Conectar um plano de laboratório a uma rede virtual com rede avançada

  • Artigo

Este artigo descreve como conectar um plano de laboratório a uma rede virtual com a rede avançada do Azure Lab Services. Com a rede avançada, você tem mais controle sobre a configuração de rede virtual de seus laboratórios. Por exemplo, para se conectar a recursos locais, como servidores de licenciamento, ou para usar rotas definidas pelo usuário (UDRs). Saiba mais sobre os cenários de rede e topologias suportados para redes avançadas.

A rede avançada para planos de laboratório substitui o emparelhamento de rede virtual dos Serviços de Laboratório do Azure usado com contas de laboratório.

Siga estas etapas para configurar a rede avançada para seu plano de laboratório:

  1. Delegue a sub-rede de rede virtual aos planos de laboratório do Azure Lab Services. A delegação permite que os Serviços de Laboratório do Azure criem o modelo de laboratório e as máquinas virtuais de laboratório na rede virtual.
  2. Configure o grupo de segurança de rede para permitir o tráfego RDP ou SSH de entrada para a máquina virtual de modelo de laboratório e máquinas virtuais de laboratório.
  3. Crie um plano de laboratório com rede avançada para associá-lo à sub-rede de rede virtual.
  4. (Opcional) Configure sua rede virtual.

A rede avançada só pode ser habilitada ao criar um plano de laboratório. A rede avançada não é uma configuração que pode ser atualizada posteriormente.

O diagrama a seguir mostra uma visão geral da configuração de rede avançada do Azure Lab Services. O modelo de laboratório e as máquinas virtuais de laboratório recebem um endereço IP em sua sub-rede, e o grupo de segurança de rede permite que os usuários do laboratório se conectem às VMs de laboratório usando RDP ou SSH.

Diagram that shows an overview of the advanced networking configuration in Azure Lab Services.

Observação

Se sua organização precisar executar a filtragem de conteúdo, como para conformidade com a Lei de Proteção à Internet das Crianças (CIPA), você precisará usar o software de terceiros 3rd. Para obter mais informações, leia as diretrizes sobre filtragem de conteúdo nos cenários de rede com suporte.

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
  • Sua conta do Azure tem a função de Colaborador de Rede , ou um pai dessa função, na rede virtual.
  • Uma rede virtual e uma sub-rede do Azure na mesma região do Azure em que você cria o plano de laboratório. Saiba como criar uma rede virtual e uma sub-rede.
  • A sub-rede tem endereços IP livres suficientes para as VMs de modelo e VMs de laboratório para todos os laboratórios (cada laboratório usa 512 endereços IP) no plano de laboratório.

1. Delegue a sub-rede de rede virtual

Para usar sua sub-rede de rede virtual para rede avançada nos Serviços de Laboratório do Azure, você precisa delegar a sub-rede aos planos de laboratório dos Serviços de Laboratório do Azure. A delegação de sub-rede fornece permissões explícitas aos Serviços de Laboratório do Azure para criar recursos específicos de serviço, como máquinas virtuais de laboratório, na sub-rede.

Você pode delegar apenas um plano de laboratório por vez para uso com uma sub-rede.

Siga estas etapas para delegar sua sub-rede para uso com um plano de laboratório:

  1. Entre no portal do Azure.

  2. Vá para sua rede virtual e selecione Sub-redes.

  3. Selecione uma sub-rede dedicada que você deseja delegar aos Serviços de Laboratório do Azure.

    Importante

    A sub-rede que você usa para os Serviços de Laboratório do Azure ainda não deve ser usada para um gateway VNET ou o Bastião do Azure.

  4. Em Delegar sub-rede a um serviço, selecione Microsoft.LabServices/labplans e, em seguida, selecione Salvar.

    Screenshot of the subnet properties page in the Azure portal, highlighting the Delegate subnet to a service setting.

  5. Verifique se Microsoft.LabServices/labplans aparece na coluna Delegado a da sua sub-rede.

    Screenshot of list of subnets for a virtual network in the Azure portal, highlighting the Delegated to columns.

2. Configurar um grupo de segurança de rede

Ao conectar seu plano de laboratório a uma rede virtual, você precisa configurar um NSG (grupo de segurança de rede) para permitir o tráfego RDP/SSH de entrada do computador do usuário para a máquina virtual de modelo e as máquinas virtuais de laboratório. Um NSG contém regras de controle de acesso que permitem ou negam o tráfego com base na direção do tráfego, no protocolo, no endereço e porta de origem e no endereço e porta de destino.

As regras de um NSG podem ser alteradas a qualquer momento e as alterações se aplicam a todas as instâncias associadas. Pode levar até 10 minutos para que as alterações do NSG sejam efetivas.

Importante

Se você não configurar um grupo de segurança de rede, não poderá acessar a VM de modelo de laboratório e as VMs de laboratório via RDP ou SSH.

A configuração do grupo de segurança de rede para rede avançada consiste em duas etapas:

  1. Criar um grupo de segurança de rede que permita o tráfego RDP/SSH
  2. Associar o grupo de segurança de rede à sub-rede de rede virtual

Você pode usar um NSG para controlar o tráfego em uma ou mais instâncias de máquina virtual (VM), adaptadores de rede (NICs) ou sub-redes em sua rede virtual. Um NSG contém regras de controle de acesso que permitem ou negam o tráfego com base na direção do tráfego, no protocolo, no endereço e porta de origem e no endereço e porta de destino. As regras de um NSG podem ser alteradas a qualquer momento e as alterações se aplicam a todas as instâncias associadas.

Para saber mais sobre NSGs, visite O que é NSG.

Você pode usar um NSG para controlar o tráfego em uma ou mais instâncias de máquina virtual (VM), adaptadores de rede (NICs) ou sub-redes em sua rede virtual. Um NSG contém regras de controle de acesso que permitem ou negam o tráfego com base na direção do tráfego, no protocolo, no endereço e porta de origem e no endereço e porta de destino. As regras de um NSG podem ser alteradas a qualquer momento e as alterações se aplicam a todas as instâncias associadas.

Para saber mais sobre NSGs, visite O que é NSG.

Criar um grupo de segurança de rede para permitir o tráfego

Siga estas etapas para criar um NSG e permitir o tráfego RDP ou SSH de entrada:

  1. Se você ainda não tiver um grupo de segurança de rede, siga estas etapas para criar um NSG (grupo de segurança de rede).

    Certifique-se de criar o grupo de segurança de rede na mesma região do Azure que a rede virtual e o plano de laboratório.

  2. Crie uma regra de segurança de entrada para permitir o tráfego RDP e SSH.

    1. Vá para seu grupo de segurança de rede no portal do Azure.

    2. Selecione as Regras de segurança de entrada e, em seguida, + Adicionar.

    3. Insira os detalhes da nova regra de segurança de entrada:

      Configuração Valor
      Origem Selecione Qualquer.
      Intervalos de portas de origem Digite *.
      Destino Selecione Endereços IP.
      Intervalos de CIDR /endereço IP de destino Selecione o intervalo da sua sub-rede de rede virtual.
      Serviço selecione Personalizado.
      Intervalos de portas de destino Digite 22, 3389. A porta 22 é para o protocolo SSH (Secure Shell). A porta 3389 é para o protocolo RDP .
      Protocolo Selecione Qualquer.
      Ação selecione Permitir.
      Prioridade Insira 1000. A prioridade deve ser maior do que outras regras de negação para RDP ou SSH.
      Nome Digite AllowRdpSshForLabs.

    4. Selecione Adicionar para adicionar a regra de segurança de entrada ao NSG.

Associar a sub-rede ao grupo de segurança de rede

Em seguida, associe o NSG à sub-rede de rede virtual para aplicar as regras de tráfego ao tráfego de rede virtual.

  1. Vá para o grupo de segurança de rede e selecione Sub-redes.

  2. Selecione + Associar na barra de menus superior.

  3. Para Rede virtual, selecione a sua rede virtual.

  4. Em Sub-rede, selecione sua sub-rede de rede virtual.

    Screenshot of the Associate subnet page in the Azure portal.

  5. Selecione OK para associar a sub-rede de rede virtual ao grupo de segurança de rede.

3. Crie um plano de laboratório com rede avançada

Agora que você configurou o grupo de segurança de rede e sub-rede, pode criar o plano de laboratório com rede avançada. Quando você cria um novo laboratório no plano de laboratório, os Serviços de Laboratório do Azure criam o modelo de laboratório e as máquinas virtuais de laboratório na sub-rede de rede virtual.

Importante

Você deve configurar a rede avançada ao criar um plano de laboratório. Não é possível habilitar a rede avançada posteriormente.

Para criar um plano de laboratório com rede avançada no portal do Azure:

  1. Entre no portal do Azure.

  2. Selecione Criar um recurso no canto superior esquerdo do portal do Azure e procure plano de laboratório.

  3. Insira as informações na guia Noções básicas da página Criar um plano de laboratório.

    Para obter mais informações, consulte Criar um plano de laboratório com os Serviços de Laboratório do Azure.

  4. Na guia Rede, selecione Habilitar rede avançada para configurar a sub-rede de rede virtual.

  5. Para Rede virtual, selecione a sua rede virtual. Em Sub-rede, selecione sua sub-rede de rede virtual.

    Se sua rede virtual não aparecer na lista, verifique se o plano de laboratório está na mesma região do Azure que a rede virtual, se você delegou a sub-rede aos Serviços de Laboratório do Azure e se sua conta do Azure tem as permissões necessárias.

    Screenshot of the Networking tab of the Create a lab plan wizard.

  6. Selecione Revisar + Criar para criar o plano de laboratório com rede avançada.

    Os usuários de laboratório e gerentes de laboratório agora podem se conectar a suas máquinas virtuais de laboratório ou máquina virtual de modelo de laboratório usando RDP ou SSH.

    Quando você cria um novo laboratório, todas as máquinas virtuais são criadas na rede virtual e recebem um endereço IP dentro do intervalo de sub-rede.

4. (Opcional) Atualize as definições de configuração de rede

É recomendável usar as definições de configuração padrão para a rede virtual e a sub-rede ao usar a rede avançada nos Serviços de Laboratório do Azure.

Para cenários de rede específicos, talvez seja necessário atualizar a configuração de rede. Saiba mais sobre as arquiteturas e topologias de rede com suporte nos Serviços de Laboratório do Azure e a configuração de rede correspondente.

Você pode modificar as configurações de rede virtual depois de criar o plano de laboratório com rede avançada. No entanto, quando você altera as configurações de DNS na rede virtual, você precisa reiniciar todas as máquinas virtuais de laboratório em execução. Se as VMs de laboratório forem interrompidas, elas receberão automaticamente as configurações de DNS atualizadas quando forem iniciadas.

Cuidado

As seguintes alterações de configuração de rede não são suportadas depois de configurar a rede avançada:

  • Exclua a rede virtual ou a sub-rede associada ao plano de laboratório. Isso faz com que os laboratórios parem de funcionar.
  • Altere o intervalo de endereços de sub-rede quando houver máquinas virtuais criadas (VM de modelo ou VMs de laboratório).
  • Altere o rótulo DNS no endereço IP público. Isso faz com que o botão Conectar para VMs de laboratório pare de funcionar.
  • Altere a configuração de IP de front-end no balanceador de carga do Azure. Isso faz com que o botão Conectar para VMs de laboratório pare de funcionar.
  • Altere o FQDN no endereço IP público.
  • Use uma tabela de rotas com uma rota padrão para a sub-rede (tunelamento forçado). Isso faz com que os usuários percam a conectividade com seu laboratório.
  • Não há suporte para o uso do Firewall do Azure ou do Bastião do Azure.

Próximas etapas