Udostępnij za pośrednictwem

Izolacja sieci w usłudze Azure DevTest Labs

Ten artykuł przeprowadzi Cię przez proces tworzenia laboratorium izolowanego przez sieć w usłudze Azure DevTest Labs.

Domyślnie usługa Azure DevTest Labs tworzy nową sieć wirtualną platformy Azure dla każdego laboratorium. Sieć wirtualna działa jako granica zabezpieczeń w celu odizolowania zasobów laboratorium od publicznego Internetu. Aby zapewnić, że zasoby laboratorium są zgodne z zasadami sieci organizacji, możesz użyć kilku innych opcji sieci:

Włącz izolację sieci

Izolację sieci można włączyć w witrynie Azure Portal tylko podczas tworzenia laboratorium. Aby przekonwertować istniejące laboratorium i skojarzone zasoby laboratorium na izolowany tryb sieciowy, użyj skryptu programu PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Podczas tworzenia laboratorium można włączyć izolację sieci dla domyślnej sieci wirtualnej laboratorium lub wybrać inną, wcześniej istniejącą sieć wirtualną do użycia w laboratorium.

Użyj domyślnej sieci wirtualnej i podsieci

Aby włączyć izolację sieci dla domyślnej sieci wirtualnej i podsieci tworzonej przez usługę DevTest Labs dla laboratorium:

  1. Podczas tworzenia labu na ekranie Tworzenie labu DevTest wybierz kartę Networking.

  2. Obok pozycji Izoluj zasoby laboratorium wybierz pozycję Tak.

  3. Zakończ tworzenie laboratorium.

    Zrzut ekranu przedstawiający włączanie izolacji sieciowej dla domyślnej sieci.

Po utworzeniu laboratorium nie jest potrzebna żadna dalsza akcja. Laboratorium zajmuje się izolowaniem zasobów od tej chwili.

Używanie innej sieci wirtualnej i podsieci

Aby użyć innej, istniejącej sieci wirtualnej dla laboratorium i włączyć izolację sieci dla tej sieci:

  1. Podczas tworzenia laboratorium, na karcie Sieć ekranu Tworzenie laboratorium DevTest Lab, wybierz sieć z listy rozwijanej. Lista zawiera tylko sieci w tym samym regionie i subskrypcji co laboratorium.

    Zrzut ekranu przedstawiający wybieranie sieci wirtualnej.

  2. Wybierz podsieć.

    Zrzut ekranu przedstawiający wybieranie podsieci.

  3. Obok pozycji Izoluj zasoby laboratorium wybierz pozycję Tak.

    Zrzut ekranu przedstawiający włączanie izolacji sieciowej dla wybranej sieci.

  4. Zakończ tworzenie laboratorium.

Konfigurowanie punktów końcowych usługi

Jeśli włączono izolację sieci dla sieci wirtualnej innej niż domyślna, wykonaj następujące kroki w celu odizolowania konta magazynu laboratorium i skarbca kluczy w wybranej sieci. Wykonaj te kroki po utworzeniu laboratorium, ale przed wykonaniem dowolnej innej konfiguracji laboratorium lub utworzeniem jakichkolwiek zasobów laboratorium.

Skonfiguruj punkt końcowy dla konta magazynu laboratorium

  1. Na stronie Przegląd laboratorium, wybierz grupę zasobów.

    Zrzut ekranu przedstawiający wybieranie grupy zasobów dla laboratorium.

  2. Na stronie Przegląd grupy zasobów wybierz konto magazynu laboratorium. Konwencja nazewnictwa konta przechowywania laboratoryjnego to a\<labName>\<4-digit number>. Jeśli na przykład nazwa laboratorium to contosolab, nazwa konta magazynu może mieć wartość acontosolab1234.

    Zrzut ekranu pokazujący wybór konta magazynowego laboratorium.

  3. Na stronie konta magazynu, z lewego menu nawigacji wybierz pozycję Sieć. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu.

    Zrzut ekranu przedstawiający zezwalanie zaufanym usługom na dostęp do grupy zasobów.

    Usługa DevTest Labs jest zaufaną usługą firmy Microsoft, dlatego wybranie tej opcji umożliwia laboratorium normalne działanie w trybie izolowanym w sieci.

  4. Wybierz pozycję Dodaj istniejącą sieć wirtualną.

    Zrzut ekranu przedstawiający okienko sieci grupy zasobów z wyróżnioną pozycją Dodaj istniejącą sieć wirtualną.

  5. W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający okienko dodawania sieci z zaznaczonymi sieciami wirtualnymi, podsieciami i Dodaj.

  6. Na stronie Sieć wybierz pozycję Zapisz.

Usługa Azure Storage umożliwia teraz połączenia przychodzące z dodanej sieci wirtualnej, co umożliwia laboratorium pomyślne działanie w trybie izolowanym sieci.

Te kroki można zautomatyzować za pomocą programu PowerShell lub interfejsu wiersza polecenia platformy Azure, aby skonfigurować izolację sieci dla wielu laboratoriów. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.

Konfigurowanie punktu końcowego dla magazynu kluczy laboratorium

  1. Na stronie Przegląd laboratorium wybierz grupę zasobów.

  2. Na stronie Przegląd grupy zasobów wybierz magazyn kluczy laboratorium.

    Zrzut ekranu przedstawiający wybór magazynu kluczy przeznaczonego dla laboratorium.

  3. Na stronie magazynu kluczy wybierz opcję Sieć z nawigacji po lewej stronie. Na karcie Zapory i sieci wirtualne upewnij się, że wybrano opcję Zezwalaj zaufanym usługi firmy Microsoft na obejście tej zapory.

    Zrzut ekranu przedstawiający zezwalanie zaufanym usługom na dostęp do magazynu kluczy.

  4. Wybierz pozycję Dodaj istniejące sieci wirtualne.

    Zrzut ekranu przedstawiający panel sieciowania magazynu kluczy z wyróżnioną opcją Dodaj istniejącą sieć wirtualną.

  5. W okienku Dodawanie sieci wybierz sieć wirtualną i podsieć wybraną podczas tworzenia laboratorium, a następnie wybierz pozycję Włącz.

    Zrzut ekranu przedstawiający włączanie wirtualnej sieci i podsieci w magazynie kluczy.

  6. Po pomyślnym włączeniu punktu końcowego usługi wybierz pozycję Dodaj.

    Zrzut ekranu pokazujący dodawanie sieci wirtualnej i podsieci w usłudze Azure Key Vault.

  7. Na stronie Sieć wybierz pozycję Zapisz.

Kwestie wymagające rozważenia

Poniżej przedstawiono kilka kwestii, które należy zapamiętać podczas korzystania z laboratorium w trybie izolowanym sieci:

Włączanie dostępu do konta magazynu spoza laboratorium

Właściciel laboratorium musi jawnie włączyć dostęp do konta magazynu laboratorium izolowanego sieciowo z dozwolonego punktu końcowego. Działania takie jak przesyłanie dysku VHD do konta przechowywania w celu tworzenia niestandardowych obrazów wymagają tego dostępu. Dostęp można włączyć, tworząc maszynę wirtualną laboratorium i bezpiecznie korzystając z konta magazynu laboratorium z tej maszyny wirtualnej.

Aby uzyskać więcej informacji, zobacz Nawiązywanie połączenia z kontem magazynu przy użyciu prywatnego punktu końcowego platformy Azure.

Podaj konto magazynu do eksportu danych o użyciu laboratorium

Aby wyeksportować dane dotyczące użytkowania dla laboratorium izolowanego względem sieci, właściciel laboratorium musi jawnie podać konto magazynu i utworzyć obiekt blob w ramach konta, aby przechowywać dane. Eksportowanie danych użycia kończy się niepowodzeniem w trybie izolacji sieci, jeśli użytkownik nie określi jawnie konta magazynowego do użycia.

Aby uzyskać więcej informacji, zobacz Eksportowanie lub usuwanie danych osobowych z usługi Azure DevTest Labs.

Ustawianie zasad dostępu do magazynu kluczy

Włączenie punktu końcowego usługi kluczowego vaultu oddziałuje tylko na zaporę. Pamiętaj, aby skonfigurować odpowiednie uprawnienia dostępu do magazynu kluczy w sekcji Zasady dostępu do magazynu kluczy.

Aby uzyskać więcej informacji, zobacz Przypisywanie zasad dostępu do usługi Key Vault.

Następne kroki