你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 实验室服务中的体系结构基础知识

注意

本文引用了实验室计划中可用的功能，该计划取代了实验室帐户。

Azure 实验室服务是一种 SaaS（软件即服务）解决方案，这意味着系统会为你管理 Azure 实验室服务所需的基础结构资源。本文介绍 Azure 实验室服务使用的基础资源和实验室的基本体系结构。

虽然 Azure 实验室服务是托管服务，但你可以配置该服务来与自己的资源集成。例如，使用虚拟网络注入将实验室虚拟机连接到自己的网络，而不是使用虚拟网络对等互连。或者通过附加 Azure 计算库重用自己的自定义虚拟机映像。

下图显示了未启用高级网络的实验室的基本体系结构。实验室计划托管在你的订阅中。实验室虚拟机以及支持虚拟机所需的资源托管在 Azure 实验室服务拥有的订阅中。

Architecture diagram of basic lab in Azure Lab Services.

托管的资源

Azure 实验室服务可托管在 Microsoft 管理的 Azure 订阅之一中运行实验室的资源。这些资源包括：

Azure 会监视这些托管订阅中的可疑活动。需要注意的是，此监视是通过 VM 扩展或网络模式监视从外部对虚拟机进行的。如果启用了“断开连接时关闭”，则会在虚拟机上启用诊断扩展。借助此扩展，Azure 实验室服务可以收到有关远程桌面协议 (RDP) 会话断开连接事件的信息。

默认情况下，每个实验室都由其自己的虚拟网络隔离。

实验室用户可通过负载均衡器连接到其实验室虚拟机。实验室虚拟机没有公共 IP 地址，只有专用 IP 地址。用于远程连接到实验室虚拟机的连接字符串使用负载均衡器的公共 IP 地址和以下项之间的随机端口：

负载均衡器上的入站规则会将连接转发到实验室虚拟机的端口 22 (SSH) 或端口 3389 (RDP)，具体取决于操作系统。网络安全组 (NSG) 会阻止流向任何其他端口的外部流量。

如果实验室使用高级网络，则每个实验室都使用已委托给 Azure 实验室服务并连接到实验室计划的同一子网。你还负责创建具有入站安全规则以允许 RDP 和 SSH 流量的 NSG，以便实验室用户可以连接到他们的 VM。

Azure 实验室服务可在不同级别管理对实验室虚拟机的访问：

启动或停止实验室 VM。 Azure 实验室服务可授予实验室用户在其自己的虚拟机上执行此类操作的权限。该服务还可控制对实验室虚拟机连接信息的访问。
注册实验室。 Azure 实验室服务提供两种不同的访问设置：受限和非受限。 受限访问意味着 Azure 实验室服务将首先验证实验室用户是否已添加到实验室，然后再允许访问。 非受限访问 意味着如果实验室中存在容量，则任何用户都可以使用实验室注册链接注册实验室。非受限访问对编程马拉松活动非常有用。有关详细信息，请参阅管理实验室用户一文。
虚拟机凭据。在实验室中托管的实验室虚拟机具有由实验室创建者设置的用户名和密码。实验室创建者也可以允许注册用户在首次登录时选择自己的密码。