Подключение плана лаборатории в виртуальную сеть с расширенными сетями

  • Статья

В этой статье описывается, как подключить план лаборатории к виртуальной сети с расширенными сетями Служб лабораторий Azure. Благодаря расширенной сети вы можете контролировать конфигурацию виртуальной сети лабораторий. Например, для подключения к локальным ресурсам, таким как серверы лицензирования, или использовать определяемые пользователем маршруты (UDR). Дополнительные сведения о поддерживаемых сетевых сценариях и топологиях для расширенной сети.

Расширенная сеть для планов лабораторий заменяет пиринг виртуальных сетей Служб лабораторий Azure, используемый с учетными записями лаборатории.

Выполните следующие действия, чтобы настроить расширенную сеть для плана лаборатории:

  1. Делегировать подсеть виртуальной сети планам лабораторий Azure Lab Services. Делегирование позволяет Службам лабораторий Azure создавать шаблон лаборатории и виртуальные машины лаборатории в виртуальной сети.
  2. Настройте группу безопасности сети, чтобы разрешить входящий трафик RDP или SSH на виртуальную машину шаблона лаборатории и виртуальные машины лаборатории.
  3. Создайте план лаборатории с расширенной сетью, чтобы связать ее с подсетью виртуальной сети.
  4. (Необязательно) Настройте виртуальную сеть.

Расширенная сеть может быть включена только при создании плана лаборатории. Расширенная сеть не является параметром, который можно обновить позже.

На следующей схеме представлен обзор расширенной конфигурации сети служб лабораторий Azure. Шаблон лаборатории и виртуальные машины лаборатории назначаются IP-адрес в подсети, а группа безопасности сети позволяет пользователям лаборатории подключаться к виртуальным машинам лаборатории с помощью RDP или SSH.

Diagram that shows an overview of the advanced networking configuration in Azure Lab Services.

Примечание.

Если вашей организации необходимо выполнить фильтрацию содержимого, например для соблюдения Закона о защите интернета детей (CIPA), вам потребуется использовать 3-е стороннее программное обеспечение. Дополнительные сведения см. в руководстве по фильтрации содержимого в поддерживаемых сетевых сценариях.

Необходимые компоненты

  • Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
  • Ваша учетная запись Azure имеет роль участника сети или родитель этой роли в виртуальной сети.
  • Виртуальная сеть Azure и подсеть в том же регионе Azure, где создается план лаборатории. Узнайте, как создать виртуальную сеть и подсеть.
  • Подсеть имеет достаточно свободных IP-адресов для виртуальных машин шаблона и виртуальных машин лабораторий для всех лабораторий (каждая лаборатория использует 512 IP-адресов) в плане лаборатории.

1. Делегировать подсеть виртуальной сети

Чтобы использовать подсеть виртуальной сети для расширенной сети в Службах лабораторий Azure, необходимо делегировать подсеть планам лабораторий Azure. Делегирование подсети предоставляет явные разрешения службам лабораторий Azure для создания ресурсов для конкретных служб, таких как виртуальные машины лаборатории, в подсети.

Вы можете делегировать только один план лаборатории одновременно для использования с одной подсетью.

Выполните следующие действия, чтобы делегировать подсеть для использования с планом лаборатории:

  1. Войдите на портал Azure.

  2. Перейдите в виртуальную сеть и выберите подсети.

  3. Выберите выделенную подсеть, которую вы хотите делегировать службам лабораторий Azure.

    Важно!

    Подсеть, используемая для служб лабораторий Azure, не должна использоваться для шлюза виртуальной сети или Бастиона Azure.

  4. В подсети делегата в службу выберите Microsoft.LabServices/labplans и нажмите кнопку "Сохранить".

    Screenshot of the subnet properties page in the Azure portal, highlighting the Delegate subnet to a service setting.

  5. Убедитесь, что Microsoft.LabServices/labplans/labplans отображается в столбце "Делегировано" для подсети.

    Screenshot of list of subnets for a virtual network in the Azure portal, highlighting the Delegated to columns.

2. Настройка группы безопасности сети

При подключении плана лаборатории к виртуальной сети необходимо настроить группу безопасности сети (NSG), чтобы разрешить входящий трафик RDP/SSH с компьютера пользователя на виртуальную машину шаблона и виртуальные машины лаборатории. Группа безопасности сети содержит правила контроля доступа, которые разрешают или запрещают трафик в зависимости от направления трафика, протокола, исходного и целевого адреса и порта.

Эти правила можно изменять в любое время, при этом изменения применяются ко всем связанным экземплярам. Чтобы изменения группы безопасности сети были эффективными, может потребоваться до 10 минут.

Важно!

Если вы не настроите группу безопасности сети, вы не сможете получить доступ к виртуальной машине шаблона лаборатории и виртуальным машинам лаборатории через RDP или SSH.

Конфигурация группы безопасности сети для расширенной сети состоит из двух шагов.

  1. Создание группы безопасности сети, которая разрешает трафик RDP/SSH
  2. Связывание группы безопасности сети с подсетью виртуальной сети

С помощью группы безопасности сети вы можете контролировать входящий трафик одной или нескольких виртуальных машин, экземпляров роли, сетевых карт или подсетей в своей виртуальной сети. Группа безопасности сети содержит правила контроля доступа, которые разрешают или запрещают трафик в зависимости от направления трафика, протокола, исходного и целевого адреса и порта. Эти правила можно изменять в любое время, при этом изменения применяются ко всем связанным экземплярам.

Дополнительные сведения о группах безопасности сети см. в этой статье.

С помощью группы безопасности сети вы можете контролировать входящий трафик одной или нескольких виртуальных машин, экземпляров роли, сетевых карт или подсетей в своей виртуальной сети. Группа безопасности сети содержит правила контроля доступа, которые разрешают или запрещают трафик в зависимости от направления трафика, протокола, исходного и целевого адреса и порта. Эти правила можно изменять в любое время, при этом изменения применяются ко всем связанным экземплярам.

Дополнительные сведения о группах безопасности сети см. в этой статье.

Создание группы безопасности сети для разрешения трафика

Выполните следующие действия, чтобы создать группу безопасности сети и разрешить входящий трафик RDP или SSH:

  1. Если у вас еще нет группы безопасности сети, выполните следующие действия, чтобы создать группу безопасности сети (NSG).

    Обязательно создайте группу безопасности сети в том же регионе Azure, что и виртуальная сеть и план лаборатории.

  2. Создайте правило безопасности для входящего трафика, чтобы разрешить трафик RDP и SSH.

    1. Перейдите в группу безопасности сети в портал Azure.

    2. Щелкните элемент Правила безопасности для входящего трафика, а затем выберите команду Добавить.

    3. Введите сведения о новом правиле безопасности для входящего трафика:

      Параметр Значение
      Источник Выберите Любые.
      Диапазоны исходных портов Введите *.
      Назначение Выберите IP-адреса.
      Диапазоны IP-адресов назначения или CIDR Выберите диапазон подсети виртуальной сети.
      Служба Выберите Пользовательский.
      Диапазоны портов назначения Введите 22, 3389. Порт 22 предназначен для протокола Secure Shell (SSH). Порт 3389 предназначен для протокола удаленного рабочего стола (RDP).
      Протокол Выберите Любые.
      Действие Выберите Разрешить.
      Приоритет Введите 1000. Приоритет должен быть выше, чем другие правила запрета для RDP или SSH.
      Имя Введите AllowRdpSshForLabs.

    4. Нажмите кнопку "Добавить", чтобы добавить правило безопасности для входящего трафика в группу безопасности сети.

Связывание подсети с группой безопасности сети

Затем свяжите группу безопасности сети с подсетью виртуальной сети, чтобы применить правила трафика к трафику виртуальной сети.

  1. Перейдите в группу безопасности сети и выберите подсети.

  2. Выберите +Связать в верхней строке меню.

  3. Для параметра Виртуальная сеть выберите свою виртуальную сеть.

  4. Для подсети выберите подсеть виртуальной сети.

    Screenshot of the Associate subnet page in the Azure portal.

  5. Нажмите кнопку "ОК ", чтобы связать подсеть виртуальной сети с группой безопасности сети.

3. Создание плана лаборатории с расширенными сетями

Теперь, когда вы настроили подсеть и группу безопасности сети, можно создать план лаборатории с расширенными сетями. При создании лаборатории в плане лаборатории Службы лабораторий Azure создают шаблон лаборатории и виртуальные машины лаборатории в подсети виртуальной сети.

Важно!

При создании плана лаборатории необходимо настроить расширенную сеть. Вы не можете включить расширенную сеть на более позднем этапе.

Чтобы создать план лаборатории с расширенными сетями в портал Azure:

  1. Войдите на портал Azure.

  2. Выберите "Создать ресурс" в левом верхнем углу портал Azure и найдите план лаборатории.

  3. Введите сведения на вкладке "Основы" на странице "Создание плана лаборатории".

    Дополнительные сведения см. в статье "Создание плана лаборатории с помощью служб лабораторий Azure".

  4. На вкладке "Сеть" выберите "Включить расширенную сеть " для настройки подсети виртуальной сети.

  5. Для параметра Виртуальная сеть выберите свою виртуальную сеть. Для подсети выберите подсеть виртуальной сети.

    Если виртуальная сеть не отображается в списке, убедитесь, что план лаборатории находится в том же регионе Azure, что и виртуальная сеть, что вы делегировали подсеть службам лабораторий Azure и у вашей учетной записи Azure есть необходимые разрешения.

    Screenshot of the Networking tab of the Create a lab plan wizard.

  6. Выберите "Просмотр и создание " для создания плана лаборатории с расширенными сетями.

    Теперь пользователи лаборатории и руководители лабораторий могут подключаться к виртуальным машинам лаборатории или шаблону лаборатории с помощью RDP или SSH.

    При создании лаборатории все виртуальные машины создаются в виртуальной сети и назначаютСЯ IP-адрес в диапазоне подсети.

4. Обновление параметров конфигурации сети (необязательно)

Рекомендуется использовать параметры конфигурации по умолчанию для виртуальной сети и подсети при использовании расширенной сети в службах лабораторий Azure.

Для определенных сетевых сценариев может потребоваться обновить конфигурацию сети. Дополнительные сведения о поддерживаемых сетевых архитектурах и топологиях в Службах лабораторий Azure и соответствующей конфигурации сети.

Параметры виртуальной сети можно изменить после создания плана лаборатории с расширенными сетями. Однако при изменении параметров DNS в виртуальной сети необходимо перезапустить все запущенные виртуальные машины лаборатории. Если виртуальные машины лаборатории остановлены, они автоматически получат обновленные параметры DNS при запуске.

Внимание

Следующие изменения конфигурации сети не поддерживаются после настройки расширенной сети:

  • Удалите виртуальную сеть или подсеть, связанную с планом лаборатории. Это приводит к остановке работы лабораторий.
  • Измените диапазон адресов подсети при создании виртуальных машин (виртуальные машины шаблона или виртуальные машины лаборатории).
  • Измените метку DNS на общедоступном IP-адресе. Это приводит к остановке работы Подключение кнопки для виртуальных машин лаборатории.
  • Измените конфигурацию внешнего IP-адреса в подсистеме балансировки нагрузки Azure. Это приводит к остановке работы Подключение кнопки для виртуальных машин лаборатории.
  • Измените полное доменное имя на общедоступном IP-адресе.
  • Используйте таблицу маршрутов с маршрутом по умолчанию для подсети (принудительное туннелирование). Это приводит к потере подключения пользователей к лаборатории.
  • Использование Брандмауэр Azure или Бастиона Azure не поддерживается.

Следующие шаги