Dela via

Nätverksisolering i Azure DevTest Labs

  • Artikel

Den här artikeln beskriver hur du skapar ett nätverksisolerade labb i Azure DevTest Labs.

Som standard skapar Azure DevTest Labs ett nytt virtuellt Azure-nätverk för varje labb. Det virtuella nätverket fungerar som en säkerhetsgräns för att isolera labbresurser från det offentliga Internet. För att säkerställa att labbresurser följer organisationens nätverksprinciper kan du använda flera andra nätverksalternativ:

  • Isolera alla virtuella labbdatorer och miljöer i ett befintligt virtuellt nätverk som du väljer.
  • Anslut ett virtuellt Azure-nätverk till ett lokalt nätverk för att på ett säkert sätt ansluta till lokala resurser. Mer information finns i DevTest Labs företagsreferensarkitektur: Anslutningskomponenter.
  • Isolera labbet helt, inklusive virtuella datorer, miljöer, labblagringskontot och nyckelvalv, till ett valt virtuellt nätverk. I den här artikeln beskrivs hur du konfigurerar nätverksisolering.

Aktivera nätverksisolering

Du kan endast aktivera nätverksisolering i Azure-portalen när labbuppgiften skapas. Om du vill konvertera ett befintligt labb och associerade labbresurser till isolerat nätverksläge använder du PowerShell-skriptet Convert-DtlLabToIsolatedNetwork.ps1.

När labbuppgiften skapas kan du aktivera nätverksisolering för det virtuella standardnätverket för labb eller välja ett annat befintligt virtuellt nätverk som ska användas för labbet.

Använd det virtuella standardnätverket och undernätet

Så här aktiverar du nätverksisolering för det virtuella standardnätverk och undernät som DevTest Labs skapar för labbet:

  1. Under labbskapandet går du till skärmen Skapa DevTest Lab och väljer fliken Nätverk .

  2. Bredvid Isolera labbresurser väljer du Ja.

  3. Slutför skapandet av labbet.

    Skärmbild som visar aktivering av nätverksisolering för standardnätverket.

När du har skapat labbet behövs ingen ytterligare åtgärd. Labbet hanterar isolera resurser från och med nu.

Använda ett annat virtuellt nätverk och undernät

Om du vill använda ett annat befintligt virtuellt nätverk för labbet och aktivera nätverksisolering för nätverket:

  1. Under labbskapandet går du till fliken Nätverkskärmen Skapa DevTest Lab och väljer ett nätverk i listrutan. Listan visar endast nätverk i samma region och prenumeration som labbet.

    Skärmbild som visar hur du väljer ett virtuellt nätverk.

  2. Välj ett undernät.

    Skärmbild som visar hur du väljer ett undernät.

  3. Bredvid Isolera labbresurser väljer du Ja.

    Skärmbild som visar aktivering av nätverksisolering för ett valt nätverk.

  4. Slutför skapandet av labbet.

Konfigurera tjänstslutpunkter

Om du har aktiverat nätverksisolering för ett annat virtuellt nätverk än standard utför du följande steg för att isolera labblagringskontot och nyckelvalvet till det nätverk som du har valt. Utför de här stegen när du har skapat labbet, men innan du utför någon annan labbkonfiguration eller skapar några labbresurser.

Konfigurera slutpunkten för labblagringskontot

  1. På labbsidan Översikt väljer du resursgruppen.

    Skärmbild som visar hur du väljer resursgruppen för ett labb.

  2. På sidan Översikt för resursgrupp väljer du labbets lagringskonto. Namngivningskonventionen för labblagringskontot är a\<labName>\<4-digit number>. Om labbnamnet till exempel är contosolabkan lagringskontonamnet vara acontosolab1234.

    Skärmbild som visar hur du väljer labblagringskontot.

  3. På sidan lagringskonto väljer du Nätverk i det vänstra navigeringsfältet. På fliken Brandväggar och virtuella nätverk kontrollerar du att Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.

    Skärmbild som visar hur du ger betrodda tjänster åtkomst till en resursgrupp.

    DevTest Labs är en betrodd Microsoft-tjänst, så om du väljer det här alternativet kan labbet fungera normalt i ett isolerat nätverksläge.

  4. Välj Lägg till befintligt virtuellt nätverk.

    Skärmbild som visar nätverksfönstret för resursgrupper med lägg till ett befintligt virtuellt nätverk markerat.

  5. I fönstret Lägg till nätverk väljer du det virtuella nätverk och undernät som du valde när du skapade labbet och väljer sedan Lägg till.

    Skärmbild som visar fönstret Lägg till nätverk med virtuella nätverk, undernät och Lägg till markerat.

  6. På sidan Nätverk väljer du Spara.

Azure Storage tillåter nu inkommande anslutningar från det tillagda virtuella nätverket, vilket gör att labbet kan fungera i ett isolerat nätverksläge.

Du kan automatisera de här stegen med PowerShell eller Azure CLI för att konfigurera nätverksisolering för flera labb. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.

Konfigurera slutpunkten för labbnyckelvalvet

  1. På labbsidan Översikt väljer du resursgruppen.

  2. På resursgruppen Översikt väljer du labbets nyckelvalv.

    Skärmbild som visar hur du väljer labbets nyckelvalv.

  3. På sidan nyckelvalv väljer du Nätverk i det vänstra navigeringsfältet. På fliken Brandväggar och virtuella nätverk kontrollerar du att Tillåt betrodda Microsoft usluge att kringgå den här brandväggen har valts.

    Skärmbild som visar hur du ger betrodda tjänster åtkomst till ett nyckelvalv.

  4. Välj Lägg till befintliga virtuella nätverk.

    Skärmbild som visar nätverksfönstret för nyckelvalvet med lägg till ett befintligt virtuellt nätverk markerat.

  5. I fönstret Lägg till nätverk väljer du det virtuella nätverk och undernät som du valde när du skapade labbet och väljer sedan Aktivera.

    Skärmbild som visar aktivering av ett virtuellt nätverk och undernät i ett nyckelvalv.

  6. När tjänstslutpunkten har aktiverats väljer du Lägg till.

    Skärmbild som visar hur du lägger till ett virtuellt nätverk och undernät i ett nyckelvalv.

  7. På sidan Nätverk väljer du Spara.

Att tänka på

Här följer några saker att komma ihåg när du använder ett labb i ett isolerat nätverksläge:

Aktivera åtkomst till lagringskontot utanför labbet

Labbägaren måste uttryckligen aktivera åtkomst till ett nätverksisolerad labbs lagringskonto från en tillåten slutpunkt. Åtgärder som att ladda upp en virtuell hårddisk till lagringskontot för att skapa anpassade avbildningar kräver den här åtkomsten. Du kan aktivera åtkomst genom att skapa en virtuell labbdator och på ett säkert sätt komma åt labbets lagringskonto från den virtuella datorn.

Mer information finns i Ansluta till ett lagringskonto med en privat Azure-slutpunkt.

Ange lagringskonto för att exportera labbanvändningsdata

Om du vill exportera användningsdata för ett isolerat nätverkslabb måste labbägaren uttryckligen ange ett lagringskonto och generera en blob i kontot för att lagra data. Det går inte att exportera användningsdata i isolerat nätverksläge om användaren inte uttryckligen anger det lagringskonto som ska användas.

Mer information finns i Exportera eller ta bort personliga data från Azure DevTest Labs.

Ange åtkomstprinciper för Key Vault

Aktivering av nyckelvalvstjänstens slutpunkt påverkar endast brandväggen. Se till att konfigurera lämpliga åtkomstbehörigheter för nyckelvalvet i avsnittet Åtkomstprinciper för nyckelvalvet.

Mer information finns i Tilldela en key vault-åtkomstprincip.

Nästa steg