Partilhar via

Isolamento de rede no Azure DevTest Labs

  • Artigo

Este artigo orienta você na criação de um laboratório isolado de rede no Azure DevTest Labs.

Por padrão, o Azure DevTest Labs cria uma nova rede virtual do Azure para cada laboratório. A rede virtual atua como um limite de segurança para isolar recursos de laboratório da Internet pública. Para garantir que os recursos do laboratório sigam as políticas de rede organizacional, você pode usar várias outras opções de rede:

  • Isole todas as máquinas virtuais (VMs) e ambientes de laboratório em uma rede virtual pré-existente selecionada.
  • Junte uma rede virtual do Azure a uma rede local para se conectar com segurança a recursos locais. Para obter mais informações, consulte Arquitetura de referência corporativa do DevTest Labs: componentes de conectividade.
  • Isole completamente o laboratório, incluindo VMs, ambientes, a conta de armazenamento do laboratório e cofres de chaves, em uma rede virtual selecionada. Este artigo descreve como configurar o isolamento de rede.

Ativar isolamento de rede

Você pode habilitar o isolamento de rede no portal do Azure somente durante a criação do laboratório. Para converter um laboratório existente e recursos de laboratório associados para o modo de rede isolado, use o script do PowerShell Convert-DtlLabToIsolatedNetwork.ps1.

Durante a criação do laboratório, você pode habilitar o isolamento de rede para a rede virtual de laboratório padrão ou escolher outra rede virtual pré-existente para usar no laboratório.

Usar a rede virtual e a sub-rede padrão

Para habilitar o isolamento de rede para a rede virtual padrão e a sub-rede que o DevTest Labs cria para o laboratório:

  1. Durante a criação do laboratório, na tela Create DevTest Lab , selecione a guia Rede .

  2. Ao lado de Isolar recursos de laboratório, selecione Sim.

  3. Conclua a criação do laboratório.

    Captura de ecrã que mostra a ativação do isolamento de rede para a rede predefinida.

Depois de criar o laboratório, nenhuma ação adicional é necessária. O laboratório lida com o isolamento de recursos a partir de agora.

Usar uma rede virtual e uma sub-rede diferentes

Para usar uma rede virtual existente diferente para o laboratório e habilitar o isolamento de rede para essa rede:

  1. Durante a criação do laboratório, na guia Rede da tela Create DevTest Lab , selecione uma rede na lista suspensa. A lista mostra apenas redes na mesma região e assinatura do laboratório.

    Captura de tela que mostra a seleção de uma rede virtual.

  2. Selecione uma sub-rede.

    Captura de tela que mostra a seleção de uma sub-rede.

  3. Ao lado de Isolar recursos de laboratório, selecione Sim.

    Captura de ecrã que mostra a ativação do isolamento de rede para uma rede selecionada.

  4. Conclua a criação do laboratório.

Configurar pontos de extremidade de serviço

Se você habilitou o isolamento de rede para uma rede virtual diferente da padrão, conclua as etapas a seguir para isolar a conta de armazenamento de laboratório e o cofre de chaves na rede selecionada. Execute estas etapas depois de criar o laboratório, mas antes de fazer qualquer outra configuração de laboratório ou criar quaisquer recursos de laboratório.

Configurar o ponto de extremidade para a conta de armazenamento de laboratório

  1. Na página Visão geral do laboratório, selecione o grupo de recursos.

    Captura de tela que mostra a seleção do grupo de recursos para um laboratório.

  2. Na página Visão geral do grupo de recursos, selecione a conta de armazenamento do laboratório. A convenção de nomenclatura para a conta de armazenamento de laboratório é a\<labName>\<4-digit number>. Por exemplo, se o nome do laboratório for contosolab, o nome da conta de armazenamento poderá ser acontosolab1234.

    Captura de tela que mostra a seleção da conta de armazenamento de laboratório.

  3. Na página da conta de armazenamento, selecione Rede na navegação à esquerda. Na guia Firewalls e redes virtuais, verifique se Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento. está selecionado.

    Captura de ecrã que mostra a permissão de acesso de serviços fidedignos a um grupo de recursos.

    O DevTest Labs é um serviço confiável da Microsoft, portanto, selecionar essa opção permite que o laboratório opere normalmente em um modo isolado de rede.

  4. Selecione + Adicionar rede virtual existente.

    Captura de tela que mostra o painel de rede do grupo de recursos com adicionar rede virtual existente realçado.

  5. No painel Adicionar redes, selecione a rede virtual e a sub-rede que escolheu quando criou o laboratório e, em seguida, selecione Adicionar.

    Captura de ecrã que mostra o painel adicionar rede com redes virtuais, sub-redes e Adicionar realçado.

  6. Na página Rede, selecione Salvar.

O Armazenamento do Azure agora permite conexões de entrada da rede virtual adicionada, o que permite que o laboratório opere com êxito em um modo isolado de rede.

Você pode automatizar essas etapas com o PowerShell ou a CLI do Azure para configurar o isolamento de rede para vários laboratórios. Para obter mais informações, veja Configurar firewalls e redes virtuais do Armazenamento do Microsoft Azure.

Configurar o ponto de extremidade para o cofre de chaves de laboratório

  1. Na página Visão geral do laboratório, selecione o grupo de recursos.

  2. Na página Visão geral do grupo de recursos, selecione o cofre de chaves do laboratório.

    Captura de tela que mostra a seleção do cofre de chaves do laboratório.

  3. Na página do cofre de chaves, selecione Rede na navegação à esquerda. Na guia Firewalls e redes virtuais, verifique se a opção Permitir que serviços confiáveis da Microsoft ignorem esse firewall está selecionada.

    Captura de ecrã que mostra a permissão de acesso de serviços fidedignos a um cofre de chaves.

  4. Selecione Adicionar redes virtuais existentes.

    Captura de tela que mostra o painel de rede do cofre de chaves com adicionar rede virtual existente realçado.

  5. No painel Adicionar redes, selecione a rede virtual e a sub-rede que escolheu quando criou o laboratório e, em seguida, selecione Ativar.

    Captura de ecrã que mostra a ativação de uma rede virtual e de uma sub-rede num cofre de chaves.

  6. Quando o ponto de extremidade do serviço estiver habilitado com êxito, selecione Adicionar.

    Captura de tela que mostra a adição de uma rede virtual e sub-rede em um cofre de chaves.

  7. Na página Rede, selecione Salvar.

Considerações

Aqui estão algumas coisas que você deve lembrar ao usar um laboratório em um modo isolado de rede:

Habilitar o acesso à conta de armazenamento de fora do laboratório

O proprietário do laboratório deve habilitar explicitamente o acesso à conta de armazenamento de um laboratório isolado de rede a partir de um ponto de extremidade permitido. Ações como carregar um VHD para a conta de armazenamento para criar imagens personalizadas exigem esse acesso. Você pode habilitar o acesso criando uma VM de laboratório e acessando com segurança a conta de armazenamento do laboratório a partir dessa VM.

Para obter mais informações, consulte Conectar-se a uma conta de armazenamento usando um ponto de extremidade privado do Azure.

Fornecer conta de armazenamento para exportar dados de uso do laboratório

Para exportar dados de uso para um laboratório isolado de rede, o proprietário do laboratório deve fornecer explicitamente uma conta de armazenamento e gerar um blob dentro da conta para armazenar os dados. A exportação de dados de uso falhará no modo isolado da rede se o usuário não fornecer explicitamente a conta de armazenamento a ser usada.

Para obter mais informações, consulte Exportar ou excluir dados pessoais do Azure DevTest Labs.

Definir políticas de acesso ao cofre de chaves

A ativação do ponto de extremidade do serviço do cofre de chaves afeta apenas o firewall. Certifique-se de configurar as permissões de acesso ao cofre de chaves apropriadas na seção Políticas de acesso ao cofre de chaves.

Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave.

Próximos passos