Omówienie architektury usługi Microsoft Dev Box
Z tego artykułu dowiesz się więcej o architekturze i kluczowych pojęciach dotyczących usługi Microsoft Dev Box. Usługa Microsoft Dev Box zapewnia deweloperom samoobsługowy dostęp do wstępnie skonfigurowanych i gotowych do kodu stacji roboczych opartych na chmurze. Usługę można skonfigurować tak, aby spełniała strukturę zespołu deweloperów i projektu oraz zarządzać ustawieniami zabezpieczeń i sieci w celu bezpiecznego uzyskiwania dostępu do zasobów.
Usługa Microsoft Dev Box opiera się na tych samych podstawach co środowiska wdrażania platformy Azure. Środowiska wdrażania udostępniają deweloperom wstępnie skonfigurowane środowiska oparte na chmurze na potrzeby tworzenia aplikacji. Obie usługi uzupełniają się i współdzielą pewne składniki architektury, takie jak centrum deweloperskie lub projekt.
Jak działa usługa Microsoft Dev Box?
Zanim deweloperzy będą mogli tworzyć pola deweloperskie w portalu deweloperów, należy skonfigurować centrum deweloperskie i projekt w usłudze Microsoft Dev Box. Na poniższym diagramie przedstawiono omówienie relacji między różnymi składnikami w usłudze Microsoft Dev Box.
Centrum deweloperów to zasób najwyższego poziomu dla usługi Microsoft Dev Box. Centrum deweloperskie zawiera kolekcję projektów i udostępnione zasoby dla tych projektów, takie jak definicje pól deweloperskich i połączenia sieciowe. Nie ma limitu liczby centrów deweloperskich, które można utworzyć, ale większość organizacji potrzebuje tylko jednego.
Projekt usługi Dev Box to punkt dostępu dla zespołów programistycznych. Do projektu przypisujesz deweloperowi rolę Użytkownika usługi Dev Box, aby przyznać deweloperowi uprawnienia do tworzenia pól deweloperskich. W centrum deweloperów można utworzyć co najmniej jeden projekt.
Definicja pola deweloperskiego określa konfigurację pól deweloperskich, takich jak obraz maszyny wirtualnej i zasoby obliczeniowe dla pola deweloperskiego. Możesz wybrać obraz maszyny wirtualnej z witryny Azure Marketplace lub użyć galerii obliczeniowej platformy Azure, aby użyć niestandardowych obrazów maszyn wirtualnych.
Projekt zawiera kolekcję pul pól deweloperskich. Pula pól deweloperskich określa konfigurację dla pól deweloperskich, takich jak definicja pola deweloperskiego, połączenie sieciowe i inne ustawienia. Wszystkie pola deweloperskie utworzone na podstawie puli usługi Dev Box współużytkują tę samą konfigurację.
Połączenie sieciowe skojarzone z pulą usługi Dev Box określa, gdzie jest hostowane pole deweloperskie. Możesz użyć połączenia sieciowego hostowanego przez firmę Microsoft lub połączyć się z własną siecią platformy Azure. Możesz użyć połączenia sieciowego platformy Azure, jeśli potrzebujesz kontroli nad siecią wirtualną, jeśli potrzebujesz dostępu do zasobów firmowych lub uwierzytelnić się w polu deweloperskim przy użyciu konta usługi Active Directory.
Deweloperzy mogą utworzyć pole deweloperskie z puli usługi Dev Box przy użyciu portalu dla deweloperów. Mogą wybrać jedną pulę na podstawie obrazu maszyny wirtualnej, zasobów obliczeniowych lub lokalizacji, w której jest hostowane pole deweloperskie.
Po uruchomieniu pola deweloperskiego użytkownicy usługi Dev Box mogą zdalnie łączyć się z nim przy użyciu klienta pulpitu zdalnego, takiego jak aplikacja systemu Windows, lub bezpośrednio z przeglądarki. Użytkownicy usługi Dev Box mają pełną kontrolę nad utworzonymi przez siebie polami deweloperskimi i mogą nimi zarządzać w portalu deweloperów.
Architektura usługi Microsoft Dev Box
Hostowany w imieniu architektury umożliwia usługi firmy Microsoft, po delegowaniu odpowiednich i o określonym zakresie uprawnień do sieci wirtualnej przez właściciela subskrypcji, dołączanie hostowanych usług platformy Azure do subskrypcji klienta. Ten model łączności umożliwia usłudze firmy Microsoft dostarczanie licencjonowanych usług oprogramowania jako usługi i użytkowników, w przeciwieństwie do standardowych usług opartych na użyciu.
Usługa Microsoft Dev Box używa hostowanej architektury w imieniu , co oznacza, że pola deweloperskie istnieją w subskrypcji należącej do firmy Microsoft. W związku z tym firma Microsoft ponosi koszty związane z uruchamianiem tej infrastruktury i zarządzaniem nią. Pola deweloperskie są wdrażane w subskrypcji zarządzanej przez firmę Microsoft i połączone z siecią wirtualną klienta.
Usługa Microsoft Dev Box zarządza pojemnością i dostępnością w regionie w subskrypcjach usługi Microsoft Dev Box. Usługa Microsoft Dev Box określa region świadczenia usługi Azure do hostowania pól deweloperskich na podstawie połączenia sieciowego wybranego podczas tworzenia puli pól deweloperskich.
Aby chronić dane, usługa Microsoft Dev Box domyślnie szyfruje dysk przy użyciu klucza zarządzanego przez platformę. Nie musisz włączać funkcji BitLocker i w ten sposób uniemożliwić dostęp do pola deweloperskiego.
Aby uzyskać więcej informacji na temat magazynu i ochrony danych w usługach platformy Azure, zobacz: Ochrona danych klientów platformy Azure.
W przypadku połączenia sieciowego można również wybrać połączenie sieciowe hostowane przez firmę Microsoft i połączenie sieciowe platformy Azure utworzone we własnej subskrypcji.
Na poniższych diagramach przedstawiono logiczną architekturę usługi Microsoft Dev Box.
Łączność sieciowa
Połączenia sieciowe kontrolują miejsce tworzenia i hostowania pól deweloperskich oraz umożliwiają łączenie się z innymi zasobami platformy Azure lub firmowymi. W zależności od poziomu kontroli można używać połączeń sieciowych hostowanych przez firmę Microsoft lub korzystać z własnych połączeń sieciowych platformy Azure.
Połączenia sieciowe hostowane przez firmę Microsoft zapewniają łączność sieciową w modelu SaaS. Firma Microsoft zarządza infrastrukturą sieci i powiązanymi usługami dla pól deweloperskich. Sieci hostowane przez firmę Microsoft to wdrożenie tylko w chmurze z obsługą dołączenia do firmy Microsoft Entra. Ta opcja nie jest zgodna z modelem dołączania hybrydowego firmy Microsoft Entra.
Możesz również użyć połączeń sieciowych platformy Azure (przynieś własną sieć), aby połączyć się z sieciami wirtualnymi platformy Azure i opcjonalnie połączyć się z zasobami firmowymi. Za pomocą połączeń sieciowych platformy Azure można zarządzać całą konfiguracją i konfiguracją sieci oraz zarządzać nią. Możesz użyć opcji dołączania hybrydowego firmy Microsoft lub dołączania hybrydowego firmy Microsoft Entra z połączeniami sieciowymi platformy Azure, umożliwiając łączenie się z lokalnymi usługami Azure domena usługi Active Directory Services.
Jeśli używasz własnej sieci wirtualnej platformy Azure, usługa Microsoft Dev Box umożliwia korzystanie z funkcji zabezpieczeń i routingu sieci wirtualnej, w tym:
- Sieciowe grupy zabezpieczeń platformy Azure
- Routing zdefiniowany przez użytkownika
- Azure Firewall
- Sieciowe urządzenia wirtualne (NVA)
W usłudze Microsoft Dev Box w projekcie skojarzysz połączenie sieciowe z pulą deweloperów. Wszystkie pola deweloperskie utworzone w tej puli usługi Dev Box są hostowane w regionie świadczenia usługi Azure połączenia sieciowego. Jeśli używasz połączeń sieciowych platformy Azure, najpierw dodasz połączenia sieciowe do centrum deweloperskiego, a następnie skojarzysz połączenie z pulą usługi Dev Box.
Aby określić najlepszy region do hostowania pól deweloperskich, możesz zezwolić użytkownikom deweloperów na korzystanie z narzędzia do szacowania środowiska usługi Azure Virtual Desktop w celu oszacowania czasu rundy połączenia z ich lokalizacji. Następnie można skonfigurować pulę deweloperów i połączenie sieciowe, aby zoptymalizować opóźnienie dla deweloperów w tym regionie geograficznym.
Integracja z usługą Microsoft Intune
Usługa Microsoft Intune służy do zarządzania skrzynkami deweloperskimi. Każdy użytkownik usługi Dev Box potrzebuje jednej licencji usługi Microsoft Intune i może utworzyć wiele pól deweloperskich. Po aprowizacji urządzenia deweloperskiego możesz zarządzać nim tak jak każde inne urządzenie z systemem Windows w usłudze Microsoft Intune. Możesz na przykład utworzyć profile konfiguracji urządzeń, aby włączyć i wyłączyć różne ustawienia w systemie Windows lub wypychać aplikacje i aktualizacje do pól deweloperskich użytkowników.
Usługa Microsoft Intune i skojarzone składniki systemu Windows mają różne punkty końcowe sieci, które muszą być dozwolone za pośrednictwem sieci wirtualnej. Punkty końcowe firmy Apple i Android można bezpiecznie zignorować, jeśli nie używasz usługi Microsoft Intune do zarządzania tymi typami urządzeń.
Usługi zarządzania tożsamościami
Usługa Microsoft Dev Box używa identyfikatora Entra firmy Microsoft i, opcjonalnie, lokalna usługa Active Directory Domain Services (AD DS). Identyfikator entra firmy Microsoft udostępnia:
- Uwierzytelnianie użytkowników w portalu deweloperów usługi Microsoft Dev Box.
- Usługi tożsamości urządzeń dla usługi Microsoft Intune za pośrednictwem dołączania hybrydowego firmy Microsoft entra lub dołączania do firmy Microsoft Entra.
Podczas konfigurowania pól deweloperskich do korzystania z dołączania hybrydowego firmy Microsoft usługa AD DS zapewnia:
- Przyłącz do domeny lokalnej dla pól deweloperskich.
- Uwierzytelnianie użytkownika dla połączeń protokołu RDP (Remote Desktop Protocol).
Podczas konfigurowania pól deweloperskich do korzystania z dołączania do firmy Microsoft entra identyfikator firmy Microsoft udostępnia następujące informacje:
- Mechanizm przyłączania do domeny dla pól deweloperskich.
- Uwierzytelnianie użytkownika dla połączeń RDP.
Uwaga
Usługa Microsoft Dev Box obsługuje konta służbowe. Nie obsługuje ona korzystania z kont gości ani kont osobistych.
Łączność użytkownika
Gdy jest uruchomione pole deweloperskie, deweloperzy mogą łączyć się z urządzeniem deweloperskim przy użyciu klienta pulpitu zdalnego, takiego jak aplikacja systemu Windows, lub bezpośrednio z poziomu przeglądarki.
Łączność usługi Dev Box jest dostarczana przez usługę Azure Virtual Desktop. Do pola deweloperskiego nie są wykonywane żadne połączenia przychodzące bezpośrednio z Internetu. Zamiast tego są wykonywane następujące połączenia:
- Z pola deweloperskiego do punktów końcowych usługi Azure Virtual Desktop
- Z klientów pulpitu zdalnego do punktów końcowych usługi Azure Virtual Desktop.
Aby uzyskać więcej informacji na temat tych punktów końcowych, zobacz Lista wymaganych adresów URL usługi Azure Virtual Desktop. Aby ułatwić konfigurację mechanizmów kontroli zabezpieczeń sieci, użyj tagów usług dla usługi Azure Virtual Desktop, aby zidentyfikować te punkty końcowe. Aby uzyskać więcej informacji na temat tagów usługi platformy Azure, zobacz Omówienie tagów usługi platformy Azure.
Nie ma potrzeby konfigurowania pól deweloperskich w celu nawiązywania tych połączeń. Usługa Microsoft Dev Box bezproblemowo integruje składniki łączności usługi Azure Virtual Desktop z galerią lub obrazami niestandardowymi.
Aby uzyskać więcej informacji na temat architektury sieci usługi Azure Virtual Desktop, zobacz Omówienie łączności sieciowej usługi Azure Virtual Desktop.
Usługa Microsoft Dev Box nie obsługuje brokerów połączeń innych firm.