Основы архитектуры в Службах лабораторий Azure
Примечание.
Эта статья ссылается на функции, доступные в планах лабораторий, которые заменили учетные записи лаборатории.
Службы лабораторий Azure — это решение SaaS (программное обеспечение как услуга), что означает, что ресурсы инфраструктуры, необходимые службам лабораторий Azure, управляются для вас. В этой статье рассматриваются основные ресурсы, используемые службами лабораторий Azure, и базовая архитектура лаборатории.
Хотя службы лабораторий Azure — это управляемая служба, вы можете настроить службу для интеграции с собственными ресурсами. Например, подключите виртуальные машины лаборатории к собственной сети с внедрением виртуальной сети вместо использования пиринга виртуальной сети. Или повторно использовать собственные образы виртуальных машин, подключив коллекцию вычислений Azure.
На следующей схеме показана базовая архитектура лаборатории без включения расширенной сети. План лаборатории размещается в подписке. Виртуальные машины лаборатории, а также ресурсы, необходимые для поддержки виртуальных машин, размещаются в подписке, принадлежащей службам лабораторий Azure.
Размещенные ресурсы
Службы лабораторий Azure размещают ресурсы для запуска лаборатории в одной из управляемых Корпорацией Майкрософт подписок Azure. К этим ресурсам относятся:
- виртуальная машина шаблона для создателя лаборатории для настройки лаборатории
- виртуальная машина лаборатории для каждого пользователя лаборатории для удаленного подключения к
- сетевые элементы, такие как подсистема балансировки нагрузки, виртуальная сеть и группа безопасности сети
Azure monitors этих управляемых подписок для подозрительных действий. Важно отметить, что этот мониторинг выполняется на внешних виртуальных машинах с помощью расширений виртуальных машин или мониторинга сетевого шаблона. Если включить завершение работы при отключении, на виртуальной машине включено расширение диагностики. Расширение позволяет Службам лабораторий Azure получать сведения о событии отключения сеанса удаленного рабочего стола (RDP).
Виртуальная сеть
По умолчанию каждая лаборатория изолирована отдельной виртуальной сетью.
Пользователи лаборатории подключаются к виртуальной машине лаборатории с помощью подсистемы балансировки нагрузки. Виртуальные машины лаборатории не имеют общедоступного IP-адреса и имеют только частный IP-адрес. Строка подключения для удаленного подключения к виртуальной машине лаборатории использует общедоступный IP-адрес подсистемы балансировки нагрузки и случайный порт между:
- 4980-4989 и 5000-6999 для подключений SSH
- 4990-4999 и 7000-8999 для подключений RDP
Правила для входящего трафика подсистемы балансировки нагрузки перенаправите подключение в зависимости от операционной системы, в порт 22 (SSH) или порт 3389 (RDP) виртуальной машины лаборатории. Группа безопасности сети (NSG) блокирует внешний трафик к любому другому порту.
Если лаборатория использует расширенную сеть, каждая лаборатория использует ту же подсеть, которая была делегирована службам лабораторий Azure и подключена к плану лаборатории. Вы также несете ответственность за создание группы безопасности сети с правилом безопасности для входящего трафика, чтобы разрешить трафик RDP и SSH, чтобы пользователи лаборатории могли подключаться к своим виртуальным машинам.
Управление доступом к виртуальным машинам лаборатории
Службы лабораторий Azure управляют доступом к виртуальным машинам лаборатории на разных уровнях:
Запустите или остановите виртуальную машину лаборатории. Службы лабораторий Azure предоставляют пользователям лабораторий разрешение на выполнение таких действий на собственных виртуальных машинах. Служба также управляет доступом к сведениям о подключении виртуальной машины лаборатории.
Зарегистрируйтесь в лаборатории. Службы лабораторий Azure предлагают два разных параметра доступа: ограниченный и неотреченный. Ограниченный доступ означает, что службы лабораторий Azure проверяют, добавляются ли пользователи лаборатории в лабораторию, прежде чем разрешать доступ. Неустраченный доступ означает, что любой пользователь может зарегистрировать лабораторию с помощью ссылки регистрации лаборатории, если в лаборатории есть емкость. Неустраченный доступ может быть полезен для событий хакатона. Дополнительные сведения см. статье об управлении пользователями лаборатории.
Учетные данные виртуальной машины. Виртуальные машины лаборатории, размещенные в лаборатории, имеют имя пользователя и пароль, заданные создателем лаборатории. Кроме того, создатель лаборатории может разрешить зарегистрированным пользователям выбрать собственный пароль при первом входе.
Следующие шаги
Что такое Службы лабораторий Azure
Дополнительные сведения о ключевых понятиях в Службах лабораторий Azure
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по