP-adres van het lab. Wijzigingen in het openbare IP-adres worden niet doorgegeven aan de knop Verbinding maken voor de sjabloon-VM of de lab-VM's. |
Schakel geforceerde tunneling in voor labs, waarbij alle communicatie met lab-VM's niet via het openbare internet gaat. Dit wordt ook wel volledig geïsoleerde labs genoemd. | Nee | Dit scenario werkt niet uit de doos. Zodra u een routetabel koppelt aan het subnet dat een standaardroute bevat, verliezen labgebruikers de verbinding met het lab. Volg de stappen voor het openen van lab-VM's op privé-IP-adres om dit scenario in te schakelen. |
Inhoudsfiltering inschakelen | Hangt | Ondersteunde scenario's voor inhoudsfilters: - Software voor het filteren van inhoud van derden op de lab-VM: 1. Labgebruikers moeten worden uitgevoerd als niet-beheerder om te voorkomen dat de software wordt verwijderd of uitgeschakeld 2. Zorg ervoor dat uitgaande aanroepen naar Azure niet worden geblokkeerd. - Filteren van inhoud op basis van DNS: filteren werkt met geavanceerde netwerken en het opgeven van de DNS-server in het subnet van het lab. U kunt een DNS-server gebruiken die inhoudsfiltering ondersteunt om op DNS gebaseerde filters uit te voeren. - Filteren op basis van proxyinhoud: filteren werkt met geavanceerde netwerken als de lab-VM's een door de klant geleverde proxyserver kunnen gebruiken die inhoudsfiltering ondersteunt. Het werkt op dezelfde manier als de op DNS gebaseerde oplossing. Niet-ondersteunde inhoudsfilters: - Netwerkapparaat (firewall): zie het scenario voor het plaatsen van lab-VM's achter een firewall. Bij het plannen van een oplossing voor inhoudsfiltering implementeert u een proof-of-concept om ervoor te zorgen dat alles naar verwachting end-to-end werkt. |
Gebruik een verbindingsbroker, zoals Parsec, voor gamingscenario's met hoge framerate | Niet aanbevolen | Dit scenario wordt niet rechtstreeks ondersteund met Azure Lab Services en ondervindt dezelfde uitdagingen als het openen van lab-VM's via een privé-IP-adres. |
Cyberveldscenario , bestaande uit een set kwetsbare VM's op het netwerk voor labgebruikers om (ethische hacking) te ontdekken en te hacken | Ja | Dit scenario werkt met geavanceerde netwerken voor labplannen. Meer informatie over het ethische hackklassetype. |
Inschakelen met behulp van Azure Bastion voor lab-VM's | Nee | Azure Bastion wordt niet ondersteund in Azure Lab Services. |
Line-of-sight instellen op domeincontroller | Niet aanbevolen | Line-of-sight van een lab naar een domeincontroller is vereist voor microsoft Entra hybrid join of AD-domeindeelname-VM's; Momenteel raden we echter niet aan dat lab-VM's zijn toegevoegd aan Microsoft Entra/geregistreerd, aan microsoft Entra hybride deelname of aan een AD-domein zijn toegevoegd vanwege productbeperkingen. |
Volgende stappen
- Een labplan verbinden met een virtueel netwerk met geavanceerde netwerken
- Zelfstudie: Lab-naar-lab-communicatie instellen
- Feedback geven of nieuwe functies aanvragen op de communitysite van Azure Lab Services